Vraag 1

Hoe beoordeelt u het feit dat verschillende gemeenten zoals Hof van Twente afgelopen jaren slachtoffer zijn geworden van cyberaanvallen waarbij veel gevoelige persoonsgegevens zijn buitgemaakt?1

Iedere digitale aanval op een overheidsorganisatie is er één te veel. De realiteit is dat digitale dreigingen toenemen. Vanuit mijn stelselverantwoordelijkheid voor de digitale overheid stel ik kaders en ondersteun ik waar nodig om het openbaar bestuur digitaal veilig te laten functioneren.

Vraag 2

Hoe beoordeelt u het feit dat uit onderzoek blijkt dat een groot deel van de gemeenten nog geen draaiboek (protocol) heeft in het geval van een digitale aanval? Hoe beoordeelt u het feit dat gemeenten als gevolg hiervan geen kennis en kunde in huis hebben om de benodigde stappen te zetten na een digitale aanval en om de opgelopen schade te mitigeren?2

Ik deel het beeld dat op het terrein van informatieveiligheid binnen en buiten de overheid veel werk te doen is. De digitale dreiging is groeiende en alle organisaties wereldwijd kampen met dit vraagstuk. Het is een breed maatschappelijk vraagstuk waar naast gemeenten, ook andere publieke organisaties mee kampen.
Verder deel ik de mening dat overheidsorganisaties voorbereid moeten zijn op digitale aanvallen. Inderdaad zijn aanvallen nooit 100% te voorkomen. Vandaar dat ik uw Kamer graag wijs op de Baseline Informatiebeveiliging Overheid (BIO)3. Dit is het algemene basisnormenkader voor informatieveiligheid voor de gehele overheid, waarin ook eisen en maatregelen zijn opgenomen over het beheer van informatiebeveiligingsincidenten. Concreet stelt de BIO in hoofdstuk 16 «Beheer van informatiebeveiligingsincidenten» onder meer verplicht dat er verantwoordelijkheden en procedures tot op directieniveau zijn vastgesteld voor een snelle, doeltreffende en ordelijke respons op informatiebeveiligingsincidenten. Er worden eisen gesteld aan het rapporteren van incidenten. Gezien het belang ervan zijn deze eisen in de BIO, conform de systematiek van de BIO4, nader vertaald in maatregelen zoals de verplichting een intern meldloket te hebben met vastgestelde afhandelingsprocedures. En de meldingsprocedure moet voor iedereen in de organisatie kenbaar zijn. Ook beschrijft de BIO hoe afhankelijk van de ernst van een incident verder moet worden gereageerd. Draaiboeken en protocollen zijn daarmee impliciet onderdeel van een totaalpakket van de verplichtingen en aan maatregelen, die voortvloeien uit hoofdstuk 16 van de BIO.
Ik deel dan ook het standpunt dat het hebben van draaiboeken en protocollen van belang is om snel in te kunnen spelen op digitale ontwrichting. Gemeenten zijn verantwoordelijk voor hun informatieveiligheid binnen de geldende kaders, ook voor het opstellen van draaiboeken en protocollen voor incidenten. Het college van burgemeester & Wethouders draagt de eindverantwoordelijkheid voor hun gemeente en de gemeenteraad controleert.
Digitale aanvallen zijn niet allemaal hetzelfde. De kennis en kunde die nodig is om de nodige stappen te zetten, verschilt per aanval. Gemeenten kunnen indien nodig ondersteuning krijgen van de Informatiebeveiligingsdienst (IBD) van de Vereniging Nederlandse Gemeenten (VNG). Vanuit de kaderstellende en ondersteunende rol van BZK voert het Centrum Informatiebeveiliging een Privacybescherming (CIP) sinds 2019 een overheidsbreed ondersteuningsprogramma uit. Het voornaamste doel hiervan is adviezen en ondersteuningsmiddelen aanreiken aan overheden, gericht op het geïmplementeerd krijgen van de BIO.
Ten slotte maak ik u graag attent op de jaarlijkse overheidsbrede cyberoefening en de bijbehorende webinars5 die erop zijn gericht op de digitale weerbaarheid van de overheid te vergroten. Aan deze oefening nemen veel verschillende overheidspartijen deel. De laatste cyberoefening met meer dan 1000 deelnemers vond op 1 november plaats.

Vraag 3

Hoe beoordeelt u het feit dat er wetenschappelijk en maatschappelijk consensus bestaat over de meerwaarde van een cyber protocol/draaiboek in het geval van een digitale aanval waarbij handelingsperspectief kan worden geboden aan organisaties en digitale aanvallen sneller kunnen worden verholpen?

Zie antwoord vraag 2.

Vraag 4

Bent u het met ons eens dat digitale aanvallen nooit honderd procent voorkomen kunnen worden, maar dat het hebben van een cyber protocol/draaiboek indien een aanval zich voordoet wel van essentieel belang is om gemeentes de juiste stappen te laten zetten om zo goed mogelijk om te gaan met digitale aanvallen en om de schade zoveel mogelijk te beperken? Zo ja, bent u het dan ook eens dat het hebben van een cyber protocol/draaiboek een belangrijk hulpmiddel is in het zo goed mogelijk omgaan met digitale aanvallen? Zo nee, waarom niet?

Zie antwoord vraag 2.

Vraag 5

Bent u het met ons eens dat het hebben van een cyber protocol/draaiboek als een belangrijk aanvullend instrument kan worden in gezet in een breder pakket van bestaande maatregelen tegen digitale aanvallen? Zo ja, bent u alsnog bereid om de aangenomen motie Yesilgöz-Zegerius (Kamerstuk 26 643, nr. 753) uit te voeren en dus in samenwerking met de Vereniging Nederlandse Gemeenten (VNG) en de Informatiebeveiligingsdienst (IBD) cyber protocollen/draaiboeken op te stellen om gemeentes beter voor te bereiden op digitale aanvallen? Zo nee, waarom niet?

In mijn reactiebrief6 op de motie Yesilgöz-Zegerius7 heb ik aangegeven hoe ik uitvoering geef aan de motie. Ik herhaal hier kort wat ik in mijn reactiebrief heb gesteld, namelijk dat ik in mijn beleid niet inzet op één cyberverdedigingsprotocol voor alle gemeenten, omdat de ene situatie niet de andere is. Hoe er daadwerkelijk moet worden gehandeld is weliswaar context-afhankelijk, maar wel onderworpen aan eisen. Zoals ik hierboven heb aangegeven stelt de BIO eisen aan het afhandelen van informatiebeveiligingsincidenten met inbegrip met vastgestelde procedures.
Naar aanleiding van het artikel van AG Connect wil ik hieraan nog een paar opmerkingen toevoegen. Ten eerste: informatieveiligheid is een gezamenlijke verantwoordelijkheid. Ik noemde eerder dat informatieveiligheid bij gemeenten onder de eindverantwoordelijkheid van het College van B&W valt. Het is van belang dat waar dat niet of onvoldoende gebeurt, zij hun verantwoordelijkheid nemen en gaan uitoefenen; de gemeenteraad dient hier ook op toe te zien. Gemeenten worden hierbij ondersteund door de VNG en de IBD voor gemeenten.
Ik ondersteun dit door de controlerende taak (het horizontale toezicht) van de gemeenteraad te versterken met onder andere de aanpak Eenduidige Normatiek Single Information Audit (ENSIA), waarover uw Kamer is geïnformeerd op 18 maart jl. in de Voortgangsbrief Informatieveiligheid.8 ENSIA heeft tot doel te komen tot een zo effectief en efficiënt mogelijk ingericht verantwoordingsstelsel voor informatieveiligheid bij gemeenten. De focus van ENSIA ligt op verantwoording richting de gemeenteraad, het hoogste politieke orgaan van de gemeente. Echter, omdat gemeenten ook verantwoording afleggen aan de rijksoverheid waar het gaat om het gebruik van landelijke voorzieningen, helpt ENSIA de gemeenten in één keer verantwoording af te leggen over informatieveiligheid gebaseerd op de normen die gelden voor de Nederlandse overheid, de BIO. Met ENSIA sluit de verantwoording over informatieveiligheid aan op de planning- en controlcyclus van de gemeente. Hierdoor heeft het gemeentebestuur meer overzicht over de informatieveiligheid van zijn gemeente en kan het beter sturen en verantwoording afleggen aan de gemeenteraad.
Ook de VNG ziet het belang en de urgentie van adequate digitale weerbaarheid toenemen. Ze biedt op het terrein van informatieveiligheid de gemeenten daarbij op allerlei wijzen ondersteuning, zoals ook op het terrein van incidentmanagement. VNG en IBD trekken lessen uit incidenten en stellen deze lessen openbaar beschikbaar. Dit geldt onder andere voor de geleerde lessen van de door u aangehaalde incidenten, de hacks bij de gemeenten Lochem en Hof van Twente en de Citrix-problematiek.
De IBD heeft voor gemeenten een aantal producten beschikbaar gesteld die ingaan op het voorkomen van digitale incidenten, maar ook op de wijze waarop een incident kan worden afgewikkeld. Het incident bij de gemeente Hof van Twente heeft onder andere geleid tot de ontwikkeling van het «kaartje in de meterkast» voor gemeentesecretarissen9. Dit document helpt de gemeente om vooraf de juiste stappen te bepalen in geval van een incident. Via de vakvereniging worden gemeentesecretarissen gewezen op dit initiatief.
Om gemeenten te helpen met het verhogen van de digitale weerbaarheid heeft de IBD een ondersteuningspakket ontwikkeld voor de processen en maatregelen uit de BIO met de hoogste prioriteit. In dit ondersteuningspakket wordt naast preventieve maatregelen en bewustwording ook ingezet op bedrijfscontinuïteitbeheer (BCM) en zijn concrete handreikingen voor incident en responsmanagement beschikbaar voor alle gemeenten. Zoals gesteld in mijn reactie op de motie Yesilgöz-Zegerius worden de Veiligheidsregio’s betrokken bij crisis en incidenten volgens de Gecoördineerde Regionale Incidentbestrijdingsprocedure (GRIP) en kan opgeschaald worden naar de nationale crisisstructuur.
Met dit ondersteuningspakket zie ik dat de gemeenten voortvarend bezig zijn. Tegelijkertijd ben ik met de VNG, de rijksoverheid, de Unie van Waterschappen en het Interprovinciaal overleg doorlopend in gesprek om gezamenlijk de digitale weerbaarheid van de overheid te versterken tegen de telkens wijzigende dreigingen.

Vraag 1

Bent u bekend met het bericht «Psychische problemen HAN-studenten ook op straat na grote hack»?1

Ja.

Vraag 2

Is het waar dat de hogeschool van Arnhem en Nijmegen (HAN) vorige maand is aangevallen met gijzelsoftware? Zo ja, kunt u een chronologisch feitenrelaas schetsen van deze gebeurtenis en kunt u hierbij specifiek ingaan op de oorzaak van de cyberaanval? Zo nee, waarom niet? Deelt u de mening dat het wenselijk is om de kennis over het ontstaan van hack te delen met andere onderwijsinstellingen zodat zij hier lering uit kunnen trekken?

De HAN University of Applied Sciences (HAN) is geconfronteerd met een hack. De HAN heeft mij laten weten dat een hacker via een webformulier toegang heeft gekregen tot een server van de HAN waarop veel gegevens stonden. Van gijzelsoftware is in dit geval géén sprake. Voor een chronologisch feitenrelaas verwijs ik naar de website van de HAN, www.han.nl/datalek waar via een liveblog de ontwikkelingen in de tijd te volgen zijn. Het is van groot belang om de kennis over het ontstaan van hacks te delen met andere onderwijsinstellingen, aangezien voor een effectieve bestrijding van cyberrisico’s samenwerking en continue kennis-en informatiedeling cruciaal is. Dat is ook in dit geval gebeurd. Zie ook het antwoord op vraag 5.

Vraag 3

Is het waar dat bij deze hack zeer gevoelige gegevens zoals medische en persoonsgegevens van studenten van de HAN buit zijn gemaakt als gevolg van de cyberaanval? Zo ja, kunt u een overzicht geven van de omvang van deze gegevens en welke gegevens precies buit zijn gemaakt? Zo nee, waarom niet?

De HAN heeft mij laten weten dat de hacker toegang heeft gehad tot een omgeving waar veel persoonsgegevens beschikbaar waren en heeft op 5 oktober een overzicht van de gelekte data gepubliceerd op haar website han.nl/datalek. Dit overzicht is als bijlage toegevoegd aan een persbericht dat op dezelfde dag is verschenen. Uit het overzicht blijkt dat het in 95% van de gevallen gaat om algemene persoonsgegevens zoals adresgegevens of telefoonnummers. Van een klein percentage van de mogelijk getroffen gegevens (3%) gaat het om meer persoonlijke gegevens waaronder informatie over de reden van studievertraging of bijzondere omstandigheden waar de hogeschool rekening mee wil houden.

Vraag 4

Is de datadiefstal reeds gemeld bij de Autoriteit Persoonsgegevens (AP)? Zo ja, is er verder contact geweest tussen de HAN en de AP? Zo nee, waarom niet?

Ja. De HAN heeft zodra zij weet had van het datalek direct de AP geïnformeerd. Deze (voorlopige) melding is op 1 september door de Functionaris Gegevensbescherming van de HAN gedaan. Zodra er nieuwe ontwikkelingen waren en de voorlopige melding kon worden aangevuld is de AP daarvan steeds op de hoogte gebracht.

Vraag 5

Heeft de HAN ten tijde van de aanval met gijzelsoftware in contact gestaan met het sectorale computer emergency response team SURFcert ter (technische) ondersteuning? Zo ja, heeft de HAN dit contact geïnitieerd? Zo ja, wat is er uit dit contact gekomen qua ondersteuning vanuit SURFcert?

De HAN heeft mij laten weten dat er van gijzelsoftware géén sprake is geweest (zie vraag 2). Zodra de HAN weet had van het datalek heeft de HAN op 1 september contact gezocht met SURFcert. SURFcert heeft de HAN ondersteund met het analyseren van het incident. De Indicators of Compromise (IOCs) zijn daarbij gedeeld met het SURFcert en de daarbij aangesloten instellingen.

Vraag 6

Is er een dialoog geweest tussen de HAN en de hacker in kwestie over het wel of niet betalen van het geëiste losgeld bedrag? Zo ja, heeft de HAN de politie ingeschakeld bij het voeren van deze dialoog? Zo nee, waarom niet?

De HAN heeft mij laten weten dat er contact is geweest met de hacker. De HAN is niet ingegaan op de eisen van het losgeld. Zodra de HAN kennis had van het datalek heeft zij direct contact gezocht met de politie en ook aangifte gedaan.

Vraag 7

Is het waar dat de gestolen data zijn gepubliceerd? Zo ja, waar en zijn de studenten en medewerkers hiervan op de hoogte gesteld? Zo nee, waarom niet?

Voor zover bekend zijn er geen data gepubliceerd. Omdat niet bekend is welke data er exact zijn buitgemaakt heeft de HAN vanuit het oogpunt van zorgvuldigheid en voorzorg besloten om iedereen van wie mogelijk persoonsgegevens zijn buitgemaakt te informeren.

Vraag 8

Kunt u een inschatting maken van de (immateriële) schade en kosten die deze cyberaanval tot nu heeft veroorzaakt?

Deze inschatting is vooralsnog niet te geven. De werkzaamheden bij de HAN lopen nog door. Hier zijn naast eigen medewerkers ook externe deskundigen bij betrokken.

Vraag 9

Is het waar dat de HAN een «makkelijk doelwit» is genoemd door de hacker in kwestie? Zo ja, hoe beoordeelt u deze uitspraak? Deelt u de mening dat het zeer zorgelijk is dat een Nederlandse hoger onderwijsinstelling op deze wijze wordt bestempeld door cybercriminelen?

De uitspraak van de hacker is opgetekend door een journalist. Ik kan daarover niet oordelen. De HAN heeft in haar bedrijfsvoering veel aandacht voor IT veiligheid. Dat blijkt onder andere uit de aanwezigheid van diverse preventieve, detectieve, responsieve en correctieve maatregelen. Voorbeelden daarvan zijn de regelmatige uitvoering van penetratietesten o.a. door ethical hackers, de aansluiting op de Security Operations Center oplossing geboden door het SURFsoc en de aanwezigheid van offline back-up faciliteiten. Daarnaast wordt met enige regelmaat het bewustzijn van medewerkers en studenten rond informatiebeveiliging verhoogd middels campagnes. Ook is deelgenomen aan de landelijke OZON-oefening van SURF op 18 maart jl. Middels de planning & control cyclus wordt invulling gegeven aan de verdere groei in volwassenheid op het gebied van informatiebeveiliging, om zo in te kunnen spelen op het continu veranderde cyberdreigingslandschap waar de onderwijssector mee te maken heeft.

Vraag 10

Deelt u de mening dat deze cyberaanval en in het bijzonder het buit maken van gevoelige medische gegevens van ruim 2000 studenten een zeer grote inbreuk maakt op de privacy van de studenten in kwestie? Deelt u de mening dat het voor studenten die slachtoffer zijn geworden, wenselijk is om ondersteuning te krijgen over eventuele gevaren met betrekking tot identiteitsfraude en hoe om te gaan met een eventuele psychische impact die bij het prijsgegeven van dit type gevoelige gegevens komt kijken, bijvoorbeeld van de Fraudehelpdesk? Zo ja, kunt u dit meegeven aan het bestuur van de HAN? Zo nee, waarom niet?

Persoonsgegevens en bijzondere persoonsgegevens worden beschermd via de daarvoor geldende wetgeving (AVG). Dat er gegevens van medische aard betrokken zijn bij het datalek is uiteraard bijzonder te betreuren. De HAN heeft alle mogelijk getroffen personen van het datalek geïnformeerd, waarbij de personen van wie mogelijk gevoelige gegevens zijn betrokken als eerste zijn geïnformeerd. Een team van professionals heeft vanaf het moment van informeren klaargestaan om eventuele vragen te beantwoorden. Wanneer op basis van reacties het vermoeden bestaat dat er extra nazorg nodig is, worden mensen gewezen op de diverse voorzieningen die de HAN heeft op dit gebied zoals studentpsychologen. Ook monitort de HAN of de verdere opvolging wellicht bijsturing behoeft.

Vraag 11

Deelt u de mening dat onderwijsinstellingen meer moeten doen om dergelijke cyberaanvallen te voorkomen? Zo ja, deelt u dan ook de mening dat bijvoorbeeld moet worden gekeken naar minimale beveiligeisen om de digitale hygiëne op orde te krijgen? Zo ja, hoe komt dit overeen met uw eerdere uitspraken dat de verantwoordelijkheid van goede bedrijfsvoering bij de instelling zelf ligt en ze in beginsel dus zelf verantwoordelijkheid zijn om de eigen kwetsbaarheden in de cyberveiligheid te mitigeren? Zo nee, waarom niet?

Hogescholen hebben afgelopen jaren op grond van toenemende dreiging hun aanpak geïntensiveerd. De hack bij de Universiteit Maastricht, maar ook andere incidenten, heeft de sector doen beseffen hoe belangrijk digitale veiligheid en een goede voorbereiding is. In mijn brief van 28 september jl. heb ik uiteengezet welke maatregelen de sector en ik reeds getroffen hebben en welke op stapel staan. 2

Vraag 12

Kunt u bovenstaande vragen voor het nog in te plannen commissiedebat «Digitalisering in het onderwijs» beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht ««Hoe China met de Nederlandse politie meekijkt»»?1

Ja.

Vraag 2

Klopt het dat de Nederlandse politie drones van het Chinese bedrijf Da Jiang Innovations (DJI) inzet? Zo ja, voor welke taken precies? Waarom is er gekozen voor drones van dit bedrijf?

Ja. De politie heeft bij de aanschaf van de drones, via een security check, een bewuste afweging gemaakt om de drones niet voor gevoelige operaties, maar alleen voor reguliere processen in te zetten. Dat wil zeggen: wel voor forensische opsporing, verkeersongevallenanalyse en openbare orde en veiligheid, maar niet operaties waarbij vertrouwelijke informatie wordt verwerkt.
De politie besteedt structureel aandacht aan de bescherming en beveiliging van gegevens en veilige inkoop. De drones zijn aangeschaft via wettelijk voorgeschreven inkoopprocedures op grond van de Aanbestedingswet 2012. De Aanbestedingswet 2012 biedt een aantal wettelijke gronden om een inschrijver uit te sluiten. Gezien het doel van de inzet van de drones was er geen reden om een beroep te doen op een van de uitsluitingsgronden. De Aanbestedingswet schrijft voor dat als er meerdere partijen zijn die voldoen aan de gestelde eisen, er moet worden gekozen voor de biedende partij met de beste prijs-kwaliteitverhouding.

Vraag 3

Is de aanschaf en het gebruik van drones van Da Jiang Innovations door de politie voorafgegaan door een risico- en veiligheidsanalyse? Zo ja, zijn daarbij (digitale) veiligheids- en privacyexperts geraadpleegd over het verzamelen van persoonsgegevens? Zo nee, waarom niet?

Zoals gezegd heeft de politie bij de aanschaf van de drones een security check uitgevoerd. Daarnaast is tijdens de projectfase een gegevensbeschermingseffectbeoordeling (GEB) gedaan. Uit deze beoordeling is niet gebleken dat er sprake is van verwerking van gegevens met een hoog risico. Er wordt alleen beeldmateriaal vastgelegd, dat versleuteld wordt verzonden. Niet kan worden uitgesloten dat deze beelden, ondanks de vastgelegde schriftelijke afspraken met de leverancier, toch bij DJI en/of Chinese overheid terecht komen, omdat DJI ook (naast de politie zelf) in het bezit is van de sleutel. Om deze reden heeft de politie mitigerende maatregelen genomen. Zo worden voor operaties waar vertrouwelijkheid gegevens worden verwerkt geen DJI-producten ingezet, maar andere vormen van luchtsteun.

Vraag 4

Klopt het dat de Nederlandse inlichtingendiensten hebben geconstateerd dat China een offensief cyberprogramma heeft tegen de Nederlandse nationale belangen? Hoe beoordeelt u het gebruik van drones van Da Jiang Innovations in dat licht? Deelt u de mening dat het onwenselijk is om voor politiewerk afhankelijk te zijn van Chinese hardware/IT-producten?

In openbare stukken zoals de jaarverslagen van de AIVD en de MIVD en het Dreigingsbeeld Statelijke Actoren (2021) geven de inlichtingen- en veiligheidsdiensten en de NCTV aan dat China één van de staten is waarvan is onderkend dat ze een offensief cyberprogramma hebben dat gericht is tegen Nederlandse belangen. De Chinese overheid gebruikt cyberoperaties om inlichtingen te verzamelen ter ondersteuning van haar economische, militaire en politieke doelstellingen.
In het algemeen geldt dat het afhangt van het inzetdoel of het gebruik van een bepaalde technologie veilig (genoeg) is en of eventuele risico’s voor de nationale veiligheid beheersbaar kunnen worden gemaakt. Uitgangspunt is dat genomen maatregelen proportioneel zijn. Dit vergt een gedetailleerde analyse van de te beschermen belangen, de dreiging en de (huidige) weerbaarheid. De politie en Rijswaterstaat hebben beide een dergelijke analyse gemaakt voordat tot de aanschaf van de drones is over gegaan. Daarnaast is door de politie de afweging gemaakt de drones niet in te zetten voor processen waarbij het gaat om vertrouwelijke informatie.

Vraag 5

Klopt het dat Chinese bedrijven volgens de Chinese wet verplicht zijn om data af te staan aan hun overheid? Deelt u de mening dat het uit veiligheidsoogpunt zeer onwenselijk is dat er door de Nederlandse overheid IT-producten worden afgenomen bij een bedrijf dat data deelt met de Chinese overheid?

In algemene zin kan worden gesteld dat de Chinese overheid nauw betrokken is bij het Chinese bedrijfsleven, zowel via staatsbedrijven als private bedrijven. China kent daarnaast wetgeving die (buitenlandse) bedrijven dwingt om gegevens te delen met de overheid. Dit wordt ook beschreven in de beleidsnotitie «Nederland-China: een nieuwe balans».2
Zoals in het Dreigingsbeeld Statelijke Actoren (DBSA)3 beschreven, is een toenemende afhankelijkheid van buitenlandse technologie een gegeven, aangezien geen land beschikt over alle kennis en productiemiddelen om technologisch onafhankelijk te opereren. Wel bestaat het risico dat met technologische toeleveringen de digitale spionage- en sabotagemogelijkheden toenemen.
Om de weerbaarheid tegen deze dreiging te vergroten werkt de Minister van Justitie en Veiligheid samen met partners binnen en buiten de overheid aan de aanpak statelijke dreigingen, waarover uw Kamer op 3 februari jl. de laatste stand van zaken heeft ontvangen.4 Bij elke casus moet worden bezien hoe risico’s voor de nationale veiligheid beheersbaar kunnen worden gemaakt. Uitgangspunt is dat maatregelen die hiertoe genomen worden proportioneel zijn. Dit vergt een gedetailleerde analyse van de te beschermen belangen, de dreiging en de (huidige) weerbaarheid.
Als hulpmiddel bij het uitvoeren van een dergelijke risicoanalyse en het nemen van eventuele mitigerende maatrelen is eind 2018 instrumentarium ontwikkeld dat organisaties helpt bij het meewegen van nationale veiligheidsrisico’s bij de inkoop- en aanbesteding van producten en diensten. Het instrumentarium is ter beschikking gesteld binnen de rijksoverheid en medeoverheden, alsmede aan organisaties die onderdeel zijn van de vitale processen. Behoeftestellende partijen zijn zelf verantwoordelijk voor de toepassing van dit instrumentarium en het meewegen van nationale veiligheidsrisico’s.
De DJI-drones die Rijkswaterstaat op dit moment gebruikt zijn in 2017 aangeschaft ten behoeve van een pilot. Het genoemde instrumentarium was toen nog niet beschikbaar. Voor de politie geldt dat toen de inkoop startte, dit instrumentarium nog niet was geïmplementeerd in de inkoopprocedures. Ook achteraf gezien – wanneer het genoemde instrumentarium wel zou zijn gebruikt – zou de uitkomst van het inkoopproces niet anders zijn geweest. Rijkswaterstaat en de politie verwerken immers geen vertrouwelijke gegevens met de DJI-drones.
Rijkswaterstaat en de politie maken voor de lopende en toekomstige aanbestedingen met een mogelijk risico voor de nationale veiligheid wel gebruik van het instrumentarium.

Vraag 6

Wordt er bij het inzetten van drones van Da Jiang Innovations door de politie gebruikgemaakt van eigen software of gebruikt de politie DJI-bedrijfssoftware? Bent u op de hoogte van de veiligheidsrisico’s van het gebruik van DJI-software? Gebruikt de politie speciale overheidsdrones?

De politie gebruikt de besturingssoftware van DJI, maar er wordt geen gebruik gemaakt van de DJI-besturingsapp. De politie gebruikt geen speciale overheidsdrones. Voor het overige verwijs ik naar het antwoord op vragen 5 en 7.

Vraag 7

Bent u bereid om preventieve maatregelen te nemen die de risico’s op Chinese spionage beperken? Bent u bereid hiervoor onderzoek te laten doen naar het gebruik door de politie van drones van Da Jiang Innovations? Zo nee, waarom niet?

Zoals ook in de beantwoording van vraag 5 omschreven, bestaat het risico dat met technologische toeleveringen digitale spionage- en sabotagemogelijkheden toenemen.
Risico’s voor de nationale veiligheid kunnen met name ontstaan wanneer deze technologie de Nederlandse vitale infrastructuur raakt, of wanneer deze technologie raakt aan gevoelige kennis en informatie. Zoals gezegd is dit in het geval van de politie niet het geval. Een aanvullend risico kan ontstaan als er betrokkenheid is van leveranciers uit bepaalde landen die via nationale wet- en regelgeving gedwongen kunnen worden tot medewerking aan inlichtingenactiviteiten. De risico’s voor de nationale veiligheid worden verder vergroot als het landen betreft die een offensief cyberprogramma voeren tegen de Nederlandse belangen en wanneer (technische) mogelijkheden om risico’s te adresseren niet voorhanden zijn.
Bij elke casus moet worden bezien hoe eventuele risico’s voor de nationale veiligheid beheersbaar kunnen worden gemaakt. Uitgangspunt is dat maatregelen die hiertoe genomen worden proportioneel zijn. Dit vergt een gedetailleerde analyse van de te beschermen belangen, de dreiging en de (huidige) weerbaarheid.
Ik zie, gezien de stappen die de politie al heeft gezet, geen aanleiding om een onderzoek in te stellen.

Vraag 8

Hoe beschouwt u het feit dat Defensie vanwege veiligheidsrisico’s reeds geen gebruik meer maakt van DJI-drones? Hoe beschouwt u in dat licht het gebruik van DJI-producten door de politie?

Het hangt af van het inzetdoel of een bepaald type drone veilig (genoeg) is. Het uitgangspunt is dat eventuele risico’s per casus in kaart moeten worden gebracht. Defensie heeft besloten om geen gebruik meer te maken van Chinese drones voor operationele taken, maar wel voor luchtopnames van trainingen of evenementen. Defensie heeft daarin haar eigen afweging gemaakt.
Bij de aanschaf van de drones heeft de politie, via een security check, een bewuste afweging gemaakt om drones niet voor gevoelige operaties, maar alleen voor reguliere processen in te zetten. Dat wil zeggen: wel voor forensische opsporing, verkeersongevallenanalyse en openbare orde en veiligheid, maar niet operaties waarbij vertrouwelijke informatie wordt verwerkt.

Vraag 9

Bent u bekend met het feit dat drones van DJI sinds 2020 niet meer gebruikt worden door de Verenigde Staten vanwege veiligheidszorgen en dat Japan dit overweegt? Hoe beoordeelt u dit? Heeft u hierover contact gehad met de VS en Japan? Zo nee, bent u bereid hierover contact op te nemen?

Nederland is eind 2020 door de VS geïnformeerd dat DJI op de entity list van het Bureau of Industrial Security van het Department of Commerce is geplaatst. In de publiekelijk beschikbare listing geven de VS aan dat zij DJI zien als een mogelijk risico voor de Amerikaanse buitenlandse politieke belangen.5 Hierbij wijzen zij op de rol van o.a. DJI bij het mogelijk maken van mensenrechtenschendingen in China door hoogtechnologische surveillance en het exporteren van deze technologie naar derde landen waar repressieve regimes aan de macht zijn.
Japan verbiedt geen producten van specifieke landen of bedrijven maar heeft aanbestedingsrichtlijnen opgesteld voor gebruik van IT-producten door overheidsinstanties. Wanneer deze worden ingezet voor publieke veiligheid en orde, kritieke infrastructuur en het uitvoeren van reddingsacties, dient de Japanse overheid mogelijke risico’s in kaart te brengen. Sinds april 2021 vallen drones ook binnen deze richtlijnen. Nadien zijn drones die als «hoog risico» worden aangemerkt zo snel mogelijk vervangen. Ook worden maatregelen getroffen om dataveiligheid van drones te garanderen.
Nederland ziet het gebruik van Chinese technologie niet als absoluut risico. Het inzetdoel van de technologie en de mogelijkheid om mitigerende maatregelen te treffen zijn bepalend of het verantwoord is om gebruik te maken van een bepaalde technologie.

Vraag 10

Is er binnen de NAVO of de EU gesproken over de veiligheid van het gebruik van deze drones? Gebruiken NAVO-bondgenoten en EU-lidstaten deze drones voor politie-, militaire of andere doeleinden?

Overwegingen rondom de veiligheid van het gebruik van dit type drones is een nationale aangelegenheid waarover in NAVO-verband niet wordt gesproken. Ook in EU-verband is niet gesproken over het gebruik van dit type drones. Het is het kabinet niet bekend welke andere NAVO-bondgenoten en EU-lidstaten deze drones gebruiken. NAVO zelf beschikt in ieder geval niet over dit type drones.

Vraag 11

Zijn er Europese landen die drones van een bedrijf uit een EU-lidstaat of OESO-land inzetten voor vergelijkbare taken als waar de Nederlandse politie de DJI-drones voor inzet? Zo ja, kunt u aangeven welke landen dit zijn en uit welke landen de bedrijven komen die ook drones in deze categorie produceren?

Het is het kabinet niet bekend welke drones er in andere Europese landen worden gebruikt.

Vraag 12

Hoe beoordeelt u het risico dat China de data van drones gebruikt voor het analyseren van Nederlandse (vitale) infrastructuur? Deelt u de inschatting van experts dat deze informatie zeer interessant is voor China?

Zoals gezegd worden de drones door de politie niet ingezet bij processen waarbij het gaat om vertrouwelijke informatie of vitale infrastructuur.
Om de weerbaarheid tegen deze dreiging te vergroten werkt de Minister van Justitie en Veiligheid samen met partners binnen en buiten de overheid aan de aanpak statelijke dreigingen, waarover uw Kamer op 3 februari jl. de laatste stand van zaken heeft ontvangen.6
Zoals ook in mijn antwoord op vraag 4 gegeven moet bij elke casus worden bezien hoe eventuele risico’s voor de nationale veiligheid beheersbaar kunnen worden gemaakt. Uitgangspunt is dat maatregelen die hiertoe genomen worden proportioneel zijn. Dit vergt een gedetailleerde analyse van de te beschermen belangen, de dreiging en de (huidige) weerbaarheid. Verder verwijs ik u graag naar het antwoord op vraag 7.

Vraag 13

Ziet u een gevaar van het gebruik van DJI-drones voor bijvoorbeeld Oeigoeren in Nederland, gezien het feit dat China gezichtsherkenningssoftware gebruikt om Oeigoeren te onderdrukken en ook de diaspora in Nederland onder druk zet?

Er zijn voor zover mij bekend momenteel geen aanwijzingen dat China de DJI-drones kan en zal gebruiken om bepaalde minderheidsgroepen in Nederland te monitoren. Mocht dit in de (nabije) toekomst wel het geval zijn, dan is er naar het oordeel van het kabinet sprake van ongewenste buitenlandse inmenging en heeft het kabinet verschillende instrumenten tot haar beschikking, zoals uiteengezet in de brief van 16 maart 2018 over de aanpak ongewenste buitenlandse inmenging.7
De politie kan tijdens demonstraties DJI-drones inzetten ten behoeve van de handhaving van de openbare orde en veiligheid. Tot op heden heeft de politie drones ingezet tijdens Coronaprotesten, Black Lives Matter-demonstraties, boerenprotesten en het Woonprotest in Rotterdam. In het kader van de mitigerende maatregelen rondom het gebruik van Chinese drones heeft de korpsleiding van de politie besloten om bij bijvoorbeeld demonstraties voor de rechten van Oeigoeren andere luchtsteunmiddelen te gebruiken, bijvoorbeeld een helikopter of een militaire drone.

Vraag 14

Heeft u in algemene zin diplomatiek contact met China over de dataveiligheid van Chinese technologie voor Nederlandse gebruikers? Zo ja, wat is hierbij de Nederlandse inzet?

Ja, Nederland spreekt in verschillende verbanden, waaronder binnen de VN, met China over dataveiligheid. Centraal hierbij staat de bescherming van privacy, zoals de naleving van de Algemene Verordening Gegevensbescherming (AVG), bescherming van mensenrechten en het tegengaan van ongepaste toegang van overheden tot datagegevens. Zoals aangegeven in de notitie «Nederland-China: Een nieuwe balans» staat het kabinet achter striktere handhaving en sterker uitdragen van bestaande standaarden en normen, zoals de Europese regelgeving op het gebied van data, privacy en productveiligheid. Wat Nederland betreft dient China zich eveneens aan deze afspraken te conformeren.

Vraag 1

Bent u bekend met het bericht «Litouwen adviseert consument geen Xiaomi-telefoons meer te kopen»?1

Ja.

Vraag 2

Hoe beoordeelt u het zorgelijke feit dat overheidsinstanties in Litouwen consumenten adviseren om geen smartphones van het Chinese merk Xiaomi meer te kopen of te gebruiken in verband met de mogelijke aanwezigheid van censuursoftware?

Het Litouwse Ministerie van Defensie concludeert op basis van eigen onderzoek dat onderzochte smartphones van diverse Chinese fabrikanten kwetsbaarheden en risico’s in zich houden, waaronder de in het nieuwsartikel aangehaalde bevinding van «censuursoftware». Het gaat daarbij specifiek om een lijst van termen die in China gevoelig liggen. De Litouwse overheid concludeert dat deze lijst op Europese smartphones aanwezig is en periodiek geactualiseerd wordt, maar dat er op de in de EU verkochte smartphones geen censuur wordt toegepast.
De overheid van Litouwen verbindt aan het rapport het advies om geen telefoons van Chinese fabrikanten meer te kopen en in gebruik zijnde telefoons te vervangen. Ieder land maakt hierin een eigen afweging. Voor Nederland is er op dit moment geen aanleiding om een dergelijk zwaarwegend advies af te geven. Wel ziet het kabinet dat het daadwerkelijk toepassen van dergelijke software inbreuk kan maken op de grondrechten van gebruikers, zie hiervoor het antwoord op vraag 6.

Vraag 3

Zijn deze signalen bekend bij het Nationaal Cyber Security Centrum (NCSC)? Zo ja, welke actie is hierop tot heden genomen?

Ja, de signalen zijn bekend bij het NCSC. Het NCSC informeert en adviseert zijn doelgroep waar relevant over cybersecurityrisico’s.

Vraag 4

Hoeveel Xiaomi telefoons zijn in Nederland in gebruik? Maken Nederlandse overheidsinstanties gebruik van Xiaomi telefoons? Zo ja, welke?

Voor het gebruik van Xiaomi-telefoons in Nederland zijn mij geen exacte cijfers bekend. Wel is er een indicatie te geven op basis van openbare marktgegevens. Uit een analyse van Europese markt voor smartphones door het bedrijf Strategy Analytics valt af te leiden dat de verkoop van Xiaomi-telefoons in Europa al enige tijd een stijgende lijn vertoont.2
Deze stijgende lijn is ook terug te zien in cijfers over het internetgebruik door gebruikers van mobiele telefoons. Zo komt het bedrijf Statcounter tot een schatting van het marktaandeel van Xiaomi in Nederland van 4,64% in september 2021.3
Alle overheidsorganisaties zijn zelf verantwoordelijk voor hun bedrijfsvoering en de beveiliging van informatie en informatiesystemen. Ze bepalen zelf welke apparatuur ze in gebruik hebben. Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties beschikt daarom niet over een totaaloverzicht van welke overheidsorganisaties welke telefoons in gebruik hebben.
Binnen de rijksoverheid wordt ten aanzien van de inkoop van telefoons via het Rijksbrede categoriemanagement samengewerkt. Wat betreft de rijksoverheid en aanpalende organisaties zijn voor zover bij het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties bekend sinds 2018 60 Xiaomi-telefoons aangeschaft. De telefoons worden niet gebruikt voor de eigen bedrijfsvoering maar zijn aangeschaft om te worden gebruikt als onderwerp van technisch, forensisch of opsporingsonderzoek. Organisaties maken bij het aanschaffen van apparatuur, zoals telefoons, een eigen afweging bij het afsluiten van nadere overeenkomsten, binnen de ruimte die rijksbreed afgesloten overeenkomsten hen daarvoor bieden. (Zie verder het antwoord op vraag 5).

Vraag 5

Wordt er een risicoanalyse uitgevoerd naar hardware en software die in gebruik wordt genomen door overheidsinstanties? Zo ja, is een dergelijke analyse uitgevoerd voor Xiaomi telefoons? Zo ja, wat waren de uitkomsten hiervan? Zo nee, waarom niet?

Voor de aanschaf van hard- en software, waaronder telefoons, door de overheid is de Baseline Informatiebeveiliging Overheid (BIO) van kracht. De uitgangspunten van de BIO zijn onder andere risicomanagement en de eigen verantwoordelijkheid van overheidsorganisaties. Dat betekent dat organisaties zelf risicoafwegingen uitvoeren voordat hard- en software in gebruik wordt genomen, en op grond daarvan de toepassing binnen hun eigen bedrijfsprocessen bepalen. Relevant zijn in dit verband specifiek biomaatregelen 14.1.1.1 en 15.1.1.1.4
Tevens geldt dat bij de inkoop en aanbesteding van producten en diensten binnen de rijksoverheid, zoals telefoons, (eventuele) risico’s voor de nationale veiligheid worden meegewogen. Hierbij wordt in het bijzonder gelet op mogelijke risico’s ten aanzien van de continuïteit van vitale processen, de integriteit en exclusiviteit van kennis en informatie en de ongewenste opbouw van strategische afhankelijkheden. In het kader hiervan zal in geval van gevoelige apparatuur zal bij aanschaf en implementatie daarvan rekening gehouden worden met zowel eventuele risico’s in relatie tot de leverancier, als met risico’s in verband met het concrete gebruik van de systemen, bijvoorbeeld waar het gaat om de toegang tot systemen door derden. Eind 2018 is dit ten aanzien van nationale veiligheidsrisico’s verscherpt inkoop en aanbestedingsbeleid geïmplementeerd voor de rijksoverheid.
Ter ondersteuning van dit beleid is instrumentarium ontwikkeld dat organisaties handvatten biedt bij het maken van een risicoanalyse en het nemen van mitigerende maatregelen. Behoeftestellende partijen zijn zelf verantwoordelijk voor de toepassing van dit instrumentarium en het meewegen van nationale veiligheidsrisico’s. Het instrumentarium is ter beschikking gesteld binnen de rijksoverheid en medeoverheden, alsmede aan organisaties die vitale aanbieder zijn.

Vraag 6

Deelt u de mening dat dergelijke censuursoftware een gevaar vormt voor de vrijheid van meningsuiting en de privacy van Nederlandse gebruikers van Xiaomi telefoons? Zo ja, bent u bereid om op korte termijn onderzoek te laten uitvoeren naar de mogelijke aanwezigheid van censuursoftware op Xiaomi toestellen door het Nationaal Cyber Security Centrum en het Agentschap Telecom? Zo nee, waarom niet?

Uit het Litouwse onderzoek blijkt dat de betreffende functionaliteit in de Europese Unie is uitgeschakeld. Wel stellen de onderzoekers dat de fabrikant deze functie op afstand zou kunnen activeren.
In algemene zin zou het toepassen van dergelijke software een risico kunnen vormen voor grondrechten zoals de vrijheid van meningsuiting, de vrijheid van nieuwsgaring en de privacy van Nederlandse gebruikers. Hierbij is het belangrijk om op te merken dat op de software die zich op Nederlandse smartphones bevindt, de huidige wet- en regelgeving van kracht is, zoals de Algemene Verordening Gegevensbescherming en de Algemene wet gelijke behandeling.
De betreffende toezichthouders en instanties, de Autoriteit Persoonsgegevens en het College voor de Rechten van de Mens, kunnen besluiten aanvullend onderzoek te doen wanneer zij hier aanleiding toe zien.

Vraag 7

Klopt het dat Xiaomi geen officiële winkel of webshop heeft in Nederland, maar wel online via verschillende Nederlandse websites/webwinkels te kopen is? Deelt u de mening dat als blijkt dat Nederlanders met een Xiaomi telefoon dergelijke censuursoftware hebben, het onwenselijk is dat deze telefoons in Nederland verkrijgbaar zijn? Zo ja, wat gaat u daaraan doen? Zo nee, waarom niet?

Dit is niet juist. Xiaomi heeft in Nederland een officieel verkoopkanaal via haar eigen website. Ook zijn Xiaomi-telefoons in Nederland verkrijgbaar via de mobiele operators en via zowel Nederlandse als Europese webwinkels.
Op dit moment heb ik geen aanwijzingen dat deze software in Nederland is geactiveerd. Mocht op enig moment blijken dat dit toch het geval is, dan is het aan de betreffende toezichthouders om zo nodig te handhaven.

Vraag 1

Bent u bekend met het artikel «Overheid in actie tegen betalen van losgeld aan ransomware-criminelen»?1

Ja.

Vraag 2

Klopt het dat op dit moment de mogelijkheden worden onderzocht om verzekeraars te verbieden om losgeld te vergoeden bij slachtoffers van een ransomware-aanval? Zo ja, hoe verklaart u dit verschil in beleid ten opzichte van wel en niet verzekerde bedrijven? Welke mogelijkheden worden er nog meer onderzocht om te kijken of het aantal losgeldbetalingen verminderd kan worden?

Ja, een verbod op het vergoeden van betaald losgeld aan cybercriminelen na een ransomware-aanval door verzekeraars wordt momenteel onderzocht. Hierbij worden de voor- en nadelen en de juridische mogelijkheden geïnventariseerd. Er is geen besluit over genomen. Daarnaast wordt gekeken naar hoe overheden om moeten gaan met ransomware, waaronder losgeldbetalingen. De meest wenselijke wijze van het beperken van losgeldbetalingen ligt echter in het voorkomen dat personen en organisaties überhaupt slachtoffer worden van ransomware.

Vraag 3

Bent u het ermee eens dat het betalen van losgeld bij ransomware aanvallen onwenselijk is en dat bedrijven zich tegelijkertijd soms genoodzaakt voelen losgeld te betalen op korte termijn, omdat anders de continuïteit van bedrijfsprocessen in gevaar komt? Zo ja, hoe beoordeelt u dan een algeheel verbod op het betalen van losgeld? Zo nee, waarom niet? En bent u het ermee eens dat er daarom ingezet moet worden op het dringende advies om niet te betalen? Zo nee, waarom niet?

Het dringende advies vanuit het Kabinet blijft om geen losgeld te betalen na een ransomware-aanval, aangezien dit het crimineel verdienmodel in stand houdt. De politie stelt vast dat een relevant deel van het door slachtoffers betaalde losgeld rechtstreeks wordt geïnvesteerd in nieuwe aanvalsinfrastructuren.2 Ik heb begrip voor de moeilijke positie waarin slachtoffers van ransomware zich soms bevinden. Een algemeen verbod op het betalen van losgeld kan leiden tot minder losgeldbetalingen, maar kan ook grote nadelige effecten hebben. Op dit moment is er geen voornemen om losgeldbetalingen wettelijk te verbieden.

Vraag 4

Bent u het ermee eens dat ondernemers en organisaties vooral slachtoffer zijn bij een ransomware-aanval? Zo nee, waarom niet?

Ja.

Vraag 5

Bent u zich ervan bewust dat het niet betalen van losgeld kan leiden tot een situatie waarin systemen weer vanaf de grond opnieuw moeten worden opgebouwd wat vaak langer duurt en meer geld kost dan het betalen van losgeld?

Ja. Criminelen die ransomware-aanvallen uitvoeren maken een zorgvuldige calculatie bij het stellen van de losgeldeis. Indien er geen losgeld wordt betaald en er geen back-up beschikbaar is, kan dit tot gevolg hebben dat de versleutelde data verloren gaat en de ICT-infrastructuur opnieuw moet worden opgebouwd. Ook kan een aanval leiden tot openbaarmaking van gestolen informatie en gegevens. De totale kosten voor een organisatie om een ransomware-aanval te boven te komen, zoals gevolgschade of het verlies van kostbare informatie, zijn vaak groter dan het geëiste losgeldbedrag.3
Ook indien er wel losgeld wordt betaald en de sleutel door criminelen wordt verstrekt, leidt dit niet gegarandeerd tot succes. Zo kan de sleutel niet goed functioneren waardoor de toegang tot data en systemen niet wordt hersteld. Verder zal in veel gevallen de hele ICT-infrastructuur alsnog opnieuw moeten worden opgebouwd, aangezien deze als gecompromitteerd moet worden beschouwd. Omdat doorgaans na een ransomwarebesmetting de integriteit van de ICT-infrastructuur niet meer kan worden gewaarborgd en een organisatie zijn systemen dus niet meer kan vertrouwen, zal deze dus ook bij betaling vaak vervangen moeten worden. Bovendien blijven kwaadwillenden beschikken over eventuele buitgemaakte data en kan er opnieuw een losgeld geëist worden om publicatie daarvan te voorkomen.

Vraag 6

Bent u zich ervan bewust dat een algemeen verbod op het betalen van losgeld zelfs kan leiden tot het faillissement van een getroffen bedrijf? Zo ja, bent u het ermee eens dat dit een zeer onwenselijk scenario is voor getroffen bedrijven en dat een verbod op het betalen van losgeld het probleem van ransomware aanvallen op bedrijven niet oplost? Zo nee, waarom niet?

Ja. Een ransomware-aanval kan grote impact hebben op slachtoffers, maar ook op diens klanten en gebruikers. In uiterste gevallen kan dit leiden tot een faillissement. De nadelige gevolgen van een algemeen verbod op het betalen van losgeld kunnen daarom zeer groot zijn. Op dit moment is er geen voornemen om losgeldbetalingen wettelijk te verbieden. Zoals gemeld in het antwoord op vraag 2 wordt de mogelijkheid van een verbod op het vergoeden van losgeldbetalingen door verzekeraars wel onderzocht.

Vraag 7

Bent u het ermee eens dat de oplossing moet worden gezocht in ransomware aanvallen in eerste instantie voorkomen door te focussen op preventieve maatregelen en de digitale basishygiëne van bedrijven vergroten? Zo ja, welke mogelijkheden ziet u hiertoe? Zo nee, waarom niet?

De meest wenselijke wijze van het beperken van losgeldbetalingen ligt in het voorkomen dat personen en organisaties slachtoffer worden van ransomware. Preventie vormt een belangrijk onderdeel bij het tegengaan van cybercrime, waaronder ook ransomware. Het beeld is dat bij veel succesvolle ransomware-aanvallen de basismaatregelen onvoldoende getroffen zijn. Om de cyberweerbaarheid te vergroten biedt het Digital Trust Center (DTC) van het Ministerie van EZK verschillende kennisproducten aan met adviezen voor ondernemers om een besmetting met ransomware te voorkomen en adequaat te reageren als het toch gebeurt. Daarnaast biedt het DTC mogelijkheden om de cyberweerbaarheid van een bedrijf te testen middels een basisscan. Ook het NCSC biedt voor diens achterban diensten en producten aan om de cyberweerbaarheid te verhogen. Veel informatie en adviezen zijn voor het brede publiek beschikbaar op de website van het NCSC. Verder wordt in het kader van het convenant voor preventie van cybercrime met private partijen samengewerkt aan de verbreding van het gebruik van twee-factor authenticatie.4 De politie geeft aan dat dit al aanzienlijk kan helpen bij het tegengaan van ransomware. Het verhogen van de cyberweerbaarheid van burgers, bedrijven en organisaties vraagt blijvende inspanning.

Vraag 1

Kunt u een nadere duiding geven van de waarschuwing dat «De aanwezigheid van Russische onderzeeërs in de Noordzee is reden tot zorg. Soms vertonen zij verdacht gedrag, wat erop kan duiden dat mogelijk datakabels worden afgetapt met vitale informatie over onze economie en veiligheid»?1

De opbouw van het Russisch militair vermogen oefent druk uit op het NAVO-bondgenootschap. Een specifieke dreiging gaat uit tegen onderzeese infrastructuur (bijvoorbeeld onderzeekabels). Russische entiteiten brengen deze infrastructuur in kaart en ondernemen activiteiten die mogelijk duiden op spionage en op voorbereidingshandelingen voor verstoring en sabotage.2

Vraag 2

Kunt u aangeven hoeveel datakabels en data er Nederland in- en uitstromen via de zee in vergelijking met andere relevante landen, en daarbij tenminste ingaan op Frankrijk, Groot-Brittannië, België, Denemarken, Noorwegen en Zweden? Kunt u hierbij ook aangeven in hoeverre het gaat om data van Nederlandse instellingen, dan wel data van buitenlandse entiteiten die via Nederland wordt doorgeleid?

Landen worden onderling met elkaar verbonden door glasvezelverbindingen over land en door de zee. Verbindingen door de zee zijn daarbij essentieel om continenten met elkaar te verbinden en om lange afstanden af te leggen. Er landen in Nederland op dit moment elf kabels aan waarvan zeven kabels Nederland met de oostkust van Groot-Brittannië verbinden, één kabel met het zuiden van Groot-Brittannië, twee kabels met Denemarken en één kabel met België. Groot-Brittannië is vervolgens met meerdere zeekabels verbonden met Noord-Amerika, Frankrijk, Spanje, België Ierland, IJsland, Denemarken en Noorwegen. Groot-Brittannië heeft een groot aantal kabels omdat het immers voor een groot deel afhankelijk is van connectiviteit via zeekabels. België is over zee enkel verbonden met Nederland en Groot-Brittannië. Zoals eerder vermeld is Denemarken verbonden met Nederland, verder heeft zij zeekabelverbindingen naar Noorwegen, Zweden, Duitsland, IJsland en Groot-Brittannië. Noorwegen heeft verder nog een zeekabelverbinding met Ierland. Zweden heeft gezien haar ligging alleen verbindingen via de Oostzee waardoor zij een zeekabelverbinding heeft met Estland, Letland, Litouwen, Polen en Finland. Een actueel overzicht van alle zeekabels is online te raadplegen3.
Een enkele kabel kan tientallen terabits/s zo niet honderden terabits/s verzenden. Het is niet te zeggen hoeveel data daarvan data betreft van Nederlandse instellingen of bedrijven dan wel buitenlandse entiteiten. Wel kan gesteld worden dat verkeer over (Trans-Atlantische)zeekabels internationaal verkeer is en dat veel data dat al dan niet via Nederland gestuurd wordt, ook onderweg is naar andere landen.

Vraag 3

Deelt u de mening dat het zorgen voor de integriteit van deze data een vitaal nationaal belang is, ook op het moment dat deze data zich in een kabel bevinden die buiten de Nederlandse territoriale wateren ligt?

Zoals vermeld in het antwoord op vraag 1 vormen statelijke dreigingen een risico voor de veiligheid van zeekabels4. Zeekabels die data transporteren vormen een belangrijk onderdeel van de mondiale digitale ruimte. Zoals aangegeven in het Cybersecuritybeeld Nederland 2021 zijn al onze digitale processen, waaronder vitale processen, sterk verweven en afhankelijk van deze mondiale digitale ruimte. Wanneer statelijke actoren op grote schaal onderzeese kabels aftappen voor inlichtingenvergaring of – ten tijde van conflicten – die kabels saboteren schendt dat de integriteit en exclusiviteit van data met mogelijk grote gevolgen voor het functioneren van digitale processen waaronder vitale processen5. Wanneer vitale processen worden aangetast kan dat gevolgen hebben voor de Nederlandse nationale veiligheid. Om die reden vindt het Kabinet, zoals aangegeven in de brief Veiligheid van zeekabels van 2 juli 2021, het belangrijk dat zeekabels veilig zijn en volgt de ontwikkelingen rond de veiligheid van zeekabels, zowel binnen als buiten de territoriale wateren, nauwlettend. In dat kader staat de veiligheid van zeekabels ook internationaal op de agenda bij de NAVO en de EU6.

Vraag 4

Welke risico’s zijn er voor de positie van Nederland als Europese data hub indien Nederland de integriteit van deze data niet kan beschermen?

De bescherming van data is geen uitdaging die zich beperkt tot Nederland en ook zeker niet tot zeekabels. Datastromen gaan via kabels over land door internet exchanges, datacenters en zeekabels en kunnen hiermee ook andere landen en continenten doorkruisen. Op het gebied van regulering van data gaat er de komende tijd met de uitwerking van de Digital Governance Act (DGA) en de Data Act (DA) in Europa veel veranderen juist ook om op het gebied van integriteit meer waarborgen te hebben. Deze regulering is namelijk gericht op het versterken van de governance van de interne markt voor data, op het beter delen en beschikbaar maken van data, en op het creëren van waarborgen voor beschermde data in de internationale context.

Vraag 5

Betekent de inschatting dat «mogelijk datakabels worden afgetapt» dat er geen goed zicht is op de vraag of dit daadwerkelijk gebeurt?

Om operationele redenen kunnen we hierop geen nadere toelichting geven.

Vraag 6

Maken verdachte scheepsbewegingen in de regel onderdeel uit van diepzeewater onderzoeksinstituut GUGI of gebeurt het ook buiten dat verband?

Verdachte scheepsbewegingen gebeuren ook buiten dit verband.

Vraag 7

Welke maatregelen vinden er op dit moment plaats om datakabels te beschermen?

Zoals de Minister van Defensie eerder aan uw Kamer tijdens het Commissiedebat over de NAVO-top op 7 juni jl. heeft aangegeven, houdt ook de Noord-Atlantische Verdragsorganisatie (NAVO) de ontwikkelingen rond de veiligheid van zeekabels in de gaten. Ook in het onderwaterdomein geldt dat het versterken van de bondgenootschappelijke afschrikking en verdediging van belang is. Daarnaast is er onlangs in VN-verband door de United Nations Group of Governmental Experts (UNGGE) bij consensus de aanbeveling vastgesteld dat staten geen actie mogen ondernemen die opzettelijk kritieke infrastructuur beschadigt of anderszins het gebruik van kritieke infrastructuur schaadt, zoals infrastructuur tussen verschillende staten die essentieel is voor de algemene beschikbaarheid of integriteit van het internet.
Zeekabels die zijn aan te merken als onderdeel van openbare elektronische communicatienetwerken en -diensten moeten voldoen aan de gestelde zorgplichten in de Telecommunicatiewet (Tw).7
Gezien het grensoverschrijdende karakter van de zeekabels en de data die erover getransporteerd wordt, is Europese en internationale samenwerking essentieel.

Vraag 8

Zijn er afspraken gemaakt met de eigenaren van de kabels om elke storing te melden?

Aanbieders van openbare elektronische communicatienetwerken en -diensten op grond van artikel 11a.2, eerste lid Tw een meldplicht van incidenten. Dat betekent dat zij incidenten waarbij er sprake is van een inbreuk op de veiligheid of een verlies van integriteit, waardoor de continuïteit van openbare elektronische communicatienetwerken en openbare elektronische communicatiediensten in belangrijke mate worden onderbroken, moeten melden bij toezichthouder Agentschap Telecom. Andere Europese lidstaten kennen een soortgelijke meldplicht.

Vraag 9

Wordt elke melding van een storing onderzocht en geattribueerd?

Agentschap Telecom beoordeelt meldingen die binnen komen op basis van de hiervoor genoemde Tw. Bij voldoende aanleiding kan een melding leiden tot de start van een onderzoek. In Nederland zijn geen incidenten met zeekabels gemeld.

Vraag 10

Welke instanties hebben mogelijk een rol bij het onderzoeken van incidenten? Spelen ook civiele elementen zoals de kustwacht, Nationaal Cyber Security Centrum (NCSC) of andere diensten een rol?

Vraag 11

Zijn bedrijven die eigenaar of beheerder zijn van de datakabels verplicht het te melden als zij een onregelmatigheid detecteren die kan wijzen op onderzees aftappen door een buitenlandse mogendheid? Kunt u hiernaast ook aangeven in hoeverre dergelijke meldingen al dan niet plaatsvinden?

Zoals eerder genoemd zijn hebben aanbieders van openbare elektronische communicatienetwerken en -diensten op grond van artikel 11a.2, eerste lid Tw een meldplicht van incidenten. Dat betekent dat zij incidenten waarbij er sprake is van een inbreuk op de veiligheid of een verlies van integriteit waardoor de continuïteit van openbare elektronische communicatienetwerken en openbare elektronische communicatiediensten in belangrijke mate worden onderbroken moeten melden bij toezichthouder Agentschap Telecom. In Nederland zijn geen incidenten gemeld bij het Agentschap Telecom op dit vlak.
Ook dienen aanbieders op grond van artikel 11.3 Tw technische en organisatorische maatregelen te treffen ten behoeve van de veiligheid en beveiliging van de door hen aangeboden netwerken en diensten in het belang van de bescherming van de persoonsgegevens en de bescherming van de persoonlijke levenssfeer van abonnees en gebruikers. Indien een inbreuk op die beveiliging zich voordoet heeft de aanbieder van een openbare elektronische communicatiedienst op grond van artikel 11.3a Tw de verplichting die inbreuk, onverwijld nadat hij die inbreuk heeft geconstateerd, te melden bij de Autoriteit Persoonsgegevens. Bij de Autoriteit Persoonsgegevens zijn geen meldingen bekend op dit vlak.

Vraag 12

Zijn bedrijven die eigenaar of beheerder zijn van de datakabels verplicht om detectiesystemen te hebben die het kunnen signaleren als een derde partij onder zee aan hun kabel zit?

Een aanbieder van openbare elektronische communicatienetwerken en -diensten moeten op basis van artikel 11a.1 van de Tw passende technische en organisatorische maatregelen nemen voor het beheersen van de risico’s voor de veiligheid en integriteit van hun netwerken en diensten. Detectie kan daar een onderdeel van zijn, net zoals andere maatregelen zoals sterke encryptie.

Vraag 13

Als de verplichtingen uit bovenstaande vragen niet bestaan, kunt u dan aangeven of er landen binnen de NAVO of de EU zijn die een dergelijke verplichting wel hebben?

Zie antwoord vraag 12.

Vraag 14

Welke capaciteiten heeft de Nederlandse marine om Nederlandse datakabels te monitoren en te beschermen, en in hoeverre worden deze capaciteiten daarvoor ingezet?

De Koninklijke Marine heeft op dit moment geen capaciteiten om Nederlands datakabels te monitoren en te beschermen. De Koninklijke Marine beschikt wel over capaciteiten (als fregatten, onderzeeboten en NH90 helikopters) voor indirecte datakabel bescherming en kan daarmee oppervlakte eenheden en onderzeeboten detecteren, volgen en eventueel neutraliseren.

Vraag 15

Welke meerwaarde bieden onderzeeboten bij het beschermen van datakabels?

Datakabels, of in bredere zin onderzeese infrastructuur, kunnen worden bedreigd door onderzeeboten die speciaal zijn toegerust voor dit doel. Op deze manier kan een potentiele tegenstander die over zulke onderzeeboten beschikt, onopgemerkt en dus ongehinderd zijn doel bereiken. Deze heimelijke wijze van het bedrijven van offensieve seabed warfare vormt een actuele en reële dreiging. Een effectief middel voor het bestrijden van onderzeeboten, zijn eigen onderzeeboten. Dit is een kerntaak van de huidige en toekomstige onderzeeboten van de Koninklijke Marine. De meerwaarde van onze eigen onderzeeboten is onder andere het kunnen detecteren, monitoren en eventueel neutraliseren van onderzeeboten gericht op seabed warfare. De wetenschap alleen al van mogelijke inzet van onderzeeboten dwingt de opponent zijn eigen eenheden te beschermen, waardoor hij zijn heimelijke capaciteiten minder makkelijk kan inzetten.

Vraag 16

Welke meerwaarde biedt een gespecialiseerd monitoringsschip zoals de Britse marine gaat kopen als aangekondigd in de Britse defensievisie «Defence in a Competitive Age»?

Over de concrete meerwaarde van het genoemde monitoringsschip kan ik u op dit moment niets toelichten omdat ik geen zicht heb op de volledige capaciteit hiervan.

Vraag 17

In hoeverre zijn Nederlandse datakabels straks minder beveiligd dan de Britse als Nederland niet over een dergelijk schip beschikt?

Hierop kan ik u geen concreet antwoord geven omdat ik op dit moment geen volledig zicht heb op de capaciteit van de Britten op dit vlak. Wel kan ik aangeven dat de beveiliging van de fysieke zeekabels en de data die hierover getransporteerd wordt altijd een internationale aangelegenheid zal zijn. We zijn hierover in gesprek binnen het bondgenootschap.

Vraag 18

Welk risico’s voor sabotage van de kabels zijn er? Kunt u hierbij ook ingaan op de mogelijkheid dat verdachte Russische activiteiten niet alleen dienen voor het aftappen van gegevens, maar ook dienen als verkenning voor mogelijke latere sabotage, of dienen om apparatuur te plaatsen die eventueel in een later stadium de kabels kan saboteren?

Er is een dreiging tegen onderzeese kabels en andere zeebodem-gebonden infrastructuur. Over de precieze aard van deze potentiele dreiging kunnen we om operationele redenen niet in gaan.

Vraag 19

Welke risico’s en kwetsbaarheden brengen bovengenoemde mogelijke Russische voorbereidingshandelingen met zich mee voor de geopolitieke en militaire positie van Nederland en de NAVO in het geval van een gewapend conflict of een escalatie van spanningen door middel van hybride middelen?

In de huidige gemondialiseerde samenleving, waarin het economische en maatschappelijke belang van met name internetverkeer steeds verder toeneemt, is het essentieel dat de veiligheid van zeekabels gegarandeerd blijft. De NAVO houdt de ontwikkelingen rond de veiligheid van zeekabels in de gaten. Zeekabels spelen thans ook een rol bij de civiele en militaire communicatie tussen NAVO-bondgenoten. De bondgenootschappelijke afschrikking en verdediging is daarom ook in het onderwaterdomein van groot belang. Sinds 2014 heeft de NAVO de bondgenootschappelijke afschrikking en verdediging versterkt. De NAVO heeft in dit kader de beschikking over zowel militaire als niet-militaire capaciteiten en middelen om uitdagingen en dreigingen te adresseren in de vijf operationele domeinen van het bondgenootschap, die naast zee ook land, lucht, de ruimte en cyber betreffen.

Vraag 20

Kunt u bovenstaande vragen afzonderlijk beantwoorden?

Ja.

Vraag 1

Bent u bekend met het artikel «Duizend inhuurkrachten WhatsApp lezen mee met chats»?1 Vraagt 2 Klopt het dat een gebruiker van de berichtendienst WhatsApp een ontvangen bericht van een andere gebruiker kan rapporteren en dat WhatsApp dan inzicht krijgt in de laatste vijf verstuurde berichten? Zo ja, hoe beoordeelt u het feit dat WhatsApp naar zijn gebruikers beveiligde end-to-endencrypte communicatie belooft en tegelijkertijd via een omweg het alsnog mogelijk heeft gemaakt om berichten van zijn gebruikers in te zien?

Ja.

Vraag 2

Klopt het dat het ontvangen van de berichten door WhatsApp erop kan duiden dat de sleutels, die uiteindelijk toegang geven tot de volledige gespreksgeschiedenis, doorgestuurd worden? Zo nee, hoe controleert WhatsApp de echtheid van de doorgestuurde, gerapporteerde berichten?

De website ProPublica heeft het artikel waarnaar het in vraag 1 aangehaalde bericht verwijst, op 8 september jl. gerectificeerd.2 Aan het stuk is toegevoegd dat de eerdere versie voor onbedoelde verwarring heeft gezorgd en dat de end-to-end-encryptie niet wordt doorbroken. Wanneer een WhatsApp-gebruiker een andere WhatsApp-gebruiker rapporteert, dan stuurt de rapporterende gebruiker aan WhatsApp – via de applicatie, door middel van de rapporteerfunctie – de meest recente ontvangen berichten van de andere gebruiker. Deze berichten worden dan ook door de gebruiker gedeeld met WhatsApp, zodat er geen sprake van is dat de end-to-end encryptie tussen de gebruikers of groep wordt doorbroken. WhatsApp kan niet op eigen instigatie verdere berichten van gebruikers of groepen inzien, de beveiligde communicatie tussen deze gebruikers en groepen blijft dan ook overeind.3 Op welke wijze WhatsApp de echtheid van de gerapporteerde berichten controleert is mij niet bekend.

Vraag 3

Deelt u de mening dat bedrijven die diensten leveren, zoals WhatsApp, open en eerlijk dienen te communiceren of en, zo ja, hoe er toegang tot welke data gegeven kan worden met welke reden, zodat er transparantie is voor de miljoenen Nederlanders die gebruik maken van deze communicatiediensten? Zo nee, waarom niet?

Zie antwoord vraag 2.

Vraag 4

Hoe verhoudt de praktijk die WhatsApp lijkt toe te passen zich tot artikel 12 van de AVG, waarin is vastgelegd dat verwerkingsverantwoordelijken moeten kunnen aantonen dat zij op een transparante wijze persoonsgegevens verwerken?

Deze mening deel ik.

Vraag 1

Bent u bekend met het bericht «Miljoenenstrop dreigt voor vier grote zenders bij verlenging FM-vergunning»?1

Ja.

Vraag 2

Hoe rijmt u de aangenomen motie-Grinwis c.s. (Kamerstuk 24 095, nr. 537) om in goede samenspraak met VCR en NLCR te komen tot een vergoeding met de genoemde starre opstelling van EZK-ambtenaren en de opmerking dat de gesprekken muurvast zitten?

Conform de procedure die ook gevolgd is bij de eerdere verlengingen van deze vergunningen zijn betrokken partijen in de gelegenheid gesteld om te reageren op het conceptrapport van SEO door middel van een zgn. preconsultatie. Gedurende de afgelopen weken hebben diverse gesprekken plaatsgevonden tussen vertegenwoordigers van de Verenging voor Commerciële Radio (VCR) en vertegenwoordigers van het Ministerie van EZK over het conceptrapport.
Op 16 juli 2021 heeft de VCR ook nog een schriftelijke reactie ingediend.
De VCR heeft daarbij aangegeven het ministerie erkentelijk te zijn dat zij kennis heeft mogen nemen van het conceptrapport van SEO en in de gelegenheid is gesteld om (via de preconsultatie) te mogen reageren op het rapport alvorens het wordt vastgesteld.
De binnengekomen reactie is zorgvuldig gewogen met inachtneming van het geldende wettelijk kader waar ik aan gehouden ben. Naast een deugdelijke juridische motivering van de verschuldigde verlengingsprijzen ben ik ook gehouden aan een correcte toepassing van het Europese staatssteunkader. De economische waarde van de vergunningen dient (geheel) in de verlengingsprijs tot uitdrukking te worden gebracht. Zowel met het oog op doelmatig frequentiegebruik als om te voorkomen dat de verlenging kan worden aangemerkt als een verboden vorm van staatssteun aan de huidige vergunninghouders. Daarnaast is het belangrijk om een verstoring van het gelijke speelveld (het level playing field) te voorkomen. Een marktconforme verlengingsprijs dient daartoe.
De ingebrachte reactie van de VCR van 16 juli jl. heeft SEO geen aanleiding gegeven om grote aanpassingen in het conceptrapport door te voeren. Het rapport met de daarin opgenomen berekeningen is daarmee dan ook definitief vastgesteld.

Vraag 3

Bent u het ermee eens dat hoe hoger de prijs van de noodverlenging, hoe lager de investeringen zullen zijn in digitale etherradio en daarmee het ingezette beleid met als uitgangspunt digitalisering van de radiosector wordt gestremd en er dus voor de langere termijn minder stabiliteit en rust is op de commerciële radiomarkt? (Kamerstuk 24 095, nr. 545.) Zo niet, waarom?

De radiosector en de Kamer hebben gevraagd om de commerciële radiovergunningen te verlengen voor een periode van drie jaar. Doel van deze verlenging is – conform de motie-Van den Berg2 – om commerciële radiopartijen in staat te stellen additionele financiering aan te trekken en zo de gevolgen van de coronacrisis te mitigeren en de continuïteit van de sector te waarborgen. Partijen die wensen te verlengen dienen hiervoor wel een marktconforme vergoeding te betalen die is vastgesteld conform de daarvoor geldende wet- en regelgeving, met inachtneming van de meest recente economische vooruitzichten. Hiervoor heeft SEO de berekeningen gemaakt in lijn met de eerder haar gehanteerde methodiek (zie verder ook het antwoord op vraag 5).
Ik ben bereid om de commerciële vergunningen te verlengen voor de gevraagde periode van drie jaar. Dit zorgt voor de beoogde rust en stabiliteit in de sector, in ieder geval tot 2025. Daarnaast blijkt uit het rapport van SEO en uit projecties van het CPB dat de vooruitzichten voor de commerciële radiosector gunstig zijn (zie ook het antwoord op vraag 5). Ik zie daarom niet in waarom bij een verlenging van 3 jaar tegen een marktconforme prijs de investeringen in digitalisering afgeremd zouden worden.

Vraag 4

Bent u het ermee eens dat beleid dat leidt tot lagere investeringen in de digitalisering van radio en daarmee vertraging van die digitalisering niet strookt met de aangenomen motie-Bruins c.s. (Kamerstuk 24 095, nr. 523) en niet strookt met de afspraken die gemaakt zijn met de commerciële radiosector om jaarlijks te investeren in digitalisering? Zo niet, waarom?

In mijn brief van 8 juli 2021 ben ik uitgebreid ingegaan op de digitalisering van de Nederlandse etherradio (via DAB+) en op alle beleidsacties en initiatieven die hiertoe in de afgelopen jaren alsmede in de toekomst worden genomen.3 Digitalisering is overigens niet alleen een zaak van de houders van de vier landelijke commerciële radiovergunningen die nu een marktconforme vergoeding moeten betalen voor de driejarige verlenging van hun (ongeclausuleerde) vergunning. De digitalisering van de etherradio is een (internationaal) samenspel van een diverse groep van landelijke, regionale en lokale radiostations (zowel publiek als commercieel), netwerk operators, de retailsector en de automotive industrie die hier ieder op zijn eigen manier een bijdrage aan levert.
Voor wat betreft de toezegging van landelijke commerciële radiosector om additioneel te investeren in digitalisering (bijvoorbeeld in marketing), ga ik er vanuit dat zij hiermee ook na 2022 onverminderd doorgaan aangezien dit ook in hun eigen belang is.

Vraag 5

Vindt u een vergoeding voor de noodverlenging die het 7- tot 13-voudige kost van de huidige vergunningsprijs proportioneel en daarmee maatschappelijk verantwoord? Zo nee, hoe rijmt u dan de aangenomen motie-Grinwis c.s. (Kamerstuk 24 095, nr. 537) met de genoemde verveelvoudiging?

De bepaling van de hoogte van de verlengingsprijzen voor de landelijke commerciële radiovergunningen voor een periode van drie jaar dient binnen de juridische context van de Telecommunicatiewet plaats te vinden, rekening houdend met alle belangen in de desbetreffende markt.
Ik heb daarom, net als bij eerdere verlengingen, SEO Economisch Onderzoek (SEO) gevraagd met een onafhankelijk advies te komen. SEO heeft in lijn met de al eerder door haar gehanteerde methodiek – de verlengingsprijzen berekend. SEO heeft bij de waardebepalingen van het radiospectrum in de afgelopen jaren invulling gegeven aan het juridisch kader van de Telecommunicatiewet door de economische waarde te berekenen op basis van de zgn. opportuniteitskosten. Dit is de waarde die een efficiënte nieuwe toetreder toekent aan de vergunning, rekening houdend met de looptijd ervan. Deze waarde is tevens gelijk aan de uitkomst van een hypothetische veiling. De waarderingsmethode voor een verlenging van drie jaar moet zo dicht mogelijk aansluiten bij de eerder door SEO gehanteerde systematiek.
Het gaat bij deze tijdelijke verlenging om een zeer korte periode, waardoor het niet mogelijk is om daarvoor een zelfstandige verlengingsprijs te berekenen. Daarom heeft SEO bij het vaststellen van de verlengingsprijs de drie jaar van de komende verlenging opgeteld bij de lopende verlengingsperiode van vijf jaar (2017–2022).
Het is juist dat de bedragen dit keer hoger uitvallen dan bij de vorige verlenging in 2017. Als de nieuwe bedragen voor drie jaar verlengen echter worden opgeteld bij de bedragen van de vorige verlenging (van vijf jaar) dan zijn de bedragen voor een totale periode van acht jaar nog steeds aanmerkelijk lager dan de bedragen die zijn betaald voor de zesjarige verlengingsperiode in het tijdvak 2011–2017. Dit plaatst de bedragen in een breder perspectief en er kan dus niet in algemene zin gesteld worden dat partijen nu velen malen meer moeten betalen dan voorheen.
Om de verlengingsprijzen te berekenen voor toekomstige jaren is het van belang om inschattingen c.q. prognoses te maken. SEO heeft daarom voor de berekeningen van de verlengingsprijzen gebruik gemaakt van de projecties van het Centraal Plan Bureau (CPB) voor de groei van het bruto binnenlands product (en het bijbehorende prijspeil) in de periode tot en met 2025. SEO gaat daarbij uit van de meest conservatieve inschattingen hoewel de economie aan het herstellen is.
De prognoses zijn echter dusdanig gunstig dat het verdienpotentieel van de ongeclausuleerde landelijke vergunningen voor de komende drie jaar circa het viervoudige is van hetgeen deze partijen moeten afdragen.
Het verdienpotentieel van een vergunning is van cruciaal belang bij het vaststellen van een marktconforme vergoeding op grond van artikel 3.15 van de Telecommunicatiewet. Naast een deugdelijke motivering van de verschuldigde bedragen ben ik ook gehouden aan een correcte toepassing van het staatsteunkader. De reële economische waarde van de vergunningen op basis van recente economische vooruitzichten dient daarom (geheel) in het bedrag te worden uitgedrukt, zowel met het oog op doelmatig frequentiegebruik als om te voorkomen dat de verlenging kan worden aangemerkt als een verboden vorm van staatssteun aan de huidige vergunninghouders.
Onder een proportionele en daarmee maatschappelijk verantwoorde vergoeding versta ik dan ook een marktconforme vergoeding die – conform de Telecommunicatiewet – aansluit bij de reële waarde die deze vergunningen in de toekomst vertegenwoordigen. In de berekeningen van SEO zijn overigens ook de gevolgen van de coronacrisis verdisconteerd met als gevolg dat de bedragen hierdoor lager uitvallen. De bovengenoemde bedragen voor een verlenging met een termijn van drie jaar houden derhalve eveneens rekening met de economische schade aan en krimp van de markt waar de motie-Grinwis c.s. naar verwijst en waar ik uitvoering aan geef.

Vraag 6

Bent u het ermee eens dat een vergoeding die tientallen miljoenen euro’s meer kost haaks staat op de oorspronkelijke reden van de noodverlenging, namelijk het opvangen van geleden verliezen als gevolg van de Coronacrisis en het bevorderen van economisch herstel?

De effecten van de coronacrisis, die ons allemaal raakt, heeft vorig jaar ook grote gevolgen gehad voor de commerciële radiopartijen door het teruglopen van de advertentie-inkomsten. Ik ben daarom conform de wens van uw Kamer overgegaan tot een tijdelijke verlenging voor een termijn van drie jaar. Doel van deze verlenging is – conform de motie-Van den Berg4 – om commerciële radiopartijen in staat te stellen additionele financiering aan te trekken om zo de gevolgen van de coronacrisis te mitigeren en de continuïteit van de sector te waarborgen. Het verlengen van de commerciële radiovergunningen heeft uitdrukkelijk niet tot doel om geleden verliezen c.q. geleden schade te vergoeden. De Telecommunicatiewet geeft hiertoe ook geen ruimte. Indien partijen een verlenging wensen, dienen zij wel bereid te zijn een marktconforme vergoeding te betalen die is vastgesteld conform de daarvoor geldende wet- en regelgeving, met inachtneming van de meest recente economische vooruitzichten. Voor de hoogte van deze verlengingsprijzen is het toekomstige verdienpotentieel daarbij het uitgangspunt.

Vraag 7

Hoe beoordeelt u de rekenmethode die door SEO is gebruikt om te komen tot een vergoeding voor de noodverlenging, waarbij gerekend wordt alsof de vergunning bij aanvang voor 8 jaar zou zijn afgegeven in plaats van dat naar de huidige context wordt gekeken?

Zoals eerder door mij aangegeven dient bij een verlenging – zowel met het oog op doelmatig frequentiegebruik als om te voorkomen dat de verlenging kan worden aangemerkt als een verboden vorm van staatssteun aan de huidige vergunninghouders een marktconforme verlengingsprijs berekend te worden. De economische waarde van de vergunningen dient (geheel) in die prijs tot uitdrukking gebracht te worden. Onderzoeksbureau SEO is door mij gevraagd om de verlengingsprijzen te berekenen. De waarderingsmethode voor de verlenging moet daarbij zo dicht mogelijk aansluiten bij de eerder door SEO gehanteerde systematiek. Temeer daar deze systematiek is getoetst en goedgekeurd door het College van Beroep voor het bedrijfsleven (CBb).
SEO berekent de verlengingsprijzen op basis van de zgn. opportuniteitskosten. Dit is de waarde die een efficiënte nieuwe toetreder toekent aan de vergunning, rekening houdend met de looptijd ervan. Deze waarde is tevens gelijk aan de uitkomst van een hypothetische veiling. Omdat het hier gaat om een tijdelijke verlenging voor een zeer korte periode, is het niet mogelijk is om daarvoor een zelfstandige verlengingsprijs te berekenen. Daarom heeft SEO bij het vaststellen van de verlengingsprijs de drie jaar van de komende verlenging opgeteld bij de lopende verlengingsperiode van vijf jaar. Ik vind dit, gelet op de omstandigheden, een goede uitkomst en de conclusies uit het SEO-rapport neem ik daarom over.

Vraag 8

Hoe gaat u ervoor zorgen dat de bovengenoemde moties Bruins c.s. en Grinwis c.s. goed en compleet uitgevoerd worden en conform deze moties en de roep en welwillendheid van de sector u komt tot een prijs voor de noodverlenging van de FM-vergunningen die proportioneel en maatschappelijk verantwoord is, recht doet aan de oorspronkelijke reden van de noodverlenging en de beleidsdoelen van het ministerie rondom DAB+?

Onder een proportionele en daarmee maatschappelijk verantwoorde vergoeding versta ik een marktconforme vergoeding die conform de Telecommunicatiewet aansluit bij de reële waarde die deze vergunningen in de toekomst vertegenwoordigen. In de berekeningen van SEO zijn overigens ook de gevolgen van de coronacrisis verdisconteerd met als resultaat dat de bedragen hierdoor lager uitvallen. De bedragen voor een verlenging met een termijn van drie jaar houden derhalve eveneens rekening met de economische schade aan en krimp van de markt waar de motie-Grinwis c.s. naar verwijst en waar ik dus uitvoering aan geef.
Over de motie-Bruins heb ik u uitgebreid geïnformeerd in mijn brief van 8 juli 20215 (zie ook het antwoord op vraag 4).

Vraag 9

Kunt u deze vragen één voor één beantwoorden?

Zie bovenstaand.

Vraag 1

Bent u bekend met het bericht «Grote hack bij ROC Mondriaan: computers plat en bestanden ontoegankelijk»?1

Ja.

Vraag 2

Is er sprake van ransomware (gijzelsoftware)? Indien er sprake is van ransomware, zijn er al losgeldeisen van de criminele hackers bekend bij ROC Mondriaan en/of de Minister?2

Er is inderdaad sprake van ransomware. Hierbij is er losgeld gevraagd aan ROC Mondriaan.

Vraag 3

Indien er al losgeldeisen bekend zijn, heeft ROC Mondriaan het losgeld aan de hackers al betaald? Zo nee, heeft ROC Mondriaan besloten het losgeld te betalen?

ROC Mondriaan heeft geen losgeld betaald aan de hackers.

Vraag 4

Wat is het beleid van de Minister omtrent de betaling van losgeld aan criminelen om schoolsystemen weer toegankelijk te maken? Deelt u de mening dat er geen losgeld betaald dient te worden, omdat misdaad niet mag lonen?

Het uitgangspunt van het kabinet is dat het onwenselijk is om losgeld te betalen, omdat de regering van mening is dat er geen geld naar criminelen toe moet vloeien.

Vraag 5

Is er ook sprake van een datalek, nu de systemen zijn gehackt? Zo ja, is er data buitgemaakt van de 20.000 studenten, 5.000 cursisten en/of 2.100 medewerkers? Zo ja, zijn alle studenten, cursisten en/of medewerkers hier inmiddels van op de hoogte gesteld?

De hackers hebben op 14 september 2021 voor het eerst gegevens op het internet gepubliceerd. Op dit moment wordt door een gespecialiseerd IT-bedrijf onderzocht om welke informatie het precies gaat. Het is al wel duidelijk dat het om informatie gaat zoals klassenlijsten, mails en financiële gegevens van ROC Mondriaan. ROC Mondriaan zal de studenten, cursisten en medewerkers die het betreft zo snel mogelijk hierover informeren.

Vraag 6

Is er contact geweest tussen het sectorale computer emergency response team SURFcert en ROC Mondriaan? Zo ja, heeft het ROC Mondriaan dit geïnitieerd om het beveiligingsincident te melden? Wat is er uit dit contact gekomen qua ondersteuning vanuit SURFcert?

Zodra ROC Mondriaan de hack constateerde, heeft de instelling SURFcert ingelicht en een gespecialiseerd forensisch IT-bedrijf ingeschakeld. SURF ondersteunt ROC Mondriaan in het onderzoek naar de oorzaak en omvang van de hack.

Vraag 7

Is het datalek al gemeld bij de Autoriteit Persoonsgegevens? Zo ja, is er verder contact geweest tussen ROC Mondriaan en Autoriteit Persoonsgegevens? Zo nee, waarom niet?

ROC Mondriaan heeft meteen na het ontdekken van de hack de Autoriteit Persoonsgegevens ingelicht. Vrijdag 4 september en dinsdag 14 september is er wederom contact geweest met de Autoriteit Persoonsgegevens om hen bij te praten met de laatste stand van zaken. Ook is de afspraak gemaakt dat ROC Mondriaan de Autoriteit Persoonsgegevens informeert zodra er meer relevante informatie beschikbaar is.

Vraag 8

Kunt u aangeven welk volwassenheidsniveau ROC Mondriaan heeft met het oog op de benchmark IBP-E op basis van de toetsingskaders Informatiebeveiliging, Privacy en Examinering, waarvan het maturity level 1 het laagst en 5 het hoogst is?3

Uitsluitend de instelling zelf ziet de eigen scores en kan deze vergelijken met het landelijk gemiddelde. De scores van de benchmark IBP-E van de individuele instellingen zijn niet openbaar en ik kan dan ook geen uitspraken doen over de scores van individuele instellingen.

Vraag 9

Welk benchmark IBP-E-resultaat had ROC Mondriaan in 2018, 2019 en 2020? Is er de afgelopen jaren sprake geweest van groei en verbetering van de resultaten van de benchmark IBP-E?

De scores van de benchmark IBP-E van de individuele instellingen zijn niet openbaar. Ik kan dan ook geen uitspraken doen over de scores van individuele instellingen. In algemene zin is het volwassenheidsniveau van de benchmark IBP-E de afgelopen jaren gegroeid: voor informatiebeveiliging was de gemiddelde score in 2018 een 2,4, in 2019 een 2,5 en in 2020 een 2,8 op een schaal van 1 tot 5.

Vraag 10

Klopt het dat het eindresultaat van de benchmark IBP-E MBO voor alle onderdelen in 2020 uitkwam op een gemiddelde volwassenheid van 2,8? Heeft u inzichtelijk wat de resultaten van de benchmark IBP-E van individuele mbo-instellingen zijn? Zo ja, bent u bereid dit met de Kamer te delen? Zo nee, waarom niet?

De benchmark IBP-E meet aan de hand van ruim 100 statements de volwassenheid van de informatiebeveiliging van de instelling op een schaal van 1 tot 5. Daarbij is niveau 3 het ambitieniveau. Een gemiddeld volwassenheidsniveau van 3 wordt beschouwd als een goede balans tussen kosten en baten van de informatiebeveiliging. Het klopt dat het volwassenheidsniveau van de benchmark IBP-E gemiddeld uitkwam op 2,8. Net onder het gestelde ambitieniveau. De benchmark IBP-E heeft een tweeledig doel. Enerzijds geeft deze een goed beeld van de gemiddelde volwassenheid van de mbo-sector op het gebied van informatiebeveiliging. Anderzijds geeft deze benchmark individuele mbo-instellingen inzicht in de mate waarin hun maatregelen rond informatiebeveiliging succesvol zijn geïmplementeerd en levert zo een roadmap voor de mbo-instelling. Voor de betrouwbaarheid – en daarmee het nut – van deze benchmark is het belangrijk dat de mbo-instellingen zonder enige terughoudendheid hun kwetsbaarheden kunnen aangeven. Daarom is ervoor gekozen om de resultaten anoniem te verwerken: uitsluitend de instelling zelf ziet de eigen scores en kan deze vergelijken met het landelijk gemiddelde. Een tweede belangrijke reden om deze resultaten niet openbaar te maken is dat het hier om gevoelige informatie gaat.
Ik ga met de mbo-sector in gesprek over de impact van de hack bij ROC Mondriaan op de door de sector te nemen maatregelen. Ik neem hierin de aanbevelingen uit het Inspectierapport over de digitale weerbaarheid in het Hoger Onderwijs mee4.

Vraag 11

Hoeveel werknemers van ROC Mondriaan zijn doorgaans betrokken bij het informatieveiligheidsproces?

Bij ROC Mondriaan zijn vijf personen betrokken bij de informatiebeveiliging. Een incident zoals de hack bij ROC Mondriaan is vaak het gevolg van menselijk handelen. Informatiebeveiliging gaat daarmee elke medewerker, docent en student aan.

Vraag 12

Worden de gegevens van de studenten, cursisten en medewerkers al op internet aangeboden? Zo ja, zijn de studenten, cursisten en medewerkers hiervan op de hoogte gesteld?

De hackers hebben op 14 september jl. buitgemaakte gegevens op het internet gepubliceerd. Op dit moment wordt door een gespecialiseerd IT-bedrijf onderzocht om welke informatie het precies gaat. Het is al wel duidelijk dat het om informatie gaat zoals klassenlijsten, mails en financiële gegevens van ROC Mondriaan. ROC Mondriaan zal de studenten, cursisten en medewerkers die het betreft zo snel mogelijk hierover informeren.

Vraag 13

Kunnen de studenten van ROC Mondriaan vanaf maandag 30 augustus 2021 wel gewoon naar school en krijgen ze fysiek les van docenten? Wat houdt les krijgen in een «aangepaste vorm» precies in?

Maandag 30 augustus jl. zijn de scholen van ROC Mondriaan open gegaan en kregen de studenten ook weer fysiek les. Dit ging wel in aangepaste vorm, omdat bestanden en de meeste applicaties niet toegankelijk waren. De vorm waarin het onderwijs wordt gegeven hangt uiteraard af van hoe afhankelijk een opleiding is van de geautomatiseerde systemen. Een ict-opleiding is uiteraard meer afhankelijk van de inzet van digitale leermiddelen dan andere mbo-opleidingen.

Vraag 14

Aangezien benodigde bestanden, applicaties en systemen volgens ROC Mondriaan vooralsnog ontoegankelijk zijn, kan er al een inschatting worden gemaakt van de verwachte onderwijsachterstand van studenten en cursisten eind 2021? Zo nee, wanneer kan zo’n inschatting wel worden gemaakt?

Op dit moment is er nog geen duidelijk beeld of en in welke mate er sprake is van door deze situatie ontstane onderwijsachterstanden. ROC Mondriaan zet alles op alles om er voor te zorgen dat het onderwijs zo goed mogelijk door gaat. Om dit te bereiken worden bijvoorbeeld, in het belang van de continuïteit van het onderwijs, examens afgenomen bij andere instellingen.

Vraag 15

Kunt u al een inschatting maken van de schade en kosten die deze hack heeft veroorzaakt?

ROC Mondriaan is nog druk bezig met de herstelwerkzaamheden als gevolg van de hack. Er is nog geen inschatting van de schade en kosten.

Vraag 16

Kunt u bovenstaande vragen afzonderlijk beantwoorden?

Ja.

Vraag 17

Kunt u bovenstaande vragen voor het commissiedebat «Digitalisering in het onderwijs» van 30 september 2021 beantwoorden?

Ja.

Vraag 1

Hoeveel mensen zijn de dupe geworden van dit datalek als het gaat om de gevolgen voor hun vakantieplannen? Welke alternatieve mogelijkheden worden de getroffen mensen proactief geboden om een test voor reizen te kunnen krijgen om toch tijdig gereed te zijn voor hun vakantie c.q. reis? Hoe is of wordt hierover gecommuniceerd met de betrokken mensen?

Testaanbieder Testcoronanu BV heeft aangegeven dat op het moment van het incident 17.638 mensen nog een testafspraak hadden staan. Ik heb Testcoronanu BV verzocht om mensen die al wel getest waren en op korte termijn reizen hun testuitslag op een veilige andere wijze (bijvoorbeeld op papier) te verstrekken. Daarnaast is Testcoronanu BV verzocht om alle personen die nog een testafspraak hadden staan persoonlijk te informeren en door te verwijzen naar andere testaanbieders via het afsprakenportaal. Reeds uitgegeven QR-codes bleven geldig.

Vraag 2

Klopt het dat in de brief te lezen is dat de testaanbieder verantwoordelijk is te onderzoeken of anderen dan de RTL-journalist zich toegang hebben verschaft tot de database? Gaat u erop toezien dat dit onderzoek degelijk wordt uitgevoerd en dat de bevindingen met u gedeeld worden?

Dit klopt. Het Ministerie van VWS maakt het voor testaanbieders mogelijk om aan te sluiten op CoronaCheck en beoordeelt deze aanvragen. In dat kader doet het ministerie onderzoek naar de juistheid van de aangeleverde bewijsstukken door Testcoronanu BV. Testcoronanu BV is zelf verantwoordelijk voor de veiligheid van hun systemen en persoonsgegevens. De testaanbieder heeft aangegeven een extern onderzoeksbureau te hebben ingeschakeld om dit incident nader te onderzoeken. Ik heb van de testaanbieder begrepen dat hierbij ook wordt nagegaan of anderen, naast de RTL-journalist, zich toegang hebben verschaft tot de betreffende database. In het kader van stelselbewaking (zie ook artikel 14 van de aansluitvoorwaarden) heb ik Testcoronanu BV gevraagd om de uitkomsten van dit onderzoek, zodra dit kan, ook met mij te delen.

Vraag 3

Deelt u de mening dat het wenselijk is te weten hoeveel mensen uiteindelijk misbruik hebben gemaakt van dit lek en negatieve testbewijzen hebben gegenereerd? Wat gaat u met deze informatie doen? In hoeverre kunnen deze onterecht verkregen negatieve testbewijzen alsnog worden ingetrokken?

Deze mening deel ik. De testaanbieder doet hier nu nader onderzoek. Zie hiervoor ook het antwoord op vraag 2.

Vraag 4

Klopt het dat in de database gegevens van 60.000 mensen te vinden waren inclusief hun volledige namen, woonadressen, e-mailadressen, telefoonnummers, Burgerservicenummers, paspoortnummers en medische gegevens? Zijn er indicaties dat deze gegevens door criminelen zijn buitgemaakt? Zo ja, wat gaat u doen om te voorkomen dat deze mensen slachtoffer worden van bijvoorbeeld phising of identiteitsfraude?

De testaanbieder heeft aangegeven dat vanaf het moment van aansluiten tot zaterdag 17 juli de gegevens van in totaal 60.541 personen in de betreffende database hebben gestaan. De database in kwestie werd, aldus de testaanbieder echter periodiek opgeschoond en daarom wordt dit aantal door de testaanbieder als bovengrens gehanteerd. Er hebben ons geen signalen bereikt dat anderen dan de RTL-journalist zich toegang hebben verschaft tot de database teneinde gegevens in te zien of te wijzigen. Zoals ook in de beantwoording op vraag 2 is aangegeven, doet de testaanbieder hier momenteel nader onderzoek naar.

Vraag 5

De Begeleidingscommissie Digitale Ondersteuning Bestrijding Covid-19 heeft in februari en april van dit jaar geadviseerd over privacybescherming en een toelatingskader voor apps met vaccinatie en/of testbewijzen, wat is er met deze adviezen gedaan?

In de stand van zaken covid-19 brief van 23 februari jl.1ben ik nader ingegaan op het advies van de Begeleidingscommissie Digitale Ondersteuning Covid-19 over het toelatingskader voor apps met vaccinatie- en/of testbewijzen.2 Dit advies zag op applicaties van derden en is nog niet aan de orde geweest omdat ik mijn aandacht vooralsnog richt op door de overheid gerealiseerde toepassingen voor zowel digitale als niet digitale test-, vaccinatie- en herstelbewijzen, in dit geval CoronaCheck. De adviezen gegeven in april jl. met betrekking tot het Europees Digitaal Covid Certificaat (DCC) zijn meegenomen in de uitwerking van het DCC. Hierover heb ik uw Kamer in de stand van zaken covid-19 brief van 28 mei jl. geïnformeerd.3

Vraag 6

Klopt het dat in de brief is te lezen dat elke testaanbieder na aansluiting periodiek en actief wordt gemonitord? Wat is het verschil tussen monitoring, actieve en periodieke monitoring en hoe dragen deze verschillende soorten monitoring bij aan de veiligheidswaarborgen?

Het Ministerie van VWS stelt aan testaanbieders die aangesloten willen worden op CoronaCheck strenge aansluitvoorwaarden. Deze voorwaarden zijn ook openbaar in te zien via rijksoverheid.nl.4 Na aansluiting is de testaanbieder zelf verantwoordelijk voor het loggen en monitoren van hun systeem. Het Ministerie van VWS monitort in het kader van stelselcontrole of aangesloten testaanbieders de aansluitvoorwaarden naleven en met pentesten of er kwetsbaarheden zijn die moeten worden opgelost. Bevindingen uit deze monitoring worden met de testaanbieders gedeeld zodat zij deze kunnen oplossen. Indien nodig kan in voorkomende gevallen tot afsluiting worden over gegaan zoals bij Testcoronanu BV het geval is geweest.

Vraag 7

In de brief is te lezen dat testaanbieders een pentestrapportage moeten overhandigen, welke eisen worden gesteld aan de pentest? Wat wordt de testaanbieder geacht te doen met de uitkomsten van de pentest en hoe ziet u hierop toe?

Testaanbieders moeten ervoor zorgdragen dat de aansluiting op CoronaCheck op een wijze is beveiligd die in overeenstemming is met geldende wet- en regelgeving, waaronder in het bijzonder de AVG en de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg. Als onderdeel van de aansluitprocedure wordt gevraagd om ter ondersteuning hiervan bewijsstukken aan te leveren die onder meer bestaan uit een DPIA en een pentestrapportage. De eisen aan de pentestrapportage staan in artikel 9 van de eisen voor informatiebeveiliging en privacybescherming.5
De pentesten moeten opgesteld zijn aan de hand van de internationale standaard Penetration Execution Standard (PTES). De aangeleverde pentestrapportage mag geen openstaande bevindingen met een CVSS-score (Common Vulnerability Scoring System) van 4,0 of hoger bevatten. Gevonden risicovolle bevindingen moeten zijn opgelost en er moet een hertest hebben plaatsgevonden. Naast de door de testaanbieder aan te leveren pentestrapportage wordt in de aansluitprocedure nu ook door het Ministerie van VWS een extra controle ter verificatie van de pentest uitgevoerd. Ook hiervoor geldt dat bevindingen opgelost moeten zijn voordat kan worden overgegaan op formele aansluiting van de testaanbieder op CoronaCheck.
Zoals ik in mijn antwoord op vraag 2 aangeef, loopt er een onderzoek vanuit het ministerie naar de juistheid van de aangeleverde bewijsstukken door Testcoronanu BV.

Vraag 8

Softwarecode is doorgaans aan verandering onderhevig, welke criteria stelt u aan het opnieuw uitvoeren van een pentest na het wijzigen van de softwarecode?

Bij substantiële wijzigingen van bijvoorbeeld de softwarecode moet dit door de aangesloten testaanbieders aan VWS gemeld worden. Er wordt vervolgens nagegaan in welke gevallen een nieuwe beoordeling, en dan ook een nieuwe pentest, voor de aansluiting op CoronaCheck noodzakelijk is.

Vraag 9

Heeft Testcoronanu gebruik gemaakt van externe mensen of partijen bij het maken van hun digitale product? Zo ja, zijn deze mensen of partijen ook betrokken bij andere digitale overheidsoplossingen en deelt u de mening dat die andere oplossingen gecontroleerd moeten worden op privacy, veiligheid en betrouwbaarheid?

De testaanbieder heeft aangegeven dat er sprake is van een of meerdere externe dienstverleners die betrokken zijn geweest bij de ontwikkeling. Ik heb geen zicht op de opdrachtenportefeuille van deze dienstverleners.

Vraag 10

Worden de bewijsstukken van alle aanbieders onderzocht, voordat tot aansluiting wordt overgegaan? Zo ja, hoe worden de bewijsstukken gecontroleerd en beoordeeld?

Testaanbieders moeten ter aansluiting op CoronaCheck voldoen aan een uitgebreide set aansluitvoorwaarden met betrekking tot technische vereisten en informatiebeveiliging. Deze zijn openbaar en te vinden via de website van de rijksoverheid. De aansluitvoorwaarden vormen een juridische overeenkomst tussen de Staat der Nederlanden (het Ministerie van VWS) en de testaanbieder bij de aansluiting op de app. Hieruit moet blijken dat voldaan wordt aan wet- en regelgeving én aan de geldende normen voor informatiebeveiliging in de zorg (waaronder NEN7510, 7512, 7513). De aansluiting vindt via een aantal stappen plaats waarbij er ook naar bewijsstukken zoals een DPIA en pentestrapportage wordt gevraagd. Deze stukken worden met behulp van een beoordelingssjabloon (zie ook bijlage)6 gecontroleerd en beoordeeld aan de hand van de aansluitvoorwaarden. Pas na volledige beoordeling hiervan en mits er geen risicovolle bevindingen meer zijn geconstateerd kan worden overgegaan op formele aansluiting van de testaanbieder op CoronaCheck.

Vraag 11

Klopt het dat Testcoronanu een (tweede data)lek heeft veroorzaakt door alle emailadressen van de mensen waarvan hun coronatest werd geannuleerd, in de CC te zetten? Hoe beoordeelt u dit?

Net als u ben ik bekend met de berichtgeving hierover. In het algemeen moet met persoonsgegevens zeer zorgvuldig worden omgegaan, in het bijzonder met medische persoonsgegevens. Het is in deze aan de Autoriteit Persoonsgegevens om hierop toe te zien.

Vraag 12

Bent u bereid de bevindingen van hun onderzoek naar de aangeleverde stukken, zoals een Data Protection Impact Assessment (DPIA) en pentestrapportage met de Tweede Kamer te delen? Zo nee, waarom niet? Zo ja, wanneer kan de Kamer deze verwachten?

Het Ministerie van VWS heeft nader onderzoek gestart naar de juistheid van de aangeleverde bewijsstukken. Indien deze bevindingen aanleiding geven om de aansluitvoorwaarden aan te passen zal ik deze uiteraard met uw Kamer delen. Ik kan echter niet toezeggen dat ook de door de testaanbieder aangeleverde DPIA’s en pentestrapportages met uw Kamer worden gedeeld. Conform de aansluitvoorwaarden zijn zij zelf verwerkingsverantwoordelijke in het kader van de AVG en voeren eigenstandig een DPIA en beveiligingsonderzoeken uit.

Vraag 1

Bent u bekend met het bericht «Coronavirus en de uitfasering van Interconnecting Leased Lines (ILL) en (WLR) ISDN 15/20/30/30CPA1»? Wat vindt u daarvan?

Ja, ik ben bekend met dit bericht. De uitfasering van de genoemde diensten en onderliggende technieken is de laatste stap in het uitfaseren van de traditionele technologieplatformen van KPN. KPN is sinds 2017 bezig met het afschakelen van deze technieken.2 Het aantal gebruikers van deze traditionele diensten neemt namelijk al jaren gestaag af door de opkomst van digitale alternatieven zoals Voice over IP, hoogwaardige IP-breedbanddiensten en gebruik van mobiele telefonie. Ook is het onderhouden van verouderde technieken en bijbehorende diensten ingewikkeld, benodigde onderdelen van de apparatuur worden schaarser en maatwerkoplossingen bij de klant om de levensduur te rekken vergroten de kans op storingen. Ik vind het een logische en goede ontwikkeling dat de overstap naar hoogwaardigere technieken gemaakt wordt. Dit is in het belang van zowel de telecomaanbieder als de eindgebruiker. Oude technieken in de lucht houden voor een sterk afgenomen aantal klanten past daar niet bij. Uitfasering van diensten die aan het einde van hun levensduur zijn is onvermijdelijk en kan ook niet tegenhouden worden. Ik vind wel dat uitfasering zorgvuldig moet gebeuren en tijdig en duidelijk moet worden aangekondigd, en dat samen met de klanten die nog gebruik maken van de betreffende dienstverlening gekeken moet worden naar een passend alternatief. Dit vraagt om tijdige actie van zowel de telecomaanbieder als de klant zelf. Zoals in het door de vraagsteller aangehaalde bericht is vermeld, heeft KPN reeds op 20 juli 2018 aangekondigd dat deze dienstverlening wordt uitgefaseerd. Tele2, die voor de dienstverlening het KPN-netwerk gebruikt, heeft evenwel gecommuniceerd niet te gaan stoppen met de IDSN-30-dienstverlening.3 Dit heeft gezorgd voor verwarring bij klanten over het al dan niet moeten migreren naar andere technieken. Dit is onwenselijk en vraagt een passende oplossing. In het antwoord op de vragen 2 t/m 4 ga ik hier nader op in.

Vraag 2

Bent u ervan op de hoogte dat voor de uitfasering van ISDN30 en andere technieken door KPN een deadline wordt gehanteerd van 1 april 2022 en dat Tele2 een deadline hanteert van 1 oktober 2021 in plaats van april 2022? Bent u ervan op de hoogte dat belangenverenigingen Federatie Veilig Nederland (waaronder particuliere alarmcentrales) & WDTM (zorgtechnologie, e-health en zorginnovatie) aangeven dat, mede door de coronapandemie, de Tele2-deadline van 1 oktober 2021 veel te krap is, en dat een aantal leden van deze twee belangenverenigingen aangeeft de migratie naar een nieuwe oplossing voor tienduizenden cliënten niet tijdig te kunnen realiseren? Hoe beoordeelt u het risico dat alarmberichten en de daarachterliggende hulpvraag na 1 oktober wellicht niet meer worden ontvangen door de zorg- en alarmcentrales?

Vraag 3

Deelt u de de mening dat het onwenselijk is dat door een niet betrouwbaar netwerk de dienstverlening van de betreffende zorg- en alarmcentrales, veiligheidsrisico’s ontstaan? Zo nee, waarom niet?

Vraag 4

Bent u bereid te kijken naar een tijdelijke oplossing waarbij de continuïteit van de dienstverlening gewaarborgd blijft, zodat de cliënten en hun naasten zich geen zorgen hoeven te maken over de stabiliteit van hun netwerk en dus hun eigen veiligheid? Welke oplossing zou dat kunnen zijn?

Vraag 5

Kunt u deze vragen zo snel mogelijk beantwoorden, in ieder geval ruim voor 1 oktober 2021?

Ja.

Vraag 1

Kent u het bericht van de NOS van 23 juni jl.?1 Aan welke eisen moeten alle apps van de overheid precies voldoen volgens de toegankelijkheidsverklaring?

Ja, ik ben bekend met het bericht van de NOS van 23 juni jl.
De eisen zijn vastgelegd in de Europese Norm (EN) 301 549. In de laatste versie 3.2.1 van deze norm worden de eisen voor mobiele applicaties («apps») beschreven in hoofdstuk 11 Software.2

Vraag 2

Erkent u het belang van digitale toegankelijkheid voor mensen met een beperking?

Ja, ik vind het belangrijk dat iedereen, dus ook mensen met een beperking, (overheids)websites en (overheids)apps moet kunnen raadplegen die toegankelijk zijn. Dat iedereen moet kunnen meedoen, ook in de digitale samenleving, is een speerpunt geweest van mijn beleid van de afgelopen jaren3. Het verbeteren van de digitale toegankelijkheid is daar een belangrijk onderdeel van.

Vraag 3

Kunt u aangeven hoeveel apps van de overheid toegankelijk zijn, dan wel een toegankelijkheidsverklaring hebben? Welke apps zijn dit?

Op basis van de Europese webtoegankelijkheidsrichtlijn 2016/2102 zijn overheden sinds 23 juni 2021 wettelijk verplicht om voor hun mobiele applicaties (apps):
Op 23 juni waren in totaal 108 toegankelijkheidsverklaringen voor apps gepubliceerd. Elke app heeft een nalevingsstatus.
De aantallen per nalevingsstatus op 24 juni, 9:40 uur:
voldoet volledig
1
voldoet gedeeltelijk
22
eerste maatregelen genomen
27
voldoet niet
58
Bijlage 14 bevat een gedetailleerde beschrijving van de betekenis van de nalevingsstatussen en de gevraagde lijst met apps.

Vraag 4

Wat gaat u doen om de digitale toegankelijkheid te verbeteren?

Medeoverheden en overheidsorganisaties zijn zelf verantwoordelijk voor het toegankelijker maken van hun websites en apps. Daarmee ligt de verantwoordelijkheid waar die hoort: bij de eigenaar. Mijn ministerie biedt, via het expertisecentrum DigiToegankelijk van Logius, hulpmiddelen, advies en ondersteuning.
Met een subsidie aan de VNG is begin dit jaar een bestuurlijk aanjaagteam geformeerd dat het belang van digitale toegankelijkheid onder de aandacht brengt bij gemeentebestuurders en bij marktpartijen (de leveranciers waar gemeenten deze software inkopen). Daarnaast ondersteunt het aanjaagteam de gemeenten ook bij de uitvoering in het toegankelijk maken van websites en apps. Een ander aanjaagteam benadert in opdracht van DigiToegankelijk de overige overheden.
Overheden zijn verplicht om gestandaardiseerde toegankelijkheidsverklaringen te publiceren. Daarmee wordt inzichtelijk hoe ze presteren op het gebied van digitale toegankelijkheid. Bestuursorganen met een toezichthoudend mandaat, waaronder gemeente- en waterschapsraden en provinciale staten, kunnen deze verklaringen gebruiken om invulling te geven aan hun toezichtrol. In het wetsvoorstel digitale overheid wordt het toezicht op de naleving formeel geregeld.

Vraag 5

Kunt u toezeggen dat alle nieuwe overheidsapps voldoen aan de toegankelijkheidseisen zodat overheidsapps beschikbaar en toegankelijk zijn voor iedereen?

Uiteraard ga ik door met het stimuleren dat alle overheden werk blijven maken van de toegankelijkheid van hun websites en apps en dat zij daarover verantwoording blijven afleggen.

Vraag 1

Bent u bekend met het bericht «ISIDOOR 2021: NCTV en NCSC organiseren grootste cybercrisisoefening ooit»?1

Ja.

Vraag 2

Is ISIDOOR 2021 naar uw mening succesvol verlopen? Kunt u uw mening toelichten?

Ja, ISIDOOR is naar mijn mening succesvol verlopen. Als verantwoordelijk Minister voor deze oefening kijk ik terug op succesvolle oefendagen mede dankzij de inzet van alle deelnemende organisaties. Tijdens ISIDOOR 2021 stond de beoefening van het Nationaal Crisisplan Digitaal centraal en de vele eigen crisisprocedures van de deelnemende organisaties. Het beoefenen van de onderlinge samenhang en samenwerking op basis van deze procedures maakte de oefening waardevol. De preparatie van de oefening heeft daarnaast ook praktische inzichten opgeleverd voor deelnemende organisaties, doordat in deze fase de rol- en taakverdelingen, de crisisstructuren en procedures tegen het licht werden gehouden.
Bij het samenstellen van het scenario, maar ook in de voorbereiding van de deelnemers via masterclasses, is expliciet rekening gehouden met zowel fysieke als digitale effecten. Voor een digitale crisis geldt immers dat die ook fysieke gevolgen kan hebben met een grote maatschappelijke impact. ISIDOOR heeft mede daardoor bijgedragen aan een betere voorbereiding indien zich daadwerkelijk een digitaal incident met ook fysieke gevolgen voordoet.

Vraag 3

Hoe is de selectie van deelnemers van ISIDOOR 2021 tot stand gekomen? Welke criteria zijn hierbij gebruikt? Wat was de verhouding vitaal/niet-vitaal?

Om tot de deelnemerslijst te komen is allereerst door de departementale projectorganisatie, bestaande uit NCSC en NCTV, een uitvraag gedaan via het zogeheten ISAC-netwerk. Daarin zijn publieke en private organisaties in verschillende sectoren vertegenwoordigd. Vervolgens zijn ook verschillende interdepartementale gremia geattendeerd op de oefening. Zodoende is een lijst van vrijwillige aanmeldingen tot stand gekomen op basis waarvan de definitieve lijst is samengesteld. Deelnemende organisaties waren overwegend organisaties binnen de vitale infrastructuur, onderdelen van de rijksoverheid, veiligheidsregio’s en partijen binnen het Landelijk Dekkend Stelsel van Cybersecurity samenwerkingsverbanden. Ook deed een aantal andere samenwerkingsverbanden mee en was het lokale en regionale perspectief in de oefening vertegenwoordigd. De volledigheid van de deelnemerslijst is in interdepartementaal overleg afgestemd. Het belangrijkste criterium voor deelname was de overweging of een organisatie een voorname rol heeft tijdens de aanpak van een nationale crisis, mede gebaseerd op het Nationaal Crisisplan Digitaal en het Nationaal Handboek Crisisbesluitvorming.

Vraag 4

Hoe hebben de deelnemers van ISIDOOR 2021 de oefening ervaren? Komt er een brede evaluatie onder alle deelnemers? Zo ja, op welke termijn en kunt u deze met de Kamer delen? Zo nee, waarom niet?

Uiteraard kan ik niet voor de deelnemende organisaties spreken, echter het overheersende beeld is dat er tevreden wordt teruggekeken op de oefening. Het scenario van deze derde (en grootste) editie van ISIDOOR was realistischer dan ooit omdat veel deelnemende organisaties ook via hun oefenleiding betrokken waren bij het bedenken van het scenario. Zo konden zij het hoofdscenario vertalen naar hun eigen achterban en de voor hen relevante oefendoelen uitwerken in het scenario.
Door het Instituut voor Veiligheids- en Crisismanagement (COT) wordt een overkoepelend evaluatierapport geschreven, dat zich richt op de oefendoelen van ISIDOOR 2021. Evalueren is expliciet onderdeel van het programma van ISIDOOR 2021. Er wordt daarom op zowel operationeel technisch niveau als op bestuurlijk niveau geëvalueerd. De overkoepelende evaluatie van het COT verwacht ik na de zomer met uw Kamer te kunnen delen. Ik roep daarnaast alle betrokken organisaties op om ISIDOOR zelf ook te evalueren, zodat de lessen voor de eigen organisaties gesignaleerd worden. Het is immers ook primair de verantwoordelijkheid van alle deelnemende organisaties zelf om de eigen deelname en processen te evalueren.
Zoals recent gemeld aan uw kamer worden de lessen van ISIDOOR 2021 meegenomen bij de actualisering van het Nationaal Crisisplan Digitaal en de doorontwikkeling van dit plan naar een landelijk crisisplan.2

Vraag 5

Bent u het ermee eens dat structureel oefenen met cybercrises van essentieel belang is voor (vitale) organisaties om hun cyberveiligheid te vergroten en om digitale ontwrichting te voorkomen? Zo ja, hoe staat het met de uitvoering van de motie-Weverling (Kamerstuk 24 095, nr. 496)? Hoe verhoudt ISIDOOR 2021 zich tot een structureel oefenprogramma conform de motie-Weverling? Met welke frequentie gaan dit soort oefeningen in de toekomst plaatsvinden?

Ja, gezamenlijk oefenen is van essentieel belang om goed voorbereid te zijn op een cybercrisis. Dat is door het kabinet ook benadrukt in de kabinetsreactie op het rapport van de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) «Voorbereiden op digitale ontwrichting»3. U noemt in dat kader ook naar de motie-Weverling. Daarover kan ik melden dat ISIDOOR 2021 deel uitmaakt van het oefen- en testprogramma dat is uitgewerkt naar aanleiding van de motie-Weverling en het versterkingsprogramma op de Nederlandse Cybersecurity Agenda (NCSA). Ik verwijs u ten aanzien van de uitwerking en de voorgang van het oefen- en testprogramma naar de beantwoording, in mijn brief van 25 mei 2020, van Kamervragen tijdens het Schriftelijk Overleg Cybersecurity. In de beantwoording ben ik in gegaan op de uitwerking van dit programma via de inzet op de verschillende sporen op oefenen4. Een nadere uitwerking en eerste voortgang is terug te vinden in de NCSA voortgangsrapportage 2020 die als bijlage is meegezonden per brief van 29 juni 20205. Een eerstvolgende voortgang hiervan is opgenomen in de voortgangsbrief van de Nederlandse Cybersecurity Agenda die op 28 juni jl. naar uw Kamer is verzonden6.
Ik zal het volgende kabinet adviseren om op basis van de evaluatie van ISIDOOR te kijken naar een juiste frequentie van deze oefening. ISIDOOR is een zeer complexe oefening waarvoor meerjarig veel capaciteit en voorbereidingstijd nodig is, maar het belang om te oefenen om goed voorbereid te zijn indien er toch iets mis gaat is evident. Ik moedig een volgende editie daarom van harte aan en in de tussentijd zet ik via de eerdergenoemde oefensporen in op oefenen.

Vraag 1

Bent u bekend met het bericht «zonnepaneel bedreigt communicatie hulpdiensten door stoorsignaal»?1

Ja.

Vraag 2

Hoe beoordeelt u het feit dat een deel van de gebruikte apparatuur niet aan de stralingseisen voldoet, waaronder omvormers in zonnepanelen in combinatie met slechte kabelroutering, en ernstige storingen kunnen veroorzaken bij onder andere lucht- en scheepvaartcommunicatie en het communicatiesysteem C2000 van onze hulpdiensten zoals politie, brandweer en ambulance?

Het wordt steeds drukker in de ether. De komst van onder andere 5G maakt nieuwe toepassingen mogelijk en stimuleert de Internet-of-Things (IoT) ontwikkeling. Hierdoor neemt het aantal elektrische apparaten met een zend- en/of ontvangstfunctie (radioapparaten) toe, en daarmee ook het risico voor hinder en storingen aan elektrische apparatuur en radionetwerken in de omgeving. Ook niet-radio toepassingen nemen steeds meer in aantal toe en kunnen ongewenste storingen veroorzaken. Dit brengt kwetsbaarheden met zich mee voor bestaande en nieuwe communicatietoepassingen, inclusief vitale toepassingen. Al deze toepassingen moeten rekening houden met hinder van anderen maar daar waar hinder omslaat in storing is dit niet acceptabel, zeker niet als het gaat om radionetwerken voor politie en hulpdiensten. Een goed werkende communicatievoorziening is cruciaal bij het redden van mensenlevens of ernstige calamiteiten, rampen en crises.
Om hinder zo gering mogelijk te houden en te voorkomen dat het storing wordt, is het van belang dat (radio)apparaten bij alle hierboven genoemde toepassingen voldoen aan bepaalde technische eisen en op de juiste wijze worden geïnstalleerd. Producenten en installateurs zijn hiertoe verplicht op basis van de regelgeving inzake elektromagnetische compatibiliteit (EMC), te weten de EMC-richtlijn (2014/30/EU), radioapparatenrichtlijn ((2014/53/EU) en de implementatie hiervan in de Telecommunicatiewet en lagere regelgeving. Deze regelgeving gaat uit van reciprociteit: het vereist dat een elektrisch apparaat niet onbedoeld straling kan geven die de functionaliteit van andere elektrische apparaten aantast en daarvan zelf ook geen hinder ondervindt.
Het bovenstaande geldt ook voor zonnepanelen. Het is vanuit de geldende Europese regelgeving de verantwoordelijkheid van producenten en installateurs dat deze apparatuur voldoet aan de regelgeving, zodat eigenaren ervan op aan kunnen dat zij met systemen die in orde zijn bijdragen aan de energietransitie waarbij ongewenste neveneffecten zoveel mogelijk worden voorkomen. Ik vind het zorgwekkend dat is gebleken dat elementen van sommige zonnepaneelinstallaties (zie voor details het antwoord op vraag 4) de functionaliteit van maatschappelijk belangrijke systemen als C2000 of apparaten voor lucht- en scheepvaartcommunicatie kunnen aantasten, met als oorzaak dat niet zou zijn voldaan aan de EMC-regels. Handhaving van deze regels is daarom van belang.

Vraag 3

Bent u bekend met de zwakke plekken in het C2000 netwerk door zonnepanelen, ook wel PV-systemen genoemd? Deelt u de mening dat PV-systemen op geen enkele manier een risico mogen vormen voor de continuïteit en het functioneren van C2000? Zo ja, welke maatregelen bent u bereid om op de korte termijn te nemen? Zo nee, waarom niet?

Zoals reeds aangegeven in het antwoord op vraag 2 ben ik bekend met de storing die bepaalde zonnepaneelinstallaties op het C2000-netwerk kunnen opleveren. Ik benadruk dat dit probleem met urgentie wordt aangepakt. De leverancier van deze installaties werkt samen met de beheerder van het netwerk, de Landelijke Meldkamersamenwerking (LMS), aan het reduceren van de bestaande ruis tot een acceptabel niveau. Hoewel de omgeving altijd in bepaalde mate invloed heeft op het functioneren van een netwerk als C2000, deel ik de mening dat het risico dat dat oplevert voor de veiligheid van burgers en hulpverleners tot een minimum beperkt moet worden. Als de omstandigheden daartoe aanleiding geven, kan daarom besloten worden een bepaalde zonnepaneelinstallatie (tijdelijk) uit te laten zetten. Een dergelijk besluit is altijd het resultaat van een grondige afweging van de geschatte risico’s, mede op basis van de door de beheerder van C2000 gemeten verstoring en de verwachte inzet van hulpverleners in het gebied. Agentschap Telecom beoordeelt dergelijke situaties en heeft de bevoegdheden om op te treden.

Vraag 4

Welke huidige stralingsnormen gelden per individueel zonnepaneel? Worden deze normen getoetst en zo ja door wie?

Zonnepanelen zelf veroorzaken geen storing. Het zijn vooral de energieregelaars in een zonnepaneelinstallatie die storing veroorzaken.
Emissie van de energieregelaars van de zonnepanelen valt onder de EMC-richtlijn of als de regelaars een radiocomponent bevatten, onder de radioapparatenrichtlijn. De energieregelaars moeten daarom voldoen aan de EMC-regels. Agentschap Telecom houdt hier toezicht op. Hierbij houdt Agentschap Telecom ook rekening met de wijze van installatie. Dit houdt in dat niet alleen gekeken wordt naar de emissie van een individuele energieregelaar, maar ook van meerdere energieregelaars op één dak. Van de fabrikant wordt namelijk conform de Europese regelgeving verwacht dat hij rekening houdt met de praktijksituatie waarin energieregelaars geplaatst worden.
Naast dit systeemtoezicht vindt in concrete storingsgevallen toetsing plaats waarbij de inzet van dwingende bevoegdheden van Agentschap Telecom aan de orde is als die situatie dat vereist op grond van onacceptabele storing op vitale radionetwerken, zoals C2000 (zie ook het antwoord op vraag 3).

Vraag 5

Gelet op het cumulatieve karakter van straling van zonnepanelen en het bijbehorende risico, gelden er normen voor het stralingsniveau van zonneweides? Zo ja, wordt hier toezicht op gehouden? Zo nee, waarom gelden deze normen niet? In hoeverre is het mogelijk om op een ander niveau straling te laten meten, namelijk van zonneweides in plaats van individuele panelen en daar normen voor op te stellen?

Ook zonneweides vallen onder de EMC richtlijn. Agentschap Telecom houdt hier toezicht op. Uit metingen van het agentschap blijkt dat de stralingsemissies van zonneweides beperkt zijn. Storingsproblemen worden vooral veroorzaakt door middelgrote installaties (50–5000 zonnepanelen) en niet door zonneweides. Oorzaak van deze storingen zijn energieregelaars in zonnepaneelinstallaties die niet aan de EMC normen voldoen. Deze energieregelaars worden niet toegepast in zonneweides.
Daarnaast draagt een onjuiste installatie van zonnepanelen en componenten bij aan het optreden van storingen.

Vraag 6

Bent u bereid om op de korte termijn, gezien het toenemend risico op storingen als gevolg van het groeiend aantal zonneweides en andere technologische en digitale ontwikkelingen, samen met Agentschap Telecom in gesprek te gaan met producenten van zonnepanelen en andere betrokken sectoren en maatregelen te nemen om risico’s te mitigeren? Zo ja, kunt u de Kamer zo spoedig mogelijk informeren over de te nemen stappen? Zo nee, waarom niet?

Agentschap Telecom heeft verschillende marktpartijen actief benaderd om meer inzicht te krijgen in de onderliggende oorzaken van storingen. Geraadpleegd zijn opdrachtgevers, groothandels, installateurs, kennis- en opleidingsinstituten en brancheorganisaties. Op basis van die uitkomsten heeft Agentschap Telecom oplossingsrichtingen aangedragen aan de betreffende marktpartijen met het oogmerk om hinder te minimaliseren en storingen te voorkomen. Agentschap Telecom vraagt daarom aandacht voor het storingsarm installeren van zonnepaneelinstallaties op haar websites en actief op events/bijeenkomsten van de zonnepanelenbranche.
Daarnaast voert het agentschap geregeld, zo ook nu, onderzoek uit naar de conformiteit van energieregelaars. Onderzocht wordt of de regelaars van de zonnepanelen voldoen aan de Europese eisen. Als dit niet het geval is, neemt Agentschap Telecom de nodige maatregelen om de non-conforme apparaten te weren van de Europese markt en, wanneer nodig, terug te laten roepen dan wel andere sancties op te leggen. In het geval van storingen bij C2000 is dit ook gebeurd. Het resultaat daarvan is dat de verstoorder samen met de beheerder van C2000 de storingen aan het oplossen is. Agentschap Telecom ziet daarop toe vanuit de opgelegde maatregelen.

Vraag 1

Bent u bekend met het artikel «Nederland verliest controle op beveiliging van het internet?»1

Ja.

Vraag 2

Hoe beoordeelt u het advies van de Cyber Security Raad dat het kabinet dringend moet ingrijpen om te voorkomen dat onze economie te afhankelijk wordt van buitenlandse technologie? Kunt u uw analyse toelichten?

Op 14 mei jl. heeft de Cyber Security Raad (CSR) het advies «Nederlandse Digitale Autonomie en Cybersecurity» uitgebracht. Het vraagstuk van digitale autonomie en het verhogen van onze digitale weerbaarheid heeft de nadrukkelijke aandacht van het kabinet. Digitale autonomie is echter geen vanzelfsprekendheid.
Nederland is verweven met de mondiale economie die bestaat uit een veelheid aan onderlinge, wederzijdse afhankelijkheden. Dat betekent dat leveranciers van over de hele wereld als onderdeel van complexe waardeketens producten en diensten leveren in het digitale domein. Deze verwevenheid biedt in algemene zin zeer grote economische voordelen, is in een open en gespecialiseerde economie onvermijdelijk en kan bijdragen aan een weerbare internationale economische positie van Nederland. Door deze verwevenheid kunnen er in het digitale domein echter ook ongewenste afhankelijkheidsrelaties met partijen van buiten EU ontstaan. Dit kan onze publieke belangen, waaronder onze (nationale) digitale veiligheid, in het geding brengen. De CSR wijst er in zijn advies op dat ongewenste (digitale) afhankelijkheden een bedreiging kunnen vormen die geadresseerd moeten worden. Tegelijkertijd onderschrijft de CSR dat naast de dreiging die uitgaat van deze afhankelijkheidsrelaties, globalisering enorme voordelen voor Nederland heeft gebracht. Balkanisering (versplintering) van technologie en protectionisme kan wereldwijde handel belemmeren en daarmee ook welvaart en banen kosten in Nederland, aldus de CSR.
Bij het adresseren van ongewenste afhankelijkheidsrelaties moeten protectionisme en fragmentatie dan ook zo veel mogelijk worden vermeden. In dat licht ziet het kabinet digitale autonomie niet als doel op zich maar als middel. Dit moet, in samenspraak met onze Europese partners, zorgvuldig en proportioneel worden bezien zodat Nederland het vermogen heeft om voldoende voor de eigen publieke belangen, waaronder onze (nationale) digitale veiligheid, op te komen en deze belangen zeker te stellen.
Het is nodig voor onze digitale autonomie dat we open, eerlijke en duurzame internationale relaties aangaan, waarbij onze normen en waarden zijn beschermd. De voordelen van internationale handel en investeringen, toegang tot wereldwijde waardeketens en internationale concurrentie moeten zoveel mogelijk behouden blijven.
Tegelijkertijd is het zaak dat we actief blijven investeren in de weerbaarheid van onze digitale infrastructuur. Waar nodig en wenselijk moeten we maatregelen nemen om ongewenste strategische afhankelijkheden weg te nemen of te voorkomen. Om tot effectieve en proportionele maatregelen te komen dient een zorgvuldige analyse van en afweging tussen de risico’s en de verwachte (veiligheids)baten en de verwachte kosten van de mogelijke maatregelen.
Er lopen al acties die concreet bijdragen aan onze digitale autonomie. Zo wordt binnen het nieuwe samenwerkingsplatform voor kennis en innovatie cybersecurity (dcypher) gewerkt aan een routekaart voor cryptocommunicatie. Het kabinet werkt daarnaast voortdurend aan de versterking van de digitale weerbaarheid via het beleid dat is uiteengezet in de Nederlandse Cybersecurity Agenda (NCSA). Bij de beoordeling van risico’s ten aanzien van spionage, beïnvloeding of sabotage door statelijke actoren of andere partijen bij digitale producten hanteert het kabinet de overwegingen die zijn vermeld in de brief aan de Tweede Kamer over C2000.2 Meer specifiek voor de telecommunicatiesector heeft het kabinet op 1 juli 2019 aanvullende beschermingsmaatregelen aangekondigd op basis van een risicoanalyse die is uitgevoerd door de Taskforce Economische Veiligheid3. Dit heeft er onder andere toe geleid dat mobiele netwerk operators in kritieke onderdelen alleen gebruik mogen maken van vertrouwde leveranciers.
Daarnaast overweegt Nederland deelname aan een Important Project of Common European Interest voor Cloudinfrastructuur en services (IPCEI CIS), een concreet Europees project wat als doel heeft om nieuwe generatie cloud-oplossingen in Europa te ontwikkelen en de waardeketen in Europa te versterken. Ook kijkt Nederland naar deelname aan een Important Project of Common European Interest voor de semiconductorsector (IPCEI Micro-elektronica 2, IPCEI ME2). De resultaten om onder het Nederlandse bedrijfsleven en kennisinstellingen de belangstelling te identificeren volgen in de zomer.
Het is essentieel dat we nu en in de toekomst blijven inzetten op digitale autonomie en cybersecurity.

Vraag 3

Hoe beoordeelt u de onderliggende waarschuwing van de Cyber Security Raad dat Nederland haar greep op de beveiliging van het internet anders dreigt kwijt te krijgen? Kunt u uw analyse toelichten?

Zie antwoord vraag 2.

Vraag 4

Wat is de status van de uitvoering van de motie van de leden Buitenweg en Yesilgöz-Zegerius over inzicht verkrijgen in de afhankelijkheid van digitale processen en diensten bij vitale processen? In hoeverre zijn processen van onze vitale infrastructuur ondergebracht en afhankelijk van buitenlandse aanbieders? In hoeveel van deze gevallen is het beheer van deze digitale processen uitbesteed aan buitenlandse aanbieders? Hoeveel van deze aanbieders zijn gevestigd in staten die een offensief cyberprogramma kennen?2

Met de brief «Beleidsreactie op het Dreigingsbeeld Statelijke Actoren (DBSA) en voortgang aanpak statelijke dreigingen» gaf het kabinet invulling aan de motie Buitenweg/Yesilgöz-Zegerius over het inzichtelijk maken van cyberafhankelijkheden in vitale processen.5 Hierin wordt de opzet van een structurele aanpak voor de telecomsector benoemd. Ook staat hierin aangegeven dat in de komende periode in kaart wordt gebracht wat er nodig is qua mensen, middelen en expertise om deze aanpak te verbreden naar andere vitale processen.
Er wordt niet integraal bijgehouden in hoeverre de dienstverlening binnen vitale processen plaatsvindt door of afhankelijk is van buitenlandse aanbieders, en daarmee ook niet in hoeveel gevallen het beheer van digitale processen wordt uitbesteed aan buitenlandse aanbieders. Dit is, gezien het grote aantal leveranciers van producten en diensten van vitale processen, ook niet realistisch. Uitgangspunt is een risicogestuurde aanpak, zodat dreigingen en kwetsbaarheden gericht kunnen worden geadresseerd. Zo zijn binnen de aanpak tegengaan statelijke dreigingen verschillende instrumenten ontwikkeld en maatregelen genomen om nationale veiligheidsrisico’s te adresseren, zoals de voorbereiding van wetgeving ten behoeve van het stelsel van investeringstoetsing en de herziening en beschikbaarstelling van het instrumentarium voor inkoop en aanbesteding.6

Vraag 5

Bent u het met de mening eens dat het uit nationale veiligheidsoverwegingen, onwenselijk is om digitale technologieën die wij gebruiken voor vitale processen zoals energievoorziening en betalingsverkeer af te nemen van staten met een offensief cyberprogramma? Zo ja, waar liggen volgens u mogelijkheden om meer grip te krijgen op de digitale processen van onze vitale infrastructuur? Zo nee, waarom niet?

Zoals in het Dreigingsbeeld Statelijke Actoren (DBSA) beschreven is een toenemende afhankelijkheid van buitenlandse technologie een gegeven, aangezien geen land beschikt over alle kennis en productiemiddelen om technologisch onafhankelijk te opereren.7
Tegelijkertijd bestaan er risico’s op digitale spionage en -sabotage, die kunnen leiden tot verstoring van de continuïteit van de vitale infrastructuur en aantasting van de integriteit of exclusiviteit van gevoelige kennis en informatie. Een aanvullend risico kan ontstaan als er betrokkenheid is van leveranciers die afkomstig zijn, of onder controle staan van bedrijven, uit een land met wetgeving die commerciële partijen dwingt tot samenwerking met de overheid van dat land. De risico’s voor de nationale veiligheid worden verder vergroot als het land in laatstbedoelde zin een offensief inlichtingenprogramma voert dat gericht is op Nederlandse belangen. Van belang is het juist ook met betrekking tot deze risico’s telkens te bepalen of en welke beheersmaatregelen mogelijk, wenselijk, en realiseerbaar zijn om voldoende bescherming hiertegen te bieden.
Versterking van de weerbaarheid van netwerk- en informatiesystemen is dan ook van groot belang. Het kabinet werkt hieraan via de aanpak statelijke dreigingen, de versterkte aanpak vitaal en de aanpak zoals beschreven in de Nederlandse Cybersecurity Agenda (NCSA). Het in kaart brengen van de te beschermen belangen en de daarop betrekking hebbende dreigingen, alsmede het nemen van maatregelen om die belangen te beschermen, staan daarbij steeds centraal. De combinatie van technologische ontwikkelingen en geopolitieke veranderingen vraagt erom met een andere blik te kijken naar welke belangen we willen beschermen. Hiervoor wordt nauw samengewerkt met onder meer bedrijven en kennisinstellingen. Met een geactualiseerd instrumentarium worden deze veranderende omstandigheden integraal meegewogen in het beoordelen van risico’s en bij het naar aanleiding daarvan waar nodig nemen van weerbaarheidsverhogende maatregelen. Hierbij wordt digitale en fysieke weerbaarheid in zijn geheel bezien. Ketenafhankelijkheden worden daarbij beter in kaart gebracht, omdat vitale processen onderling sterk verweven zijn en sterk afhankelijk zijn van toeleveranciers.

Vraag 6

Hoeveel geld ontvangt Nederland jaarlijks uit het EU Resilience and Recovery Fund om te investeren in digitale innovaties? Hoe groot is dit bedrag ten opzichte van andere lidstaten? Op basis van welke voorwaarden wordt dit geld verdeeld onder lidstaten?

Nederland ontvangt naar verwachting € 5,96 mld. aan middelen uit de Recovery and Resilience Facility. Om aanspraak te maken op de RRF-middelen moet Nederland een Recovery and Resilience plan (RRP) indienen met ambitieuze hervormingen en investeringen die invulling geven aan de landspecifieke aanbevelingen die de Europese Commissie voor Nederland heeft geïdentificeerd. Deze middelen moeten ingezet worden voor het bevorderen van economisch herstel en het aanjagen van de groene en digitale transitie. Minstens 20% van de middelen moeten ten goede komen aan de digitale transitie. Hiernaast moet minstens 37% bijdragen aan de groene transitie. De middelen worden in tranches uitgekeerd op basis van het behalen van vooraf geformuleerde mijlpalen en doelen die voor 31 augustus 2026 moeten zijn afgerond. Dezelfde voorwaarden zijn van toepassing op andere lidstaten. Het staat lidstaten verder vrij om binnen de criteria uit de RRF-verordening meer focus te leggen op de digitale transitie in hun eigen RRP’s.
De allocaties uit de RRF worden op twee momenten vastgesteld. De allocatie voor 2021–2022 is gebaseerd op werkloosheidscijfers (2015–2019), de omvang van de bevolking (2019) en het bbp per capita (2019). Voor de allocatie in 2023 geldt een aangepaste verdeelsleutel waarbij de factor werkloosheid wordt vervangen door (in gelijke delen) het bbp-verlies in 2020 en het cumulatieve bbp-verlies over de periode 2020–21 op basis van de cijfers die eind juni 2022 beschikbaar zijn. Op de website van de Europese Commissie vindt u de allocatie van de RRF-middelen per lidstaat8. Lidstaten worden geacht een RRP in te dienen voor 100% van de verwachte allocatie. Naar aanleiding van de definitieve vaststelling kunnen lidstaten hun RRP’s wijzigen voor zover de definitieve allocatie is gewijzigd.

Vraag 7

Bent u het met de mening eens dat het voor Nederland, zowel uit veiligheids- als innovatieoogpunt van groot belang is dat wordt geïnvesteerd in Nederlandse technologie? Zo ja, hoe beoordeelt u het bedrag dat Nederland jaarlijks ontvangt uit het EU Resilience and Recovery Fund? Zo nee, waarom niet?

Ja, vanuit zowel veiligheids- als innovatieoogpunt is het van groot belang dat wij blijven investeren in technologische ontwikkeling. Het bedrag dat Nederland zal ontvangen vanuit de Resilience and Recovery Facility is een welkome aanvulling. De RRF-middelen betreft echter een incidentele impuls en is daarmee van beperkte meerwaarde voor de uitdagingen waar Nederland voor staat. Het is voor onze brede welvaart van groot belang dat wij ook structureel blijven investeren in het versterken van onze lange termijn verdienvermogen.

Vraag 8

Kunt u deze vragen binnen de gestelde termijn beantwoorden?

Ja.