Het bericht ‘Datalek gemeente Buren’ |
|
Queeny Rajkowski (VVD) |
|
Hanke Bruins Slot (minister binnenlandse zaken en koninkrijksrelaties) (CDA) |
|
![]() |
Bent u bekend met het bericht «Datalek gemeente Buren»?1
Ja
Klopt het bericht dat er 130 Gigabyte (GB) aan gegevens van de gemeente Buren en gemeente Neder-Betuwe is aangeboden op het darkweb? Zo ja, om wat voor gegevens gaat het? Gaat het hier ook om persoonsgegevens?
Ja, het gaat (ook) om persoonsgegevens en vertrouwelijke informatie. Zie ook: https://www.buren.nl/datalek. Ik vind het belangrijk om hierbij aan te geven dat er sprake is van datadiefstal bij de gemeente Buren en niet bij de gemeente Neder-Betuwe. Aangezien de gemeente Buren voor de gemeente Neder-Betuwe taken uitvoert in het kader van de Participatiewet zijn er mogelijk ook persoonsgegevens van een beperkt deel van de inwoners van de gemeente Neder-Betuwe gestolen.
Kunt u delen welke criminelen deze ransomware-aanval hebben uitgevoerd? Zo ja, gaat het hier om een crimineel netwerk? Zo nee, is de politie op de hoogte gesteld van de cyberaanval?
Er is aangifte gedaan bij de Politie. Het is bekend om welke Ransomware-soort dit gaat. Het is duidelijk dat het hier gaat om een groepering die internationaal veel slachtoffers maakt. In overleg met Politie/OM en de Informatiebeveiligingsdienst van de Vereniging van Nederlandse gemeenten (VNG/IBD) deel ik de naam van de groepering niet.
Is bekend op welke manier ransomware criminelen zijn binnengedrongen in de systemen van de gemeente Buren? Zo ja, op welke manier is de aanval verlopen? Worden andere gemeentes over deze modus operandi geïnformeerd, al dan niet via de Informatiebeveiligingsdienst (IBD)?
De gemeente Buren heeft direct na ontdekking van de Ransomware-aanval forensisch onderzoek laten opstarten door gespecialiseerde cybersecuritybedrijven. Deze bedrijven staan in nauw contact met de IBD en het Nationaal Cyber Security Centrum (NCSC). Het onderzoek is in volle gang en de resultaten zullen, zo meldt de gemeente Buren mij, in een publiek rapport beschikbaar worden gesteld.
De IBD heeft de beveiligingsfunctionarissen van Nederlandse gemeenten geïnformeerd over de Ransomware-aanval en de maatregelen die mogelijk zijn om dergelijke situaties te voorkomen. Via de IBD is ook het NCSC betrokken die, waar nodig, andere sectoren zal informeren.
Welke stappen zijn genomen voor de personen waarvan de persoonsgegevens op het darkweb staan? Bent u het ermee eens dat personen ingelicht moeten worden voor potentiele identiteitsfraude? Zo ja, is dat ook gebeurd? Zo nee, waarom niet en beoogt de gemeente dit nog te doen?
Inwoners en ondernemers en ook de medewerkers en raadsleden worden doorlopend door de gemeente Buren geïnformeerd. Waar het gaat om het beperkte deel van de inwoners in Neder-Betuwe die gebruik maken of hebben gemaakt van de Participatiewet, stemt de gemeente Buren met de gemeente Neder-Betuwe af over de wijze van inlichten.
Daar waar individuele inwoners, medewerkers of raadsleden het risico lopen op fraude als gevolg van deze datadiefstal worden zij geïnformeerd door de gemeente. Een gespecialiseerd bedrijf brengt in kaart om welke personen dit gaat.
Zijn er soortgelijke aanvallen bekend die recent bij andere gemeentes hebben plaatsgevonden? Zo ja, om welke gemeentes gaat het hier?
Eerder werden de gemeenten Lochem (2019)2 en Hof van Twente (2020)3 getroffen door een Ransomware-aanval. Daarbij was geen sprake van datadiefstal. Deze gemeenten hebben hier transparant over gecommuniceerd en lessen gedeeld.
Hoe groot acht u de kans dat soortgelijke aanvallen bij andere gemeentes plaatsvinden? Welke stappen worden vanuit de rijksoverheid genomen om gemeentes cyberweerbaar te maken tegen ransomwareaanvallen en andere digitale aanvallen?
Het is niet te voorspellen of en wanneer soortgelijke aanvallen plaatsvinden. Ik kan in elk geval niet uitsluiten dat een dergelijke aanval opnieuw zal plaatsvinden, noch bij een gemeente, noch bij een andere organisatie in een geheel andere sector.
Er is nauw contact met de VNG/IBD om te zien of en welke extra ondersteuning vanuit de rijksoverheid nodig is. Ik verwijs in dat verband naar de beantwoording op schriftelijke vragen van de leden Rajkowski en Strolenberg4, waar mijn ambtsvoorganger Knops een aantal acties heeft uitgelicht, zoals de overheidsbrede cyberoefening en het beschikbaar stellen van lessons learned van incidenten. Ik merk verder op dat de VNG en de IBD ook zelfstandig stappen neemt. Zoals in de beantwoording destijds is aangegeven is informatiebeveiliging een gezamenlijke verantwoordelijkheid die om een gezamenlijke aanpak vraagt.
Zijn er lessen te trekken uit de aanpak van de gemeente Buren nadat bekend werd dat een ransomware-aanval is uitgevoerd? Zo ja, welke lessen kunnen hieruit getrokken worden?
De gemeente Buren meldt mij dat voor dit doel een publieke onderzoeksrapportage en een evaluatie beschikbaar zullen komen. Beide zijn er nog niet. Het is daarom nu nog te vroeg om aan te geven welke concrete lessen uit de aanpak van de gemeente Buren kunnen worden getrokken.
In de beantwoording van eerdere schriftelijke vragen van de leden Rajkowski en Strolenberg (Aanhangsel Handelingen II, vergaderjaar 2021–2022, nr. 887) is te lezen dat gemeentes geholpen worden met een ondersteuningspakket van de IBD voor de processen en maatregelen uit de Baseline informatiebeveiliging Overheid (BIO) met de hoogste prioriteit, in welke mate zijn de kaders en richtlijnen van dit ondersteuningspakket geïmplementeerd bij de gemeente Buren? Wordt bovengenoemd ondersteuningspakket nu als voldoende geacht voor het verhogen van de digitale weerbarheid van gemeentes? Zo nee, waarom niet? Bent u het ermee eens dat het hebben van een cyberverdedigingsprotocol handelingsperspectief biedt voor gemeentes en daarmee een goede aanvulling kan zijn voor het instrumentarium van gemeentes om zo goed mogelijk om te gaan met cyberaanvallen en de schade zo beperkt mogelijk te houden? Zo ja, hoe staat het met de uitvoering van de aangenomen motie Yesilgöz-Zegerius (Kamerstuk 26 643, nr. 753)? Maken gemeentes hier al gebruik van? Zo ja welke? Zo nee, waarom niet?
In de reactiebrief5 van mijn ambtsvoorganger op de motie Yesilgöz-Zegerius6 en de eerdergenoemde beantwoording op Kamervragen van de leden Rajkowski en Strolenberg is aangegeven hoe mijn ambtsvoorganger uitvoering heeft gegeven aan de motie.
Ik herhaal hier kort wat mijn ambtsvoorganger in zijn reactiebrief heeft gesteld en waar ik mij bij aansluit. In het beleid wordt niet ingezet op één cyberverdedigingsprotocol voor alle gemeenten, omdat de ene situatie niet de andere is. Hoe er daadwerkelijk moet worden gehandeld is weliswaar context-afhankelijk, maar wel onderworpen aan eisen. Zoals ik heb aangegeven in de beantwoording van genoemde Kamervragen, stelt de Baseline Informatiebeveiliging Overheid (BIO) eisen aan het afhandelen van informatiebeveiligingsincidenten met inbegrip met vastgestelde procedures.
De gemeente Buren houdt zich aan de BIO en laat onderzoek doen hoe dit incident heeft kunnen gebeuren; ik gaf dit al aan in mijn antwoord op de vorige vraag. Ik hecht eraan te vermelden dat de gemeente nu midden in een grote crisis verwikkeld is en dat het belangrijk is de uitkomsten van het lopend onderzoek en evaluatie af te wachten. Ook merk ik op dat het college van burgemeester en Wethouders hierover primair verantwoording zal afleggen aan de gemeenteraad.
Uit het onderzoek en de evaluatie moet blijken hoe een dergelijk incident in de toekomst kan worden voorkomen. Dan zal ik ook bezien of het nodig is dat ik aanvullende maatregelen tref.
Het bericht ‘Oekraïense centrales slaan cyberaanval af’. |
|
Queeny Rajkowski (VVD) |
|
Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD) |
|
![]() |
Bent u bekend met het bericht «Oekraïense centrales slaan cyberaanval af»?1?
Ja.
Klopt het bericht dat Russische hackers een mislukte aanval op Oekraïense energiecentrales hebben uitgevoerd?
In publieke berichtgeving van het Oekraïense «Computer Emergency Response Team» (CERT-UA) en het beveiligingsbedrijf ESET wordt dit beeld geschetst.2 3 Hoewel dit zeer voorstelbaar is, is technische attributie complex en kan het bericht daarom niet met zekerheid door het kabinet worden bevestigd.
Wat is bij u bekend over de nieuwste malware vorm «Industroyer» en de aan Russische veiligheidsdiensten gelieerde groep «Sandworm»? Is bekend welke veiligheidsmaatregelen moeten worden genomen tegen deze nieuwe malware? Zo ja, worden hier al stappen voor gezet? Zo nee, waarom niet?
Industroyer is kwaadaardige software die in 2016 is ingezet in Oekraïne om een gedeelte van de elektriciteitsvoorziening uit te schakelen. Het recent gebruikte Industroyer2 is een nieuwe variant van deze malware.
De digitale aanval wordt door beveiligingsbedrijf ESET en CERT-UA met een hoge mate van zekerheid toegeschreven aan de Sandworm-groep. Deze groep wordt door Amerikaanse en Britse overheidsinstanties geacht gelieerd te zijn aan de Russische militaire inlichtingendienst de GRU en is door de EU in 2020 op de cybersanctielijst gezet.4 In Nederland doen inlichtingen- en veiligheidsdiensten onderzoek naar statelijke actoren. Over dergelijke inlichtingenonderzoeken wordt doorgaans niet publiekelijk gecommuniceerd.
De Industroyer2-malware is specifiek geconfigureerd om een Oekraïense energieleverancier aan te vallen. Aanvullend handelingsperspectief tegen deze malware is niet bekend, omdat de genomen maatregelen niet van toepassing zullen zijn op andere organisaties vanwege deze specifieke configuratie. Het Nationaal Cyber Security Centrum (NCSC) adviseert in algemene zin waakzaam te blijven en de basismaatregelen te treffen die op de website van het NCSC zijn gepubliceerd.5
Is de gebruikte malware «Industroyer» ook al gebruikt als cyberaanval op Nederlandse organisaties? Zo ja, waar is deze malware gebruikt? Zo nee, verwacht u cyberaanvallen met de malware «Industroyer» op Nederlandse organisaties in de nabije toekomst?
Op dit moment zijn er bij het NCSC geen aanwijzingen van de inzet van een van de varianten van Industroyer in een cyberaanval op Nederlandse organisaties.
Toekomstige aanvallen en eventuele gevolgen daarvan voor Nederland kunnen echter niet worden uitgesloten. Daarom is het belangrijk dat ook Nederlandse organisaties waakzaam en alert blijven en zich voorbereiden op een mogelijk incident.
Is er verhoogde paraatheid bij onze vitale aanbieders om een eventuele (indirecte) aanval met Industroyer af te wenden? Zo nee, waarom niet?
Ja. Het NCSC staat mede met oog op deze casus, samen met veiligheidspartners (onder andere met cybersecuritybedrijven en via de Cyber Intel/Info Cel), in nauw contact met vitale aanbieders in de energiesector.6 Op 13 april jongstleden heeft het NCSC relevante vitale aanbieders geïnformeerd over Industroyer2. Vanwege de eerdere variant van Industroyer uit 2016 heeft dit type malware al langer de aandacht van het NCSC.
Zijn er sinds de oorlog in Oekraïne al voorbeelden waarbij Russische hackers grootschalige cyberaanvallen uitvoeren op Nederlandse vitale bedrijven? Zo ja, hoe zijn deze cyberaanvallen verlopen? Zo nee, hoe groot acht u de kans dat deze bedrijven binnen korte tijd getroffen zullen worden door een grootschalige Russische cyberaanval?
Op basis van de huidige beschikbare informatie, kan geconcludeerd worden dat er vooralsnog geen grootschalige Russische cyberaanvallen op Nederlandse vitale bedrijven zijn uitgevoerd. Het NCSC houdt de situatie sinds de oorlog en de aanloop daarnaartoe nauwlettend in de gaten en heeft intensief contact met de inlichtingen- en veiligheidsdiensten.
Wel is het voorstelbaar dat Nederlandse belangen direct of indirect geschaad kunnen worden door digitale activiteiten omtrent de oorlog in Oekraïne. Het NCSC is dan ook waakzaam op eventuele veranderingen in de digitale dreiging richting Nederlandse belangen.
In hoeverre worden Nederlandse bedrijven voorbereid op grootschalige Russische cyberaanvallen door de rijksoverheid?
De verantwoordelijkheid om beschermende maatregelen te nemen is primair de verantwoordelijkheid van de bedrijven die het betreft zelf. De overheid heeft echter ook tot taak bedrijven te informeren over digitale dreigingen, incidenten en weerbaarheid.
Om de risico’s in de samenleving te beperken is er de afgelopen weken door het NCSC en het Digital Trust Center (DTC) extra aandacht gevraagd voor het belang van cyberweerbaarheid en waakzaamheid. Het NCSC voorziet daartoe in verschillende algemene producten en houdt een informatiepagina bij op de eigen website. Het DTC heeft op verschillende momenten partners en doelgroeporganisaties opgeroepen waakzaam te zijn, waarbij de nadruk wordt gelegd op het treffen van preventieve maatregelen.
Zo hebben het DTC en het NCSC op 9 maart gezamenlijk een online informatiesessie verzorgd met als titel «Huidig beeld en digitale impact van de oorlog in Oekraïne». Dit webinar was toegankelijk voor alle organisaties in Nederland en kan worden teruggekeken op het YouTube-kanaal van het DTC.7 Deze informatiesessie is door ongeveer 4.000 bezoekers bekeken.
Ook het «Cyber Security Incident Response Team» voor digitale dienstverleners (CSIRT-DSP) verstrekt een wekelijks overzicht van (internationaal) cybersecurity nieuws gerelateerd aan de oorlog in Oekraïne aan digitale dienstverleners en monitort de situatie nauwlettend voor een actueel dreigingsbeeld voor digitale dienstverleners in Nederland.
Uit een recente sterke toename van het aantal bezoeken aan de Basisscan Cyberweerbaarheid lijkt de oproep tot verhoogde cyberweerbaarheid en waakzaamheid weerklank te vinden.8
In hoeverre zijn kleinere bedrijven voldoende beschermd tegen cyberaanvallen vanuit Rusland? Wat is de status van de aangenomen motie Hermans c.s. (Kamerstuk 35 788, nr. 120) om ondernemers beter te beschermen tegen digitale aanvallen en dreigingen?
Ook hiervoor geldt dat de verantwoordelijkheid om beschermende maatregelen te nemen primair de verantwoordelijkheid is van de bedrijven zelf, en dat de overheid desalniettemin de taak heeft om bedrijven te informeren over digitale dreigingen, incidenten en weerbaarheid.
Naast de activiteiten uiteengezet in antwoord op vraag 7 publiceert het DTC sinds 2018 informatie over digitale dreigingen gericht op het Nederlandse bedrijfsleven. De vijf basisprincipes van veilig digitaal ondernemen zijn opgesteld om aanvallers, ongeacht de oorsprong, buiten de deur te houden. Daarnaast informeert het DTC sinds de zomer van 2021 individuele bedrijven over specifieke dreigingen en kwetsbaarheden in hun netwerk- en informatiesystemen.
De Tweede Kamer wordt voor de zomer geïnformeerd over de uitvoering van de motie Hermans c.s.9
Het bericht 'Erdogans Trolle schwören sich auf den Wahlkampf in Deutsland ein' |
|
Bente Becker (VVD), Queeny Rajkowski (VVD) |
|
Karien van Gennip (minister sociale zaken en werkgelegenheid) (CDA), Hanke Bruins Slot (minister binnenlandse zaken en koninkrijksrelaties) (CDA), Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD) |
|
![]() |
Bent u bekend met het bericht «Erdogans Trolleschwören sich auf den Wahlkampf in Deutsland ein»?1
Ja.
Hoe beoordeelt u het feit dat Turks-Duitse kiezers via Turkse verenigingen en social media, onder andere via influencers en trollen in aanloop naar de Turkse premier- en parlementsverkiezingen van 2023, beïnvloed worden in hun politieke keuzes?
In het algemeen geldt dat het kabinet die vormen van buitenlandse inmenging waarmee statelijke actoren het fundament van de Nederlandse democratische rechtsorde en open samenleving kunnen aantasten, volstrekt ongewenst vindt (de integriteit van politieke en bestuurlijke besluitvorming, onafhankelijke rechtspraak, vrije en eerlijke verkiezingen en fundamentele vrijheden zoals persvrijheid en vrijheid van meningsuiting). Nederlandse burgers moeten, ongeacht hun achtergrond, in staat zijn in vrijheid eigen keuzes te maken als het gaat om de inrichting van hun leven, politieke voorkeur en de band met een land van herkomst of dat van hun ouders of grootouders. Mogelijke ongewenste activiteiten door vertegenwoordigers van de Turkse overheid en de veronderstelling dat deze activiteiten onderdeel zijn van een bewuste politiek, kunnen bij sommige Nederlanders van Turkse komaf voor een permanent gevoel van onveiligheid zorgen. Dit kan zo ver gaan dat deze mensen zich beperkt voelen in hun vrijheid van meningsuiting of zelfcensuur toepassen. Ook kan op deze wijze de export van spanningen vanuit Turkije naar ons land worden versterkt.
Dergelijke vormen van ongewenste buitenlandse inmenging zijn onacceptabel. Dit betekent dat de Turkse autoriteiten zich dienen te onthouden van ongewenste bemoeienis met de keuzes die Nederlandse burgers maken. Wanneer het kabinet constateert dat het Turkse diasporabeleid de grenzen van onze rechtsstaat overschrijdt, dan wel participatie van Nederlanders met een Turkse achtergrond belemmert, zal het kabinet niet aarzelen de Turkse autoriteiten op deze activiteiten aan te spreken. Dit optreden richting Turkije bij ongewenste buitenlandse inmenging past in de generieke – landen-neutrale – aanpak waarover uw Kamer in maart 2018 is geïnformeerd.2
In hoeverre is in Nederland ook sprake van deze patronen van politieke beïnvloeding, al dan niet via social media in aanloop naar deze verkiezingen? Zo ja, welke signalen duiden hierop?
Het is van belang een onderscheid te maken tussen het diasporabeleid van de Turkse overheid, dat onder meer wordt vormgegeven via Diyanet – het Turkse presidium voor Godsdienstzaken – en de verkiezingscampagne van de AKP in aanloop naar de verkiezingen in 2023. Het is bekend dat de AKP, net als andere Turkse partijen, steun hoopt te verwerven onder de stemgerechtigden die buiten Turkije wonen. Dat doen Nederlandse politieke partijen bij verkiezingen in Nederland ook in het buitenland, waarbij zij binnen de door dat land gestelde kaders dienen te blijven. Aangezien de AKP al lange tijd aan de macht is, bestaat er overlap tussen het diasporabeleid van de Turkse overheid en de uitgangspunten van de AKP. Er zijn ons op dit moment echter geen signalen bekend dat de Turkse overheid invloed probeert uit te oefenen ten behoeve van de verkiezingen in 2023. Uiteraard worden de ontwikkelingen nauwlettend in de gaten gehouden.
Deelt u de mening dat het zeer onwenselijk en zorgelijk is dat Turkije via de Turkse diaspora in Europa haar invloed probeert uit te oefenen ten behoeve van de Turkse premier- en parlementsverkiezingen van 2023?
Zie antwoord vraag 2.
Wat is de huidige stand van zaken omtrent de contrastrategie om ongewenste bemoeienis uit Turkije jegens Nederlanders met een Turkse achtergrond tegen te gaan? Hoe vaak heeft u de afgelopen vier jaar de Turkse autoriteiten hierop aangesproken?
In maart 2018 is uw Kamer geïnformeerd over de aanpak van ongewenste buitenlandse inmenging. Deze aanpak is ook in 2022 onverminderd van kracht en er wordt doorlopend bekeken of de aanpak nog volstaat. De aanpak is landen-neutraal en bestaat uit de volgende drie onderdelen:
In de brede relatie tussen Turkije en Nederland vinden regelmatig gesprekken plaats tussen de Nederlandse en Turkse autoriteiten over diverse onderwerpen. Ook de relatie tussen de Turkse overheid en Nederlanders met een Turkse achtergrond is regelmatig het onderwerp van gesprek. De in het antwoord op vraag 2 en 4 genoemde boodschap wordt in deze gesprekken consequent uitgedragen.
Welke signalen over deze aankomende verkiezingen zijn bekend als het gaat om het benaderen en zelfs trainen van Turkse-Nederlanders zoals wordt geschetst in het aangehaalde artikel, om de gunst van de Turkse gemeenschap te winnen voor de AKP-partij van president Erdogan?
Zie antwoord vraag 3.
Wat is de huidige stand van zaken van het weerbaarder maken van Nederlanders met een niet-westerse afkomst die kans lopen door middel van diasporapolitiek te worden benaderd voor bewuste politieke doeleinden in het land van herkomst? . Wat is de huidige stand van zaken met betrekking tot het ondersteuningsaanbod voor gemeenten en gemeenschappen ter bevordering van de sociale stabiliteit en versterking van de weerbaarheid?
De Ministeries van Sociale Zaken en Werkgelegenheid (SZW), van Binnenlandse Zaken en Koninkrijksrelaties (BZK) en van Justitie en Veiligheid (JenV) (waaronder de NCTV en de Nationale Politie) spannen zich samen met de Vereniging van Nederlandse Gemeenten (VNG) en het Nederlands Genootschap van Burgemeesters (NGB) in om de sociale stabiliteit te bevorderen en de weerbaarheid van de samenleving in brede zin te versterken.
Binnen het Ministerie van SZW heeft de Expertise Unit Sociale Stabiliteit (ESS) de afgelopen jaren netwerken in verschillende gemeenschappen opgebouwd. Dit betreft onder andere de Turkse, Marokkaanse, Eritrese, Somalische, Syrische, islamitische en Afro-gemeenschap. ESS staat in contact met in totaal twaalf kennisnetwerken uit deze gemeenschappen. Hier worden expertise en handelingsperspectieven m.b.t. veerkracht en weerbaarheid gedeeld. Daarnaast adviseert ESS gemeenten over hoe om te gaan met onder andere polarisatie en spanningen in deze gemeenschappen. In 2021 is door negenenzeventig gemeenten een beroep gedaan op de kennis en kunde van ESS.
Gemeenten kunnen met hulpvragen onder meer terecht bij het Ondersteuningsnetwerk maatschappelijke onrust voor duiding of advies in gevallen van (dreigende) situaties van maatschappelijke onrust. Vanuit het netwerk is er in 2021 contact geweest met twintig gemeenten. Ook heeft de UvA in 2021 dertig cases van maatschappelijke onrust onderzocht. De bevindingen van dit onderzoek worden dit najaar gepubliceerd.
Om er voor te zorgen dat gemeenten en gemeenschappen zelf beter in staat zijn de sociale stabiliteit te bevorderen is het aanbod aan handreikingen, factsheets, opleidingen en contactpunten bij de rijksoverheid en andere partners op de brede thematiek van «maatschappelijke stabiliteit» sinds december 2021 gebundeld op de website https://maatschappelijkestabiliteit.nl/. Dit leeraanbod wordt periodiek geactualiseerd en samenwerkende partners onderhouden contacten met gemeenten en gemeenschappen om te signaleren op welke onderwerpen men extra ondersteuning wenst. De site is inmiddels 1700 keer geraadpleegd.
Naast bovenstaande wordt op dit moment gewerkt aan een nieuwe Agenda Veerkracht en Weerbaarheid. Zoals aangekondigd in de planningsbrief SZW zal de Minister van SZW uw Kamer hier na de zomer nader over informeren.3
Hoeveel gemeenten en gemeenschappen maken hier tot op heden gebruik van en wat doet u om dit aanbod onder de blijvende aandacht te brengen?
Zie antwoord vraag 7.
Is u bekend hoeveel kandidaten voor de afgelopen gemeenteraadsverkiezingen zijn getraind door de Union of European Turkish Democrats (UETD)?
Zie antwoord vraag 7.
Wat doet u om te voorkomen dat post wordt gestuurd met een stemadvies vanuit de Turkse regering naar Nederlanders met een Turkse achtergrond?
Deze cijfers zijn niet bekend bij de rijksoverheid.
Bent u bereid streng toe te zien op de richtlijn van Buitenlandse Zaken, die tot stand is gekomen naar aanleiding van onze Kamervragen, om campagnevoeren in de laatste drie maanden voor de verkiezingen door buitenlandse politieke ambtsdragers uit niet-EU-landen op Nederlands grondgebied te verbieden?
In aanloop naar de Turkse verkiezingen in 2023 zal Nederland de boodschap overbrengen dat het geven van persoonlijk stemadvies door de Turkse overheid aan Nederlanders met een Turkse achtergrond niet gewenst is in welke vorm dan ook.
Welke mogelijkheden ziet u op korte termijn om buitenlandse/politieke beïnvloeding op sociale media platforms tegen te gaan wanneer het illegale content of desinformatie betreft, met het oog op verwachte wet- en regelgeving zoals de «Digital Services Act»?
Absoluut. Sinds februari 2021 is het voor vertegenwoordigers van een buitenlandse overheid van buiten de EU niet meer toegestaan campagne te komen voeren in Nederland vanaf drie maanden voorafgaand aan verkiezingen in het desbetreffende derde land. Vertegenwoordigers van een buitenlandse overheid dienen daarnaast vooraf melding te maken bij het Ministerie van Buitenlandse Zaken indien zij voornemens zijn naar Nederland af te reizen om een campagne-activiteit te ondernemen in de periode tot drie maanden voorafgaand aan verkiezingen in dat derde land. Buiten kijf staat dat het Nederlandse burgers is toegestaan om campagne-activiteiten en -bijeenkomsten te organiseren, ook over verkiezingen in derde landen. In aanloop naar de Turkse verkiezingen zal de Nederlandse overheid Turkije actief op de richtlijn van Buitenlandse Zaken wijzen.
Het bericht ‘Verkoopverbod of niet: jongeren kopen massaal snus’ |
|
Queeny Rajkowski (VVD), Rudmer Heerema (VVD) |
|
Maarten van Ooijen (staatssecretaris volksgezondheid, welzijn en sport) (CU) |
|
![]() |
Bent u bekend met het bericht «Verkoopverbod of niet: jongeren kopen massaal snus»?1
Ja.
Hoe verklaart u het dat sinds het per november vorig jaar ingevoerde verbod op de verkoop van nicotinezakjes met meer dan 0,035mg nicotine, snus nog steeds volop verkrijgbaar is?
Er zijn (Europese) landen waar deze producten niet verboden zijn en waar deze producten legaal gekocht kunnen worden. Deze bedrijven mogen nicotinezakjes niet verhandelen naar Nederland of zich richten op Nederlandse consumenten. Desondanks komt het voor dat personen deze producten via websites of sociale media uit het buitenland bestellen. De NVWA voert risicogericht toezicht uit op deze buitenlandse bedrijven en verzoeken bedrijven de verhandeling van nicotinezakjes naar Nederland te staken.
Kunt u aangeven wat de uitkomsten zijn geweest van de Nederlandse Voedsel- en Warenautoriteit (NVWA)-controle bij vier grote importeurs?
De NVWA geeft aan dat bij alle vier de importeurs de nicotinezakjes in bewaring zijn genomen. Dat wil zeggen dat de nicotinezakjes met meer dan 0,035 mg nicotine per zakje, niet meer verplaatst mochten worden totdat er een passende oplossing gevonden werd voor de producten. Twee importeurs hebben de nicotinezakjes naar een ander Europees land gestuurd, waar verhandeling van deze producten nog toegestaan was. De andere twee importeurs hebben de nicotinezakjes laten vernietigen. Alle vier de importeurs hebben hun afnemers, zoals winkeliers, op de hoogte gesteld van het verbod op nicotinezakjes en hebben hen gevraagd de voorraad niet meer te verkopen.
Zijn er cijfers bekend van het aantal keer dat de NVWA sinds het verbod in heeft moeten grijpen bij online verkooppunten?
De NVWA heeft zich in eerste instantie gericht op de importeurs van nicotinezakjes die de producten in Nederland in de handel brengen. Op deze manier wordt de toevoer van nicotinezakjes naar online winkels die deze producten in Nederland verkopen, tegengegaan. Onlangs heeft de NVWA een potentiële vijfde importeur geïnspecteerd. Dit bleek een bedrijf in een andere lidstaat te zijn waar de verhandeling van nicotinezakjes, met meer dan 0,035 mg per zakjes, wel is toegestaan. Dit bedrijf verkocht nicotinezakjes in Nederland via verschillende Nederlandse websites. De NVWA heeft dit bedrijf gewezen op het verbod op nicotinezakjes in Nederland en heeft hem verzocht de verhandeling naar Nederland te staken. De ondernemer heeft aan dat verzoek voldaan en de websites daarop aangepast. Recent is de NVWA begonnen met het toezicht op webwinkels.
Welke instrumenten heeft de NVWA op dit moment in handen om aanbod van snus op bijvoorbeeld social media-kanalen aan te pakken?
Het verhandelen van nicotinezakjes, met meer dan 0,035 mg nicotine per zakje, is voor zover deze is gericht op consumenten in Nederland ook via social media niet toegestaan. De NVWA doet bij sociale media-kanalen melding van onrechtmatige uitingen, waar het aanbod van nicotinezakjes een voorbeeld van is. Hiermee worden de sociale media-kanalen (mede)verantwoordelijk voor deze uitingen. De sociale media-kanalen kunnen de content dan verwijderen, waarmee zij niet meer verantwoordelijk voor deze content zijn. Dit proces van melden en verwijderen van onrechtmatige content wordt door de NVWA «notice and take down» genoemd.
Hoe kunnen social media-kanalen op dit moment hun verantwoordelijkheid nemen indien bij wet verboden producten op hun kanalen worden aangeboden? Welke instrumenten zijn hierbij voorhanden?
Het is in eerste instantie aan de sociale mediaplatformen om te bepalen hoe zij hun verantwoordelijkheid voor de verkoop van illegale producten en waren kunnen en willen invullen. Een sociaal mediaplatform dat weet dat er via zijn platform nicotinezakjes worden verkocht kan bijvoorbeeld de content verwijderen of voorlichting geven aan gebruikers over het illegale karakter van de verkoop van nicotinezakjes, en wijzen op de gezondheidseffecten die de consumptie daarvan kan hebben.
Bent u het eens dat het zeer zorgelijk is dat er zo makkelijk en openlijk via sociale media verboden middelen aangeboden en gekocht kunnen worden?
Het is inderdaad zorgelijk dat nicotinezakjes met meer dan 0,035 mg nicotine, een illegaal product, online aangeboden worden.
Welke mogelijkheden ziet u op korte termijn om de verkoop van snus op sociale mediaplatformen tegen te gaan, ook met het oog op de verwachte Europese wetgeving en in het bijzonder de Digital Services Act?
Zie ook mijn antwoord op vraag 5.
Op dit moment wordt er door het Europees Parlement, de Raad, en de Europese Commissie onderhandeld over de Digital Services Act (DSA). Onder voorbehoud van de uitkomsten daarvan zal de DSA een aantal instrumenten creëren die relevant kunnen zijn voor het bestrijden van de verkoop van nicotinezakjes via sociale mediaplatformen.
Zo komt er waarschijnlijk een verplichting voor deze bedrijven om een mechanisme in te richten waarmee zij door gebruikers en anderen gewezen kunnen worden op illegale inhoud op hun platform, zoals de illegale verkoop van nicotinezakjes. Wanneer deze bedrijven een dergelijke melding ontvangen moeten zij daar tijdig actie op ondernemen. Bijvoorbeeld door het illegale aanbod te verwijderen. Laten zij na om actie te ondernemen dan kunnen ze aansprakelijk worden gesteld voor het illegale aanbod.
Onder de DSA worden sociale mediaplatformen ook verplicht om gebruikers die veelvuldig illegale inhoud plaatsen, zoals aanbiedingen voor nicotinezakjes, tijdelijk de toegang tot het platform te ontzeggen door diens account te schorsen. Zij moeten zo’n beslissing richting de betreffende gebruiker ook motiveren. In dat kader kunnen zij wijzen op het feit dat de verkoop van nicotinezakjes met meer dan 0,035 mg nicotine verboden is en tevens de voorlichting verrichten die in het antwoord op vraag 6 is beschreven.
Bent u daarnaast bereid met de NVWA in gesprek te gaan om te onderzoeken hoe illegale verkoop van snus harder aangepakt kan worden?
Ik ben met de NVWA in gesprek over hoe de handhaving geïntensiveerd kan worden. Het is goed om daarbij op te merken dat de NVWA constateert dat na de aankondiging van het verbod op nicotinezakjes door de NVWA in november 2021 in verschillende verkoopkanalen minder aanbod van nicotinezakjes is gevonden. Ook hebben producenten de zakjes niet groots in Nederland gelanceerd. Dit is op zichzelf een mooi resultaat.
Daar wil ik aan toevoegen dat een aanpak met strenge handhaving door de NVWA niet de enige oplossing is voor dit maatschappelijke probleem. Ik wil de verkopers van deze producten aanspreken op hun maatschappelijke verantwoordelijkheid en hen oproepen te stoppen met de verkoop van deze producten.
Daarnaast vind ik het belangrijk dat Nederlanders bewust zijn van de gevaren van het gebruik van producten, zoals snus (met tabak) en nicotinezakjes (zonder tabak). Er is informatie beschikbaar omtrent de gezondheidseffecten van snus en nicotinezakjes via informatiekanalen zoals de website Rokeninfo.nl en het de Facebook en Instagrampagina’s van Opvoeding en Uitgaan2. Ook wil ik zicht houden op het gebruik van nicotinezakjes en snus bij de Nederlandse bevolking. Het Trimbos instituut zal hier via de Leefstijlmonitor uit 2022 onderzoek naar doen.
Het bericht ‘Intel kiest voor Duitsland als vestigingsplaats voor Europese megafabriek’ |
|
Pim van Strien (VVD), Queeny Rajkowski (VVD) |
|
Micky Adriaansens (minister economische zaken) (VVD) |
|
![]() |
Bent u bekend met het bericht «Intel kiest voor Duitsland als vestigingsplaats voor Europese megafabriek»?1
Ja.
Hoe apprecieert u de ontwikkelingen van de bouw van een nieuwe megafabriek van Intel in Duitsland en het investeringsplan van 80 miljard voor de Europese chipproductie in het licht van de Europese ambities voor het chip-ecosysteem binnen Europa?
Het is een positief signaal voor de Europese Unie dat een belangrijke partij in de halfgeleiderindustrie zoals Intel bereid is omvangrijke investeringen te doen in Europa. Het kabinet ziet dit als een belangrijke stimulans voor de versterking van de Europese positie in de mondiale halfgeleiderindustrie. Het versterken van deze positie is onder andere van belang voor het behoud van strategische autonomie. Bovendien speelt deze sector een cruciale rol in de groene en digitale transities.
De halfgeleiderindustrie is heel sterk (mondiaal) verweven. Verschillende Europese bedrijven en kennisinstellingen zijn in dit internationale ecosysteem van elkaar afhankelijk en zijn in verschillende landen in Europa gevestigd. De Nederlandse halfgeleiderbedrijven maken hier integraal onderdeel van uit. Nederland heeft bijvoorbeeld een significant cluster op het gebied van apparatuur voor (zeer geavanceerde) halfgeleiderproductie. Intel heeft aangekondigd de nieuwste technieken te willen inzetten in hun fabriek. Door de internationale verwevenheid van deze industrie zullen de investeringen van Intel in Europa, ook positieve effecten hebben voor de Nederlandse bedrijven en daarmee de Nederlandse economie.
Wat zijn de gevolgen voor het Nederlandse chip-ecosysteem en breder onze economie, nu Intel ervoor heeft gekozen haar nieuwe megafabriek in Duitsland te bouwen en als onderdeel van het investeringsplan bestaande activiteiten in Frankrijk, Ierland, Italië en Spanje uit te breiden en Nederland hierin geen rol heeft kunnen bemachtigen?
Zie antwoord vraag 2.
Klopt het dat Nederland ook bereid was en inspanningen heeft geleverd om de Intel fabriek en andere onderdelen van het investeringsplan naar Nederland te halen? Kunt u dit proces toelichten? Zo nee, waarom niet?
Het kabinet gaat niet in op individuele gesprekken met bedrijven. Maar in algemene zin geldt dat het kabinet in nauw contact staat met het bedrijfsleven. Dat geldt ook ten aanzien van het aantrekken van investeringen in Nederland. De Netherlands Foreign Investment Agency (NFIA) speelt hierbij een belangrijke rol. In acquisitietrajecten wordt onder meer gesproken over de bedrijfspropositie en of dit aansluit bij het Nederlandse vestings- en investeringsbeleid, ook in relatie tot bredere maatschappelijke vraagstukken als klimaattransitie en ruimtelijke ordening.
Kunt u aangeven welke oorzaken er in uw ogen voor hebben gezorgd dat, ondanks het feit dat Intel gesprekken heeft gevoerd met de Nederlandse overheid, Intel er niet voor heeft gekozen haar nieuwe fabriek of enige andere activiteiten in Nederland te vestigen? Zo nee, waarom niet?
Zie antwoord vraag 4.
Op welke wijze beïnvloeden deze ontwikkelingen de ambities van het kabinet, gezien de grote bereidwilligheid van andere Europese overheden zoals die van Italië, Spanje, Polen en Duitsland om te investeren in dergelijke innovatieve ecosystemen zoals het chips-ecosysteem? Wat betekent dit bijvoorbeeld voor de ambitie om bij te dragen aan de Europese ambitie om strategische onafhankelijkheid te bereiken?
De recent door Intel aangekondigde investeringen versterken het Europese halfgeleider ecosysteem en verminderen de afhankelijkheid van chipproducenten buiten Europa. Dit is in lijn met de Nederlandse ambitie ten aanzien van de halfgeleidersector. Bovendien bieden de investeringen van Intel in productiecapaciteit voor chips tal van kansen voor onze maakindustrie die een belangrijke toeleverancier is voor dit soort fabrieken.
Nederland draagt op dit moment op verschillende manieren bij aan deze ambitie. De start hier van betrof het tekenen van de Declaration: A European Initiative on Processors and semiconductor technologies (7 december 2020).
Belangrijke voorbeelden van actieve Nederlandse overheidsbetrokkenheid zijn:
Daarnaast verwelkomt Nederland de recent verschenen Europese Chips Act (8 februari 2022), waarover uw Kamer op 25 maart jongstleden geïnformeerd is middels het BNC-fiche4.
Ziet u ook kansen om met relevante Nederlandse bedrijven en (kennis)instellingen de samenwerking met het Europese chip-ecosysteem te intensiveren nu de chipfabriek zal worden gevestigd bij onze oosterburen? Zo ja, welke concrete kansen ziet u? Zo nee, waarom niet?
Ja, hier liggen kansen en mogelijkheden. Zoals eerder aangegeven is er een logische relatie met onze sterke positie in de machinebouw voor het productieproces van halfgeleiders, maar ook de sterke positie van Nederland op het gebied van kwantum- en fotonicatechnologie biedt mogelijkheden voor sterkere samenwerking.
Wat vindt u van de stelling dat een interessante focus van onderzoek zou kunnen zijn dat de inlichtingen-en veiligheidsdiensten effectief hun wettelijk taak kunnen blijven uitvoeren zonder een achterdeur die versleutelde communicatie via OTT(over-the-top)-diensten onveilig maakt?1
Ik kan niet voor de inlichtingen- en veiligheidsdiensten (IenV-diensten) spreken, deze diensten vallen onder de portefeuille van de ministers van Binnenlandse Zaken en Koninkrijksrelaties en Defensie. Met deze diensten wordt wel goed samengewerkt. Binnen de termijn die in vraag 6 is gesteld was het niet mogelijk om bij vragen 1 en 4 de toepassing op de IenV-diensten na afstemming met hen toe te voegen, aangezien het opsporings- en IenV domein verschillend zijn gereguleerd.
Op dit moment wordt onderzocht hoe de uitdagingen in de opsporing als gevolg van encryptie kunnen worden geadresseerd. Er is een inventarisatie gaande om de technische mogelijkheden voor rechtmatige toegang tot versleutelde informatie te onderzoeken, om vervolgens de voor- en nadelen van die mogelijkheden voor alle betrokken (zwaarwegende) belangen te analyseren.
Het doel van deze inventarisatie is om geïnformeerde en zorgvuldige besluitvorming mogelijk te maken door dit kabinet en uw Kamer. Indien tot wetgeving wordt besloten wordt een duidelijke wettelijke basis voorgesteld die via een transparant wetgevingsproces aan uw Kamer wordt voorgelegd. Of en hoe dit exact vorm krijgt is afhankelijk van het EU-traject dat nu loopt. Een technische oplossing moet adequaat en evenwichtig zijn. Belangrijk hierbij zijn de principes van proportionaliteit en subsidiariteit. Ten eerste moet de technische oplossing proportioneel zijn en bijdragen aan een veilige maatschappij of de bescherming van kwetsbaren in onze samenleving. Het middel moet aanvaardbaar zijn, dit betekent dat er geen onverantwoorde beslissingen worden genomen wanneer het de (digitale) veiligheid van burgers, het bedrijfsleven en de overheid aangaat. Deze inventarisatie zal ik niet vooraf beperken, omdat alle mogelijkheden eerst in kaart gebracht moeten zijn voordat een zorgvuldige keuze voor eventuele maatregelen kan worden genomen.
Zou u het onderzoek kunnen verbreden naar het onderzoeken van een grotere dreiging voor onze digitale veiligheid en verdienvermogen, namelijk het doorbreken van veilige versleutelde communicatie door nieuwe technologie zoals kwantumtechnologie in de nabije toekomst?
Zie het antwoord op vraag 3.
Bent u het met de partijen eens dat het kwantumproof maken van onze communicatie en netwerken een urgente uitdaging is die nu moet worden aangepakt?
Het effect van kwantumtechnologie op de veiligheid van versleutelde communicatie past niet binnen de reikwijdte van de inventarisatie naar mogelijkheden en voor- en nadelen van de rechtmatige toegang tot versleutelde informatie. Eventuele dreigingen voor versleutelde communicatie is niet de focus van de inventarisatie die is gestart. Gegeven de complexiteit van de inventarisatie die in deze beantwoording wordt geschetst bestaat de voorkeur om de focus te behouden tot mogelijkheden voor rechtmatige toegang tot versleuteld bewijs.
Het NCSC adviseert organisaties nu al na te denken over de gevolgen van de komst van de kwantumcomputer voor hun organisatie en een actieplan op te stellen dat duidelijk maakt binnen welke tijdlijn er maatregelen genomen moeten worden.2 Gegevens die vandaag al bestaan en die ook na de komst van kwantumcomputers beschermd moeten blijven, moeten namelijk nu al aanvullend worden beschermd.
Versleuteling is van belang voor de veiligheid. Daarnaast is rechtmatige toegang tot versleutelde communicatie is ook van belang voor de veiligheid van de maatschappij en burgers doordat illegale inhoud en activiteiten beter worden onderkend, onderschept en verwijderd, en slachtofferschap wordt voorkomen of geminimaliseerd, ook in het digitale domein.
In mijn beantwoording leest u dat in de inventarisatie verschillende grote belangen worden meegewogen. Bijvoorbeeld, cybersecurity en de bescherming van fundamentele rechten zijn zwaarwegende onderdelen die worden meegenomen in afwegingen of maatregelen proportioneel zijn. Dit is ook vice versa van belang. Ook bij toekomstige technologieën vind ik een integrale benadering belangrijk en is het goed dat ook het opsporingsbelang wordt meegenomen.
Ziet u interceptie van versleutelde communicatie via OTT-diensten als een nieuwe bevoegdheid voor de inlichtingen-en veiligheidsdiensten? Op welk artikel in de Wet op de inlichtingen-en veiligheidsdiensten 2017 baseert u zich?
In lijn met de beantwoording op vraag 1 relateer ik deze vraag aan de wettelijke bevoegdheden van de opsporingsdiensten en het Openbaar Ministerie. Hierbij moet onderscheid worden gemaakt tussen het Wetboek van Strafvordering (Sv) en de Telecommunicatiewet.
De in hoofdstuk 13 Telecommunicatiewet en onderliggende lagere regelgeving vastgelegde medewerkings- en ontsleutelverplichtingen zijn beperkt tot (klassieke) aanbieders van openbare telecommunicatiediensten en – netwerken. Aanbieders van OTT-communicatiediensten – nummeronafhankelijke interpersoonlijke communicatiedienten volgens de definitie van de Telecommunicatiewet – vallen niet onder deze verplichtingen. Ondanks het feit dat het de officier van justitie is toegestaan op basis van artikel 126m jo. 138g Sv, na een daartoe verkregen machtiging van de rechter-commissaris, een opsporingsambtenaar te bevelen versleutelde communicatie via OTT-communicatiediensten af te tappen kan.vanwege de ontbrekende medewerkings- en ontsleutelverplichtingen geen inzicht worden verkregen in de inhoud van de versleutelde communicatie.
Wat is de huidige stand van zaken van het in de beantwoording genoemde EU traject met betrekking tot veilige digitale communicatie?
De Europese Commissie beraadt zich op dit moment op een «way forward» voor de inventarisatie naar rechtmatige toegang tot versleuteld bewijs en deze wordt in 2022 gepubliceerd. Dit doet zij op basis van beantwoorde vragenlijsten en de Commissie heeft enkele ambtelijke gesprekken georganiseerd. Uiteraard zal ik uw Kamer over de uitkomsten informeren.
Kunt u deze vragen afzonderlijk beantwoorden voorafgaand het commissiedebat online veiligheid en cybersecurity op 7 april 2022?
Ja.
Het bericht ‘Omstreden Chinese camera's hangen overal in Nederland, ook bij ministeries’. |
|
Ruben Brekelmans (VVD), Ingrid Michon (VVD), Queeny Rajkowski (VVD) |
|
Wopke Hoekstra (viceminister-president , minister buitenlandse zaken) (CDA), Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD) |
|
![]() |
Bent u bekend met het bericht «Omstreden Chinese camera's hangen overal in Nederland, ook bij ministeries»?1
Ja
Klopt het dat het gaat om camera’s van de Chinese merken Hikvision en Dahua en dat zij onder andere overheidsgebouwen in beeld brengen? Zo ja, om hoeveel camera’s gaat het? Waar staan deze camera’s? Staan deze camera’s ook voor overheidsgebouwen waarbij anonimiteit belangrijk kan zijn zoals bij defensie en de inlichtingendiensten?
De Nederlandse overheid maakt gebruik van Chinese camera’s. Het is niet bekend om hoeveel camera’s het specifiek gaat. Zoals in het antwoord op vragen 4 en 5 wordt geschetst, gelden er overheidsbreed kaders en beleid voor aanschaf en gebruik van (digitale) producten en diensten, zoals camera’s, waarbij ook rekening gehouden moet worden met (eventuele) risico’s voor nationale veiligheid. Over welke beveiligingsmaatregelen al dan niet worden getroffen bij de gebouwen van de inlichtingen- en veiligheidsdiensten en welke apparatuur daarvoor wordt gebruikt, worden in het openbaar geen uitspraken gedaan.
De politie heeft inmiddels bevestigd dat er vorig jaar bijna 700 camera’s van Dahua zijn aangeschaft2; klopt dit? Zo ja, was de politie zich al bewust van de veiligheidsrisico’s bij de aanschaf van deze camera’s? Zo ja, waarom zijn dan toch deze camera’s aangeschaft? Zo nee, kunt u een tijdlijn schetsen van de aanschaf van Chinese camera’s door de politie van de afgelopen jaren? Zo nee, waarom niet?
De politie heeft bevestigd dat het klopt dat zij circa 700 camera’s van Dahua heeft aangeschaft, die over een periode van 7 jaar zullen worden afgenomen. In de aanbesteding zijn eisen met betrekking tot informatiebeveiliging en privacy opgenomen en de inzet van de camera’s zijn voornamelijk gericht op verkeerstoezicht. De politie heeft bij de aanbesteding van de camera’s en bij de toepassing daarvan geen risico’s voor de nationale veiligheid voorzien. Voor de gehele overheid geldt onder meer voor de aanschaf van digitale producten en diensten de Baseline Informatiebeveiliging Overheid (BIO). Mede gelet hierop worden hiervoor bij de inkoop en aanbesteding van digitale producten en diensten, waaronder genoemde camera’s, waarbij mogelijk veiligheidsrisico’s aan de orde zijn, eisen met betrekking tot informatiebeveiliging en privacy gesteld als voorwaarden aan de (mogelijke) opdrachtnemer. Alle merken en type camera’s die voldoen aan de gestelde eisen kunnen worden aangekocht. Op 8 juli 2020 is deze aanbesteding gepubliceerd op Tenderned. Op 27 november 2020 is deze opdracht gegund. In mei 2021 is gestart met de ingebruikneming van deze camera’s.
In hoeverre lagen bepaalde productspecificaties zoals de prijs en de veiligheid ten grondslag aan het besluit om camera’s van Hikvision en Dahua aan te schaffen en te plaatsen bij overheidsgebouwen?
In relatie tot nationale veiligheidsrisico’s bestaat er overheidsbeleid dat voorschrijft dat nationale veiligheidsoverwegingen worden meegewogen bij de inkoop en aanbesteding van producten en diensten. Bij de aanschaf en implementatie van gevoelige apparatuur of programmatuur wordt volgens dit beleid rekening gehouden met zowel risico’s in relatie tot een leverancier, als met het concrete gebruik van de systemen, bijvoorbeeld als het gaat om de toegang tot systemen door derden. Bij elke casus wordt door de overheidsorganisatie bezien of en hoe risico’s beheersbaar kunnen worden gemaakt en of daartoe te nemen maatregelen proportioneel zijn. Afwegingen rondom de aanschaf en ingebruikname van ICT- producten en diensten zijn de eigen verantwoordelijk van de organisaties die tot aanschaf overgaan. Dat betekent dat overheidsorganisaties zelf risicoafwegingen uitvoeren voordat (digitale) producten en diensten van een leverancier, zoals beveiligingscamera’s, worden afgenomen en bepalen aan welke (beveiligings)eisen een leverancier moet voldoen om voor verlening van een opdracht in aanmerking te komen. Daarnaast geldt voor de gehele overheid voor de aanschaf van digitale producten en diensten de Baseline Informatiebeveiliging Overheid (BIO). De BIO kent een risicogebaseerde aanpak met een concrete set aan eisen als ondergrens. Uitgangspunt is onder meer ook de eigen verantwoordelijkheid van overheidsorganisaties.
Aan welke eisen, die betrekking hebben op cyberspionage, wordt getoetst bij de aanschaf van camera’s bij overheidsgebouwen? Voldoen de camera’s van Hikvision en Dahua aan deze eisen?
Zie antwoord vraag 4.
Was bij het moment van aankoop ook al bekend dat China eventueel een achterdeur in een camerasysteem van Hikvision of Dahua zou kunnen bouwen? Zo ja, welke maatregelen zijn hiertegen getroffen? Zo nee, op basis waarvan is de inschatting gemaakt dat het veilig was om deze camera’s aan te schaffen?
Het Ministerie van BZK zal in samenwerking met andere overheidspartijen onderzoek doen naar mogelijke nationale veiligheidsrisico’s bij het gebruik binnen de rijksoverheid van camera’s afkomstig van partijen uit landen met een offensief cyberprogramma richting Nederland. Doordat het onderzoek zich specifiek richt op het gebruik van camera’s binnen de rijksoverheid staat het los van de aanbesteding van de politie. De toepassing van de camera’s en bijvoorbeeld de manier waarop zij in de bredere infrastructuur zijn ingebed zal per geval verschillen. Zoals ook in het antwoord op vraag 4 en 5 wordt geschetst, bestaat er overheidsbeleid dat voorschrijft dat nationale veiligheidsoverwegingen worden meegewogen bij de inkoop en aanbesteding van producten en diensten. Of en hoe risico’s voor de nationale veiligheid beheersbaar zijn, zal dus per geval worden beoordeeld door de organisaties zelf, zoals de politie, die ook eventuele maatregelen zelf nemen.
Is het technisch mogelijk voor China om mee te kijken, live of achteraf? Zo ja, hoe dan? Zo nee, is die mogelijkheid er helemaal niet of is hij sofwarematig dichtgezet?
Het Dreigingsbeeld Statelijke Actoren (DBSA)3 geeft een overzicht van de belangrijkste dreigingen vanuit China in relatie tot de vitale infrastructuur en de (rijks)overheid. Daarbij wordt ook ingegaan op het risico op digitale spionage- en sabotagemogelijkheden via technologische toeleveringen.
Zoals gesteld in het antwoord op vraag 6 zal het Ministerie van BZK in samenwerking met andere overheidspartijen onderzoek doen naar mogelijke nationale veiligheidsrisico’s vanwege het gebruik binnen de rijksoverheid van camera’s afkomstig van partijen uit landen met een offensief cyberprogramma richting Nederland. Bovenstaande vragen zullen bij dit onderzoek worden betrokken.
In het debat met uw Kamer op 22 maart 2022, heeft de Staatssecretaris voor Koninkrijksrelaties en Digitalisering verder toegezegd om onderzoek te doen naar inkoopeisen en -richtlijnen op het terrein van cyberveiligheid, in het bijzonder als het gaat om producten en diensten voornamelijk van partijen uit landen met een offensief cyberprogramma richting Nederland. Op 5 april 2022 is in aanvulling daarop door uw Kamer een motie aangenomen om bij dit onderzoek ook te kijken naar de vitale infrastructuur. Uw Kamer zal hierover na afronding van het onderzoek worden geïnformeerd. Op de uitkomsten van het onderzoek kan nu niet vooruit worden gelopen.
Hoe groot acht de Minister de kans dat China meekijkt of mee heeft gekeken via deze camera’s? Op basis waarvan maakt de Minister deze inschatting?
Zie antwoord vraag 7.
In de Verenigde Staten is de inzet van Hikvision- en Dahua-camera’s bij overheidsgebouwen verboden. Daarnaast heeft het Europees parlement eerder besloten om camera’s van Hikvision niet meer te gebruiken. Waarom heeft Nederland hier nog niet voor gekozen?
Elk land of internationale organisatie maakt hierin zijn eigen afweging. Voor Nederland geldt dat het staand beleid bij inkoop en aanbesteding is dat er per casus wordt bezien of er in relatie tot producten en diensten risico’s zijn voor de nationale veiligheid, en zo ja, of en hoe deze beheersbaar kunnen worden gemaakt. De mogelijke nationale veiligheidsrisico’s in verband met het gebruik van camera’s, die afkomstig zijn uit landen met een offensief cyberprogramma richting Nederland, binnen de rijksoverheid zullen, zoals hierboven aangegeven, worden onderzocht.
Deelt u de mening dat bedrijven uit staten die een offensief cyberprogramma tegen Nederland uitvoeren niet geschikt zijn om camera’s te leveren die zijn opgesteld bij organisaties die een aantrekkelijk doelwit van een dergelijk offensief programma vormen?
Zie antwoord vraag 7.
Zijn er Europese alternatieven in de markt? Zo, ja bent u het eens met het standpunt dat het verstandig kan zijn om die in te zetten? Zo nee, bent u het ermee eens dat het wenselijk is dat er Europese alternatieven zijn, ook op het gebied van technologie?
Voor Nederlandse organisaties is het wenselijk dat zij gebruik kunnen maken van kwalitatief hoogwaardige producten en diensten, ook van buitenlandse leveranciers. Nederlandse overheden blijven op verantwoorde wijze, met inachtneming van de nationale aanbestedingswetgeving, gebruik maken van de voordelen van de internationale markt voor veiligheidsapparatuur, door per situatie de risico’s voor de nationale veiligheid in kaart te brengen en dat te laten meewegen in de selectie van de betreffende aanbieder.
Desondanks kunnen er redenen zijn om bepaalde producten en technologieën in Nederland of in Europa te willen kunnen ontwikkelen en beschikbaar maken. Dit kan van belang zijn om de weerbaarheid van Nederland en de EU te vergroten, of om de EU het vereiste handelingsvermogen te geven om de eigen veiligheidsbelangen te beschermen. Dit kan via verschillende maatregelen: van handelsverdragen met gelijkgezinde landen, tot het direct stimuleren van de eigen industrie. Hierbij verwijzen wij dan ook graag naar de brief aan uw Kamer over onderzoek naar strategische afhankelijkheden en kwetsbaarheden in Nederland, waar dieper ingegaan wordt op de beleidsopties om onze weerbaarheid te versterken.4
Bent u het ermee eens dat we de cyberdreiging vanuit China serieus moeten nemen en daarom kritisch moeten kijken naar de aanschaf en inzet van niet Europese hardware en software voor gevoelige zaken zoals het filmen van overheidsgebouwen? Zo ja, welke stappen gaat u ondernemen? Zo nee, waarom niet?
Ja, deze dreiging moet serieus worden genomen. De AIVD waarschuwt regelmatig voor de risico’s van het gebruik van hard- en software afkomstig uit landen met een offensief cyberprogramma gericht tegen Nederlandse belangen (zoals China) bij de uitwisseling van gevoelige informatie of in vitale infrastructuur. Het is van groot belang dat we ongewenste activiteiten van statelijke actoren tegengaan. Daarom werken we aan een aanpak om de weerbaarheid tegen statelijke dreigingen te verhogen. In het Dreigingsbeeld Statelijke Actoren en de kabinetsreactie hierop wordt nader ingegaan op deze dreiging en de maatregelen die we hiertegen nemen5. Verder verwijzen wij u naar het antwoord op vraag 4 en 5, waarin wordt ingegaan op de relevante kaders en beleid binnen de rijksoverheid als het gaat om aanschaf en gebruik van (digitale) producten en diensten.
Hoe verhoudt het antwoord op de Kamervragen van het lid van Helvert (Aanhangsel Handelingen II, vergaderjaar 2020–2021, nr 2310), die de Kamer zijn toegezonden op 13 april 2021 (waarin staat dat het kabinet de Europese Commissie, de Europese Dienst voor Extern Optreden (EDEO) en het Europees parlement heeft gewezen op de kwetsbaarheid van het gebruik van Hikvision-camera’s) zich tot het gebruik van camera’s van dit bedrijf door Nederlandse ministeries zelf? Zou het kabinet deze waarschuwing niet ook aan zichzelf moeten richten?
In hoeverre er bij het gebruik van camera’s van bijvoorbeeld Hikvision en Dahua sprake is van nationale veiligheidsrisico’s die met concrete beheersmaatregelen gemitigeerd kunnen worden is onderwerp van het in het antwoord op vraag 6 genoemde onderzoek.
Kunt u uitsluiten dat deze camera’s een veiligheidsdreiging vormen voor de Oeigoerse diaspora in Nederland? Welke veiligheidsmaatregelen heeft u hiertoe genomen of bent u voornemens te nemen?
Zoals aangegeven in de antwoorden op vragen van de leden Dekker-Abdulaziz en Van Ginneken, zijn voor zover ons bekend er momenteel geen aanwijzingen dat China deze camera’s gebruikt om bepaalde minderheidsgroepen in Nederland te monitoren. Mocht dit in de (nabije) toekomst wel het geval zijn, dan is er naar het oordeel van het kabinet sprake van ongewenste buitenlandse inmenging en heeft het kabinet verschillende instrumenten tot haar beschikking, zoals uiteengezet in de brief van 16 maart 2018 over de aanpak ongewenste buitenlandse inmenging6.
Bent u bekend met het feit dat de Amerikaanse overheid heeft verboden te investeren in Hikvision vanwege de banden van het bedrijf met het Chinese leger? Heeft u hierover contact gehad met Amerika, met name in het kader van mogelijke veiligheidsdreigingen? Zo nee, bent u alsnog bereid dit te doen?
Het kabinet is bekend met het besluit van 9 oktober 2019 om Hikvision op de zgn. Entity List te plaatsen omdat Hikvision volgens de VS het mogelijk maakt dat er mensenrechtenschendingen plaatsvinden in Xinjiang. Als gevolg van deze listing zijn Amerikaanse toeleveranciers verplicht om vergunningen aan te vragen voordat ze handelen met Hikvision. Europese en Nederlandse sanctiewetgeving voorzien niet in de mogelijkheid van een Entity List. Nederland erkent de risico’s van het gebruik van cybersurveillance items in relatie tot schendingen van mensenrechten en het internationaal humanitair recht, blijkens ons exportcontrolebeleid, en werkt hierop nauw samen met de VS, zowel bilateraal als in EU-verband.
Bent u bereid om met China in gesprek te treden over het belang van privacy- en veiligheidsstandaarden in technologie en dat toegang van de Chinese staat tot gevoelige data niet acceptabel is?
Nederland en de EU spreken in verschillende verbanden, waaronder binnen de VN, met China over dataveiligheid. Centraal hierbij staat de bescherming van privacy, zoals het voldoen aan eisen, zoals neergelegd in de AVG, bescherming van mensenrechten en het tegengaan van ongepaste toegang van overheden tot datagegevens. Zoals aangegeven in de Notitie «Nederland-China: Een nieuwe balans» (Kamerstuk 35 207, nr. 1) staat het kabinet achter striktere handhaving en sterker uitdragen van bestaande standaarden en normen, zoals de Europese regelgeving op het gebied van data, bescherming van persoonsgegevens en privacy en productveiligheid.
De uitvoering van de gewijzigde motie Becker c.s. over het structureel tegengaan van extremistische uitingen online. |
|
Queeny Rajkowski (VVD), Bente Becker (VVD) |
|
Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD), Karien van Gennip (minister sociale zaken en werkgelegenheid) (CDA) |
|
![]() |
Bent u bekend met de aangenomen gewijzigde motie van het lid Becker c.s. (Kamerstuk 35 228, nr. 34) over het structureel tegengaan van extremistische uitingen? En deelt u de mening, zoals ook besproken tijdens het wetgevingsoverleg Integratie en maatschappelijke samenhang (beleidsartikel 13 van de begroting SZW 2022) op 22 november 2021, dat deze motie tot op heden onvoldoende is afgedaan?
In de Nederlandse samenleving is ruimte voor een grote diversiteit van (godsdienstige) beschouwingen, (politieke) opvattingen, waardepatronen en leefstijlen. Dit betekent dat mensen de vrijheid hebben eigen keuzes te maken binnen de kaders van de democratische rechtsorde. Het kabinet ziet het als zijn taak om de democratische rechtsorde en alle grondwettelijke vrijheden die burgers op basis daarvan toekomen te beschermen. De overheid opereert in het waarborgen van die vrijheden neutraal. Zij trekt echter een grens als er sprake is van antidemocratische, onverdraagzame, anti-integratieve en/of extremistische uitingen.
Het kabinet heeft al langere tijd zorgen over de invloed in Nederland van een kleine groep individuen, salafistische aanjagers, die zowel online als offline aansporen tot antidemocratische, onverdraagzame, anti-integratieve en/of extremistische uitingen en/of gedragingen. Deze kleine groep individuen heeft door hun actieve en professionele gebruik van socialemediakanalen een onevenredig groot bereik binnen islamitische gemeenschappen in Nederland. In het Dreigingsbeeld Terrorisme Nederland van april 2022 wordt gesteld dat problematische gedragingen door antidemocratische, intolerante en anti-integratieve elementen binnen het salafisme kunnen leiden tot polarisatie in de samenleving en (op termijn) tot ondermijning van de democratische rechtsorde1.
De aangenomen gewijzigde motie van het lid Becker c.s. (Kamerstuk 35 228, nr. 34) is bekend. Indien extremistisch, antidemocratisch en radicaal salafistische uitingen zodanig ernstig van aard zijn dat zij onder de definitie vallen van terroristische content, dan vallen deze uitingen binnen de taken van de Autoriteit voor het tegengaan van Terroristisch en Kinderpornografisch Materiaal (ATKM). Deze Autoriteit wordt opgericht om uitvoering te geven aan een Europese verordening (inzake het tegengaan van verspreiding van terroristische online-inhoud: TOI-verordening) en kent een strikte doelbinding gericht op het tegengaan van verspreiding van terroristische content. De TOI-verordening wordt van kracht op 7 juni 2022. Op deze datum moet de autoriteit operationeel zijn en de nationale uitvoeringswet gereed. De autoriteit krijgt de bevoegdheid voor het sturen van verwijderingsbevelen en grijpt daarmee direct in op de vrijheid van meningsuiting.
Met oprichting van de ATKM wordt voor een deel van de uitingen waar de gewijzigde motie van het lid Beckers c.s. op ziet voorzien in de mogelijkheden om op te treden indien deze uitingen dermate ernstig zijn dat deze onder de definitie van terroristische content vallen. Echter, gezien proportionaliteitsoverwegingen, zoals het fundamentele recht op vrijheid van meningsuiting, is het niet mogelijk om extremistische, antidemocratische en radicaal salafistische uitingen die niet als terroristisch te definiëren zijn onder te brengen bij de ATKM.
Wel deelt het kabinet de zorg over de online verspreiding van radicale, extremistische en/of antidemocratische uitingen en het schadelijke effect dat deze uitingen kunnen hebben op onze democratische rechtstaat. Ook al zullen dit soort uitingen niet altijd te scharen zijn onder de categorie terroristische content, zij kunnen wel degelijk uiteindelijk overgaan in gewelddadig extremisme en terrorisme. Om te bezien wat de mogelijkheden zijn om juist tegen dit soort schadelijke content op te treden zal de Minister van Justitie en Veiligheid in kaart brengen over wat voor preventief en repressief instrumentarium landen om ons heen beschikken en welke mogelijkheden dit biedt voor Nederland. Daarnaast is het weerbaar maken van met name jongeren tegen online extremistische uitingen een belangrijk aandachtspunt binnen diverse activiteiten die mijn ministerie ontwikkelt.
Tevens worden doorlopend gesprekken gevoerd met internetbedrijven om de samenwerking in de aanpak van terroristische en andere extremistische en illegale uitingen in den brede op het internet verder te versterken. Nederland is bijvoorbeeld actief in het EU Internetforum. Hierin werken EU-lidstaten, de Europese Commissie en het bedrijfsleven op vrijwillige basis samen om het aanbod van gewelddadig extremistische en terroristische content op het internet te beperken.
Deelt u het inzicht dat onvrij gedachtegoed in toenemende mate online wordt verspreid en dat salafistische aanjagers online normale geloofsuitingen verdringen met extremistisch, antidemocratisch en radicaal-salafistische uitingen en dat deze content effectief moet worden bestreden door de overheid, in samenwerking met hostingproviders en internetplatforms?
Zie antwoord vraag 1.
Wat is de huidige stand van zaken van deze samenwerking tussen de overheid, hostingproviders en internetplatforms, ook in het licht van de vijf geschetste scenario’s uit het Wetenschappelijk Onderzoek- en Documentatiecentrum (WOCD)-onderzoek «Voorziening voor verzoeken tot snelle verwijdering van onrechtmatige online content»1, om ook andere vormen van onrechtmatige online content aan te pakken?
Er is eind april een principeakkoord bereikt over de Digital Services Act (hierna «DSA», stap 1 van het stappenplan zoals dat is gepresenteerd in de beleidsreactie op het door u genoemde WODC-onderzoek). Zodra de tekst van de DSA definitief is, is er ruimte om met hostingproviders en internetplatformen de huidige Notice-and-Take-Down (NTD) procedures tegen het licht te houden en aan te passen op de vereisten die voortvloeien uit deze DSA (stap 2). Deelname aan de huidige Nederlandse NTD-gedragscode is in beginsel vrijwillig en betreft een vrijwillig verzoek met referentie aan schendingen van de Terms of Service van het betreffende platform zelf. In de DSA is een Notice-and-Take-Action (NTA) opgenomen die verplichtend is. De methode Notice and Take Action (NTA) houdt in het identificeren, duiden en melden van bepaalde online-inhoud aan internetbedrijven, met het oog op verwijdering. Bij een NTA-procedure, zoals in de DSA omschreven, wordt online-inhoud getoetst aan of het onder de definitie valt van illegaal (onrechtmatig en strafbaar) in plaats van een toetsing aan de Terms of Service. Hierbij wordt geen onderscheid gemaakt tussen online-inhoud van ideologieën of religies, zoals bij ongewenste buitenlandse beïnvloeding. Wat telt voor de toetsing is of het illegaal is of niet. Ook wordt er een (abuse reporting) instrument ontwikkeld om verwijderbevelen van overheidswege op eenduidige wijze door te geven aan providers en platformen.
Op welke wijze bent u sinds de publicatie van het WOCD-onderzoek met de vijf geschetste scenario’s aan de slag gegaan? Kunt u dit uitsplitsen per scenario?
Zie antwoord vraag 3.
Wat is de huidige stand van zaken omtrent het onderzoek naar de mogelijkheid om de aanpak van extremistisch, antidemocratisch en radicaal-salafistische uitingen online onder te brengen bij de op te richten autoriteit kinderpornografische en terroristische content of indien dat niet mogelijk is een andere autoriteit? Deelt u de mening dat een dergelijke autoriteit van zeer groot belang is om deze ongewenste online uitingen tegen te gaan?
Voor beantwoording van uw vraag verwijs ik u naar het antwoord op vraag 1 en 2.
Is u bekend op welke wijze extremistische, antidemocratische en/of radicaal-salafistische uitingen die online worden verspreid gefinancierd worden? Kunt u dit per categorie inzichtelijk maken?
Indien er sprake is van dergelijke uitingen gaat het veelal om problematische, maar nog niet strafbare of onrechtmatige content. Dit geldt ook voor online uitingen. Dit betreft een breed spectrum aan gedragingen waarbij de ernst gradaties kent. Slechts bepaalde vormen van problematisch gedrag kunnen als (niet-gewelddadig) extremisme worden gekenmerkt en afbreuk doen aan de democratische rechtsorde. De inzet van de overheid, bijvoorbeeld op het inzichtelijk maken van financiering van bepaald problematisch gedrag hangt af van de ernst van het (potentiële) effect van de vertoonde gedragingen op de democratische rechtsorde.
Met het wetsvoorstel Transparantie Maatschappelijke Organisaties zal naar verwachting de transparantie van financieringsstromen richting maatschappelijke organisaties worden vergroot. Maatschappelijke organisaties (stichtingen, verenigingen, kerkgenootschappen of een buitenlands equivalent) moeten dan desgevraagd inzage geven in donaties. Daarnaast worden stichtingen verplicht om hun balans en staat van baten en lasten te deponeren in het (afgesloten deel van het) Handelsregister.
Een eventuele link tussen (buitenlandse) geldstromen en problematisch gedrag, zoals het doen van antidemocratische, onverdraagzame, anti-integratieve en/of extremistische uitingen online, kan hiermee inzichtelijk worden gemaakt.
Middels een nota van wijziging van de Wtmo wordt verder beoogd een handhavingsinstrument in te voegen om organisaties aan te kunnen pakken die activiteiten ontplooien die gericht zijn op (dreigende) ondermijning van de democratische rechtstaat of het openbaar gezag. De Minister van Justitie en Veiligheid is voornemens de nota naar aanleiding van het verslag, samen met de nota van wijziging en het nader rapport, op afzienbare termijn naar uw Kamer te sturen.
Verder is bekend dat extremistische groepen van buiten Nederland incidenteel gebruikmaken van digitaal geopende bankrekeningen in Nederland. De Kamer is hierover geïnformeerd in het Dreigingsbeeld Terrorisme Nederland (DTN 55). Dergelijke rekeningen kunnen gebruikt worden om buiten het zicht van de eigen overheid terrorisme en extremistische organisaties te financieren. Daarnaast zijn er gevallen bekend waarbij (online) payment service providers worden gebruikt en is er soms sprake van crowdfunding (o.a. middels de bekende Tikkies) via websites en chatgroepen maar ook peer to peer.
Hoe vaak hebben gemeenten de afgelopen twee jaar melding gemaakt van organisaties die via online activiteiten jongeren probeerden te binden of extremistisch (salafistisch) gedachtegoed probeerden te verspreiden onder kwetsbare of beïnvloedbare groepen? En hoe vaak heeft het Ministerie van Sociale Zaken en Werkgelegenheid, al dan niet in samenwerking met andere ministeries en instanties, via de driesporenaanpak tegen dergelijke organisaties opgetreden?
De overheid richt zich bij de aanpak van problematisch gedrag binnen het salafisme op die delen van de salafistische beweging waarbij sprake is van strafbaar en/of problematisch gedrag in relatie tot de te beschermen democratische rechtsorde. Er wordt derhalve onderscheid gemaakt tussen het verspreiden van salafistisch gedachtegoed en extremistisch gedachtegoed.
De Taskforce Problematisch gedrag en ongewenste buitenlandse financiering (hierna Taskforce) onder leiding van het Ministerie van SZW heeft sinds de oprichting in februari 2019 één casus behandeld waar er specifiek zorgen waren bij de gemeente over online activiteiten. De casus in kwestie is door een gemeente in 2020 aangemeld bij de Taskforce. De Taskforce heeft samen met de gemeente vastgesteld dat er geen sprake was van problematisch gedrag. De gemeente is geadviseerd om spoor 1 van de driesporenaanpak in te zetten, te weten interactie en dialoog. De gemeente is hierop het gesprek aan gegaan. Dit gesprek heeft ertoe geleid dat de zorgen zijn weggenomen.
Op welke schaal krijgt de Taskforce problematisch gedrag en ongewenste buitenlandse beïnvloeding te maken met casussen waarbij de online wereld een rol speelt in het verspreiden van ongewenste boodschappen en in hoeverre weegt de «locatie» van de casus (fysiek dan wel online) mee tijdens het wegingsoverleg door het Duidings- en Adviesteam? In hoeverre zit er bij deze Taskforce expertise als het gaat om (het tegengaan van) de verspreiding van schadelijke en ongewenste boodschappen in de online wereld?
Zoals vermeld in vraag 7 heeft de Taskforce sinds de oprichting één casus behandeld waarin een gemeente zorgen heeft geuit over online activiteiten van betrokkenen bij een organisatie. Gemeenten die een casus aanmelden bij de Taskforce hebben vaak zorgen over gedragingen die zich in het fysieke domein, binnen hun gemeente, afspelen. Dit neemt niet weg dat er wel zorgen zijn bij gemeenten over online-activiteiten en deze zorgen ook besproken kunnen worden met de partners binnen de Taskforce om zo mee te kunnen denken over mogelijke handelingsperspectieven.
Het vorige kabinet heeft uw Kamer op verschillende momenten geïnformeerd over de specifieke problemen omtrent de grondslag voor het verwerken van persoonsgegevens van een aantal partners. Als gevolg van deze problemen worden sinds april 2021 in Taskforce verband geen persoons- of organisatie duidingen meer gedaan.3 Gemeenten kunnen sinds april alleen nog geadviseerd worden over mogelijke oorzaken en handelingsperspectief ten aanzien van problematisch gedrag met aandacht voor de lokale context zonder daarbij persoonsgegevens te verwerken.
Wat is de huidige stand van zaken op Europees niveau om ongewenste, opruiende of indoctrinerende online boodschappen, die problematisch gedrag kunnen veroorzaken, tegen te gaan? Bent u van mening dat de Digital Services Act (DSA) voldoende juridische ruimte en handvatten biedt om de komende jaren haatzaaiende en indoctrinerende content snel en effectief te kunnen verwijderen van social media platformen? Zo ja, kunt u dit toelichten? Zo nee, waarom niet?
Het is het streven van het kabinet om tijdens de huidige kabinetsperiode flinke stappen te kunnen maken op precies dit onderwerp. De Digital Service Act (DSA) biedt een mogelijkheid om illegale content aan te pakken, onder andere door voor bepaalde internet tussenpersonen een aantal verplichtingen te introduceren rond het kunnen melden, beoordelen en verwijderen van deze vormen van content. Wat precies onder de noemer illegale content valt, is gedeeltelijk vastgelegd in Europese wet- en regelgeving, maar lidstaten hebben daarnaast ook ruimte om eigen nuances aan te brengen.
Op verschillende niveaus – van Europa tot lokale besturen – wordt nagedacht over het omgaan met ongewenste, opruiende of indoctrinerende online boodschappen, die problematisch gedrag kunnen veroorzaken. Vooraleerst betreft het dan de vraag welke rol de overheid zou moeten hebben om dergelijke fenomenen het hoofd te bieden, gevolgd door de vraag welke middelen vervolgens kunnen worden ingezet. Deze vragen zullen ook deel uitmaken van het project waaraan gerefereerd wordt in de beantwoording op de vragen 1 t/m 4.
Zoals ook is aangegeven in de brief over contentmoderatie en de vrijheid van meningsuiting online moet de spanning tussen de vrijheid van meningsuiting en de bewegingsruimte en veiligheid van burgers online, en de rol van de overheid daarbij, verder onderzocht worden4. Dit geldt met name voor uitingen die niet illegaal zijn, maar wel tot ongewenste maatschappelijke reacties leiden.
In hoeveel gevallen zijn er de afgelopen twee jaar gedane uitspraken geweest die dusdanig ernstig van aard waren dat zij vielen onder de definitie van terroristische content, zoals is bepaald in de Terrorist Content Online-verordening en in hoeveel van deze gevallen is er sprake van extremistisch, antidemocratisch en/of (extreem) salafistische invalshoek? Kunt u dit uitsplitsen per categorie?
De verordening inzake het tegengaan van de verspreiding van terroristische online-inhoud (TOI-verordening) is op 17 mei 2021 gepubliceerd en wordt op 7 juni 2022 van kracht. Dit houdt in dat de autoriteit nog niet actief is waaruit volgt dat er nog geen recente cijfers zijn die getoetst zijn aan de definitie zoals is bepaald in de TOI-verordening. Wel is de Internet Referral Unit (IRU) bij de Nationale Politie actief totdat de nieuwe autoriteit ATKM operationeel wordt. De aanpak die de IRU hanteert, is gebaseerd op de methode Notice and Take Action (NTA): zie antwoord vraag 3 en 4 voor uitleg NTA-methode. De IRU kijkt vooral naar zwaardere gevallen van jihadistische online-inhoud en maakt geen onderscheid per categorie. Indien de IRU jihadistische online-inhoud vindt, stelt zij Europol op de hoogte en doet Europol het verzoek tot verwijderen. In 2021 zijn 1.586 uitingen kritisch beoordeeld en uiteindelijk zijn er 1.247 NTA-verzoeken verstuurd, zo heeft de Politie laten weten.
Bent u bereid om op zeer korte termijn alsnog de gewijzigde motie Becker c.s. over het structureel tegengaan van extremistische uitingen door hier toezicht op te organiseren in zijn volledigheid af te doen?
Voor beantwoording van uw vraag verwijs ik u naar het antwoord op vraag 1 en 2.
Bent u bereid deze vragen voor het commissiedebat Inburgering en integratie van 30 maart a.s. te beantwoorden?
Helaas is dit niet gelukt.
Het bericht ‘Ddos'er die fiscus, banken en Tweakers aanviel, krijgt 200 uur taakstraf’. |
|
Queeny Rajkowski (VVD), Ulysse Ellian (VVD) |
|
Franc Weerwind (minister zonder portefeuille justitie en veiligheid) (D66), Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD) |
|
![]() |
Bent u bekend met het bericht «Ddos’er die fiscus, banken en Tweakers aanviel, krijgt 200 uur taakstraf»1?
Ja.
Worden ddos-aanvallen die zijn uitgevoerd op vitale diensten door het openbaar ministerie (OM) bij het bepalen van de strafeis en bij de rechter bij de strafoplegging als een strafverzwarende omstandigheid gezien?
Ja. Het OM houdt bij het bepalen van de strafeis rekening met de wettelijke strafmaxima zoals geformuleerd in het Wetboek van Strafrecht (Sr). Uit artikel 138b lid 3 Sr volgt dat het strafmaximum van twee naar maximaal vijf jaar gevangenisstraf kan gaan indien een DDoS-aanval is gepleegd tegen een geautomatiseerd werk behorende tot de vitale infrastructuur2.
Hoeveel veroordelingen zijn bekend van zaken waarbij een ddos-aanval gepleegd is?
Bij een DDoS-aanval kan artikel 138b Sr (opzettelijk en wederrechtelijk de toegang tot of het gebruik van een geautomatiseerd werk belemmeren door daaraan gegevens aan te bieden of toe te zenden) of artikel 161sexies Sr (misdrijven waardoor de algemene veiligheid van personen of goederen in gevaar wordt gebracht) tenlastegelegd worden. In de periode 2019–2021 zijn er 8 veroordelingen geweest voor artikel 138b. Onder de delictsomschrijving van artikel 161sexies vallen echter meer delicten dan alleen een DDoS-aanval. Er kan in de informatiesystemen van de Rechtspraak niet worden achterhaald hoeveel veroordelingen op basis van artikel 161sexies een DDoS-aanval betroffen. Het totale aantal veroordelingen van artikel 161sexies geeft daarom geen representatief beeld van het aantal veroordelingen van DDoS-aanvallen.
Deelt u de mening dat deze vormen van cybercriminaliteit hard aangepakt moeten worden vanwege de grote maatschappelijke impact?
Zeker. Cybercrime kan een grote impact hebben op individuele slachtoffers en de maatschappij als geheel. Gedurende de coronacrisis zijn we in het dagelijks leven steeds afhankelijker geworden van de online wereld. Dit maakt dat cyberaanvallen een groot risico vormen voor onze maatschappij. Het Cybersecurity Beeld Nederland benoemt ransomware zelfs als een risico voor onze nationale veiligheid.3 Adequate opsporing en vervolging van daders is noodzakelijk. Het internet mag geen vrijplaats zijn voor criminelen. Opsporing, vervolging en verstoring is één van de vier sporen van de integrale aanpak van cybercrime. Hierover wordt uw Kamer jaarlijks geïnformeerd per brief.4
Hoe vaak vindt er recidive plaats bij de cybercriminelen die ddos-aanvallen hebben gepleegd? Wordt er onderzoek gedaan naar het recidiverisico bij cyberdelicten?
Hierover zijn geen cijfers beschikbaar. Voor zover bekend lopen er momenteel geen onderzoeken naar het recidiverisico bij cyberdelicten. Wel is door het WODC onderzoek gedaan naar cyberdaders, waarover uw Kamer is geïnformeerd.5 Dit onderzoek gaf aan dat voor daders van cybercrime geen eenduidig profiel bestaat, maar dat er kenmerken zijn die relatief vaker voorkomen bij cyberdaders dan bij traditionele daders of vrij uniek zijn voor cyberdaders. Zo plegen jongere daders strafbare feiten in eerste instantie vaker uit nieuwsgierigheid, intellectuele uitdaging of leergierigheid, en zijn zich niet altijd bewust van de strafbaarheid. Ook bleek uit het onderzoek dat bij het voorkomen van recidive klassieke interventies bruikbaar zouden kunnen zijn, indien ze zouden worden aangepast aan de digitale context. Zie hiervoor vraag 6.
Welke maatregelen en middelen worden ingezet om recidive bij cyberdelicten te voorkomen?
Bij de aanpak van cybercrime wordt een onderscheid gemaakt tussen cybercrimedelicten in enge zin (zoals ransomware- en DDoS-aanvallen) en gedigitaliseerde delicten (zoals online fraude). Onderzoek geeft aan dat er kenmerken zijn die relatief vaker voorkomen bij cyberdaders dan bij traditionele daders of vrij uniek zijn voor cyberdaders.6 Ten behoeve van deze specifieke doelgroep maken Halt, de Raad voor de Kinderbescherming (RvdK) en de Reclassering gebruikt van de Hack_Right-aanpak. Daarnaast is de bestaande leerstraf Tools4U van de RvdK aangevuld voor daders van gedigitaliseerde delicten.
Ook is het instrumentarium voor risicotaxatie aangepast. Voor jeugdige justitiabelen is het landelijk risicotaxatie-instrumentarium (LIJ) aangevuld zodat het nu ook kan worden gebruikt in het geval zij een cybercrime of gedigitaliseerd delict hebben gepleegd. Dit jaar wordt gemonitord of de huidige aanpassingen voldoen of dat nog verdere aanvullingen nodig zijn.
Hoe vaak wordt bij strafoplegging of bij een OM-afdoening de aanvullende interventie Hack_Right toegepast? Wat zijn hier tot nu toe de resultaten van en kunt u deze resultaten met de Kamer delen?
Sinds 2019 zijn er 25 zaken afgerond. Hack_Right kan worden ingezet in het kader van een Halt-afdoening, een (jeugd)reclasseringsbegeleiding, als taakstraf of als gedragsaanwijzing in het kader van een bijzondere voorwaarde (volwassenenreclassering). De afgelopen jaren is de interventie Hack_Right (door)ontwikkeld en is toegewerkt naar indiening van de interventie bij de Erkenningscommissie Justitiële Interventies van het Nederlands Jeugdinstituut (NJi). Medio 2022 wordt de interventie voor erkenning voorgelegd.
Welke criteria worden gehanteerd om te bepalen of Hack_Right kan worden toegepast?
Hack_Right is bedoeld voor jongeren en jongvolwassenen die minimaal 12 en maximaal 24 jaar oud zijn ten tijde van het plegen van het delict, (gedeeltelijk) bekennen een cyberdelict7 te hebben gepleegd, niet eerder veroordeeld zijn voor een cyberdelict, affiniteit hebben met ICT en gemotiveerd zijn om deel te nemen aan Hack_Right. In uitzonderingsgevallen kan een lange variant van Hack_Right – op verzoek van een rechter, officier van justitie of een van de ketenpartners – ook ingezet worden voor jongvolwassenen van 24 tot 30 jaar. Bij deze doelgroep is het extra belangrijk dat bij de invulling van Hack_Right wordt aangesloten bij ontwikkelingstaken van jongvolwassenen op het gebied van werk, opleiding, vrijetijdsbesteding en relaties.
De langere variant van Hack_Right kan bij Reclassering worden opgelegd in het kader van een bijzondere voorwaarde, en bij de RvdK in het kader van een werkstraf. Hack_Right kan ook worden opgelegd in de vorm van een Halt-afdoening. Dit betreft een kortere variant.
Deelt u de mening dat de interventie Hack_Right een positieve bijdrage kan leveren aan het voorkomen van recidive bij jonge cybercriminelen? Zo ja, welke stappen onderneemt u om dit nadrukkelijker in het beleid naar voren te laten komen? Zo nee, waarom niet?
Minderjarigen kunnen, soms onbewust, forse cyberdelicten plegen. Hack_Right heeft als doel recidive onder jonge cybercriminelen te voorkomen en tegelijkertijd hun maatschappelijk zeer relevante ICT-talent te stimuleren binnen de kaders van de wet. Doordat jongeren leren hoe zij deze talenten op een veilige en rechtmatige manier kunnen ontwikkelen en inzetten, kan toekomstige maatschappelijke en financiële schade voorkomen worden. In de uitvoering van de interventie worden (private) ICT-bedrijven en -afdelingen betrokken, om de jongere te begeleiden bij de ontwikkeling van diens talent voor legale doeleinden. Momenteel is Hack_Right de enige interventie die zich specifiek richt op het voorkomen van herhaald daderschap bij (jonge) cybercriminelen.
Ondanks dat er sprake is van een stijging van (het aantal aangiften van) cybercriminaliteit blijkt dit nog niet uit de instroom bij Hack_Right. Dit vraagt aanvullende analyse, opdat passende maatregelen kunnen worden ingezet. Daarom heeft het Ministerie van Justitie en Veiligheid voor de komende jaren subsidie toegezegd aan de drie uitvoeringsorganisaties (Reclassering, RvdK en Halt) voor de verdere implementatie en inbedding van Hack_Right in de justitiële processen. Daarnaast voert het WODC een onderzoek uit naar de in- en doorstroom van jeugdige en volwassen verdachten en daders van cybercrime binnen de strafrechtketen.8
Komt het vaker voor dat er pas eindvonnis wordt gewezen door een rechtbank vier jaar nadat een verdachte in verzekering is gesteld? Zo ja, kunt u per rechtbank uitsplitsen hoe vaak de afgelopen vijf jaren vonnissen werden gewezen waarbij een dader strafvermindering kreeg als gevolg van schending van de redelijke termijn?
Het komt voor dat een rechtbank pas vier jaar nadat een verdachte in verzekering is gesteld het eindvonnis wijst. Uitsplitsen hoe vaak de afgelopen vijf jaren vonnissen zijn gewezen waarbij een dader strafvermindering kreeg als gevolg van schending van de redelijke termijn is niet geautomatiseerd mogelijk. Dit aangezien het overschrijden van de redelijke termijn niet wordt geregistreerd in de systemen van de rechtspraak.
Indien uw antwoord op vraag 10 luidt dat nergens wordt geregistreerd of er sprake is van schending van de redelijke termijn en wat de gevolgen hiervan zijn voor de opgelegde straffen, kunt u dan een reële inschatting maken gebaseerd op de gepubliceerde uitspraken op rechtspraak.nl om de Kamer toch inhoudelijk van een antwoord te voorzien?
Het onderzoeken van gepubliceerde uitspraken op rechtspraak.nl is zeer tijdrovend en de huidige capaciteit laat het momenteel niet toe een dergelijk onderzoek uit te voeren. Bovendien worden (nu nog) lang niet alle uitspraken gepubliceerd. Daarom is het onduidelijk of een dergelijk onderzoek een representatief beeld zou geven.
Berichten omtrent cyberaanvallen op Oekraïne en Nederlandse servers |
|
Queeny Rajkowski (VVD), Ruben Brekelmans (VVD) |
|
Wopke Hoekstra (viceminister-president , minister buitenlandse zaken) (CDA), Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD) |
|
![]() |
Bent u bekend met bovenstaande berichtgeving?1
Ja.
Bent u ervan op de hoogte dat Nederlandse servers worden misbruikt door Rusland om cyberaanvallen uit te voeren in Oekraïne? Hoe beoordeelt u dit?
Het is bekend dat Nederlandse servers en infrastructuur misbruikt worden door criminelen voor het plegen van strafbare feiten, zoals DDoS- en ransomware-aanvallen. Dit is onwenselijk. Nederland heeft in vergelijking met andere EU-landen een relatief grote hosting sector. Dit heeft te maken met de uitstekende digitale infrastructuur waarover Nederland beschikt: het internet is betrouwbaar en snel. Zowel nationaal als internationaal maken personen, bedrijven en organisaties gebruik van de Nederlandse infrastructuur. Naast legitieme klanten, kunnen criminelen en andere kwaadwillenden misbruik maken van de Nederlandse hostingsector. De hostingprovider is zich hier niet altijd van bewust. Daarnaast bestaan er zogenaamde «bulletproof» hosters, die hun klanten willens en wetens faciliteren bij hun strafbare gedrag. Verder ziet Nederland het zorgvuldigheidsbeginsel als een verplichting binnen het internationaal recht. Zie hiervoor verder de kamerbrief Tegenmaatregelen ransomware-aanvallen van de Minister van Buitenlandse Zaken.2
Hoeveel Nederlandse servers zijn de afgelopen weken misbruikt vanuit Rusland om cyberaanvallen uit te voeren? Heeft u een beeld om welke servers het gaat? Zo ja, zijn er stappen genomen om deze servers uit de lucht te halen? Zo nee, waarom niet?
Dergelijke digitale aanvallen worden uitgevoerd vanuit command-and-control servers. Deze staan wereldwijd in datacenters, waaronder ook in Nederland. Voor datacenters is het vrijwel onmogelijk om te controleren welke servers voor dergelijke malafide doeleinden worden ingezet. Voor elke aanval zou specifiek technisch onderzoek nodig zijn om te achterhalen via welke servers een aanval is uitgevoerd. Dergelijk technisch onderzoek is niet bij elke aanval mogelijk, vanwege de capaciteit die dit kost en gezien het aantal (pogingen tot) aanvallen.
Klopt het dat Rusland ongezien Nederlandse servers kon huren voor zijn activiteiten en zo ongestoord cyberaanvallen kon uitvoeren op Oekraïne? Zo ja, in hoeverre worden huurders gescreend bij hostingbedrijven door hostingbedrijven zelf? Zijn hostingbedrijven verplicht om huurders te screenen? Zo ja, gebeurt dit ook en hoe vindt de controle plaats dat dit ook gebeurt? Zo nee, waarom niet?
Wie precies de servers heeft gehuurd voor de genoemde activiteiten is niet bekend. Het screenen van klanten door hostingproviders is geen wettelijke verplichting. Het gaat hier om private bedrijven, waarop in Nederland contractvrijheid van toepassing is. Zij mogen in beginsel zelf bepalen wie hun klanten zijn. Door de hostingsector is samen met het Ministerie van EZK een gedragscode opgesteld, om misbruik van hun servers tegen te gaan. Op EU-niveau heeft Nederland in het kader van de gesprekken over de Digital Services Act (DSA) gepleit voor het hierin opnemen van regels voor hostingproviders om crimineel misbruik te bemoeilijken, waaronder het vergaren van informatie over klanten. Hiervoor was onvoldoende steun.
Welke rol speelt de politie in het screenen van huurders van hostingbedrijven? Wanneer screent de politie huurders van hostingbedrijven? Zijn hostingbedrijven verplicht om servers offline te halen als de politie hier melding van maakt? Zo ja, is dit ook afgelopen weken gebeurd? Zo nee, waarom niet?
Zoals bij vraag 4 is aangegeven, zijn hosters niet wettelijk verplicht om hun klanten te screenen. De politie heeft geen wettelijke bevoegdheden om klanten van hostingproviders te screenen. Daarnaast is het screenen van klanten een toezichtstaak die niet bij de politie thuis hoort. Bij vermoedens van illegale activiteiten op een server kan bij een hostingprovider een verzoek worden gedaan voor een vrijwillige notice-and-takedown. Indien de hoster daar geen gehoor aan geeft, kan de officier van justitie ter beëindiging van een strafbaar feit of ter voorkoming van nieuwe strafbare feiten een dienstverlener bevelen gegevens ontoegankelijk te maken (artikel 125p Wetboek van Strafvordering (Sv)) sturen naar een hostingprovider. Wanneer cybercriminelen gebruik maken van servers gehuurd bij buitenlandse resellers kan het doen van vorderingen worden bemoeilijkt, en daarmee het opsporingsonderzoek en het beëindigen van strafbare feiten.
Indien de politie weet heeft van strafbare feiten die via Nederlandse servers gepleegd worden, kan een opsporingsonderzoek worden gestart. Dit zal zich in beginsel richten op de plegers van strafbare feiten, zoals de daders van een ransomware-aanval. Het opsporingsonderzoek kan zich ook richten op de hostingprovider of de reseller, mits zij worden verdacht van een strafbaar feit.
Bent u het met de VVD-fractie eens dat het ongebreideld door kunnen verhuren van hostingruimte door resellers het wel erg makkelijk kan maken voor kwaadwillenden om een online rookgordijn te creëren? Zo ja, wat wilt u hieraan doen en welke mogelijkheden hebben hostingbedrijven en politie om gegevens over resellers op te vragen? Zo nee, waarom niet?
Het is onwenselijk dat kwaadwillenden Nederlandse servers misbruiken voor bijvoorbeeld het plegen van cyberaanvallen. De hostingsector heeft de gedragscode «abuse-bestrijding» ontwikkeld, die als doel heeft het schoon en veilig houden van het Nederlandse internet. Hierin is onder meer opgenomen dat hosters hun klanten kennen. Het blijft echter mogelijk dat klanten van hostingproviders deze serverruimte weer doorverhuren. Verder deelt het Clean Networks Initiatief3 onder deelnemers geautomatiseerd actuele informatie over kwetsbaarheden en misbruik in de systemen van alle deelnemers, geprioriteerd op basis van urgentie en impact. Daarnaast is in 2020 het Anti Abuse Netwerk (AAN) opgericht. Deze coalitie van publieke en private partijen zet zich in voor de bestrijding van misbruik van de technische infrastructuur.
Recentelijk heeft de politie een lijst opgesteld met resellers die vaak laten doorschemeren of openlijk toegeven dat zij diensten leveren aan criminelen. Deze lijst is gedeeld met de Dutch Cloud Community (DCC). Zie hiervoor ook de beantwoording van de Kamervragen van het lid Rajkowski.4 Naar aanleiding van deze beantwoording heeft DCC laten weten dat een aantal leden met bepaalde klanten geen zaken meer doet.5
Momenteel is in EU-verband de triloog-fase van de Digital Services Act begonnen. Deze verordening dient onder meer ter vernieuwing van de huidige E-Commerce richtlijn. In het voorstel worden hostingaanbieders onder andere verplicht een toegankelijk notificatiemechanisme in te stellen waarbij illegale inhoud gemeld kan worden en wordt verduidelijkt dat hostingproviders hun beperking van aansprakelijkheid kunnen verliezen wanneer zij na een melding van illegale inhoud deze niet prompt verwijderen of ontoegankelijk maken. Het kabinet steunt de invoering van deze maatregelen.
Bent u het met de VVD-fractie eens dat het zeer zorgelijk is dat onze uitstekende digitale infrastructuur wordt misbruikt door landen als Rusland om cyberaanvallen uit te voeren op Oekraïne en dat Nederland daarmee onbewust en indirect de Russische aanval faciliteert? Zo ja, bent u bereid om hostingbedrijven strenger te controleren al dan niet via de politie? Zo nee, waarom niet?
Het is zeer onwenselijk dat Nederlandse infrastructuur wordt misbruikt voor het plegen van cyberaanvallen. Dit geldt ook in het geval van kwaadwillende cyberoperaties tegen Oekraïne. Zoals eerder is aangegeven zijn hostingbedrijven niet wettelijk verplicht om hun klanten te controleren. Het controleren van hostingbedrijven is bovendien geen taak van de politie. Bij het tegengaan van misbruik van Nederlandse netwerken blijft het belangrijk dat de samenwerking wordt gezocht tussen de hostingsector en de politie.
Het bericht ‘Criminelen gebruiken foute hostingbedrijven voor activiteiten vanuit Nederland’. |
|
Queeny Rajkowski (VVD) |
|
Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD) |
|
![]() |
Bent u bekend met het bericht «Criminelen gebruiken foute hostingbedrijven voor activiteiten vanuit Nederland»?1
Ja.
In november waarschuwde de politie al voor 70 mogelijk malafide bedrijven die serverruimte doorverhuren aan criminelen, waar komen deze malafide bedrijven vandaan? Welke acties zijn daarna ondernomen tegen deze malafide bedrijven?
De politie geeft aan dat het om buitenlandse bedrijven gaat die gebruik maken van de Nederlandse infrastructuur. Bedrijven die serverruimte doorverhuren worden «resellers» genoemd. Deze resellers huren serverruimte van een in Nederland gevestigde hostingprovider, waarna ze deze doorverhuren aan een klant. Deze klanten kunnen personen zijn die een reguliere website willen laten draaien, maar dit kunnen ook cybercriminelen zijn die de zich in Nederland bevindende server misbruiken voor strafbare feiten. Op basis van openbaar toegankelijke informatie, zoals bepaalde internetfora, heeft de politie een lijst opgesteld van resellers die vaak laten doorschemeren of openlijk toegeven dat zij diensten leveren aan criminelen. Deze lijst is gedeeld met de leden van de brancheorganisatie van hostingproviders, de Dutch Cloud Community (DCC). Aan hen is gevraagd of zij deze resellers in hun klantenbestand hebben. Het is aan deze hostingproviders om eventueel actie te ondernemen op basis van deze lijst.
Welke acties hebben hostingbedrijven uitgevoerd nadat de politie deze waarschuwing heeft verstuurd? Heeft de politie contact gehouden met de hostingbedrijven om te checken of hostingbedrijven wat met deze waarschuwing hebben gedaan?
De politie heeft DCC gevraagd naar hun ervaring met deze actie. DCC heeft aangegeven dat zij en haar leden overwegend positief zijn, met name over het feit dat de politie een dergelijke lijst heeft opgesteld en als waarschuwing heeft gedeeld. De hostingproviders hebben geen mededelingen gedaan over het al dan niet handelen naar aanleiding van de lijst.
Zijn de tientallen criminele activiteiten die afgelopen maanden via de netwerken van bedrijven zijn ondernomen, zoals blijkt uit het onderzoek van Pointer en Spamhaus, bekend bij de politie? Zo ja, welke acties zijn hiertegen ondernomen?
Het feit dat misbruik wordt gemaakt van de Nederlandse infrastructuur is al langere tijd bekend bij de politie. De politie richt zicht binnen de opsporingsonderzoeken die zij uitvoeren onder meer op hostingbedrijven die bewust criminaliteit faciliteren. Daarop zijn reeds meerdere strafzaken gestart. Zoals ook in de beantwoording van Kamervragen van het lid Van Nispen2 is aangegeven, is het strafrechtelijk vervolgen van hostingproviders lastig. Het opsporen en vervolgen van buitenlandse resellers is mogelijk nog complexer indien hiervoor samenwerking nodig is met een land waarmee Nederland geen of geen goede rechtshulprelatie heeft. De politie en het OM werken daarom niet alleen aan opsporing en vervolging, maar bijvoorbeeld ook aan slachtoffernotificatie en samenwerking met private partijen om de criminele activiteiten te verstoren.
Om wat voor type criminele activiteiten gaat het in deze gevallen? Kunt u een inschatting maken van de schade die is toegebracht door de criminelen?
De politie geeft aan dat de resellers verschillende typen cyberdelicten faciliteren, zoals computervredebreuk, phishing-campagnes en ransomware-aanvallen. Vanwege het ontbreken van kwantitatieve gegevens en de lage aangiftebereidheid van cybercrimedelicten is een betrouwbare inschatting van de schade niet beschikbaar.
Op welke manier werken hostingbedrijven en de politie samen om dit soort praktijken te voorkomen? Kan deze samenwerking verstevigd worden? Is het op een directe, dan wel indirecte manier mogelijk om hostingbedrijven aansprakelijk te stellen voor het verhuren van serverruimte aan malafide bedrijven?
De politie is deelnemer aan het Anti Abuse Netwerk (AAN). Deze coalitie van publieke en private partijen zet zich in voor de bestrijding van misbruik van de technische infrastructuur. Daarnaast wordt in individuele opsporingsonderzoeken waar nodig in contact getreden met hostingproviders.
In de huidige situatie zijn hostingproviders op grond van Europese regelgeving en de Nederlandse implementatie daarvan onder voorwaarden niet aansprakelijk voor de gedragingen van hun klanten, waaronder (klanten van) resellers. De beperking van aansprakelijkheid voor hostingproviders die wordt geregeld in artikel 14 van de E-Commerce-richtlijn, is geïmplementeerd in artikel 54a Sr. Artikel 54a Sr stelt dat hostingproviders in beginsel niet vervolgd kunnen worden vanwege wederrechtelijk materiaal dat door klanten op hun servers wordt geplaatst, indien zij doen wat redelijkerwijs van hen gevergd kan worden wanneer ze op bevel van de officier van justitie (125p Sv) gegevens ontoegankelijk moeten maken. Een bevel om een dienst ontoegankelijk te maken is gericht op individuele inhoud en niet op de hostingprovider als zodanig. Het voorkomt niet dat een hostingprovider opnieuw (dezelfde) klanten toelaat die wederrechtelijk materiaal plaatsen op de servers van de hostingproviders.
Bent u het ermee eens dat het niet uit te leggen is dat via Nederlandse servers buitenlandse criminelen makkelijk hun gang kunnen gaan om vervolgens ernstige criminele activiteiten te plegen? Op welke manier kunt u ervoor zorgen dat malafide bedrijven minder kans krijgen om serverruimte van Nederlandse hostingbedrijven te kopen?
Het is belangrijk om ervoor te zorgen dat het Nederlandse netwerk veilig is en niet misbruikt wordt door criminelen. Momenteel is in EU-verband de triloog-fase van de Digital Services Act begonnen. Deze verordening dient onder meer ter vernieuwing van de huidige E-Commerce richtlijn. In het voorstel worden hostingaanbieders onder andere verplicht een toegankelijk notificatie-mechanisme in te stellen waarbij illegale inhoud gemeld kan worden en wordt verduidelijkt dat hostingproviders hun beperking van aansprakelijkheid kunnen verliezen wanneer zij na een melding van illegale inhoud deze niet prompt verwijderen of ontoegankelijk maken. Het kabinet steunt de invoering van deze maatregelen.
De hostingsector heeft zelf reeds initiatieven ontplooid om het misbruik van Nederlandse netwerken tegen te gaan, zoals het eerdergenoemde Anti-Abuse Netwerk. Daarnaast heeft de hostingsector zelf een gedragscode «abuse-bestrijding» ontwikkeld, die als doel heeft het schoon en veilig houden van het Nederlandse internet. Hierin is ook opgenomen dat hosters hun klanten kennen. Verder deelt het Clean Networks Initiatief3 onder deelnemers geautomatiseerd actuele informatie over kwetsbaarheden en misbruik in de systemen van alle deelnemers, geprioriteerd op basis van urgentie en impact.
Het bericht ‘Ziekenhuizen kwetsbaar voor cyberaanval: Wachten totdat het misgaat’ |
|
Queeny Rajkowski (VVD), Judith Tielen (VVD) |
|
Kuipers |
|
![]() |
Bent u bekend met het bericht «Ziekenhuizen kwetsbaar voor cyberaanval: Wachten totdat het misgaat» van 26 januari jongstleden?1
Ja.
Deelt u de zorgen bij het lezen van de constatering van beveiligingsexperts dat Nederlandse ziekenhuizen nog altijd kwetsbaar zijn voor cyberaanvallen? Zo nee, wat is dan uw oordeel over deze constatering?
Ik deel de zorgen dat er een toename is aan veiligheidsdreigingen voor zorginstellingen door een toename van cyberaanvallen. Tegelijkertijd kunnen cyberaanvallen nooit helemaal worden voorkomen. Informatiebeveiliging vraagt daarmee continue aandacht om de beschikbaarheid, integriteit en vertrouwelijkheid van (patiënt)informatie te waarborgen. Zorgaanbieders, zoals ziekenhuizen, moeten daar alert op zijn. Zij zijn verantwoordelijk voor het op orde hebben en houden van hun informatiebeveiliging. Onderdeel daarvan is het voldoen aan de wettelijk verplichte NEN 7510-norm die de kaders stelt om beschikbaarheid, integriteit en vertrouwelijkheid van medische gegevens te borgen. Daarnaast worden ziekenhuizen ondersteund door Z-CERT (het Computer Emergency Response Team voor de zorg) bij (dreigende) cyberincidenten en bij het vergroten van hun digitale weerbaarheid. Er zijn de laatste jaren door de ziekenhuizen al grote stappen gezet op het gebied van informatiebeveiliging, waaronder ook het aantoonbaar voldoen aan de NEN 7510. Dit komt ook naar voren in het recent gepubliceerd inspectierapport van de Inspectie Gezondheidzorg en Jeugd (IGJ) bij ziekenhuizen2. Ziekenhuizen die op het moment van het inspectiebezoek hun informatiebeveiliging niet op orde hadden, hebben na het inspectiebezoek beveiligingsmaatregelen genomen waaronder het aantoonbaar voldoen aan de NEN7510 norm.
Hoeveel Nederlandse ziekenhuizen en andere zorginstellingen zijn in 2021 geraakt door cyberaanvallen, en hoeveel in 2020 en 2019? Om welk type cyberaanvallen ging het in die gevallen? In hoeveel gevallen is de continuïteit van zorg in gevaar gekomen als gevolg van een cyberaanval?
Cybercrime en het aantal cyberincidenten nemen in rap tempo toe. Het is niet bekend hoeveel zorginstellingen in 2021, 2020 en 2019 precies geraakt zijn door cyberaanvallen. Daarvan is geen meldingsplicht. Wel heeft Z-CERT op mijn verzoek gemeld dat er in de afgelopen drie jaar ruim 1300 hulpverzoeken en (cyber)incidenten zijn gemeld bij Z-CERT. Met name in 2021 is het aantal meldingen fors gestegen. Dit komt mede omdat er in 2021 een grote groep nieuwe deelnemers is aangesloten. Onder andere meldden in 2021 vijf zorginstellingen te zijn geraakt door een ransomware-aanval, vier meer dan in 2020 aldus Z-CERT in haar recent gepubliceerde «Cyber Dreigingsbeeld in de zorg 2021»3. In 2019 werden 176 en in 2020 182 hulpverzoeken gemeld bij Z-CERT.
Deelt u de mening dat het zorgelijk is dat beveiligingsexperts constateren dat de zorgsector qua digitale beveiliging achterloopt op andere sectoren? Hoe beoordeelt u dit in het licht van het vitale karakter van zorgprocessen?
De beveiliging en beschikbaarheid van ICT in de zorg verdienen blijvend aandacht. Mijn beleid focust zich op het verhogen van bewustwording van de noodzaak tot beveiliging van de gevoelige persoonsgegevens die juist in de gezondheidszorg zo’n grote rol spelen. Ik herken mij niet in het beeld dat de zorgsector achter zou lopen op andere sectoren als het gaat om digitale weerbaarheid. Er zijn de laatste jaren door de ziekenhuizen en andere zorginstellingen grote stappen gezet op het gebied van informatiebeveiliging, waaronder het verhogen van cyberbewustwording, het (collectief) aansluiten bij Z-CERT en ook het aantoonbaar voldoen aan de wettelijk verplichte NEN 7510.
Klopt het dat de Inspectie Gezondheidszorg en Jeugd (IGJ) in 2021 al concludeerde dat de informatiebeveiliging van de meeste ziekenhuizen niet voldoet aan de gestelde eisen? Zo ja, welke consequenties zijn er voor ziekenhuizen die hier niet aan voldoen? Zijn sinds de conclusie van de Inspectie stappen gezet om de informatiebeveiliging van deze ziekenhuizen op het juiste niveau te krijgen? Zo ja, welke? Zo nee, waarom niet?
Het artikel van Nu.nl refereert aan een publicatie van de IGJ van december 2021 over het toezicht op e-health bij 22 ziekenhuizen («Professionele digitale zorg vraagt van ziekenhuizen steeds opnieuw evalueren en verbeteren»). De inspectiebezoeken vonden plaats in de periode tussen september 2017 en oktober 2021. Hierbij keek de inspectie onder andere naar het thema informatiebeveiliging: ziekenhuizen moeten een managementsysteem voor informatiebeveiliging hebben dat voldoet aan de wettelijk verplichte norm NEN 7510. Een onderdeel van deze norm is dat een onafhankelijke beoordeling van het managementsysteem voor informatiebeveiliging aanwezig moet zijn. Bij meer dan de helft van de bezochte ziekenhuizen bleek dit op het moment van het inspectiebezoek niet het geval. De ziekenhuizen die onvoldoende konden aantonen dat zij voldeden aan de norm, kregen de opdracht van de inspectie om dit alsnog aan te tonen. Dit betekende in de praktijk dat de meeste van deze ziekenhuizen alsnog een onafhankelijke beoordeling moesten laten uitvoeren en zo nodig naar aanleiding van de uitkomsten een verbeterplan moesten doorvoeren.
De desbetreffende ziekenhuizen gaven hieraan gehoor. Bij acht ziekenhuizen heeft dit er vervolgens toe geleid dat zij een (niet wettelijk verplicht) certificaat hebben behaald voor NEN 7510. Uit de publicatie van de IGJ van december 2021 kunnen geen conclusies worden getrokken over de ziekenhuizen die niet zijn bezocht. In de publicatie van de inspectie roept de inspectie alle ziekenhuizen op om hun informatiebeveiliging snel aantoonbaar op orde te krijgen voor zover dat nu nog niet het geval is. De inspectie zal ook andere ziekenhuizen hierop in de toekomst aanspreken als bij een thematisch bezoek blijkt dat de informatiebeveiliging niet aantoonbaar voldoet aan de norm.
Welke maatregelen nemen ziekenhuizen al dan niet in samenwerking met Z-CERT, om cyberaanvallen te voorkomen? In hoeverre wordt bijvoorbeeld geoefend met Z-CERT op cyberincidenten? In hoeverre wordt de Kwetsbaarheden Analyse Tool (KAT) al ingezet binnen de zorgsector om doorlopend te scannen op kwetsbaarheden?
In de afgelopen jaren hebben ziekenhuizen extra beveiligingsmaatregelen getroffen om de toenemende cyberdreiging het hoofd te bieden. De wettelijk verplichte NEN 7510 norm biedt hiervoor een goed kader. Ook zien we dat steeds meer ziekenhuizen zich laten certificeren tegen deze NEN norm. Met onder meer de publicatie van richtlijnen ter voorkoming van ransomware en met het organiseren van webinars draagt Z-CERT bij aan het vergroten van het bewustzijn en het treffen van adequate maatregelen. Z-CERT informeert en adviseert ziekenhuizen dagelijks over dreigingen en incidenten met betrekking tot hun zorginformatiesystemen. Ook helpt Z-CERT-ziekenhuizen zich voor te bereiden op (en om te gaan met) ernstige ICT-incidenten of ICT-crises. Deze inspanningen dragen bij aan het voorkomen van cyberincidenten. In samenwerking met een aantal ziekenhuizen voert Z-CERT op beperkte schaal al cyberoefeningen uit. Het voornemens is om in de komende jaren verder te investeren in het organiseren van cyberoefeningen bij ziekenhuizen en andere deelnemers van Z-CERT. Dat ondersteun ik.
De Kwetsbaarheden Analyse Tool (KAT) wordt op dit moment specifiek toegepast in het zorgdomein. Thans loopt er een project bij Z-CERT om deze dienst in te richten en te operationaliseren en deze beschikbaar te stellen aan zorginstellingen. Dit in aanvulling op andere middelen die worden ingezet om deelnemers van Z-CERT te controleren op kwetsbaarheden en proactief te waarschuwen.
Deelt u de mening dat het van groot en urgent belang is dat ziekenhuizen maatregelen treffen, zeker gezien de COVID-19-crisis, om cyberaanvallen te voorkomen? Zo ja, bent u bereid om op korte termijn mét de sector en Z-CERT te werken aan maatregelen om zorginstellingen, zoals ziekenhuizen, digitaal weerbaar te maken? Op welke termijn verwacht u de Kamer hierover te kunnen informeren? Zo nee, waarom niet?
Ik vind het van belang dat zorginstellingen de aan hun toevertrouwde informatie beveiligen en beschermen. Tegelijkertijd zullen er in de digitale wereld altijd cyberrisico’s blijven. Het is zaak die te onderkennen, zoveel mogelijk te mitigeren, voortdurend te bewaken en in te grijpen bij (dreigende) verstoringen. Zorginstellingen moeten daar alert op zijn aangezien zij zelf verantwoordelijk zijn voor het op orde hebben en houden van hun informatiebeveiliging. Ik werk momenteel al samen met de sector en Z-CERT om de zorg weerbaarder te maken.
Ik ondersteun Z-CERT met het risicogestuurd uitbreiden van het aantal deelnemers. Z-CERT heeft nu ruim 200 zorginstellingen aangesloten. Dit is een verdubbeling ten opzichte van een jaar eerder. Daarnaast werk ik samen met Z-CERT om openbare diensten en producten te ontwikkelen zoals de reeds verschenen «handreiking verlopen domeinnamen» Z-CERT_Handreiking2021.pdf. Deze handreiking helpt bij het proactief en continu monitoren op kwetsbaarheden van verlopen zorgdomeinnamen.
Om bewustwording over informatiebeveiliging in de zorg te verhogen heb ik in samenwerking met Brancheorganisaties Zorg de wegwijzer «Aan de slag met Informatieveilig gedrag» ontwikkeld en deze medio 2021 beschikbaar gesteld aan het veld4. De wegwijzer helpt zorginstellingen om de informatieveiligheid te verbeteren en helpt hen ook concreet bij het voldoen aan de wettelijk verplichte NEN 7510. In mijn volgende Kamerbrief over elektronische gegevensuitwisseling in de zorg zal ik uw Kamer nader informeren over de vorderingen op het gebied van informatieveiligheid in de zorg.
De vacature ‘Senior beleidsmedewerker interceptie en digitale opsporing.’ |
|
Queeny Rajkowski (VVD) |
|
Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD) |
|
![]() |
Bent u bekend met bovenstaande vacature?1
Ja.
Klopt het dat de functie onder andere het onderzoeken naar de (voor- en nadelen van) mogelijkheden om communicatie van OTT-communicatiediensten, zoals Whatsapp, Signal e.d. op een proportionele wijze aftapbaar te maken, omvat? Zo ja, kunt u deze te verrichten werkzaamheden toelichten?
Ja, dat klopt. Als onderdeel van het onderzoek dat in de vacaturetekst wordt genoemd is er een inventarisatie gaande om mogelijkheden te onderzoeken voor rechtmatige toegang tot versleutelde digitale communicatie, om vervolgens de voor- en nadelen daarvan voor alle betrokken zwaarwegende belangen te analyseren. Daardoor wordt geïnformeerde en zorgvuldige besluitvorming door het kabinet en uw Kamer mogelijk. Tijdens deze inventarisatie wordt expliciet de mogelijkheid opengehouden dat geen proportionele oplossing zich aandient, waardoor voortgang op dit traject op dat moment niet prudent is. Hieronder volgt een nadere onderbouwing.
Politie, het OM en de inlichtingen- en veiligheidsdiensten (IenV-diensten) geven al langere tijd aan dat het wijdverspreide gebruik van digitale communicatiediensten een negatieve impact heeft op de effectiviteit van de interceptiebevoegdheden. Dat komt onder meer door het volgende. Over-The-Top (OTT) communicatiediensten (OTT-communicatiediensten) worden praktisch door iedereen gebruikt. Deze OTT-communicatiediensten kennen geen wettelijke medewerkings- en aftapbaarheidsverplichtingen zoals aanbieders van openbare telecommunicatiediensten en -netwerken die wel hebben. Bovendien is er geen sprake van een ontsleutelplicht voor dergelijke aanbieders van communicatiediensten. Daarbovenop maken zij gebruik van een type versleuteling waardoor niet alleen opsporings- en IenV-diensten zijn uitgesloten van toegang tot deze communicatie, maar ook de aanbieders van de diensten zelf. Rechtmatige toegang is hierdoor niet mogelijk, ongeacht de bevoegdheden daartoe, passende juridische waarborgen of de ernst van het criminele feit of de dreiging.
De zorgen geuit door de opsporings- en IenV-diensten over de effectieve uitvoering van hun wettelijke taak neem ik serieus. Het betreft hier het vermogen van deze diensten om hun kerntaken uit te voeren: criminaliteit opsporen, verdachten voor de rechter brengen en de Nederlandse veiligheid bewaken.
Tegelijkertijd ben ik mij er zeer van bewust dat het een bijzonder complex vraagstuk is met veel betrokken vakgebieden en belangen. Ook door dit kabinet wordt de noodzaak voor goede, sterke versleuteling van digitale communicatie onderschreven alsook het belang hiervan voor cybersecurity, nationale veiligheid en de bescherming van fundamentele rechten en vrijheden. Zie hiervoor ook het antwoord op vraag vier.
Uw Kamer is bekend met de initiatieven die door het vorige kabinet met betrekking tot de interceptie van communicatie via OTT-communicatiediensten in gang zijn gezet en de motivatie daarvoor, alsook de dilemma’s die in dit vraagstuk naar voren komen en in deze beantwoording verder worden toegelicht. Naast deze nationale verkenning is in dit traject ook een initiatief op EU-niveau in gang gezet. Nederland staat niet alleen in de zoektocht naar een passende, rechtstatelijke oplossing voor dit bijzonder complexe vraagstuk. De Commissie heeft aangegeven in 2022 een «way forward» te willen voorstellen op dit dossier. Daarbij pleit ik ook structureel, mede in EU verband, voor een transparant proces waarbij de samenwerking met het bedrijfsleven, opsporingsdiensten, het maatschappelijk middenveld en de wetenschap wordt gezocht. Gedurende het EU traject vindt ook afstemming plaats tussen mijn Ministerie en de I&V-diensten.
Wat is volgens u het uiteindelijke doel van het onderzoeken naar de mogelijkheden om communicatie van OTT-diensten op een proportionele wijze aftapbaar te maken? Hoe verhoudt dit doel zich tot het bredere cybercrime beleid?
Zoals ik in mijn antwoord op vraag 2 heb aangegeven is het doel van de inventarisatie om geïnformeerde en zorgvuldige besluitvorming mogelijk te maken door dit kabinet en uw Kamer. Indien een mogelijke oplossing voor interceptie van versleutelde communicatie via OTT-communicatiediensten wordt gevonden, dan moet men goed inschatten wat de impact is op de cybersecurity, nationale veiligheid en bescherming van fundamentele rechten en vrijheden, zoals eerbiediging van de privacy. Indien een proportionele oplossing zich niet aandient, moeten we bijvoorbeeld ook goed analyseren wat dit betekent voor de mogelijkheden van de opsporing en IenV-diensten om criminaliteit op te sporen en onze maatschappij veilig te houden.
Dit traject staat los van het cybercrime beleid. De beschermende waarde van encryptie om te voorkomen dat criminelen toegang krijgen tot persoonlijke gegevens staat niet ter discussie. Daarbij moet ook worden bedacht dat rechtmatige toegang tot versleutelde communicatie ook de veiligheid van de maatschappij en burgers kan verbeteren doordat illegale inhoud kan worden erkend, onderschept, verwijderd en slachtofferschap wordt voorkomen of geminimaliseerd. De interceptiebevoegdheid kan worden gebruikt voor de bestrijding van vele soorten criminaliteit. Daarbij gelden passende juridische waarborgen: er moet toestemming worden verleend door een bevoegde autoriteit – de rechter-commissaris bij de inzet ten behoeve van de opsporing – die in concrete gevallen telkens een proportionaliteitsafweging maakt.
Ook in opsporingsonderzoeken naar misdrijven die alleen in de fysieke wereld worden gepleegd communiceren verdachten onderling of met derden over de planning of uitvoering van het misdrijf via OTT-communicatiediensten. Gegeven het belang van de interceptiebevoegdheid voor vele typen criminaliteit en de ontwikkeling in het gebruik van OTT-communicatiediensten is het WODC gevraagd om onderzoek te doen naar de impact van encryptie op de opsporing. Dit onderzoek kan helpen bij de weging van de proportionaliteit van een eventuele oplossing.
Hoe kijkt u naar het gebruik van end-to-end encryptie door OTT-communicatiediensten zoals Whatsapp en Signal? Wat zijn volgens u hier de voor- en nadelen van?
Ook dit kabinet erkent het belang van de ontwikkeling, beschikbaarheid en het gebruik van encryptie. Het is van groot belang de vertrouwelijkheid en integriteit van digitale communicatie en opgeslagen data te beschermen. Dat is belangrijk voor de eerbiediging van de persoonlijke levenssfeer, het vertrouwen van mensen in digitale producten en diensten en voor de Nederlandse economie in het licht van de digitale maatschappij. Dit kabinet stelt zich in het coalitieakkoord ook ten doel om privacy van burgers te verbeteren, fundamentele burgerrechten online te erkennen en veilige digitale communicatie te versterken.
In het coalitieakkoord wordt echter ook een ambitieuze agenda neergelegd voor de aanpak van ondermijnende criminaliteit, radicalisering en extremisme, cybercriminaliteit en de slagkracht van de opsporings- en IenV-diensten. Interceptie van communicatie is voor het realiseren van deze doelen van belang.
De voor- en nadelen die gelden voor de versleuteling in het algemeen gelden ook voor end-to-end versleuteling. Zoals ik in antwoord op vraag twee reeds benoemd heb, zijn door de implementatie van dit type versleuteling opsporings- en IenV-diensten uitgesloten van rechtmatige toegang tot deze communicatie via de aanbieder. Ongeacht de passende juridische waarborgen of de ernst van het criminele feit of de dreiging. Dit heeft tot gevolg dat opsporings- en IenV-diensten meer aangewezen zijn op alternatieve mogelijkheden om alsnog toegang tot de informatie te verkrijgen, zoals bijvoorbeeld de bevoegdheid tot Opname van Vertrouwelijke Communicatie (OVC) of het op afstand binnendringen in een geautomatiseerd werk.
De effectiviteit van de wet die deze laatste bevoegdheid mogelijk maakt wordt op dit moment geëvalueerd door het WODC, het rapport verwacht ik in de eerste helft van 2022. In het algemeen kan worden gesteld dat deze bevoegdheden minder schaalbaar en de effectiviteit er van beperkt voorspelbaar zijn vanwege de vereiste expertise, de kostbaarheid van de uitvoering, de capaciteit die dit vraagt en de vraag of het de opsporings- en inlichtingendiensten überhaupt lukt om toegang te krijgen en te houden tot de gewenste communicatie. Betrouwbare en voorspelbare toegang tot informatie is een belangrijk element in dit vraagstuk.
Wat zijn volgens u de voor- en nadelen van het aftappen van OTT-communicatiediensten zoals Whatsapp? Kunt u deze toelichten?
Dit is de kernvraag van de inventarisatie die in gang is gezet en hangt af van de mogelijke oplossingen, indien zich een proportionele oplossing aandient. Nederland zet nu primair in op het eerdergenoemde EU-traject. In de tussentijd zal nationale gedachtevorming doorgaan om onder andere een betekenisvolle rol te spelen in dit traject. Daarbij zet ik mij in, zowel nationaal in EU-verband, voor een transparant proces waarbij de samenwerking met het bedrijfsleven, het maatschappelijk middenveld en de wetenschap wordt gezocht.
Op welke wijze zou volgens u überhaupt de communicatie van deze OTT-diensten op proportionele wijze aftapbaar kunnen worden gemaakt? Kunt u dit toelichten?
Dit punt is onderwerp van de inventarisatie. Ik kan hierop nog geen antwoord geven. Ik zal uw Kamer indien het onderzoek resultaten heeft opgeleverd informeren over de uitkomsten en meenemen in de weging en verdere gedachtenvorming. Dat doe ik ook met een zeer brede groep van stakeholders: academici, het maatschappelijk middenveld, OTT-communicatiediensten, opsporings- en IenV-diensten.
De verplichte MY2022 app bij de Olympische Spelen |
|
Rudmer Heerema (VVD), Queeny Rajkowski (VVD), Ruben Brekelmans (VVD) |
|
Wopke Hoekstra (viceminister-president , minister buitenlandse zaken) (CDA), Kuipers , Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66) |
|
![]() |
Kunt u verzekeren dat de verzamelde data van gebruikers van de MY2022 app niet worden gebruikt voor sociale en politieke surveillance? Zo niet, waarom niet?
De risico’s van het gebruik van deze app passen in een breder beeld. De AIVD geeft in het jaarverslag 2020 aan dat China op grote schaal persoonsgegevens vergaart, zoals reis-, visa-, paspoort-, vlucht-, telefoon- en medische informatie.
Daarnaast waarschuwen de diensten er in algemene zin voor dat in China de wettelijke verplichting bestaat dat Chinese bedrijven medewerking verlenen aan de Chinese Inlichtingen- en Veiligheidsdiensten.
Tegen deze achtergrond is in aanloop naar de Olympische Spelen door de AIVD, het Ministerie van Buitenlandse Zaken, en de NCTV een briefing verzorgd voor NOC*NSF. Daar is het dreigingsbeeld aan de orde gekomen en is besproken welke maatregelen genomen kunnen worden om veiligheids- en privacyrisico’s te beperken.
Bent u zich ervan bewust dat de webadressen van de MY2022 app niet SSL-gecertificeerd zijn, waardoor de data van gebruikers mogelijk bereikbaar zijn voor hackers of andere malafide gebruikers?
CitizenLab1, een gerenommeerde onderzoeksinstelling, heeft de app doorgelicht en stelt dat de communicatie SSL-versleuteld is, maar dat er niet op authenticiteit wordt gecontroleerd. Dat betekent dat een eventuele aanvaller zich eenvoudig kan voordoen als het betreffende domein en dus inzicht krijgt in de communicatie tussen app-gebruiker en server. Een deel van de communicatie wordt überhaupt niet versleuteld.
Kunt u garanderen dat de gebruikersinformatie over de MY22 app niet wordt gedeeld met derde partijen? Zo nee, kunt u aangeven met wie de data gedeeld wordt?
CitizenLab heeft een lijst gepubliceerd met Chinese bedrijven waarmee data wordt gedeeld. Dit zijn onder andere een aantal Chinese telecombedrijven, sociale media platformen, een navigatieservice en iFlytek.
Kunt u verzekeren dat de veiligheid van Nederlandse gebruikers is gegarandeerd, indien zij zich uitlaten over de informatie die binnen de app als «politiek gevoelig» bestempeld is?
De app beschikt over een chatfunctie om contact te maken met andere My2022-gebruikers. De app bevat daarbij een lijst van politiek gevoelige termen in een bestand genaamd «illegalwords.txt». De onderzoekers van CitizenLab kunnen niet bevestigen of de lijst actief gebruikt wordt om te censureren. Hoe dan ook is de indruk dat sporters slechts weinig gebruik maken van deze chatfunctie.
Kunt u erop aandringen bij het Internationaal Olympisch Comité (IOC) en Chinese autoriteiten dat de app voor de start van de Olympische Spelen voldoet aan de veiligheid- en privacy standaarden zoals omschreven in de AVG? Indien dit niet mogelijk blijkt, kunt u er dan op aandringen bij het IOC en de Chinese autoriteiten dat de app niet verplicht wordt gesteld en er alternatieven worden geboden om de noodzakelijke informatie aan te leveren? Zo nee, waarom niet?
De MY2022 app wordt gebruikt binnen China en is daarmee niet gehouden aan de veiligheid- en privacystandaarden zoals omschreven in de AVG. In het zogenaamde Playbook, waarin de regels zijn beschreven die bij de Olympische Spelen in Beijing gelden voor onder meer de atleten, officials en journalisten, staat vermeld dat Nederlandse Olympiërs niet verplicht zijn deze app te gebruiken. Wat in elk geval wel verplicht is, is het gebruik van de Health Monitoring System (HMS)-functionaliteit. Dit systeem is onderdeel van de MY2022-app, maar is ook te gebruiken zonder de app te installeren via https://hms.beijing2022.cn. Er is technisch gezien dan ook een mogelijkheid om via de online omgeving aan deze verplichting te voldoen zonder gebruik van de app.
Wat is uw oordeel over het feit dat onze topsporters en hun begeleiding door de keuze voor Beijing als organisator van de Olympische Spelen een extreem hoog risico lopen om persoonlijke informatie zoals trainingsschema’s, informatie over fysiek gestel en mentale aspecten kwijt te raken aan de gastheer? Op welke wijze gaat u dit op internationaal niveau aankaarten bij het IOC?
De informatie die gedeeld moet worden, betreft de gezondheidsstatus (temperatuur en een aantal vragen over algehele gezondheid, bijvoorbeeld hoesten, hoofdpijn etc.), vaccinatiestatus, de PCR-test van twee dagen voor vertrek en het reisschema. Dit betreft dus niet persoonlijke informatie als trainingsschema’s, informatie over fysiek gestel of mentale aspecten.
Het IOC en NOC*NSF zijn op de hoogte van de zorgen rond de app en hebben hierin ook een eigenstandige rol te spelen.
Kunt u bij het IOC erop aandringen om de beperkte veiligheid- en privacy problemen van de MY2022 app te communiceren aan de gebruikers hiervan?
Het IOC heeft vooraf aan alle gebruikers van de app via de eigen mediakanalen duidelijk gemaakt waar en hoe de app wordt gebruikt. Na het ontstaan van zorgen over de My2022 app heeft het IOC een onafhankelijke externe beoordeling van de applicatie uit laten voeren door twee organisaties op het gebied van cyberbeveiliging. Deze rapporten concludeerden dat de oorspronkelijke kwetsbaarheid is opgelost.
Het NOC*NSF heeft daarnaast alle Nederlandse deelnemers bewust gemaakt van de digitale risico’s die met het reizen naar Beijing 2022 gepaard gaan en hoe de risico’s beperkt kunnen worden.
Kunt u aangeven welke maatregelen Nederland gaat nemen om te zorgen dat dit soort onveilige verplichte apps in de toekomst niet meer gebruikt worden bij (sport-)evenementen in China en elders?
Het gaat hierbij eerst en vooral om een verantwoordelijkheid van de betreffende organisatie in de contacten met het land waar het evenement wordt gehouden.
De Nederlandse overheid heeft daarbij een rol in het informeren van de Nederlanders die hiervoor afreizen. Zo is in aanloop naar de Olympische Spelen door de AIVD, het Ministerie van Buitenlandse Zaken en de NCTV een briefing verzorgd voor NOC*NSF. Daar is het dreigingsbeeld aan de orde gekomen en is besproken welke maatregelen genomen kunnen worden om veiligheids- en privacyrisico’s tegen te gaan. Dergelijke briefings zullen herhaald worden in aanloop naar (sport-)evenementen waar relevant en nuttig.
Bent u het ermee eens dat de veiligheid, en dus ook de privacy, van onze topsporters, waaronder ook de data van hun eventuele familie, vrienden en andere contacten, gegarandeerd moeten worden, zodat de topsporters zich kunnen concentreren op hun sportprestaties? Zo ja, hoe gaat u dit garanderen? Welke andere risico’s lopen de topsporters op dit gebied?
Schending van de privacy van Nederlandse sporters is uiteraard onwenselijk. Onze zorgen over deze app zijn dan ook voorafgaand aan de Spelen overgebracht aan de Chinese ambassadeur in Den Haag. Dat neemt niet weg dat sporters tijdens hun verblijf rekening hebben te houden met Chinese wet- en regelgeving. De sporters en staf zijn over deze aspecten geïnformeerd in de aanloop naar de Spelen om hier op verstandige wijze mee om te kunnen gaan.
Zoals genoemd, hebben het IOC en NOC*NSF hierin echter ook een eigenstandige rol te spelen, zowel in de voorbereiding als in de keuze voor in welke landen de Olympische Spelen worden gehouden.
Het bericht 'Europese Rekenkamer: uitrol 5G te traag en te versnipperd' |
|
Queeny Rajkowski (VVD), Inge van Dijk (CDA) |
|
Micky Adriaansens (minister economische zaken) (VVD) |
|
![]() ![]() |
Bent u bekend met het bericht «Europese Rekenkamer: uitrol 5G te traag en te versnipperd»?1
Ja, daar ben ik bekend mee.
Bent u bekend met het speciaal verslag van de Europese Rekenkamer naar de uitrol van 5G in de Europese Unie (EU)?2
Zie antwoord vraag 1.
Herkent u in algemene zin de conclusies van de Europese Rekenkamer en onderschrijft u deze? Welke conclusies wel en welke conclusies niet?
In algemene zin steun ik de conclusies en aanbevelingen zoals benoemd in het rapport van de Europese Rekenkamer. Ik steun echter niet de aanbeveling die wordt gedaan in onderdeel a van Aanbeveling 1. Deze aanbeveling strekt er toe samen met de lidstaten een gemeenschappelijke omschrijving te ontwikkelen van de verwachte kwaliteit van de dienst van 5G-netwerken, zoals de prestatie-eisen die deze netwerken moeten bieden qua minimumsnelheid en maximumlatentietijd.
Zoals in de Nota Mobiele Communicatie is aangegeven, is het de doelstelling van het kabinet om te streven naar kwalitatief hoogwaardige mobiele dienstverlening die een grote diversiteit aan vraag kan bedienen en die altijd en overal beschikbaar is tegen concurrerende tarieven.3 In dit kader is van belang wat daarin is aangegeven over het kunnen bedienen van een grote diversiteit aan vraag. Naarmate meer en meer ondernemingen mobiele communicatie een integraal onderdeel van hun product of dienstverlening maken, worden de eisen die aan mobiele communicatie worden gesteld steeds meer divers. Om economie en samenleving te kunnen laten profiteren van de mogelijkheden die mobiele communicatie creëert is van belang dat de vraag van uiteenlopende ondernemingen en andere gebruikers wordt bediend.4 Het stellen van uniforme eisen aan de kwaliteit van alle 5G-netwerken laat onvoldoende ruimte aan mobiele netwerkaanbieders om hun netwerken en dienstverlening toe te spitsen op de eisen van hun klanten. Het heeft ook als risico dat de eisen slechts een beperkt aantal ondernemingen en gebruikers ten goede komt, ten nadele van anderen.
Ten aanzien van aanbeveling 2 en 3 wil ik verder benadrukken dat in overleg met de Europese Commissie en andere lidstaten zal moeten worden beoordeeld of er behoefte is aan verdere opvolging of dat dit binnen bestaande trajecten kan worden opgepakt. Hierin zal rekening worden gehouden met de nationale bevoegdheden op het terrein van nationale veiligheid. Op korte termijn zal de Commissie hierover het gesprek met de lidstaten en het EU-agentschap voor cybersecurity ENISA aangaan via de zogenaamde NIS Cooperation Group. De Nederlandse inzet in dit gesprek is en blijft nauwe Europese samenwerking.
Voorziet u net als de auditors een «digitale kloof», vanwege de verschillen in kwaliteit van 5G-diensten tussen lidstaten? Deelt u hun mening dat een gecoördineerde aanpak inzake de veiligheid van 5G voor de gehele EU van strategisch belang is? Wat zou volgens u moeten gebeuren om een digitale kloof te voorkomen en een gecoördineerde aanpak te bevorderen?
Nee, ik voorzie geen «digitale kloof» zoals in het verslag gesteld. 5G-netwerken werken op basis van apparatuur die voldoet aan bepaalde standaarden. Deze standaarden maken een bepaalde kwaliteit mogelijk door features te ondersteunen die leveranciers vervolgens kunnen verwerken in de ontwikkeling van hun apparatuur. Het is vervolgens aan de mobiele netwerkoperators om hun netwerk op basis van deze features in te stellen en te optimaliseren.
Inzake de veiligheid en integriteit van de 5G-netwerken steun ik conform de moties Weverling c.s.5 en Van den Berg c.s.6 een gezamenlijke Europese aanpak voor de veiligheid van de 5G-telecommunicatiewerken. Een Europese aanpak kan bijdragen aan de effectiviteit van de beveiligingsmaatregelen. De Commissie zal naar aanleiding van het verslag van de Europese Rekenkamer beoordelen of er behoefte is aan verdere opvolging, bijvoorbeeld met betrekking tot bepaalde aspecten van de EU 5G security toolbox.Nederland staat hier in principe positief tegenover en zal hierbij een actieve rol innemen. Zoals ik hierboven aangeef, zal Nederland blijven inzetten op nauwe Europese samenwerking, waarbij rekening zal worden gehouden met de nationale bevoegdheden inzake nationale veiligheid.
Bent u tevreden met het huidige uitvoeringstempo van de uitrol van 5G in Nederland, met 2025 als deadline voor 5G in alle stedelijke gebieden en op alle belangrijke transportroutes, of vindt u dat dit te laag is, zoals ook uit het verslag van de Europese Rekenkamer blijkt, waardoor Nederland achterop raakt? In hoeverre verwacht u dat de uitrol van 5G buiten stedelijke gebieden ook vertraging zal oplopen?
De uitrol van 5G-netwerken in Nederland gaat voorspoedig. Ook buiten de stedelijke gebieden. Dit blijkt onder meer uit de dekkingskaarten van de drie mobiele netwerkaanbieders en de Digital European Society Index. Hierbij past uiteraard wel de kanttekening dat beschikbaarheid van de 3,5 GHz-band van belang is. Niettemin kan met de 5G-netwerken die reeds zijn uitgerold worden voldaan aan de genoemde doelstelling voor 2025. Het is de verwachting dat de uitrol van 5G de komende jaren zal doorzetten, en dat daarbij grotendeels gebruik zal worden gemaakt van de bestaande netwerkopstelpunten waarmee de drie mobiele netwerken gezamenlijk vrijwel heel Nederland van dekking voorzien. Zo ook de belangrijke transportroutes.
Welke acties gaat u ondernemen om tot een versnelde uitrol van 5G te komen, wetende dat de onlangs ingestelde adviescommissie pas dit voorjaar haar advies uitbrengt, waarna nog politieke besluitvorming, een wijziging van het Nationaal Frequentieplan, eventueel bezwaar en beroep daartegen en vaststelling van de veilingregeling volgen, waardoor de vertraging nog verder kan oplopen? Kunt u aangeven wat de vervolgstappen en bijbehorende deadlines zijn voor de rest van het traject, tot en met uitgifte van het 5G-spectrum, inclusief planning en maatregelen om die planning ook daadwerkelijk te halen?
De ingestelde adviescommissie is gevraagd te adviseren hoe ik op een verantwoorde wijze kan komen tot het zo spoedig mogelijk ter beschikking stellen van de 3,5 GHz-band voor mobiele communicatie in heel Nederland, op een wijze die ook het nood-, spoed- en veiligheidsverkeer dat in de 3,5 GHz-band wordt verzorgd, waarborgt. Het streven is dat uiterlijk 1 mei 2022 het advies gereed is teneinde uiterlijk 1 oktober 2022 een nieuw besluit over het wijzigen van het Nationaal FrequentiePlan te kunnen nemen. De exacte datum van ingebruikname van de 3,5 GHz-band hangt echter af van de inhoud van het advies van de adviescommissie en daaraan is ook de verdere planning van de veiling gekoppeld. Ik kan nu niet vooruitlopen op het advies van de adviescommissie. Ik zal zodra ik het advies heb ontvangen, uw Kamer over het advies en over de vervolgstappen en nadere planning informeren. Het blijft uiteraard de inzet om zo snel mogelijk de frequentieband voor mobiele communicatie in gebruik te laten nemen.
Van welke Europese middelen, initiatieven, richtsnoeren en/of financiering, maakt Nederland gebruik in zijn 5G-strategie en hoe worden deze ingezet? Zijn er nog Europese mogelijkheden die niet benut zijn?
De Europese Rekenkamer noemt in haar rapport de Europese Investeringsbank (EIB) als grootste verstrekker van EU-financiering voor 5G-gerelateerde projecten. Voor zover bekend maakt één Nederlandse telecomaanbieder gebruik van dit fonds voor de uitrol van 5G.
Voor onderzoeks- en innovatieprojecten op het gebied van 5G maken Nederlandse bedrijven en kennisinstellingen gebruik van EU-onderzoeksfondsen. Een voorbeeld is het 5G-Blueprint project dat wordt gecoördineerd door het Ministerie van Infrastructuur en Waterstaat7. Ook binnen het onderzoeksprogramma Horizon Europe voor de periode 2021–2027 liggen er mogelijkheden. Verder zijn enkele 5G-proeftuinen in Nederland mede gefinancierd uit het Europees Fonds voor regionale ontwikkeling (EFRO).
Daarnaast ontstaan er mogelijkheden binnen de financieringsfaciliteit voor Europese verbindingen, de Connecting Europe Facility. Deze faciliteit ondersteunt ook de uitrol van 5G langs grensoverschrijdende transportwegen en ten behoeve van lokale gemeenschappen, daar waar investeringen in de markt niet vanzelf tot stand komen. Gedurende de periode 2021–2027 kunnen op basis van jaarlijkse oproepen door de Europese Commissie projectvoorstellen voor medefinanciering worden ingediend. Uit contacten met de sector blijkt vooralsnog beperkte interesse.
Wat is uw reactie op de zorg van de auditors dat (persoonlijke data van) 5G-gebruikers in de EU niet veilig zijn, bijvoorbeeld omdat zij bij bezoek aan een ander EU-land onderworpen zijn aan buitenlandse wetgeving en controlecentra in niet-EU-landen staan? Wat kan de EU hiertegen doen?
Partijen moeten wanneer zij in de EU producten of diensten aanbieden voldoen aan de vereisten die conform het gegevensbeschermingsrecht op hen rusten. In dit geval zijn deze vereisten primair neergelegd in het algemene kader dat de Algemene Verordening Gegevensbescherming (AVG) biedt voor de verwerking van persoonsgegevens en de speciale regels uit de Telecommunicatiewet. De AVG kent een ruim toepassingsbereik. Artikel 3, tweede lid, onder a AVG bepaalt dat verwerkingsverantwoordelijken die goederen of diensten aanbieden aan betrokkenen in de EU binnen het toepassingsbereik vallen. De AVG bepaalt onder meer dat er een «rechtsgrondslag» moet zijn om persoonsgegevens te verwerken (bijvoorbeeld toestemming), dat betrokkenen geïnformeerd moeten worden over de verwerking van hun gegevens en dat zij in staat worden gesteld om de rechten uit te oefenen die zij over hun gegevens hebben.
In algemene zin geldt dat, wanneer persoonsgegevens naar een land buiten de Europese Unie worden doorgegeven, er additionele voorwaarden gelden. Doorgifte is namelijk slechts toegestaan op grond van een van de wettelijke bepalingen uit hoofdstuk V van de AVG. Het is primair aan de toezichthouders op de AVG in de Europese lidstaten om erop toe te zien dat er passende waarborgen zijn getroffen.
Deelt u de constatering van de auditors dat lidstaten de niet-bindende maatregelen uit de EU-toolbox voor 5G-cyberbeveiliging verschillend toepassen en anders omgaan met (apparatuur van) leveranciers met een hoog risico? Zijn Nederlandse 5G-gebruikers hierdoor extra kwetsbaar, als zij een andere EU-lidstaat bezoeken? Bent u bereid om bij de eerstvolgende gelegenheid deze kwestie aan te kaarten bij uw Europese collega’s teneinde tot oplossingen en/of waarborgen te komen?
Nationale veiligheid is een nationale bevoegdheid. Wegens het grensoverschrijdende karakter van cybersecurity is EU samenwerking echter noodzakelijk. Daarom is voor de bescherming van de veiligheid en integriteit van mobiele telecomnetwerken gekozen voor een tussenvorm van een EU-aanbeveling, gecombineerd met nauwe samenwerking tussen de lidstaten voor de identificatie van risico’s en risicobeperkende maatregelen. De EU 5G security toolbox is een flexibel, op risico’s gebaseerd instrument om 5G-cyberveiligingsuitdagingen tijdig en efficiënt aan te pakken. Hierbij wordt rekening gehouden met de uiteenlopende nationale situaties van lidstaten, zoals de desbetreffende marktstructuur, cyberbeveiligingscapaciteiten en het dreigingsbeeld. De implementatie van de toolbox verschilt daarom per lidstaat, ieder land maakt hierin een zelfstandige afweging en hanteert eigen nationaal vastgestelde afwegingskaders. Binnen de EU wordt op regelmatige basis de voortgang van de implementatie van nationale maatregelen besproken en is er mogelijkheid om informatie uit te wisselen over risicoanalyses en oplossingsrichtingen. Nederland neemt actief deel aan deze besprekingen. Hierin staan we open voor eventuele verbetersuggesties, waarin vervolgens wel rekening gehouden dient te worden met nationale bevoegdheden inzake nationale veiligheid.
Klopt het dat er onduidelijkheid bestaat over compensatie voor hoge vervangingskosten door telecomoperators of dat er in dat geval sprake is van staatssteun en of de mededingingsregels van de EU dit toestaan? Wanneer zal hierover duidelijkheid zijn? Zijn Nederlandse telecomoperators gecompenseerd voor de hoge vervangingskosten die zij hebben moeten maken in het kader van een veilige uitrol van 5G? Indien ja, voor welk bedrag?
Wat betreft nadeelcompensatie geldt dat voor het vergoeden van nadeel ik gehouden ben aan het nadeelcompensatierecht. Uitgangspunt is dat eenieder die nadeel lijdt als gevolg van de rechtmatige uitvoering van een publiekrechtelijke taak of bevoegdheid, dat nadeel in beginsel zelf dient te dragen. Alleen onevenredige schade die het normaal ondernemersrisico overstijgt, wordt vergoed. Er zijn nog geen aanvragen voor nadeelcompensatie ontvangen van de telecomaanbieders en ik heb dus ook nog niet ter zake kunnen besluiten. Als er een aanvraag ingediend wordt, zal deze worden beoordeeld in overeenstemming met het nadeelcompensatierecht.
Wanneer publiceert de Europese Commissie haar onderzoek naar de economische schade bij een niet veilig en niet uniform 5G-netwerk in de EU? Is hierin ook aandacht voor de economische schade per land of per sector?
In het speciaal verslag doet de Europese Rekenkamer onder andere de aanbeveling die ziet op het in kaart brengen «wat de gevolgen zijn voor de eengemaakte markt wanneer de ene lidstaat zijn 5G-netwerken bouwt met apparatuur van een leverancier die in een andere lidstaat als leverancier met een hoog risico wordt beschouwd». De Commissie heeft in hun reactie op het speciaal verslag deze aanbeveling aanvaard. Op korte termijn zal de Commissie met de lidstaten in gesprek gaan en de precieze vervolgacties vaststellen, waarin rekening zal worden gehouden met nationale bevoegdheden.
Klopt het dat er parallel aan het bovenstaande een discussie loopt tussen het Ministerie van Economische Zaken en Klimaat en de zogenaamde «lokale vergunninghouders», die tot 2026 «passende bescherming» zouden moeten krijgen? Kunt u toelichten wat hier precies speelt? Is het juist dat hierdoor een belangrijk deel van het 5G-spectrum tot 2026 mogelijk niet in gebruik kan worden genomen of slechts onder restricties en met hoge kosten? Bent in gesprek met de lokale vergunninghouders en mobiele operators om tot oplossingen te komen? Indien niet, wilt u een overleg alsnog zo spoedig mogelijk initiëren?
In de 3,5 GHz band is op dit moment in Nederland verspreid onder de lijn Amsterdam-Zwolle een aantal lokale vergunninghouders actief met een vergunning tot 1 september 2026. Hierbij moet gedacht worden aan vergunninghouders die draadloos breedband aanbieden in het buitengebied en aan lokale netwerken ten behoeve van containeroverslag in bijvoorbeeld de Rotterdamse haven. Deze lokale vergunninghouders bevinden zich nu nog verspreid over de gehele 3,5 GHz-band, maar zullen worden gemigreerd naar het in de toekomst «lokaal» bestemde deel van de frequentieband.
Het gaat hierbij dus om lokale vergunninghouders die bestaande rechten hebben aangaande gebruik in de 3,5 GHz-band tot 2026. Als uitgangspunt geldt daarom dat de toekomstige houders van landelijke vergunningen «passende bescherming» dienen te bieden aan deze lokale vergunninghouders met een vergunning tot 1 september 2026. Hiermee wordt bedoeld dat de landelijke mobiele telecomnetwerken geen storing mogen veroorzaken op de lokale netwerken. De restricties die hiervan het gevolg zijn, kunnen in mijn ogen van beperkte aard en lokaal zijn (in de buurt van de lokale netwerken). Bovendien zijn ze tijdelijk, namelijk tot 1 september 2026. Voor nieuw uit te geven lokale vergunningen zal vanaf het begin het omgekeerde uitgangspunt gelden, waarbij nieuw uit te geven lokale vergunningen geen storing mogen veroorzaken op de landelijke mobiele vergunninghouders. Ik ben inderdaad voornemens om met deze partijen gezamenlijk in gesprek te gaan op korte termijn, omdat zowel bestaande en toekomstige lokale vergunninghouders als ook potentiële landelijke vergunninghouders belang hebben bij afspraken die invulling geven aan deze uitgangspunten.
Het bericht ‘Banken en overheden zetten software af uit angst voor hacks’. |
|
Queeny Rajkowski (VVD) |
|
Ferdinand Grapperhaus (CDA) |
|
![]() |
Bent u bekend met het bericht «Banken en overheden zetten software af uit angst voor hacks»?1
Ja.
Kunt u een inschatting maken wat tot nu toe de schade is als gevolg van het lek bij Apache log4j? Wat is de schatting voor de komende weken?
Tot nu toe heeft het Nationaal Cybersecurity Centrum (NCSC) geen signalen ontvangen van grootschalige uitval of schade bij rijksoverheidsorganisaties of vitale aanbieders. Het NCSC acht het waarschijnlijk dat incidenten, waaruit schade kan ontstaan, over een langere tijdsperiode kunnen gaan plaatsvinden.
Hoeveel gevallen zijn er al bekend waarbij criminele hackers Nederlandse organisaties aanvallen als gevolg van het lek bij Apache log4j? Met welk doel worden de betreffende organisaties aangevallen? Om welke organisaties gaat het en wat zijn de gevolgen van deze hacks?
Op dit moment is kleinschalig misbruik van de kwetsbaarheid bij organisaties in Nederland bij het NCSC bekend. Het doel van de aanvallen is veelal financieel gewin. Verwacht wordt dat kwaadwillenden de komende tijd naar kwetsbare systemen blijven zoeken en doelgerichte aanvallen uitvoeren; de Log4J kwetsbaarheid wordt mogelijk een standaardonderdeel van aanvalsmethoden van actoren om toegang te krijgen tot systemen.
De politie heeft tot op heden geen aangiften binnengekregen van aanvallen met betrekking tot deze kwetsbaarheid.
In hoeverre zijn organisaties en (vitale) bedrijven die mogelijk gebruik maken van Apache log4j van dit lek op de hoogte? Wat is de rol van het Nationaal Cyber Security Centrum (NCSC) en het Digital Trust Center (DTC) hierin? Hebben zij een regierol hier? Zo ja, wat hebben zij tot nu toe gedaan om de risico’s van dit grootschalige lek te mitigeren? Hoe is de IT-informatiesessie van 15 december jl. bevallen?
Het NCSC heeft vanaf het bekend worden van deze kwetsbaarheid rijksoverheidsorganisaties, vitale aanbieders en schakelorganisaties zo veel als mogelijk proactief gewaarschuwd. Het algemene beveiligingsadvies inzake deze kwetsbaarheid is zoals gebruikelijk gepubliceerd op de website van het NCSC, zodat ook het brede publiek is geïnformeerd. Daarnaast heeft het NCSC genoemde partijen meerdere doelgroepberichten met aanvullende duiding en handelingsperspectieven verzonden. In deze zin is dus door het NCSC in zo breed mogelijke zin gewaarschuwd voor deze ernstige kwetsbaarheid.
Naast de gebruikelijke communicatiekanalen heeft het NCSC een publiek informatieplatform opgezet om technische informatie over deze kwetsbaarheid te verzamelen en te verspreiden. Dit platform, dat momenteel wereldwijd het meest compleet is, wordt nog steeds door veel partijen uit binnen- en buitenland benut.
Het Digital Trust Center (DTC) zet bij ernstige kwetsbaarheden al haar kanalen in om het niet- vitale bedrijfsleven te informeren en waarschuwen. Ook bij de Log4J kwetsbaarheid was dit het geval.
Als reactie op deze kwetsbaarheid heeft het DTC berichtgeving over Log4J inclusief handelingsperspectief breed gedeeld via de website van het DTC, DTC sociale media kanalen en de DTC community. Ook werd berichtgeving direct gedeeld met DTC samenwerkingsverbanden zodat deze de beschikbare informatie konden verspreiden bij hun achterban (de regio, sector of branche die ze vertegenwoordigen).
Het Cyber Security Incident Response Team voor digitale diensten (CSIRT-DSP) heeft een actieve rol gespeeld door het informeren van digitale dienstverleners binnen hun doelgroep over de Log4J kwetsbaarheid.
Op 15 december hebben NCSC, DTC en CSIRT-DSP gezamenlijk een informatiesessie voor IT-specialisten georganiseerd met als doel meer informatie te delen over de Log4J kwetsbaarheid, te adviseren over mogelijke acties, en vragen over de Log4J kwetsbaarheid direct te beantwoorden. Hier deden ongeveer 4000 deelnemers aan mee.
In hoeverre zijn organisaties ervan op de hoogte dat er een update van Apache log4j beschikbaar is en dat ze deze update moeten uitvoeren? Hoe vaak is deze update uitgevoerd door organisaties? Welke maatregelen worden getroffen om ook de kleinere bedrijven in te lichten over het doen van deze update?
Zoals in antwoord op vraag 3 aangegeven zijn organisaties vanuit het NCSC en het DTC geïnformeerd over de kwetsbaarheid in Apache Log4J, evenals over de daartoe mogelijke beveiligingsmaatregelen, waaronder het uitvoeren van updates.
De betreffende kwetsbaarheid zit in software die vaak is ingebouwd in andere producten. De aard van de Log4J-kwetsbaarheid maakt het daarmee complex om zicht te krijgen op de mate waarin updates zijn uitgevoerd. Elke organisatie blijft zelf primair verantwoordelijk voor het uitvoeren van updates en maatregelen.
Vele organisaties in Nederland maken gebruik van software waar Log4J in verwerkt zit. Zij kunnen daarom afhankelijk zijn van updates van hun softwareleverancier die op hun beurt de Apache Log4J updates dienen te verwerken in hun software. Daarnaast hebben genoemde organisaties regelmatig een externe IT-dienstverlener die bijvoorbeeld het gebruik van software binnen de organisatie beheert. Dit houdt in dat organisaties niet altijd zelf nodige updates uitvoeren of weten voor welke gebruikte software dat nodig is.
Het NCSC en DTC hebben daarom hun doelgroepen geadviseerd contact op te nemen met hun IT-dienstverlener om te bevestigen dat de juiste updates uitgevoerd worden of andere maatregelen genomen zijn.
Welke overheidsorganisaties maken gebruik van Apache Log4j? Zijn er al overheidsorganisaties aangevallen door criminele hackers? Welke maatregelen neemt u om de kans zo klein mogelijk te maken dat criminele hackers succesvolle aanvallen op cruciale overheidsorganisaties kunnen uitvoeren en hen digitaal kunnen gijzelen?
Log4J is een softwaremodule die wereldwijd in velerlei software wordt gebruikt, waaronder bij de overheid. Er bestaat geen centraal overzicht van welke softwareproducten Log4J gebruiken binnen de overheid. Iedere overheidsorganisatie is primair verantwoordelijk voor zijn eigen netwerken, systemen en softwareproducten die worden gebruikt. Overheidsorganisaties scannen en inventariseren ook hun maatwerktoepassingen. Er zijn in dit verband wel overheidsbreed kaders afgesproken met eisen waaraan iedere organisatie moet voldoen, waaronder de Baseline Informatiebeveiliging Overheid (BIO). Hierin staat onder andere dat organisaties bij ernstige kwetsbaarheden binnen een week maatregelen moeten treffen. Daarnaast is het verplicht om de informatie-verwerkende omgeving te monitoren om onder meer aanvallen van criminele hackers te detecteren. Hiervoor zijn binnen de overheid Security Operations Centers (SOC’s) en IT- organisaties actief. Zij hebben ook de beschikking over indicatoren die misbruik op basis van de Log4J kwetsbaarheid detecteren.
Na de ontdekking van de Log4J-kwetsbaarheid heeft BZK een crisisteam opgestart en zorg gedragen voor afstemming in het vervolg hierop met de departementen en de koepels/Computer Emergency Response Teams (CERT’s) van de medeoverheden. Het crisisteam heeft er in dat verband op aangedrongen dat de benodigde maatregelen behorende bij deze kwetsbaarheid en het door het NCSC ontwikkelde stappenplan werden opgevolgd en er doorlopend onderzoek plaatsvond op mogelijk misbruik. De komende tijd zullen overheidsorganisaties extra alert blijven op aanwijzingen van mogelijk misbruik.
Op dit moment zijn er geen signalen dat overheidsorganisaties naar aanleiding van de Log4J kwetsbaarheid succesvol zijn aangevallen.
Bekend is dat meerdere gemeentes hun systemen gedeeltelijk hebben afgesloten? Om hoeveel gemeentes gaat dit? Wat doen deze systemen en hoe lang gaan ze afgesloten blijven? Welke gevolgen heeft het voor de gemeentes als ze hun systemen tijdelijk gedeeltelijk moeten afsluiten?
De Vereniging Nederlandse Gemeenten (VNG) en de Informatiebeveiligingsdienst (IBD) houden geen overzicht bij van maatregelen van individuele gemeenten. Iedere situatie en iedere afweging is namelijk anders. De afwegingen om systemen gedeeltelijk/tijdelijk uit te zetten zijn door de gemeenten zelf gemaakt. Gemeenten volgen bij deze afweging het handelingskader van de IBD, zoals vermeld op hun website:2
Dat is in sommige gevallen gebeurd en gemeenten zijn hierover transparant geweest via eigen mediakanalen naar inwoners.
Bij de afweging om systemen gedeeltelijk/tijdelijk uit te schakelen wegen aspecten mee zoals de mate waarin de systemen kwetsbaar of kritisch zijn voor de bedrijfsvoering, of direct aan het internet gekoppeld zijn (internet facing), in relatie tot continuïteit van dienstverlening. Tijdens de feestdagen van eind vorige maand is dit ook gebeurd, op momenten waarop de dienstverlening dit toeliet, zodat in deze beperkt bezette periode het aanwezige personeel niet intensief hoefde te monitoren.
Naast gemeentes hebben ook organisaties in de vitale sectoren zoals banken hun systemen gedeeltelijk afgesloten. Welke gevolgen heeft dit voor de vitale sectoren? In hoeverre wordt er via het NCSC ondersteuning geboden en samengewerkt met vitale sectoren zoals de banken- en telecomsector om de schade van dit lek te beperken?
De gevolgen van het nemen van preventieve maatregelen, zoals het gedeeltelijk afsluiten van systemen is afhankelijk van de sector of organisatie. Het NCSC heeft gelet op de ernst van de kwetsbaarheid geadviseerd waar updaten niet mogelijk is, te overwegen of het mogelijk is het systeem uit te schakelen totdat een patch beschikbaar is. Het (gedeeltelijk) afsluiten van een systeem is een eigen afweging van elke organisatie.
Het NCSC heeft ten behoeve van vitale aanbieders, alsook organisaties die deel uitmaken van de rijksoverheid, de wettelijke taak te informeren en adviseren over digitale dreigingen en incidenten en bijstand te verlenen bij het treffen van maatregelen om de continuïteit van hun diensten te waarborgen of te herstellen.
Hoe wordt in andere landen omgegaan met dit lek? Werkt u samen met andere landen om oplossingen te vinden voor dit lek? Kunnen lessen getrokken worden uit hoe in het buitenland om wordt gegaan met dit lek?
Het beeld van het NCSC met betrekking tot deze kwetsbaarheid wordt gedeeld met nationale CSIRT’s van EU-lidstaten. Het CSIRT-netwerk, bedoeld in de EU Netwerk en Informatiebeveiligingsrichtlijn (NIB), is ook opgeschaald geweest tot alert cooperation mode op initiatief en advies van het NCSC. Dit houdt in dat er, naast het regulier delen van informatie, regelmatig overleggen tussen de CSIRTs van alle EU-lidstaten plaatsvinden om het beeld over de kwetsbaarheid actiever te kunnen delen.
Het door het NCSC opgezette en gecoördineerde publieke informatieplatform is door vele internationale partijen gebruikt om informatie over deze kwetsbaarheid te delen. Dit zien wij als een zeer geslaagde samenwerking met buitenlandse partners.
Welke gevolgen heeft dit lek voor het gebruik maken van Apache log4j door de overheid? Zijn er betere alternatieven waar naar gekeken kan worden?
In geval van risico’s vanwege kwetsbaarheden, zoals die betreffende Log4J, is het van belang dat patches worden uitgevoerd of aanpassingen worden gedaan. Alle software kan kwetsbaarheden bevatten, zo ook Apache Log4J. De kwetsbaarheden in Log4J zijn snel opgelost: er is geen reden om op zoek te gaan naar een alternatief en een alternatief is niet per se veiliger. Het vervangen van dit soort software is daarnaast zeer complex en daarmee een niet-realistische oplossing. Wel is er structurele aandacht nodig voor dergelijke problematiek en de Onderzoeksraad voor Veiligheid (OVV) heeft in het rapport «Kwetsbaar door software – Lessen naar aanleiding van beveiligingslekken door software van Citrix» daarvoor diverse adviezen gegeven. Zoals aangegeven in de Kamerbrief van 16 december 2021 zal het kabinet het rapport zorgvuldig bestuderen en binnen de wettelijke reactietermijn van zes maanden schriftelijk richting de OVV reageren. Uw Kamer zal daarover worden geïnformeerd.
Deelt u de mening dat het NCSC en DTC proactief lijken te communiceren? Op welke verschillende manieren proberen zij organisaties te bereiken en van informatie te voorzien? Wat kan het NCSC en DTC nog beter doen om meer mensen te bereiken, in begrijpelijke taal en welke informatie zou er nog meer gedeeld kunnen worden?
Zoals in het antwoord op vraag 4 en 5 staat vermeld staan het NCSC en het DTC hierover in nauw contact met hun respectievelijke doelgroepen en met elkaar. Eén van de grote uitdagingen bij het stimuleren van organisaties om maatregelen te nemen is het vinden van de juiste balans tussen inhoudelijk technisch advies en praktisch handelingsperspectief.
Het NCSC heeft vanaf het bekend worden van deze kwetsbaarheid rijksoverheidsorganisaties, vitale aanbieders en schakelorganisaties dan ook zo veel als mogelijk proactief gewaarschuwd én beveiligingsadviezen verzonden. Het algemene beveiligingsadvies inzake deze kwetsbaarheid is zoals gebruikelijk gepubliceerd op de website van het NCSC, zodat ook het brede publiek in die zin is geïnformeerd. Daarnaast heeft het NCSC meerdere doelgroepberichten met aanvullende duiding verzonden.
Naast de gebruikelijke communicatiekanalen heeft het NCSC een publiek informatieplatform opgezet om technische informatie over deze kwetsbaarheid te verzamelen en te verspreiden. Dit platform wordt nog steeds door veel partijen uit binnen- en buitenland benut.
Hiermee is door het NCSC dus in zo breed mogelijke zin gewaarschuwd voor deze ernstige kwetsbaarheid.
Ook het DTC streeft ernaar waar mogelijk proactief handelsperspectief te bieden voor haar doelgroep. Deze informatie wordt breed gedeeld via de DTC website, sociale media kanalen en de DTC community. Daarnaast deelt DTC beschikbare informatie ook direct met de DTC samenwerkingsverbanden, die het vervolgens binnen hun regio, sector of branche verder verspreiden. Uitgangspunt is dat het gegeven handelsperspectief voor de kleinere en minder cybervolwassen doelgroep ook te begrijpen is. Het DTC werkt op dit moment, met medewerking van het NCSC, aan een verdiepend informatieproduct voor de doelgroep van het DTC met ditzelfde uitgangspunt.
Bedrijven die geen deel uitmaken van een samenwerkingsverband maar wel de berichtgeving willen ontvangen worden door het DTC proactief uitgenodigd om zich aan te melden bij de DTC-community waar de informatie ook wordt gedeeld.3
Deelt u de mening dat het afkondigen van een code rood, zoals het Duitse Ministerie van Binnenlandse Zaken heeft gedaan, een interessante manier kan zijn om de urgentie van deze kwetsbaarheid aan te geven, er aandacht voor te vragen en de handelingsbereidheid bij organisaties te vergroten? Zo nee, waarom niet?
In de Nederlandse context worden organisaties ook, maar op een andere manier, geattendeerd op digitale dreigingen.
Naar aanleiding van een geconstateerde dreiging wordt in de eerste plaats door het Nationaal Cyber Security Centrum een beveiligingsadvies verspreid ten behoeve van organisaties in de eigen doelgroep (vitale aanbieders, rijksoverheidsorganisaties) en schakelorganisaties zoals het DTC. Daarnaast wordt ook een algemeen beveiligingsadvies gepubliceerd op de NCSC-website. De beveiligingsadviezen worden ingeschaald op (1) de kans dat een kwetsbaarheid wordt misbruikt en (2) de ernst van de schade die optreedt wanneer een kwetsbaarheid misbruikt wordt. Bij Log4J is een High/High advies gepubliceerd.4
Het Belgische Ministerie van Defensie lijkt aangevallen te zijn via de log4j-kwetsbaarheid; Deelt u de mening dat deze kerstperiode voor criminelen en statelijke actoren een uitgelezen kans zou kunnen zijn om de rijksoverheid en vitale sectoren aan te vallen? Zo nee, waarom niet? Zo ja, welke voorbereidingen worden getroffen? Staan er extra cyberteams paraat en zijn alle systemen gecheckt? Is het helder wie bij een crisis de leiding neemt en hoe cyberteams van de verschillende veiligheidsdiensten zich tot elkaar verhouden? Zo nee, waarom niet? Zo ja, welke rol speelt het Defensie Cyber Commando?
Uit eerdere aanvallen in verband met andere kwetsbaarheden is gebleken dat vakantieperiodes of feestdagen vaker worden misbruikt door cybercriminelen. Een lagere bezettingsgraad kan betekenen dat organisaties mogelijk minder alert zijn of dat middelen voor herstel beperkt zijn in vergelijking met andere periodes.
Op 10 december jl. heeft het NCSC het eerste algemene beveiligingsadvies voor deze kwetsbaarheid op haar website gepubliceerd. Het NCSC waarschuwt daarin voor potentieel grote schade en adviseert organisaties daarom zich voor te bereiden op een mogelijke aanval. Daarbij is aangegeven dat het zeer waarschijnlijk is dat in de komende weken digitale (ransomware)aanvallen en datalekken plaatsvinden. Het NCSC heeft op 16 december het Nationaal Respons Netwerk (NRN) geactiveerd om aanvullende incident respons capaciteit gereed te hebben voor het kunnen verlenen van bijstand.
Vanaf het bekend worden van de kwetsbaarheid heeft het NCSC de situatie doorlopend gemonitord, adviezen geactualiseerd en nauw contact onderhouden met Rijksorganisaties, vitale aanbieders en cybersecuritypartners in binnen- en buitenland. Ook het DTC communiceert de meest actuele informatie en handelingsperspectieven naar haar doelgroep.
Daarnaast kan er ook aanleiding bestaan om de nationale crisisstructuur te activeren bij een dreiging van (zeer) grote omvang. Deze nationale opschaling wordt in de praktijk gecoördineerd door het Nationaal Crisis Centrum van de NCTV. Dit is ook zo beschreven in het Nationaal Crisisplan Digitaal (NCP-D).
De wijze waarop cyberteams van de verschillende veiligheidsdiensten zich tot elkaar verhouden en samenwerken staat ook in het NCP-D beschreven. Ditzelfde plan wordt ook gebruikt om met elkaar cybercrisis te oefenen. Ook de rol van het Defensie Cybercommando (DCC) is te vinden in dit plan.
De rol van het DCC was minimaal in deze casus. Zoals ook in de Kamerbrief Tegenmaatregelen ransomware-aanvallen van 6 okt 2021 uiteengezet door de Minister van Buitenlandse Zaken speelt het DCC de rol van het laatste digitale instrument, waarbij in een eerdere fase inzet van andere overheidsinstanties of minder vergaande instrumenten niet afdoende is gebleken.5 Ook kan het DCC op verzoek de desbetreffende teams versterken met kennis en expertise van cyberoperators. Dat laatste is niet nodig gebleken. Wel heeft het Defensie Cyber Security Centrum (DCSC) cyberexperts geleverd uit het NRN aan het NCSC om te ondersteunen bij deze crisis. Aangezien deze casus meer toezag op cybersecurity – wat het vakgebied en de verantwoordelijkheid is van het DCSC binnen Defensie. Hiertoe is in de Log4J casus de nationale crisisstructuur tweemaal bijeengekomen op het niveau van een Interdepartementaal Afstemmingsoverleg (IAO).
Het bericht ‘Technologieleverancier van Defensie en politie gehackt, losgeld geëist voor vertrouwelijke informatie’. |
|
Queeny Rajkowski (VVD) |
|
Ferdinand Grapperhaus (CDA) |
|
![]() |
Bent u bekend met het bericht «Technologieleverancier van Defensie en politie gehackt, losgeld geëist voor vertrouwelijke informatie»1?
Ja. Dit voorval is zeer onwenselijk. Onderdeel van ons beleid is beter te gaan monitoren hoe toeleveranciers van de overheid omgaan met onze data. Het gaat daarbij om een samenhang van de te treffen beveiligingsmaatregelen (in zowel de contracten van de overheid als van de ICT-leverancier) als om het inregelen van toezicht. Ook het beleid van ICT-leveranciers ten aanzien van ransomware moet hierin worden meegenomen.
Aan welke overheidsorganisaties levert Abiom communicatietechnologie?
Voor zover bekend nemen onder andere de Nationale Politie, de Dienst Justitiële Inrichtingen, Rijkswaterstaat, het Centraal Bureau Rijvaardigheidsbewijzen, Luchtverkeersleiding Nederland en het Ministerie van Defensie diensten en producten af van Abiom. Abiom levert in dat verband aan verschillende overheidsorganisaties onder andere C2000 portofoons en communicatietechnologie. Op dit moment is er geen uitputtende lijst bekend van het gebruik van ICT-producten zoals dat van Abiom binnen de overheid.
Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties werkt aan de wettelijke verankering van en toezicht op informatieveiligheid voor het gehele openbaar bestuur, waaronder de Baseline Informatiebeveiliging Overheid (BIO) in een volgende tranche van de Wet Digitale Overheid (WDO). Overwogen wordt om in nadere regelgeving op te nemen dat bij iedere bestuurslaag voldoende snel kan worden achterhaald welke organisaties gebruik maken van welke leveranciers en/of software. Met deze informatiepositie kan de overheid haar respons op toekomstige digitale aanvallen beter invulling geven.
Gelden er bepaalde (veiligheids)eisen voor kritieke toeleveranciers zoals Abiom die technologie leveren aan overheidsorganisaties? Zo ja, welke en in welke mate wordt hierop gescreend bij aanbestedingsprocessen? Zo nee, waarom niet?
(Veiligheids)eisen zijn van toepassing op alle leveranciers. Zoals bijvoorbeeld in antwoord op eerdere Kamervragen over het bericht «Litouwen adviseert consument geen Xiaomi-telefoons meer te kopen» is aangegeven, is voor de aanschaf van ICT-producten en diensten, door de overheid de Baseline Informatiebeveiliging Overheid (BIO) van kracht.2, 3 De uitgangspunten van de BIO zijn onder andere risicomanagement en de eigen verantwoordelijkheid van overheidsorganisaties. Dat betekent dat organisaties zelf risicoafwegingen uitvoeren voordat ICT-producten en diensten van een leverancier worden afgenomen. Op grond van die risicoafwegingen bepalen zij dan de toepassing binnen hun eigen bedrijfsprocessen. De inkopende overheidsorganisatie bepaalt ook aan welke eisen een leverancier moet voldoen om voor verlening van een opdracht in aanmerking te komen. Deze overheidsorganisaties zullen ook tijdens de looptijd van het contract moeten toezien op het naleven van die eisen door de leverancier.
Om de inkopende overheidsorganisatie te helpen bij het bepalen aan welke inkoopeisen op het gebied van informatieveiligheid moet worden voldaan in het geval van ICT-producten en -diensten heeft het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties samen met het Ministerie van Economische Zaken en Klimaat een inkooptool ontwikkeld, de zogenaamde ICO-wizard, Inkoopeisen Cybersecurity Overheid.4
Tevens geldt in algemene zin dat bij de inkoop en aanbesteding van producten en diensten binnen de rijksoverheid (eventuele) risico’s voor de nationale veiligheid worden meegewogen. Hierbij wordt in het bijzonder gelet op mogelijke risico’s ten aanzien van de continuïteit van vitale processen, de integriteit en exclusiviteit van kennis en informatie en de ongewenste opbouw van strategische afhankelijkheden. Bij elke casus wordt bezien hoe risico’s beheersbaar kunnen worden gemaakt. Het uitgangspunt is dat maatregelen die hiertoe genomen worden proportioneel zijn. Dit vergt een gedetailleerde analyse van de te beschermen belangen, de dreiging en de (huidige) weerbaarheid.5 Uiteindelijk is het aan de opdrachtgever om deze risicoafweging te maken en mitigerende maatregelen te implementeren en te monitoren. De term «kritieke toeleveranciers» heeft geen specifieke status binnen de overheid.
In algemene zin biedt het wettelijk kader de mogelijkheid om bij inkoop en aanbestedingen specifieke (veiligheids)eisen als voorwaarden te stellen aan de (mogelijke) opdrachtnemer. Hier kan op worden gecontroleerd tijdens het aanbestedingsproces en gedurende de looptijd van het contract. Ook hier geldt dat de betreffende overheidsorganisatie hier zelf verantwoordelijk voor is.
Politie:
Bij alle Europese aanbestedingen betreffende door de Politie te verlenen opdrachten zijn eisen en contractuele bepalingen opgenomen die zich richten op geheimhouding en de verwerking van persoonsgegevens. Met de toeleveranciers van de politie worden – indien nodig – verwerkersovereenkomsten gesloten. In deze overeenkomsten staan de eisen met betrekking tot de omgang met informatie opgenomen waaraan een toeleverancier moet voldoen om leverancier van de politie te kunnen zijn. Deze eisen neemt de politie al mee bij de (voor-)selectiekeuzen voor leveranciers. Daarnaast worden, wanneer relevant, bij aanbestedingen eisen opgenomen die betrekking hebben op het beschermen van (digitale) politiegegevens, het vernietigen na gebruik en de plicht tot het melden van datalekken. Recentelijk is door de Korpsleiding van de politie besloten tot het intensiveren van het toezicht tijdens de uitvoeringsfase van een contract waarbij substantiële veiligheidsrisico’s zijn voorzien.
Defensie:
Voor Defensie geldt dat de Algemene Beveiligingseisen Defensieopdrachten (ABDO) van toepassing is op gerubriceerde opdrachten die Defensie bij de industrie belegt. De ABDO voorziet in diverse maatregelen om gerubriceerde informatie te beveiligen tegen een dreiging van bijvoorbeeld statelijke actoren. Welke (beveiligings-)eisen van toepassing zijn wordt per opdracht bepaald. ABDO is ook van toepassing op subcontractors en heeft daarmee impact op de beveiliging van de hele keten waar een gerubriceerde opdracht wordt belegd. De MIVD houdt toezicht op het naleven van de ABDO. Er worden in het openbaar geen uitspraken gedaan over welke bedrijven dit betreft.
Deelt u de mening dat het goed is om de minimale veiligheidseisen voor IT-leveranciers te herzien en wellicht te verhogen om de kans op hacks met grootschalige impact zo klein mogelijk te maken? Zo ja, welke veiligheidseisen heeft u voor ogen en vanaf wanneer? Zo nee, waarom niet?
De minimale beveiligingseisen waar IT-leveranciers van overheden zich aan moeten houden liggen vast in de BIO. De uitdaging ligt in het toepassen van de BIO bij bijvoorbeeld inkooptrajecten. Die eisen zullen specifiek ingevuld moeten worden voor de verschillende in gebruik te nemen ICT-producten en -diensten. De inkooptool, de eerdergenoemde ICO-wizard, die ontwikkeld is voor tien inkoopsegmenten, ondersteunt de inkopende overheidsorganisaties bij het bepalen en/of uitwerken van deze beveiligingseisen. Dat ontheft de inkopende organisatie niet van de verantwoordelijkheid om zelf op basis van risicomanagement te bepalen welke eisen in relatie tot de inkoop van ICT-producten of -diensten moeten komen te gelden.
Daarnaast wijs ik er graag op dat er op dit moment binnen de EU wordt onderhandeld over de herziening van de Netwerk- en Informatiebeveiligingsrichtlijn (NIB2-richtlijn). Deze richtlijn regelt onder meer dat entiteiten in 16 sectoren, waaronder de overheid, maatregelen moeten nemen om risico’s voor hun netwerk- en informatiesystemen die zij gebruiken bij het leveren van hun diensten te beheersen. Onderdeel van deze zorgplicht is dat zij rekening moeten houden met risico’s die voortkomen uit de relatie met hun leveranciers en dienstverleners. Op de naleving van de bepalingen uit de richtlijn moet worden toegezien door de lidstaten via hun nationale toezichthouders.
Aan welke eisen moeten IT-leveranciers aan de overheid voldoen na een veiligheidsincident zoals een hack? Welk controle of testen worden er uitgevoerd?
De BIO schrijft voor dat er na een incident een analyse moet worden gemaakt ter voorkoming van vergelijkbare incidenten in de toekomst. Dit voorschrift geldt voor zowel de proceseigenaar als voor de leverancier. Dergelijke analyses moeten worden gedeeld met relevante partners om herhaling van en toekomstige incidenten te voorkomen. De exacte invulling hiervan is afhankelijk van de aard en het belang van het betreffende ICT-proces en zal voor elke organisatie per geval verschillen. Los hiervan moeten (overheids)organisaties inbreuken in verband met persoonsgegevens bij de Autoriteit Persoonsgegevens melden, indien die inbreuk een risico vormt voor de rechten en vrijheden van personen.
Klopt het dat de ransomwaregroep LockBit vertrouwelijke documenten online heeft gezet? Zo ja, om wat voor documenten en gegevens gaat het en komen hierdoor processen van de overheid in gevaar en/of lopen burgers gevaar om eventueel slachtoffer te worden van misbruik met hun gegevens?
Nee, burgers en processen van de overheid lopen, voor zover bekend, geen gevaar om door dit lek slachtoffer te worden van misbruik met hun gegevens. In tegenstelling tot de genoemde berichtgeving heeft Abiom geen kopieën van paspoorten van de politieambtenaren, verdachten, verbalisanten en/of benadeelden ontvangen vanuit de politie. De informatie die door de ransomwaregroep LockBit is gepubliceerd betreft – in het geval van de politie – kentekens van voertuigen en een zeer beperkt aantal zakelijke e-mailadressen van medewerkers. Deze informatie heeft Abiom tot zijn beschikking vanwege uitlevering van randapparatuur zoals bijvoorbeeld op maat gemaakte oortjes voor communicatievoorzieningen. Deze informatie stond op facturen van Abiom aan de politie. De vrijgekomen informatie heeft naar verwachting een beperkte impact op het operationele proces. Op basis van de nu beschikbare informatie kunnen politiemedewerkers en andere hulpverleners nog steeds veilig gebruik maken van C2000. Ook de informatie ten behoeve van het primaire proces bij meldkamers en politiediensten is nog steeds beschikbaar en ongewijzigd.
Naar huidig inzicht heeft de vrijgekomen informatie een beperkte impact gehad bij Defensie. Uit onderzoek is gebleken dat van enkele Defensiemedewerkers contactgegevens zijn gelekt en een beperkte hoeveelheid ongerubriceerde informatie. Deze informatie had geen betrekking op operationele eenheden. Ook zijn er geen missies in gevaar gekomen.
Wat is het bedrag dat LockBit vraagt voor het niet publiceren van deze documenten? Klopt het dat Abiom niet is ingegaan op de eis van de hackers?
Zoals aangegeven in een statement van Abiom over het incident is er in overleg met de politie door Abiom besloten om niet in contact te treden met de actor die verantwoordelijk is voor de ransomware-aanval.6 In verband met het lopende politieonderzoek kan er op dit moment niet nader in worden gegaan op de casus.
Is bekend waarom een ransomware-aanval bij Abiom is gedaan, wat de werkwijze van de criminelen is en wie hier eventueel achter zit? Zo nee, wordt daar nog onderzoek naar gedaan?
Op basis van de beschikbare informatie wordt ervan uitgegaan dat LockBit informatie heeft gestolen met het doel om losgeld te verkrijgen voor het niet publiceren van vertrouwelijke informatie. Vanwege het lopende politieonderzoek kan geen nadere informatie worden gegeven over de casus.
Wordt er vanuit de overheid toezicht gehouden op gevoelige data van kritieke toeleveranciers van de overheid die online komen te staan? Zo ja, wie verzorgt dit toezicht en wat voor data is tot nu gevonden dat kan worden herleid tot de hack bij Abiom? Zo nee, waarom gebeurt dit niet?
Nee, zoals genoemd in vraag 3, heeft de term «kritieke toeleveranciers» geen specifieke status van de overheid. Hierop wordt als zodanig vanuit de overheid dus ook geen toezicht gehouden. Wel kan een incident aanleiding vormen voor andere toepasselijke toezichthoudende partijen om een onderzoek in te stellen. Wanneer bijvoorbeeld persoonsgegevens online komen te staan (een zogenaamde datalek) als gevolg van een incident is het aan de Autoriteit Persoonsgegevens om te overwegen of nader onderzoek ingesteld moet worden.
Daarnaast eist de BIO in het algemeen dat overheidsorganisaties beveiligingseisen opnemen in hun contracten met leveranciers en dat ze jaarlijks de prestatie van leveranciers op het gebied van informatiebeveiliging beoordelen op basis van vooraf vastgestelde prestatie-indicatoren. Deze behoren onderdeel te zijn van het contract met de leveranciers. Met een toekomstige wettelijke verankering van de BIO worden deze bepalingen van de BIO ook wettelijk verplicht.
Deelt u de mening dat het goed om is Abiom te vragen om informatie over de hack te delen met bijvoorbeeld het Nationaal Cyber Security Centre en/of Digital Trust Centre? Zo ja, is dit gevraagd en wat gaat er met deze informatie gebeuren? Zo nee, waarom niet?
Het Nationaal Cyber Security Centrum (NCSC) van mijn ministerie heeft krachtens de Wbni primair tot taak om vitale aanbieders en andere aanbieders die deel uitmaken van de rijksoverheid te informeren en adviseren over dreigingen en incidenten met betrekking tot hun netwerk- en informatiesystemen. Dit betekent onder andere dat het NCSC zich daartoe een zo goed mogelijk beeld vormt van dergelijke dreigingen of incidenten en van de in die gevallen mogelijke mitigerende maatregelen. Het NCSC kan hiervoor informatie opvragen bij betrokken partijen, zoals de leverancier van kwetsbare softwareproducten. DTC heeft vooruitlopend op het wetsvoorstel Bevordering digitale weerbaarheid bedrijven (Wbdwb) de bevoegdheid het als niet-vitaal aangemerkte bedrijfsleven te informeren over serieuze dreigingen indien deze bekend zijn bij het DTC. Daarnaast neemt het DTC in voorkomende gevallen contact op met bedrijven waarbij er sprake is geweest van een serieus incident en DTC hier weet van heeft. In sommige gevallen deelt het DTC de verkregen informatie in meer algemene vorm zodat andere bedrijven hiervan kunnen leren en hun eigen cyberweerbaarheid kunnen vergroten. Het delen van informatie door bedrijven met het DTC over incidenten gebeurt op basis van vrijwilligheid. Het DTC heeft contact gezocht met Abiom om navraag te doen en is nog in afwachting van een reactie. Daarnaast hebben de getroffen overheidsorganisaties contact met Abiom gehad inzake aangifte, onderzoek en herstel, buitgemaakte gegevens, acties van Abiom en acties van de politie zelf.
Deelt u de mening dat dit soort voorvallen zeer schadelijk kunnen zijn voor het functioneren van kritieke processen van de overheid zoals het functioneren van onze hulpdiensten? Zo ja, welke lessen worden uit deze hack getrokken en welke maatregelen kunnen worden genomen om kritieke toeleveranciers van de overheid (nog) weerbaarder te maken tegen ondermijnende digitale aanvallen zoals ransomware-aanvallen?
Als een incident leidt tot de verstoring van een vitaal proces is er een risico op maatschappelijke ontwrichting. Zoals ik in het antwoord op vraag 5 heb vermeld, schrijft de BIO voor dat organisaties incidenten evalueren. Welke lessen er exact worden getrokken zal per organisatie verschillen, omdat iedere organisatie verschilt en ook omdat de verlening van diensten en producten van Abiom op verschillende manieren is ingezet binnen de betrokken overheidsorganisaties. Die organisaties zullen daarbij zelf steeds een afweging moeten maken hoe risico’s gemitigeerd kunnen worden en welke eventuele restrisico’s blijven bestaan.
Het bericht ‘Facebook vs. Zeewolde: hoe lokale politici moeten beslissen over een landelijke kwestie’. |
|
Queeny Rajkowski (VVD), Silvio Erkens (VVD) |
|
Kajsa Ollongren (minister defensie) (D66), Stef Blok (VVD), Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD) |
|
![]() |
Bent u bekend met het bericht «Facebook vs. Zeewolde: hoe lokale politici moeten beslissen over een landelijke kwestie»?1
Ja, daar ben ik mee bekend.
Hoe oordeelt u over het feit dat er in Zeewolde wellicht een van de grootste datacentra van Europa gebouwd gaat worden?
In de Nationale Omgevingsvisie (NOVI)2 wordt aangegeven dat de vestiging van nieuwe hyperscale datacenter(cluster)s een goede ruimtelijke afweging en afstemming vergt met andere belangen in de leefomgeving. In de NOVI wordt de voorkeur uitgesproken om hyperscale datacenters te vestigen aan de randen van Nederland, op locaties waar veel aanbod is van (hernieuwbare) elektriciteit, waar aansluiting op het elektriciteitsnetwerk kan worden geboden en waar ruimte minder schaars is. De voorkeur gaat uit naar vestiging in de randen van Nederland, zoals op de bestaande locaties Eemshaven en Middenmeer. Daarnaast geeft de NOVI richtingen mee voor het benutten restwarmte, landschappelijke inpassing en duurzame energie.
De provincie en gemeente hebben hierbij eigen afwegingen gemaakt. Voor realisatie van het beoogde bedrijventerrein zijn Rijksgronden benodigd. Als grondeigenaar heeft de Staatssecretaris van BZK, mede namens de Ministers van BZK en LNV en de Staatssecretaris van EZK, voorwaarden gesteld voor de verkoop aan de gemeente Zeewolde. Deze liggen in het verlengde van keuzes in NOVI, zijn gebaseerd op een advies van het College van Rijksadviseurs (CRa) en betreffen maximale energiezuinigheid van servers, maximale opwekking van zonne-energie op daken en gevels van het datacenter, minimaal gebruik van water voor koeling en het gebruik van restwarmte voor een warmtenet.
Welke impact heeft de komst van grote hyperscale datacentra op de internationale concurrentiekracht van het economisch kerngebied van Nederland en onze digitale infrastructuur ten opzichte van regionale, kleinere datacentra?
Rond Amsterdam zitten veel co-locatie (of multi-tenant) datacenters met zeer snelle onderlinge verbindingen. Dit zorgt voor zogeheten hyperconnectiviteit tussen deze datacenters. Op dit moment hebben maar vijf steden in Europa3, waaronder Amsterdam, de unieke vestigingsvoorwaarden voor (hyperconnectiviteit)datacenters. Dit is dus bijzonder en speelt een belangrijke faciliterende rol voor de Nederlandse maar ook de Europese digitale economie. Deze hyperconnectiviteit rond Amsterdam draagt bij aan een zeer gunstig vestigingsklimaat voor co-locatie datacenters en bepaalde dienstverlening waarvoor hyperconnectiviteit een vereiste is.
Hyperscale datacenters zijn voor de kwaliteit van hun dienstverlening niet genoodzaakt om zich te vestigen in een regio met hyperconnectiviteit, internationale ontsluiting vindt plaats via eigen connecties met hyperconnectiviteitsclusters. Dit betekent dat de locatie waar het hyperscale datacenter is gevestigd vanuit het perspectief van de gebruiker weinig uitmaakt.
Dit heeft tot gevolg dat hyperscale datacenters weinig bijdragen aan het in stand houden van of uitbreiden van de in Nederland bestaande hyperconnectiviteitsclusters, onderdeel van de Nederlandse digitale infrastructuur en daarbij voor de ambitie uit het coalitieakkoord om van Nederland een digitaal knooppunt te maken. Ook faciliteren co-locatie datacenters meer dan hyperscale datacenters regionale partijen in hun digitaliseringsbehoefte, omdat hyperscale datacenters primair worden gebruikt voor het opslaan van data of het verlenen van dienstverlening voor de internationale markt. Dit betekent dat de vestiging van hyperscale datacenters een relatief beperkte invloed heeft op de internationale concurrentiekracht van Nederland en de digitale infrastructuur ten opzichte van co-locatie datacenters.
Deelt u de mening dat het van belang is dat Nederland haar koploperspositie niet verliest aan Frankfurt, Londen, Amsterdam, Parijs (de FLAP-steden), Noord-Ierland of Zweden? Kan dit ook zonder de komst van hyperscale centra?
Nederland heeft vanwege de vele onderlinge verbindingen van co-locatie datacenters rond Amsterdam een koploperpositie binnen Europa op het gebied van hyperconnectiviteit. Deze hyperconnectiviteit rond Amsterdam draagt bij aan een zeer gunstig Nederlands vestigingsklimaat voor multi-tenant datacenters en bepaalde dienstverlening waarvoor hyperconnectiviteit een vereiste is.
De FLAP-D steden zijn van groot belang voor de doorvoer van internetverkeer in Europa. Nederland fungeert hierbij als datacenterrotonde van Europa. De hyperconnectiviteitsclusters rond de FLAP-D steden bedienen zowel de nationale als Europese markt. Het is van belang dat Nederland deze belangrijke rol blijft houden, mede omdat het voor alle in Europa gevestigde bedrijven en organisaties het van belang is dat de (Europese) datacentercapaciteit groeit.
Hyperscale datacenters dragen weinig tot niet bij aan het in stand houden van of uitbreiden van de in Nederland bestaande hyperconnectiviteitsclusters. Dit betekent dat de Nederlandse koppositie op het gebied van hyperconnectiviteit behouden kan blijven zonder de aanvullende vestiging van hyperscale datacenters.
Deelt u de mening dat een slimme datacenterstrategie ook betekent dat er gekeken wordt naar het opvangen en gebruiken van restwarmte, een lang gekoesterde wens van menig datacentrum?
Ja, het streven dient altijd te zijn om restwarmte voor zover mogelijk te benutten. Maar of dit daadwerkelijk lukt is complex en van de specifieke situatie afhankelijk. Een haalbare businesscase voor een warmtenet is van veel factoren afhankelijk. Datawarmte is van (zeer) lage temperatuur (in de regel 20–30°C4, soms hoger) en moet opgewaardeerd worden indien een bestaand of beoogd warmtenet een hogere temperatuur heeft. Cruciaal is dat er voldoende warmtevraag moet zijn in de nabijheid van een datacenter; het vollooprisico is één van de grootste belemmeringen voor een goede business case. Het gebruik van warmtebronnen is vraaggestuurd; een warmtebedrijf bepaalt uiteindelijk of het afnemen van restwarmte zinvol is om een kosteneffectieve warmtevoorziening te realiseren.
EZK stelt kaders en instrumenten ten behoeve van de benutting van restwarmte. O.a. via het wetsvoorstel voor de Wet Collectieve Warmtevoorziening waarin een «ophaalrecht» voor restwarmte is opgenomen. Hiermee krijgen restwarmteproducenten zoals datacenters de verplichting om hun restwarmte af te staan aan een warmtebedrijf indien die daarom vraagt en dat met de aanleg van een warmtenet mogelijk maakt, waarbij uitsluitend de feitelijke uitkoppelkosten aan de restwarmteproducent worden vergoed. De SDE++-subsidie biedt financiële ondersteuning bij het realiseren van duurzame warmteprojecten en helpt de uitkoppelkosten te dekken.
Wat is de impact van dit soort grote datacentra op de netproblematiek, gezien het feit dat de energietransitie op veel vlakken vastloopt op de beschikbare netcapaciteit? Deelt u de mening dat regio-overstijgende sturing voor dit soort ingrijpende besluiten (over)belasting van het stroomnet kan voorkomen?
Datacenters leggen net als andere grootverbruikers een relatief groot beslag op de beschikbare transportcapaciteit van het elektriciteitsnet. Een aanvraag van een grootverbruiker op een plek waar er nog maar beperkte transportschaarste is voor afname van elektriciteit kan tot extra knelpunten leiden. Het creëren van extra (complementaire) vraag op plekken waar deze elektriciteit niet weg kan worden getransporteerd kan juist verlichting brengen in de ontstane transportschaarste5.
Decentrale overheden hebben de mogelijkheid om sturing te geven aan allerlei (maatschappelijke) initiatieven via het ruimtelijk beleid. Pas als decentrale overheden de bestemmingen mogelijk maken en ruimtelijke vergunningen verlenen, zal een initiatief zich kunnen vestigen en aangesloten kunnen worden. Het is dus belangrijk dat decentrale overheden in een vroeg stadium rekening houden met beschikbare netcapaciteit bij ruimtelijke inpassing van zowel initiatieven als netinfrastructuur. In dit verband is voorts relevant dat het Rijk – zoals aangekondigd in het coalitieakkoord – naar aanleiding van het grote beslag op duurzame energie in verhouding tot de economische en maatschappelijke meerwaarde, de landelijke regie voor hyperscale datacenters zal aanscherpen en ook de toelatingscriteria voor de vergunningverlening. De Minister voor Volkshuisvesting en Ruimtelijke Ordening komt hier dit voorjaar in een gezamenlijke brief met de Minister voor Klimaat en Energie op terug.
Klopt het dat dit datacentrum meer energie zal verbruiken dan de provincie Flevoland of de stad Amsterdam?2 Hoe gaat die energie opgewekt worden?
Als de datacentercampus volledig gebouwd is (dat gebeurt gefaseerd en beslaat een periode van 2021–2028), kan het totale jaarlijkse verbruik groeien tot 1,38 TWh volgens de plannen.
Het elektriciteitsverbruik van Flevoland is zo’n 2 TWh en het elektriciteitsverbruik van de gemeente Amsterdam is zo’n 4,6 TWh. De vergelijking wordt vaak gemaakt met het elektriciteitsverbruik van huishoudens. In 2020 was het elektriciteitsverbruik van de huishoudens in Nederland 22% van het totale elektriciteitsverbruik (KEV, 2021). Dus het klopt dat het datacenter in de eindsituatie meer elektriciteit verbruikt dan huishoudens in Flevoland of Amsterdam. Overigens is de huidige productie van hernieuwbare elektriciteit in Flevoland momenteel zo’n 2,7 TWh, groeiend naar maximaal 5,8 TWh in 2030 (bron: Monitor RES 1.0 PBL). Alleen al het nabij gelegen windpark Groen zal jaarlijks zo’n 1,8 TWh produceren, wat dus meer is dan het datacenter maximaal zal gebruiken in de eindsituatie.
Vraag en aanbod van elektriciteit in ons land zijn op elk moment van de dag in balans. Productie van elektriciteit zal in toenemende mate via wind en zon verlopen. In 2030 dient er volgens het Klimaatakkoord 84 TWh hernieuwbare elektriciteit uit wind en zon te zijn. Dit is dan ca. 75% van de vraag.
De Stuurgroep extra opgave7 raamt de extra elektriciteitsvraag voor datacenters in 2030 tussen de 5–15 TWh ten opzichte van het Klimaatakkoord. De Stuurgroep adviseert tevens hiervoor extra wind op zee te realiseren. In lijn met de moties Boucke c.s.8 wordt ingezet op het mogelijk maken van 10 GW aan extra wind op zee tot rond 2030. Een volgend kabinet zal besluiten over de precieze omvang van de opgave.
Wat is de impact van dit datacentrum op de capaciteit van het stroomnet? Wat betekent de komst hiervan voor de continuïteit van andere grote stroomgebruikers in de regio?
Ik heb geen zicht op de exacte impact van dit initiatief op het elektriciteitsnetwerk. De netbeheerder zal moeten beoordelen of de gevraagde transportcapaciteit ook op korte termijn geleverd kan worden of dat dit nog aanvullende investeringen vergt. Andere gebruikers worden niet direct geraakt. Netbeheerders dienen bij het uitgeven van transportcapaciteit rekening te houden met de benodigde transportcapaciteit die de gezamenlijk gebruikers van het net nodig hebben. De netbeheerders publiceren een actueel overzicht van de beschikbare transportcapaciteit.9 Hieruit blijkt dat er een transportprobleem is voor wat betreft invoering van elektriciteit (door o.a. zon- en windinstallaties) en niet voor afname.
Welke trajecten voor de komst van regionale kleine of hyperscale datacentra lopen er op dit moment? Om welk type datacentrum gaat het, om welke locaties gaat het en per wanneer?
Voor zover bekend, op basis van de informatie van TenneT en de Netherlands Foreign Investment Agency (NFIA), lopen er rond de 20 à 25 projecten voor de vestiging en uitbreiding van datacenters in Nederland. Dit is ook toegelicht in de brief over datacenters van 17 december jl. (Kamerstuk 32 813, nr. 968). Dit betreffen datacenters van uiteenlopende grootte die in verschillende fases van voorbereiding zitten; van zeer globale tot concrete plannen. Het gaat onder andere om projecten in de regio’s Noord-Holland, Flevoland en Groningen. Meer specifieke informatie ten aanzien van de locatie van de projecten en aanvragen voor aansluitingen op het elektriciteitsnet is bedrijfsvertrouwelijk en mag niet door de NFIA of TenneT worden gedeeld. Dit aantal is overigens niet uitputtend. Het is mogelijk dat er ook bij lokale overheden projecten lopen, waar op nationaal niveau geen zicht op is.
Het is tot slot goed om te benadrukken dat bedrijven bij dergelijke investeringsprojecten vaak verschillende locaties in verschillende landen vergelijken om zo tot een vestigingslocatiekeuze te komen. Daarom is het dus zeer onzeker of deze lopende projecten uiteindelijk ook tot nieuwe vestigingen in Nederland zullen leiden, en zo ja op welke termijn. In de praktijk zien we daarbij dat bedrijven met datacenters, door de teruglopende beschikbaarheid van fysieke ruimte en stroom, steeds vaker kiezen voor een locatie buiten Nederland.
Wat is de impact van dit soort grote datacentra op het energiebesparingsdoel dat Nederland heeft vanuit de Europese Commissie?
Het energieverbruik van datacenters, net als dat van andere energieverbruikers, telt mee voor het EU-energieverbruiksdoel zoals vastgelegd in artikel 3 van de Energy Efficiency Directive (EED). Dit doel is vertaald naar een energieverbruiksniveau in 2030, zowel voor primair als finaal energieverbruik. De precieze impact van grootschalige datacenters op het Nederlandse aandeel van het Europese energieverbruiksdoel is niet te geven.
Volgens het CBS verbruikten datacenters in 2020 2,8% van de totale elektriciteit in Nederland. Indien datacenters in de toekomst (netto) meer energie verbruiken, zal het energieverbruik van andere verbruikers verder moeten afnemen om aan de EU-verbruiksdoelen te voldoen. Dit geldt overigens ook indien andere energie-intensieve bedrijven zich in Nederland vestigen of in de toekomst meer energie verbruiken. Voor datacenters zijn er eisen met betrekking tot energie-efficiëntie vastgelegd in de Erkende Maatregelenlijst energiebesparing (EML Commerciële Datacenters). Vanaf 2023 vallen alle datacenters, inclusief de grote datacenters, automatisch onder de energiebesparingsplicht.
In de voorgestelde herschikking van de EED worden er op EU-niveau strengere eisen aan datacenters gesteld. Zo komt er een verplichting om energieverbruik van datacenters te monitoren en rapporteren. De herschikking van de EED is onderdeel van het Fit-for-55 pakket dat momenteel in Brussel wordt besproken.
Is de energie-infrastructuur aangepast in zowel (groot) Amsterdam als Almere, zoals te lezen is in de «Ruimtelijke Strategie Datacenters»?3 Zo nee, waarom niet en wanneer en hoe gaat dit gebeuren? Hoe zit het met de andere locaties die in de strategie worden genoemd?
Pas als decentrale overheden de bestemmingen mogelijk maken en ruimtelijke vergunningen verlenen, zal een initiatief zich kunnen vestigen en aangesloten kunnen worden op het elektriciteitsnet. Het is bij het maken van deze ruimtelijke plannen belangrijk om ook na te denken over de afstemming met het energiesysteem.
De netbeheerder zelf maakt geen onderscheid tussen functies en sluit functies aan op volgorde van binnenkomst. De netbeheerder zal bij een aansluitverzoek moeten beoordelen of de gevraagde transportcapaciteit ook op korte termijn geleverd kan worden of dat dit nog aanvullende infrastructuurversterkingen vergt.
De netbeheerders werken op veel locaties in Nederland aan de versterking van de elektriciteitsinfrastructuur. Dit gebeurt echter niet voor een specifieke sector.
Op welke manier is er afstemming geweest tussen lokale bestuurders, de provincie en de rijksoverheid en wat is er afgesproken over randvoorwaarden voor de bouw van het datacentrum?
In aanloop naar de mogelijke vestiging van het Meta datacenter in Zeewolde hebben de netbeheerders de Minister van Economische Zaken en Klimaat advies gevraagd over een bijzondere wijze van aansluiting op het hoogspanningsnet die Meta wenste. Vervolgens is getoetst of de Elektriciteitswet deze bijzondere wijze van aansluiting toestond, en geconstateerd dat dit het geval is.
Op dat moment zijn ook de provincie Flevoland en gemeente Zeewolde benaderd over de vestiging, waar zij benadrukten een zorgvuldige afweging te hebben gemaakt en grote belangen te hechten aan de vestiging.
Een van de vervolgstappen van de provincie en gemeente was het verzoek aan het Rijk om rijksgronden te verkopen in het kader van de beoogde bestemmingswijziging en daaraan gekoppelde procedures. Naar aanleiding van dit verzoek heeft het Rijk, in overleg met de gemeente en provincie, aan het College van Rijksadviseurs (CRa) de opdracht gegeven voor een verkenning naar een optimaler ontwerp en inpassing van het datacenter. De Staatssecretaris van BZK stelde, mede namens de Ministers van BZK en LNV en de Staatssecretaris van EZK, op basis van deze verkenning de onder antwoord 2. genoemde voorwaarden. Op dit moment heeft Zeewolde nog geen aangepast plan gedeeld, het Rijksvastgoedbedrijf is in afwachting van dit aangepast plan.
Welke afspraken zijn er gemaakt met Meta/Facebook over onder andere het betalen van (lokale) belastingen, het wel of niet ontvangen van subsidies, de komst van arbeidsplaatsen en watercompensatie?
De inhoudelijk betrokkenheid van het Rijk bij deze mogelijke investering van Facebook richtte zich op de netaansluiting en de mogelijke verkoop van grond van het Rijksvastgoedbedrijf. Belastingen, subsidies, arbeidsplaatsen en watercompensatie waren geen onderwerpen in deze gesprekken. In de gesprekken tussen het Rijksvastgoedbedrijf en de gemeente over de eventuele verkoop van de grond zijn voorwaarden van het Rijk gesteld. Daarbij zijn ook de processtappen besproken die voorschrijven dat de gemeente zorgt voor een aangepast plan, het Rijk deze laat toetsen en vervolgens beoordeelt en daarna beslist over verkoop (zie de brief van de Staatssecretaris van BZK van 13 december jl.11).
Deelt u de mening dat het niet wenselijk zou zijn als lokale politici en bestuurders zonder afstemming met provincie en rijksoverheid zouden besluiten over de komst van een datacentrum vanwege de regio-overstijgende consequenties?
De NOVI is zelfbindend voor het Rijk maar geeft ook de onder 2 genoemde richtingen mee voor deze afwegingen.
Het verdient daarbij voorkeur als provincies zelf beleid formuleren voor vestiging van datacenters en de inrichting van locaties. Het Rijk gaat hier met provincies over in overleg. In lijn met het coalitieakkoord zal dit kabinet de landelijke regie en de toelatingscriteria ten aanzien van (hyperscale) datacenters aanscherpen. De Minister voor Volkshuisvesting en Ruimtelijke Ordening zal hier komt hier dit voorjaar in een gezamenlijke brief met de Minister voor Klimaat en Energie op terug.
Deelt u de mening dat de komst van een regionaal klein datacentrum bij kan dragen aan de internationale concurrentiekracht van het economisch kerngebied van Nederland en het onze digitale infrastructuur versterkt, mits het geen blokkerende impact heeft op het Nederlandse stroomnet? Zo nee, waarom niet? Zo ja, wilt u dit meenemen in de datacentervisie die naar de Tweede Kamer wordt gestuurd?
Het merendeel van de datacenters in Nederland zijn regionale datacenters waarvan een groot deel in de regio Amsterdam gevestigd is. Regionale (co-locatie) datacenters spelen een belangrijke faciliterende rol in de digitalisering van Nederlandse bedrijven en organisaties en daarmee de internationale concurrentiekracht van deze bedrijven maar datacenters in Nederland zorgen ook voor uitstekende internationale connectiviteit. Clusters van co-locatie datacenters rond Amsterdam en de AMS-IX zorgen voor deze zeer snelle internationale verbindingen, de zogenoemde hyperconnectiviteit. Deze hyperconnectiviteit draagt bij aan de goede digitale infrastructuur en is daarmee ook gunstig voor het Nederlands vestigingsklimaat, met name voor multi-tenant datacenters en bepaalde dienstverlening waarvoor hyperconnectiviteit een vereiste is. De Metropoolregio Amsterdam (MRA) houdt bij het opstellen van de nieuwe verstedelijkingsstrategie met het oog op groei van deze hyperconnectiviteitclusters dan ook rekening met de beschikbare (toekomstige) energie-infrastructuur. Met betrekking tot de datacentervisie verwijs ik u naar het antwoord op vraag 16.
Deelt u de mening dat er meer landelijke sturing moet zijn en dat er meer duidelijkheid moet komen over het beleid rondom het bouwen van datacentra in Nederland? Zo ja, welke randvoorwaarden zouden hier volgens u van toepassing zijn? Zo nee, waarom niet?
Op 17 december jl. heeft uw Kamer een brief ontvangen over datacenters (Kamerstuk 32 813, nr. 968) die verder ingaat op de verwachte groei van de datacentersector, de elektriciteitsvraag die daarbij gepaard gaat en de wenselijkheid van datacenters mede gezien schaarse ruimte en de landschappelijke impact. Voorts: in het coalitieakkoord constateert het kabinet dat hyperscale datacentra een onevenredig groot beslag leggen op de beschikbare duurzame energie in verhouding tot de maatschappelijke en/of economische meerwaarde. Daarom scherpen we de landelijke regie en de toelatingscriteria bij de vergunningverlening hiervoor aan. De Minister voor Volkshuisvesting en Ruimtelijke Ordening komt hier dit voorjaar in een gezamenlijke brief met de Minister voor Klimaat en Energie op terug.
Beantwoording vragen 'Litouwen adviseert consument geen Xiaomi-telefoons meer te kopen' |
|
Queeny Rajkowski (VVD) |
|
Ferdinand Grapperhaus (CDA), Raymond Knops (CDA), Stef Blok (VVD) |
|
![]() |
Hoe weet u zeker dat op de smartphones geen censuur wordt toegepast en dat deze software constant uit staat, aangezien u in de beantwoording aangeeft dat er op de in de Europese Unie verkochte smartphones geen censuur wordt toegepast, er voor Nederland op dit moment geen aanleiding is om een dergelijk zwaarwegend advies af te geven en dat u ziet dat het daadwerkelijk toepassen van dergelijke software inbreuk kan maken op de grondrechten van gebruikers?
Het Ministerie van Defensie van Litouwen heeft onderzoek gedaan naar telefoons van het merk Xiaomi. Daarbij is ook gekeken naar de functionaliteit die in deze vragen wordt aangeduid als censuursoftware. Uit het onderzoek blijkt dat deze functionaliteit is uitgeschakeld in de Europese Unie. Naar aanleiding van het Litouwse onderzoek heeft ook het Duitse Bundesambt für Sicherheit in der Informationstechnik (BSI) een eigen onderzoek ingesteld. Daarbij zijn geen bijzonderheden aangetroffen.1 In beide onderzoeken is vastgesteld dat de software in de praktijk niet wordt toegepast. Ik hecht eraan dat dit ook in de toekomst niet zal gebeuren.
Gebruikers van telefoons moeten immers met elkaar kunnen communiceren zonder dat er, zoals zou gebeuren als de bedoelde functionaliteit wordt geactiveerd, door derden inbreuk wordt gemaakt op de communicatie. Dit zogenoemde communicatiegeheim is onder meer vastgelegd in artikel 5 van richtlijn 2002/58/EG (de e-privacyrichtlijn) en ook in het voorstel voor een Europese e-privacyverordening die in de toekomst de e-privacyrichtlijn zal vervangen.
Zolang de e-privacyverordening nog niet van kracht is, is een complicerende factor dat artikel 11.2a van de Telecommunicatiewet waarin artikel 5 van de e-privacyrichtlijn is omgezet, zich alleen richt tot aanbieders van openbare elektronische communicatienetwerken en diensten en dus niet tot derden zoals de leverancier van de telefoon. Omdat de totstandkoming van de e-privacyverordening nog op zich laat wachten, zal ik nader bezien of het doelmatig is om de Telecommunicatiewet op dit punt aan te passen.
Naast de Telecommunicatiewet wordt het communicatiegeheim ook beschermd in het Wetboek van Strafrecht. Zo stelt artikel 139c het met een technisch hulpmiddel aftappen of opnemen van het telecommunicatieverkeer strafbaar. Betoogd zou kunnen worden dat het met software bekijken (aftappen) en vervolgens aanpassen (het er uit filteren van «ongewenste» zoekresultaten) van het telecommunicatieverkeer onder de werking van deze strafbepaling valt (vgl. Hoge Raad, 17 december 2019, ECLI:NL:HR:2019:1973). In dat geval zou het activeren van dergelijke software ertoe kunnen leiden dat sprake is van een strafbaar feit.
Waar apparaten bijvoorbeeld de zoekresultaten filteren, dan kan dit voorts een inbreuk vormen op de vrijheid van nieuwsgaring. Het is uiteindelijk aan de rechter om in voorkomende gevallen een uitspraak te doen over de rechtmatigheid van zo’n filter.
In hoeverre worden er, in het kader van «Bring-Your-Own-Device», privé Xiaomi-telefoons gebruikt, waarvan in de beantwoording is aangegeven dat er sinds 2018 60 van zijn aangeschaft, en is dit wenselijk?
Voor «Bring-Your-Own-Device» binnen de rijksoverheid geldt als uitgangspunt dat ieder rijksonderdeel moet aangeven of en in welke gevallen het gebruik van eigen apparatuur is toegestaan op basis van een eigen risicoafweging.
De (on)wenselijkheid hiervan verschilt dus per rijksonderdeel. Mocht het gebruik van eigen toestellen toegestaan zijn dan geldt, net zoals voor overheidstoestellen, dat op basis van de risicoafweging de juiste maatregelen worden getroffen om de overheidsinformatie voldoende te beschermen, bijvoorbeeld door toepassing van cryptografische oplossingen die op het eigen apparaat gebruikt kunnen worden.
In antwoord op eerdere vragen is aangegeven dat er zover bekend bij het Ministerie van Binnenlandse Zaken sinds 2018 60 Xiaomi telefoons zijn aangeschaft binnen de rijksoverheid. Deze zijn aangeschaft om te worden gebruikt als onderwerp van technisch, forensisch of opsporingsonderzoek. Er is geen relatie tussen deze 60 telefoons en «Bring-Your-Own-Device»-beleid.
In hoeverre biedt de Baseline Informatiebeveiliging Overheid voldoende handvatten om nieuwe informatie en potentiële risico’s zoals censuursoftware zoveel als mogelijk te voorkomen?
De Baseline Informatiebeveiliging Overheid (BIO) is een informatiebeveiligingskader voor de hele overheid en is gebaseerd op de internationale standaarden ISO27001 en ISO27002. De BIO kent een risicogebaseerde aanpak. Dat betekent dat overheidsorganisaties op basis van risicoafweging (nieuwe) dreigingen onderkennen en daarop passende en proportionele beveiligingsmaatregelen treffen. Zo ook deze casus.
De BIO kent (nog) geen specifieke maatregelen tegen dergelijke software. Dit jaar wordt de BIO geëvalueerd. Onderdeel van die evaluatie is de herijking van de dreigingen die richting geven aan de concrete overheidsmaatregelen in de BIO. Dit vraagstuk zal daarbij worden meegenomen.
In algemene zin geldt dat eind 2018 ten aanzien van nationale veiligheidsrisico’s een verscherpt inkoop- en aanbestedingsbeleid is geïmplementeerd voor de rijksoverheid. Hierin is opgenomen dat bij inkoop en aanbesteding mogelijke risico’s voor de nationale veiligheid per inkoopopdracht worden meegewogen. Bij de aanschaf en implementatie van gevoelige apparatuur of programmatuur wordt volgens dit beleid rekening gehouden met zowel risico’s in relatie tot een leverancier, als met het concrete gebruik van de systemen, bijvoorbeeld als het gaat om de toegang tot systemen door derden.
Ter ondersteuning van dit beleid is aanvullend instrumentarium ontwikkeld door de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) dat organisaties handvatten biedt bij het maken van een risicoanalyse en het nemen van mitigerende maatregelen. Behoeftestellende partijen zijn zelf verantwoordelijk voor de toepassing van dit instrumentarium en het meewegen van nationale veiligheidsrisico’s. Het instrumentarium is ter beschikking gesteld binnen de rijksoverheid en medeoverheden, alsmede aan organisaties die onderdeel zijn van de vitale processen.
In het Commissiedebat Digitale overheid, datagebruik en algoritmen, en digitale identiteit van 22 maart jl. heeft de Staatssecretaris voor Koninkrijksrelaties en Digitalisering verder toegezegd een onderzoek te gaan doen naar inkoopeisen en -richtlijnen over cyberveiligheid in het overheidsapparaat, dat voornamelijk zal gaan over landen met een offensief cyberprogramma. In het daaropvolgende tweeminutendebat van 29 maart is in aanvulling op de toezegging een motie ingediend door Kamerleden Rajkowski en Van Weerdenburg, om in dit onderzoek ook te kijken naar de vitale sector.2 De motie is op 5 april aangenomen; de Kamer zal over het vervolg geïnformeerd worden.
Wat zou u ervan vinden als Rijksambtenaren Chinese censuursoftware zouden downloaden op hun apparaten?
In algemene zin is het onwenselijk als rijksambtenaren software zouden downloaden op hun werkapparaten als die een conflict zou opleveren met hun werkzaamheden.
Verder wil ik opmerken dat de werkomgeving van rijksambtenaren op mobiele apparaten zich bevindt op een afgeschermd deel dat niet toegankelijk is voor overige geïnstalleerde software.
Onderkent u dat Xiaomi telefoons, in tegenstelling tot wat er in de beantwoording te lezen is, niet alleen via verschillende webwinkels verkocht worden, maar dat er sinds 2020 ook een fysieke «Mi-store» is geopend in Rotterdam, de eerste fysieke Xiaomi winkel in de Benelux?
In de eerdere beantwoording is aangegeven dat Xiaomi-toestellen in Nederland breed verkrijgbaar zijn. Het klopt dat er een fysieke Xiaomi-winkel in Rotterdam is.
Hoe beoordeelt u het feit dat aanbieders van apparaten waar censuursoftware op staat winkels openen in Nederland en hun marktaandeel in Nederland groeiend is?
Het is belangrijk dat producten die hier op de markt worden gebracht voldoen aan de relevante regelgeving. Dat wordt des te belangrijker als het een wijdverspreid product is. Tegelijkertijd is het iedereen die zich aan de relevante Nederlandse en Europese wetgeving houdt toegestaan producten op de Nederlandse en Europese markt te brengen.
Klopt het dat de censuursoftware op afstand kan worden geactiveerd vanuit China, zonder dat gebruikers dit doorhebben? Deelt u de mening dat deze functionaliteit een potentiële bedreiging vormt voor de vrijheid van meningsuiting en de vrije toegang tot informatie van Nederlandse gebruikers van Xiaomi-toestellen? Zo ja, hoe beoordeelt u dit? Zo nee, waarom niet?
Een fabrikant kan op afstand wijzigingen doorvoeren aan producten en diensten door software-updates uit te brengen. Op basis van artikel 11.7a van de Telecommunicatiewet moet de fabrikant daarover de eindgebruiker informeren en bovendien diens toestemming verkrijgen voor de wijziging.
De vrije nieuwsgaring wordt onder meer beschermd door artikel 10 van het Europees Verdrag voor de Rechten van de Mens. Hiervoor is het van belang dat mensen degelijke toegang hebben tot informatie zonder hierin te worden gehinderd. De gigantische hoeveelheid informatie die in de moderne wereld voorhanden is maakt het echter noodzakelijk dat technische hulpmiddelen zoals zoekmachines deze informatie filteren voordat het aan gebruikers wordt voorgelegd. Voor vrije nieuwsgaring is het van belang dat deze filtering waardenvrij plaatsvindt.
Het is onwenselijk voor gebruikers om heimelijk af te worden gehouden van specifieke onderwerpen. Uit zowel het Litouwse als Duitse onderzoek blijkt echter dat dit in de Europese Unie op Xiaomi telefoons ook niet wordt gedaan. Het is in het algemeen belangrijk dat gebruikers de beperkingen van hun apparatuur kennen en begrijpen en indien zij dat wensen kunnen kiezen uit alternatieve browsers en zoekmachines om te voorzien in hun informatiebehoefte.
Hoe beoordeelt u het feit dat ook de data van Nederlandse gebruikers die Xiaomi-toestellen gebruiken wordt doorgestuurd naar Xiaomi-servers in China, waar conform de geldende Chinese cyberveiligheidswet, ook de Chinese overheid toegang heeft tot de data van Nederlandse gebruikers?
Nederland en de EU spreken in verschillende verbanden, waaronder binnen de VN, met China over dataveiligheid. Centraal hierbij staat de bescherming van privacy, zoals de naleving van de Algemene verordening gegevensbescherming (AVG), bescherming van mensenrechten en het tegengaan van ongepaste toegang van overheden tot datagegevens. Zoals aangegeven in de Notitie «Nederland-China: Een nieuwe balans» (Kamerstuk 35 207, nr. 1) staat het kabinet achter striktere handhaving en sterker uitdragen van bestaande standaarden en normen, zoals de Europese regelgeving op het gebied van data, bescherming van persoonsgegevens en privacy en productveiligheid.
Partijen moeten, wanneer zij in de EU producten of diensten aanbieden, voldoen aan de vereisten die conform het gegevensbeschermingsrecht op hen rusten. In dit geval zijn deze vereisten primair neergelegd in het algemene kader dat de AVG biedt voor de verwerking van persoonsgegevens en de speciale regels uit de Telecommunicatiewet. De AVG kent een ruim toepassingsbereik. Artikel 3, tweede lid, onder a AVG bepaalt dat verwerkingsverantwoordelijken die goederen of diensten aanbieden aan betrokkenen in de EU binnen het toepassingsbereik vallen. De AVG bepaalt onder meer dat er een «rechtsgrondslag» moet zijn om persoonsgegevens te verwerken (bijvoorbeeld toestemming), dat betrokkenen geïnformeerd moeten worden over de verwerking van hun gegevens en dat zij in staat worden gesteld om de rechten uit te oefenen die zij over hun gegevens hebben.
Voor zover het gaat om gegevens die worden afgelezen van het randapparaat van de eindgebruiker (ook als dit geen persoonsgegevens zijn) is artikel 11.7a van de Telecommunicatiewet van toepassing. Dit ook bij vraag 7 genoemde artikel bepaalt dat voor het plaatsen en aflezen van informatie op een randapparaat de toestemming van de eindgebruiker noodzakelijk is. Voor een rechtsgeldige toestemming is van belang dat de eindgebruiker adequaat is geïnformeerd over de doeleinden van de gegevensverzameling en verwerking. Op deze bepaling wordt toezicht gehouden door Autoriteit Consument en Markt (ACM).
In algemene zin geldt dat, wanneer persoonsgegevens naar een land buiten de Europese Unie worden doorgegeven, er additionele voorwaarden gelden. Doorgifte is namelijk slechts toegestaan op grond van een van de wettelijke bepalingen uit hoofdstuk V van de AVG. Aangezien voor China geen door de Europese Commissie genomen adequaatheidsbesluit bestaat, waarin wordt besloten dat dit land een passend beschermingsniveau waarborgt, kan structurele doorgifte van persoonsgegevens alleen plaatsvinden voor zover er door de verwerkingsverantwoordelijke «passende waarborgen» worden geboden.
Het is aan de Autoriteit Persoonsgegevens (AP), de toezichthouder op de AVG, om erop toe te zien dat er passende waarborgen zijn getroffen. Als dit niet het geval is heeft de AP onder meer de bevoegdheid om boetes op te leggen, maar ook om de verwerking te verbieden.
Klopt het dat de Belgische Staatsveiligheidsdienst al eerder publiekelijk heeft gewaarschuwd voor spionage via Chinese spionage, waaronder die van Xiaomi? Zo ja, hoe beoordeelt u dit en deelt u de mening dat deze waarschuwing zeer zorgelijk is?
Het klopt dat de Belgische Staatsveiligheid heeft gewaarschuwd voor potentiële Chinese spionagedreiging. Zoals ook staat beschreven in het Dreigingsbeeld Statelijke Actoren (DBSA)3 en de jaarverslagen van de inlichtingen- en veiligheidsdiensten is toenemende afhankelijkheid van buitenlandse technologie een gegeven. Hierdoor bestaat het risico dat met technologische toeleveringen de digitale spionage- en sabotagemogelijkheden toenemen. Waar dit de nationale veiligheid raakt, wordt per geval afgewogen welke maatregelen proportioneel zijn om dit risico te beheersen. Risico’s voor de nationale veiligheid kunnen met name ontstaan wanneer technologie de Nederlandse vitale infrastructuur of gevoelige kennis en informatie raakt.
In hoeverre is de huidige aangewezen toezichthouder in staat om te controleren of er censuursoftware op mobiele telefoons aanwezig is en of deze software daadwerkelijk actief is?
De toekomstige e-privacy verordening bevat regels over (de verwerking van persoonsgegevens bij) elektronische communicatie om te zorgen dat de persoonlijke levenssfeer wordt beschermd. Daarin wordt het controleren van de communicatie, ook door leveranciers van telefoons, verboden. Als de verordening van kracht wordt of voorafgaand daaraan de Telecommunicatiewet wordt aangepast conform het gestelde onder vraag 1, is er pas een aangewezen toezichthouder op dit punt.
Voor zover de vraag gaat over het in staat zijn om te controleren of er een betreffende functionaliteit op mobiele telefoons aanwezig is en of deze actief is, komt uit de genoemde onderzoeken bij vraag 1 naar voren dat dit het geval is. Uit die onderzoeken bleek dat de functionaliteit in de praktijk niet wordt toegepast.
Hoe beoordeelt u de aanwezigheid van censuursoftware op Xiaomi-toestellen in het kader van een eerdere uitspraak, gedaan door de Algemene Inlichtingen- en Veiligheidsdienst, dat er sprake is van een «wereldwijde grootschalige vergaring van persoonsgegevens door Chinese actoren om profielen te maken van medewerkers van bedrijven en instellingen waar het land digitaal wil inbreken»?
De betreffende functionaliteit ziet op het detecteren en blokkeren van bepaalde termen. Deze functionaliteit heeft geen verband met grootschalige vergaring van persoonsgegevens. Zie het antwoord op vraag 1 ten aanzien van deze functionaliteit en het antwoord op vraag 8 ten aanzien van dataveiligheid.
Deelt u de mening dat het zeer onwenselijk is dat ook de telefoons van Nederlandse gebruikers deze software kunnen bevatten en dat er een mogelijkheid is dat de censuursoftware wordt geactiveerd? Zo ja, bent u bereid een onafhankelijk onderzoek te laten uitvoeren door bijvoorbeeld het Agentschap Telecom en de Nationaal Coördinator Terrorismebestrijding en Veiligheid naar de mogelijke aanwezigheid van deze censuursoftware op Xiaomi-toestellen die in Nederland worden verkocht? Zo nee, waarom niet?
Ik zie geen noodzaak tot het doen van een aanvullend onderzoek naar de in het artikel genoemde software op Xiaomi-toestellen. Wel zal ik nader bezien of het doelmatig is om de Telecommunicatiewet op dit punt aan te passen. Zie hiervoor het antwoord op vraag 1.
Daarnaast is, zoals ook in de hoofdlijnenbrief digitalisering van 8 maart jl. aangegeven, digitaal bewustzijn noodzakelijk. We investeren samen met de ministeries van Justitie en Veiligheid en Binnenlandse Zaken en Koninkrijksrelaties in het vergroten van kennis onder burgers over digitale veiligheid en over technologische ontwikkelingen, zodat zij zich bewust zijn van de mogelijkheden, beperkingen, kansen en risico’s van technologie. Op de website veiliginternetten.nl wordt voorlichting en handelingsperspectief gegeven over het veilig gebruik van een apparaat.
Het bericht ‘Onderzoek: riolen en bruggen kwetsbaar voor hackers.’ |
|
Rudmer Heerema (VVD), Queeny Rajkowski (VVD), Peter de Groot (VVD) |
|
Barbara Visser (minister infrastructuur en waterstaat) (VVD), Ferdinand Grapperhaus (minister justitie en veiligheid) (CDA) |
|
![]() |
Bent u bekend met bovenstaand bericht?1
Ja.
Bent u bekend met het onderzoek van Binnenlands Bestuur en AG Connect naar de kwetsbaarheden in industriële controlesystemen waarmee onder meer rioleringen, sluizen en verkeerslichtsystemen worden aangestuurd? Zo ja, hoe beoordeelt u de bevinding dat deze controlesystemen kwetsbaar zijn voor hackers?
Ja. De beveiliging van dergelijke systemen vereist een andere aanpak dan reguliere IT-systemen. Dit komt door de specifieke risico’s die samenhangen met het toepassingsgebied. Deze systemen hebben een langere levensduur en zijn complexer. Juist daarom is er de laatste jaren extra aandacht voor de beveiliging van operationele technologie, bijvoorbeeld in het programma «Versterken Cyberweerbaarheid in de Watersector». Zie ook het antwoord bij vraag 6.
Hoe vaak is het in de afgelopen twee jaar binnen Rijkswaterstaat of ProRail voorgekomen dat een succesvolle aanval is gepleegd op de systemen van bediening, besturing en bewaking? Welke maatregelen zijn binnen het Chief Information Security Officer (CISO) domein genomen om inbreuk op vitale systemen in de toekomst te voorkomen?
De Wet beveiliging netwerk- en informatiesystemen (Wbni) verplicht vitale aanbieders en aanbieders van essentiële diensten incidenten of inbreuken met aanzienlijke gevolgen voor de continuïteit van de verleende dienst te melden bij het Nationaal Cyber Security Centrum (NCSC). Er zijn de afgelopen twee jaar geen Wbni-meldingen gedaan door Rijkswaterstaat (RWS). RWS investeert actief in de verbetering van de digitale beveiliging. Zowel via het RWS versterkingsprogramma als ook via het jaarlijkse informatiebeveiligingsbeeld vanuit het CISO-domein worden diverse acties opgesteld en uitgevoerd ten behoeve van de (digitale) veiligheid, zoals uitvoeren van cybertesten als onderdeel van functionele inspectietesten en het oefenen van planvorming tijdens een cybercrisis ProRail heeft systemen voor de besturing van bruggen, tunnels en beveiliging op het spoor. Deze worden (deels) op afstand bestuurd vanuit de Verkeersleiding-posten. Er zijn geen succesvolle (cyber)aanvallen uitgevoerd. Op de essentiële systemen is een zwaar cybersecurity regime van toepassing. Dit regime wordt met regelmaat door externe onderzoeksbureaus getoetst op betrouwbaarheid en werking.
Klopt het dat de kwetsbaarheden in de controlesystemen onder meer worden veroorzaakt door de afwezigheid van beveiligingsupdates en het gebruik van verouderde besturingssystemen? Zo ja, hoe beoordeelt u dit beleid, zijn hierover afspraken gemaakt met de aanbieders van de besturingssystemen en wat zijn de kosten hiervan op jaarlijkse basis? Deelt u de mening dat een gebrek aan adequate beveiliging van dergelijke systemen kan leiden tot aanzienlijke (nationale) veiligheidsrisico’s met mogelijk ontwrichtende gevolgen?
De door u genoemde kwetsbaarheden die bij Industriële Controle Systemen (ICS) kunnen ontstaan, kunnen vooral benut worden door hackers indien er koppelingen zijn met het internet waardoor systemen op afstand kunnen worden gemanipuleerd, overgenomen of onklaar worden gemaakt. Risico’s van controle-systemen zijn in het algemeen systeem-, organisatie-, locatie- en tijd specifiek en hangen samen met beveiligingsmaatregelen die door de organisatie zijn getroffen.
Ons beleid is erop gericht organisaties bewust te maken van deze kwetsbaarheden, kennis te delen en te waarborgen dat er maatregelen worden genomen om deze nationale risico’s zoveel mogelijk te verkleinen. Het programma «Versterken Cyberweerbaarheid in de Watersector» levert hier een belangrijke bijdrage aan. De uitvoering van het programma wordt bekostigd uit het IenW-budget van de Nationale Cyber Security Agenda (NCSA). Zie voor de inzet van regelgeving ook vraag 6.
Klopt het dat een goedwillende hacker op afstand het rioleringssysteem van een grote gemeente kon overnemen, dit vervolgens meldde bij de betreffende gemeente, maar het vervolgens maanden duurde voor de benodigde update werd uitgevoerd? Zo ja, hoe beoordeelt u deze gang van zaken? Bent u het eens dat, gezien de aanzienlijke veiligheidsrisico’s van kwetsbaarheden in het systeem, snelheid hier geboden is?
Uit navraag blijkt geen nadere informatie beschikbaar over een casus van een goedwillende hacker die het rioleringssysteem van een grote gemeente kon overnemen.
Voor de aanpak van de veiligheidsrisico’s die volgen uit kwetsbaarheden in een systeem, zie de beantwoording van vraag 4, 6, 7 en 9.
Kunt u toelichten welk beleid wordt gevoerd ten aanzien van beveiligingsproblemen en in het bijzonder van het updaten van software van industriële besturingssystemen? Zo ja, welke problemen worden hier ondervonden en wordt in samenwerking met experts gezocht naar oplossingen voor deze problemen? Zo nee, waarom niet?
Op 1 juli j.l. is voor alle Aanbieders van Essentiele Diensten (AED’s) binnen het IenW-domein de Regeling beveiliging netwerk- en informatiesystemen IenW (MR)2 in werking getreden om de AED’s meer handvatten te bieden bij de uitvoering van hun zorgplicht, waaronder maatregelen op het gebied van detectie en respons en patchmanagement. Met deze MR wordt ook de ILT in staat gesteld hier goed toezicht op te houden. Het Nationaal Cybersecurity Centrum (NCSC) heeft voor het adequaat patchen van industriële besturingssystemen diverse handreikingen opgesteld 3. Daarnaast wordt er regelmatig door het NCSC en de diverse ministeries, samen met leveranciers gesproken over (de noodzaak van) goed patchmanagement. Hierbij wordt samen gewerkt in diverse initiatieven4, bijvoorbeeld in de Cybersecurity Alliantie.
Al deze maatregelen tezamen borgen dat de betreffende organisaties weerbaarder zijn bij cyberrisico’s: ze hebben inzicht in de mate waarop de maatregelen doeltreffend zijn, de risico’s kunnen beter beheerst worden en ze zijn in staat voortdurend bij te sturen.
Welke veiligheidseisen worden gesteld bij de inkoop van software en hardware voor industriële besturingssystemen? Wordt een risicoanalyse uitgevoerd bij de aankoop van de betreffende software en wordt regelmatig getest of beiden voldoen aan de dan geldende veiligheidseisen? Zo ja, wat wordt gedaan met de uitkomsten van de risicoanalyses? Zo nee, waarom niet?
Een overheidsorganisatie die ICT-producten en -diensten inkoopt moet de eisen uit de Baseline Informatiebeveiliging Overheid (BIO) vertalen naar inkoop-contracten en afspraken maken over de naleving van die contracteisen. Het uitvoeren van risicoanalyses en testen is hier onderdeel van. De aanscherping van de nationale veiligheidsrisico’s voor inkoop en aanbesteding is eind 2018 geïmplementeerd door de rijksoverheid. Hiermee is het staand beleid vanuit de rijksoverheid dat nationale veiligheidsoverwegingen worden meegewogen bij de inkoop en aanbesteding van producten en diensten. Bij de aanschaf en implementatie van gevoelige apparatuur wordt rekening gehouden met eventuele risico’s in relatie tot de leverancier en met het concrete gebruik van de systemen.
Wat is de huidige stand van zaken van het uitvoeren van de aanbevelingen die de Algemene Rekenkamer in 2019 heeft gedaan ten aanzien van de cyberbeveiliging van waterwerken? Welke aanbevelingen zijn reeds overgenomen en uitgevoerd en welke nog niet?
Sinds het rapport van de Algemene Rekenkamer «Digitale Dijkverzwaring» uit 2019 heeft er bij Rijkswaterstaat (RWS) een flinke verbeterslag plaatsgevonden. RWS investeert in verbetering van de digitale beveiliging, via het RWS-versterkingsprogramma. Ik heb uw kamer hierover geïnformeerd in 20205 en onlangs over de laatste stand van zaken via mijn brief «Update Versterken Cyberweerbaarheid in de Watersector» op 2 juni 20216. Sindsdien zijn de maatregelen voor procesautomatisering in de «Cybersecurity Implementatie Richtlijn Objecten» waarmee deze op bredere schaal kunnen worden toegepast. Een andere prioritaire maatregel betreft de aansluiting van extra objecten op het Security Operations Centre (SOC)7 van RWS. Het betreft daarbij objecten, zoals bijvoorbeeld bruggen en sluizen,van het Hoofdwatersysteem (HWS), het Hoofdwegennet (HWN) en het Hoofdvaarwegennet (HVWN). Hiermee kunnen kwetsbaarheden eerder gesignaleerd worden en kan er adequaat actie worden genomen om deze te verhelpen.
In hoeverre worden dreigingsbeelden ingezet en praktisch doorvertaald naar de bescherming van industriële besturingssystemen en in het bijzonder individuele vitale objecten zoals waterkeringen en sluizen?
Dreigingsbeelden worden gedeeld door de veiligheidsdiensten met de betreffende bedrijven en instellingen. Deze maken zelf een doorvertaling naar de systemen in eigen beheer en de organisatie specifieke impact. Vanuit onze beleidsverantwoordelijkheid bieden wij hierbij ondersteuning. Organisaties zijn zelf verantwoordelijk om de juiste maatregelen te implementeren. Waar het aanbieders van essentiële diensten (AED’s) betreft, zien de toezichthouders hierop toe.
Bent u het eens dat bij het keren en beheren van water de fysieke veiligheid van miljoenen Nederlanders op het spel staat? Zo ja, bent u het dan ook eens dat het niveau van cybersecurity van systemen die rioleringen, bruggen en sluizen aansturen aanzienlijk hoger moet liggen dan nu het geval is? Zo ja, bent u bereid maatregelen te treffen om dit niveau te verhogen? Zo ja, welke? Zo nee, waarom niet?
Ja, ik deel uw mening dat het keren en beheren van water cruciaal is voor de bescherming van Nederland. Daarom is «keren en beheren van de waterkwantiteit» een vitaal proces in categorie A (infrastructuur die bij verstoring, aantasting of uitval ernstige gevolgen heeft op economisch, fysiek of sociaal-maatschappelijk vlak met mogelijke cascade gevolgen). Er wordt hard gewerkt aan het verhogen van het niveau van cyberweerbaarheid van vitale objecten binnen dit proces en deze vallen ook onder de Wbni, zie ook mijn antwoord onder vraag 8.
Verder heb ik vanuit mijn systeemverantwoordelijkheid aandacht voor de cybersecurity van systemen die riolering, bruggen en sluizen aansturen. Daarom werken we samen met decentrale overheden om ook hier de cyberweerbaarheid te verhogen en de Nederlandse infrastructuur blijvend te beschermen.