Kamervragen

Alle

27 juli 2022 - 19 september 2022

54 dagen

Het bericht ‘NIST kiest wapens tegen kwantumcomputer als cryptokraker’.
	Queeny Rajkowski (Volkspartij voor Vrijheid en Democratie)
	Micky Adriaansens (minister economische zaken) (Volkspartij voor Vrijheid en Democratie), Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (Volkspartij voor Vrijheid en Democratie), Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66)

Bronnen

1. AGConnect: 6 juli 2022 NIST kiest wapens tegen kwantumcomputer als cryptokraker – AG Connect

Vraag 1

Bent u bekend met het bericht «NIST kiest wapens tegen kwantumcomputer als cryptokraker»?1

Ja.
Vraag 2

Bent u het ermee eens dat kwantumcomputers een serieus gevaar kunnen vormen voor het Nederlandse briefgeheim en veilige communicatie tussen o.a. veiligheidsdiensten, Nederlandse burgers onderling en voor onze ondernemers in het kader van bedrijfsgeheimen? Zo ja, hoe beoordeelt u dit gevaar? Zo nee, waarom niet?

Ja. De komst van de kwantumcomputer brengt risico’s met zich mee op het gebied van informatiebeveiliging. Sommige cryptografische standaarden die nu veilig worden geacht, zullen door de komst van kwantumcomputers niet meer veilig zijn, waaronder cryptografie die nu veelvuldig wordt gebruikt voor het beveiligen van internetverkeer.
Zoals ook benoemd in de AIVD-brochure «Bereid je voor op de dreiging van kwantumcomputers», achten experts de kans klein maar reëel dat kwantumcomputers in 2030 al krachtig genoeg zullen zijn om de huidige cryptografische standaarden te breken.2 Informatie die gedurende een langere periode vertrouwelijk moet blijven, waaronder staatsgeheimen, moet daarom zo snel mogelijk al beschermd worden tegen store now, decrypt later-aanvallen3. Deze dreiging wordt ook gesignaleerd door het NCSC, dat de afgelopen jaren heeft opgeroepen tot het starten met het voorbereiden op de komst van kwantumcomputers, bijvoorbeeld via de NCSC-factsheet «Postkwantumcryptografie».4
Voor de rijksoverheid en medeoverheden, maar ook voor de private sector, betekent dit dat zij zullen moeten migreren naar kwantumveilige systemen en technologieën. Deze migratie is omvangrijk, en zal zo snel mogelijk gestart moeten worden om op tijd voorbereid te zijn op de dreiging van kwantumcomputers.
Vraag 3

Op welke wijze borgt u tijdig met oplossingen te komen tegen de komst van kwantumcomputers zodat inwoners van Nederland veilig digitaal kunnen communiceren en persoonsgegevens en bedrijfs- en staatsgeheimen goed beveiligd kunnen blijven? Welke concrete stappen zijn hier de afgelopen jaren voor gezet en welke stappen bent u nog voornemens te zetten?

Gezien de hierboven gesignaleerde veiligheidsrisico’s voor de overheid, burgers en bedrijven, zet het kabinet zich, met partners uit de private sector en wetenschap, op verschillende wijzen in om maatregelen en technologieën te ontwikkelen die deze risico’s kunnen helpen mitigeren.
Voor de verwerking van gerubriceerde gegevens zijn al geruime tijd kwantumveilige producten beschikbaar. Volgend uit het Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie (VIRBI) is kwantumveiligheid sinds 2020 een harde eis voor producten waarmee gerubriceerde gegevens verwerkt worden. Het gaat dan om gegevens gerubriceerd als departementaal vertrouwelijk en hoger. Om te borgen dat de rijksoverheid ook in de toekomst kan beschikken over beveiligingsproducten voor vertrouwelijke informatie, wordt er in het kader van de Nationale Cryptostrategie (NCS) geïnvesteerd in de ontwikkeling van deze producten. Dit maakt het mogelijk om in te spelen op risico’s rondom kwantumcomputing voor wat betreft de rijksoverheid. Hierbij wordt in samenwerking met bedrijven en experts onder meer gewerkt aan de ontwikkeling van nieuwe beveiligingsproducten en het doorontwikkelen van bestaande producten.
Deze producten zullen gebruikmaken van post-quantumcryptografie (PQC). Dit is een vorm van cryptografie die gebaseerd is op wiskundige problemen die niet effectief te kraken zijn met een kwantumcomputer. In 2023 zal de AIVD in samenwerking met TNO en het Centrum voor Wiskunde en Informatica (CWI) een kwantum Migratie Handleiding publiceren die overheden, bedrijven en burgers kunnen gebruiken als handvat voor migratie naar kwantumveilige communicatie. Deze handleiding beschrijft de verschillende doelgroepen en bijbehorende (technische) stappen die genomen kunnen worden.
Het kabinet investeert via het Nationaal Groeifonds fors in de Nationale Agenda kwantumtechnologie (zie beneden het antwoord op vraag 10). Naast de inzet vanuit het Groeifonds hebben departementen een aantal jaar geleden gezamenlijk het initiatief genomen om binnen de Nationale Wetenschapsagenda (NWA) uit 2018 met het programma «Cybersecurity – naar een veilig en betrouwbaar digitaal domein» aan de slag te gaan om oplossingen te vinden voor vraagstukken rond internetveiligheid. Daarbinnen is een project gefinancierd tegen het gevaar van het breken van versleutelingsschema’s door kwantumcomputers.5 Daarnaast werkt de overheid samen met private partijen en wetenschappers, onder leiding van het ECP, aan het ontwikkelen van werelds eerste kwantum Impact Assessment (QIA). Organisaties die met kwantumtechnologie willen gaan werken, kunnen dan het QIA doen, om te bepalen wat juridische, ethische en maatschappelijke consequenties zijn van het inzetten van deze technologie. De kennis en producten ontwikkeld via deze trajecten zullen door overheid, bedrijven en burgers benut kunnen worden om zich te beveiligen en om kwantumtechnologie op een verantwoorde wijze te gebruiken.
Er wordt niet alleen op nationaal niveau geïnvesteerd en samengewerkt, maar ook op Europees niveau. Die Europese inzet is uiteengezet in het antwoord op vraag 9.
Binnen de rijksoverheid zijn departementen vanuit hun eigen verantwoordelijkheid voor informatiebeveiliging ook verantwoordelijk om hun belangrijkste processen en andere belangen te beschermen tegen de dreiging van de kwantumcomputer op de toegepaste cryptografie. Om de departementen hierbij te helpen wordt er momenteel op verzoek van het CIO-beraad vanuit de I-strategie Rijk 2022 – 2025, interdepartementaal gewerkt aan een plan voor een gezamenlijke aanpak van deze dreiging, zodat kennis en kunde gedeeld worden, centraal een beeld ontstaat hoe ver de departementen zijn en om de krachten te bundelen onder andere met betrekking tot leveranciersmanagement. BZK zal de medeoverheden wijzen op het belang van spoedige inzet op kwantumcryptografie, en de door de rijksoverheid opgedane ervaring met hen delen, om hen snel op gang te helpen. Er is daarnaast ook een kwantum InnovatieHub rijksoverheid. Dit is een netwerk van geïnteresseerden in kwantumtechnologie en de impact voor de rijksoverheid. Dit netwerk heeft de afgelopen jaren een grote rol gespeeld in het vergroten van het bewustzijn omtrent de impact van kwantumtechnologie binnen de rijksoverheid.
Vraag 4

Welke voorbereidingen neemt u op de komst van de kwantumcomputers? Welke voorbereidingen worden hier getroffen, ook eventueel in samenwerking met private sectoren?

Zie antwoord vraag 3.
Vraag 5

Welke gevolgen ziet u voor de rijksoverheid en lagere overheden met de komst van kwantumcomputers wat betreft het inrichten van de systemen?

Zie antwoord vraag 2.
Vraag 6

Bent u samen met bedrijven en experts op zoek naar oplossingen om encryptie bestendig te maken tegen de komst van kwantumcomputers? Zo ja, wat is de status van deze gesprekken? Zo nee, waarom niet?

Zie antwoord vraag 3.
Vraag 7

Heeft u al een selectie gemaakt van alternatieve cryptografische methoden die niet vatbaar zijn voor het kwantumrekengeweld? Zo ja, welke methoden vallen binnen deze selectie? Zo nee, wanneer verwacht u met een selectie te komen?

Zoals aangegeven in het antwoord op vragen 3, 4 en 6, wordt voor wat betreft het adresseren van de risico’s van kwantumcomputing, door de overheid fors geïnvesteerd. Daarnaast werken cybersecurity experts en cryptologen van de rijksoverheid ook nauw samen met experts uit de private sector en wetenschap. Hierbij wordt breder gekeken naar het vraagstuk dan sec de ontwikkeling van cryptografie, maar ook de implementatie in beveiligingsproducten, standaardisering en migratie-adviezen. Die brede inzet moet de komende jaren leiden tot adviezen en producten die overheid, bedrijven en burgers kunnen gebruiken om zich te beveiligen tegen de dreiging van kwantumcomputing.
Naar aanleiding van de selectie van NIST heeft het NCSC in juli 2022 beveiligingsrichtlijnen gepubliceerd.6 In deze beveiligingsrichtlijnen adviseert het NCSC over het gebruik van specifieke algoritmes waar organisaties gebruik van kunnen maken bij het inrichten van hun architectuur die gebruik maakt van een combinatie van traditionele en kwantum-veilige algoritmes. Daarnaast publiceerde het NCSC in 2017 al de factsheet postkwantumcryptografie.
De AIVD heeft voor het gebruik van cryptografie voor het versleutelen van gerubriceerde informatie klassieke en nieuwe cryptografische methoden beoordeeld op mogelijk gebruik als post-quantum cryptografie (PQC), en daarover gepubliceerd in de brochure «Bereid je voor op de dreiging van kwantumcomputers». Hierin wordt een combinatie van traditionele cryptografie en PQC, een zogeheten hybride constructie, aangeraden voor die systemen waar niet gewacht kan worden op standaardisatie van PQC. Ook is het voor alle organisaties die werken met gevoelige informatie belangrijk om te beginnen met de migratie hiervan naar kwantumveilige systemen. In de eerste fasen van deze migratie kan een inventarisatie plaatsvinden van systemen die voor de komst van een kwantumcomputer al gemigreerd moeten worden, en wanneer deze migratie moet plaatsvinden.
Een ander veelgenoemde technologie voor het beveiligen van communicatie is kwantum key distribution (QKD). Echter, in de eerdergenoemde AIVD-brochure, beoordeelt de AIVD, QKD zonder het gebruik van PQC als ongeschikt voor het beveiligen van gevoelige informatie. De reden hiervoor is dat QKD sommige, maar niet alle benodigde veiligheidsfuncties vervult. Daarom adviseert de AIVD in alle gevallen om voor de verwerking van gevoelige informatie ook PQC te gebruiken. Onderzoek naar QKD zorgt wel voor kennisopbouw over de onderliggende kwantumtechnologieën. Daarom is het alsnog belangrijk om ook onderzoek te doen naar QKD, ondanks dat QKD op zichzelf ongeschikt is voor het beveiligen van gevoelige communicatie.
In het kader van het plan van aanpak dat voor de rijksoverheid wordt ontwikkeld, is een van de elementen waar binnen het migratieplan naar wordt gekeken de zogenaamde «crypto-agitatie». Dit concept maakt het mogelijk om flexibel en gemakkelijk over te schakelen op verschillende soorten cryptografie, bijvoorbeeld door hardware te gebruiken die dit mogelijk maakt. Dit zou de overstap voor een deel kunnen versnellen. Daarnaast kan dit concept worden ingezet voor producten en diensten die nu worden ontwikkeld en gebruik gaan maken van cryptografie.
Vraag 8

Bent u het met de experts uit het artikel eens dat het verstandig kan zijn alvast in te zetten op een combinatie van traditionele cryptografie en de nieuwe, nog niet volledig uitontwikkelde, postkwantummethoden? Zo ja, hoe gaat u dit vormgeven? Zo nee, waarom niet?

Zie antwoord vraag 7.
Vraag 9

Is Nederland aangesloten bij de Europese programma’s die betrekking hebben op kwantumcomputers? Zo ja, op welke manier heeft Nederland dit vormgegeven? Wat heeft dit concreet tot nu toe opgeleverd? Zo nee, waarom niet?

Ja, Nederland neemt deel aan Europese programma’s die ook betrekking hebben op kwantumcomputers, zoals Digital Europe en Horizon Europe.
Tijdens het Nederlandse EU-voorzitterschap in 2016 heeft de Europese Commissie het EU kwantum Technologies flagship gelanceerd, een R&D programma voor Europese consortia met een budget van 1 miljard euro. Van de totaal 146 miljoen euro uit de eerste fase van het flagship onder Horizon 2020 (2014–2020) namen Nederlandse kennisinstellingen deel voor 10,6 miljoen euro, een percentage van 7,28% – ruim meer dan het gemiddelde Nederlandse aandeel in Horizon 2020. Voor twee consortia op het gebied van kwantum Internet (TU Delft) en kwantum sensing (UvA) is Nederland penvoerder.
Daarnaast heeft Nederland een belangrijke rol in EuroQCI, het Europese programma voor kwantum-communicatie, waar QKD als technologie centraal staat. De Nederlandse inzet in dit EuroQCI programma wordt door het Ministerie van Economische Zaken en Klimaat en kwantumDeltaNL interdepartementaal afgestemd met vertegenwoordigers van onder meer J&V, DEF, BZ en BZK.
In de eerste fase van dit EuroQCI programma, ontvangt een Nederlands consortium met Stichting kwantum Delta als penvoerder cofinanciering van 5 miljoen euro uit het Digital Europe Programma. Het gaat hierbij om het project «QCINed: Towards a National kwantum Communication Infrastructure in The Netherlands» waarbij een experimenteel kwantum communicatienetwerk wordt opgezet door Nederlandse kennisinstellingen met participatie door verschillende ministeries en Rijksuitvoeringsorganisaties.
Deze projecten zitten momenteel in hun eerste fases, en zullen de komende jaren hun resultaten gaan opleveren. Wel heeft de projectontwikkelfase al bijgedragen aan meer samenwerking tussen Nederlandse en Europese partners op dit gebied.
Vraag 10

Hoeveel geld is tot op heden uit het groeifonds beschikbaar gesteld voor de ontwikkeling van kwantum technologie? Welk deel van dit budget is de afgelopen jaren, of zal de komende jaren ook worden geïnvesteerd in het ontwikkelen van deze technologie?

In de eerste ronde van het Nationaal Groeifonds is 615 miljoen euro gereserveerd voor de uitvoering van de Nationale Agenda kwantumtechnologie. Het voorstel kwantumDeltaNL richt zich op het versterken van Nederlands kwantum-ecosysteem, door te investeren in (1) kwantumcomputing, (2) kwantumnetwerken en (3) kwantumsensing. Behalve investeringen in R&D wordt het budget ook gebruikt voor een valorisatieprogramma, voor campusontwikkeling, en voor versterking van de nationale onderzoeksinfrastructuur via NanolabNL. Tevens is er aandacht voor de maatschappelijke impact van deze nieuwe technologie.
Van het bedrag van 615 miljoen uit het nationaal groeifonds is 54 miljoen euro direct toegekend voor Fase 1 van dit programma, welke is gestart in september 2021. Na positieve beoordeling van de uitvoering van Fase 1 is door het kabinet inmiddels ook de voorwaardelijke toekenning voor Fase 2 omgezet in een definitieve toekenning voor het bedrag van 228 miljoen euro. Na een tussentijdse evaluatie in 2025 zal een besluit worden genomen over de reservering van 333 miljoen euro voor Fase 3 van dit programma.
Vraag 11

Bent u het ermee eens dat de Nederlandse economie kan profiteren van de mogelijkheden van kwantumcomputers? Zo nee, waarom niet? Zo ja, op welke manier?

Ja, het kabinet is het hier mee eens. Om deze reden heeft de Adviescommissie Nationaal Groeifonds destijds positief geadviseerd om het kwantumDeltaNL project te honoreren. Kwantum is een ontwikkelende technologie, die een «game-changer» kan zijn op het gebied van rekenkracht en daarmee voor nieuwe verdienmodellen en oplossingen voor maatschappelijke problemen kan zorgen.
Op dit moment zien we een snelle groei van bedrijvigheid rondom deze sleuteltechnologie. Het ecosysteem van kwantumDeltaNL breidt zich snel uit met Nederlandse en buitenlandse startups en scale-ups die werken aan innovatieve componenten en services voor kwantumcomputers en kwantuminternet.
In het kader van het publiek-private samenwerkingsplatform voor cybersecurity kennis en innovatie dcypher wordt door de overheid, het bedrijfsleven en kennisinstellingen samengewerkt aan de ontwikkeling van innovatieve producten en diensten op het gebied van cryptocommunicatie. In aanvulling op de Nationale Crypto Strategie richt deze routekaart cryptocommunicatie zich voornamelijk op het ontwikkelen van het Nederlandse verdienvermogen met betrekking tot cryptografie op zoals dat binnen de overheid en het bedrijfsleven worden toegepast. Post-kwantum cryptografie is hier een belangrijk onderdeel van.

26 juli 2022 - 2 september 2022

38 dagen

Het artikel ‘Hacker ontdekt dat Chinese zonnepanelen een bedreiging zijn voor ons stroomnet’
	Silvio Erkens (Volkspartij voor Vrijheid en Democratie), Queeny Rajkowski (Volkspartij voor Vrijheid en Democratie)
	Rob Jetten (minister zonder portefeuille economische zaken) (D66), Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (Volkspartij voor Vrijheid en Democratie)

Bronnen

1. https://www.ftm.nl/artikelen/hack-chinese-zonnepanelen-bedreiging-str…
2. https://www.nctv.nl/actueel/nieuws/2022/07/19/grootste-zorgen-over-cy…
3. (Kamerstuk 26 643, nr. 830)

Vraag 1

Bent u bekend met dit artikel?1

Ja.
Vraag 2

Bent u bekend met het feit dat 43% van de Nederlanders zich zorgen maakt om de uitval van vitale processen, zoals onderzocht door de Nationaal Coordinator Terrorismebestrijding en Veiligheid (NCTV)? Hoe beoordeelt u dit? Welke mogelijkheden ziet u met deze zorgen aan de slag te gaan?2

Ja. Uit de Risico-en crisisbarometer voorjaar 20223, uitgevoerd in opdracht van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) blijkt dat Nederlanders zich zorgen maken om cyberdreigingen (47%), geopolitieke dreigingen (45%) en uitval van vitale processen(43%). Het kabinet onderkent deze zorgen. Zoals ook blijkt uit het Dreigingsbeeld Statelijke Actoren 20214 (DBSA) en het Cybersecurity Beeld Nederland 20225 (CSBN) zijn vitale processen doelwit van statelijke actoren en digitale aanvallen. Om die reden heeft het Kabinet in 2021 de versterkte aanpak ter bescherming van de vitale infrastructuur aangekondigd en werkt het kabinet aan het tegengaan van statelijke dreigingen. In de Kamerbrief Voortgang Aanpak Statelijke Dreigingen6 uit 2021 bent u hierover geïnformeerd.
Met de versterkte aanpak wordt ingezet op het verbeteren van de bescherming van de Nederlandse vitale infrastructuur door het vitaal beleid, het vitaalstelsel en de wetgeving tegen het licht te houden en waar nodig te herzien. Daarnaast wordt ook vanuit de Europese Unie sinds 2020 gewerkt aan de Critical Entities Resilience Directive (CER) en de Network- and Information Security 2 Directive (NIS2). Beide richtlijnen gaan Nederland helpen te komen tot een verbeterde bescherming van de vitale infrastructuur om via wetgeving te borgen dat vitale aanbieders passende maatregelen nemen tegen risico’s die de continuïteit, integriteit of vertrouwelijkheid van hun vitale proces kunnen schaden. Om die reden wordt de toekomstige implementatie van beide richtlijnen binnen de versterkte aanpak voorbereid en betrokken bij het verbeteren van de bescherming van de Nederlandse vitale infrastructuur.
Vraag 3

Hoe beoordeelt u het gevaar voor ons stroomnet zoals in het artikel omschreven?

Zoals ook blijkt uit het CSBN nemen de risico’s op digitale incidenten toe door de toegenomen digitalisering en de opkomst van het Internet of Things (IoT).7 Dit wordt versterkt doordat statelijke actoren zeer actief zijn in het digitale domein. Deze statelijke actoren gebruiken het digitale domein in toenemende mate bij het behartigen van hun geopolitieke belangen.
De beschreven casus maakt daarnaast duidelijk dat dit soort IoT apparatuur aan hogere veiligheidsnormen moet voldoen met het oog op de nationale veiligheid.
Het kabinet zet zich in om te voorkomen dat deze risico’s een bedreiging vormen voor de continuïteit, integriteit en vertrouwelijkheid van de Nederlandse vitale processen, waaronder het landelijke transport, distributie en productie van energie. Om die reden zijn vitale aanbieders op basis van wetgeving, waaronder de Wet bescherming netwerk- en informatiesystemen (Wbni), verplicht tot het treffen van passende maatregelen ter beveiliging van hun netwerk- en informatiesystemen (zorgplicht) en worden zij geacht om inzicht te hebben in de risico’s die hun dienstverlening kunnen raken.
In dat kader heeft de Minister van Economische Zaken en Klimaat ondernemingen in deze sector aangewezen als zogenaamde Aanbieders van Essentiele Diensten (AEDs), onder de Wet beveiliging netwerk- en informatiesystemen (Wbni). Het Agentschap Telecom (AT) houdt toezicht op deze aanbieders. Incidenten met aanzienlijke gevolgen voor de dienstverlening, moeten gemeld worden bij AT en het Nationaal Cyber Security Centrum (NCSC). Ook kunnen deze AEDs andere vrijwillige meldingen doen bij het AT en het NCSC. Het NCSC heeft als primaire taak om vitale aanbieders en Rijksoverheidsorganisaties in geval van dreigingen en incidenten met betrekking tot hun netwerk- en informatiesystemen te informeren, adviseren en indien nodig bijstand te verlenen.
Daarnaast wordt er in Europees verband nu gewerkt aan een Europese, gedelegeerde verordening over cybersecurity in de elektriciteitssector (Netcode on Cybersecurity). Dit is specifieke Europese regelgeving waarin bindende voorschriften voor cybersecurity worden opgelegd aan entiteiten die, wanneer zij mikpunt zouden worden van een cyberaanval, een risico vormen voor de stabiliteit van het Europese elektriciteitsnet. Op de naleving van deze verplichtingen zal toezicht worden gehouden, door onder andere het AT en de Autoriteit Consument en Markt. Onder deze Netcode kunnen ook entiteiten vallen die omvormers op grote schaal op afstand aansturen, ook wanneer zij zich niet op Europees grondgebied bevinden.
Vraag 4

Hoe beoordeelt u het feit dat China, of andere kwaadwillenden die het systeem kunnen (binnendringen en) beheersen, op deze manier digitale ontwrichting in gang zou kunnen zetten?

Zie antwoord vraag 3.
Vraag 5

Bent u het ermee eens dat dit een gevaar is voor onze nationale veiligheid?

De beschreven casus maakt duidelijk dat IoT apparatuur aan hoge veiligheidsnormen moet voldoen met het oog op onze nationale veiligheid. De antwoorden op vraag 3,4, 6 en 7 gaan in op de wijze waarop veiligheidsrisico’s worden gemitigeerd.
Vraag 6

Wat wordt gedaan de risico’s op korte termijn te beperken? In hoeverre zijn software- of hardwarematige aanpassingen een oplossing?

Internet of Things-apparaten, zoals de omvormers van zonnepanelen die beschreven zijn in het artikel, kunnen een risico vormen voor het elektriciteitsnet als deze slecht beveiligd en grootschalig aan te sturen zijn. Deze omvormers zijn nodig om het elektriciteitssysteem effectief te laten werken. Alle netbeheerders hebben op grond van Elektriciteitswet 1998 de verplichting de veiligheid en betrouwbaarheid van de netten en het transport van elektriciteit over de netten op de meest doelmatige wijze te waarborgen, echter kunnen netbeheerders apparaten achter de elektriciteitsmeter niet zonder meer weren van het elektriciteitsnet. Netbeheerders sluiten huizen, bedrijfspanden en andere onroerende zaken aan op hun elektriciteitsnet, maar kunnen niet zien of toezicht houden op het type apparaten dat binnen een huis of bedrijfspand op een stopcontact zit. Netbeheerders treffen om die reden voorbereidingen voor een eventuele, grootschalige inzet van IoT-apparaten in een cyberaanval, maar kunnen niet voorkomen dat apparaten met dergelijke veiligheidsrisico’s worden aangeschaft en in gebruikt worden genomen binnen een woning of bedrijfspand. Dit betekent dat er eveneens een belangrijke verantwoordelijkheid ligt bij leveranciers en fabrikanten van apparatuur om risico’s voor het elektriciteitsnet te verkleinen (hieronder worden de wettelijke trajecten die gaan gelden voor fabrikanten en leveranciers verder toegelicht).
Om risico’s van deze apparaten te mitigeren, wordt er ingezet op preventie, awareness en aanvullend wetgeving die producten softwarematig maar ook hardwarematig weerbaarder maakt tegen digitale aanvallen en mogelijk misbruik.
In dat kader wordt er op dit moment gewerkt aan verschillende trajecten van Europese wet- en regelgevingen om veiligheidsrisico’s te mitigeren. Onder de Radio Equipement Directive (RED) zijn cybersecurityeisen als markttoegangseisen voor draadloos verbonden apparaten aangenomen. Omvormers vallen ook onder de scope van de RED. 1 augustus 2024 moeten draadloos verbonden apparaten die de Europese markt op komen voldoen aan deze cybersecurityeisen. Apparaten die niet aan de eisen voldoen kunnen vanaf dat moment door AT van de markt worden geweerd en gehaald. In voorbereiding op het van kracht worden van de cybersecurityeisen onder de RED heeft AT naar aanleiding van deze casus een onderzoek ingesteld naar omvormers. Het AT zal het gesprek aan gaan met de desbetreffende fabrikanten hoe verbeteringen van de cybersecurity gerealiseerd kunnen worden.
Daarnaast wordt in het najaar een Europees wetsvoorstel van de Europese Commissie verwacht voor horizontale regulering voor de cybersecurity van ICT-producten en diensten, de Cyber Resilience Act. Nederland zet bij de Cyber Resilience Act in op een zorgplicht voor fabrikanten en leveranciers van alle ICT-producten en diensten in de hele productlevenscyclus. Hiervoor is een non-paper opgesteld en aangeboden aan uw Kamer op 14 december 2021.8 De Markttoezichtverordening (EU) 2019/1020 is van toepassing op de RED (EU) 2014/53. Deze verordening bevat regels en procedures voor marktdeelnemers betreffende producten die onder bepaalde harmonisatiewetgeving van de Unie vallen. Relevant is dat producten die binnen het toepassingsgebied van de RED vallen alleen in de handel mogen worden gebracht als er in de Unie een marktdeelnemer is die onder andere (technische) informatie kan verstrekken aan markttoezichtautoriteiten over het product en medewerking kan verlenen aan corrigerende maatregelen.
Als gevolg van de herziening van de NIS2 zullen meer bedrijven dan op nu in o.a. de energiesector in de toekomst moeten voldoen aan wettelijke verplichtingen voor cybersecurity. Deze verplichtingen bestaan uit een meldplicht voor incidenten en een zorgplicht om risico’s voor de continuïteit van de dienstverlening te beperken. Hierbij dient ook rekening gehouden te worden met risico’s die afkomstig zijn van leveranciers. Daarnaast zal de eerder genoemde Netcode on Cybersecurity tevens zorgen voor hogere cybersecurity eisen aan o.a. grootschalig aan te sturen omvormers.
Ten slotte wordt, om de veiligheid van informatiesystemen verder te verbeteren, aan de hand van de leidraad Coordinated Vulnerabilty Disclore (CVD) van het NCSC9 het melden van kwetsbaarheden in software gestimuleerd. Eigenaren van ICT-systemen kunnen op deze manier kwetsbaarheden verhelpen vóórdat deze actief misbruikt kunnen worden. Indien het gaat om een complexe kwetsbaarheid die meerdere partijen raakt of als de eigenaar of leverancier niet of onvoldoende reageert, kan het NCSC optreden als bemiddelaar.
Vraag 7

Wat wordt gedaan deze veiligheidsrisico’s in de toekomst te voorkomen?

Zie antwoord vraag 6.
Vraag 8

Wanneer ontvangt de Tweede Kamer het toegezegde onderzoek/scan naar afhankelijkheden van vitale Nederlandse processen van landen met een cyberoffensief?3

Op 5 april 2022 is de motie11 van de leden Rajkowski en Van Weerdenburg aangenomen die het kabinet verzoekt een scan uit te voeren op de aanwezigheid van apparatuur of programmatuur van organisaties uit landen met een tegen Nederland gerichte offensieve cyberagenda in de vitale infrastructuur. Op dit moment wordt door het Ministerie van Justitie en Veiligheid, in samenwerking met de betrokken departementen, verkend op welke manier opvolging kan worden gegeven aan de motie. Uw Kamer wordt hierover zo spoedig mogelijk geïnformeerd.
Vraag 9

Bent u het ermee eens dat het zeer onwenselijk is dat Nederland voor haar vitale processen, zoals het stroomnet, deze mate van afhankelijkheid kent zoals in het artikel is omschreven? Zo nee, waarom niet? Zo ja, welke concrete stappen gaat u hiertoe nemen? Welk tijdspad heeft u hiervoor ogen?

Het kabinet is zich bewust van de risico’s met betrekking tot strategische afhankelijkheden en verstoringen in vitale processen en deelt de zorgen ten aanzien van elke ongewenste inmenging van statelijke actoren. Zoals ook in het DBSA, kunnen vitale processen doelwit zijn van voorbereidingshandelingen voor of daadwerkelijke (digitale) verstoring of sabotage. Zoals ook gesteld in het DBSA beschreven, is een toenemende afhankelijkheid van buitenlandse technologie een gegeven, aangezien geen land beschikt over alle kennis en productiemiddelen om technologisch onafhankelijk te opereren.
De inzet van het kabinet is daarom om risico’s op ongewenste strategische afhankelijkheden te mitigeren en tegelijkertijd het open investeringsklimaat van Nederland te beschermen. Daarnaast wordt, zoals ook gesteld in het antwoord op vraag 2, gewerkt aan een versterkte aanpak voor de bescherming van de vitale infrastructuur. Met een geactualiseerd instrumentarium worden onder andere technologische ontwikkelingen en geopolitieke veranderingen integraal meegewogen in het beoordelen van risico’s en vervolgens bij het nemen van gepaste en proportionele weerbaarheidsverhogende maatregelen. Hierbij worden ook de (intersectorale) afhankelijkheden van vitale processen, specifieke grondstoffen of andere randvoorwaarden meegenomen.
Vraag 10

Werkt u ook aan het voorkomen van afhankelijkheden in onze energievoorziening die ontstaan door de optelsom van veel kleine en vaak decentrale afhankelijkheden, naast het al plaatsvinden van een versterking van het toezicht op de aanbestedingen van Tennet op en aan het hoofdspanningnet?

Ik ben mij bewust van de risico’s die gepaard gaan met deze twee ontwikkelingen. De specifieke risico’s voor de energievoorziening van veel kleine en decentrale eenheden manifesteren zich met name, wanneer deze gezamenlijk en gecoördineerd in worden gezet in het kader van een cyberaanval. Ik verwijs u terug naar de antwoorden op vraag 3,4, 6 en 7 voor een uiteenzetting van de instrumenten en maatregelen gericht op het voorkomen van dergelijke risico’s.
Zoals eerder beschreven hebben netbeheerders een algemene taak om hun netten te beschermen, op grond van Europese regels en zoals vereist in de Elektriciteitsnet 1998 en de Gaswet. Er is al een uitgebreid Europees pakket aan wet- en regelgeving dat invult hoe netbeheerders in algemene zin veiligheidsrisico’s moeten voorkomen en hoe zij de gevolgen van incidenten moeten mitigeren of wegnemen.
Vraag 11

Ziet u ook risico’s voor individuele huishoudens en bedrijven door deze afhankelijkheid ontstaan? Hoe mitigeert u deze risico’s?

Digitale apparaten van individuele huishoudens en bedrijven kunnen in theorie gehackt worden, zeker wanneer deze aan het internet gekoppeld zijn. Dat geldt dus ook voor apparaten waarmee elektriciteit wordt opgewekt (of opgeslagen). De beste manier om zulke risico’s te mitigeren is via cyberveiligheidseisen die aan apparaten worden gesteld. Afronding en implementatie van de eerder genoemde Radio Equipment Directive (RED) en Cyber Resilience Act (CRA) zullen ervoor zorgen dat ook de digitale veiligheid van IOT apparaten van individuele huishoudens en bedrijven verhoogd wordt. De Netcode on Cybersecurity zal daarnaast voorzien in aanvullende cybersecurity eisen voor de elektriciteitssector.
Vraag 12

Zijn er andere energiebronnen waarvoor Nederland afhankelijk is van de Chinese techniek waar u soortgelijke risico’s ziet? Hoe gaat u deze risico’s mitigeren?

Het Rijk heeft niet inzichtelijk in hoeverre welke energiebronnen precies allemaal afhankelijk zijn van Chinese techniek en daarbij is er geen overzicht over alle lopende en aankomende aanbestedingen bij vitale aanbieders.
Wel biedt het Rijk ondersteuning en begeleiding op aanvraag aan vitale aanbieders wanneer zij te maken hebben met een (mogelijk) risicovolle aanbesteding. Hiervoor is instrumentarium ontwikkeld dat organisaties handvatten biedt bij het maken van een risicoanalyse en het nemen van mitigerende maatregelen. Het instrumentarium is ter beschikking gesteld binnen de rijksoverheid en medeoverheden, alsmede aan organisaties die onderdeel zijn van de vitale processen. Behoeftestellende partijen zijn zelf verantwoordelijk voor de toepassing van dit instrumentarium en het meewegen van nationale veiligheidsrisico’s. Het Rijk kan daarbij ondersteuning bieden.
Met betrekking tot het digitaal veiliger maken van Internet of Things apparatuur, is eerder benoemd welke wetgeving in Europees verband van toepassing is.
Ook bij andere energiebronnen dan elektriciteit maakt internationale handel ons in zekere mate afhankelijk van andere landen. In EU-verband zetten we in op het vergroten van onze veerkracht en op strategische autonomie, onder meer door het diversifiëren en versterken van wereldwijde toeleveringsketens van kritieke grondstoffen12.
De handvatten voor bedrijven zijn onder anderen de Elektriciteitswet 1998 en Gaswet voor netbeheerders, waarin zij een wettelijke taak hebben hun netten te beschermen tegen invloeden van buitenaf. Er is in 2020 door het kabinet, in het licht van de invulling van de eigen vermogensbehoefte van TenneT Duitsland, een nationale veiligheidsanalyse uitgevoerd. Dit heeft geresulteerd in een aantal aanbevelingen tot wijziging van de Elektriciteitswet 1998. De Kamer is hierover geïnformeerd op 19 mei 202113.
Daarnaast is recent de Wet Veiligheidstoets Investeringen, Fusies en Overnames (Vifo) aangenomen. Deze wet voorziet in instrumenten om risico’s voor de nationale veiligheid als gevolg van investeringen, fusies en overnames te mitigeren. Met deze wet kunnen zeggenschapswijzigingen in bepaalde bedrijven ex-ante worden getoetst, waarna eventueel mitigerende maatregelen kunnen worden opgelegd en in het uiterste geval transacties kunnen worden geblokkeerd. De Wet Vifo is van toepassing op vitale aanbieders die buiten bestaande sectorale investeringstoetsen vallen, zoals Elektriciteitswet, de Gaswet en de Telecommunicatiewet, alsmede op beheerders van bedrijfscampussen en ondernemingen actief op het gebied van sensitieve technologie. Gezien de ontwikkelingen in de energiesector zijn er een aantal energie-gerelateerde processen meegenomen in de deze wet. Dit zijn aanbieders van de volgende diensten: warmtetransport, gasopslag, kernenergie en winbare energie. De Wet Vifo treedt naar verwachting begin 2023 in werking zodra de benodigde lagere regelgeving bij de Wet Vifo gereed is.
Tot slot zijn er in de nieuwe Energiewet die deze zomer ter advisering aan de Raad van State is aangeboden, extra mogelijkheden gecreëerd zoals het kunnen toepassen van de Aanbestedingswet op Defensie- en Veiligheidsgebied (ADV).
De ADV heeft voorrang op de Aanbestedingswet (Aw) 2012 voor opdrachten die onder het toepassingsbereik van de ADV vallen. De ADV biedt meer mogelijkheden voor het nemen van risico mitigerende maatregelen dan de Aw 2012 in geval van risico’s voor de nationale veiligheid en de bescherming van vitale processen in het bijzonder.
Vraag 13

Lopen er op dit moment aanbestedingen, of worden er binnenkort aanbestedingen gestart, binnen de vitale sector die de afhankelijkheid van Nederland van landen met een offensieve cyberstrategie op onwenselijke wijze zal vergroten?

Zie antwoord vraag 12.
Vraag 14

Bent u het ermee eens dat bij aanbestedingen van vitale Nederlandse processen voorkomen moet worden dat landen met een offensief cyberstrategie deze mate van invloed krijgen vanwege de enorme veiligheidsrisico’s en de kans op mogelijke digitale ontwrichting? Zo ja, welke mogelijkheden ziet u deze afhankelijkheid van deze landen te verminderen om ons land veiliger te maken? Zo nee, waarom niet?

Eind 2018 is een verscherpt inkoop- en aanbestedingsbeleid geïmplementeerd voor de rijksoverheid. Voor aanbestedingen geldt dat nationale veiligheidsoverwegingen worden meegewogen bij de inkoop en aanbesteding van producten en diensten. Bij de aanschaf van gevoelige apparatuur zal volgens dit beleid bij aanschaf en implementatie rekening gehouden worden met zowel eventuele risico’s in relatie tot de leverancier, als met het concrete gebruik van de systemen, bijvoorbeeld waar het gaat om de toegang tot systemen door derden. Zoals wordt genoemd in antwoord op vraag 12 en 13 is ter ondersteuning van dit beleid een instrumentarium ontwikkeld dat organisaties handvatten biedt bij het maken van een risicoanalyse en het nemen van mitigerende maatregelen.

25 juli 2022 - 26 september 2022

63 dagen

De brief ‘Aankondiging van maatregelen ter voorkoming identiteitsfraude’.
	Queeny Rajkowski (Volkspartij voor Vrijheid en Democratie), Ingrid Michon (Volkspartij voor Vrijheid en Democratie)
	Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (Volkspartij voor Vrijheid en Democratie), Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66)

Bronnen

1. Kamerstuk 25 764, nr. 137

Vraag 1

Hoeveel gevallen zijn bekend waarbij onrechtmatige identiteitsbewijzen zijn uitgegeven?1

In mijn brief van 8 juli «Aankondiging van maatregelen ter voorkoming van identiteitsfraude» geef ik aan dat er tientallen gevallen van onrechtmatig verkregen identiteitsbewijzen zijn onderkend en het vermoeden is dat dit aantal waarschijnlijk nog zal oplopen.3
Vraag 2

Van hoeveel ambtenaren is bekend c.q. bestaat het vermoeden dat ze onrechtmatige identiteitsbewijzen hebben uitgegeven? Loopt er een strafrechtelijk onderzoek naar al deze ambtenaren?

Op dit moment lopen er strafrechtelijke onderzoeken naar het valselijk opmaken en uitgeven van paspoorten. Over deze onderzoeken kan ik geen nadere informatie verstrekken.
Vraag 3

Is bekend wat de beweegredenen zijn van ambtenaren die onrechtmatige identiteitsbewijzen hebben uitgegeven? Zo ja, wat zijn de beweegredenen?

Het Openbaar Ministerie geeft aan dat een mogelijke beweegreden geldbejag is. Gebleken is dat criminelen bereid zijn te betalen voor een valselijk opgemaakt paspoort op naam van een ander persoon. Hiermee kunnen zij reizen en transacties uitvoeren terwijl zij onder de radar blijven.
Vraag 4

Welk strafbaar feit wordt ten laste gelegd aan de ambtenaren die onrechtmatige identiteitsbewijzen hebben uitgegeven? Is dit (medeplichtigheid aan) deelname aan een criminele organisatie? Zo nee, waarom niet?

Aan welk(e) feit(en) een ambtenaar die onrechtmatige identiteitsbewijzen uitgeeft zich schuldig heeft gemaakt, kan van geval tot geval verschillen en dient uit nader strafrechtelijk onderzoek te blijken. Zo is voorstelbaar dat een ambtenaar «het valselijk opmaken van een reisdocument of identiteitsbewijs» (artikel 231 Wetboek van Strafrecht) en/of «ambtelijke corruptie» (artikel 363, Wetboek van Strafrecht) ten laste wordt gelegd.
Vraag 5

In welke gemeenten zijn deze onrechtmatige identiteitsbewijzen uitgegeven?

Deze vorm van corruptie beperkt zich in beginsel niet tot een enkele gemeente. Daar waar kwetsbaarheden bestaan in de aanvraag- en afgifteprocedures van paspoorten of zorgvuldigheidsprotocollen aan de balie niet goed worden gevolgd, kan hiervan misbruik worden gemaakt door kwaadwillenden.
Vraag 6

In hoeverre is bij de aanvraag en uitgifte van paspoorten, waarbij is afgeweken van de standaardprocedure, sprake van crimineel handelen, onwenselijk handelen of dienstverlenend handelen? Hoe wordt dit bepaald?

In het merendeel van de gevallen waarbij bij de afgifte van paspoorten is afgeweken van de standaardprocedures, gaat het om fouten/vergissingen/nalatigheden van het baliepersoneel. De achtergrond is soms onoplettendheid, snel moeten/willen zijn, maar kan ook gelegen zijn in het de burger snel en goed ten dienste willen zijn.
Het feit dat voorgeschreven procedures niet altijd juist worden gevolgd binnen een gemeente, maakt het voor corrupte ambtenaren mogelijk gebruik te maken van kwetsbaarheden in deze procedures zonder dat dit direct opvalt. Of sprake is van crimineel handelen door een gemeenteambtenaar zal moeten blijken uit alle feiten en omstandigheden van het strafrechtelijk onderzoek.
In de brief van 8 juli, heb ik toegezegd dat ik de RvIG nader onderzoek naar de procedure-afwijkingen laat doen. Ik verwacht u einde dit jaar, in de brief over de voortgang van de maatregelen nader te kunnen informeren over de uitkomsten van dit onderzoek.
Vraag 7

Is bekend wat de echte identiteit is van diegene die een onrechtmatig identiteitsbewijs hebben verkregen? Zo ja, is ook bekend of deze personen het land zijn ontvlucht door middel van de uitgegeven onrechtmatige identiteitsbewijzen? Gaat het hier om criminelen die actief zijn binnen de georganiseerde misdaad? Zo nee, kunt u hier een toelichting op geven?

Het Openbaar Ministerie geeft aan dat in een aantal gevallen dergelijke valselijk opgemaakte paspoorten in het bezit van zware criminelen zijn aangetroffen terwijl zij – soms in het buitenland – werden aangehouden door de opsporingsautoriteiten. In die gevallen stond het paspoort op naam van een derde (al dan niet een katvanger), maar droeg wel de pasfoto van de crimineel zelf.
Vraag 8

Zijn de Nederlanders wier foto’s zijn gebruikt geïnformeerd over de gepleegde activiteiten? Zo ja, op welke wijze? Zo nee, waarom niet? Welke stappen zijn verder gezet om getroffen Nederlanders te ondersteunen?

Het Openbaar Ministerie geeft aan dat het niet op voorhand duidelijk is of er sprake is van katvangers of van burgers die onwetend zijn ten aanzien van het feit dat hun identiteit is misbruikt. Veelal vormt dit niet de primaire focus van het strafrechtelijk onderzoek dat zich eerder richt op de corrupte ambtenaar of de (criminele) ontvanger van het paspoort.
Vraag 9

Is het kabinet het ermee eens dat Nederlanders wier foto’s zijn gebruikt, bijgestaan moeten worden bij eventuele fraudegevallen? Zo ja, hoe wordt dit vormgegeven? Zo nee, waarom niet?

Als mensen vermoeden dat iemand anders gebruik maakt van een identiteitsbewijs op hun naam dan kunnen ze bij het Centraal Meldpunt Identiteitsfraude terecht voor advies en hulp. Er zijn het afgelopen half jaar geen meldingen gemaakt die wijzen op gebruik van identiteitsbewijzen door criminelen waar het hier over gaat.
Vraag 10

Is het kabinet het ermee eens dat ambtenaren die zich hier schuldig aan hebben gemaakt onder geen enkele omstandigheid aan de slag mogen gaan bij andere gemeentes? Zo ja, welke mogelijkheden ziet u hiervoor om dit te voorkomen? Kunt u ook ingaan op het beroepsverbod? Zo nee, waarom niet?

Gemeenten hebben zelfstandige bevoegdheden op het gebied van personeelsbeleid. Ik wil gemeenten ondersteunen om hun taken goed uit te kunnen oefenen. In de brief van 8 juli heb ik al maatregelen aanbevolen om aandacht aan de integriteit van personeel te geven. Via voorlichting zal ik de gemeenten wijzen op het belang voor hun baliemedewerkers een Verklaring Omtrent het Gedrag (VOG) aan te vragen en referenties bij vorige werkgevers op te vragen. Verder wil ik, zoals in de brief van 8 juli aangekondigd, onderzoeken of en zo ja hoe het invoeren van verplichte certificering en een bijbehorend beroepsregister mogelijk is. Ook dat kan gemeenten helpen in de selectie van hun personeel.
Vraag 11

Is het kabinet het ermee eens dat de «korte termijn» maatregelen die worden voorgesteld in de brief, zoals het vierogen principe, per direct moeten worden ingevoerd? Zo ja, wanneer zijn de werkprocessen aangepast? Zo nee, waarom niet?

Het vierogenprincipe houdt in dat in het aanvraag- en uitgifteproces per fase andere medewerkers worden ingezet, bijvoorbeeld voor het nemen van een besluit tot het verstrekken van een paspoort, en voor het uitreiken van het paspoort. RvIG zal, zoals in de brief is aangegeven, extra inzetten op voorlichting gericht op de adequate naleving van werkvoorschriften voor het proces van aanvraag en uitgifte van documenten en personeelsbeleid. Onderzocht wordt hoe functiescheiding, ook technisch, het beste kan worden ingezet. Niet in alle gevallen (kleine gemeenten bijvoorbeeld) is een strikte functiescheiding haalbaar.

8 juli 2022 - 12 september 2022

66 dagen

Het bericht over ‘Commercieel softwarebedrijf schendt jarenlang de privacy van tienduizenden patiënten’
	Judith Tielen (Volkspartij voor Vrijheid en Democratie), Queeny Rajkowski (Volkspartij voor Vrijheid en Democratie)
	Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66), Kuipers

Bronnen

1. Follow the Money, 25 juni 2022, «Commercieel softwarebedrijf schendt …

Vraag 1

Bent u bekend het met artikel «Commercieel softwarebedrijf schendt jarenlang de privacy van tienduizenden patiënten en het medisch beroepsgeheim van tientallen huisartsen» van 25 juni 2022 door Follow the Money?1

Ja.
Vraag 2

Is de casus uit dit artikel bekend bij het Ministerie van Volksgezondheid, Welzijn en Sport? Is de casus ook bekend bij de Autoriteit Persoonsgegevens (AP)? Zo ja, sinds wanneer en op welke wijze hebben uw ministerie en de AP opvolging gegeven jegens de betrokken organisaties en huisartspraktijken?

De casus is bekend bij het Ministerie van Volksgezondheid, Welzijn en Sport (VWS), de melder heeft contact opgenomen met het Ministerie. De Beveiligingsambtenaar (BVA) van VWS heeft o.a. samen met de melder gezocht naar het geschikte loket om deze melding te doen, bv. bij een officier van justitie of het huis voor de klokkenluiders. Daarnaast is de informatie die het Ministerie van VWS ontvangen heeft, gedeeld met relevante externe partners, waaronder de Nederlandse Vereniging van Huisartsen.
De melder heeft aan de BVA van het Ministerie van VWS aangegeven zelf de melding bij de AP te hebben gedaan. Over individuele meldingen en zaken doet de AP in het kader van eventueel onderzoek in principe geen uitspraken. De AP beoordeelt of er op een juiste wijze invulling is gegeven aan de meldplicht van art. 33 en art. 34 van de Algemene verordening gegevensbescherming (AVG).
Vraag 3

Staat deze casus op zichzelf of zijn er andere vergelijkbare situaties waarbij patiëntdossiers voor of na onderzoek ongewenst en onbeveiligd inzichtelijk zijn voor (commerciële) organisaties die daar niets mee van doen hebben?

Over individuele meldingen en zaken doet de AP in het kader van eventueel onderzoek in principe geen uitspraken. Van belang om aan te geven is dat organisaties, zoals ziekenhuizen, zelf een verantwoordingsplicht hebben om aan te tonen dat ze aan de AVG voldoen. Dit geldt ook wanneer (commerciële) organisaties (een deel van) de gegevens verwerken.
Dat deze zaak niet op zichzelf staat, kan worden opgemaakt uit de Datalekkenrapportage 2021 van de AP. De rapportage geeft aan dat van de 24.866 datalekmeldingen in 2021, 37% afkomstig was uit de sector gezondheid en welzijn.
Bij iedere melding gaat de AP na of betrokkenen zijn geïnformeerd over het datalek en of er voldoende beveiligingsmaatregelen zijn genomen om het datalek te beëindigen en nieuwe datalekken te voorkomen. Het toezicht op de meldplicht datalekken is risicogestuurd, wat betekent dat de intensiteit van het toezicht toeneemt naarmate het datalek grotere risico’s voor de betrokkenen met zich meebrengt. Ook wordt de AP periodiek geïnformeerd door brancheorganisaties NVZ (Nederlandse Vereniging van Ziekenhuizen) en NFU (Nederlandse Federatie van Universitair Medische Centra) over de implementatie, verbetering en naleving van gegevensbescherming en informatiebeveiliging normen van aangesloten ziekenhuizen. Bovendien beoogt de AP via onder andere de jaarlijkse datalekkenrapportage, maar ook de privacyverhalen op de AP website gebaseerd op echte meldingen, het bewustzijn rond de beveiliging van persoonsgegevens te vergroten. Tot slot heeft de Inspectie Gezondheid en Jeugd (IGJ) de bevoegdheid om in het geval van onvoldoende kwaliteit van zorgverlening of wanneer de kans op vermijdbare schade te groot is, door zwakke plekken in het zorgproces, in te grijpen.
Vraag 4

Klopt het dat de in het artikel genoemde activiteiten, zoals het delen en opslaan van dossiers, niet stroken met de huidige wet- en regelgeving en daarmee illegaal zijn? Zo ja, welke vervolgstappen worden er door het Ministerie van Volksgezondheid, Welzijn en Sport en de AP genomen om de data en medische gegevens van servers te halen en ervoor te zorgen dat ongeautoriseerden niet meer bij deze hoog gevoelige data kunnen? Zo nee, welke waarborgen om de privacy van patiënten ontbreken dan in de wet- en regelgeving? Op welke wijze bent u van plan deze te repareren?

In internationale en nationale wetgeving staan regels die betrekking hebben op het beschermen van (medische) gegevens, zoals ook het opslaan en delen van medische gegevens. Zo volgt uit de AVG dat er een grondslag moet zijn voor het verwerken van persoonsgegevens en een uitzonderingsgrond op het verbod om bijzondere persoonsgegevens, zoals gegevens over gezondheid, te verwerken. Ook bepaalt de AVG dat er passende technische en organisatorische waarborgen moeten worden getroffen, zodat de gegevens zijn beschermd tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. Dit laatste is in nationale wetgeving nader ingevuld: zorgaanbieders moeten voldoen aan de informatiebeveiligingsnormen NEN 7510, NEN 7512 en NEN 7513. De AP houdt toezicht op de naleving van de AVG.
Daarnaast geldt het medisch beroepsgeheim, dat met zich mee brengt dat een hulpverlener in beginsel moet zwijgen over alles dat aan hem door de patiënt wordt toevertrouwd. Voor degenen die geen medisch beroepsgeheim hebben, maar wel beroepsmatig op de hoogte raken van behandelgegevens van de patiënt, zoal ICT-ers, geldt overigens een afgeleid medisch beroepsgeheim. Dat betekent dat voor hen dezelfde regels gelden als voor hulpverleners.
De AP heeft mij laten weten eerst te moeten vaststellen wat er in deze zaak is gebeurd voor ze kan bepalen welke vervolgstappen het meest geschikt zijn. Om deze reden heeft de AP vragen gesteld aan Medworq.
Op basis van de beschikbare informatie gaan wij ervan uit dat Medworq de gegevens enkel feitelijk beheerde voor de zorgaanbieders en niet zelf verwerkingsverantwoordelijk was voor de gegevens. In die situatie blijven de zorgaanbieders verantwoordelijk voor verwerking van de persoonsgegevens en dient in de verwerkingsovereenkomst met de verwerker (in casu de software-leverancier Medworq) afgesproken te worden wat de verwerker wel of niet met de gegevens mag doen.
Vraag 5

Op welke wijze bent u van plan om te voorkomen dat dergelijke praktijken plaatsvinden?

De Staatssecretaris van BZK en ik betreuren dat dit heeft plaatsgevonden en zetten ons in om bijzondere persoonsgegevens goed te (blijven) beschermen. Het is primair aan zorgaanbieders zelf om te zorgen dat voldaan wordt aan de wet- en regelgeving en daar goede voorzieningen voor te treffen. Daar is goede controle op de naleving van de regels noodzakelijk.
Verder zetten wij ons op verschillende manieren in om bewustwording en verbetering van de naleving. Zo ondersteunen wij zorgaanbieders onder meer door de informatie die te vinden is op de AVG-helpdesk (www.avghelpdeskzorg.nl). Daarnaast helpen wij zorgaanbiedersom de informatiebeveiliging en digitale weerbaarheid te verbeteren. Gezamenlijk met de zorgkoepels werken wij aan een Actieplan Informatieveilig gedrag met als doel om het bewustzijn van informatiebeveiliging in de zorg te verhogen.
Bij ICT-incidenten kunnen aangesloten zorginstellingen rekenen op hulp van Z-CERT. Deze organisatie helpt zorginstellingen bij het bestrijden van dit soort incidenten. Verder wordt met het project «toekomstbestendig maken UZI» ingezet of verbetering van de manier waarop zorgverleners en zorgaanbieders zich identificeren, authentiseren en autoriseren voor het uitwisselen van medische gegevens. Daarnaast wordt onderzocht of de toezicht- en handhavingsbevoegdheden van de IGJ van de eerder genoemde informatiebeveiligingsnormen verduidelijking behoeven.
Vraag 6

Bent u bereid om bij de behandeling en implementatie van het wetsvoorstel Gegevensuitwisseling in de zorg (Wegiz) nogmaals nadrukkelijk aandacht te besteden aan alle benodigde waarborgen, waarschuwingen en sancties ter voorkoming en vermindering van privacyschendingen van patiëntgegevens?

Het Wetsvoorstel elektronische gegevensuitwisseling in de zorg (Wegiz) gaat uit van en past binnen deze internationale en nationale wetgeving inzake gegevensbescherming. Dat betekent dat bij het uitwisselen van gegevens altijd voldaan moet worden aan de eisen die uit die bestaande kaders volgen. Gegevens worden dus – ook na inwerkingtreding van dit wetsvoorstel – niet uitgewisseld als er geen verwerkingsgrondslag als bedoeld in de AVG is of als er geen doorbrekingsgrond voor het medisch beroepsgeheim is.
En bij de gegevensuitwisseling dient altijd voldaan te worden aan de waarborgen die gelden op grond van die kaders. Die regelgeving moet natuurlijk goed worden toegepast. Daarom zullen wij bij de ontwikkeling van NEN-normen, waar de Wegiz naar verwijst, benadrukken dat de norm moet verzekeren dat cliënten hun rechten onder de AVG kunnen uitoefenen en informatietechnologieproducten- en diensten aan de AVG voldoen.

6 juli 2022 - 1 november 2022

118 dagen

Het bericht ‘Overheid schendt eigen regels door cookies van derden toe te laten op websites’.
	Queeny Rajkowski (Volkspartij voor Vrijheid en Democratie)
	Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66)

Bronnen

1. Trouw, 4 juli 2022, Overheid schendt eigen regels door cookies van de…

Vraag 1

Bent u bekend met het bericht «Overheid schendt eigen regels door cookies van derden toe te laten op websites»1?

Ja.
Vraag 2

Klopt het bericht dat cookies van derden op talloze websites van provincies, gemeenten en aan de overheid gelieerde organisaties te vinden zijn?

Voor een overheidswebsite gelden dezelfde vereisten voor het plaatsen van cookies als voor andere websites. De voorwaarden voor het gebruik van trackingtechnologieën, waaronder cookies, zijn opgenomen in de Europese ePrivacy richtlijn.2 In Nederland is de ePrivacy richtlijn geïmplementeerd in artikel 11.7a van de Telecommunicatiewet. De Telecommunicatiewet staat daarom ook wel bekend als de «Cookiewet». Bij het gebruik van cookies die ook persoonsgegevens verzamelen, zoals bij de tracking cookies het geval is, is ook de Algemene verordening gegevensbescherming van toepassing.
De belangrijkste vereisten voor het plaatsen van cookies zijn dat de bezoeker vrij toestemming heeft gegeven voor de gegevensverwerking en dat de bezoeker tijdig en adequaat is geïnformeerd. Technisch noodzakelijke, functionele en niet-privacy gevoelige analytische cookies hebben echter nauwelijks tot geen gevolgen voor de privacy van de bezoekers van een website. Daarom hoeft bij deze cookies geen toestemming gevraagd te worden. De Telecommunicatiewet maakt daarbij geen onderscheid tussen cookies van de aanbieder van de website en cookies afkomstig van derden.
Op de website «Mag een website ongevraagd cookies plaatsen? | Rijksoverheid.nl» wordt nadere toelichting gegeven over het gebruik van cookies. Hier wordt uiteengezet dat websites toestemming moeten vragen voor plaatsing van cookies. Daarbij geldt een uitzondering voor cookies die geen of weinig inbreuk op de privacy maken, zoals bijvoorbeeld analytische cookies of functionele cookies die nodig zijn om een dienst of webshop te laten functioneren. Voor bijvoorbeeld tracking cookies, die individueel surfgedrag bijhouden en profielen opstellen om bijvoorbeeld gerichte advertenties mogelijk te maken, is wel toestemming nodig voor het plaatsen van cookies. Dergelijke tracking cookies zijn meestal van derde partijen.
Ook op de website van zowel de Autoriteit Consument en Markt (ACM) 3 als de Autoriteit Persoonsgegevens (AP)4 wordt toelichting gegeven. Buiten deze wetgeving zijn er geen specifieke overheidsbrede en/of rijksbrede kaders of richtlijnen voor cookies op overheidswebsites. Het is de verantwoordelijkheid van iedere overheidsorganisatie die een website maakt om in lijn met de wetgeving te handelen.
Omdat ik het belangrijk vind dat de overheidswebsites voldoen aan geldende wet- en regelgeving, zal ik medeoverheden en rijksoverheidsorganisaties per brief wijzen op het belang hieraan te voldoen, en te verzoeken dit voor hun websites na te gaan. In overleg met de medeoverheden zal ik verder met hen verkennen of het wenselijk is een handreiking te ontwikkelen over hoe deze regelgeving ook voor nieuwe websites goed is te implementeren.
Vraag 3

Zo ja, waarom gebruiken provincies, gemeenten en aan de overheid gelieerde organisaties deze cookies van derden?

Zie antwoord vraag 2.
Vraag 4

Aan welke cookie-eisen, met betrekking tot cookies van derden, moet een overheidswebsite voldoen?

Zie antwoord vraag 2.
Vraag 5

Bent u het ermee eens dat cookies van derden niet wenselijk zijn op overheids- en op aan overheid gelieerde websites? Zo ja, welke stappen gaat u ondernemen om deze cookies te weren van overheids- en aan overheid gelieerde websites? Zo nee, waarom niet?

Ik vind het belangrijk dat burgers veilig gebruik kunnen maken van de websites van de overheid, en dat hun privacy daarbij wordt verzekerd. Het plaatsen van trackingcookies door derden staat daarmee op gespannen voet. De overheid moet natuurlijk het goede voorbeeld geven. Het is daarom vanzelfsprekend en noodzakelijk dat overheidswebsites in ieder geval voldoen aan de huidige wetgeving. Daarom zal ik zoals bij het vorige antwoord aangegeven met de medeoverheden een handreiking opstellen voor het goed implementeren van de relevante wetgeving bij overheidswebsites. In het overleg over de handreiking zal ik in overleg met de overheden ook het gesprek aangaan over de wenselijkheid van het gebruik van (tracking) cookies door de overheid.
Vraag 6

In hoeverre acht u het mogelijk om, zoals de onderzoekers voorstellen, de inhoud die overheden nodig hebben op hun websites niet te halen van commerciële sites en media, maar van eigen publieke servers?

Zie antwoord vraag 5.

9 juni 2022 - 5 september 2022

88 dagen

Het bericht ‘Directie IT-bedrijf Centric stapt op na conflict met eigenaar Sanderink’.
	Queeny Rajkowski (Volkspartij voor Vrijheid en Democratie)
	Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66)

Bronnen

1. https://nos.nl/artikel/2431849-directie-it-bedrijf-centric-stapt-op-n…

Vraag 1

Bent u bekend met het bericht «Directie IT-bedrijf Centric stapt op na conflict met eigenaar Sanderink»1?

Ja.
Vraag 2

Kan het opstappen van de complete uitvoerende directie van het IT-bedrijf Centric, de onrust en het jarenlange interne conflict gevolgen hebben voor de continuïteit van de dienstverlening aan de rijksoverheid? Zo ja, welke gevolgen kan dit hebben voor de dienstverlening? Wilt u in uw beantwoording ook gemeenten meenemen, aangezien Centric een grote leverancier is voor gemeenten? Zo nee, waarom niet?

Het volume van opdrachten van de rijksoverheid bij Centric is beperkt. Daar waar we contractuele afspraken met Centric hebben, gaan wij ervan uit dat zij zich daaraan houden. Mocht dat niet zo zijn, dan zal Centric daar door de contractpartners op moeten worden aangesproken.
Vanuit mijn ministerie is er contact geweest met Centric. In dat contact hebben we de verzekering gekregen dat vooralsnog alle contractuele afspraken uitgevoerd kunnen worden.
De VNG staat in goed contact met haar leden en de gebruikersvereniging Centric en staat beide desgevraagd met raad en daad terzijde. Uit de contacten van het bestuur van de gebruikersvereniging Centric met de directie van de divisie Public Sector Solutions van Centric blijkt niet dat de dienstverlening aan de leden en andere overheidsorganisaties op dit moment in gevaar is.

6 mei 2022 - 23 mei 2022

17 dagen

Het bericht over een mogelijk Europees patiëntendossier
	Queeny Rajkowski (Volkspartij voor Vrijheid en Democratie), Judith Tielen (Volkspartij voor Vrijheid en Democratie)
	Kuipers

Bronnen

1. Telegraaf, 3 mei 2022, «Brussel wil Europees patiëntendossier na «suc…

Vraag 1

Bent u bekend het met artikel «Brussel wil Europees patiëntendossier na «succes» QR-code» in de Telegraaf?1

Ja, daar ben ik mee bekend.
Vraag 2

Komt de informatie in het artikel overeen met de informatie die formeel met u is gedeeld? Op welke termijn bent u voornemens deze informatie met de Kamer te delen?

Het artikel gaat over het Europese voorstel voor een Europese ruimte voor gezondheidsgegevens. De Commissie voorstellen zijn publiek bekend gemaakt op 3 mei jl. op de website van de Commissie2 en ik heb daar kennis van genomen. De Kamer zal volgens de informatieafspraken geïnformeerd worden door het kabinet over de appreciatie van de voorstellen middels een BNC fiche.
Vraag 3

Is dit aangekondigde voornemen van de Europese Commissie de reden dat u verzocht heeft de parlementaire behandeling van het wetsvoorstel Wet elektronische gegevensuitwisseling in de zorg (Wegiz) uit te stellen? Zo ja, bent u het ermee eens dat het nogal voorbarig is om een vergevorderd en benodigd Nederlands wetsvoorstel te vertragen door dit ontijdige en ongewenste idee van de Europese Commissie?

Ja, de aankondiging van de Europese Commissie om op 3 mei jl. een voorstel te publiceren voor een Europese ruimte voor gezondheidsgegevens is de aanleiding voor het (tijdelijk) uitstellen van de behandeling van de Wegiz. Ik vind het namelijk belangrijk dat in de voorbereiding op de plenaire behandeling van de Wegiz ook rekening wordt gehouden met deze Europese ontwikkeling.
Vraag 4

Bent u het ermee eens dat een Europees patiëntendossier geen enkel urgent en groot Europees probleem oplost? Zo nee, voor welk urgent en groot Europees probleem is dit idee dan wel een oplossing? Zo ja, bent u bereid die mening zowel informeel als formeel met uw Europese collega’s te delen?

De doelstelling van het Europese voorstel is dat er rechten worden gecreëerd voor burgers zodat zij meer controle kunnen uitoefenen op het verlenen van toegang en het delen van hun eigen gezondheidsgegevens voor de verlening van zorg alsook het gebruik ervan voor wetenschappelijk onderzoek, innovatie en beleid. Om de burgers in staat te stellen deze rechten uit te oefenen dienen aan een aantal aspecten te worden voldaan. Deze aspecten worden verder uitgewerkt in de het voorstel waarin het ingaat op de beschikbaarheid van gezondheidsgegevens bij de verlening van zorg (primair gebruik), zodat de juiste zorg op de juiste plek op het juiste moment kan worden gegeven overal in de EU. Hierbij wordt uitgegaan van een federatief infrastructuur genaamd MyHealth@EU waar de data bij de bron wordt gelaten. In dit voorstel wordt niet gesproken over een Europees patiëntendossier noch over (Europese) centrale opslag.
Verder worden in het voorstel maatregelen opgenomen die erop toezien dat elektronische medische dossier systemen voldoen aan de eisen omtrent (product)veiligheid en interoperabiliteit ter bescherming van de burger maar ook zodat zij beter in staat worden gesteld om hun rechten over de controle over hun eigen gezondheidsgegevens uit te oefenen.
Daarnaast bouwt het voorstel verder op de mogelijkheden die in de AVG worden geboden voor het hergebruiken (secundair gebruik) van gezondheidsgegevens voor wetenschappelijk onderzoek, innovatie en beleid en stelt regels op die specifiek gericht zijn op de zorgsector.
De Kamer zal volgens de informatieafspraken geïnformeerd worden door het kabinet over de appreciatie van de voorstellen middels een BNC fiche.
Vraag 5

Kunt u aangeven wat op dit moment het Europees krachtenveld is omtrent dit voorstel?

Een inschatting van het Europees krachtenveld is een integraal onderdeel van de BNC fiche welke met de Kamer zal worden gedeeld volgens de informatieafspraken.

26 april 2022 - 20 mei 2022

24 dagen

Het bericht ‘Datalek gemeente Buren’
	Queeny Rajkowski (Volkspartij voor Vrijheid en Democratie)
	Hanke Bruins Slot (minister binnenlandse zaken en koninkrijksrelaties) (CDA)

Bronnen

1. Gemeente Buren, 20 april 2022 (https://www.buren.nl/nieuws/datalek-ge…

Vraag 1

Bent u bekend met het bericht «Datalek gemeente Buren»?1

Ja
Vraag 2

Klopt het bericht dat er 130 Gigabyte (GB) aan gegevens van de gemeente Buren en gemeente Neder-Betuwe is aangeboden op het darkweb? Zo ja, om wat voor gegevens gaat het? Gaat het hier ook om persoonsgegevens?

Ja, het gaat (ook) om persoonsgegevens en vertrouwelijke informatie. Zie ook: https://www.buren.nl/datalek. Ik vind het belangrijk om hierbij aan te geven dat er sprake is van datadiefstal bij de gemeente Buren en niet bij de gemeente Neder-Betuwe. Aangezien de gemeente Buren voor de gemeente Neder-Betuwe taken uitvoert in het kader van de Participatiewet zijn er mogelijk ook persoonsgegevens van een beperkt deel van de inwoners van de gemeente Neder-Betuwe gestolen.
Vraag 3

Kunt u delen welke criminelen deze ransomware-aanval hebben uitgevoerd? Zo ja, gaat het hier om een crimineel netwerk? Zo nee, is de politie op de hoogte gesteld van de cyberaanval?

Er is aangifte gedaan bij de Politie. Het is bekend om welke Ransomware-soort dit gaat. Het is duidelijk dat het hier gaat om een groepering die internationaal veel slachtoffers maakt. In overleg met Politie/OM en de Informatiebeveiligingsdienst van de Vereniging van Nederlandse gemeenten (VNG/IBD) deel ik de naam van de groepering niet.
Vraag 4

Is bekend op welke manier ransomware criminelen zijn binnengedrongen in de systemen van de gemeente Buren? Zo ja, op welke manier is de aanval verlopen? Worden andere gemeentes over deze modus operandi geïnformeerd, al dan niet via de Informatiebeveiligingsdienst (IBD)?

De gemeente Buren heeft direct na ontdekking van de Ransomware-aanval forensisch onderzoek laten opstarten door gespecialiseerde cybersecuritybedrijven. Deze bedrijven staan in nauw contact met de IBD en het Nationaal Cyber Security Centrum (NCSC). Het onderzoek is in volle gang en de resultaten zullen, zo meldt de gemeente Buren mij, in een publiek rapport beschikbaar worden gesteld.
De IBD heeft de beveiligingsfunctionarissen van Nederlandse gemeenten geïnformeerd over de Ransomware-aanval en de maatregelen die mogelijk zijn om dergelijke situaties te voorkomen. Via de IBD is ook het NCSC betrokken die, waar nodig, andere sectoren zal informeren.
Vraag 5

Welke stappen zijn genomen voor de personen waarvan de persoonsgegevens op het darkweb staan? Bent u het ermee eens dat personen ingelicht moeten worden voor potentiele identiteitsfraude? Zo ja, is dat ook gebeurd? Zo nee, waarom niet en beoogt de gemeente dit nog te doen?

Inwoners en ondernemers en ook de medewerkers en raadsleden worden doorlopend door de gemeente Buren geïnformeerd. Waar het gaat om het beperkte deel van de inwoners in Neder-Betuwe die gebruik maken of hebben gemaakt van de Participatiewet, stemt de gemeente Buren met de gemeente Neder-Betuwe af over de wijze van inlichten.
Daar waar individuele inwoners, medewerkers of raadsleden het risico lopen op fraude als gevolg van deze datadiefstal worden zij geïnformeerd door de gemeente. Een gespecialiseerd bedrijf brengt in kaart om welke personen dit gaat.
Vraag 6

Zijn er soortgelijke aanvallen bekend die recent bij andere gemeentes hebben plaatsgevonden? Zo ja, om welke gemeentes gaat het hier?

Eerder werden de gemeenten Lochem (2019)2 en Hof van Twente (2020)3 getroffen door een Ransomware-aanval. Daarbij was geen sprake van datadiefstal. Deze gemeenten hebben hier transparant over gecommuniceerd en lessen gedeeld.
Vraag 7

Hoe groot acht u de kans dat soortgelijke aanvallen bij andere gemeentes plaatsvinden? Welke stappen worden vanuit de rijksoverheid genomen om gemeentes cyberweerbaar te maken tegen ransomwareaanvallen en andere digitale aanvallen?

Het is niet te voorspellen of en wanneer soortgelijke aanvallen plaatsvinden. Ik kan in elk geval niet uitsluiten dat een dergelijke aanval opnieuw zal plaatsvinden, noch bij een gemeente, noch bij een andere organisatie in een geheel andere sector.
Er is nauw contact met de VNG/IBD om te zien of en welke extra ondersteuning vanuit de rijksoverheid nodig is. Ik verwijs in dat verband naar de beantwoording op schriftelijke vragen van de leden Rajkowski en Strolenberg4, waar mijn ambtsvoorganger Knops een aantal acties heeft uitgelicht, zoals de overheidsbrede cyberoefening en het beschikbaar stellen van lessons learned van incidenten. Ik merk verder op dat de VNG en de IBD ook zelfstandig stappen neemt. Zoals in de beantwoording destijds is aangegeven is informatiebeveiliging een gezamenlijke verantwoordelijkheid die om een gezamenlijke aanpak vraagt.
Vraag 8

Zijn er lessen te trekken uit de aanpak van de gemeente Buren nadat bekend werd dat een ransomware-aanval is uitgevoerd? Zo ja, welke lessen kunnen hieruit getrokken worden?

De gemeente Buren meldt mij dat voor dit doel een publieke onderzoeksrapportage en een evaluatie beschikbaar zullen komen. Beide zijn er nog niet. Het is daarom nu nog te vroeg om aan te geven welke concrete lessen uit de aanpak van de gemeente Buren kunnen worden getrokken.
Vraag 9

In de beantwoording van eerdere schriftelijke vragen van de leden Rajkowski en Strolenberg (Aanhangsel Handelingen II, vergaderjaar 2021–2022, nr. 887) is te lezen dat gemeentes geholpen worden met een ondersteuningspakket van de IBD voor de processen en maatregelen uit de Baseline informatiebeveiliging Overheid (BIO) met de hoogste prioriteit, in welke mate zijn de kaders en richtlijnen van dit ondersteuningspakket geïmplementeerd bij de gemeente Buren? Wordt bovengenoemd ondersteuningspakket nu als voldoende geacht voor het verhogen van de digitale weerbarheid van gemeentes? Zo nee, waarom niet? Bent u het ermee eens dat het hebben van een cyberverdedigingsprotocol handelingsperspectief biedt voor gemeentes en daarmee een goede aanvulling kan zijn voor het instrumentarium van gemeentes om zo goed mogelijk om te gaan met cyberaanvallen en de schade zo beperkt mogelijk te houden? Zo ja, hoe staat het met de uitvoering van de aangenomen motie Yesilgöz-Zegerius (Kamerstuk 26 643, nr. 753)? Maken gemeentes hier al gebruik van? Zo ja welke? Zo nee, waarom niet?

In de reactiebrief5 van mijn ambtsvoorganger op de motie Yesilgöz-Zegerius6 en de eerdergenoemde beantwoording op Kamervragen van de leden Rajkowski en Strolenberg is aangegeven hoe mijn ambtsvoorganger uitvoering heeft gegeven aan de motie.
Ik herhaal hier kort wat mijn ambtsvoorganger in zijn reactiebrief heeft gesteld en waar ik mij bij aansluit. In het beleid wordt niet ingezet op één cyberverdedigingsprotocol voor alle gemeenten, omdat de ene situatie niet de andere is. Hoe er daadwerkelijk moet worden gehandeld is weliswaar context-afhankelijk, maar wel onderworpen aan eisen. Zoals ik heb aangegeven in de beantwoording van genoemde Kamervragen, stelt de Baseline Informatiebeveiliging Overheid (BIO) eisen aan het afhandelen van informatiebeveiligingsincidenten met inbegrip met vastgestelde procedures.
De gemeente Buren houdt zich aan de BIO en laat onderzoek doen hoe dit incident heeft kunnen gebeuren; ik gaf dit al aan in mijn antwoord op de vorige vraag. Ik hecht eraan te vermelden dat de gemeente nu midden in een grote crisis verwikkeld is en dat het belangrijk is de uitkomsten van het lopend onderzoek en evaluatie af te wachten. Ook merk ik op dat het college van burgemeester en Wethouders hierover primair verantwoording zal afleggen aan de gemeenteraad.
Uit het onderzoek en de evaluatie moet blijken hoe een dergelijk incident in de toekomst kan worden voorkomen. Dan zal ik ook bezien of het nodig is dat ik aanvullende maatregelen tref.

14 april 2022 - 4 mei 2022

20 dagen

Het bericht ‘Oekraïense centrales slaan cyberaanval af’.
	Queeny Rajkowski (Volkspartij voor Vrijheid en Democratie)
	Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (Volkspartij voor Vrijheid en Democratie)

Bronnen

1. Telegraaf, 12 april 2022 (https://www.telegraaf.nl/financieel/1074154…

Vraag 1

Bent u bekend met het bericht «Oekraïense centrales slaan cyberaanval af»?1?

Ja.
Vraag 2

Klopt het bericht dat Russische hackers een mislukte aanval op Oekraïense energiecentrales hebben uitgevoerd?

In publieke berichtgeving van het Oekraïense «Computer Emergency Response Team» (CERT-UA) en het beveiligingsbedrijf ESET wordt dit beeld geschetst.2 3 Hoewel dit zeer voorstelbaar is, is technische attributie complex en kan het bericht daarom niet met zekerheid door het kabinet worden bevestigd.
Vraag 3

Wat is bij u bekend over de nieuwste malware vorm «Industroyer» en de aan Russische veiligheidsdiensten gelieerde groep «Sandworm»? Is bekend welke veiligheidsmaatregelen moeten worden genomen tegen deze nieuwe malware? Zo ja, worden hier al stappen voor gezet? Zo nee, waarom niet?

Industroyer is kwaadaardige software die in 2016 is ingezet in Oekraïne om een gedeelte van de elektriciteitsvoorziening uit te schakelen. Het recent gebruikte Industroyer2 is een nieuwe variant van deze malware.
De digitale aanval wordt door beveiligingsbedrijf ESET en CERT-UA met een hoge mate van zekerheid toegeschreven aan de Sandworm-groep. Deze groep wordt door Amerikaanse en Britse overheidsinstanties geacht gelieerd te zijn aan de Russische militaire inlichtingendienst de GRU en is door de EU in 2020 op de cybersanctielijst gezet.4 In Nederland doen inlichtingen- en veiligheidsdiensten onderzoek naar statelijke actoren. Over dergelijke inlichtingenonderzoeken wordt doorgaans niet publiekelijk gecommuniceerd.
De Industroyer2-malware is specifiek geconfigureerd om een Oekraïense energieleverancier aan te vallen. Aanvullend handelingsperspectief tegen deze malware is niet bekend, omdat de genomen maatregelen niet van toepassing zullen zijn op andere organisaties vanwege deze specifieke configuratie. Het Nationaal Cyber Security Centrum (NCSC) adviseert in algemene zin waakzaam te blijven en de basismaatregelen te treffen die op de website van het NCSC zijn gepubliceerd.5
Vraag 4

Is de gebruikte malware «Industroyer» ook al gebruikt als cyberaanval op Nederlandse organisaties? Zo ja, waar is deze malware gebruikt? Zo nee, verwacht u cyberaanvallen met de malware «Industroyer» op Nederlandse organisaties in de nabije toekomst?

Op dit moment zijn er bij het NCSC geen aanwijzingen van de inzet van een van de varianten van Industroyer in een cyberaanval op Nederlandse organisaties.
Toekomstige aanvallen en eventuele gevolgen daarvan voor Nederland kunnen echter niet worden uitgesloten. Daarom is het belangrijk dat ook Nederlandse organisaties waakzaam en alert blijven en zich voorbereiden op een mogelijk incident.
Vraag 5

Is er verhoogde paraatheid bij onze vitale aanbieders om een eventuele (indirecte) aanval met Industroyer af te wenden? Zo nee, waarom niet?

Ja. Het NCSC staat mede met oog op deze casus, samen met veiligheidspartners (onder andere met cybersecuritybedrijven en via de Cyber Intel/Info Cel), in nauw contact met vitale aanbieders in de energiesector.6 Op 13 april jongstleden heeft het NCSC relevante vitale aanbieders geïnformeerd over Industroyer2. Vanwege de eerdere variant van Industroyer uit 2016 heeft dit type malware al langer de aandacht van het NCSC.
Vraag 6

Zijn er sinds de oorlog in Oekraïne al voorbeelden waarbij Russische hackers grootschalige cyberaanvallen uitvoeren op Nederlandse vitale bedrijven? Zo ja, hoe zijn deze cyberaanvallen verlopen? Zo nee, hoe groot acht u de kans dat deze bedrijven binnen korte tijd getroffen zullen worden door een grootschalige Russische cyberaanval?

Op basis van de huidige beschikbare informatie, kan geconcludeerd worden dat er vooralsnog geen grootschalige Russische cyberaanvallen op Nederlandse vitale bedrijven zijn uitgevoerd. Het NCSC houdt de situatie sinds de oorlog en de aanloop daarnaartoe nauwlettend in de gaten en heeft intensief contact met de inlichtingen- en veiligheidsdiensten.
Wel is het voorstelbaar dat Nederlandse belangen direct of indirect geschaad kunnen worden door digitale activiteiten omtrent de oorlog in Oekraïne. Het NCSC is dan ook waakzaam op eventuele veranderingen in de digitale dreiging richting Nederlandse belangen.
Vraag 7

In hoeverre worden Nederlandse bedrijven voorbereid op grootschalige Russische cyberaanvallen door de rijksoverheid?

De verantwoordelijkheid om beschermende maatregelen te nemen is primair de verantwoordelijkheid van de bedrijven die het betreft zelf. De overheid heeft echter ook tot taak bedrijven te informeren over digitale dreigingen, incidenten en weerbaarheid.
Om de risico’s in de samenleving te beperken is er de afgelopen weken door het NCSC en het Digital Trust Center (DTC) extra aandacht gevraagd voor het belang van cyberweerbaarheid en waakzaamheid. Het NCSC voorziet daartoe in verschillende algemene producten en houdt een informatiepagina bij op de eigen website. Het DTC heeft op verschillende momenten partners en doelgroeporganisaties opgeroepen waakzaam te zijn, waarbij de nadruk wordt gelegd op het treffen van preventieve maatregelen.
Zo hebben het DTC en het NCSC op 9 maart gezamenlijk een online informatiesessie verzorgd met als titel «Huidig beeld en digitale impact van de oorlog in Oekraïne». Dit webinar was toegankelijk voor alle organisaties in Nederland en kan worden teruggekeken op het YouTube-kanaal van het DTC.7 Deze informatiesessie is door ongeveer 4.000 bezoekers bekeken.
Ook het «Cyber Security Incident Response Team» voor digitale dienstverleners (CSIRT-DSP) verstrekt een wekelijks overzicht van (internationaal) cybersecurity nieuws gerelateerd aan de oorlog in Oekraïne aan digitale dienstverleners en monitort de situatie nauwlettend voor een actueel dreigingsbeeld voor digitale dienstverleners in Nederland.
Uit een recente sterke toename van het aantal bezoeken aan de Basisscan Cyberweerbaarheid lijkt de oproep tot verhoogde cyberweerbaarheid en waakzaamheid weerklank te vinden.8
Vraag 8

In hoeverre zijn kleinere bedrijven voldoende beschermd tegen cyberaanvallen vanuit Rusland? Wat is de status van de aangenomen motie Hermans c.s. (Kamerstuk 35 788, nr. 120) om ondernemers beter te beschermen tegen digitale aanvallen en dreigingen?

Ook hiervoor geldt dat de verantwoordelijkheid om beschermende maatregelen te nemen primair de verantwoordelijkheid is van de bedrijven zelf, en dat de overheid desalniettemin de taak heeft om bedrijven te informeren over digitale dreigingen, incidenten en weerbaarheid.
Naast de activiteiten uiteengezet in antwoord op vraag 7 publiceert het DTC sinds 2018 informatie over digitale dreigingen gericht op het Nederlandse bedrijfsleven. De vijf basisprincipes van veilig digitaal ondernemen zijn opgesteld om aanvallers, ongeacht de oorsprong, buiten de deur te houden. Daarnaast informeert het DTC sinds de zomer van 2021 individuele bedrijven over specifieke dreigingen en kwetsbaarheden in hun netwerk- en informatiesystemen.
De Tweede Kamer wordt voor de zomer geïnformeerd over de uitvoering van de motie Hermans c.s.9

8 april 2022 - 15 juni 2022

68 dagen

Het bericht 'Erdogans Trolle schwören sich auf den Wahlkampf in Deutsland ein'
	Queeny Rajkowski (Volkspartij voor Vrijheid en Democratie), Bente Becker (Volkspartij voor Vrijheid en Democratie)
	Karien van Gennip (minister sociale zaken en werkgelegenheid) (CDA), Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (Volkspartij voor Vrijheid en Democratie), Hanke Bruins Slot (minister binnenlandse zaken en koninkrijksrelaties) (CDA)

Bronnen

1. https://www.welt.de/politik/deutschland/article237771983/Erdogans-Tro…

Vraag 1

Bent u bekend met het bericht «Erdogans Trolleschwören sich auf den Wahlkampf in Deutsland ein»?1

Ja.
Vraag 2

Hoe beoordeelt u het feit dat Turks-Duitse kiezers via Turkse verenigingen en social media, onder andere via influencers en trollen in aanloop naar de Turkse premier- en parlementsverkiezingen van 2023, beïnvloed worden in hun politieke keuzes?

In het algemeen geldt dat het kabinet die vormen van buitenlandse inmenging waarmee statelijke actoren het fundament van de Nederlandse democratische rechtsorde en open samenleving kunnen aantasten, volstrekt ongewenst vindt (de integriteit van politieke en bestuurlijke besluitvorming, onafhankelijke rechtspraak, vrije en eerlijke verkiezingen en fundamentele vrijheden zoals persvrijheid en vrijheid van meningsuiting). Nederlandse burgers moeten, ongeacht hun achtergrond, in staat zijn in vrijheid eigen keuzes te maken als het gaat om de inrichting van hun leven, politieke voorkeur en de band met een land van herkomst of dat van hun ouders of grootouders. Mogelijke ongewenste activiteiten door vertegenwoordigers van de Turkse overheid en de veronderstelling dat deze activiteiten onderdeel zijn van een bewuste politiek, kunnen bij sommige Nederlanders van Turkse komaf voor een permanent gevoel van onveiligheid zorgen. Dit kan zo ver gaan dat deze mensen zich beperkt voelen in hun vrijheid van meningsuiting of zelfcensuur toepassen. Ook kan op deze wijze de export van spanningen vanuit Turkije naar ons land worden versterkt.
Dergelijke vormen van ongewenste buitenlandse inmenging zijn onacceptabel. Dit betekent dat de Turkse autoriteiten zich dienen te onthouden van ongewenste bemoeienis met de keuzes die Nederlandse burgers maken. Wanneer het kabinet constateert dat het Turkse diasporabeleid de grenzen van onze rechtsstaat overschrijdt, dan wel participatie van Nederlanders met een Turkse achtergrond belemmert, zal het kabinet niet aarzelen de Turkse autoriteiten op deze activiteiten aan te spreken. Dit optreden richting Turkije bij ongewenste buitenlandse inmenging past in de generieke – landen-neutrale – aanpak waarover uw Kamer in maart 2018 is geïnformeerd.2
Vraag 3

In hoeverre is in Nederland ook sprake van deze patronen van politieke beïnvloeding, al dan niet via social media in aanloop naar deze verkiezingen? Zo ja, welke signalen duiden hierop?

Het is van belang een onderscheid te maken tussen het diasporabeleid van de Turkse overheid, dat onder meer wordt vormgegeven via Diyanet – het Turkse presidium voor Godsdienstzaken – en de verkiezingscampagne van de AKP in aanloop naar de verkiezingen in 2023. Het is bekend dat de AKP, net als andere Turkse partijen, steun hoopt te verwerven onder de stemgerechtigden die buiten Turkije wonen. Dat doen Nederlandse politieke partijen bij verkiezingen in Nederland ook in het buitenland, waarbij zij binnen de door dat land gestelde kaders dienen te blijven. Aangezien de AKP al lange tijd aan de macht is, bestaat er overlap tussen het diasporabeleid van de Turkse overheid en de uitgangspunten van de AKP. Er zijn ons op dit moment echter geen signalen bekend dat de Turkse overheid invloed probeert uit te oefenen ten behoeve van de verkiezingen in 2023. Uiteraard worden de ontwikkelingen nauwlettend in de gaten gehouden.
Vraag 4

Deelt u de mening dat het zeer onwenselijk en zorgelijk is dat Turkije via de Turkse diaspora in Europa haar invloed probeert uit te oefenen ten behoeve van de Turkse premier- en parlementsverkiezingen van 2023?

Zie antwoord vraag 2.
Vraag 5

Wat is de huidige stand van zaken omtrent de contrastrategie om ongewenste bemoeienis uit Turkije jegens Nederlanders met een Turkse achtergrond tegen te gaan? Hoe vaak heeft u de afgelopen vier jaar de Turkse autoriteiten hierop aangesproken?

In maart 2018 is uw Kamer geïnformeerd over de aanpak van ongewenste buitenlandse inmenging. Deze aanpak is ook in 2022 onverminderd van kracht en er wordt doorlopend bekeken of de aanpak nog volstaat. De aanpak is landen-neutraal en bestaat uit de volgende drie onderdelen:
In de brede relatie tussen Turkije en Nederland vinden regelmatig gesprekken plaats tussen de Nederlandse en Turkse autoriteiten over diverse onderwerpen. Ook de relatie tussen de Turkse overheid en Nederlanders met een Turkse achtergrond is regelmatig het onderwerp van gesprek. De in het antwoord op vraag 2 en 4 genoemde boodschap wordt in deze gesprekken consequent uitgedragen.
Vraag 6

Welke signalen over deze aankomende verkiezingen zijn bekend als het gaat om het benaderen en zelfs trainen van Turkse-Nederlanders zoals wordt geschetst in het aangehaalde artikel, om de gunst van de Turkse gemeenschap te winnen voor de AKP-partij van president Erdogan?

Zie antwoord vraag 3.
Vraag 7

Wat is de huidige stand van zaken van het weerbaarder maken van Nederlanders met een niet-westerse afkomst die kans lopen door middel van diasporapolitiek te worden benaderd voor bewuste politieke doeleinden in het land van herkomst? . Wat is de huidige stand van zaken met betrekking tot het ondersteuningsaanbod voor gemeenten en gemeenschappen ter bevordering van de sociale stabiliteit en versterking van de weerbaarheid?

De Ministeries van Sociale Zaken en Werkgelegenheid (SZW), van Binnenlandse Zaken en Koninkrijksrelaties (BZK) en van Justitie en Veiligheid (JenV) (waaronder de NCTV en de Nationale Politie) spannen zich samen met de Vereniging van Nederlandse Gemeenten (VNG) en het Nederlands Genootschap van Burgemeesters (NGB) in om de sociale stabiliteit te bevorderen en de weerbaarheid van de samenleving in brede zin te versterken.
Binnen het Ministerie van SZW heeft de Expertise Unit Sociale Stabiliteit (ESS) de afgelopen jaren netwerken in verschillende gemeenschappen opgebouwd. Dit betreft onder andere de Turkse, Marokkaanse, Eritrese, Somalische, Syrische, islamitische en Afro-gemeenschap. ESS staat in contact met in totaal twaalf kennisnetwerken uit deze gemeenschappen. Hier worden expertise en handelingsperspectieven m.b.t. veerkracht en weerbaarheid gedeeld. Daarnaast adviseert ESS gemeenten over hoe om te gaan met onder andere polarisatie en spanningen in deze gemeenschappen. In 2021 is door negenenzeventig gemeenten een beroep gedaan op de kennis en kunde van ESS.
Gemeenten kunnen met hulpvragen onder meer terecht bij het Ondersteuningsnetwerk maatschappelijke onrust voor duiding of advies in gevallen van (dreigende) situaties van maatschappelijke onrust. Vanuit het netwerk is er in 2021 contact geweest met twintig gemeenten. Ook heeft de UvA in 2021 dertig cases van maatschappelijke onrust onderzocht. De bevindingen van dit onderzoek worden dit najaar gepubliceerd.
Om er voor te zorgen dat gemeenten en gemeenschappen zelf beter in staat zijn de sociale stabiliteit te bevorderen is het aanbod aan handreikingen, factsheets, opleidingen en contactpunten bij de rijksoverheid en andere partners op de brede thematiek van «maatschappelijke stabiliteit» sinds december 2021 gebundeld op de website https://maatschappelijkestabiliteit.nl/. Dit leeraanbod wordt periodiek geactualiseerd en samenwerkende partners onderhouden contacten met gemeenten en gemeenschappen om te signaleren op welke onderwerpen men extra ondersteuning wenst. De site is inmiddels 1700 keer geraadpleegd.
Naast bovenstaande wordt op dit moment gewerkt aan een nieuwe Agenda Veerkracht en Weerbaarheid. Zoals aangekondigd in de planningsbrief SZW zal de Minister van SZW uw Kamer hier na de zomer nader over informeren.3
Vraag 8

Hoeveel gemeenten en gemeenschappen maken hier tot op heden gebruik van en wat doet u om dit aanbod onder de blijvende aandacht te brengen?

Zie antwoord vraag 7.
Vraag 9

Is u bekend hoeveel kandidaten voor de afgelopen gemeenteraadsverkiezingen zijn getraind door de Union of European Turkish Democrats (UETD)?

Zie antwoord vraag 7.
Vraag 10

Wat doet u om te voorkomen dat post wordt gestuurd met een stemadvies vanuit de Turkse regering naar Nederlanders met een Turkse achtergrond?

Deze cijfers zijn niet bekend bij de rijksoverheid.
Vraag 11

Bent u bereid streng toe te zien op de richtlijn van Buitenlandse Zaken, die tot stand is gekomen naar aanleiding van onze Kamervragen, om campagnevoeren in de laatste drie maanden voor de verkiezingen door buitenlandse politieke ambtsdragers uit niet-EU-landen op Nederlands grondgebied te verbieden?

In aanloop naar de Turkse verkiezingen in 2023 zal Nederland de boodschap overbrengen dat het geven van persoonlijk stemadvies door de Turkse overheid aan Nederlanders met een Turkse achtergrond niet gewenst is in welke vorm dan ook.
Vraag 12

Welke mogelijkheden ziet u op korte termijn om buitenlandse/politieke beïnvloeding op sociale media platforms tegen te gaan wanneer het illegale content of desinformatie betreft, met het oog op verwachte wet- en regelgeving zoals de «Digital Services Act»?

Absoluut. Sinds februari 2021 is het voor vertegenwoordigers van een buitenlandse overheid van buiten de EU niet meer toegestaan campagne te komen voeren in Nederland vanaf drie maanden voorafgaand aan verkiezingen in het desbetreffende derde land. Vertegenwoordigers van een buitenlandse overheid dienen daarnaast vooraf melding te maken bij het Ministerie van Buitenlandse Zaken indien zij voornemens zijn naar Nederland af te reizen om een campagne-activiteit te ondernemen in de periode tot drie maanden voorafgaand aan verkiezingen in dat derde land. Buiten kijf staat dat het Nederlandse burgers is toegestaan om campagne-activiteiten en -bijeenkomsten te organiseren, ook over verkiezingen in derde landen. In aanloop naar de Turkse verkiezingen zal de Nederlandse overheid Turkije actief op de richtlijn van Buitenlandse Zaken wijzen.

1 april 2022 - 22 april 2022

21 dagen

Het bericht ‘Verkoopverbod of niet: jongeren kopen massaal snus’
	Queeny Rajkowski (Volkspartij voor Vrijheid en Democratie), Rudmer Heerema (Volkspartij voor Vrijheid en Democratie)
	Maarten van Ooijen (staatssecretaris volksgezondheid, welzijn en sport) (CU)

Bronnen

1. NOS, 30 maart 2022, «Verkoopverbod of niet: jongeren kopen massaal snus' (Verkoopverbod of niet: jongeren kopen massaal snus | NOS)

Vraag 1

Bent u bekend met het bericht «Verkoopverbod of niet: jongeren kopen massaal snus»?1

Ja.
Vraag 2

Hoe verklaart u het dat sinds het per november vorig jaar ingevoerde verbod op de verkoop van nicotinezakjes met meer dan 0,035mg nicotine, snus nog steeds volop verkrijgbaar is?

Er zijn (Europese) landen waar deze producten niet verboden zijn en waar deze producten legaal gekocht kunnen worden. Deze bedrijven mogen nicotinezakjes niet verhandelen naar Nederland of zich richten op Nederlandse consumenten. Desondanks komt het voor dat personen deze producten via websites of sociale media uit het buitenland bestellen. De NVWA voert risicogericht toezicht uit op deze buitenlandse bedrijven en verzoeken bedrijven de verhandeling van nicotinezakjes naar Nederland te staken.
Vraag 3

Kunt u aangeven wat de uitkomsten zijn geweest van de Nederlandse Voedsel- en Warenautoriteit (NVWA)-controle bij vier grote importeurs?

De NVWA geeft aan dat bij alle vier de importeurs de nicotinezakjes in bewaring zijn genomen. Dat wil zeggen dat de nicotinezakjes met meer dan 0,035 mg nicotine per zakje, niet meer verplaatst mochten worden totdat er een passende oplossing gevonden werd voor de producten. Twee importeurs hebben de nicotinezakjes naar een ander Europees land gestuurd, waar verhandeling van deze producten nog toegestaan was. De andere twee importeurs hebben de nicotinezakjes laten vernietigen. Alle vier de importeurs hebben hun afnemers, zoals winkeliers, op de hoogte gesteld van het verbod op nicotinezakjes en hebben hen gevraagd de voorraad niet meer te verkopen.
Vraag 4

Zijn er cijfers bekend van het aantal keer dat de NVWA sinds het verbod in heeft moeten grijpen bij online verkooppunten?

De NVWA heeft zich in eerste instantie gericht op de importeurs van nicotinezakjes die de producten in Nederland in de handel brengen. Op deze manier wordt de toevoer van nicotinezakjes naar online winkels die deze producten in Nederland verkopen, tegengegaan. Onlangs heeft de NVWA een potentiële vijfde importeur geïnspecteerd. Dit bleek een bedrijf in een andere lidstaat te zijn waar de verhandeling van nicotinezakjes, met meer dan 0,035 mg per zakjes, wel is toegestaan. Dit bedrijf verkocht nicotinezakjes in Nederland via verschillende Nederlandse websites. De NVWA heeft dit bedrijf gewezen op het verbod op nicotinezakjes in Nederland en heeft hem verzocht de verhandeling naar Nederland te staken. De ondernemer heeft aan dat verzoek voldaan en de websites daarop aangepast. Recent is de NVWA begonnen met het toezicht op webwinkels.
Vraag 5

Welke instrumenten heeft de NVWA op dit moment in handen om aanbod van snus op bijvoorbeeld social media-kanalen aan te pakken?

Het verhandelen van nicotinezakjes, met meer dan 0,035 mg nicotine per zakje, is voor zover deze is gericht op consumenten in Nederland ook via social media niet toegestaan. De NVWA doet bij sociale media-kanalen melding van onrechtmatige uitingen, waar het aanbod van nicotinezakjes een voorbeeld van is. Hiermee worden de sociale media-kanalen (mede)verantwoordelijk voor deze uitingen. De sociale media-kanalen kunnen de content dan verwijderen, waarmee zij niet meer verantwoordelijk voor deze content zijn. Dit proces van melden en verwijderen van onrechtmatige content wordt door de NVWA «notice and take down» genoemd.
Vraag 6

Hoe kunnen social media-kanalen op dit moment hun verantwoordelijkheid nemen indien bij wet verboden producten op hun kanalen worden aangeboden? Welke instrumenten zijn hierbij voorhanden?

Het is in eerste instantie aan de sociale mediaplatformen om te bepalen hoe zij hun verantwoordelijkheid voor de verkoop van illegale producten en waren kunnen en willen invullen. Een sociaal mediaplatform dat weet dat er via zijn platform nicotinezakjes worden verkocht kan bijvoorbeeld de content verwijderen of voorlichting geven aan gebruikers over het illegale karakter van de verkoop van nicotinezakjes, en wijzen op de gezondheidseffecten die de consumptie daarvan kan hebben.
Vraag 7

Bent u het eens dat het zeer zorgelijk is dat er zo makkelijk en openlijk via sociale media verboden middelen aangeboden en gekocht kunnen worden?

Het is inderdaad zorgelijk dat nicotinezakjes met meer dan 0,035 mg nicotine, een illegaal product, online aangeboden worden.
Vraag 8

Welke mogelijkheden ziet u op korte termijn om de verkoop van snus op sociale mediaplatformen tegen te gaan, ook met het oog op de verwachte Europese wetgeving en in het bijzonder de Digital Services Act?

Zie ook mijn antwoord op vraag 5.
Op dit moment wordt er door het Europees Parlement, de Raad, en de Europese Commissie onderhandeld over de Digital Services Act (DSA). Onder voorbehoud van de uitkomsten daarvan zal de DSA een aantal instrumenten creëren die relevant kunnen zijn voor het bestrijden van de verkoop van nicotinezakjes via sociale mediaplatformen.
Zo komt er waarschijnlijk een verplichting voor deze bedrijven om een mechanisme in te richten waarmee zij door gebruikers en anderen gewezen kunnen worden op illegale inhoud op hun platform, zoals de illegale verkoop van nicotinezakjes. Wanneer deze bedrijven een dergelijke melding ontvangen moeten zij daar tijdig actie op ondernemen. Bijvoorbeeld door het illegale aanbod te verwijderen. Laten zij na om actie te ondernemen dan kunnen ze aansprakelijk worden gesteld voor het illegale aanbod.
Onder de DSA worden sociale mediaplatformen ook verplicht om gebruikers die veelvuldig illegale inhoud plaatsen, zoals aanbiedingen voor nicotinezakjes, tijdelijk de toegang tot het platform te ontzeggen door diens account te schorsen. Zij moeten zo’n beslissing richting de betreffende gebruiker ook motiveren. In dat kader kunnen zij wijzen op het feit dat de verkoop van nicotinezakjes met meer dan 0,035 mg nicotine verboden is en tevens de voorlichting verrichten die in het antwoord op vraag 6 is beschreven.
Vraag 9

Bent u daarnaast bereid met de NVWA in gesprek te gaan om te onderzoeken hoe illegale verkoop van snus harder aangepakt kan worden?

Ik ben met de NVWA in gesprek over hoe de handhaving geïntensiveerd kan worden. Het is goed om daarbij op te merken dat de NVWA constateert dat na de aankondiging van het verbod op nicotinezakjes door de NVWA in november 2021 in verschillende verkoopkanalen minder aanbod van nicotinezakjes is gevonden. Ook hebben producenten de zakjes niet groots in Nederland gelanceerd. Dit is op zichzelf een mooi resultaat.
Daar wil ik aan toevoegen dat een aanpak met strenge handhaving door de NVWA niet de enige oplossing is voor dit maatschappelijke probleem. Ik wil de verkopers van deze producten aanspreken op hun maatschappelijke verantwoordelijkheid en hen oproepen te stoppen met de verkoop van deze producten.
Daarnaast vind ik het belangrijk dat Nederlanders bewust zijn van de gevaren van het gebruik van producten, zoals snus (met tabak) en nicotinezakjes (zonder tabak). Er is informatie beschikbaar omtrent de gezondheidseffecten van snus en nicotinezakjes via informatiekanalen zoals de website Rokeninfo.nl en het de Facebook en Instagrampagina’s van Opvoeding en Uitgaan2. Ook wil ik zicht houden op het gebruik van nicotinezakjes en snus bij de Nederlandse bevolking. Het Trimbos instituut zal hier via de Leefstijlmonitor uit 2022 onderzoek naar doen.

31 maart 2022 - 29 april 2022

29 dagen

Het bericht ‘Intel kiest voor Duitsland als vestigingsplaats voor Europese megafabriek’
	Pim van Strien (Volkspartij voor Vrijheid en Democratie), Queeny Rajkowski (Volkspartij voor Vrijheid en Democratie)
	Micky Adriaansens (minister economische zaken) (Volkspartij voor Vrijheid en Democratie)

Bronnen

1. Het Financieele Dagblad, 15 maart 2022 (https://fd.nl/bedrijfsleven/1…

Vraag 1

Bent u bekend met het bericht «Intel kiest voor Duitsland als vestigingsplaats voor Europese megafabriek»?1

Ja.
Vraag 2

Hoe apprecieert u de ontwikkelingen van de bouw van een nieuwe megafabriek van Intel in Duitsland en het investeringsplan van 80 miljard voor de Europese chipproductie in het licht van de Europese ambities voor het chip-ecosysteem binnen Europa?

Het is een positief signaal voor de Europese Unie dat een belangrijke partij in de halfgeleiderindustrie zoals Intel bereid is omvangrijke investeringen te doen in Europa. Het kabinet ziet dit als een belangrijke stimulans voor de versterking van de Europese positie in de mondiale halfgeleiderindustrie. Het versterken van deze positie is onder andere van belang voor het behoud van strategische autonomie. Bovendien speelt deze sector een cruciale rol in de groene en digitale transities.
De halfgeleiderindustrie is heel sterk (mondiaal) verweven. Verschillende Europese bedrijven en kennisinstellingen zijn in dit internationale ecosysteem van elkaar afhankelijk en zijn in verschillende landen in Europa gevestigd. De Nederlandse halfgeleiderbedrijven maken hier integraal onderdeel van uit. Nederland heeft bijvoorbeeld een significant cluster op het gebied van apparatuur voor (zeer geavanceerde) halfgeleiderproductie. Intel heeft aangekondigd de nieuwste technieken te willen inzetten in hun fabriek. Door de internationale verwevenheid van deze industrie zullen de investeringen van Intel in Europa, ook positieve effecten hebben voor de Nederlandse bedrijven en daarmee de Nederlandse economie.
Vraag 3

Wat zijn de gevolgen voor het Nederlandse chip-ecosysteem en breder onze economie, nu Intel ervoor heeft gekozen haar nieuwe megafabriek in Duitsland te bouwen en als onderdeel van het investeringsplan bestaande activiteiten in Frankrijk, Ierland, Italië en Spanje uit te breiden en Nederland hierin geen rol heeft kunnen bemachtigen?

Zie antwoord vraag 2.
Vraag 4

Klopt het dat Nederland ook bereid was en inspanningen heeft geleverd om de Intel fabriek en andere onderdelen van het investeringsplan naar Nederland te halen? Kunt u dit proces toelichten? Zo nee, waarom niet?

Het kabinet gaat niet in op individuele gesprekken met bedrijven. Maar in algemene zin geldt dat het kabinet in nauw contact staat met het bedrijfsleven. Dat geldt ook ten aanzien van het aantrekken van investeringen in Nederland. De Netherlands Foreign Investment Agency (NFIA) speelt hierbij een belangrijke rol. In acquisitietrajecten wordt onder meer gesproken over de bedrijfspropositie en of dit aansluit bij het Nederlandse vestings- en investeringsbeleid, ook in relatie tot bredere maatschappelijke vraagstukken als klimaattransitie en ruimtelijke ordening.
Vraag 5

Kunt u aangeven welke oorzaken er in uw ogen voor hebben gezorgd dat, ondanks het feit dat Intel gesprekken heeft gevoerd met de Nederlandse overheid, Intel er niet voor heeft gekozen haar nieuwe fabriek of enige andere activiteiten in Nederland te vestigen? Zo nee, waarom niet?

Zie antwoord vraag 4.
Vraag 6

Op welke wijze beïnvloeden deze ontwikkelingen de ambities van het kabinet, gezien de grote bereidwilligheid van andere Europese overheden zoals die van Italië, Spanje, Polen en Duitsland om te investeren in dergelijke innovatieve ecosystemen zoals het chips-ecosysteem? Wat betekent dit bijvoorbeeld voor de ambitie om bij te dragen aan de Europese ambitie om strategische onafhankelijkheid te bereiken?

De recent door Intel aangekondigde investeringen versterken het Europese halfgeleider ecosysteem en verminderen de afhankelijkheid van chipproducenten buiten Europa. Dit is in lijn met de Nederlandse ambitie ten aanzien van de halfgeleidersector. Bovendien bieden de investeringen van Intel in productiecapaciteit voor chips tal van kansen voor onze maakindustrie die een belangrijke toeleverancier is voor dit soort fabrieken.
Nederland draagt op dit moment op verschillende manieren bij aan deze ambitie. De start hier van betrof het tekenen van de Declaration: A European Initiative on Processors and semiconductor technologies (7 december 2020).
Belangrijke voorbeelden van actieve Nederlandse overheidsbetrokkenheid zijn:
Daarnaast verwelkomt Nederland de recent verschenen Europese Chips Act (8 februari 2022), waarover uw Kamer op 25 maart jongstleden geïnformeerd is middels het BNC-fiche4.
Vraag 7

Ziet u ook kansen om met relevante Nederlandse bedrijven en (kennis)instellingen de samenwerking met het Europese chip-ecosysteem te intensiveren nu de chipfabriek zal worden gevestigd bij onze oosterburen? Zo ja, welke concrete kansen ziet u? Zo nee, waarom niet?

Ja, hier liggen kansen en mogelijkheden. Zoals eerder aangegeven is er een logische relatie met onze sterke positie in de machinebouw voor het productieproces van halfgeleiders, maar ook de sterke positie van Nederland op het gebied van kwantum- en fotonicatechnologie biedt mogelijkheden voor sterkere samenwerking.

29 maart 2022 - 6 april 2022

8 dagen

De beantwoording van de schriftelijke vragen inzake de vacature ‘Senior beleidsmedewerker interceptie en digitale opsporing’ bij het ministerie van Justitie en Veiligheid
	Queeny Rajkowski (Volkspartij voor Vrijheid en Democratie), Hind Dekker-Abdulaziz (D66), Lisa van Ginneken (D66)
	Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (Volkspartij voor Vrijheid en Democratie)

Bronnen

1. Aanhangsel Handelingen, vergaderjaar 2021–2022, nr. 2095

Vraag 1

Wat vindt u van de stelling dat een interessante focus van onderzoek zou kunnen zijn dat de inlichtingen-en veiligheidsdiensten effectief hun wettelijk taak kunnen blijven uitvoeren zonder een achterdeur die versleutelde communicatie via OTT(over-the-top)-diensten onveilig maakt?1

Ik kan niet voor de inlichtingen- en veiligheidsdiensten (IenV-diensten) spreken, deze diensten vallen onder de portefeuille van de ministers van Binnenlandse Zaken en Koninkrijksrelaties en Defensie. Met deze diensten wordt wel goed samengewerkt. Binnen de termijn die in vraag 6 is gesteld was het niet mogelijk om bij vragen 1 en 4 de toepassing op de IenV-diensten na afstemming met hen toe te voegen, aangezien het opsporings- en IenV domein verschillend zijn gereguleerd.
Op dit moment wordt onderzocht hoe de uitdagingen in de opsporing als gevolg van encryptie kunnen worden geadresseerd. Er is een inventarisatie gaande om de technische mogelijkheden voor rechtmatige toegang tot versleutelde informatie te onderzoeken, om vervolgens de voor- en nadelen van die mogelijkheden voor alle betrokken (zwaarwegende) belangen te analyseren.
Het doel van deze inventarisatie is om geïnformeerde en zorgvuldige besluitvorming mogelijk te maken door dit kabinet en uw Kamer. Indien tot wetgeving wordt besloten wordt een duidelijke wettelijke basis voorgesteld die via een transparant wetgevingsproces aan uw Kamer wordt voorgelegd. Of en hoe dit exact vorm krijgt is afhankelijk van het EU-traject dat nu loopt. Een technische oplossing moet adequaat en evenwichtig zijn. Belangrijk hierbij zijn de principes van proportionaliteit en subsidiariteit. Ten eerste moet de technische oplossing proportioneel zijn en bijdragen aan een veilige maatschappij of de bescherming van kwetsbaren in onze samenleving. Het middel moet aanvaardbaar zijn, dit betekent dat er geen onverantwoorde beslissingen worden genomen wanneer het de (digitale) veiligheid van burgers, het bedrijfsleven en de overheid aangaat. Deze inventarisatie zal ik niet vooraf beperken, omdat alle mogelijkheden eerst in kaart gebracht moeten zijn voordat een zorgvuldige keuze voor eventuele maatregelen kan worden genomen.
Vraag 2

Zou u het onderzoek kunnen verbreden naar het onderzoeken van een grotere dreiging voor onze digitale veiligheid en verdienvermogen, namelijk het doorbreken van veilige versleutelde communicatie door nieuwe technologie zoals kwantumtechnologie in de nabije toekomst?

Zie het antwoord op vraag 3.
Vraag 3

Bent u het met de partijen eens dat het kwantumproof maken van onze communicatie en netwerken een urgente uitdaging is die nu moet worden aangepakt?

Het effect van kwantumtechnologie op de veiligheid van versleutelde communicatie past niet binnen de reikwijdte van de inventarisatie naar mogelijkheden en voor- en nadelen van de rechtmatige toegang tot versleutelde informatie. Eventuele dreigingen voor versleutelde communicatie is niet de focus van de inventarisatie die is gestart. Gegeven de complexiteit van de inventarisatie die in deze beantwoording wordt geschetst bestaat de voorkeur om de focus te behouden tot mogelijkheden voor rechtmatige toegang tot versleuteld bewijs.
Het NCSC adviseert organisaties nu al na te denken over de gevolgen van de komst van de kwantumcomputer voor hun organisatie en een actieplan op te stellen dat duidelijk maakt binnen welke tijdlijn er maatregelen genomen moeten worden.2 Gegevens die vandaag al bestaan en die ook na de komst van kwantumcomputers beschermd moeten blijven, moeten namelijk nu al aanvullend worden beschermd.
Versleuteling is van belang voor de veiligheid. Daarnaast is rechtmatige toegang tot versleutelde communicatie is ook van belang voor de veiligheid van de maatschappij en burgers doordat illegale inhoud en activiteiten beter worden onderkend, onderschept en verwijderd, en slachtofferschap wordt voorkomen of geminimaliseerd, ook in het digitale domein.
In mijn beantwoording leest u dat in de inventarisatie verschillende grote belangen worden meegewogen. Bijvoorbeeld, cybersecurity en de bescherming van fundamentele rechten zijn zwaarwegende onderdelen die worden meegenomen in afwegingen of maatregelen proportioneel zijn. Dit is ook vice versa van belang. Ook bij toekomstige technologieën vind ik een integrale benadering belangrijk en is het goed dat ook het opsporingsbelang wordt meegenomen.
Vraag 4

Ziet u interceptie van versleutelde communicatie via OTT-diensten als een nieuwe bevoegdheid voor de inlichtingen-en veiligheidsdiensten? Op welk artikel in de Wet op de inlichtingen-en veiligheidsdiensten 2017 baseert u zich?

In lijn met de beantwoording op vraag 1 relateer ik deze vraag aan de wettelijke bevoegdheden van de opsporingsdiensten en het Openbaar Ministerie. Hierbij moet onderscheid worden gemaakt tussen het Wetboek van Strafvordering (Sv) en de Telecommunicatiewet.
De in hoofdstuk 13 Telecommunicatiewet en onderliggende lagere regelgeving vastgelegde medewerkings- en ontsleutelverplichtingen zijn beperkt tot (klassieke) aanbieders van openbare telecommunicatiediensten en – netwerken. Aanbieders van OTT-communicatiediensten – nummeronafhankelijke interpersoonlijke communicatiedienten volgens de definitie van de Telecommunicatiewet – vallen niet onder deze verplichtingen. Ondanks het feit dat het de officier van justitie is toegestaan op basis van artikel 126m jo. 138g Sv, na een daartoe verkregen machtiging van de rechter-commissaris, een opsporingsambtenaar te bevelen versleutelde communicatie via OTT-communicatiediensten af te tappen kan.vanwege de ontbrekende medewerkings- en ontsleutelverplichtingen geen inzicht worden verkregen in de inhoud van de versleutelde communicatie.
Vraag 5

Wat is de huidige stand van zaken van het in de beantwoording genoemde EU traject met betrekking tot veilige digitale communicatie?

De Europese Commissie beraadt zich op dit moment op een «way forward» voor de inventarisatie naar rechtmatige toegang tot versleuteld bewijs en deze wordt in 2022 gepubliceerd. Dit doet zij op basis van beantwoorde vragenlijsten en de Commissie heeft enkele ambtelijke gesprekken georganiseerd. Uiteraard zal ik uw Kamer over de uitkomsten informeren.
Vraag 6

Kunt u deze vragen afzonderlijk beantwoorden voorafgaand het commissiedebat online veiligheid en cybersecurity op 7 april 2022?

Ja.

9 maart 2022 - 8 juni 2022

91 dagen

Het bericht ‘Omstreden Chinese camera's hangen overal in Nederland, ook bij ministeries’.
	Ingrid Michon (Volkspartij voor Vrijheid en Democratie), Ruben Brekelmans (Volkspartij voor Vrijheid en Democratie), Queeny Rajkowski (Volkspartij voor Vrijheid en Democratie)
	Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (Volkspartij voor Vrijheid en Democratie), Wopke Hoekstra (viceminister-president , minister buitenlandse zaken) (CDA)

Bronnen

1. NOS, 8 februari 2022 (https://nos.nl/artikel/2416279-omstreden-chines…
2. Nu.nl, 17 februari 2022 (https://www.nu.nl/tech/6184588/politie-kocht…

Vraag 1

Bent u bekend met het bericht «Omstreden Chinese camera's hangen overal in Nederland, ook bij ministeries»?1

Ja
Vraag 2

Klopt het dat het gaat om camera’s van de Chinese merken Hikvision en Dahua en dat zij onder andere overheidsgebouwen in beeld brengen? Zo ja, om hoeveel camera’s gaat het? Waar staan deze camera’s? Staan deze camera’s ook voor overheidsgebouwen waarbij anonimiteit belangrijk kan zijn zoals bij defensie en de inlichtingendiensten?

De Nederlandse overheid maakt gebruik van Chinese camera’s. Het is niet bekend om hoeveel camera’s het specifiek gaat. Zoals in het antwoord op vragen 4 en 5 wordt geschetst, gelden er overheidsbreed kaders en beleid voor aanschaf en gebruik van (digitale) producten en diensten, zoals camera’s, waarbij ook rekening gehouden moet worden met (eventuele) risico’s voor nationale veiligheid. Over welke beveiligingsmaatregelen al dan niet worden getroffen bij de gebouwen van de inlichtingen- en veiligheidsdiensten en welke apparatuur daarvoor wordt gebruikt, worden in het openbaar geen uitspraken gedaan.
Vraag 3

De politie heeft inmiddels bevestigd dat er vorig jaar bijna 700 camera’s van Dahua zijn aangeschaft2; klopt dit? Zo ja, was de politie zich al bewust van de veiligheidsrisico’s bij de aanschaf van deze camera’s? Zo ja, waarom zijn dan toch deze camera’s aangeschaft? Zo nee, kunt u een tijdlijn schetsen van de aanschaf van Chinese camera’s door de politie van de afgelopen jaren? Zo nee, waarom niet?

De politie heeft bevestigd dat het klopt dat zij circa 700 camera’s van Dahua heeft aangeschaft, die over een periode van 7 jaar zullen worden afgenomen. In de aanbesteding zijn eisen met betrekking tot informatiebeveiliging en privacy opgenomen en de inzet van de camera’s zijn voornamelijk gericht op verkeerstoezicht. De politie heeft bij de aanbesteding van de camera’s en bij de toepassing daarvan geen risico’s voor de nationale veiligheid voorzien. Voor de gehele overheid geldt onder meer voor de aanschaf van digitale producten en diensten de Baseline Informatiebeveiliging Overheid (BIO). Mede gelet hierop worden hiervoor bij de inkoop en aanbesteding van digitale producten en diensten, waaronder genoemde camera’s, waarbij mogelijk veiligheidsrisico’s aan de orde zijn, eisen met betrekking tot informatiebeveiliging en privacy gesteld als voorwaarden aan de (mogelijke) opdrachtnemer. Alle merken en type camera’s die voldoen aan de gestelde eisen kunnen worden aangekocht. Op 8 juli 2020 is deze aanbesteding gepubliceerd op Tenderned. Op 27 november 2020 is deze opdracht gegund. In mei 2021 is gestart met de ingebruikneming van deze camera’s.
Vraag 4

In hoeverre lagen bepaalde productspecificaties zoals de prijs en de veiligheid ten grondslag aan het besluit om camera’s van Hikvision en Dahua aan te schaffen en te plaatsen bij overheidsgebouwen?

In relatie tot nationale veiligheidsrisico’s bestaat er overheidsbeleid dat voorschrijft dat nationale veiligheidsoverwegingen worden meegewogen bij de inkoop en aanbesteding van producten en diensten. Bij de aanschaf en implementatie van gevoelige apparatuur of programmatuur wordt volgens dit beleid rekening gehouden met zowel risico’s in relatie tot een leverancier, als met het concrete gebruik van de systemen, bijvoorbeeld als het gaat om de toegang tot systemen door derden. Bij elke casus wordt door de overheidsorganisatie bezien of en hoe risico’s beheersbaar kunnen worden gemaakt en of daartoe te nemen maatregelen proportioneel zijn. Afwegingen rondom de aanschaf en ingebruikname van ICT- producten en diensten zijn de eigen verantwoordelijk van de organisaties die tot aanschaf overgaan. Dat betekent dat overheidsorganisaties zelf risicoafwegingen uitvoeren voordat (digitale) producten en diensten van een leverancier, zoals beveiligingscamera’s, worden afgenomen en bepalen aan welke (beveiligings)eisen een leverancier moet voldoen om voor verlening van een opdracht in aanmerking te komen. Daarnaast geldt voor de gehele overheid voor de aanschaf van digitale producten en diensten de Baseline Informatiebeveiliging Overheid (BIO). De BIO kent een risicogebaseerde aanpak met een concrete set aan eisen als ondergrens. Uitgangspunt is onder meer ook de eigen verantwoordelijkheid van overheidsorganisaties.
Vraag 5

Aan welke eisen, die betrekking hebben op cyberspionage, wordt getoetst bij de aanschaf van camera’s bij overheidsgebouwen? Voldoen de camera’s van Hikvision en Dahua aan deze eisen?

Zie antwoord vraag 4.
Vraag 6

Was bij het moment van aankoop ook al bekend dat China eventueel een achterdeur in een camerasysteem van Hikvision of Dahua zou kunnen bouwen? Zo ja, welke maatregelen zijn hiertegen getroffen? Zo nee, op basis waarvan is de inschatting gemaakt dat het veilig was om deze camera’s aan te schaffen?

Het Ministerie van BZK zal in samenwerking met andere overheidspartijen onderzoek doen naar mogelijke nationale veiligheidsrisico’s bij het gebruik binnen de rijksoverheid van camera’s afkomstig van partijen uit landen met een offensief cyberprogramma richting Nederland. Doordat het onderzoek zich specifiek richt op het gebruik van camera’s binnen de rijksoverheid staat het los van de aanbesteding van de politie. De toepassing van de camera’s en bijvoorbeeld de manier waarop zij in de bredere infrastructuur zijn ingebed zal per geval verschillen. Zoals ook in het antwoord op vraag 4 en 5 wordt geschetst, bestaat er overheidsbeleid dat voorschrijft dat nationale veiligheidsoverwegingen worden meegewogen bij de inkoop en aanbesteding van producten en diensten. Of en hoe risico’s voor de nationale veiligheid beheersbaar zijn, zal dus per geval worden beoordeeld door de organisaties zelf, zoals de politie, die ook eventuele maatregelen zelf nemen.
Vraag 7

Is het technisch mogelijk voor China om mee te kijken, live of achteraf? Zo ja, hoe dan? Zo nee, is die mogelijkheid er helemaal niet of is hij sofwarematig dichtgezet?

Het Dreigingsbeeld Statelijke Actoren (DBSA)3 geeft een overzicht van de belangrijkste dreigingen vanuit China in relatie tot de vitale infrastructuur en de (rijks)overheid. Daarbij wordt ook ingegaan op het risico op digitale spionage- en sabotagemogelijkheden via technologische toeleveringen.
Zoals gesteld in het antwoord op vraag 6 zal het Ministerie van BZK in samenwerking met andere overheidspartijen onderzoek doen naar mogelijke nationale veiligheidsrisico’s vanwege het gebruik binnen de rijksoverheid van camera’s afkomstig van partijen uit landen met een offensief cyberprogramma richting Nederland. Bovenstaande vragen zullen bij dit onderzoek worden betrokken.
In het debat met uw Kamer op 22 maart 2022, heeft de Staatssecretaris voor Koninkrijksrelaties en Digitalisering verder toegezegd om onderzoek te doen naar inkoopeisen en -richtlijnen op het terrein van cyberveiligheid, in het bijzonder als het gaat om producten en diensten voornamelijk van partijen uit landen met een offensief cyberprogramma richting Nederland. Op 5 april 2022 is in aanvulling daarop door uw Kamer een motie aangenomen om bij dit onderzoek ook te kijken naar de vitale infrastructuur. Uw Kamer zal hierover na afronding van het onderzoek worden geïnformeerd. Op de uitkomsten van het onderzoek kan nu niet vooruit worden gelopen.
Vraag 8

Hoe groot acht de Minister de kans dat China meekijkt of mee heeft gekeken via deze camera’s? Op basis waarvan maakt de Minister deze inschatting?

Zie antwoord vraag 7.
Vraag 9

In de Verenigde Staten is de inzet van Hikvision- en Dahua-camera’s bij overheidsgebouwen verboden. Daarnaast heeft het Europees parlement eerder besloten om camera’s van Hikvision niet meer te gebruiken. Waarom heeft Nederland hier nog niet voor gekozen?

Elk land of internationale organisatie maakt hierin zijn eigen afweging. Voor Nederland geldt dat het staand beleid bij inkoop en aanbesteding is dat er per casus wordt bezien of er in relatie tot producten en diensten risico’s zijn voor de nationale veiligheid, en zo ja, of en hoe deze beheersbaar kunnen worden gemaakt. De mogelijke nationale veiligheidsrisico’s in verband met het gebruik van camera’s, die afkomstig zijn uit landen met een offensief cyberprogramma richting Nederland, binnen de rijksoverheid zullen, zoals hierboven aangegeven, worden onderzocht.
Vraag 10

Deelt u de mening dat bedrijven uit staten die een offensief cyberprogramma tegen Nederland uitvoeren niet geschikt zijn om camera’s te leveren die zijn opgesteld bij organisaties die een aantrekkelijk doelwit van een dergelijk offensief programma vormen?

Zie antwoord vraag 7.
Vraag 11

Zijn er Europese alternatieven in de markt? Zo, ja bent u het eens met het standpunt dat het verstandig kan zijn om die in te zetten? Zo nee, bent u het ermee eens dat het wenselijk is dat er Europese alternatieven zijn, ook op het gebied van technologie?

Voor Nederlandse organisaties is het wenselijk dat zij gebruik kunnen maken van kwalitatief hoogwaardige producten en diensten, ook van buitenlandse leveranciers. Nederlandse overheden blijven op verantwoorde wijze, met inachtneming van de nationale aanbestedingswetgeving, gebruik maken van de voordelen van de internationale markt voor veiligheidsapparatuur, door per situatie de risico’s voor de nationale veiligheid in kaart te brengen en dat te laten meewegen in de selectie van de betreffende aanbieder.
Desondanks kunnen er redenen zijn om bepaalde producten en technologieën in Nederland of in Europa te willen kunnen ontwikkelen en beschikbaar maken. Dit kan van belang zijn om de weerbaarheid van Nederland en de EU te vergroten, of om de EU het vereiste handelingsvermogen te geven om de eigen veiligheidsbelangen te beschermen. Dit kan via verschillende maatregelen: van handelsverdragen met gelijkgezinde landen, tot het direct stimuleren van de eigen industrie. Hierbij verwijzen wij dan ook graag naar de brief aan uw Kamer over onderzoek naar strategische afhankelijkheden en kwetsbaarheden in Nederland, waar dieper ingegaan wordt op de beleidsopties om onze weerbaarheid te versterken.4
Vraag 12

Bent u het ermee eens dat we de cyberdreiging vanuit China serieus moeten nemen en daarom kritisch moeten kijken naar de aanschaf en inzet van niet Europese hardware en software voor gevoelige zaken zoals het filmen van overheidsgebouwen? Zo ja, welke stappen gaat u ondernemen? Zo nee, waarom niet?

Ja, deze dreiging moet serieus worden genomen. De AIVD waarschuwt regelmatig voor de risico’s van het gebruik van hard- en software afkomstig uit landen met een offensief cyberprogramma gericht tegen Nederlandse belangen (zoals China) bij de uitwisseling van gevoelige informatie of in vitale infrastructuur. Het is van groot belang dat we ongewenste activiteiten van statelijke actoren tegengaan. Daarom werken we aan een aanpak om de weerbaarheid tegen statelijke dreigingen te verhogen. In het Dreigingsbeeld Statelijke Actoren en de kabinetsreactie hierop wordt nader ingegaan op deze dreiging en de maatregelen die we hiertegen nemen5. Verder verwijzen wij u naar het antwoord op vraag 4 en 5, waarin wordt ingegaan op de relevante kaders en beleid binnen de rijksoverheid als het gaat om aanschaf en gebruik van (digitale) producten en diensten.
Vraag 13

Hoe verhoudt het antwoord op de Kamervragen van het lid van Helvert (Aanhangsel Handelingen II, vergaderjaar 2020–2021, nr 2310), die de Kamer zijn toegezonden op 13 april 2021 (waarin staat dat het kabinet de Europese Commissie, de Europese Dienst voor Extern Optreden (EDEO) en het Europees parlement heeft gewezen op de kwetsbaarheid van het gebruik van Hikvision-camera’s) zich tot het gebruik van camera’s van dit bedrijf door Nederlandse ministeries zelf? Zou het kabinet deze waarschuwing niet ook aan zichzelf moeten richten?

In hoeverre er bij het gebruik van camera’s van bijvoorbeeld Hikvision en Dahua sprake is van nationale veiligheidsrisico’s die met concrete beheersmaatregelen gemitigeerd kunnen worden is onderwerp van het in het antwoord op vraag 6 genoemde onderzoek.
Vraag 14

Kunt u uitsluiten dat deze camera’s een veiligheidsdreiging vormen voor de Oeigoerse diaspora in Nederland? Welke veiligheidsmaatregelen heeft u hiertoe genomen of bent u voornemens te nemen?

Zoals aangegeven in de antwoorden op vragen van de leden Dekker-Abdulaziz en Van Ginneken, zijn voor zover ons bekend er momenteel geen aanwijzingen dat China deze camera’s gebruikt om bepaalde minderheidsgroepen in Nederland te monitoren. Mocht dit in de (nabije) toekomst wel het geval zijn, dan is er naar het oordeel van het kabinet sprake van ongewenste buitenlandse inmenging en heeft het kabinet verschillende instrumenten tot haar beschikking, zoals uiteengezet in de brief van 16 maart 2018 over de aanpak ongewenste buitenlandse inmenging6.
Vraag 15

Bent u bekend met het feit dat de Amerikaanse overheid heeft verboden te investeren in Hikvision vanwege de banden van het bedrijf met het Chinese leger? Heeft u hierover contact gehad met Amerika, met name in het kader van mogelijke veiligheidsdreigingen? Zo nee, bent u alsnog bereid dit te doen?

Het kabinet is bekend met het besluit van 9 oktober 2019 om Hikvision op de zgn. Entity List te plaatsen omdat Hikvision volgens de VS het mogelijk maakt dat er mensenrechtenschendingen plaatsvinden in Xinjiang. Als gevolg van deze listing zijn Amerikaanse toeleveranciers verplicht om vergunningen aan te vragen voordat ze handelen met Hikvision. Europese en Nederlandse sanctiewetgeving voorzien niet in de mogelijkheid van een Entity List. Nederland erkent de risico’s van het gebruik van cybersurveillance items in relatie tot schendingen van mensenrechten en het internationaal humanitair recht, blijkens ons exportcontrolebeleid, en werkt hierop nauw samen met de VS, zowel bilateraal als in EU-verband.
Vraag 16

Bent u bereid om met China in gesprek te treden over het belang van privacy- en veiligheidsstandaarden in technologie en dat toegang van de Chinese staat tot gevoelige data niet acceptabel is?

Nederland en de EU spreken in verschillende verbanden, waaronder binnen de VN, met China over dataveiligheid. Centraal hierbij staat de bescherming van privacy, zoals het voldoen aan eisen, zoals neergelegd in de AVG, bescherming van mensenrechten en het tegengaan van ongepaste toegang van overheden tot datagegevens. Zoals aangegeven in de Notitie «Nederland-China: Een nieuwe balans» (Kamerstuk 35 207, nr. 1) staat het kabinet achter striktere handhaving en sterker uitdragen van bestaande standaarden en normen, zoals de Europese regelgeving op het gebied van data, bescherming van persoonsgegevens en privacy en productveiligheid.

3 maart 2022 - 14 juni 2022

103 dagen

De uitvoering van de gewijzigde motie Becker c.s. over het structureel tegengaan van extremistische uitingen online.
	Queeny Rajkowski (Volkspartij voor Vrijheid en Democratie), Bente Becker (Volkspartij voor Vrijheid en Democratie)
	Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (Volkspartij voor Vrijheid en Democratie), Karien van Gennip (minister sociale zaken en werkgelegenheid) (CDA)

Bronnen

1. Kamerstuk 34 602, nr. 6

Vraag 1

Bent u bekend met de aangenomen gewijzigde motie van het lid Becker c.s. (Kamerstuk 35 228, nr. 34) over het structureel tegengaan van extremistische uitingen? En deelt u de mening, zoals ook besproken tijdens het wetgevingsoverleg Integratie en maatschappelijke samenhang (beleidsartikel 13 van de begroting SZW 2022) op 22 november 2021, dat deze motie tot op heden onvoldoende is afgedaan?

In de Nederlandse samenleving is ruimte voor een grote diversiteit van (godsdienstige) beschouwingen, (politieke) opvattingen, waardepatronen en leefstijlen. Dit betekent dat mensen de vrijheid hebben eigen keuzes te maken binnen de kaders van de democratische rechtsorde. Het kabinet ziet het als zijn taak om de democratische rechtsorde en alle grondwettelijke vrijheden die burgers op basis daarvan toekomen te beschermen. De overheid opereert in het waarborgen van die vrijheden neutraal. Zij trekt echter een grens als er sprake is van antidemocratische, onverdraagzame, anti-integratieve en/of extremistische uitingen.
Het kabinet heeft al langere tijd zorgen over de invloed in Nederland van een kleine groep individuen, salafistische aanjagers, die zowel online als offline aansporen tot antidemocratische, onverdraagzame, anti-integratieve en/of extremistische uitingen en/of gedragingen. Deze kleine groep individuen heeft door hun actieve en professionele gebruik van socialemediakanalen een onevenredig groot bereik binnen islamitische gemeenschappen in Nederland. In het Dreigingsbeeld Terrorisme Nederland van april 2022 wordt gesteld dat problematische gedragingen door antidemocratische, intolerante en anti-integratieve elementen binnen het salafisme kunnen leiden tot polarisatie in de samenleving en (op termijn) tot ondermijning van de democratische rechtsorde1.
De aangenomen gewijzigde motie van het lid Becker c.s. (Kamerstuk 35 228, nr. 34) is bekend. Indien extremistisch, antidemocratisch en radicaal salafistische uitingen zodanig ernstig van aard zijn dat zij onder de definitie vallen van terroristische content, dan vallen deze uitingen binnen de taken van de Autoriteit voor het tegengaan van Terroristisch en Kinderpornografisch Materiaal (ATKM). Deze Autoriteit wordt opgericht om uitvoering te geven aan een Europese verordening (inzake het tegengaan van verspreiding van terroristische online-inhoud: TOI-verordening) en kent een strikte doelbinding gericht op het tegengaan van verspreiding van terroristische content. De TOI-verordening wordt van kracht op 7 juni 2022. Op deze datum moet de autoriteit operationeel zijn en de nationale uitvoeringswet gereed. De autoriteit krijgt de bevoegdheid voor het sturen van verwijderingsbevelen en grijpt daarmee direct in op de vrijheid van meningsuiting.
Met oprichting van de ATKM wordt voor een deel van de uitingen waar de gewijzigde motie van het lid Beckers c.s. op ziet voorzien in de mogelijkheden om op te treden indien deze uitingen dermate ernstig zijn dat deze onder de definitie van terroristische content vallen. Echter, gezien proportionaliteitsoverwegingen, zoals het fundamentele recht op vrijheid van meningsuiting, is het niet mogelijk om extremistische, antidemocratische en radicaal salafistische uitingen die niet als terroristisch te definiëren zijn onder te brengen bij de ATKM.
Wel deelt het kabinet de zorg over de online verspreiding van radicale, extremistische en/of antidemocratische uitingen en het schadelijke effect dat deze uitingen kunnen hebben op onze democratische rechtstaat. Ook al zullen dit soort uitingen niet altijd te scharen zijn onder de categorie terroristische content, zij kunnen wel degelijk uiteindelijk overgaan in gewelddadig extremisme en terrorisme. Om te bezien wat de mogelijkheden zijn om juist tegen dit soort schadelijke content op te treden zal de Minister van Justitie en Veiligheid in kaart brengen over wat voor preventief en repressief instrumentarium landen om ons heen beschikken en welke mogelijkheden dit biedt voor Nederland. Daarnaast is het weerbaar maken van met name jongeren tegen online extremistische uitingen een belangrijk aandachtspunt binnen diverse activiteiten die mijn ministerie ontwikkelt.
Tevens worden doorlopend gesprekken gevoerd met internetbedrijven om de samenwerking in de aanpak van terroristische en andere extremistische en illegale uitingen in den brede op het internet verder te versterken. Nederland is bijvoorbeeld actief in het EU Internetforum. Hierin werken EU-lidstaten, de Europese Commissie en het bedrijfsleven op vrijwillige basis samen om het aanbod van gewelddadig extremistische en terroristische content op het internet te beperken.
Vraag 2

Deelt u het inzicht dat onvrij gedachtegoed in toenemende mate online wordt verspreid en dat salafistische aanjagers online normale geloofsuitingen verdringen met extremistisch, antidemocratisch en radicaal-salafistische uitingen en dat deze content effectief moet worden bestreden door de overheid, in samenwerking met hostingproviders en internetplatforms?

Zie antwoord vraag 1.
Vraag 3

Wat is de huidige stand van zaken van deze samenwerking tussen de overheid, hostingproviders en internetplatforms, ook in het licht van de vijf geschetste scenario’s uit het Wetenschappelijk Onderzoek- en Documentatiecentrum (WOCD)-onderzoek «Voorziening voor verzoeken tot snelle verwijdering van onrechtmatige online content»1, om ook andere vormen van onrechtmatige online content aan te pakken?

Er is eind april een principeakkoord bereikt over de Digital Services Act (hierna «DSA», stap 1 van het stappenplan zoals dat is gepresenteerd in de beleidsreactie op het door u genoemde WODC-onderzoek). Zodra de tekst van de DSA definitief is, is er ruimte om met hostingproviders en internetplatformen de huidige Notice-and-Take-Down (NTD) procedures tegen het licht te houden en aan te passen op de vereisten die voortvloeien uit deze DSA (stap 2). Deelname aan de huidige Nederlandse NTD-gedragscode is in beginsel vrijwillig en betreft een vrijwillig verzoek met referentie aan schendingen van de Terms of Service van het betreffende platform zelf. In de DSA is een Notice-and-Take-Action (NTA) opgenomen die verplichtend is. De methode Notice and Take Action (NTA) houdt in het identificeren, duiden en melden van bepaalde online-inhoud aan internetbedrijven, met het oog op verwijdering. Bij een NTA-procedure, zoals in de DSA omschreven, wordt online-inhoud getoetst aan of het onder de definitie valt van illegaal (onrechtmatig en strafbaar) in plaats van een toetsing aan de Terms of Service. Hierbij wordt geen onderscheid gemaakt tussen online-inhoud van ideologieën of religies, zoals bij ongewenste buitenlandse beïnvloeding. Wat telt voor de toetsing is of het illegaal is of niet. Ook wordt er een (abuse reporting) instrument ontwikkeld om verwijderbevelen van overheidswege op eenduidige wijze door te geven aan providers en platformen.
Vraag 4

Op welke wijze bent u sinds de publicatie van het WOCD-onderzoek met de vijf geschetste scenario’s aan de slag gegaan? Kunt u dit uitsplitsen per scenario?

Zie antwoord vraag 3.
Vraag 5

Wat is de huidige stand van zaken omtrent het onderzoek naar de mogelijkheid om de aanpak van extremistisch, antidemocratisch en radicaal-salafistische uitingen online onder te brengen bij de op te richten autoriteit kinderpornografische en terroristische content of indien dat niet mogelijk is een andere autoriteit? Deelt u de mening dat een dergelijke autoriteit van zeer groot belang is om deze ongewenste online uitingen tegen te gaan?

Voor beantwoording van uw vraag verwijs ik u naar het antwoord op vraag 1 en 2.
Vraag 6

Is u bekend op welke wijze extremistische, antidemocratische en/of radicaal-salafistische uitingen die online worden verspreid gefinancierd worden? Kunt u dit per categorie inzichtelijk maken?

Indien er sprake is van dergelijke uitingen gaat het veelal om problematische, maar nog niet strafbare of onrechtmatige content. Dit geldt ook voor online uitingen. Dit betreft een breed spectrum aan gedragingen waarbij de ernst gradaties kent. Slechts bepaalde vormen van problematisch gedrag kunnen als (niet-gewelddadig) extremisme worden gekenmerkt en afbreuk doen aan de democratische rechtsorde. De inzet van de overheid, bijvoorbeeld op het inzichtelijk maken van financiering van bepaald problematisch gedrag hangt af van de ernst van het (potentiële) effect van de vertoonde gedragingen op de democratische rechtsorde.
Met het wetsvoorstel Transparantie Maatschappelijke Organisaties zal naar verwachting de transparantie van financieringsstromen richting maatschappelijke organisaties worden vergroot. Maatschappelijke organisaties (stichtingen, verenigingen, kerkgenootschappen of een buitenlands equivalent) moeten dan desgevraagd inzage geven in donaties. Daarnaast worden stichtingen verplicht om hun balans en staat van baten en lasten te deponeren in het (afgesloten deel van het) Handelsregister.
Een eventuele link tussen (buitenlandse) geldstromen en problematisch gedrag, zoals het doen van antidemocratische, onverdraagzame, anti-integratieve en/of extremistische uitingen online, kan hiermee inzichtelijk worden gemaakt.
Middels een nota van wijziging van de Wtmo wordt verder beoogd een handhavingsinstrument in te voegen om organisaties aan te kunnen pakken die activiteiten ontplooien die gericht zijn op (dreigende) ondermijning van de democratische rechtstaat of het openbaar gezag. De Minister van Justitie en Veiligheid is voornemens de nota naar aanleiding van het verslag, samen met de nota van wijziging en het nader rapport, op afzienbare termijn naar uw Kamer te sturen.
Verder is bekend dat extremistische groepen van buiten Nederland incidenteel gebruikmaken van digitaal geopende bankrekeningen in Nederland. De Kamer is hierover geïnformeerd in het Dreigingsbeeld Terrorisme Nederland (DTN 55). Dergelijke rekeningen kunnen gebruikt worden om buiten het zicht van de eigen overheid terrorisme en extremistische organisaties te financieren. Daarnaast zijn er gevallen bekend waarbij (online) payment service providers worden gebruikt en is er soms sprake van crowdfunding (o.a. middels de bekende Tikkies) via websites en chatgroepen maar ook peer to peer.
Vraag 7

Hoe vaak hebben gemeenten de afgelopen twee jaar melding gemaakt van organisaties die via online activiteiten jongeren probeerden te binden of extremistisch (salafistisch) gedachtegoed probeerden te verspreiden onder kwetsbare of beïnvloedbare groepen? En hoe vaak heeft het Ministerie van Sociale Zaken en Werkgelegenheid, al dan niet in samenwerking met andere ministeries en instanties, via de driesporenaanpak tegen dergelijke organisaties opgetreden?

De overheid richt zich bij de aanpak van problematisch gedrag binnen het salafisme op die delen van de salafistische beweging waarbij sprake is van strafbaar en/of problematisch gedrag in relatie tot de te beschermen democratische rechtsorde. Er wordt derhalve onderscheid gemaakt tussen het verspreiden van salafistisch gedachtegoed en extremistisch gedachtegoed.
De Taskforce Problematisch gedrag en ongewenste buitenlandse financiering (hierna Taskforce) onder leiding van het Ministerie van SZW heeft sinds de oprichting in februari 2019 één casus behandeld waar er specifiek zorgen waren bij de gemeente over online activiteiten. De casus in kwestie is door een gemeente in 2020 aangemeld bij de Taskforce. De Taskforce heeft samen met de gemeente vastgesteld dat er geen sprake was van problematisch gedrag. De gemeente is geadviseerd om spoor 1 van de driesporenaanpak in te zetten, te weten interactie en dialoog. De gemeente is hierop het gesprek aan gegaan. Dit gesprek heeft ertoe geleid dat de zorgen zijn weggenomen.
Vraag 8

Op welke schaal krijgt de Taskforce problematisch gedrag en ongewenste buitenlandse beïnvloeding te maken met casussen waarbij de online wereld een rol speelt in het verspreiden van ongewenste boodschappen en in hoeverre weegt de «locatie» van de casus (fysiek dan wel online) mee tijdens het wegingsoverleg door het Duidings- en Adviesteam? In hoeverre zit er bij deze Taskforce expertise als het gaat om (het tegengaan van) de verspreiding van schadelijke en ongewenste boodschappen in de online wereld?

Zoals vermeld in vraag 7 heeft de Taskforce sinds de oprichting één casus behandeld waarin een gemeente zorgen heeft geuit over online activiteiten van betrokkenen bij een organisatie. Gemeenten die een casus aanmelden bij de Taskforce hebben vaak zorgen over gedragingen die zich in het fysieke domein, binnen hun gemeente, afspelen. Dit neemt niet weg dat er wel zorgen zijn bij gemeenten over online-activiteiten en deze zorgen ook besproken kunnen worden met de partners binnen de Taskforce om zo mee te kunnen denken over mogelijke handelingsperspectieven.
Het vorige kabinet heeft uw Kamer op verschillende momenten geïnformeerd over de specifieke problemen omtrent de grondslag voor het verwerken van persoonsgegevens van een aantal partners. Als gevolg van deze problemen worden sinds april 2021 in Taskforce verband geen persoons- of organisatie duidingen meer gedaan.3 Gemeenten kunnen sinds april alleen nog geadviseerd worden over mogelijke oorzaken en handelingsperspectief ten aanzien van problematisch gedrag met aandacht voor de lokale context zonder daarbij persoonsgegevens te verwerken.
Vraag 9

Wat is de huidige stand van zaken op Europees niveau om ongewenste, opruiende of indoctrinerende online boodschappen, die problematisch gedrag kunnen veroorzaken, tegen te gaan? Bent u van mening dat de Digital Services Act (DSA) voldoende juridische ruimte en handvatten biedt om de komende jaren haatzaaiende en indoctrinerende content snel en effectief te kunnen verwijderen van social media platformen? Zo ja, kunt u dit toelichten? Zo nee, waarom niet?

Het is het streven van het kabinet om tijdens de huidige kabinetsperiode flinke stappen te kunnen maken op precies dit onderwerp. De Digital Service Act (DSA) biedt een mogelijkheid om illegale content aan te pakken, onder andere door voor bepaalde internet tussenpersonen een aantal verplichtingen te introduceren rond het kunnen melden, beoordelen en verwijderen van deze vormen van content. Wat precies onder de noemer illegale content valt, is gedeeltelijk vastgelegd in Europese wet- en regelgeving, maar lidstaten hebben daarnaast ook ruimte om eigen nuances aan te brengen.
Op verschillende niveaus – van Europa tot lokale besturen – wordt nagedacht over het omgaan met ongewenste, opruiende of indoctrinerende online boodschappen, die problematisch gedrag kunnen veroorzaken. Vooraleerst betreft het dan de vraag welke rol de overheid zou moeten hebben om dergelijke fenomenen het hoofd te bieden, gevolgd door de vraag welke middelen vervolgens kunnen worden ingezet. Deze vragen zullen ook deel uitmaken van het project waaraan gerefereerd wordt in de beantwoording op de vragen 1 t/m 4.
Zoals ook is aangegeven in de brief over contentmoderatie en de vrijheid van meningsuiting online moet de spanning tussen de vrijheid van meningsuiting en de bewegingsruimte en veiligheid van burgers online, en de rol van de overheid daarbij, verder onderzocht worden4. Dit geldt met name voor uitingen die niet illegaal zijn, maar wel tot ongewenste maatschappelijke reacties leiden.
Vraag 10

In hoeveel gevallen zijn er de afgelopen twee jaar gedane uitspraken geweest die dusdanig ernstig van aard waren dat zij vielen onder de definitie van terroristische content, zoals is bepaald in de Terrorist Content Online-verordening en in hoeveel van deze gevallen is er sprake van extremistisch, antidemocratisch en/of (extreem) salafistische invalshoek? Kunt u dit uitsplitsen per categorie?

De verordening inzake het tegengaan van de verspreiding van terroristische online-inhoud (TOI-verordening) is op 17 mei 2021 gepubliceerd en wordt op 7 juni 2022 van kracht. Dit houdt in dat de autoriteit nog niet actief is waaruit volgt dat er nog geen recente cijfers zijn die getoetst zijn aan de definitie zoals is bepaald in de TOI-verordening. Wel is de Internet Referral Unit (IRU) bij de Nationale Politie actief totdat de nieuwe autoriteit ATKM operationeel wordt. De aanpak die de IRU hanteert, is gebaseerd op de methode Notice and Take Action (NTA): zie antwoord vraag 3 en 4 voor uitleg NTA-methode. De IRU kijkt vooral naar zwaardere gevallen van jihadistische online-inhoud en maakt geen onderscheid per categorie. Indien de IRU jihadistische online-inhoud vindt, stelt zij Europol op de hoogte en doet Europol het verzoek tot verwijderen. In 2021 zijn 1.586 uitingen kritisch beoordeeld en uiteindelijk zijn er 1.247 NTA-verzoeken verstuurd, zo heeft de Politie laten weten.
Vraag 11

Bent u bereid om op zeer korte termijn alsnog de gewijzigde motie Becker c.s. over het structureel tegengaan van extremistische uitingen door hier toezicht op te organiseren in zijn volledigheid af te doen?

Voor beantwoording van uw vraag verwijs ik u naar het antwoord op vraag 1 en 2.
Vraag 12

Bent u bereid deze vragen voor het commissiedebat Inburgering en integratie van 30 maart a.s. te beantwoorden?

Helaas is dit niet gelukt.

1 maart 2022 - 21 april 2022

51 dagen

Het bericht ‘Ddos'er die fiscus, banken en Tweakers aanviel, krijgt 200 uur taakstraf’.
	Queeny Rajkowski (Volkspartij voor Vrijheid en Democratie), Ulysse Ellian (Volkspartij voor Vrijheid en Democratie)
	Franc Weerwind (minister zonder portefeuille justitie en veiligheid) (D66), Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (Volkspartij voor Vrijheid en Democratie)

Bronnen

1. Tweakers, 22 februari 2022, Ddos’er die fiscus, banken en Tweakers aa…

Vraag 1

Bent u bekend met het bericht «Ddos’er die fiscus, banken en Tweakers aanviel, krijgt 200 uur taakstraf»1?

Ja.
Vraag 2

Worden ddos-aanvallen die zijn uitgevoerd op vitale diensten door het openbaar ministerie (OM) bij het bepalen van de strafeis en bij de rechter bij de strafoplegging als een strafverzwarende omstandigheid gezien?

Ja. Het OM houdt bij het bepalen van de strafeis rekening met de wettelijke strafmaxima zoals geformuleerd in het Wetboek van Strafrecht (Sr). Uit artikel 138b lid 3 Sr volgt dat het strafmaximum van twee naar maximaal vijf jaar gevangenisstraf kan gaan indien een DDoS-aanval is gepleegd tegen een geautomatiseerd werk behorende tot de vitale infrastructuur2.
Vraag 3

Hoeveel veroordelingen zijn bekend van zaken waarbij een ddos-aanval gepleegd is?

Bij een DDoS-aanval kan artikel 138b Sr (opzettelijk en wederrechtelijk de toegang tot of het gebruik van een geautomatiseerd werk belemmeren door daaraan gegevens aan te bieden of toe te zenden) of artikel 161sexies Sr (misdrijven waardoor de algemene veiligheid van personen of goederen in gevaar wordt gebracht) tenlastegelegd worden. In de periode 2019–2021 zijn er 8 veroordelingen geweest voor artikel 138b. Onder de delictsomschrijving van artikel 161sexies vallen echter meer delicten dan alleen een DDoS-aanval. Er kan in de informatiesystemen van de Rechtspraak niet worden achterhaald hoeveel veroordelingen op basis van artikel 161sexies een DDoS-aanval betroffen. Het totale aantal veroordelingen van artikel 161sexies geeft daarom geen representatief beeld van het aantal veroordelingen van DDoS-aanvallen.
Vraag 4

Deelt u de mening dat deze vormen van cybercriminaliteit hard aangepakt moeten worden vanwege de grote maatschappelijke impact?

Zeker. Cybercrime kan een grote impact hebben op individuele slachtoffers en de maatschappij als geheel. Gedurende de coronacrisis zijn we in het dagelijks leven steeds afhankelijker geworden van de online wereld. Dit maakt dat cyberaanvallen een groot risico vormen voor onze maatschappij. Het Cybersecurity Beeld Nederland benoemt ransomware zelfs als een risico voor onze nationale veiligheid.3 Adequate opsporing en vervolging van daders is noodzakelijk. Het internet mag geen vrijplaats zijn voor criminelen. Opsporing, vervolging en verstoring is één van de vier sporen van de integrale aanpak van cybercrime. Hierover wordt uw Kamer jaarlijks geïnformeerd per brief.4
Vraag 5

Hoe vaak vindt er recidive plaats bij de cybercriminelen die ddos-aanvallen hebben gepleegd? Wordt er onderzoek gedaan naar het recidiverisico bij cyberdelicten?

Hierover zijn geen cijfers beschikbaar. Voor zover bekend lopen er momenteel geen onderzoeken naar het recidiverisico bij cyberdelicten. Wel is door het WODC onderzoek gedaan naar cyberdaders, waarover uw Kamer is geïnformeerd.5 Dit onderzoek gaf aan dat voor daders van cybercrime geen eenduidig profiel bestaat, maar dat er kenmerken zijn die relatief vaker voorkomen bij cyberdaders dan bij traditionele daders of vrij uniek zijn voor cyberdaders. Zo plegen jongere daders strafbare feiten in eerste instantie vaker uit nieuwsgierigheid, intellectuele uitdaging of leergierigheid, en zijn zich niet altijd bewust van de strafbaarheid. Ook bleek uit het onderzoek dat bij het voorkomen van recidive klassieke interventies bruikbaar zouden kunnen zijn, indien ze zouden worden aangepast aan de digitale context. Zie hiervoor vraag 6.
Vraag 6

Welke maatregelen en middelen worden ingezet om recidive bij cyberdelicten te voorkomen?

Bij de aanpak van cybercrime wordt een onderscheid gemaakt tussen cybercrimedelicten in enge zin (zoals ransomware- en DDoS-aanvallen) en gedigitaliseerde delicten (zoals online fraude). Onderzoek geeft aan dat er kenmerken zijn die relatief vaker voorkomen bij cyberdaders dan bij traditionele daders of vrij uniek zijn voor cyberdaders.6 Ten behoeve van deze specifieke doelgroep maken Halt, de Raad voor de Kinderbescherming (RvdK) en de Reclassering gebruikt van de Hack_Right-aanpak. Daarnaast is de bestaande leerstraf Tools4U van de RvdK aangevuld voor daders van gedigitaliseerde delicten.
Ook is het instrumentarium voor risicotaxatie aangepast. Voor jeugdige justitiabelen is het landelijk risicotaxatie-instrumentarium (LIJ) aangevuld zodat het nu ook kan worden gebruikt in het geval zij een cybercrime of gedigitaliseerd delict hebben gepleegd. Dit jaar wordt gemonitord of de huidige aanpassingen voldoen of dat nog verdere aanvullingen nodig zijn.
Vraag 7

Hoe vaak wordt bij strafoplegging of bij een OM-afdoening de aanvullende interventie Hack_Right toegepast? Wat zijn hier tot nu toe de resultaten van en kunt u deze resultaten met de Kamer delen?

Sinds 2019 zijn er 25 zaken afgerond. Hack_Right kan worden ingezet in het kader van een Halt-afdoening, een (jeugd)reclasseringsbegeleiding, als taakstraf of als gedragsaanwijzing in het kader van een bijzondere voorwaarde (volwassenenreclassering). De afgelopen jaren is de interventie Hack_Right (door)ontwikkeld en is toegewerkt naar indiening van de interventie bij de Erkenningscommissie Justitiële Interventies van het Nederlands Jeugdinstituut (NJi). Medio 2022 wordt de interventie voor erkenning voorgelegd.
Vraag 8

Welke criteria worden gehanteerd om te bepalen of Hack_Right kan worden toegepast?

Hack_Right is bedoeld voor jongeren en jongvolwassenen die minimaal 12 en maximaal 24 jaar oud zijn ten tijde van het plegen van het delict, (gedeeltelijk) bekennen een cyberdelict7 te hebben gepleegd, niet eerder veroordeeld zijn voor een cyberdelict, affiniteit hebben met ICT en gemotiveerd zijn om deel te nemen aan Hack_Right. In uitzonderingsgevallen kan een lange variant van Hack_Right – op verzoek van een rechter, officier van justitie of een van de ketenpartners – ook ingezet worden voor jongvolwassenen van 24 tot 30 jaar. Bij deze doelgroep is het extra belangrijk dat bij de invulling van Hack_Right wordt aangesloten bij ontwikkelingstaken van jongvolwassenen op het gebied van werk, opleiding, vrijetijdsbesteding en relaties.
De langere variant van Hack_Right kan bij Reclassering worden opgelegd in het kader van een bijzondere voorwaarde, en bij de RvdK in het kader van een werkstraf. Hack_Right kan ook worden opgelegd in de vorm van een Halt-afdoening. Dit betreft een kortere variant.
Vraag 9

Deelt u de mening dat de interventie Hack_Right een positieve bijdrage kan leveren aan het voorkomen van recidive bij jonge cybercriminelen? Zo ja, welke stappen onderneemt u om dit nadrukkelijker in het beleid naar voren te laten komen? Zo nee, waarom niet?

Minderjarigen kunnen, soms onbewust, forse cyberdelicten plegen. Hack_Right heeft als doel recidive onder jonge cybercriminelen te voorkomen en tegelijkertijd hun maatschappelijk zeer relevante ICT-talent te stimuleren binnen de kaders van de wet. Doordat jongeren leren hoe zij deze talenten op een veilige en rechtmatige manier kunnen ontwikkelen en inzetten, kan toekomstige maatschappelijke en financiële schade voorkomen worden. In de uitvoering van de interventie worden (private) ICT-bedrijven en -afdelingen betrokken, om de jongere te begeleiden bij de ontwikkeling van diens talent voor legale doeleinden. Momenteel is Hack_Right de enige interventie die zich specifiek richt op het voorkomen van herhaald daderschap bij (jonge) cybercriminelen.
Ondanks dat er sprake is van een stijging van (het aantal aangiften van) cybercriminaliteit blijkt dit nog niet uit de instroom bij Hack_Right. Dit vraagt aanvullende analyse, opdat passende maatregelen kunnen worden ingezet. Daarom heeft het Ministerie van Justitie en Veiligheid voor de komende jaren subsidie toegezegd aan de drie uitvoeringsorganisaties (Reclassering, RvdK en Halt) voor de verdere implementatie en inbedding van Hack_Right in de justitiële processen. Daarnaast voert het WODC een onderzoek uit naar de in- en doorstroom van jeugdige en volwassen verdachten en daders van cybercrime binnen de strafrechtketen.8
Vraag 10

Komt het vaker voor dat er pas eindvonnis wordt gewezen door een rechtbank vier jaar nadat een verdachte in verzekering is gesteld? Zo ja, kunt u per rechtbank uitsplitsen hoe vaak de afgelopen vijf jaren vonnissen werden gewezen waarbij een dader strafvermindering kreeg als gevolg van schending van de redelijke termijn?

Het komt voor dat een rechtbank pas vier jaar nadat een verdachte in verzekering is gesteld het eindvonnis wijst. Uitsplitsen hoe vaak de afgelopen vijf jaren vonnissen zijn gewezen waarbij een dader strafvermindering kreeg als gevolg van schending van de redelijke termijn is niet geautomatiseerd mogelijk. Dit aangezien het overschrijden van de redelijke termijn niet wordt geregistreerd in de systemen van de rechtspraak.
Vraag 11

Indien uw antwoord op vraag 10 luidt dat nergens wordt geregistreerd of er sprake is van schending van de redelijke termijn en wat de gevolgen hiervan zijn voor de opgelegde straffen, kunt u dan een reële inschatting maken gebaseerd op de gepubliceerde uitspraken op rechtspraak.nl om de Kamer toch inhoudelijk van een antwoord te voorzien?

Het onderzoeken van gepubliceerde uitspraken op rechtspraak.nl is zeer tijdrovend en de huidige capaciteit laat het momenteel niet toe een dergelijk onderzoek uit te voeren. Bovendien worden (nu nog) lang niet alle uitspraken gepubliceerd. Daarom is het onduidelijk of een dergelijk onderzoek een representatief beeld zou geven.

24 februari 2022 - 21 april 2022

56 dagen

Berichten omtrent cyberaanvallen op Oekraïne en Nederlandse servers
	Queeny Rajkowski (Volkspartij voor Vrijheid en Democratie), Ruben Brekelmans (Volkspartij voor Vrijheid en Democratie)
	Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (Volkspartij voor Vrijheid en Democratie), Wopke Hoekstra (viceminister-president , minister buitenlandse zaken) (CDA)

Bronnen

1. NRC, 22 februari 2022, Cyberaanvallen op Oekraïne aangestuurd via Ned…

Vraag 1

Bent u bekend met bovenstaande berichtgeving?1

Ja.
Vraag 2

Bent u ervan op de hoogte dat Nederlandse servers worden misbruikt door Rusland om cyberaanvallen uit te voeren in Oekraïne? Hoe beoordeelt u dit?

Het is bekend dat Nederlandse servers en infrastructuur misbruikt worden door criminelen voor het plegen van strafbare feiten, zoals DDoS- en ransomware-aanvallen. Dit is onwenselijk. Nederland heeft in vergelijking met andere EU-landen een relatief grote hosting sector. Dit heeft te maken met de uitstekende digitale infrastructuur waarover Nederland beschikt: het internet is betrouwbaar en snel. Zowel nationaal als internationaal maken personen, bedrijven en organisaties gebruik van de Nederlandse infrastructuur. Naast legitieme klanten, kunnen criminelen en andere kwaadwillenden misbruik maken van de Nederlandse hostingsector. De hostingprovider is zich hier niet altijd van bewust. Daarnaast bestaan er zogenaamde «bulletproof» hosters, die hun klanten willens en wetens faciliteren bij hun strafbare gedrag. Verder ziet Nederland het zorgvuldigheidsbeginsel als een verplichting binnen het internationaal recht. Zie hiervoor verder de kamerbrief Tegenmaatregelen ransomware-aanvallen van de Minister van Buitenlandse Zaken.2
Vraag 3

Hoeveel Nederlandse servers zijn de afgelopen weken misbruikt vanuit Rusland om cyberaanvallen uit te voeren? Heeft u een beeld om welke servers het gaat? Zo ja, zijn er stappen genomen om deze servers uit de lucht te halen? Zo nee, waarom niet?

Dergelijke digitale aanvallen worden uitgevoerd vanuit command-and-control servers. Deze staan wereldwijd in datacenters, waaronder ook in Nederland. Voor datacenters is het vrijwel onmogelijk om te controleren welke servers voor dergelijke malafide doeleinden worden ingezet. Voor elke aanval zou specifiek technisch onderzoek nodig zijn om te achterhalen via welke servers een aanval is uitgevoerd. Dergelijk technisch onderzoek is niet bij elke aanval mogelijk, vanwege de capaciteit die dit kost en gezien het aantal (pogingen tot) aanvallen.
Vraag 4

Klopt het dat Rusland ongezien Nederlandse servers kon huren voor zijn activiteiten en zo ongestoord cyberaanvallen kon uitvoeren op Oekraïne? Zo ja, in hoeverre worden huurders gescreend bij hostingbedrijven door hostingbedrijven zelf? Zijn hostingbedrijven verplicht om huurders te screenen? Zo ja, gebeurt dit ook en hoe vindt de controle plaats dat dit ook gebeurt? Zo nee, waarom niet?

Wie precies de servers heeft gehuurd voor de genoemde activiteiten is niet bekend. Het screenen van klanten door hostingproviders is geen wettelijke verplichting. Het gaat hier om private bedrijven, waarop in Nederland contractvrijheid van toepassing is. Zij mogen in beginsel zelf bepalen wie hun klanten zijn. Door de hostingsector is samen met het Ministerie van EZK een gedragscode opgesteld, om misbruik van hun servers tegen te gaan. Op EU-niveau heeft Nederland in het kader van de gesprekken over de Digital Services Act (DSA) gepleit voor het hierin opnemen van regels voor hostingproviders om crimineel misbruik te bemoeilijken, waaronder het vergaren van informatie over klanten. Hiervoor was onvoldoende steun.
Vraag 5

Welke rol speelt de politie in het screenen van huurders van hostingbedrijven? Wanneer screent de politie huurders van hostingbedrijven? Zijn hostingbedrijven verplicht om servers offline te halen als de politie hier melding van maakt? Zo ja, is dit ook afgelopen weken gebeurd? Zo nee, waarom niet?

Zoals bij vraag 4 is aangegeven, zijn hosters niet wettelijk verplicht om hun klanten te screenen. De politie heeft geen wettelijke bevoegdheden om klanten van hostingproviders te screenen. Daarnaast is het screenen van klanten een toezichtstaak die niet bij de politie thuis hoort. Bij vermoedens van illegale activiteiten op een server kan bij een hostingprovider een verzoek worden gedaan voor een vrijwillige notice-and-takedown. Indien de hoster daar geen gehoor aan geeft, kan de officier van justitie ter beëindiging van een strafbaar feit of ter voorkoming van nieuwe strafbare feiten een dienstverlener bevelen gegevens ontoegankelijk te maken (artikel 125p Wetboek van Strafvordering (Sv)) sturen naar een hostingprovider. Wanneer cybercriminelen gebruik maken van servers gehuurd bij buitenlandse resellers kan het doen van vorderingen worden bemoeilijkt, en daarmee het opsporingsonderzoek en het beëindigen van strafbare feiten.
Indien de politie weet heeft van strafbare feiten die via Nederlandse servers gepleegd worden, kan een opsporingsonderzoek worden gestart. Dit zal zich in beginsel richten op de plegers van strafbare feiten, zoals de daders van een ransomware-aanval. Het opsporingsonderzoek kan zich ook richten op de hostingprovider of de reseller, mits zij worden verdacht van een strafbaar feit.
Vraag 6

Bent u het met de VVD-fractie eens dat het ongebreideld door kunnen verhuren van hostingruimte door resellers het wel erg makkelijk kan maken voor kwaadwillenden om een online rookgordijn te creëren? Zo ja, wat wilt u hieraan doen en welke mogelijkheden hebben hostingbedrijven en politie om gegevens over resellers op te vragen? Zo nee, waarom niet?

Het is onwenselijk dat kwaadwillenden Nederlandse servers misbruiken voor bijvoorbeeld het plegen van cyberaanvallen. De hostingsector heeft de gedragscode «abuse-bestrijding» ontwikkeld, die als doel heeft het schoon en veilig houden van het Nederlandse internet. Hierin is onder meer opgenomen dat hosters hun klanten kennen. Het blijft echter mogelijk dat klanten van hostingproviders deze serverruimte weer doorverhuren. Verder deelt het Clean Networks Initiatief3 onder deelnemers geautomatiseerd actuele informatie over kwetsbaarheden en misbruik in de systemen van alle deelnemers, geprioriteerd op basis van urgentie en impact. Daarnaast is in 2020 het Anti Abuse Netwerk (AAN) opgericht. Deze coalitie van publieke en private partijen zet zich in voor de bestrijding van misbruik van de technische infrastructuur.
Recentelijk heeft de politie een lijst opgesteld met resellers die vaak laten doorschemeren of openlijk toegeven dat zij diensten leveren aan criminelen. Deze lijst is gedeeld met de Dutch Cloud Community (DCC). Zie hiervoor ook de beantwoording van de Kamervragen van het lid Rajkowski.4 Naar aanleiding van deze beantwoording heeft DCC laten weten dat een aantal leden met bepaalde klanten geen zaken meer doet.5
Momenteel is in EU-verband de triloog-fase van de Digital Services Act begonnen. Deze verordening dient onder meer ter vernieuwing van de huidige E-Commerce richtlijn. In het voorstel worden hostingaanbieders onder andere verplicht een toegankelijk notificatiemechanisme in te stellen waarbij illegale inhoud gemeld kan worden en wordt verduidelijkt dat hostingproviders hun beperking van aansprakelijkheid kunnen verliezen wanneer zij na een melding van illegale inhoud deze niet prompt verwijderen of ontoegankelijk maken. Het kabinet steunt de invoering van deze maatregelen.
Vraag 7

Bent u het met de VVD-fractie eens dat het zeer zorgelijk is dat onze uitstekende digitale infrastructuur wordt misbruikt door landen als Rusland om cyberaanvallen uit te voeren op Oekraïne en dat Nederland daarmee onbewust en indirect de Russische aanval faciliteert? Zo ja, bent u bereid om hostingbedrijven strenger te controleren al dan niet via de politie? Zo nee, waarom niet?

Het is zeer onwenselijk dat Nederlandse infrastructuur wordt misbruikt voor het plegen van cyberaanvallen. Dit geldt ook in het geval van kwaadwillende cyberoperaties tegen Oekraïne. Zoals eerder is aangegeven zijn hostingbedrijven niet wettelijk verplicht om hun klanten te controleren. Het controleren van hostingbedrijven is bovendien geen taak van de politie. Bij het tegengaan van misbruik van Nederlandse netwerken blijft het belangrijk dat de samenwerking wordt gezocht tussen de hostingsector en de politie.

15 februari 2022 - 29 maart 2022

42 dagen

Het bericht ‘Criminelen gebruiken foute hostingbedrijven voor activiteiten vanuit Nederland’.
	Queeny Rajkowski (Volkspartij voor Vrijheid en Democratie)
	Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (Volkspartij voor Vrijheid en Democratie)

Bronnen

1. NOS, 12 februari 2022, «Criminelen gebruiken foute hostingbedrijven v…

Vraag 1

Bent u bekend met het bericht «Criminelen gebruiken foute hostingbedrijven voor activiteiten vanuit Nederland»?1

Ja.
Vraag 2

In november waarschuwde de politie al voor 70 mogelijk malafide bedrijven die serverruimte doorverhuren aan criminelen, waar komen deze malafide bedrijven vandaan? Welke acties zijn daarna ondernomen tegen deze malafide bedrijven?

De politie geeft aan dat het om buitenlandse bedrijven gaat die gebruik maken van de Nederlandse infrastructuur. Bedrijven die serverruimte doorverhuren worden «resellers» genoemd. Deze resellers huren serverruimte van een in Nederland gevestigde hostingprovider, waarna ze deze doorverhuren aan een klant. Deze klanten kunnen personen zijn die een reguliere website willen laten draaien, maar dit kunnen ook cybercriminelen zijn die de zich in Nederland bevindende server misbruiken voor strafbare feiten. Op basis van openbaar toegankelijke informatie, zoals bepaalde internetfora, heeft de politie een lijst opgesteld van resellers die vaak laten doorschemeren of openlijk toegeven dat zij diensten leveren aan criminelen. Deze lijst is gedeeld met de leden van de brancheorganisatie van hostingproviders, de Dutch Cloud Community (DCC). Aan hen is gevraagd of zij deze resellers in hun klantenbestand hebben. Het is aan deze hostingproviders om eventueel actie te ondernemen op basis van deze lijst.
Vraag 3

Welke acties hebben hostingbedrijven uitgevoerd nadat de politie deze waarschuwing heeft verstuurd? Heeft de politie contact gehouden met de hostingbedrijven om te checken of hostingbedrijven wat met deze waarschuwing hebben gedaan?

De politie heeft DCC gevraagd naar hun ervaring met deze actie. DCC heeft aangegeven dat zij en haar leden overwegend positief zijn, met name over het feit dat de politie een dergelijke lijst heeft opgesteld en als waarschuwing heeft gedeeld. De hostingproviders hebben geen mededelingen gedaan over het al dan niet handelen naar aanleiding van de lijst.
Vraag 4

Zijn de tientallen criminele activiteiten die afgelopen maanden via de netwerken van bedrijven zijn ondernomen, zoals blijkt uit het onderzoek van Pointer en Spamhaus, bekend bij de politie? Zo ja, welke acties zijn hiertegen ondernomen?

Het feit dat misbruik wordt gemaakt van de Nederlandse infrastructuur is al langere tijd bekend bij de politie. De politie richt zicht binnen de opsporingsonderzoeken die zij uitvoeren onder meer op hostingbedrijven die bewust criminaliteit faciliteren. Daarop zijn reeds meerdere strafzaken gestart. Zoals ook in de beantwoording van Kamervragen van het lid Van Nispen2 is aangegeven, is het strafrechtelijk vervolgen van hostingproviders lastig. Het opsporen en vervolgen van buitenlandse resellers is mogelijk nog complexer indien hiervoor samenwerking nodig is met een land waarmee Nederland geen of geen goede rechtshulprelatie heeft. De politie en het OM werken daarom niet alleen aan opsporing en vervolging, maar bijvoorbeeld ook aan slachtoffernotificatie en samenwerking met private partijen om de criminele activiteiten te verstoren.
Vraag 5

Om wat voor type criminele activiteiten gaat het in deze gevallen? Kunt u een inschatting maken van de schade die is toegebracht door de criminelen?

De politie geeft aan dat de resellers verschillende typen cyberdelicten faciliteren, zoals computervredebreuk, phishing-campagnes en ransomware-aanvallen. Vanwege het ontbreken van kwantitatieve gegevens en de lage aangiftebereidheid van cybercrimedelicten is een betrouwbare inschatting van de schade niet beschikbaar.
Vraag 6

Op welke manier werken hostingbedrijven en de politie samen om dit soort praktijken te voorkomen? Kan deze samenwerking verstevigd worden? Is het op een directe, dan wel indirecte manier mogelijk om hostingbedrijven aansprakelijk te stellen voor het verhuren van serverruimte aan malafide bedrijven?

De politie is deelnemer aan het Anti Abuse Netwerk (AAN). Deze coalitie van publieke en private partijen zet zich in voor de bestrijding van misbruik van de technische infrastructuur. Daarnaast wordt in individuele opsporingsonderzoeken waar nodig in contact getreden met hostingproviders.
In de huidige situatie zijn hostingproviders op grond van Europese regelgeving en de Nederlandse implementatie daarvan onder voorwaarden niet aansprakelijk voor de gedragingen van hun klanten, waaronder (klanten van) resellers. De beperking van aansprakelijkheid voor hostingproviders die wordt geregeld in artikel 14 van de E-Commerce-richtlijn, is geïmplementeerd in artikel 54a Sr. Artikel 54a Sr stelt dat hostingproviders in beginsel niet vervolgd kunnen worden vanwege wederrechtelijk materiaal dat door klanten op hun servers wordt geplaatst, indien zij doen wat redelijkerwijs van hen gevergd kan worden wanneer ze op bevel van de officier van justitie (125p Sv) gegevens ontoegankelijk moeten maken. Een bevel om een dienst ontoegankelijk te maken is gericht op individuele inhoud en niet op de hostingprovider als zodanig. Het voorkomt niet dat een hostingprovider opnieuw (dezelfde) klanten toelaat die wederrechtelijk materiaal plaatsen op de servers van de hostingproviders.
Vraag 7

Bent u het ermee eens dat het niet uit te leggen is dat via Nederlandse servers buitenlandse criminelen makkelijk hun gang kunnen gaan om vervolgens ernstige criminele activiteiten te plegen? Op welke manier kunt u ervoor zorgen dat malafide bedrijven minder kans krijgen om serverruimte van Nederlandse hostingbedrijven te kopen?

Het is belangrijk om ervoor te zorgen dat het Nederlandse netwerk veilig is en niet misbruikt wordt door criminelen. Momenteel is in EU-verband de triloog-fase van de Digital Services Act begonnen. Deze verordening dient onder meer ter vernieuwing van de huidige E-Commerce richtlijn. In het voorstel worden hostingaanbieders onder andere verplicht een toegankelijk notificatie-mechanisme in te stellen waarbij illegale inhoud gemeld kan worden en wordt verduidelijkt dat hostingproviders hun beperking van aansprakelijkheid kunnen verliezen wanneer zij na een melding van illegale inhoud deze niet prompt verwijderen of ontoegankelijk maken. Het kabinet steunt de invoering van deze maatregelen.
De hostingsector heeft zelf reeds initiatieven ontplooid om het misbruik van Nederlandse netwerken tegen te gaan, zoals het eerdergenoemde Anti-Abuse Netwerk. Daarnaast heeft de hostingsector zelf een gedragscode «abuse-bestrijding» ontwikkeld, die als doel heeft het schoon en veilig houden van het Nederlandse internet. Hierin is ook opgenomen dat hosters hun klanten kennen. Verder deelt het Clean Networks Initiatief3 onder deelnemers geautomatiseerd actuele informatie over kwetsbaarheden en misbruik in de systemen van alle deelnemers, geprioriteerd op basis van urgentie en impact.

15 februari 2022 - 8 maart 2022

21 dagen

Het bericht ‘Ziekenhuizen kwetsbaar voor cyberaanval: Wachten totdat het misgaat’
	Queeny Rajkowski (Volkspartij voor Vrijheid en Democratie), Judith Tielen (Volkspartij voor Vrijheid en Democratie)
	Kuipers

Bronnen

1. Nu.nl, 26 januari 2022, «Ziekenhuizen kwetsbaar voor cyberaanval: Wac…

Vraag 1

Bent u bekend met het bericht «Ziekenhuizen kwetsbaar voor cyberaanval: Wachten totdat het misgaat» van 26 januari jongstleden?1

Ja.
Vraag 2

Deelt u de zorgen bij het lezen van de constatering van beveiligingsexperts dat Nederlandse ziekenhuizen nog altijd kwetsbaar zijn voor cyberaanvallen? Zo nee, wat is dan uw oordeel over deze constatering?

Ik deel de zorgen dat er een toename is aan veiligheidsdreigingen voor zorginstellingen door een toename van cyberaanvallen. Tegelijkertijd kunnen cyberaanvallen nooit helemaal worden voorkomen. Informatiebeveiliging vraagt daarmee continue aandacht om de beschikbaarheid, integriteit en vertrouwelijkheid van (patiënt)informatie te waarborgen. Zorgaanbieders, zoals ziekenhuizen, moeten daar alert op zijn. Zij zijn verantwoordelijk voor het op orde hebben en houden van hun informatiebeveiliging. Onderdeel daarvan is het voldoen aan de wettelijk verplichte NEN 7510-norm die de kaders stelt om beschikbaarheid, integriteit en vertrouwelijkheid van medische gegevens te borgen. Daarnaast worden ziekenhuizen ondersteund door Z-CERT (het Computer Emergency Response Team voor de zorg) bij (dreigende) cyberincidenten en bij het vergroten van hun digitale weerbaarheid. Er zijn de laatste jaren door de ziekenhuizen al grote stappen gezet op het gebied van informatiebeveiliging, waaronder ook het aantoonbaar voldoen aan de NEN 7510. Dit komt ook naar voren in het recent gepubliceerd inspectierapport van de Inspectie Gezondheidzorg en Jeugd (IGJ) bij ziekenhuizen2. Ziekenhuizen die op het moment van het inspectiebezoek hun informatiebeveiliging niet op orde hadden, hebben na het inspectiebezoek beveiligingsmaatregelen genomen waaronder het aantoonbaar voldoen aan de NEN7510 norm.
Vraag 3

Hoeveel Nederlandse ziekenhuizen en andere zorginstellingen zijn in 2021 geraakt door cyberaanvallen, en hoeveel in 2020 en 2019? Om welk type cyberaanvallen ging het in die gevallen? In hoeveel gevallen is de continuïteit van zorg in gevaar gekomen als gevolg van een cyberaanval?

Cybercrime en het aantal cyberincidenten nemen in rap tempo toe. Het is niet bekend hoeveel zorginstellingen in 2021, 2020 en 2019 precies geraakt zijn door cyberaanvallen. Daarvan is geen meldingsplicht. Wel heeft Z-CERT op mijn verzoek gemeld dat er in de afgelopen drie jaar ruim 1300 hulpverzoeken en (cyber)incidenten zijn gemeld bij Z-CERT. Met name in 2021 is het aantal meldingen fors gestegen. Dit komt mede omdat er in 2021 een grote groep nieuwe deelnemers is aangesloten. Onder andere meldden in 2021 vijf zorginstellingen te zijn geraakt door een ransomware-aanval, vier meer dan in 2020 aldus Z-CERT in haar recent gepubliceerde «Cyber Dreigingsbeeld in de zorg 2021»3. In 2019 werden 176 en in 2020 182 hulpverzoeken gemeld bij Z-CERT.
Vraag 4

Deelt u de mening dat het zorgelijk is dat beveiligingsexperts constateren dat de zorgsector qua digitale beveiliging achterloopt op andere sectoren? Hoe beoordeelt u dit in het licht van het vitale karakter van zorgprocessen?

De beveiliging en beschikbaarheid van ICT in de zorg verdienen blijvend aandacht. Mijn beleid focust zich op het verhogen van bewustwording van de noodzaak tot beveiliging van de gevoelige persoonsgegevens die juist in de gezondheidszorg zo’n grote rol spelen. Ik herken mij niet in het beeld dat de zorgsector achter zou lopen op andere sectoren als het gaat om digitale weerbaarheid. Er zijn de laatste jaren door de ziekenhuizen en andere zorginstellingen grote stappen gezet op het gebied van informatiebeveiliging, waaronder het verhogen van cyberbewustwording, het (collectief) aansluiten bij Z-CERT en ook het aantoonbaar voldoen aan de wettelijk verplichte NEN 7510.
Vraag 5

Klopt het dat de Inspectie Gezondheidszorg en Jeugd (IGJ) in 2021 al concludeerde dat de informatiebeveiliging van de meeste ziekenhuizen niet voldoet aan de gestelde eisen? Zo ja, welke consequenties zijn er voor ziekenhuizen die hier niet aan voldoen? Zijn sinds de conclusie van de Inspectie stappen gezet om de informatiebeveiliging van deze ziekenhuizen op het juiste niveau te krijgen? Zo ja, welke? Zo nee, waarom niet?

Het artikel van Nu.nl refereert aan een publicatie van de IGJ van december 2021 over het toezicht op e-health bij 22 ziekenhuizen («Professionele digitale zorg vraagt van ziekenhuizen steeds opnieuw evalueren en verbeteren»). De inspectiebezoeken vonden plaats in de periode tussen september 2017 en oktober 2021. Hierbij keek de inspectie onder andere naar het thema informatiebeveiliging: ziekenhuizen moeten een managementsysteem voor informatiebeveiliging hebben dat voldoet aan de wettelijk verplichte norm NEN 7510. Een onderdeel van deze norm is dat een onafhankelijke beoordeling van het managementsysteem voor informatiebeveiliging aanwezig moet zijn. Bij meer dan de helft van de bezochte ziekenhuizen bleek dit op het moment van het inspectiebezoek niet het geval. De ziekenhuizen die onvoldoende konden aantonen dat zij voldeden aan de norm, kregen de opdracht van de inspectie om dit alsnog aan te tonen. Dit betekende in de praktijk dat de meeste van deze ziekenhuizen alsnog een onafhankelijke beoordeling moesten laten uitvoeren en zo nodig naar aanleiding van de uitkomsten een verbeterplan moesten doorvoeren.
De desbetreffende ziekenhuizen gaven hieraan gehoor. Bij acht ziekenhuizen heeft dit er vervolgens toe geleid dat zij een (niet wettelijk verplicht) certificaat hebben behaald voor NEN 7510. Uit de publicatie van de IGJ van december 2021 kunnen geen conclusies worden getrokken over de ziekenhuizen die niet zijn bezocht. In de publicatie van de inspectie roept de inspectie alle ziekenhuizen op om hun informatiebeveiliging snel aantoonbaar op orde te krijgen voor zover dat nu nog niet het geval is. De inspectie zal ook andere ziekenhuizen hierop in de toekomst aanspreken als bij een thematisch bezoek blijkt dat de informatiebeveiliging niet aantoonbaar voldoet aan de norm.
Vraag 6

Welke maatregelen nemen ziekenhuizen al dan niet in samenwerking met Z-CERT, om cyberaanvallen te voorkomen? In hoeverre wordt bijvoorbeeld geoefend met Z-CERT op cyberincidenten? In hoeverre wordt de Kwetsbaarheden Analyse Tool (KAT) al ingezet binnen de zorgsector om doorlopend te scannen op kwetsbaarheden?

In de afgelopen jaren hebben ziekenhuizen extra beveiligingsmaatregelen getroffen om de toenemende cyberdreiging het hoofd te bieden. De wettelijk verplichte NEN 7510 norm biedt hiervoor een goed kader. Ook zien we dat steeds meer ziekenhuizen zich laten certificeren tegen deze NEN norm. Met onder meer de publicatie van richtlijnen ter voorkoming van ransomware en met het organiseren van webinars draagt Z-CERT bij aan het vergroten van het bewustzijn en het treffen van adequate maatregelen. Z-CERT informeert en adviseert ziekenhuizen dagelijks over dreigingen en incidenten met betrekking tot hun zorginformatiesystemen. Ook helpt Z-CERT-ziekenhuizen zich voor te bereiden op (en om te gaan met) ernstige ICT-incidenten of ICT-crises. Deze inspanningen dragen bij aan het voorkomen van cyberincidenten. In samenwerking met een aantal ziekenhuizen voert Z-CERT op beperkte schaal al cyberoefeningen uit. Het voornemens is om in de komende jaren verder te investeren in het organiseren van cyberoefeningen bij ziekenhuizen en andere deelnemers van Z-CERT. Dat ondersteun ik.
De Kwetsbaarheden Analyse Tool (KAT) wordt op dit moment specifiek toegepast in het zorgdomein. Thans loopt er een project bij Z-CERT om deze dienst in te richten en te operationaliseren en deze beschikbaar te stellen aan zorginstellingen. Dit in aanvulling op andere middelen die worden ingezet om deelnemers van Z-CERT te controleren op kwetsbaarheden en proactief te waarschuwen.
Vraag 7

Deelt u de mening dat het van groot en urgent belang is dat ziekenhuizen maatregelen treffen, zeker gezien de COVID-19-crisis, om cyberaanvallen te voorkomen? Zo ja, bent u bereid om op korte termijn mét de sector en Z-CERT te werken aan maatregelen om zorginstellingen, zoals ziekenhuizen, digitaal weerbaar te maken? Op welke termijn verwacht u de Kamer hierover te kunnen informeren? Zo nee, waarom niet?

Ik vind het van belang dat zorginstellingen de aan hun toevertrouwde informatie beveiligen en beschermen. Tegelijkertijd zullen er in de digitale wereld altijd cyberrisico’s blijven. Het is zaak die te onderkennen, zoveel mogelijk te mitigeren, voortdurend te bewaken en in te grijpen bij (dreigende) verstoringen. Zorginstellingen moeten daar alert op zijn aangezien zij zelf verantwoordelijk zijn voor het op orde hebben en houden van hun informatiebeveiliging. Ik werk momenteel al samen met de sector en Z-CERT om de zorg weerbaarder te maken.
Ik ondersteun Z-CERT met het risicogestuurd uitbreiden van het aantal deelnemers. Z-CERT heeft nu ruim 200 zorginstellingen aangesloten. Dit is een verdubbeling ten opzichte van een jaar eerder. Daarnaast werk ik samen met Z-CERT om openbare diensten en producten te ontwikkelen zoals de reeds verschenen «handreiking verlopen domeinnamen» Z-CERT_Handreiking2021.pdf. Deze handreiking helpt bij het proactief en continu monitoren op kwetsbaarheden van verlopen zorgdomeinnamen.
Om bewustwording over informatiebeveiliging in de zorg te verhogen heb ik in samenwerking met Brancheorganisaties Zorg de wegwijzer «Aan de slag met Informatieveilig gedrag» ontwikkeld en deze medio 2021 beschikbaar gesteld aan het veld4. De wegwijzer helpt zorginstellingen om de informatieveiligheid te verbeteren en helpt hen ook concreet bij het voldoen aan de wettelijk verplichte NEN 7510. In mijn volgende Kamerbrief over elektronische gegevensuitwisseling in de zorg zal ik uw Kamer nader informeren over de vorderingen op het gebied van informatieveiligheid in de zorg.

4 februari 2022 - 16 maart 2022

40 dagen

De vacature ‘Senior beleidsmedewerker interceptie en digitale opsporing.’
	Queeny Rajkowski (Volkspartij voor Vrijheid en Democratie)
	Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (Volkspartij voor Vrijheid en Democratie)

Bronnen

1. Werken voor Nederland, 25 januari 2022, «Senior beleidsmedewerker int…

Vraag 1

Bent u bekend met bovenstaande vacature?1

Ja.
Vraag 2

Klopt het dat de functie onder andere het onderzoeken naar de (voor- en nadelen van) mogelijkheden om communicatie van OTT-communicatiediensten, zoals Whatsapp, Signal e.d. op een proportionele wijze aftapbaar te maken, omvat? Zo ja, kunt u deze te verrichten werkzaamheden toelichten?

Ja, dat klopt. Als onderdeel van het onderzoek dat in de vacaturetekst wordt genoemd is er een inventarisatie gaande om mogelijkheden te onderzoeken voor rechtmatige toegang tot versleutelde digitale communicatie, om vervolgens de voor- en nadelen daarvan voor alle betrokken zwaarwegende belangen te analyseren. Daardoor wordt geïnformeerde en zorgvuldige besluitvorming door het kabinet en uw Kamer mogelijk. Tijdens deze inventarisatie wordt expliciet de mogelijkheid opengehouden dat geen proportionele oplossing zich aandient, waardoor voortgang op dit traject op dat moment niet prudent is. Hieronder volgt een nadere onderbouwing.
Politie, het OM en de inlichtingen- en veiligheidsdiensten (IenV-diensten) geven al langere tijd aan dat het wijdverspreide gebruik van digitale communicatiediensten een negatieve impact heeft op de effectiviteit van de interceptiebevoegdheden. Dat komt onder meer door het volgende. Over-The-Top (OTT) communicatiediensten (OTT-communicatiediensten) worden praktisch door iedereen gebruikt. Deze OTT-communicatiediensten kennen geen wettelijke medewerkings- en aftapbaarheidsverplichtingen zoals aanbieders van openbare telecommunicatiediensten en -netwerken die wel hebben. Bovendien is er geen sprake van een ontsleutelplicht voor dergelijke aanbieders van communicatiediensten. Daarbovenop maken zij gebruik van een type versleuteling waardoor niet alleen opsporings- en IenV-diensten zijn uitgesloten van toegang tot deze communicatie, maar ook de aanbieders van de diensten zelf. Rechtmatige toegang is hierdoor niet mogelijk, ongeacht de bevoegdheden daartoe, passende juridische waarborgen of de ernst van het criminele feit of de dreiging.
De zorgen geuit door de opsporings- en IenV-diensten over de effectieve uitvoering van hun wettelijke taak neem ik serieus. Het betreft hier het vermogen van deze diensten om hun kerntaken uit te voeren: criminaliteit opsporen, verdachten voor de rechter brengen en de Nederlandse veiligheid bewaken.
Tegelijkertijd ben ik mij er zeer van bewust dat het een bijzonder complex vraagstuk is met veel betrokken vakgebieden en belangen. Ook door dit kabinet wordt de noodzaak voor goede, sterke versleuteling van digitale communicatie onderschreven alsook het belang hiervan voor cybersecurity, nationale veiligheid en de bescherming van fundamentele rechten en vrijheden. Zie hiervoor ook het antwoord op vraag vier.
Uw Kamer is bekend met de initiatieven die door het vorige kabinet met betrekking tot de interceptie van communicatie via OTT-communicatiediensten in gang zijn gezet en de motivatie daarvoor, alsook de dilemma’s die in dit vraagstuk naar voren komen en in deze beantwoording verder worden toegelicht. Naast deze nationale verkenning is in dit traject ook een initiatief op EU-niveau in gang gezet. Nederland staat niet alleen in de zoektocht naar een passende, rechtstatelijke oplossing voor dit bijzonder complexe vraagstuk. De Commissie heeft aangegeven in 2022 een «way forward» te willen voorstellen op dit dossier. Daarbij pleit ik ook structureel, mede in EU verband, voor een transparant proces waarbij de samenwerking met het bedrijfsleven, opsporingsdiensten, het maatschappelijk middenveld en de wetenschap wordt gezocht. Gedurende het EU traject vindt ook afstemming plaats tussen mijn Ministerie en de I&V-diensten.
Vraag 3

Wat is volgens u het uiteindelijke doel van het onderzoeken naar de mogelijkheden om communicatie van OTT-diensten op een proportionele wijze aftapbaar te maken? Hoe verhoudt dit doel zich tot het bredere cybercrime beleid?

Zoals ik in mijn antwoord op vraag 2 heb aangegeven is het doel van de inventarisatie om geïnformeerde en zorgvuldige besluitvorming mogelijk te maken door dit kabinet en uw Kamer. Indien een mogelijke oplossing voor interceptie van versleutelde communicatie via OTT-communicatiediensten wordt gevonden, dan moet men goed inschatten wat de impact is op de cybersecurity, nationale veiligheid en bescherming van fundamentele rechten en vrijheden, zoals eerbiediging van de privacy. Indien een proportionele oplossing zich niet aandient, moeten we bijvoorbeeld ook goed analyseren wat dit betekent voor de mogelijkheden van de opsporing en IenV-diensten om criminaliteit op te sporen en onze maatschappij veilig te houden.
Dit traject staat los van het cybercrime beleid. De beschermende waarde van encryptie om te voorkomen dat criminelen toegang krijgen tot persoonlijke gegevens staat niet ter discussie. Daarbij moet ook worden bedacht dat rechtmatige toegang tot versleutelde communicatie ook de veiligheid van de maatschappij en burgers kan verbeteren doordat illegale inhoud kan worden erkend, onderschept, verwijderd en slachtofferschap wordt voorkomen of geminimaliseerd. De interceptiebevoegdheid kan worden gebruikt voor de bestrijding van vele soorten criminaliteit. Daarbij gelden passende juridische waarborgen: er moet toestemming worden verleend door een bevoegde autoriteit – de rechter-commissaris bij de inzet ten behoeve van de opsporing – die in concrete gevallen telkens een proportionaliteitsafweging maakt.
Ook in opsporingsonderzoeken naar misdrijven die alleen in de fysieke wereld worden gepleegd communiceren verdachten onderling of met derden over de planning of uitvoering van het misdrijf via OTT-communicatiediensten. Gegeven het belang van de interceptiebevoegdheid voor vele typen criminaliteit en de ontwikkeling in het gebruik van OTT-communicatiediensten is het WODC gevraagd om onderzoek te doen naar de impact van encryptie op de opsporing. Dit onderzoek kan helpen bij de weging van de proportionaliteit van een eventuele oplossing.
Vraag 4

Hoe kijkt u naar het gebruik van end-to-end encryptie door OTT-communicatiediensten zoals Whatsapp en Signal? Wat zijn volgens u hier de voor- en nadelen van?

Ook dit kabinet erkent het belang van de ontwikkeling, beschikbaarheid en het gebruik van encryptie. Het is van groot belang de vertrouwelijkheid en integriteit van digitale communicatie en opgeslagen data te beschermen. Dat is belangrijk voor de eerbiediging van de persoonlijke levenssfeer, het vertrouwen van mensen in digitale producten en diensten en voor de Nederlandse economie in het licht van de digitale maatschappij. Dit kabinet stelt zich in het coalitieakkoord ook ten doel om privacy van burgers te verbeteren, fundamentele burgerrechten online te erkennen en veilige digitale communicatie te versterken.
In het coalitieakkoord wordt echter ook een ambitieuze agenda neergelegd voor de aanpak van ondermijnende criminaliteit, radicalisering en extremisme, cybercriminaliteit en de slagkracht van de opsporings- en IenV-diensten. Interceptie van communicatie is voor het realiseren van deze doelen van belang.
De voor- en nadelen die gelden voor de versleuteling in het algemeen gelden ook voor end-to-end versleuteling. Zoals ik in antwoord op vraag twee reeds benoemd heb, zijn door de implementatie van dit type versleuteling opsporings- en IenV-diensten uitgesloten van rechtmatige toegang tot deze communicatie via de aanbieder. Ongeacht de passende juridische waarborgen of de ernst van het criminele feit of de dreiging. Dit heeft tot gevolg dat opsporings- en IenV-diensten meer aangewezen zijn op alternatieve mogelijkheden om alsnog toegang tot de informatie te verkrijgen, zoals bijvoorbeeld de bevoegdheid tot Opname van Vertrouwelijke Communicatie (OVC) of het op afstand binnendringen in een geautomatiseerd werk.
De effectiviteit van de wet die deze laatste bevoegdheid mogelijk maakt wordt op dit moment geëvalueerd door het WODC, het rapport verwacht ik in de eerste helft van 2022. In het algemeen kan worden gesteld dat deze bevoegdheden minder schaalbaar en de effectiviteit er van beperkt voorspelbaar zijn vanwege de vereiste expertise, de kostbaarheid van de uitvoering, de capaciteit die dit vraagt en de vraag of het de opsporings- en inlichtingendiensten überhaupt lukt om toegang te krijgen en te houden tot de gewenste communicatie. Betrouwbare en voorspelbare toegang tot informatie is een belangrijk element in dit vraagstuk.
Vraag 5

Wat zijn volgens u de voor- en nadelen van het aftappen van OTT-communicatiediensten zoals Whatsapp? Kunt u deze toelichten?

Dit is de kernvraag van de inventarisatie die in gang is gezet en hangt af van de mogelijke oplossingen, indien zich een proportionele oplossing aandient. Nederland zet nu primair in op het eerdergenoemde EU-traject. In de tussentijd zal nationale gedachtevorming doorgaan om onder andere een betekenisvolle rol te spelen in dit traject. Daarbij zet ik mij in, zowel nationaal in EU-verband, voor een transparant proces waarbij de samenwerking met het bedrijfsleven, het maatschappelijk middenveld en de wetenschap wordt gezocht.
Vraag 6

Op welke wijze zou volgens u überhaupt de communicatie van deze OTT-diensten op proportionele wijze aftapbaar kunnen worden gemaakt? Kunt u dit toelichten?

Dit punt is onderwerp van de inventarisatie. Ik kan hierop nog geen antwoord geven. Ik zal uw Kamer indien het onderzoek resultaten heeft opgeleverd informeren over de uitkomsten en meenemen in de weging en verdere gedachtenvorming. Dat doe ik ook met een zeer brede groep van stakeholders: academici, het maatschappelijk middenveld, OTT-communicatiediensten, opsporings- en IenV-diensten.

Titel

Status

Indiener (persoon)

Indiener (partij)

Onderwerpen

102 kamervragen gevonden

beantwoord onbeantwoord uitgesteld

Alle

27 juli 2022 - 19 september 2022

54 dagen

Queeny Rajkowski (Volkspartij voor Vrijheid en Democratie)

Micky Adriaansens (minister economische zaken) (Volkspartij voor Vrijheid en Democratie), Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (Volkspartij voor Vrijheid en Democratie), Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66)

Bronnen

Vraag 1

Vraag 2

Vraag 3

Vraag 4

Vraag 5

Vraag 6

Vraag 7

Vraag 8

Vraag 9

Vraag 10

Vraag 11

26 juli 2022 - 2 september 2022

38 dagen

Silvio Erkens (Volkspartij voor Vrijheid en Democratie), Queeny Rajkowski (Volkspartij voor Vrijheid en Democratie)

Rob Jetten (minister zonder portefeuille economische zaken) (D66), Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (Volkspartij voor Vrijheid en Democratie)

Bronnen

Vraag 1

Vraag 2

Vraag 3

Vraag 4

Vraag 5

Vraag 6

Vraag 7

Vraag 8

Vraag 9

Vraag 10

Vraag 11

Vraag 12

Vraag 13

Vraag 14

25 juli 2022 - 26 september 2022

63 dagen

Queeny Rajkowski (Volkspartij voor Vrijheid en Democratie), Ingrid Michon (Volkspartij voor Vrijheid en Democratie)

Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (Volkspartij voor Vrijheid en Democratie), Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66)

Bronnen

Vraag 1

Vraag 2

Vraag 3

Vraag 4

Vraag 5

Vraag 6

Vraag 7

Vraag 8

Vraag 9

Vraag 10

Vraag 11

8 juli 2022 - 12 september 2022

66 dagen

Judith Tielen (Volkspartij voor Vrijheid en Democratie), Queeny Rajkowski (Volkspartij voor Vrijheid en Democratie)

Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66), Kuipers

Bronnen

Vraag 1

Vraag 2

Vraag 3

Vraag 4

Vraag 5

Vraag 6

6 juli 2022 - 1 november 2022

118 dagen

Queeny Rajkowski (Volkspartij voor Vrijheid en Democratie)

Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66)

Bronnen

Vraag 1

Vraag 2

Vraag 3

Vraag 4