Het bericht ‘Stilleggen van het dataverkeer door het Medisch Centrum Leeuwarden naar aanleiding van een hackpoging’. |
|
Maarten Hijink (SP) |
|
Bruno Bruins (minister volksgezondheid, welzijn en sport) (VVD) |
|
![]() |
Wat is uw reactie op het bericht dat hackers erin zijn geslaagd binnen te dringen in de systemen van het Medisch Centrum Leeuwarden (MCL)? Welke schade is hierdoor aangericht? Zijn er patiëntgegevens of andere belangrijke data in handen van onbevoegden gekomen?1
Zorgaanbieders zijn zelf verantwoordelijk voor hun eigen ICT en de informatieveiligheid. Daarbij moeten zij zich onder meer houden aan de Nederlandse normen voor informatieveiligheid in de zorg (NEN 7510). De IGJ ziet hierop toe. Ik vind het van het grootste belang dat de gegevens van patiënten en zorginstellingen veilig zijn en daarom hecht ik eraan dat de zorginstellingen bij het treffen van maatregelen worden ondersteund door Z-CERT, het cybersecuritycentrum voor de zorg.
Het MCL meldt op haar website dat uit het onderzoek naar de poging tot inbraak op de systemen van het MCL is gebleken dat de aanval niet is doorgedrongen tot de interne systemen of patiëntgegevens. Het MCL heeft mij laten weten dat de patiëntveiligheid geen enkel moment in gevaar is geweest
Zijn er berichten van andere organisaties in de zorg die hierdoor zijn getroffen? Welke schade hebben zij ondervonden?
Het College Beoordeling Geneesmiddelen heeft laten weten gecompromitteerd te zijn. Hiervan is een melding gemaakt bij NCSC. Forensisch onderzoek loopt nog, maar het huidige beeld is dat er geen indicatoren zijn dat er data is gelekt.
Waarom heeft het ziekenhuis niet tijdig ingegrepen nadat Citrix al in december waarschuwde voor de mogelijke risico’s?
Zoals reeds gemeld zijn zorginstellingen zijn zelf primair verantwoordelijk voor hun eigen ICT en de informatieveiligheid onder alle omstandigheden. Daarbij moeten zij zich onder meer houden aan de Nederlandse normen voor informatieveiligheid in de zorg (NEN 7510). De IGJ ziet hierop toe. Hierbij hoort ook het direct nemen van maatregelen om de risico’s te verkleinen. Het MCL heeft mij laten weten de workaround van medio december 2019 niet tijdig te hebben uitgevoerd. Het MCL heeft mij daarbij gemeld daar onderzoek naar te doen.
Hoe kan het dat zelfs nadat het Nationaal Cyber Security Centrum (NCSC) op 9 januari jl. waarschuwde dat hackers actief op zoek zijn naar kwetsbaarheden, er niet is gehandeld door het ziekenhuis?
Zie antwoord vraag 3.
Wat was de rol van Z-Cert, expertisecentrum op het gebied van cybersecurity in de zorg, in deze? Waarom is op de website van Z-Cert sinds december geen bericht te lezen over de risico’s voor organisaties die werken met Citrix?
Z-CERT heeft vanaf het bekend worden van de kwetsbaarheid in december 2019 haar deelnemers actief geïnformeerd en voorzien van handelingsadvies. Z-CERT gebruikt een speciaal platform om met de deelnemers te communiceren. Ook wordt per e-mail gecommuniceerd. Gezien de omvang van de Citrix-kwetsbaarheid, is in dit geval gekozen om ook een advies op de website te plaatsen.
Kunt u aangeven welke contacten er zijn geweest tussen het NCSC en Z-Cert om zorgaanbieders te informeren en aan te sporen actie te ondernemen?
NCSC en Z-CERT staan in nauw contact met elkaar om informatie uit te wisselen over onder andere kwetsbaarheden in IT-systemen van hun onderscheidenlijke doelgroepen.
Klopt de analyse van experts dat de samenwerking rondom databescherming tekortschiet?
Deze vraag kan ik niet beantwoorden omdat ik deze analyse niet ken.
Welke maatregelen gaat u nemen om ervoor te zorgen dat zorginstellingen eerder, actiever en indringender worden bijgestaan bij het nemen van maatregelen om hun data te beschermen tegen hackers?
Zoals reeds gemeld zijn zorgaanbieders zelf verantwoordelijk voor hun eigen ICT en de informatieveiligheid. De IGJ ziet hierop toe. In reactie op de motie van het Kamerlid Ellemeet2 verken ik of deelname aan Z-CERT verplicht kan worden gesteld. Voor de zomer van 2020 zal ik de resultaten hiervan met uw Kamer delen.
Het kabinet werkt aan een landelijk dekkend stelsel van cybersecurity samenwerkingsverbanden waarbinnen informatie over dreigingen, incidenten en kwetsbaarheden breder, efficiënter en effectiever tussen publieke en private partijen wordt gedeeld. In dit verband is Z-CERT eerder deze maand door de Minister van JenV3 aangewezen als computercrisisteam, waaraan op grond van de Wet beveiliging netwerk- en informatiesystemen bepaalde informatie (bv. namen van bedrijven in relatie tot dreigingen) kan worden verstrekt. Dit maakt het mogelijk voor het NCSC om zoveel mogelijk informatie en handelingsperspectieven te delen met Z-CERT.
Het bericht ‘MCL legt dataverkeer stil na cyberaanval’ |
|
Joba van den Berg-Jansen (CDA) |
|
Bruno Bruins (minister volksgezondheid, welzijn en sport) (VVD) |
|
![]() |
Kent u het bericht «MCL legt dataverkeer stil na cyberaanval»?1
Ja.
Welke invloed heeft het feit dat het Medisch Centrum Leeuwarden (MCL) uit voorzorg al het dataverkeer met de buitenwereld (zoals communicatie met andere ziekenhuizen) heeft stilgelegd voor patiënten die met spoed geholpen moeten worden?
Op 15 januari heeft het MCL gemeld dat er een poging tot digitale inbraak in de systemen is geweest. Daarbij werd gemeld dat uit voorzorg alle dataverkeer met de buitenwereld werd afgesloten. Door deze maatregel konden patiënten niet bij hun elektronische dossier en ook is de elektronische communicatie met andere ziekenhuizen gehinderd. Het MCL heeft laten weten dat de patiëntveiligheid geen enkel moment in gevaar is geweest.
Het MCL heeft op 21 januari via hun website laten weten dat alle systemen weer werken en dat uit onderzoek naar de poging tot inbraak is gebleken dat de aanval niet is doorgedrongen tot de interne systemen van het MCL of patiëntgegevens.
Welke andere ziekenhuizen werken ook met Citrix-servers?
Dit is mij niet bekend. Zorginstellingen zijn zelf verantwoordelijk voor hun eigen ICT en welke systemen en/of servers zij gebruiken.
Zijn er bij andere ziekenhuizen ook pogingen gedaan om de Citrix-servers te hacken? Zo ja, hebben hackers kans gezien om in de systemen te komen?
Op dit moment heb ik geen aanwijzingen dat bij andere ziekenhuizen pogingen zijn gedaan.
Heeft het MCL de «workaround» uitgevoerd, waarmee Citrix medio december 2019 bedrijven adviseerde zich te beschermen omdat er tot op heden nog geen updates zijn die tegen het lek in de Citrix-servers beschermen?2
Het MCL heeft mij laten weten de workaround van medio december 2019 niet tijdig te hebben uitgevoerd. Het MCL heeft mij daarbij gemeld daar onderzoek naar te doen om uit te zoeken wat precies de redenen waren om niet al in december in te grijpen.
Kunt u een update geven voor alle ziekenhuizen? Hebben zij voldoende maatregelen getroffen?
Of alle ziekenhuizen workarounds hebben uitgevoerd naar aanleiding van de poging tot hackpoging bij het MCL is mij onbekend. Z-CERT heeft haar deelnemers gewaarschuwd voor de kwetsbaarheid in Citrix en heeft handelingsadvies gegeven en aangeraden om alle stappen te doorlopen uit het beveiligingsadvies van het NCSC.
Citrix heeft inmiddels patches beschikbaar gesteld om de kwetsbaarheid te herstellen. Op basis van zijn informatie adviseert het NCSC op hun website om deze patches te vertrouwen en te installeren, tenzij uit eigen risicoanalyse blijkt dat de systemen waarschijnlijk gecompromitteerd zijn. Het NCSC adviseert ook om na de installatie van de patches te blijven monitoren en detectie toe te passen op misbruik van de kwetsbaarheden.
Wordt met de «workaround» van Citrix de kans op een cyberaanval en het hiermee hacken van gegevens voldoende beperkt? Zo nee, welke maatregelen dienen ziekenhuizen nog meer te nemen?
Zie antwoord vraag 6.
Welke ziekenhuizen zijn nog niet aangesloten bij Z-Cert, het expertisecentrum op het gebied van cybersecurity in de zorg?
Alle ziekenhuizen (academisch, topklinisch en algemeen) zijn via de koepel van Nederlandse Vereniging van Ziekenhuizen (NVZ) en de koepel van Nederlandse Federatie van Universitair Medische Centra (NFU) aangesloten. Onderzocht wordt, conform de motie van het Kamerlid Ellemeet, of deelname aan Z-Cert verplicht kan worden. Na het zomerreces zal ik de voortgang van mijn onderzoek met uw kamer delen.
Wat gaat u doen om te bevorderen dat zo spoedig mogelijk alle ziekenhuizen zijn aangesloten bij Z-Cert?
Zie antwoord vraag 8.
Het bericht ‘Cyberaanval Universiteit Maastricht duurt mogelijk tot na de kerstvakantie’ |
|
Chantal Nijkerken-de Haan (VVD), Dennis Wiersma (VVD) |
|
Ingrid van Engelshoven (minister onderwijs, cultuur en wetenschap) (D66) |
|
![]() |
Bent u bekend met het bericht «Cyberaanval Universiteit Maastricht duurt mogelijk tot na de kerstvakantie»?1
Ja.
Wat is er precies op kerstavond gebeurd tijdens de cyberaanval op Universiteit Maastricht?
Na de cyberaanval heeft de Universiteit Maastricht gespecialiseerd bureau Fox-IT in de arm genomen om onderzoek te doen naar wat er is gebeurd. Uit het rapport van Fox-IT2 blijkt dat de aanvaller halverwege oktober via phishing e-mails eerste toegang heeft gekregen tot het netwerk van de Universiteit Maastricht. Vervolgens heeft de aanvaller in een periode van ruim twee maanden zichzelf toegang verschaft tot de rest van het netwerk van de Universiteit Maastricht. Dit heeft er uiteindelijk toe geleid dat aan het begin van de avond van 23 december de zogenaamde ransomware is uitgerold in het systeem, waarmee op 267 servers alle bestanden zijn versleuteld. Onder de getroffen systemen bevonden zich zeer kritieke systemen voor de bedrijfsvoering en zijn enkele back-upservers getroffen. Vervolgens is door de hackers losgeld geëist om de versleuteling van de databestanden op te heffen.
Wat zijn de gevolgen van de cyberaanval op Universiteit Maastricht voor haar studenten? Welke systemen zijn niet meer bereikbaar? Welke back-upsystemen heeft de Universiteit Maastricht? Zouden goede back-upsystemen niet onderdeel moeten zijn van de reguliere beveiligingsprocessen? Hoe groot is de kans dat de data überhaupt niet meer beschikbaar wordt?
In de kerstvakantie is een groot deel van de data niet beschikbaar geweest voor studenten en zijn systemen niet toegankelijk geweest. Op 6 januari is het onderwijs en onderzoek hervat. De centrale systemen zijn snel weer beschikbaar gesteld en ook de decentrale systemen waren in de loop van januari weer te gebruiken. Een beperkte segmentatie binnen het netwerk was één van de redenen dat dit incident kon ontstaan. De Universiteit Maastricht heeft aangekondigd de aanbevelingen van Fox-IT op dit vlak op te zullen volgen. De Universiteit Maastricht geeft bovendien aan dat er voor elk cruciaal systeem inmiddels beter afgeschermde back-ups zijn gemaakt. Er zijn vooralsnog geen aanwijzingen over verminderde beschikbaarheid van data.
Welke stappen worden er gezet om de documenten van en voor studenten veilig te stellen? In hoeverre heeft de Universiteit Maastricht haar studenten hierover geïnformeerd?
In het door Fox-IT uitgevoerde onderzoek is uitdrukkelijk aandacht besteed aan eventuele data-extractie. Fox-IT concludeert: «Tijdens het onderzoek zijn sporen aangetroffen die aantonen dat de aanvaller data heeft verzameld aangaande de topologie van het netwerk, gebruikersnamen en wachtwoorden van meerdere accounts, en andere netwerkarchitectuur-informatie. Fox-IT heeft binnen de scope van het onderzoek geen sporen aangetroffen die wijzen op het verzamelen van andersoortige data. Additioneel forensisch onderzoek op kritieke systemen, ook wel aangeduid als kroonjuwelen, zou hier meer inzicht in kunnen bieden.» De Universiteit Maastricht heeft aangekondigd vervolgonderzoek te (laten) doen. De Universiteit Maastricht heeft studenten en andere betrokken nagenoeg dagelijks op de hoogte gesteld via de website en sociale media. Studenten hebben hier volgens de Universiteit Maastricht in algemene zin waardering voor geuit.
In hoeverre kan Universiteit Maastricht garanderen dat wetenschappelijke data beschermd is? Hoe gaat u dit waarborgen?
Zie antwoord vraag 4.
Hoe gaat Universiteit Maastricht er zo snel mogelijk voor zorgen dat de gijzeling van haar computersystemen wordt beëindigd? Heeft u aanwijzingen dat de universiteit hiervoor losgeld gaat betalen? Kunt u het betalen van losgeld uitsluiten?
Door de Universiteit Maastricht ben ik op de hoogte gesteld van het feit dat er losgeld is betaald aan de criminele organisatie, inclusief de hoogte van het bedrag. Voordat de Universiteit Maastricht hiertoe over is gegaan, heb ik de universiteit kenbaar gemaakt dat de regering van mening is dat er geen geld naar criminelen toe moet vloeien. Het is de eigen afweging van het college van bestuur van de Universiteit Maastricht geweest om het losgeld te betalen. De universiteit heeft mij te kennen gegeven dat de betaling van het losgeld, inclusief alle overige kosten die samenhangen met de ransomware-aanval, bekostigd zijn uit de verkoop van een deelneming van de holding Universiteit Maastricht.
In hoeverre bent u het met het Expertisecentrum Cyberweerbaarheid Limburg eens, dat het moeilijk te verkopen is dat overheidsinstellingen criminelen gaan betalen om een einde te maken aan de cyberhack van Universiteit Maastricht? In hoeverre bent u betrokken bij het besluit om wel of niet losgeld te betalen aan deze criminelen? Deelt u de mening dat het betalen van deze criminelen ervoor zorgt dat hun verdienmodel in stand wordt gehouden?
Zie antwoord vraag 6.
Kan Universiteit Maastricht er zeker van zijn dat het betalen van de criminelen er ook daadwerkelijk voor zorgt dat de cyberaanval stopt?2 Zo nee, hoe gaat u er dan voor zorgen dat dit niet gebeurt?
Na het betalen van het losgeld zijn alle versleutelde gegevens van de Universiteit Maastricht ontsleuteld. Daarvoor en daarna heeft de Universiteit Maastricht mitigerende maatregelen getroffen zodat de criminelen geen toegang meer hadden tot het netwerk.
Op welke manier biedt het Ministerie van Onderwijs, Cultuur en Wetenschap (OCW) op dit moment hulp aan Universiteit Maastricht?
Kort na de cyberaanval heeft de UM contact opgenomen met het Ministerie van OCW en gedurende de aanval is er nauw contact onderhouden tussen de Universiteit Maastricht, het Ministerie van OCW, de Inspectie, de NCTV, het NCSC en SURF om een volledig beeld te verkrijgen en te adviseren.
Universiteiten en Hogescholen hebben met ondersteuning van OCW in 2018 een Platform Integrale Veiligheid Hoger Onderwijs (Platform IV-HO) opgericht om expertise te bundelen en grip te krijgen op incidenten en veiligheidsrisico’s in het hoger onderwijs waaronder in het cyberdomein. Daarnaast heeft onderwijs-ICT-organisatie SURF veel expertise op het gebied van digitale veiligheid. SURF en het Platform IV-HO staan met elkaar in nauw contact en bundelen zo hun kracht om universiteiten en hogescholen zo goed mogelijk bij te staan en voor te bereiden op dergelijke situaties. Ook in deze situatie hebben het Platform IV-HO en SURF hun expertise beschikbaar gesteld.
Hoeveel andere universiteiten in Nederland hebben te maken met dergelijke cyberaanvallen of pogingen daartoe? Heeft u aanwijzingen dat naast Universiteit Maastricht ook andere Nederlandse universiteiten aan de beurt zijn?
Cyberaanvallen op grote instellingen in de private en publieke sector zijn aan de orde van de dag. Zo ook bij universiteiten. De universiteiten hebben mij aangegeven dat zij maatregelen hebben aangescherpt om aanvallen af te slaan of de gevolgen van aanvallen te beperken. Daarbij is het goed te realiseren dat 100% veiligheid niet bestaat, zo concludeert ook de Wetenschappelijke Raad voor Regeringsbeleid in het rapport «Voorbereiden op digitale ontwrichting».4 De WRR stelt daarin dat het volledig voorkomen van digitale incidenten een illusie is.
Deelt u de mening dat informatieveiligheid een belangrijk onderdeel is van de organisatie van onderwijsinstellingen? In hoeverre wordt hierop toegezien binnen de reguliere inspectie?
Het instellingstoezicht door de Inspectie van het Onderwijs (hierna: Inspectie) vindt in het hoger onderwijs plaats naar aanleiding van incidenten of signalen van niet-naleving. De Wet op het hoger onderwijs en wetenschappelijk onderzoek geeft geen specifieke voorschriften voor informatieveiligheid. Van het bestuur mag worden verwacht dat zij zorgdraagt voor de goede voortgang van het onderwijs en daartoe verantwoorde beslissingen neemt over alle aspecten die dat mogelijk maken. Daaronder valt ook de verantwoordelijkheid voor informatieveiligheid. In dat kader heeft de Inspectie een onderzoek ingesteld.
Zijn er al aanwijzingen waar de cyberaanval op Universiteit Maastricht vandaan komt en met welk doel deze cyberaanval is uitgevoerd? Is de aanval vergelijkbaar met de aanval op Universiteit Antwerpen van afgelopen oktober?
Fox-IT geeft aan dat de werkwijze van de aanvaller overeenkomt met een bij hen bekende criminele groepering, publiek bekend als «TA505», die – volgens hun informatie – al meer dan 150 slachtoffers heeft gemaakt in 2019. De werkwijze is vergelijkbaar met die van de aanval op de Universiteit Antwerpen.
Welke stappen gaat u zetten om dergelijke cyberaanvallen in de toekomst te voorkomen?3
In de Kamerbrief «Cyberveiligheid in het onderwijs» heb ik aangekondigd dat in het mbo en hoger onderwijs aanvullende acties worden gepleegd om de cyberveiligheid te versterken. In de acties is aandacht voor de lessen die zijn getrokken uit de aanval op Universiteit Maastricht, de toetsing van digitale veiligheid in het onderwijs, de monitoring en scanfunctie en voor vergroten van awareness. Vanuit mijn rol als verantwoordelijke voor de continuïteit van het gehele stelsel, zal ik mij ervan vergewissen dat de continuïteit ook in dit geval geborgd is en mij met enige regelmaat laten informeren over de voortgang van de aangekondigde acties.
Het bericht ‘Dutch minister urges EU action to fight child pornography online’ |
|
Kees Verhoeven (D66) |
|
Ferdinand Grapperhaus (minister justitie en veiligheid) (CDA) |
|
![]() |
Bent u bekend met het bericht «Dutch Minister urges EU action to fight child pornography online»?1
Ja.
Wat is de reden dat u, in strijd met het kabinetsstandpunt en antwoorden op eerdere schriftelijke vragen, internationaal een pleidooi houdt voor het verzwakken van encryptie, wat evident niet binnen de kaders van het kabinetsstandpunt past?
Zoals ik heb gemeld in antwoorden op Kamervragen van het lid Verhoeven op 15 november jl. zijn mijn zorgen niet in strijd met het kabinetsstandpunt over encryptie uit 2016.2 Ik streef naar oplossingen die binnen de kaders van het kabinetsstandpunt recht doen aan de belangen van de opsporing en de nationale veiligheid. Daarbij acht ik het onder meer van belang te bezien of een internationale oplossing mogelijk is.
Het breder gebruik van encryptie, onder meer door het instellen als standaard bij communicatie tussen personen, maakt het opsporen van strafbare feiten lastiger en soms onmogelijk. Zoals gemeld in mijn brief van 22 november jl. over de aanpak van online seksueel kindermisbruik ben ik bezorgd over de toekomstige effectiviteit van opsporing naar het vervaardigen, verspreiden of bezitten van kinderporno, zware criminaliteit en terrorisme.3
De integrale aanpak van online seksueel kindermisbruik is een belangrijk speerpunt voor mij, dit misbruik is mensonterend en één van de meest verwoestende vormen van criminaliteit. Vanaf het begin van deze kabinetsperiode wil ik deze spiraal doorbreken, slachtoffers verdienen dat.
Bent u bereid te stoppen met pleiten voor het verzwakken van encryptiesoftware?
Ik heb niet gepleit voor het verzwakken van encryptiesoftware. Zie verder het antwoord op vraag 4.
Deelt u de mening dat u niet enerzijds «het belang van encryptie voor de veilige communicatie tussen burger, bedrijf en overheid, de bescherming van de persoonlijke levenssfeer en de toegevoegde waarde voor de digitale economie in Nederland» kunt onderschrijven en anderzijds kunt pleiten voor het afzwakken dan wel terugdraaien van encryptie van communicatie?
Het kabinetsstandpunt uit 2016 benoemt diverse betrokken belangen, waaronder het belang van encryptie voor de veilige communicatie tussen burger, bedrijf en overheid, de bescherming van de persoonlijke levenssfeer en de toegevoegde waarde voor de digitale economie in Nederland. Daarnaast wijst het kabinetsstandpunt op het belang van het (tijdig) verkrijgen van inzicht in de communicatie ten behoeve van de bescherming van de nationale veiligheid en de opsporing van strafbare feiten. In de antwoorden op Kamervragen van het lid Verhoeven van 15 november jl. heb ik erop gewezen dat de mogelijkheid om gegevens in onversleutelde vorm te vorderen bij een dienstverlener minder vaak beschikbaar is. In toenemende mate worden bij moderne toepassingen van encryptie de gegevens nog slechts in versleutelde vorm door dienstverleners verwerkt.
De diverse betrokken belangen staan in bepaalde gevallen met elkaar op gespannen voet. Voor dergelijke gevallen is het nodig oplossingen te vinden die recht doen aan deze belangen en/of waarbij deze belangen zorgvuldig zijn gewogen. Daarvoor heb ik aandacht gevraagd. Zoals gemeld in het antwoord op vraag 2 streef ik naar oplossingen binnen de kaders van het kabinetsstandpunt uit 2016.
Bent u bereid deze vragen nog deze week te beantwoorden?
Verzending binnen twee werkdagen bleek helaas niet haalbaar. De vragen zijn wel met spoed beantwoord.
De berichten 'Datacenters in Nederland raken in wurggreep van Amerikanen' en 'Nederlandse bouwer van datacenters failliet' |
|
Joba van den Berg-Jansen (CDA) |
|
Ferdinand Grapperhaus (minister justitie en veiligheid) (CDA), Eric Wiebes (minister economische zaken) (VVD) |
|
![]() |
Bent u bekend met de berichten «Datacenters in Nederland raken in wurggreep van Amerikanen» en «Nederlandse bouwer van datacentres failliet»?1 2
Ja, ik ben met deze berichten bekend.
Klopt het beeld dat Nederland de controle dreigt te verliezen over consumenten- en bedrijfsgegevens opgeslagen in datacenters op Nederlands grondgebied als gevolg van investeringen van Amerikaanse bedrijven in kritieke digitale infrastructuur in Nederland? Welke gevolgen kan dit hebben voor de veiligheid en autonomie van Nederland in het digitale domein?
Het is van belang om onderscheid te maken tussen datacenterdiensten, zoals het fysieke gebouw van het datacenter, de servers, en de (hosting)diensten, zoals opslag en enerzijds en de consumenten- en bedrijfsgegevens op deze servers anderzijds. In beginsel zijn datacenters alleen eigenaar en/of beheerder van het onroerend goed. De bedrijven die van het datacenter gebruik maken zijn eigenaar en/of beheerder van de servers/clouds. Enkele datacenters verlenen optioneel diensten als de verhuur van servers, of de verlening van andere diensten (zoals clouddiensten).
Datacenters zijn momenteel niet aangewezen als vitale infrastructuur. Wel is het kabinet voornemens nader onderzoek te doen naar de vraag of datacenters alsnog onderdeel moeten worden van de vitale infrastructuur. Datacenters vanaf een bepaalde omvang zijn al onder het Wetsvoorstel ongewenste zeggenschap telecommunicatie gebracht (Wozt), zodat toekomstige overnames van deze datacenters getoetst zullen worden (zie mijn antwoord op vraag3.
Wat betreft de consumenten- en bedrijfsgegevens opgeslagen in datacenters, merk ik het volgende op. Allereerst zijn de clouddiensten gereguleerd onder de Wet beveiliging netwerk- en informatiesystemen (Wbni), zodat zij maatregelen moeten treffen om de risico’s voor de beveiliging van hun netwerk- en informatiesystemen te beheersen. Daarnaast is de Algemene verordening gegevensbescherming van toepassing. In het artikel worden ook zorgen geuit over de gevolgen van de CLOUD-act. Voor een eerste appreciatie van deze gevolgen verwijs ik u naar twee eerdere brieven die het kabinet naar uw Kamer heeft verzonden.4
Kunt u een overzicht geven van dergelijke datacenters in Nederland, hun locaties en eigenaars?
De rijksoverheid beschikt niet over een dergelijk overzicht. De brancheorganisatie Dutch Data Center Association heeft mij te kennen gegeven dat er ongeveer 200 datacenter locaties in Nederland zijn, met meer dan 50 verschillende Nederlandse en buitenlandse uitbaters en eigenaren.5
Wie is de eigenaar van de datacenters waarvan het Binnenhof en de verschillende departementen gebruikmaken?
In het AO Digitale Overheid van 4 december 2019 is door de Minister van Binnenlandse Zaken en Koninkrijksrelaties toegezegd uw Kamer per brief te informeren over datacenters die door de rijksoverheid in gebruik zijn. Vraag 4 en 5 zullen in die brief worden beantwoord. Deze brief zal in het eerste kwartaal van 2020 aan uw Kamer worden verstuurd.
Wat is de staat van de bekabeling van, naar en in deze datacenters? Wie is de eigenaar van deze kabels en bijgevolg (mede)verantwoordelijk voor o.a. onderhoud, vervanging, beheer en beveiliging? Zouden deze kabels in het kader van de nationale veiligheid niet voor tenminste 51 procent overheidseigendom moeten zijn? Worden deze kabels beschouwd en behandeld als een vitaal proces of een vitale dienst? Welke (veiligheids)wetgeving is hier van toepassing?
Zie antwoord vraag 4.
Bent u van mening dat de Wet ongewenste zeggenschap telecommunicatie, de uitvoeringswet Europese Foreign Direct Investment Screening (FDI)-screeningsverordening en het stelsel van investeringstoetsing, die allen in voorbereiding zijn, gezamenlijk voldoende bescherming bieden tegen ongewenste overnames van kritieke digitale infrastructuur, zoals datacenters?
Ja. Het verkrijgen van overwegende zeggenschap in een aanbieder van datacenterdiensten valt onder de werking van het Wetsvoorstel ongewenste zeggenschap telecommunicatie. Voorwaarde is wel dat de partij die het datacenter overneemt daardoor relevante invloed in de telecommunicatiesector verkrijgt. Daarvan is sprake als bij de overname een zekere drempelwaarde wordt overschreden. Het voornemen is om deze drempelwaarde bij datacenterdiensten vast te stellen op een stroomcapaciteit van meer dan 40 MW. Dat wil zeggen dat een investeerder in een datacenter onder de werking van het Wetsvoorstel ongewenste zeggenschap telecommunicatie valt als hij door die investering overwegende zeggenschap verkrijgt in een of meer aanbieders van datacenterdiensten en deze diensten een stroomcapaciteit hebben van meer dan 40 MW. Hiermee valt bij de huidige marktverhoudingen naar schatting in ieder geval een overname van de grootste vier datacenteraanbieders onder de werking van het Wetsvoorstel ongewenste zeggenschap telecommunicatie. Dit betekent dat een dergelijke overname moet worden gemeld bij de Minister van Economische Zaken en Klimaat en dat deze vervolgens zal worden getoetst. Mocht blijken dat de overname een gevaar op kan leveren voor openbare orde of nationale veiligheid dan kan de overname worden verboden.
Is deze berichtgeving voor u aanleiding om het (concept)wetsvoorstel voor de invoering van een investeringstoets op nationale veiligheidsrisico’s versneld naar de Tweede Kamer te sturen en niet, zoals aangekondigd in de Kamerbrief van 11 november 2019, pas aan het eind van 2020 (met inwerkingtreding nog veel later)? Waarom wel of waarom niet?3
De planning voor het wetgevingstraject betreffende de investeringstoets op nationale veiligheidsrisico’s is aan uw Kamer gemeld door de ministers van Economische Zaken en Klimaat en van Justitie en Veiligheid op 11 november 2019. 7De ministers verwachten de conceptwet conform ambitieuze planning eind 2020 aan uw Kamer te kunnen aanbieden.
Zoals reeds in antwoord op vraag 6 is aangegeven, valt het verkrijgen van overwegende zeggenschap in een aanbieder van datacenterdiensten onder de werking van het Wetsvoorstel ongewenste zeggenschap telecommunicatie. Dit Wetsvoorstel ligt nu voor in uw Kamer en de nota naar aanleiding van het verslag is onlangs naar uw Kamer verzonden.8
Zoals reeds in antwoord op vraag 2 is aangegeven, is het kabinet voornemens nader onderzoek te doen, naar de vraag of datacenters niet alsnog onderdeel moeten worden van de vitale infrastructuur.
Hoe wordt toezicht gehouden, zolang deze investeringstoets er nog niet is? Bent u van plan in de tussentijd aanvullende maatregelen te nemen om onze kritieke digitale infrastructuur beter te beschermen? Waarom wel of waarom niet?
Zie antwoord vraag 7.
Wat betekent het faillissement van de Nederlandse bouwer van datacenters voor de veiligheid van Nederland? Welke wetgeving geldt hier ten aanzien van de eisen aan eigenaarschap e.d., wanneer dit bedrijf een doorstart zou maken?
Ik voorzie op dit moment geen impact van het faillissement van een leverancier van ontwerpdiensten en de bouwbegeleiding van datacenters (ICTroom) voor de veiligheid van Nederland. Er zijn meerdere (Nederlandse) spelers actief op de markt in Nederland, en daarbuiten. Bovendien is hier sprake van een groeiende markt, en verwacht ik dat er meer spelers bij zullen komen. De normale faillissementswetgeving is in dit geval van toepassing. Het verkrijgen van overwegende zeggenschap in leveranciers van ontwerpdiensten en bouwbegeleiding van datacenters, dan wel bouwers van datacenters valt niet onder de werking van het Wetsvoorstel ongewenste zeggenschap telecommunicatie.
Het bericht 'KPN loopt voor de troepen uit en bouwt ondanks politieke strijd alvast Huawei-zendmasten in de Randstad' |
|
Joba van den Berg-Jansen (CDA), Arne Weverling (VVD) |
|
Mona Keijzer (staatssecretaris economische zaken) (CDA) |
|
![]() ![]() |
Bent u bekend met het bericht «KPN loopt voor de troepen uit en bouwt ondanks politieke strijd alvast Huawei-zendmasten in de Randstad»?1
Ja, hier heb ik kennis van genomen.
Kunt u bevestigen dat KPN momenteel Huawei-antennes installeert voor zijn huidige 4G- en toekomstige 5G-netwerk? Indien ja, om hoeveel antennes gaat het en op welke locaties?
KPN heeft bevestigd dat zij dit najaar zijn begonnen met het moderniseren van het radionetwerk met apparatuur van Huawei.
Zijn KPN en T-Mobile op dit moment de enige telecomaanbieders in Nederland die Huawei-apparatuur in hun telecomnetwerk hebben?
Meerdere telecomaanbieders in Nederland en in de Europese Unie maken thans gebruik van Huawei-apparatuur in hun netwerken.
Is hier volgens u, indachtig de aangenomen motie-Weverling c.s. (Kamerstuk 24 095, nr. 471), sprake van een «onomkeerbare stap» in de uitrol van 5G? Indien niet, wanneer zou daar wel sprake van zijn?
In de motie Weverling c.s. wordt het kabinet verzocht telecomproviders te bewegen geen onomkeerbare stappen te nemen in de uitrol van 5G totdat de resultaten van de Taskforce bekend zijn. Op 1 juli 2019 zijn de resultaten van de Taskforce aan de Kamer gestuurd (Kamerstuk 30 821, nr. 92), waarna op 4 juli 2019 hierover een debat plaatsvond. De telecomaanbieders zijn vervolgens geïnformeerd over deze resultaten, waarbij is besproken dat zij hier rekening mee moeten houden bij de verdere inrichting van hun netwerk. KPN heeft aangegeven dit te doen.
Behoren antennes naar uw mening tot de kritische onderdelen van een telecomnetwerk, met vertaald naar de EU risicoanalyse voor 5G (pag. 16/17) een «hoog» veiligheidsrisico?
De Taskforce Economische Veiligheid heeft in de nationale risicoanalyse op basis van de te beschermen belangen en de actuele dreiging kritieke onderdelen geïdentificeerd in de huidige telecomnetwerken. De lijst met kritieke onderdelen is vertrouwelijk. In samenwerking met de telecomaanbieders wordt een structureel proces ingericht. Deze structurele aanpak maakt het mogelijk om adaptief te kunnen reageren op veranderingen in de dreiging of ontwikkelingen in de telecomnetwerken. Op die manier kunnen ook de telecomnetwerken in de toekomst beschermd worden tegen de dreiging.
Zoals ook beantwoord onder vraag 4 zijn de telecomaanbieders, waaronder KPN, geïnformeerd over de maatregelen die het kabinet neemt. De telecomaanbieders blijven ook bij de nadere uitwerking hiervan nauw betrokken en het is daarbij aan deze partijen om bij hun investeringen hier rekening mee te houden.
De Nederlandse aanpak past binnen de Europees gecoördineerde aanpak zoals vormgegeven met de Commissie Aanbeveling Cyberbeveiliging van 5G-netwerken2 en de tijdens de Telecomraad van 3 december jl. aangenomen Raadsconclusies3.
Wat vindt u van het moment dat KPN heeft gekozen om zijn antennes te vervangen, wetende dat de regering momenteel werkt aan een algemene maatregel van bestuur met daarin de juridische grondslag voor de noodzakelijke aanscherpingen van de eisen aan (de leveranciers van de diensten en producten in de kritische onderdelen van) telecomnetwerken?
Zie antwoord vraag 5.
Past deze vervangingsoperatie in uw ogen binnen de «gecoördineerde aanpak» van de integriteit van 5G-netwerken waartoe de aangenomen motie-Van den Berg c.s. (Kamerstuk 21 501-33, nr. 747) oproept?
Zie antwoord vraag 5.
De veiligheid van het 5G netwerk |
|
Kathalijne Buitenweg (GL), Laura Bromet (GL) |
|
Mona Keijzer (staatssecretaris economische zaken) (CDA), Ferdinand Grapperhaus (minister justitie en veiligheid) (CDA) |
|
![]() |
Bent u bekend met het bericht «EU poised to send warning to China on 5G» van Bloomberg?1
Ja.
Bent u het eens met de stelling dat de beoordeling van de leveranciers van 5G infrastructuur ook moet kijken naar de nationale wetgeving in het land waar de leverancier vandaan komt, en dan met name of daar bepalingen in staan die de leverancier kunnen dwingen tot het delen van data met de lokale autoriteiten? Zo ja, kan de aanwezigheid van dergelijke bepalingen reden zijn om de leverancier niet goed te keuren? Zo nee, waarom niet?
In het Besluit veiligheid en integriteit telecommunicatie2, zoals dat op 5 december 2019 is gepubliceerd, wordt geregeld dat aanbieders van openbare elektronische communicatie netwerken of -diensten in Nederland de verplichting kan worden opgelegd om in de kritieke onderdelen van hun netwerken louter gebruik te maken van producten of diensten van anderen dan de daarbij genoemde, voor die kritieke onderdelen uitgesloten, leveranciers. Daarbij gelden krachtens dit besluit als criteria voor het uitsluiten van leveranciers, dat bekend is of gronden zijn te vermoeden dat de genoemde leveranciers de intentie hebben om Nederlandse telecomnetwerken te misbruiken of te laten uitvallen, dan wel dat zij nauwe banden hebben met of onder invloed staan van een partij met die intentie.
Zoals toegelicht bij het Besluit veiligheid en integriteit telecommunicatie zijn deze criteria in lijn met de overwegingen die het kabinet hanteert bij de beoordeling van risico’s ten aanzien van onder meer spionage door statelijke actoren, zoals die zijn vermeld in de brief aan de Tweede Kamer over C2000.3 Dat betekent dat bij de beoordeling van bovengenoemde leveranciers ook wordt gekeken naar de wetgeving van het land waaruit de leverancier afkomstig is, en meer in het bijzonder of deze wetgeving de leverancier verplicht om (bv. in de vorm van het moeten delen van data) samen te werken met de overheid van dat land.
Bent u het eens met de risicobeoordeling van de Europese Unie (EU) dat ook delen van het netwerk buiten de kern, zoals het Radio Access Network (RAN), moeten worden bestempeld als «hoog risico» voor spionage en sabotage en worden de extra veiligheidseisen ook van toepassing op het RAN? Zo ja, hoe beoordeelt u het feit dat Nederlandse providers al investeren in Chinese technologie in dit deel van het netwerk, terwijl de extra veiligheidseisen nog niet zijn afgekondigd? Zo nee, waarom niet?
De Taskforce Economische Veiligheid heeft in de nationale risicoanalyse op basis van de te beschermen belangen en de actuele dreiging kritieke onderdelen geïdentificeerd in de huidige telecomnetwerken. De lijst met kritieke onderdelen is als vertrouwelijk geclassificeerd en kan ik daarom niet met u delen.
In samenwerking met de telecomaanbieders wordt een structureel proces ingericht. Deze structurele aanpak maakt het mogelijk om adaptief te kunnen reageren op veranderingen in de dreiging of ontwikkelingen in de telecomnetwerken. Op die manier kunnen ook de telecomnetwerken in de toekomst beschermd worden tegen de dreiging.
Nederland heeft actief bijgedragen aan de totstandkoming van de Europese risicoanalyse, die zich richt op het toekomstige 5G netwerk, en de bevindingen zijn in lijn met en complementair aan de bevindingen van de Nederlandse Taskforce Economische Veiligheid.
De telecomaanbieders zijn geïnformeerd over de maatregelen die het kabinet neemt. De telecomaanbieders blijven ook bij de nadere uitwerking hiervan nauw betrokken en het is daarbij aan deze partijen om bij hun investeringen hier rekening mee te houden.
Zullen alle delen van 5G die beoordeeld worden als «hoog risico» ook expliciet zo worden benoemd? Of klopt het, zoals de Minister van Justitie en Veiligheid suggereerde tijdens het algemeen overleg over nationale veiligheid en crisisbeheersing van 14 november jl. dat dit niet bekend kan worden gemaakt vanwege redenen die samenhangen met nationale veiligheid?
Zie antwoord vraag 3.
Bent u het eens met de stelling dat het 5G netwerk in de Europese Unie moet zijn gegrond op de basiswaarden van de EU, zoals mensenrechten, de rechtsstaat en het beschermen van privacy? Zo ja, worden deze principes meegenomen in de beoordeling van leveranciers? Zo nee, waarom niet?
Zoals bij alle telecommunicatienetwerken is het belangrijk dat ook bij 5G-netwerken de randvoorwaarden zijn geborgd. De Telecommunicatiewet, waarin de Europese richtlijnen op het gebied van telecommunicatie en e-privacy zijn geïmplementeerd, biedt deze borging op tal van onderwerpen, waaronder de privacy, vertrouwelijkheid, veiligheid en integriteit. Deze regels richten zich tot de openbare aanbieders van elektronische communicatienetwerken en -diensten. Zij zijn op grond van artikel 11a.1 van de Telecommunicatiewet verplicht passende technische en organisatorische maatregelen te nemen om de risico’s voor de integriteit en veiligheid van hun netwerken en -diensten te beheersen. Het Besluit veiligheid en integriteit telecommunicatie, dat hierop is gebaseerd, biedt de mogelijkheid om telecomaanbieders daarbij te verplichten in de kritieke onderdelen van hun netwerken uitsluitend gebruik te maken van producten en diensten van vertrouwde leveranciers. Zoals hierboven ook in het antwoord op vraag 2 vermeld, zal het criterium bij de beoordeling van leveranciers zijn of zij zelf de intentie hebben om Nederlandse telecomnetwerken te misbruiken of laten uitvallen, dan wel nauwe banden hebben met of onder invloed staan van een partij met die intentie. Bij misbruik valt te denken aan spionage: ongeoorloofde toegang tot communicatiegegevens, zowel verkeersgegevens als inhoud van communicatie. Daarnaast zijn de aanbieders uiteraard ook gehouden aan de privacyregels in de Telecommunicatiewet en de Algemene verordening gegevensbescherming. Verder zijn er ook algemenere kaders zoals het Europees Verdrag voor de Rechten van de Mens.»
Kunt u zich vinden in de laatste aanbeveling van de EU risicobeoordeling dat de EU en haar lidstaten bij de uitrol van het 5G-netwerk ook rekening moeten houden met de ontwikkeling van de eigen industriële capaciteit op het gebied van 5G? Zo ja, hoe bent u van plan om deze aanbeveling op te volgen? Zo nee, waarom niet?
Het is belangrijk om het vraagstuk van industriële capaciteit voor 5G te bezien in een bredere context van innovatiebeleid, omdat dit vraagstuk ook op andere terreinen speelt. Om de transitie naar een duurzame en digitale economie te kunnen maken is een stevig innovatiebeleid nodig. Gezamenlijk optrekken binnen de EU zal ontwikkeling van sleuteltechnologieën en onderzoek en innovatie in het algemeen bevorderen. Ook het versterken van de Europese interne markt heeft onze blijvende prioriteit. Hierbij is het vooral belangrijk om uit te blijven gaan van onze eigen economische waarden. Open markten zorgen ervoor dat onze bedrijven concurrerend en innovatief zijn en leveren nieuwe producten en diensten op voor consumenten, tegen redelijke prijzen. Binnen de interne markt zijn strenge mededingingsregels en politiek onafhankelijk toezicht nodig voor het beschermen van de belangen van de consument en het faciliteren van eerlijke concurrentie. Over de aspecten waarop een eventuele stimulering van de eigen 5G industriële capaciteit plaatsvindt en de mate waarin dat dan gebeurt wordt nog in EU-verband besproken.
Het bericht dat de IRMA-app wordt gebruikt in een huisartsenpost |
|
Evert Jan Slootweg (CDA) |
|
Raymond Knops (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (CDA), Hugo de Jonge (viceminister-president , minister volksgezondheid, welzijn en sport) (CDA) |
|
![]() |
Heeft u kennisgenomen van het bericht «Medipark Uden gaat live met HiX»?1
Ja.
Klopt het bericht dat patiënten van Medipark Uden via het geïntegreerde online Zorgportaal eenvoudig en veilig hun herhaalmedicatie kunnen aanvragen op basis van de actuele medicatie van de patiënt?
Het klopt dat patiënten van Medipark Uden via het online Zorgportaal hun herhaalmedicatie kunnen aanvragen.
Klopt het dat de patiënten van Medipark Uden dit doen door in te loggen via I Reveal My Attributes (IRMA) op het online portaal?
Ja.
Klopt het dat IRMA een applicatie is die patiënten in staat stelt om zelf online aan te geven welke gegevens zij wel en niet willen delen, een methode die de privacy beschermt door «privacy by design»?
Volgens de informatie van IRMA houdt het ontwerp van de IRMA app rekening met privacy met een focus op dataminimalisatie, een van de privacybeginselen zoals opgenomen in de Algemene Verordening Gegevensbescherming.
Klopt het dat in de meest recente nationale en Europese wetgeving «privacy by design» wordt vereist voor nieuwe ICT-systemen?
Ja.
Is het juist dat Medipark Uden te horen heeft gekregen dat gebruik van IRMA in strijd is met artikel 87 van de Algemene Verordening Gegevensbescherming (AVG), artikel 46 van de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG) en de wet Elektronisch Berichtenverkeer (wet EBV)?
Nee, er is navraag gedaan bij Medipark Uden en zij heeft aangegeven niet hierover geïnformeerd te zijn.
Klopt het dat op basis van de huidige wetgeving patiënten van Medipark Uden eigenlijk alleen via DigiD mogen inloggen?
Nee. In de zorgsector is het, evenals in andere sectoren, verplicht een inlogniveau van passend betrouwbaarheidsniveau aan te bieden, afhankelijk van de gegevens die worden ontsloten. Bij gegevens die onder het medisch beroepsgeheim vallen is dat niveau «hoog». Bij het gebruik van DigiD zijn nu de niveaus «substantieel» en «hoog» nog niet beschikbaar. De Autoriteit Persoonsgegevens heeft bij brief van 4 oktober 2018 (Kamerstuk 31 293, nr. 412) gereageerd op vragen hieromtrent van VWS. De AP heeft geantwoord dat authenticatie dient plaats te vinden met ten minste tweefactorauthenticatie, in afwachting van het breder beschikbaar komen van authenticatiemethoden met een passend hoog niveau. Hieraan voldoet onder andere DigiD in combinatie met sms. Andere mogelijkheden worden echter niet uitgesloten.
Zodra de Wet digitale overheid in werking treedt wordt het mogelijk om private inlogmiddelen toe te laten die een hoog betrouwbaarheidsniveau aanbieden.
Klopt het dat wanneer Medipark Uden DigiD zou gebruiken voor elektronische identificatie, zij 14 eurocent zou moeten betalen voor elke succesvolle inlog?2
In 2017 heeft de ministerraad besloten dat vanaf 2018 alle kosten voor beheer en exploitatie van DigiD worden doorbelast aan dienstverleners die zijn aangesloten op DigiD. Deze kosten worden dus niet aan burgers doorbelast.
Voor 2019 is het bedrag door het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties vastgesteld op € 0,117 per succesvolle inlog, excl. BTW. Dit bedrag wordt ieder jaar opnieuw vastgesteld voor het daaropvolgende jaar. De prijs is afhankelijk van de kosten voor de doorontwikkeling van DigiD en de onderliggende infrastructuur.
Overigens is het zo dat de Minister van Volksgezondheid, Welzijn en Sport de kosten voor het gebruik van DigiD in de zorg vergoedt. Medipark Uden hoeft daarom niet per succesvolle inlogpoging te betalen.
Klopt het dat deze 14 eurocent per inlog gaan naar het bedrijf Logius, dat dan de beheerder is van de gegevens van de burger?
Ja. Logius brengt het werkelijke gebruik in rekening bij de dienstverlener die gebruikmaakt van DigiD (in dit geval het Ministerie van VWS).
Ik benadruk dat Logius geen bedrijf is, maar een baten-lastendienst die onderdeel is van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, en onder andere DigiD beheert. Logius verwerkt voor DigiD enkel gegevens van de burger die nodig zijn voor het gebruik van DigiD. Voor een volledig overzicht verwijs ik naar het Besluit verwerking persoonsgegevens digitale infrastructuur en de privacyverklaring van DigiD (zie https://www.digid.nl/wat-is-digid/privacy).
Klopt het dat de AVG, de UAVG en de wet EBV alleen toestemming verlenen aan DigiD omdat de firma Logius, als beheerder van de gegevens van de burger, als enige toestemming heeft om Burger Service Nummers (BSN) van burgers te verwerken?
De verwerking van het BSN vereist een wettelijke basis. Het BSN mag verwerkt worden door overheidsinstanties voor het uitvoeren van hun publiekrechtelijke taak. Organisaties buiten de overheid mogen het BSN verwerken als dat wettelijk is bepaald. Denk in dit geval aan pensioenfondsen en zorgverleners.
In de wet EBV is geregeld dat de Minister van BZK persoonsgegevens, waaronder het BSN, verwerkt voor de werking van DigiD.
Op dit moment is het zo dat DigiD het enige publieke elektronische identificatiemiddel is en daarmee ook het enige middel waarbij werking van het BSN is toegestaan. Het wetsvoorstel digitale overheid dat nu in behandeling is, beoogt ook andere (private) inlogmiddelen toe te laten, waarbij – ten behoeve van het inloggen bij de overheid- het BSN wordt verwerkt.
Overtreden lokale overheden of – zoals in het geval van Medipark – zorgaanbieders de wet wanneer een burger zich middels de IRMA-app identificeert?
Op dit moment heeft alleen DigiD een wettelijke basis om het BSN te verwerken. Andere (private) inlogmiddelen kunnen deze wettelijk basis ook krijgen als de Wet digitale overheid van kracht wordt en zij als middel worden toegelaten. In het antwoord op vraag 7 gaf ik aan dat de Autoriteit Persoonsgegevens toeziet op het passend beveiligen van gegevens. De Autoriteit Persoonsgegevens heeft IRMA nog niet uitgesloten.
Daarnaast geldt dat overheden een eigen verantwoordelijkheid hebben om adequate beveiliging van gegevens in te richten, waaronder de identificatie. Welke mate van beveiliging zij moeten hanteren hangt af van de dienstverlening die wordt aangeboden en de gegevens die daarbij worden ontsloten. Of het gebruik van de IRMA-app rechtmatig is hangt daarom af van de dienstverlening die wordt ontsloten, de gegevens die daarbij worden ontsloten en het betrouwbaarheidsniveau dat IRMA beoogt te bieden.
Kunt u uitleggen op welke wijze de stichting achter IRMA het BSN verwerkt?
Zover mij bekend heeft de stichting dit als volgt ingericht. Het BSN wordt, via de inlog met DigiD, door de gemeente verwerkt bij het ophalen van de gegevens uit de BRP. Vervolgens worden het BSN en de overige gegevens uit de BRP in de IRMA app geplaatst. De gebruiker van de IRMA app kan deze gegevens, waaronder het BSN, onder zijn eigen verantwoordelijkheid verstrekken aan derden.
Wat is uw opvatting over attribuut gebaseerde authenticatie als wijze van elektronische identificatie?
Ik sta in zijn algemeenheid positief tegenover het gebruik van attribuut gebaseerde authenticatie, mits deze voldoet aan de Europese eisen aan privacy (AVG) en inlogmiddelen (eIDAS).
Vooropgesteld merk ik op dat bij (elektronische) identificatie het erom gaat om iemands identiteit vast te stellen. Dit kan via een WID maar langs elektronische weg ook bijvoorbeeld via gezichtsherkenning in combinatie met een ander attribuut. Bij authenticatie wordt gecontroleerd of iemand is wie hij zegt dat hij is. Als we het hebben over authenticatie als wijze van elektronische identificatie, gaat het om de stap nadat een gebruiker zich heeft geïdentificeerd middels een bewijs van identiteit.
Of de authenticatie kan plaats vinden met een attribuut zal afhangen van de vraag of de dienstverlener kan vertrouwen op de juistheid en actualiteit van de attributen en dat deze daadwerkelijk toebehoren aan de betrokken burger. Hoe hoger het vereiste betrouwbaarheidsniveau bij het inloggen, hoe meer eisen aan dit vertrouwen zullen worden gesteld. Ik kijk met interesse uit naar middelen die aan deze eisen voldoen.
Kunt u voorbeelden geven van een app die een rechtspersoon of een natuurlijk persoon is?
Een app is geen van beide. Een app is software die gemaakt wordt en/of geëxploiteerd wordt door een natuurlijke of rechtspersoon en onder diens verantwoordelijkheid valt.
Wanneer iemand een BSN intypt op een tekstverwerker en diegene gebruikmaakt van Microsoft, dient Microsoft als verwerker van het BSN dan ook een wettelijke grondslag te hebben?
Wanneer iemand een natuurlijke persoon is en bij de uitoefening van een zuiver persoonlijke of huishoudelijke activiteit een BSN intypt in een clouddienst, dan is de AVG niet van toepassing. In de overige gevallen waar een BSN wordt ingetypt en opgeslagen in een clouddienst, is degene die de clouddienst aanbiedt verwerker. De clouddienst wordt conform AVG aangemerkt als een verwerker wanneer hij ten behoeve van een verwerkingsverantwoordelijke persoonsgegevens verwerkt. In de meeste gevallen bestaat er bij een clouddienst een dergelijke situatie. Voor de verwerking geldt dan de grondslag voor gegevensverwerking van de verwerkingsverantwoordelijke. In dat geval is een verwerkersovereenkomst verplicht. Deze verwerkersovereenkomst zal dan meestal onderdeel uitmaken van de algemene voorwaarden waaronder de clouddienst wordt aangeboden. Wanneer een BSN wordt ingetypt in een offline softwareapplicatie waarbij het BSN niet op een server wordt opgeslagen, tijdelijk vastgehouden of op een of andere manier via een clouddienst wordt verwerkt, is de aanbieder van de softwareapplicatie geen verwerker. Dit laat overigens de verantwoordelijkheid van de aanbieder van een applicatie om zorg te dragen voor een veilige applicatie onverlet.
Waarom zijn volgens u de gegevens van de burger, die nu in handen zijn van het overheidsbedrijf Logius (door het gebruik van DigiD), veiliger en betrouwbaarder belegd dan wanneer ze in handen van de burger zelf blijven, wanneer hij of zij zich elektronisch identificeert via het gebruik van de persoonlijke kluis van IRMA?
Veiligheid hangt af van inrichting en waarborgen die met betrekking tot gegevensverwerking worden getroffen. Daarbij maakt het niet uit of de gegevensverwerking plaatsvindt onder verantwoordelijkheid van de overheid of van een private organisatie. Hierbij moet rekening gehouden worden met alle privacybeginselen uit de AVG, waaronder het helpen van de persoon over wie gegevens worden verwerkt in geval van problemen, bijvoorbeeld als zijn identificatiemiddel is gestolen. Deze mogelijkheid wordt beperkt indien niet te achterhalen is op welk moment tijdens het inloggen wie wat heeft gedaan. Dit is het geval wanneer gegevens enkel in handen van de burger zelf blijven.
De verwerking van gegevens door de Minister van BZK/Logius is met specifieke wettelijke waarborgen omkleed (in de Wet EBV en Besluit verwerking persoonsgegevens digitale infrastructuur), die vooralsnog tot inwerkingtreding van de Wet digitale overheid voor private middelen ontbreken.
Een aandachtspunt bij attributendiensten is wel dat het mogelijk maakt dat burgers zo laagdrempelig gegevens kunnen wisselen, ook met instanties die daartoe geen recht hebben, maar waarvan de burger afhankelijk is. In dit kader verwijs ik naar het overheidsbrede programma Regie op Gegevens dat de Minister van BZK gestart is en dat beoogt om kaders te stellen voor het digitaal delen van persoonsgegevens die afkomstig zijn uit overheidsregistraties.
Heeft u, mede in het licht van de Wet Digitale Overheid, bezwaar tegen het gebruik van IRMA in de zorg, zoals nu bijvoorbeeld gerealiseerd door Medipark Uden? Zo ja, hoe gaat u vormgeven aan uw bezwaar?
Het is belangrijk dat burgers een adequate beveiliging wordt geboden bij de digitale toegang tot hun medische gegevens. Betrouwbaar inloggen is daarvoor essentieel. Onder de Wet digitale overheid kies ik bewust voor het toelaten van private middelen (op minimaal betrouwbaarheidsniveau substantieel) vanuit het oogpunt van brede dekking en innovatie. De Wet digitale overheid stelt hier regels voor die aansluiten bij de Europese regels (eIDAS) voor inlogmiddelen. Ook IRMA zal hieraan moeten voldoen, om na inwerkingtreding van de Wet digitale overheid als Nederlands middel toegelaten te kunnen worden. Dit is nog niet vastgesteld. Daarnaast geldt dat IRMA ook als Europees middel niet genotificeerd is. In Europa zijn op dit moment enkele tientallen middelen eIDAS-genotificeerd. Voor IRMA geldt dat dit nog niet heeft plaatsgevonden.
De berichten ‘Hoe T-Mobile zichzelf in de voet schoot met omweg dataverkeer’ en ‘Klachten bij toezichthouder over traag internet bij T-Mobile‘ |
|
Arne Weverling (VVD), Thierry Aartsen (VVD) |
|
Mona Keijzer (staatssecretaris economische zaken) (CDA) |
|
![]() |
Bent u bekend met het bericht «Hoe T-Mobile zichzelf in de voet schoot met omweg dataverkeer»1 en het bericht «Klachten bij toezichthouder over traag internet bij T-Mobile»?2
Ja.
Wat is uw mening over het feit dat T-Mobile het Nederlandse dataverkeer niet meer via AMS-IX heeft geleid, maar in plaats daarvan via de eigen «backbone» in Duitsland, met een flinke afname van de reactiesnelheid tot gevolg?
Een private onderneming als T-Mobile heeft een grote mate van vrijheid om te bepalen hoe zij het verkeer van haar abonnees routeert.
Mijn ministerie heeft naar aanleiding van de berichtgeving navraag gedaan bij T-Mobile en de Autoriteit Consument en Markt (ACM). T-Mobile erkent dat er verkeer via het netwerk van Deutsche Telekom is geleid. Dat betrof een omleiding naar een onderdeel van het netwerk van Deutsche Telekom dat fysiek gevestigd is in de buurt van Amsterdam, waarna het verkeer langs diverse routes werd verwerkt. Dit kan onder meer via Duitsland zijn gebeurd.
Hoe verhoudt het omleiden van Nederlands dataverkeer via het buitenland en de gevolgen daarvan voor de reactiesnelheid van gebruikers zich tot de Nederlandse ambities om met het 5G netwerk een digitale koploper op het gebied van het leveren van snel internet te zijn?
Ik begrijp dat de routering van het verkeer door T-Mobile enkel betrekking had op het verkeer afkomstig van het vaste netwerk. Dus van klanten die een abonnement hebben bij T-Mobile Thuis via koper (het oude telefoonnetwerk) of glasvezel. De 2G, 3G, en 4G dienstverlening van T-Mobile werd zodoende niet beïnvloed door de omleiding van het verkeer. Indien T-Mobile reeds een 5G-netwerk had, dan zou die dienstverlening ook niet zijn beïnvloed.
Deelt u de mening dat het, met het oog op het waarborgen van het goede Nederlandse vestigingsklimaat voor aanbieders van digitale diensten, onwenselijk is als de reactiesnelheid voor gebruikers omlaag gaat wanneer Nederlands dataverkeer via het buitenland omgeleid wordt?
De reactiesnelheid die in de genoemde berichtgeving wordt beschreven noemt men ook wel latency, en wordt gemeten in milliseconden. Het is de tijd dat een signaal er over doet om van A naar B te reizen, en weer terug. Deze reactiesnelheid wordt een steeds belangrijker aspect van de kwalitatief hoogwaardige connectiviteit waar ik naar streef en daarmee belangrijk voor het Nederlandse vestigingsklimaat.
Overigens verschilt de behoefte aan reactiesnelheid per dienst. Op dit moment is de reactiesnelheid onder meer van belang voor diensten als gaming en bellen via internet («VoIP»). Voor andere diensten is de reactiesnelheid weliswaar van belang voor de gebruikservaring, maar niet essentieel voor een goede werking. Het is bijvoorbeeld fijn als een e-mail direct na verzending wordt afgeleverd, maar als het iets langer duurt gaat er niet meteen iets mis. De verwachting is echter dat er in de komende jaren steeds meer diensten komen waar een lage reactiesnelheid noodzakelijk is om goed te kunnen functioneren. Voorbeelden hiervan zijn zelfrijdende auto’s, augmented of virual reality, en spraakassistenten.
Ik ben blij om te zien dat het handelen van T-Mobile zo veel reacties heeft uitgelokt, en dat T-Mobile de omleiding vrijwel direct heeft teruggedraaid. In dit geval heeft de markt zijn werk gedaan.
Wat zijn volgens u de risico’s voor de positie van AMS-IX en andere Nederlandse exchanges bij het op dergelijke wijze omleiden van dataverkeer? En wat zijn volgens u de risico’s voor Nederland als internationaal knooppunt van internetverkeer?
Voor de positie van de AMS-IX als een van de belangrijkste internetknooppunten in de wereld is van belang dat er zo veel mogelijk ondernemingen op haar locaties verkeer uitwisselen. Wanneer ondernemingen besluiten om verkeer uit te wisselen op een andere wijze dan vermindert dat de klandizie voor de AMS-IX. Omdat de AMS-IX een internetknooppunt is waar véél meer ondernemingen op zijn aangesloten dan enkel T-Mobile valt te betwijfelen of het anders routeren van verkeer door alleen T-Mobile van significante invloed is op de AMS-IX. Wel kan ik me voorstellen dat AMS-IX de trend waarbij grote internetaanbieders en dienstverleners steeds vaker rechtstreekse interconnecties met elkaar aangaan als bedreiging wordt ervaren.
Kunt u aangeven hoe het selectief omleiden van Nederlands dataverkeer via het buitenland, het zogeheten «double dipping», met als gevolg een lagere reactiesnelheid voor gebruikers of voor sommige Nederlandse websites, zich verhoudt tot de wettelijke plicht voor internetaanbieders om de netneutraliteit te waarborgen?
Eerst wil ik opmerken dat het omleiden van Nederlands dataverkeer via het buitenland niet hetzelfde is als wat er in de berichtgeving wordt bedoeld met double dipping. Double dipping verwijst naar de volgens de berichtgeving vermeende intentie achter het handelen van T-Mobile, of eigenlijk moedermaatschappij Deutsche Telekom. De stelling in de berichtgeving is dat Deutsche Telekom ondernemingen wiens diensten veel bandbreedte en/of een lage reactiesnelheid nodig hebben, dwingt tot betalen voor een goede verbinding met haar netwerk. De omleiding van het verkeer zou het voor Deutsche Telekom mogelijk maken om de toegang tot de abonnees van T-Mobile Thuis in te zetten als fiche in het onderhandelingsspel met dit soort dienstverleners. Op die manier kan Deutsche Telekom twee keer dippen. Oftewel, geld verdienen aan haar netwerk. Aan de ene kant door internettoegang en andere diensten te verkopen aan consumenten en zakelijke gebruikers. Aan de andere kant door een hoogwaardige verbinding met haar netwerk – zgn. «interconnectie» – te verkopen aan de ondernemingen die diensten leveren aan consumenten en zakelijke gebruikers.
De relatie tussen netneutraliteit en interconnectiebeleid wordt geregeld door de Europese netneutraliteitsregels zoals vastgelegd in Verordening 2015/2120/EU. Voor de toepassing van de Verordening heeft BEREC (Europese organisatie van nationale telecomtoezichthouders) richtsnoeren opgesteld. In die richtsnoeren is uitgelegd dat interconnectiebeleid onder artikel 3, eerste lid, van de Verordening getoetst kan worden als de daarin genoemde eindgebruikersrechten er door beperkt worden. Dit kan bijvoorbeeld het geval zijn wanneer interconnectiebeleid wordt ingezet om de intenties van de Verordening te omzeilen. In dergelijke gevallen kunnen nationale toezichthouders volgens BEREC in het kader van de netneutraliteitsregels interconnectieovereenkomsten onderzoeken. Dit betekent dat het interconnectiebeleid van internetaanbieders door de ACM kan worden getoetst aan de netneutraliteitsregels.
Deelt u de mening dat de Nederlandse digitale ondernemers, zoals aanbieders van websites, net zoals de consument recht hebben op gelijke behandeling wat betreft netneutraliteit en dat het selectief omleiden van Nederlands dataverkeer via het buitenland deze netneutraliteit schaadt?
Zie antwoord vraag 6.
Bent u bekend met vergelijkbare voorbeelden van internetaanbieders, die het Nederlandse dataverkeer omleiden via het buitenland, met mogelijke gevolgen voor de reactiesnelheid of de netneutraliteit? Zo niet, kunt u nagaan of ook andere internetaanbieders het Nederlands dataverkeer ook omleiden via het buitenland?
Nee, ik ben daar niet mee bekend. Ik zie voorts geen aanleiding om nader onderzoek te verrichten naar de routering van dataverkeer door Nederlandse internetaanbieders.
Deelt u de mening dat het verstandig zou zijn als de Autoriteit Consumet & Markt onderzoek doet naar de potentiële gevolgen voor de netneutraliteit van het omleiden van het dataverkeer door T-Mobile en eventuele andere gevallen die u bekend zijn?
De ACM is een onafhankelijk toezichthouder. Ten behoeve van die onafhankelijkheid acht ik het niet verstandig om mij uit te laten over de eventuele wenselijkheid van enig onderzoek. Overigens heeft de ACM mij wel laten weten dat zij contact heeft gehad met T-Mobile om vragen te stellen over diens handelen. De ACM verwacht nog nadere gesprekken met T-Mobile te gaan voeren over dit voorval.
Tot slot wil ik opmerken dat de ACM de ontwikkelingen in de interconnectiemarkt volgt. Zowel zelfstandig als in het verband van BEREC. Zo heeft BEREC reeds in 2012 onderzoek gedaan naar de relatie tussen netneutraliteit en interconnectie, benoemt ze op haar website interconnectie als aandachtspunt voor het waarborgen van netneutraliteit, en benoemt ze in haar recent geconsulteerde werkplan de optie van een workshop over het onderwerp. Het doel van zo’n workshop is om toezichthouders te informeren over de laatste ontwikkelingen in de interconnectiemarkt. Daarnaast heeft mijn ministerie reeds in 2015 aan de ACM gevraagd om onderzoek te verrichten naar de ontwikkelingen op de interconnectiemarkt. Dit onderzoek is gepubliceerd op de website van de ACM.3Uw Kamer is reeds eerder over ontwikkelingen in de interconnectiemarkt geïnformeerd bij brief van 23 december 2014.4 Er is dus aandacht voor ontwikkelingen als deze.
Het bericht ‘Minister bezorgd om versleuteling Facebook’ |
|
Kees Verhoeven (D66) |
|
Ferdinand Grapperhaus (minister justitie en veiligheid) (CDA) |
|
![]() |
Bent u bekend met het bericht «Minister bezorgd om versleuteling Facebook»?1
Ja.
Bent u bekend met het kabinetsstandpunt over versleuteling?2
Ja.
Wanneer gaat u naar Washington om met uw Amerikaanse collega over deze kwestie te praten?
Ik ben van 4 tot en met 7 december 2019 op werkbezoek in de Verenigde Staten.
Gaat u tijdens uw gesprek dit kabinetsstandpunt overbrengen en niet uw zorgen die in strijd zijn met dit kabinetsstandpunt?
Mijn zorgen zijn niet in strijd met het kabinetsstandpunt uit 2016. In het kabinetsstandpunt wordt onder meer gemeld dat encryptie het (tijdig) verkrijgen van inzicht in de communicatie ten behoeve van de bescherming van de nationale veiligheid en de opsporing van strafbare feiten bemoeilijkt, vertraagt of onmogelijk maakt. Dit geldt bijvoorbeeld voor de opsporing naar het vervaardigen, verspreiden of bezitten van kinderporno, zware criminaliteit en terrorisme. De mogelijkheid om gegevens in onversleutelde vorm te vorderen bij een dienstverlener is minder vaak beschikbaar. In toenemende mate worden bij moderne toepassingen van encryptie de gegevens nog slechts in versleutelde vorm door dienstverleners verwerkt.
Daarnaast vermeldt het kabinetsstandpunt het belang van encryptie voor de veilige communicatie tussen burger, bedrijf en overheid, de bescherming van de persoonlijke levenssfeer en de toegevoegde waarde voor de digitale economie in Nederland.
Ik zal de diverse betrokken belangen en de conclusie uit het kabinetsstandpunt dat het niet wenselijk is om beperkende wettelijke maatregelen te nemen ten aanzien van de ontwikkeling, de beschikbaarheid en het gebruik van encryptie binnen Nederland onder de aandacht brengen.
Bent u ook bezorgd over het afzwakken van versleutelingssoftware waardoor buitenlandse mogendheden en criminelen toegang kunnen krijgen tot de privécommunicatie van mensen?
Ik onderschrijf het belang van encryptie voor de veilige communicatie tussen burger, bedrijf en overheid, de bescherming van de persoonlijke levenssfeer en de toegevoegde waarde voor de digitale economie in Nederland. Goede encryptie helpt Nederlandse burgers en organisaties zich te beschermen tegen buitenlandse mogendheden en criminelen. Ik streef daarom naar oplossingen die binnen de kaders van het kabinetsstandpunt recht doen aan de belangen van de opsporing en de nationale veiligheid. Daarvoor is samenwerking en overleg met publieke en private belanghebbenden noodzakelijk.
Het gebruik van kunstmatige intelligentie in zedenzaken |
|
Kathalijne Buitenweg (GL) |
|
Ferdinand Grapperhaus (minister justitie en veiligheid) (CDA) |
|
![]() |
Kent u het bericht over onderzoekers van de Universiteit Maastricht die een chatbot hebben ontwikkeld voor slachtoffers van aanranding, verkrachting of andere vormen van seksuele intimidatie?1
Ja.
Acht u het mogelijk dat de overheid gebruik gaat maken van een dergelijke chatbot voor het helpen van slachtoffers van seksueel geweld?
In zijn algemeenheid wil ik opmerken dat digitale mogelijkheden de bestaande wijzen van hulpverlening kunnen aanvullen. Het kan er niet voor in de plaats komen, maar wel vanuit slachtofferperspectief ondersteunend werken.
Van de Universiteit van Maastricht heb ik begrepen dat de chatbot, waar uw vragen naar verwijzen, als doel heeft om geanonimiseerd meldingen te ontvangen, de melder te steunen en een advies te geven over het opnemen van contact met de bij de melder passende instantie. Dit kan bijvoorbeeld een psycholoog zijn. De ontwikkelingen op dit gebied zijn interessant en die volg ik. Het is echter te vroeg om voor dit concrete geval te zeggen of het door de overheid gebruikt kan worden.
Klopt het dat deze chatbot draait op een algoritme dat emoties van burgers interpreteert? Zo ja, wat vindt u ervan als de overheid met algoritmes gaat werken die emoties analyseren?
Het systeem is gemaakt door de Universiteit Maastricht. Zij hebben mij laten weten dat er geen emotie-herkenningsmodule in het systeem zit.
Welke data zijn gebruikt om het algoritme te ontwikkelen? Zijn dat data van Nederlandse meldingen? Waren de indieners van de gebruikte meldingen ervan op de hoogte dat deze gebruikt konden worden voor het ontwikkelen van een algoritme?
De Universiteit van Maastricht heeft mij laten weten dat de meldingen grotendeels afkomstig zijn uit India, maar ook uit enkele andere landen komen, zoals de Verenigde Staten van Amerika en Zuid-Afrika. Het betreft anonieme meldingen, die tevens ontdaan zijn van gegevens over eventuele daders.2
Welk juridisch en ethisch kader is op een dergelijke bot van toepassing? Vindt u dat dit huidige kader voldoet? Zo nee, waarom niet en welke voorwaarden bent u voornemens aan dit soort bots te stellen?
Belangrijk element van het juridische kader dat op een dergelijke bot van toepassing zal zijn is het gegevensbeschermingsrecht. Hieraan moet in eerste instantie worden voldaan bij het verkrijgen en gebruiken van de reeds in de beantwoording bij vraag 4 genoemde trainingsdata. Zoals ik vernam waren deze in dit geval reeds geanonimiseerd toen zij door de Universiteit werden verkregen, waardoor er voor de training van het algoritme in beginsel geen persoonsgegevens zijn verwerkt. Indien de chatbot echter in gebruik zou worden genomen voor een concrete doelgroep dan ligt het voor de hand dat er persoonsgegevens verwerkt gaan worden, waaronder naar alle waarschijnlijkheid ook bijzondere persoonsgegevens. Bij de ontwikkeling en het gebruik van een dergelijke bot zal men zich moeten houden aan alle vereisten die de Algemene Verordening Gegevensbescherming stelt aan het verwerken van de desbetreffende persoonsgegevens. Daarbij zal speciale aandacht uit moeten gaan naar de vraag of die bijzondere persoonsgegevens verwerkt mogen worden.
In algemene zin geldt dat AI zich in hoog tempo ontwikkelt en dat er nationaal en internationaal wordt bezien of daar gevolgen aan moeten worden verbonden voor regelgeving. Zo is de verwachting dat de nieuwe Europese Commissie op korte termijn een voorstel gaat doen voor een verordening op het gebied van AI.
Het kabinetsstandpunt over de omgang met Artificial Intelligence is recent verwoord in een drietal publicaties, namelijk het Strategisch Actieplan AI,3 de Beleidsbrief AI,4 publieke waarden en mensenrechten, en de brief over Waarborgen tegen risico’s van data-analyses door de overheid.5
Wie is er verantwoordelijk wanneer een dergelijke bot een fout zou maken in de beoordeling van een melding?
Als een chatbot in gebruik wordt genomen, dan is de partij die de bot beschikbaar stelt verantwoordelijk voor de deugdelijkheid van het systeem. Voor eventuele vragen van aansprakelijkheid gelden de algemene regels uit het Burgerlijk Wetboek. Aansprakelijkheid vraagt een beoordeling van de omstandigheden van het geval. De deugdelijkheid van het systeem, de informatie over de werking daarvan en de wijze waarop de gebruiker er gebruik van heeft gemaakt zijn aspecten die in dat licht van belang kunnen zijn.
De integratie van XS4ALL door KPN en de gevolgen voor de keuzevrijheid |
|
Frank Futselaar |
|
Mona Keijzer (staatssecretaris economische zaken) (CDA) |
|
Bent u bekend met het bericht dat KPN de organisatie XS4ALL volledig laat verdwijnen, ondanks een negatief advies van de ondernemingsraad (OR) en mogelijk negatieve bedrijfseconomische gevolgen?1
Ja.
Kunt u aangeven welke gevolgen het verdwijnen van het merk XS4ALL heeft voor de keuzevrijheid en of er internetaanbieders zijn die dezelfde kwaliteit dienstverlening aanbieden? Bent u bereid de Autoriteit Consument & Markt (ACM) te vragen hiernaar een marktanalyse uit te voeren?
Het staat marktpartijen in Nederland vrij om specifieke dienstverlening te ontwikkelen en in de markt te zetten. Zij kunnen zich voor de levering daarvan wenden tot de infrastructuur aanbieders om toegang tot hun netwerken te verkrijgen. Die toegang wordt gereguleerd en zoals u weet is mijn beleid erop gericht om die gereguleerde toegangsmogelijkheden te verruimen. Ik heb vanzelfsprekend geen oordeel over de onderscheidende kwalitatieve kenmerken van specifieke dienstverlening. Het oordeel daarover is aan de consument.
Deelt u de mening dat het negatieve advies van de OR slechts een formaliteit is en geen invloed zal hebben op de beslissing van de besturen van XS4ALL en KPN? Zo nee, kunt u voorbeelden noemen waarin een negatief advies van werknemers heeft geleid tot een ander besluit in de bestuurskamers?
Ik heb geen mening over hoe de besturen van XS4ALL en KPN het advies van de Ondernemingsraad wegen; dat is besluitvorming die in de betreffende bestuurskamers ligt. Daarbij heb ik er het volste vertrouwen in dat de wijze waarop we in Nederland deze ondernemingsrechtelijke bevoegdheden hebben belegd, bij de uiteindelijke besluitvorming adequaat worden meegewogen. Overigens blijkt uit recent onderzoek dat in ruim vier op de tien gevallen (42,6%) de Ondernemingskamer in het voordeel van de personeelsvertegenwoordiging oordeelt.2
Hoe vaak heeft een OR met succes beroep aangetekend bij de rechter en hiermee een strategische beslissing van deze aard tegengehouden?
Zie antwoord vraag 3.
Welke mogelijkheden hebben huidige abonnees van XS4ALL om hetzelfde niveau van dienstverlening en privacybescherming te krijgen? Bestaan er wettelijke belemmeringen, bijvoorbeeld op het gebied van niet-concurrentiële bedingen, voor werknemers en abonnees van XS4ALL om een nieuwe provider op te richten die hetzelfde niveau biedt?
Als consumenten behoefte hebben aan specifieke dienstverlening, dan geeft dat kansen aan marktpartijen om bij het verdwijnen daarvan in het gat te springen. Er bestaan (gereguleerde) toegangsmogelijkheden voor nieuwe marktpartijen die diensten leveren via de telecomnetwerken. In hoeverre eventuele niet-concurrentiële bedingen van werknemers dat in de weg staan, kan ik in deze niet beoordelen. Deze arbeidscontractuele bepalingen zijn, binnen algemene wettelijke regels, een nadrukkelijke verantwoordelijkheid van werkgever en werknemer.
De uitzending van De Monitor over ICT in de zorg |
|
Maarten Hijink (SP) |
|
Bruno Bruins (minister volksgezondheid, welzijn en sport) (VVD) |
|
![]() |
Wat is uw reactie op de uitzending van De Monitor over ICT in de zorg? Hoe erg is het volgens u dat de twee partijen die systemen ontwikkelen om gegevens in de zorg uit te wisselen, Epic en Chipsoft, zoveel macht hebben?
Er zijn meerdere partijen die uitwisseling in de zorg mogelijk (kunnen) maken. Ik ben op de hoogte van de markt voor ziekenhuis EPD leveranciers (= Elektronisch Patiëntendossier; verwijzend naar een centraal informatiesysteem voor patiëntendossiers in een ziekenhuis). Deze markt wordt inderdaad gekenmerkt door een beperkt aantal aanbieders en alternatieven.
Op dit moment bekijk ik samen met het zorgveld hoe ik kan ondersteunen bij het bundelen van krachten in de onderhandelingen met de EPD leveranciers. Het doel hiervan is om gemeenschappelijke wensenlijsten op te stellen (voor doorontwikkeling en innovatie), beter passende en open systemen te krijgen, gewenste veranderingen sneller door te laten voeren en betere prijsonderhandelingen te kunnen doen. De Autoriteit Consument & Markt (ACM) is de onafhankelijke toezichthouder. De ACM ziet op grond van de Mededingingswet erop toe dat bedrijven eerlijk met elkaar concurreren en treedt onder meer op tegen bedrijven die hun machtspositie misbruiken. Bedrijven kunnen bij de ACM terecht met hun signalen over mogelijk oneerlijke concurrentie. Het is de rol van de ACM om te oordelen over of in te grijpen op eventueel verstoorde markten. De ACM heeft mij laten weten in gesprek te gaan met de zorgsector over de mogelijkheden en risico’s van voorgenomen samenwerkingen tussen zorgaanbieders bij de inkoop van ICT.
Wat is uw oordeel over bedrijven in de zorg die extreem veel geld verdienen terwijl medici steen en been klagen over wat ze doen?
Het is aan zorgpartijen zelf om de juiste ICT-producten tegen de juiste prijzen in te kopen. Bedrijven mogen een eerlijke prijs vragen voor het leveren van hun producten of diensten, er mag geen sprake zijn van misbruik van een economische machtpositie. Ik neem signalen over hoge winsten van ICT leveranciers die actief zijn in de gezondheidszorg serieus. In mijn brief van 9 juli jl. (Kamerstuk 35 000-XVI, nr. 133) heb ik u reeds mijn standpunt over winstuitkering in de zorg medegedeeld. Hetzelfde standpunt heb ik in relatie tot winsten van ICT leveranciers actief in de zorg.
Bij deze maatschappelijke verantwoordelijkheid horen ook de juiste bekostigingsmodellen (met zoveel mogelijk vermijding van bijvoorbeeld perverse prikkels die uitwisseling in de weg staan; zoals kosten per uitwisseling) en transparantie van onder andere ontwikkelkosten en prijsopbouw. In dat kader vind ik het onwenselijk dat ICT-leveranciers bijvoorbeeld niet aan dezelfde transparantieverplichtingen dienen te voldoen als de sector waarvoor ze werken.
Wat is uw reactie op het bericht in de uitzending dat een grote ICT-leverancier ziekenhuizen en hun personeel totaal onder controle heeft en alleen helpt voor geld terwijl ze de uitwisseling van patiëntengegevens ophouden? Vindt u dit acceptabel?
Ziekenhuizen en ander zorgverleners zijn vrij in de keuze voor systemen waarmee zij patiëntgegevens verwerken. Het is aan zorgpartijen zelf om met ICT leveranciers te onderhandelen over de juiste prijzen en eisen. Tegelijkertijd vind ik het ook van belang dat informatie goed uitgewisseld kan worden. In december 2018 heb ik daarom aangekondigd regie te nemen op het versnellen van de totstandkoming van gegevensuitwisseling, onder anderen door het wettelijke verplicht stellen van elektronische gegevensuitwisseling (Kamerstuk 27 529, nr.166).
Digitalisering van gegevensuitwisseling is een behoorlijke uitdaging. Er zijn tekortkomingen in taal en techniek. Zo spreken alle betrokken beroepsgroepen hun eigen taal en die moet op elkaar worden afgestemd in alle mogelijke gegevensuitwisselingen. Daarnaast zijn er ook heel veel technische standaarden (die voor beelden bijvoorbeeld anders zijn dan voor documenten) en is er niet in elke regio al een infrastructuur voor elektronische uitwisseling. In mijn brief over elektronische gegevensuitwisseling van 12 juli jl. heb ik aangegeven gedetailleerde technische eisen aan ICT-producten te stellen op het gebied van eenheid van taal en techniek en aangekondigd leveranciers van ICT-systemen hieraan te gaan binden door dit via certificering af te dwingen. VWS voert zo actief beleid op het open maken van systemen. Deze wettelijk verplichte technische standaarden voor infrastructuren en gegevensuitwisseling maken dat de markt open wordt gemaakt voor andere aanbieders die voldoen aan deze eisen. Dit moet leiden tot meer innovatie, nieuwe toetreders en meer transparantie in de markt en draagt daardoor bij aan een beter functionerende markt.
Hebben ICT-bedrijven volgens u een belang bij (het verlenen van) goede zorg en een goede informatie-uitwisseling of bent u van mening dat de belangen van deze bedrijven ergens anders liggen, bijvoorbeeld bij het verdienen van veel geld?
Zie antwoord vraag 3.
Wat vindt u er eigenlijk van dat allerlei partijen in de zorg met verschillende systemen werken die onderling niet goed met elkaar samen kunnen werken waardoor zorgverleners in de uitwisseling van gegevens op allerlei barrières stuiten? Hoe kan het bijvoorbeeld dat zelfs ziekenhuizen die gebruik maken van dezelfde ICT-systemen van dezelfde leverancier onderling geen informatie uit kunnen wisselen? Vindt u dit ook onwenselijk en onbegrijpelijk? Hoe kan het dat de systemen helemaal niet zijn afgestemd op hoe artsen werken? Waarom zijn de systemen niet ontworpen vanuit de gebruikers, namelijk de patiënt en zorgverlener?
Een technische koppeling (eenheid van techniek) is slechts een van de onderdelen die nodig is voor goede gegevensuitwisseling. Zo ook afspraken over proces, dossiervoering en taal. Ziekenhuizen en andere zorgverleners hebben zelf systemen geselecteerd waarmee zij patiëntgegevens voor eigen gebruik opslaan. Lange tijd zijn deze systemen aangepast op de eisen en wensen van de individuele zorginstellingen, passend bij hun eigen proces. Ook EPD’s van dezelfde leverancier bij verschillende ziekenhuizen kunnen hierdoor fors verschillen qua inrichting. Ook hierom ondersteun ik (zoals in mijn antwoord op vraag 1 al gesteld) het zorgveld bij het bundelen van gemeenschappelijke inrichtingseisen en wensen.
Ziekenhuizen werken nou eenmaal met verschillende informatiesystemen, maar dat die niet of moeilijk met elkaar kunnen communiceren vind ik niet wenselijk. Daarom heb ik in december 2018 aangekondigd regie te nemen op het versnellen van de totstandkoming van gegevensuitwisseling en aangekondigd leveranciers van ICT-systemen hieraan te gaan binden, onder anderen door het wettelijke verplicht stellen van elektronische gegevensuitwisseling (Kamerstuk 27 529, nr.166).
Deelt u de mening dat de zorg soms suboptimaal is en daarmee ook beter zou kunnen als de ICT-systemen beter zouden werken en uitwisseling van informatie makkelijker wordt?
Een veilige en goed werkende elektronische uitwisseling van gegevens kan zorgen voor een efficiënter en effectiever zorgproces. Zorgverleners beschikken te vaak niet over de informatie die ze nodig hebben en zijn teveel tijd kwijt met faxen of het op DVD branden van gegevens. Mensen moeten te vaak opnieuw hun verhaal vertellen terwijl ze denken «dokter dat weet u toch wel». Ik vind daarom dat digitaal het nieuwe normaal moet worden en ik ga – zoals ik hierboven schreef – in concrete stappen elektronische gegevensuitwisseling wettelijk verplicht stellen.
Hoeveel tijd kost het zorgverleners op dit moment om alle benodigde gegevens over een patiënt beschikbaar te krijgen? Kunt u hiervan een inschatting maken?
De wijze waarop zorgverleners op dit moment alle benodigde gegevens over een patiënt beschikbaar krijgen, maar ook de winst die te behalen valt met betere elektronische gegevensuitwisseling, is sterk afhankelijk van de individuele patiënt, het zorgproces, de zorgverlener en casuïstiek. Er zijn helaas voorbeelden uit de praktijk te noemen waarin het zorgverleners veel tijd kost om alle benodigde gegevens over een patiënt beschikbaar te krijgen. Er is dus voldoende aanleiding dat dat snel anders moet, ter verbetering van de veiligheid van patiënten en voor de verlaging van de administratieve werklast van zorgverleners.
Erkent u dat het momenteel niet mogelijk is om over te stappen naar een ander ICT-systeem vanwege de kosten die daarmee samenhangen? Erkent u tevens dat ICT-leveranciers misbruik maken van die positie?
De implementatie van een groot en belangrijk ICT systeem in een zorginstelling (zoals een EPD), gaat gepaard met hoge kosten en een grote impact voor een organisatie. Het wisselen van EPD is voor een ziekenhuis een risicovol, complex en kostbaar traject. Bij het overstappen dienen ziekenhuizen te investeren in nieuwe apparatuur, voorzieningen, training van medewerkers, adviseurs en verlies aan productie. Toch stappen in de praktijk ziekenhuizen over naar een andere EPD-leverancier.
Ik wil elementen die nu het overstappen hinderen, zoveel mogelijk wegnemen. Dit doe ik bijvoorbeeld door (in de aanpak van het Programma elektronische gegevensuitwisseling) het in wet en normen gaan afdwingen van open systemen en door het doorvoeren van standaardisatie, zodat gegevens ook door andere systemen te gebruiken zijn. Zo kan er een markt ontstaan, doordat de informatie niet langer opgesloten zit in een enkel systeem en ook overstappen technisch eenvoudiger kan dan nu.
Ik omarm dan ook het initiatief vanuit het bedrijfsleven en de zorgsector, samen met VNO-NCW; het Manifest «Samen Vooruit». De ondertekenaars hiervan spreken steun uit voor de wettelijke verplichting van digitale gegevensuitwisseling, open systemen en open infrastructuren.
Klopt het dat de bereikbaarheid van de ICT-leveranciers na implementatie vaak te wensen over laat?
De mate van ondersteuning na implementatie is onderwerp van gesprek tussen zorginstelling en aanbieder en wordt onderhandeld en contractueel vastgelegd, zo laten zorgpartijen mij weten.
Deelt u de mening dat de winst van de ICT-leveranciers omgezet zou moeten worden in betere functionaliteit, ook aangezien het hier gaat om publiek geld? Vindt u de 45% netto winst van Chipsoft te verdedigen als een betere functionaliteit geen prioriteit is voor het bedrijf?
Een optimale inzet van ICT-systemen is een combinatie van openheid van dat systeem, functionaliteit maar zeker ook inpassing in het werkproces van de eindgebruiker. De zorg heeft dus goede ICT leveranciers nodig om haar zorgverlening te ondersteunen. Het is aan zorgpartijen zelf om de juiste ICT producten tegen de juiste prijzen in te kopen. Of de geleverde dienstverlening in verhouding staat tot de kosten, is aan de klant van de diensten om te beoordelen.
Zoals ik in mijn antwoord op vraag 2 al aangeef, komen mijn standpunt over winsten van ICT leveranciers actief in de zorg, overeen met de eerder in mijn brief van 9 juli jl. (Kamerstuk 35 000-XVI, nr. 133) genoemde standpunten.
Bent u op de hoogte van de winst die Epic de afgelopen jaren heeft gemaakt? Zo ja, wat is deze winst? Zo nee, bent u bereid dit uit te zoeken? Bent u van mening dat aangezien de ICT-systemen voor informatie-uitwisseling een belangrijk onderdeel zijn van een goede zorgverlening een dergelijk gegeven, als de gemaakte winst, transparant moet zijn?
Zie antwoord vraag 10.
Vindt u de gemaakte winst van vele miljoenen in verhouding staan met de geleverde prestaties? Bent u van mening dat slecht ontworpen informatie-uitwisselingssystemen ten koste gaan van de gezondheid (en soms zelfs het leven) van mensen en de kosten van de gezondheidszorg?
Zie antwoord vraag 10.
Wat gaat u doen om de informatie-uitwisseling tussen zorgverleners te verbeteren en wanneer kunnen zorgverleners effect verwachten?
Ik vind het van groot belang dat informatie tussen zorgverleners op een goede en veilige manier wordt uitgewisseld. In december 2018 heb ik daarom al aangekondigd regie te nemen op het versnellen van de totstandkoming van elektronische gegevensuitwisseling in de zorg, onder anderen door het wettelijke verplicht stellen van elektronische gegevensuitwisseling (Kamerstuk 27 529, nr.166). Ik heb in december 2018 ook mijn voornemen uitgesproken leveranciers van ICT-systemen hieraan te gaan binden. In mijn brief van 12 juli jl. (Kamerstuk 27 529, nr. 189) heb ik aangegeven dit te doen door gedetailleerde technische eisen aan ICT-producten te stellen op het gebied van eenheid van taal en techniek. Dit zal ik vervolgens via normering en certificering af dwingen. In 2020 dien ik daarom een wetsvoorstel in waarmee ik stapsgewijs elektronische gegevensuitwisseling verplicht zal stellen. De laatste jaren heb ik door versnellingsprogramma’s de informatie-uitwisseling tussen patiënt en professional bevordert (VIPP ziekenhuizen en VIPP voor overige medisch specialistische instellingen). In de nieuwe VIPP regeling voor instellingen voor medisch specialistische zorg wordt ook de uitwisseling tussen instellingen onderling gestimuleerd. Ik verwacht deze regeling eind dit jaar te publiceren.
Het bericht ‘Flaws in Cellphone Evidence Prompt Review of 10,000 Verdicts in Denmark’ |
|
Stieneke van der Graaf (CU) |
|
Ferdinand Grapperhaus (minister justitie en veiligheid) (CDA), Sander Dekker (minister zonder portefeuille justitie en veiligheid) (VVD) |
|
![]() |
Bent u bekend met het bericht «Flaws in Cellphone Evidence Prompt Review of 10,000 Verdicts in Denmark»?1
Ja.
Heeft u tevens kennisgenomen van het statement van de Deense Minister van Justitie, waarin deze aangeeft het gebruik van telecommunicatiegegevens als bewijs voor veroordeling of als grond voor het arresteren van verdachten tijdelijk te stoppen vanwege ernstige fouten die in deze gegevens zijn gevonden?2
Ja, dat heb ik.
Op welke wijze wordt, globaal gezien, in Nederland gebruikgemaakt van telecommunicatiegegevens bij de veroordeling en aanhouding van verdachten? Om hoeveel zaken gaat het jaarlijks?
Net als in Denemarken wordt ook in Nederland gebruik gemaakt van telecommunicatiegegevens bij het opsporen en vervolgen van misdrijven. In 2017 werden er 35.130 en in 2018 34.221 historische verkeersgegevens gevorderd. Het belang van die gegevens is niet in cijfers of statistieken uit te drukken omdat historische telecomgegevens vaak pas resultaat opleveren in combinatie met andere opsporingsmiddelen, zoals bijvoorbeeld observeren, doorzoeken van plaatsen, en telefoontaps. Hierdoor kan het resultaat achteraf niet aan één specifiek opsporingsmiddel worden toegeschreven.
Wordt in Nederland op een soortgelijke wijze en met soortgelijke technieken gebruikgemaakt van telecommunicatiegegevens bij de veroordeling en aanhouding van verdachten? Zo nee, waarin verschilt de Nederlandse werkwijze van de Deense?
Recent hebben de Deense autoriteiten geconstateerd dat er fouten zitten in de conversietool die de Deense politie gebruikt om de door de telecomproviders aangeleverde originele (bron)bestanden te converteren naar materiaal dat kan worden gebruikt in opsporingsonderzoeken en als bewijs.
De Nederlandse politie maakt ook gebruik van een conversietool, maar het materiaal uit deze tool mag niet als bewijs gebruikt worden. De conversietool van de Nederlandse politie wordt gebruikt om de door de telecomaanbieders aangeleverde originele bestanden te converteren en te analyseren. De tool is dus geen bronsysteem en het is ook geen forensische tool. Alleen de bronbestanden mogen als bewijsmateriaal worden aangedragen.
Voorts zijn er door de Deense autoriteiten ook «onzekerheden en bronnen van fouten» geconstateerd in de door de telecomaanbieders aangeleverde originele bestanden. De Deense overheid is een onderzoek gestart naar de omvang, de oorzaken en de consequenties van die onzekerheden en bronnen van fouten en hoopt dit eind september af te ronden. Tot die tijd mogen aldaar verkregen historische verkeersgegevens in Denemarken niet (meer) worden gebruikt in opsporingsonderzoeken.
Kan worden uitgesloten dat in Nederland onnauwkeurige of onjuiste gegevens zijn of worden gebruikt, hetzij door fouten in eigen IT-systemen, hetzij door fouten in de IT-systemen van telecomaanbieders?
Zoals hierboven beschreven mag het materiaal uit de conversietool in Nederland niet als bewijsmateriaal gebruikt worden. Alleen de bronbestanden mogen als bewijsmateriaal worden aangedragen.
In een bericht van de Deense politie wordt een aantal «onzekerheden en bronnen van fouten» in de door de Deense Telecomproviders aangeleverde bestanden benoemd. De Nederlandse politie heeft aangegeven een deel van deze voorbeelden te herkennen, maar is ermee bekend hoe de aangeleverde informatie moet worden geïnterpreteerd.
Zo is bij de Nederlandse politie bijvoorbeeld bekend dat wanneer in de originele bestanden op een bepaald tijdstip geen communicatie zichtbaar is, dit niet betekent dat er geen communicatie heeft plaatsgevonden. Sinds het buiten werking stellen van de Wet bewaarplicht telecommunicatiegegevens door de kortgedingrechter in Den Haag op 11 maart 2015, bewaren telecomproviders alleen die gegevens die zij nodig hebben voor hun eigen bedrijfsvoering. Dat leidt ertoe dat niet alles bewaard wordt en derhalve niet alles kan worden geleverd aan de opsporingsdiensten.
Ik heb geen concrete aanleiding om aan te nemen dat er door de politie in Nederland onnauwkeurige of onjuiste gegevens worden gebruikt. Wel zal ik na de afronding van het Deense onderzoek de politie vragen om alle door de Denen aangegeven «onzekerheden en bronnen van fouten» op de Nederlandse situatie te projecteren en mij over de bevindingen te rapporteren. Mocht daartoe aanleiding zijn dan zal ik uw Kamer daarover berichten.
Bent u bereid contact op te nemen met het Deense Ministerie van Justitie om te bezien of mogelijk sprake kan zijn van vergelijkbare onvolkomenheden in Nederland?
Er is reeds contact met de Deense autoriteiten. Ook is er contact met het Nederlandse Openbaar Ministerie over het gebruik van via rechtshulp verkregen Deense telecomgegevens.
Ziet u aanleiding om de betrouwbaarheid van telecommunicatiegegevens die in de rechtspraak worden gebruikt beter te borgen, zodat deze data ook op de lange termijn in de rechtspraak aangewend kunnen worden?
Nee, op dit moment zie ik op basis van de Deense situatie geen aanleiding voor een aanpassing van de huidige werkwijze.
Het bericht ‘NXP verkoopt zijn audiodivisie aan het Chinese Goodix’ |
|
Joba van den Berg-Jansen (CDA) |
|
Eric Wiebes (minister economische zaken) (VVD) |
|
![]() |
Bent u bekend met het bericht «NXP verkoopt zijn audiodivisie aan het Chinese Goodix»?1
Ja.
Wat is uw reactie op dit bericht?
Een onderneming is zelf verantwoordelijk voor de bedrijfsvoering en belangrijke beslissingen zoals de verkoop van een bedrijfsonderdeel. Slechts in bijzondere gevallen zal de rijksoverheid binnen de vigerende kaders interventies willen overwegen. Er moet in dat geval sprake zijn van een direct publiek belang zoals risico voor de nationale veiligheid. NXP geeft aan dat zijn audioactiviteiten voor mobiele telefoons, met minder dan 2% van NXP’s werknemers een relatief klein onderdeel van het bedrijf, buiten de strategische focus van het bedrijf valt. Het onderdeel past wel goed bij de productportefeuille van Goodix. Met de overname door Goodix blijft de werkgelegenheid, waarvan zo’n 40 personen in Nederland, behouden.
Wat vindt u ervan dat NXP zijn audiodivisie verkoopt met als argument dat het er in de auto-industrie, NXP’s belangrijkste markt, weinig meerwaarde van verwacht, terwijl ontwikkelingen als verplicht handsfree bellen en zelfrijdende voertuigen op basis van stemcommando’s logischerwijs juist tot meer spraak- en audioactiviteiten zouden moeten leiden?
Het bedrijf is zelf verantwoordelijk voor de strategische keuzes die het maakt. De producten die het betreffende NXP-onderdeel maakt worden met name gebruikt in mobiele telefoons en koptelefoons. Van NXP begrijpen wij dat het zijn audioactiviteiten voor toepassing in de auto behoudt.
Deelt u de mening dat NXP een bedrijf is dat niet alleen actief is in een vitale sector, namelijk de telecomsector, maar zelf ook vitale diensten en processen levert, zoals het maken van speciale halfgeleiders, waarvan het onwenselijk is dat deze, uit veiligheidsoogpunt, onder zeggenschap van een buitenlandse partij komen?
In de Nationale Veiligheidsstrategie (NVS 2019) heeft het kabinet de ontwikkeling van de versterkte aanpak beschermen vitale infrastructuur aangekondigd. De toepassing van de beschermende maatregelen op niet alleen vitale aanbieders en processen, maar ook hun ketenafhankelijke factoren, bedrijven, organisaties of netwerken worden meegenomen.
Dit is in lijn met de motie Van den Berg c.s., over een versterkte aanpak van de bescherming van de vitale processen en diensten. Hierbij wordt door het kabinet bekeken welke processen en diensten buiten hetgeen tot nu toe als vitale infrastructuur is aangemerkt, nog aanvullende bescherming behoeven.
Hoe kijkt u aan tegen het feit dat een dienst of proces naar de aard niet vitaal hoeft te zijn, maar dat verkeerd gebruik die dienst of dat proces alsnog vitaal, en daarmee een land dus kwetsbaar kan maken? Vindt u dat daar in het geval van NXP sprake van is?
Zie antwoord vraag 4.
Wat kunt u melden over de reputatie van Goodix, het Chinese bedrijf dat NXP wil overnemen, in het bijzonder over eventuele banden van dit bedrijf en diens medewerkers met de Chinese overheid? Vindt u het bedrijf in dat opzicht een goede overnamepartner?
In afwezigheid van een direct publiek belang is de beoordeling of Goodix een goede overnamepartner is, bij uitstek een vraag voor de markt. Wij hebben op dit moment geen reden om aan te nemen dat de overname door Goodix van het onderdeel van NXP is ingegeven door andere dan zakelijke, marktgedreven overwegingen.
Welke criteria hanteert de toezichthouder op dit moment bij het goed- dan wel afkeuren van een bedrijfsovername als deze?
De enige toezichthouder die mogelijk toestemming moet geven bij deze overname is de Autoriteit Consument en Markt (ACM) of de Europese Commissie. Er gelden thans geen sectorspecifieke regels die toezien op overnames van Nederlandse technologiebedrijven, met uitzondering van bedrijven die thans leverancier zijn van het Ministerie van Defensie en waarvoor de Algemene Beveiligingseisen voor Defensieopdrachten (ABDO) van toepassing zijn. De ACM en de Europese Commissie hebben als generieke taak het toezicht houden op naleving van de mededingingsregels. De mededingingsautoriteiten beoordelen als gevolg van deze wet alle meldingsplichtige concentraties, ongeacht de sector. Of een voorgenomen concentratie moet worden gemeld, en of dat bij de ACM of de Europese Commissie is, is afhankelijk van de omzet van de betrokken bedrijven. Bij de beoordeling onderzoekt de ACM de mogelijke effecten van de concentratie op de mededinging. De ACM kijkt daarbij, conform haar wettelijke taak, niet naar andere belangen.
In hoeverre betrekt de toezichthouder daarbij de kabinetsbrief over maatregelen bescherming telecomnetwerken en 5G van 1 juli 2019 en de beide moties-Van den Berg c.s., over een versterkte aanpak van de bescherming van de vitale processen en diensten en over eisen aan bij 5G betrokken bedrijven (Kamerstukken 24 095, nrs. 487 en 488), die de Kamer recent heeft aangenomen?
Zoals aangegeven in het antwoord op vraag 7 toetst de toezichthouder op basis van haar wettelijke taak, in het geval van de ACM op basis van de Mededingingswet. Daarbij wordt niet naar andere belangen dan de wet voorschrijft gekeken.
Hoe groot acht u de kans dat de overname van NXP door het Chinese Goodix daadwerkelijk doorgaat?
Het is niet aan mij om over deze kans te speculeren. NXP geeft aan dat het bedrijfsonderdeel alleen technologie uit Nederland en China bevat, waardoor instemming van de Amerikaanse toezichthouder niet nodig is. Als de overname op basis van het mededingingsrecht gemeld moet worden is de overname daarvan afhankelijk, zoals ook aangegeven in het antwoord op vraag 7.
Zou de Wet ongewenste zeggenschap telecommunicatie, die overnames in de telecomsector kan verbieden of terugdraaien als de nationale veiligheid of openbare orde in gevaar kunnen komen, indien deze wet al in werking zou zijn getreden, tot een andere afweging en/of een ander overnamebesluit kunnen leiden?
Het wetsvoorstel voor de Wet ongewenste zeggenschap telecommunicatie heeft betrekking op de verkrijging van overwegende zeggenschap in telecommunicatiepartijen. De audioactiviteiten voor mobiele telefoons van NXP valt niet onder de definitie van een telecommunicatiepartij. Deze overname zou daarom niet binnen de reikwijdte van dit wetsvoorstel vallen.
Ziet u in het voornemen van Goodix om NXP over te nemen, en in de (veiligheids)risico’s die dit voor Nederland met zich kan meebrengen, aanleiding om zo spoedig mogelijk met aanvullende maatregelen te komen die naast de telecomsector ook andere vitale sectoren, bedrijven en regio’s met vitale diensten en processen beschermen?
Wij zien op dit moment geen aanleiding om met maatregelen te komen op het voornemen van NXP om de audioactiviteiten voor mobiele telefoons te verkopen aan Goodix.
In de Kamerbrief Tegengaan Statelijke Dreigingen (Kamerstuk 30 821, nr. 72) worden verschillende maatregelen aangekondigd. Een van de maatregelen is de uitwerking van een investeringstoets op nationale veiligheidsrisico’s bij overnames en investeringen als laatste redmiddel. Uw Kamer wordt dit najaar geïnformeerd over de voortgang met betrekking tot de Wet Ongewenste Zeggenschap Telecom en de implementatie van de EU-verordening tot vaststelling van een kader voor de screening van buitenlandse directe investeringen in de Unie (2017/0224 (COD)).
Wat kan de Kamer op dat vlak nog van u verwachten en wanneer?
Zie antwoord vraag 11.
Het bericht ‘Nieuwbouwhuis? Grote kans dat 5G je geen sneller internet oplevert’ |
|
Arne Weverling (VVD) |
|
Mona Keijzer (staatssecretaris economische zaken) (CDA) |
|
![]() |
Kent u het bericht «Nieuwbouwhuis? Grote kans dat 5G je geen sneller internet oplevert»?1
Ja, het bericht is bekend.
Deelt u de mening dat zoveel mogelijk mensen in Nederland de beschikking moeten hebben over snel internet, zowel vast als mobiel? Zo nee, waarom niet?
Ja. Daarom voer ik bijvoorbeeld beleid om de uitrol van snel internet in buitengebieden te faciliteren en ben ik van plan voor mobiele netwerken een dekkingseis te stellen die een minimale snelheid garandeert.
De mate waarin dekking voor mobiel internet kan worden gegarandeerd is echter onderhevig aan natuurkundige principes. Absolute garanties voor mobiele netwerkdekking zijn niet te geven. Mobiele dekking wordt beïnvloed door een veelheid van factoren, zoals het weer, bladerdek, bebouwing, maar ook de verbeterde isolatie van woningen.
Wat is uw mening over de reportage van RTL Z, zeker met het oog op uw eerdere uitspraken over het belang van mobiele connectiviteit en het feit dat de scheidslijn tussen vaste en mobiele infrastructuur aan het vervagen is?2
In telecommunicatie is connectiviteit in toenemende mate van belang, of dat nu wordt geleverd via een vaste verbinding, via een draadloze verbinding als wifi, 4G, 5G, dan wel via andere technologieën. Deze ontwikkeling is een belangrijke reden om zowel voor vaste als mobiele infrastructuur beleid te voeren. Genoemde trends zoals convergentie en vervagende scheidslijn betekenen overigens niet dat ik verwacht dat vaste en mobiele infrastructuren volledig elkaars substituut gaan worden. Mobiele netwerken kunnen leveren waar vaste dat niet kunnen, en soms dus ook andersom. Daarbij hebben vaste netwerken, zoals bijvoorbeeld een glasvezelaansluiting, voorsprong in breedbandige capaciteit.
Deelt u de mening dat de mate van connectiviteit niet alleen buitenshuis, maar ook binnenshuis van goede kwaliteit moet zijn? Zo ja, welke beleidsinstrumenten (zoals ook genoemd in het Actieplan Digitale Connectiviteit) bent u van plan in te zetten om ook binnenshuis een goede digitale connectiviteit te garanderen?3
Het garanderen en regelen van goede mobiele ontvangst binnenshuis via bijvoorbeeld verhoging van mobiele zendvermogens buitenshuis is uiterst moeilijk. Omdat huizen zo sterk verschillen als het gaat om doordringbaarheid voor radiofrequenties zou het stellen van een bepaalde minimale ontvangstnorm binnenshuis onredelijk en onwerkbaar zijn. Om deze reden is bij de komende multibandveiling gekozen voor een dekkingseis die buitenshuis geldt.4 Er bestaan overigens goede remedies voor gevallen van onvoldoende mobiele dekking binnenshuis. De meeste huishoudens beschikken over een binnenshuis wifi-netwerk, gekoppeld aan een vaste internetverbinding. Voor mobiele internettoegang ligt het iets anders dan bij mobiel bellen. Voor wat betreft mobiele internettoegang kunnen apparaten zoals laptops, tablets, smartphones en dergelijke al sinds jaren eenvoudig overschakelen op wifi. Daarmee wordt een eventuele zwakke binnenshuisdekking gemakkelijk, automatisch en doorgaans ongemerkt omzeild. Sinds recentere datum is ook mobiel bellen over wifi technisch mogelijk gemaakt en door de Nederlandse mobiele operators aangeboden (Voice over Wifi). Om mobiel te bellen kunnen moderne smartphones tegenwoordig via een wifi-netwerk schakelen. Soms moet een gebruiker op zijn smartphone daarvoor even een instelling aanpassen. In combinatie met mijn beleid voor snel vast internet kan de bewoner van een goed geïsoleerd nieuwbouwhuis dus zelf maatregelen nemen voor behoorlijk binnenshuis werkende mobiele diensten.
Bent u bekend met het feit dat in gevallen waar binnenshuis geen goede verbinding met 4G mogelijk is, de nieuwe 5G-techniek waarschijnlijk ook geen soelaas zal bieden vanwege een verschil in frequentiegolven? Zo ja, is hiermee ook rekening gehouden in de doelstellingen, zoals geformuleerd in het Actieplan Digitale Connectiviteit, en hoe?
De mate waarin een radiosignaal door muren en ramen dringt heeft inderdaad onder meer te maken met de golflengte. Hoe lager een frequentie in het radiospectrum, hoe makkelijker deze door ramen en muren komt, en omgekeerd. Vooralsnog zijn de 700 MHz band, de 3,5 GHz band en de 26 GHz band aangewezen als 5G banden. De 3,5 GHz-band en 26 GHz-band zijn hogere frequenties dan de tot zover gebruikelijke mobiele frequenties waarmee 2G, 3G, en 4G wordt aangeboden. De 700 MHz-band is lager, een golflengte die juist weer iets beter doordringt dan de tot nu toe gebruikte mobiele frequentiebanden waarvan op dit moment de laagst uitgegeven frequentieband de 800 MHz-band is.
Daarbij dient ook vermeld te worden dat 5G op zich niet nodig is voor mobiele telefonie, omdat bellen geen hoge bandbreedte vraagt en bestaande mobiele technologieën daarvoor nog heel wat jaren goed daarvoor blijven voldoen.
Ik vermeld daarbij ook dat 5G niet simpelweg het breedbandiger verlengde gaat zijn van wat de bestaande mobiele technologieën tot zover bieden. Waar 5G in de praktijk straks zijn belangrijkste toepassingen gaat vinden, moeten we afwachten, maar de verwachting is dat 5G belangrijk gaat worden in bedrijfsmatige situaties (verticals). Gezien het korte bereik van golven in de 26 GHz band – dit geldt ook wel voor de 3,5 GHz band – is het niet erg aannemelijk, en het zou ook kostbaar worden, dat met deze frequentiebanden landelijk aanvullende dekkende netwerken gaan worden gerealiseerd. De genoemde banden gaan waarschijnlijk vooral meer plaatselijk voor extra capaciteit worden ingezet, daar waar veel mensen bij elkaar komen, en voor verticals zoals vermeld. Verbetering van de landelijke dekking kan wel worden verwacht wanneer de 700 MHz band in gebruik wordt genomen, in combinatie met de bijbehorende (outdoor)dekkingsplicht.5
Kunt u aangeven wat mogelijke oplossingen zijn om frequenties ter ondersteuning van zowel 4G als 5G op een adequate manier binnenshuis te ontvangen, zeker met het oog op nieuwbouwhuizen die vaak dikkere muren hebben? Zo nee, waarom niet?
Ik verwijs naar mijn antwoord op vraag 4.
Bent u in overleg met telecombedrijven om te bekijken hoe Nederlanders gebruik kunnen maken van een zo hoog mogelijke snelheid mobiel internet en oplossingen te bieden indien mensen niet op een adequate manier binnenshuis gebruik kunnen maken van 4G en 5G? Zo nee, waarom niet?
In het antwoord op vraag 4 is aangegeven dat bewoners zelf oplossingen kunnen toepassen om te voorzien in binnenshuis snelle internettoegang en om binnenshuis adequaat mobiel te kunnen bellen. Telecombedrijven hebben in Nederland voice over wifi op hun netwerken mogelijk gemaakt. Overleg met hen hierover vind ik niet nodig.
Hoe beziet u de berichtgeving van RTL Z in het licht van uw eerder aangekondigde dekkingseis met betrekking tot mobiele netwerken?4
Ik verwijs naar mijn antwoord op vraag 4.
Geld de eerder genoemde dekkingseis voor mobiele internetsnelheden buitenshuis, of ook binnenshuis?
Zoals in de Nota Mobiele Communicatie is toegelicht geldt de eis alleen voor dekking buitenshuis. Zie in dit kader ook mijn antwoord op vraag 4.
Herinnert u zich dat u eerder heeft aangegeven dat samenwerking tussen telecomaanbieders en andere betrokkenen, zoals projectontwikkelaars, bouwbedrijven en grondeigenaars, nodig is om inpandige dekking te verbeteren?5 Herinnert u zich dat u daarnaast heeft aangegeven dat de overheid hierbij een faciliterende rol kan spelen? Kunt u aangeven of de overheid deze faciliterende rol reeds speelt? Zo ja, op welke manier? Zo nee, waarom niet en betekent dit tegelijkertijd dat er nog geen overleg is tussen eerder genoemde partijen om inpandige dekking te verbeteren?
Wat betreft de genoemde faciliterende rol van het Ministerie van Economische Zaken en Klimaat heeft dat betrekking op zakelijke situaties, namelijk ten behoeve van een standaard voor multi-operator indoordekking. De Branchevereniging ICT en Telecomgrootgebruikers (BTG) is actief om met de mobiele operators en zakelijke grootgebruikers een standaard voor technische specificaties af te spreken voor indoor-antenne installaties, zodat in meer zakelijke omgevingen zoals kantoren de indoordekking verbetert. Ik ben bereid dit te ondersteunen, maar een verzoek om een faciliterende rol te spelen heb ik nog niet ontvangen. Ik zie geen praktische mogelijkheden voor zoiets in woonomgevingen. Zoals aangegeven onder vraag 4 kunnen mensen zo nodig zelf maatregelen treffen.
Het bericht dat Novartis gemanipuleerde data gebruikte |
|
Henk van Gerven (SP) |
|
Bruno Bruins (minister volksgezondheid, welzijn en sport) (VVD) |
|
![]() |
Wat is uw reactie op het artikel «Novartis gebruikte gemanipuleerde data»?1
Ik heb kennisgenomen van het artikel. Als een leverancier tijdens een centrale beoordelingsprocedure niet transparant handelt en bewust informatie manipuleert of achterhoudt, dan vind ik dat een zeer kwalijke zaak. Het is de verantwoordelijkheid van de leverancier om bij de instanties een volledig dossier aan te leveren op basis waarvan de werkzaamheid en veiligheid van een geneesmiddel kan worden beoordeeld.
Wat zegt dit volgens u over de integriteit van Novartis, niet in de laatste plaats aangezien het hier over het duurste medicijn ooit gaat?
De FDA verklaart dat AveXis (onderdeel van Novartis) op de hoogte was van de gemanipuleerde gegevens voordat Zolgensma werd goedgekeurd. De leverancier informeerde de FDA hier echter pas over nadat het product was goedgekeurd. Naar mijn mening dient transparantie in de goedkeuringsprocedure bij ieder farmaceutisch bedrijf voorop te staan. Het is een slechte zaak dat dit bij AveXis niet het geval lijkt te zijn geweest.
Om welke data gaat het precies? Vormt deze onthulling aanleiding om uit werkbaarheids- of veiligheidsoverwegingen deze therapie niet toe te laten? Kunt u uw antwoord toelichten?
De FDA heeft 6 augustus jl. naar buiten gebracht dat gemanipuleerde gegevens zijn ingediend in het kader van de goedkeuringsprocedure voor Zolgensma bij de FDA in de Verenigde Staten. Volgens de verklaring2 van de FDA gaat het om gegevens die AveXis indiende ter ondersteuning van de ontwikkeling van het productieproces van Zolgensma. De FDA geeft verder aan dat de geconstateerde manipulatie van deze gegevens niets veranderen aan de positieve beoordeling van de informatie uit de klinische studies. Volgens de FDA ondersteunt de totale bewijslast voor de werkzaamheid en veiligheid van Zolgensma nog steeds een gunstige verhouding tussen de risico’s en de baten van het geneesmiddel. Wel geeft de FDA aan de data over het productieproces van de leverancier te evalueren.
In Europa gelden voor Zolgensma dezelfde regels als voor andere nieuwe geneesmiddelen waarvoor toelating wordt gevraagd op de Europese markt. De werkzaamheid en veiligheid van Zolgensma worden op dit moment centraal beoordeeld door de European Medicines Agency (EMA).
Op dit moment beoordelen de specialisten bij de EMA -waaronder vertegenwoordigers van het Nederlandse College ter Beoordeling van Geneesmiddelen- de ingediende gegevens voor Zolgensma. Daarbij moet ook worden bepaald of signalen uit de Verenigde Staten van invloed zijn op de lopende beoordelingsprocedure in Europa.
Zal er een extra nauwkeurig proces te pas komen aan de goedkeuring van Zolgensma en andere van Novartis afkomstige middelen door het European Medicines Agency (EMA)? Kunt u de specifieke consequenties voor het goedkeuringsproces toelichten?
Zie antwoord vraag 3.
Bent u van mening dat Europa hier punitieve consequenties aan zou moeten verbinden voor Novartis, net zoals de Food and Drug Administration (FDA) overweegt strafrechtelijke maatregelen te nemen? Zo ja, welke? Zo nee, waarom niet?
Ik kan niet vooruitlopen op eventuele gevolgen en/of maatregelen vanuit de Europese Unie richting AveXis. Ik merk wel op dat de situatie in Europa anders is dan in de Verenigde Staten. In de Verenigde Staten stelde AveXis de FDA van de manipulatie van data op de hoogte nadat Zolgensma was goedgekeurd, ondanks dat men al kennis van de manipulatie had voordat de goedkeuring was verleend.
De goedkeuring van de vergunningsaanvraag voor Zolgensma bij de EMA is echter nog niet afgerond. Dat biedt de aanvrager de gelegenheid om het dossier waar nodig aan te vullen met nieuwe gegevens die nodig zijn om te komen tot een juiste afweging door de EMA.
Ik kan me goed voorstellen dat de EMA de signalen uit de Verenigde Staten meeneemt in de lopende beoordelingsprocedure van Zolgensma
Welke gevolgen zal dit voorval hebben voor de extreem hoge prijs van Zolgensma?
De leverancier heeft vooralsnog niet openbaar gemaakt wat de prijs in Nederland gaat worden. Wanneer Zolgensma – naar verwachting – tegen een zodanig hoge prijs wordt aangeboden dat het valt onder de wettelijke criteria voor de pakketsluis, wordt het eerst in de sluis geplaatst en volgt een beoordeling door Zorginstituut Nederland. Als het Zorginstituut mij daarop adviseert om te onderhandelen over de prijs van Zolgensma, zal ik kritisch kijken naar de gevraagde prijs. Dit alles staat echter los van de huidige signalen uit de Verenigde Staten.
De berichten ‘Iedereen wil internet, niemand wil datacenters’ en 'Hoe Nederland zichzelf economisch in de voet schiet'. |
|
Hayke Veldman (VVD), Martin Wörsdörfer (VVD), Arne Weverling (VVD) |
|
Mona Keijzer (staatssecretaris economische zaken) (CDA) |
|
![]() |
Bent u bekend met de berichten «Iedereen wil internet, niemand wil datacenters» en «Hoe Nederland zichzelf economisch in de voet schiet»?1
Ja, daar ben ik mee bekend.
Hoe verhoudt de tijdelijke bouwstop van nieuwe datacenters in de gemeenten Amsterdam en Haarlemmermeer zich tot de Nederlandse Digitaliseringsstrategie 2.0, waarin gesteld wordt: «Datacenters spelen een essentiële rol in de ontwikkeling van de digitale economie en samenleving. Zonder datacenters staat alles op de digitale snelweg stil», en tot de Ruimtelijke strategie datacenters?2 Kunt u daarbij uw appreciatie delen van de eerder genoemde tijdelijke bouwstop van nieuwe datacenters in de gemeenten Amsterdam en Haarlemmermeer?
De tijdelijke bouwstop van datacenters in de gemeenten Amsterdam en Haarlemmermeer staat de ontwikkeling van de digitale economie vooralsnog niet in de weg. Datacenters die bijdragen aan het verduurzamen van de warmtevoorziening door hun restwarmte ter beschikking te stellen zijn nog steeds welkom. Op de korte termijn zijn er echter wel knelpunten, de energievraag van de sector en gebrek aan geschikte ruimte, die voor de gemeente Amsterdam de tijdelijke stop noodzakelijk maken. De gemeenten verwachten eind 2019 nieuw regionaal vestigingsbeleid te hebben geformuleerd waarin ze meer grip op de vestiging van nieuwe datacenters krijgen en deze kunnen plaatsen binnen hun bredere duurzaamheidsambitie. Om het nieuwe vestigingsbeleid vorm te geven voeren de gemeenten gesprekken met de sector en belanghebbenden. Keuzes omtrent gemeentelijk vestigingsbeleid worden decentraal gemaakt. Voor het belang van datacenters voor de digitalisering van heel Nederland en de knelpunten die de sector ondervindt worden er gesprekken gevoerd in een Nationale Datacentertafel die begin september van start is gegaan. De rijksoverheid zit ook aan deze gesprekstafel.
Deelt u de mening dat het tijdelijk stopzetten van nieuwe datacenters, het bouwen van nieuwe energiezuinige datacenters tegengaat? Vindt u dit een wenselijke ontwikkeling? Zo nee, welke stappen bent u bereid te nemen om deze ontwikkeling te keren?
Zie antwoord vraag 2.
Hoe verhoudt het tijdelijk stopzetten van de bouw van nieuwe datacenters in Nederland zich tot het streven van veel bedrijven en overheden om Nederlandse data binnen de Nederlandse landsgrenzen op te slaan? In hoeverre is het voor Nederlandse bedrijven en overheden nog mogelijk om hun data binnen Nederland op te slaan zonder de bouw van nieuwe datacenters?
Ik heb geen signalen dat er op korte termijn acute capaciteitsproblemen ontstaan om data van Nederlandse bedrijven en overheden in Nederland op te slaan. Overigens is de bouw van datacenters elders in Nederland ook mogelijk. De Zuid-Hollandse regionale ontwikkelingsmaatschappij InnovationQuarter heeft recentelijk haar masterplan Datacenters aangekondigd. Met Rotterdam-Den Haag als tweede datacenter hub kan Amsterdam op termijn ontlast worden.
Deelt u daarbij de mening dat de Nederlandse vraag naar datacenters in de toekomst alleen maar zal toenemen, waarbij nieuwe datacenters noodzakelijk zijn om de Nederlandse concurrentie- en innovatiepositie te handhaven en te verbeteren?
Datacenters spelen een essentiële rol in de ontwikkeling van de digitale economie en samenleving en de groei naar (lokale) dataopslag zal de komende jaren door de groei van het dataverkeer en de ontwikkeling IoT-toepassingen stijgen. De ICT-sector, waaronder datacenters, is een van de prioriteiten van het Kabinet bij de acquisitie van buitenlandse bedrijven.3
Deelt u de mening van Job Witteman, voormalig CEO van het Amsterdamse Internetknooppunt AMS-IX en voormalig lid van het Amsterdam Economic Board, dat geplande significante investeringen in datacenters in de omgeving van Amsterdam door het eerder genoemde besluit van de gemeenten Amsterdam en Haarlemmermeer opeens als hoog risico door investeerders worden beschouwd?3 Zo ja, in hoeverre is het volgens u wenselijk dat investeringen in de Nederlandse digitale economie hierdoor achterblijven?
Ik heb begrip voor de zorgen die de heer Witteman heeft geuit. In hoeverre geplande significante investeringen in datacenters in de omgeving van Amsterdam door het eerder genoemde besluit van de gemeenten Amsterdam en Haarlemmermeer als hoog risico door investeerders worden beschouwd kan ik niet beoordelen.
Welke stappen zult u nemen om te voorkomen dat het besluit van de gemeenten Amsterdam en Haarlemmermeer de clustervorming rond de internationale internetknooppunten bemoeilijkt?
Zie antwoord vraag 8 en 11.
Bent u bekend met het recent gepubliceerde onderzoek «Digitale randvoorwaarden voor de toplocaties in de REOS-regio’s»? Kunt u uw appreciatie delen van de knelpunten rondom de bouw van datacenters die in dit onderzoek worden aangedragen in relatie met deze tijdelijke bouwstop door beide gemeenten?4
Ja, ik ben bekend met het onderzoek over de digitale randvoorwaarden voor de toplocaties in de REOS-regio’s. De knelpunten die het rapport aankaart omtrent datacenters – hoog energieverbruik in relatie tot duurzaamheid, de beschikbaarheid van elektriciteit en grond die niet overal gegarandeerd is en de inpassing in de nationale en regionale energie-infrastructuur – zijn allen aanleiding geweest voor de tijdelijke bouwstop door beide gemeenten. Leveringszekerheid van elektriciteit en een betrouwbaar energiesysteem zijn de uitgangspunten voor ons energiesysteem in Nederland, dit geldt dus ook voor de gemeenten Amsterdam en Haarlemmermeer. Datacenters hebben veel elektriciteit nodig en leggen daarmee een groot beslag op de op de productie en transport van elektriciteit, dit nadert in sommige regio's (rond Amsterdam) zijn grenzen. Het elektriciteitsverbruik van datacenters groeit ook nog eens sterk. Aangezien de groei van datacenters in deze gemeenten het hardst is, is de tijdelijke bouwstop verklaarbaar.
Erkent u dat de in het onderzoek «Digitale randvoorwaarden voor de toplocaties in de REOS-regio’s» genoemde knelpunten op het gebied van datacenters en core-netwerken een stevige impact kunnen hebben op de verdere ontwikkeling van de nationale digitale connectiviteit? Zo ja, waarom zijn deze knelpunten niet meegenomen in het Actieplan Digitale Connectiviteit en de recente update van de Digitaliseringsstrategie?
De datacentersector is een relatief jonge sector met een eigen dynamiek en unieke kenmerken waarvoor recentelijk beleid in ontwikkeling is. In de recent door de Minister van Binnenlandse Zaken en Koninkrijksrelaties naar uw kamer gestuurde Ruimtelijke Strategie Datacenters6 wordt uiteengezet welke stappen er voor de middellange termijn (2022–2030) en lange termijn (2030 en later) genomen worden om de ontwikkeling van de datacentersector in goede banen te leiden. Een goede ontwikkeling van de sector kan alleen behaald worden door een samenwerking van de rijksoverheid met de sector, netbeheerders en de decentrale overheden. Voor de middellange termijn wordt de vestiging van datacenters in zowel de zuidelijke Randstad als Noord-Holland (Middenmeer) verder onderzocht, waaronder gekeken wordt naar de vestigingseisen ten aanzien van latency, arbeidsmarkt, restwarmte en het ICT-ecosysteem. Voor de lange termijn (2030 en later) worden de mogelijkheden voor een nieuw datacluster aan de west- en zuidflank van Amsterdam bij de aanlandingslocatie van wind op zee verkend en uitgewerkt. Het belang van datacenters is erkend in zowel het de Actieplan Digitale Connectiviteit en de Nederlandse Digitaliseringsstrategie 2.0. De genoemde knelpunten zijn recent naar voren gekomen en dit wordt dan ook meegenomen in de voortgangsrapportage van het Actieplan Digitale Connectiviteit.
Bent u bereid deze knelpunten alsnog mee te nemen in de voortgangsrapportage Digitale Connectiviteit die gepland staat voor het vierde kwartaal van 2019? Kunt u daarbij uw aanpak delen van deze knelpunten en de wijze waarop de veelvoud aan actoren uit het bedrijfsleven, landelijke en regionale overheden worden betrokken? Bent u daarbij bereid om een coördinerende rol te pakken, zodat de hoge kwaliteit van de Nederlandse digitale infrastructuur blijft gewaarborgd?
Zie antwoord vraag 9.
Bent u bereid op korte termijn – in samenwerking met eerder genoemde gemeenten – een faciliterende rol te spelen in het oplossen van de problematiek rondom de bouw van datacenters in de metropoolregio Amsterdam, zodat de komst van nieuwe datacenters niet onnodig wordt tegengehouden en het gunstige Nederlandse vestigingsklimaat voor datacenters behouden blijft?
Ja ik ben bereid een faciliterende rol hierin te spelen. Sinds de aankondiging van de gemeenten Amsterdam en Haarlemmermeer zijn er al gesprekken gevoerd aan de Nationale Datacentertafel waar mijn ministerie ook aanwezig is. Deze gesprekken hebben de weg vrijgemaakt voor een gezonde samenwerking tussen de sector, gemeenten en overige betrokkenen en ze zullen in november voortgezet worden.
Het bericht ‘Ministerie onduidelijk over omstreden software’ |
|
Kees Verhoeven (D66) |
|
Ferdinand Grapperhaus (minister justitie en veiligheid) (CDA) |
|
![]() |
Bent u bekend met het bericht «Ministerie onduidelijk over omstreden software»?1
Ja.
Wordt de antivirussoftware van Kaspersky op dit moment gebruikt binnen IT-systemen van de rijksoverheid?
Op dit moment kan niet bevestigd worden dat de Kaspersky-antivirussoftware binnen de IT-systemen van de rijksoverheid volledig is uitgefaseerd. Momenteel heeft het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties voor een volledig beeld hiervan een uitvraag lopen voor de rijksoverheid waarvan de resultaten eind 2019 verwacht worden. Daarna zal de Minister van Binnenlandse Zaken en Koninkrijksrelaties uw Kamer hier over informeren.
Wordt de antivirussoftware van Kaspersky op dit moment gebruikt binnen IT-systemen van onze vitale infrastructuur?
Zoals vermeld in de brief van 14 mei 2018 aan uw Kamer (Kamerstuk 30 821, nr. 46) betrof de voorzorgsmaatregel ten aanzien van het gebruik van antivirussoftware van Kaspersky Lab, naast het uitfaseren hiervan bij de rijksoverheid, het advies aan organisaties met vitale diensten en processen en bedrijven die vallen onder de Algemene Beveiligingseisen Defensie Opdrachten (ABDO) om datzelfde te doen. De beslissing om het gebruik van genoemde antivirussoftware al dan niet uit te faseren, is aan deze organisaties en bedrijven zelf.
Het bericht ‘Berucht Chinees veiligheidsministerie gebruikt Nederlandse software die emoties leest’ |
|
Sjoerd Sjoerdsma (D66) |
|
Sigrid Kaag (minister zonder portefeuille buitenlandse zaken) (D66) |
|
![]() |
Bent u bekend met het bericht «Berucht Chinees veiligheidsministerie gebruikt Nederlandse software die emoties leest»?1
Ja.
Klopt het dat twee Nederlandse technologiebedrijven emotieherkenningssoftware hebben geleverd aan de Chinese staat? Klopt het dat deze bedrijven deze software hebben geleverd aan het Chinese Ministerie van Openbare Veiligheid en aan de Chinese politieacademie? Kunt u toelichten vanaf wanneer deze bedrijven aan de Chinese staat emotieherkenningssoftware leveren?
Het bedrijf stelt in het bericht dat er een levering heeft plaatsgevonden van het product aan het Chinese Ministerie van Openbare Veiligheid. Het product is, aldus Noldus, een samenwerking van de bedrijven Noldus en Vicar Vision – het gaat om één gezamenlijke levering van de twee bedrijven. Het bedrijf geeft aan dat de software geschikt is voor het herkennen van emoties op individuele gezichten – en niet identiteit – en daarmee is deze volgens Noldus niet geschikt voor surveillance.
Klopt het dat het Chinese Ministerie van Openbare Veiligheid verantwoordelijk is voor hightech surveillance die leidt tot privacyschendingen van Chinese burgers? En klopt het ook dat ditzelfde ministerie ook verantwoordelijk is voor de ernstige onderdrukking van de Oeigoeren in Xinjiang?
Er zijn verschillende Chinese overheidspartijen betrokken bij de (digitale) surveillancesystemen die in het land zijn opgetuigd. Vast staat dat het Ministerie van Openbare Veiligheid één van die partijen is. Ook bij de surveillance, de veiligheidsmaatregelen en de internering van moslimminderheden in heropvoedingscentra in Xinjiang speelt het ministerie – en de provinciale afdeling voor openbare veiligheid – waarschijnlijk een rol.
Bent u bekend met de plannen van de Chinese staat om in 2020 alle naar schatting 200 miljoen openbare beveiligingscamera’s te integreren tot één groot videosurveillancesysteem, dat gekoppeld wordt aan gezichtsherkenningssoftware en een database met persoonlijke gegevens over alle 1,4 miljard Chinezen? Wat is uw mening over deze plannen?
Berichten over dergelijke plannen zijn mij bekend. Zoals eerder aangegeven in antwoorden op vragen van het lid Ploumen (1 juli jl., kenmerk 2019Z12806) in het kader van Chinese plannen voor een nationaal sociaal kredietsysteem ziet het kabinet risico’s voor de fundamentele vrijheden, privacy en mensenrechten van Chinese burgers en buitenlandse personen die zich in China bevinden. In Xinjiang is reeds sprake van diepgaande schendingen van privacy en andere mensenrechten door middel van geavanceerde surveillancetechnieken. Er zijn ook indicaties dat gezichtsherkenningssoftware buiten Xinjiang wordt ingezet om burgers te monitoren en categoriseren. Dit vormt een risico voor bepaalde etnische en/of religieuze groepen, mensenrechtenverdedigers en activisten van wie bekend is dat zij om hun (volgens internationale mensenrechtenverdragen legale) opvattingen, religie en/of gedragingen in China kunnen worden vervolgd of onderdrukt.
Bent u op de hoogte van de berichtgeving van mensenrechtenorganisaties2 die waarschuwen dat China surveillance-technologie inzet tegen iedereen die uit de pas loopt, zoals activisten, dissidenten en minderheden (één miljoen Oeigoeren)?3
Zie antwoord vraag 4.
Bent u het eens dat het onwenselijk is wanneer door Nederlandse bedrijven ontwikkelde en verkochte software wordt ingezet om bevolkingsgroepen te onderdrukken en mensenrechten te schenden?
Inzet van Nederlandse technologie voor het onderdrukken van bevolkingsgroepen of het schenden van mensenrechten acht het kabinet in alle gevallen onwenselijk. Nederlandse bedrijven die inspelen op de Chinese vraag naar geavanceerde technologie dienen zich te allen tijde rekenschap te geven van mogelijke ongewenste toepassingen van geleverde producten door Chinese afnemers. Bedrijven zijn zelf verantwoordelijk voor toepassen van due diligence. Zij dienen rekening te houden met de mogelijkheid dat Chinese partners een aandeel hebben in de totstandkoming van surveillancesystemen die beperking van fundamentele vrijheden van Chinese burgers tot gevolg hebben. In het geval van vergunningplichtige dual-usegoederen wijst de Nederlandse regering een vergunning af, indien er zorgen bestaan ten aanzien van het eindgebruik in relatie tot mensenrechtenschendingen.
Hebben Nederlandse technologiebedrijven een vergunningsplicht voor export van software die gebruikt kan worden voor gezichtsherkenning en emotieherkenning die ook ingezet kan worden voor predictive policing?
Nee.
Op welke wijze voert Nederland op dit moment exportcontrole uit op cybersurveillance technologie? Wordt deze export aan een mensenrechtentoetsing onderworpen? Zo ja, op welke wijze? Voldoet deze controle naar uw oordeel om te voorkomen dat deze technologie ingezet kan worden om de mensenrechten te schenden?
Bepaalde cybersurveillancegoederen en -technologieën staan ingevolge het potentiële gebruik in civiele of militaire toepassingen onder exportcontrole. Dit geldt bijvoorbeeld voor de verkoop van technologie voor de ontwikkeling van intrusion software, software die gebruik maakt van kwetsbaarheden in systemen. Deze goederen zijn opgenomen in de controlelijst van de Europese dual-useverordening. Een bedrijf dat binnen de EU gevestigd is, is verplicht voor het exporteren van deze goederen en technologie buiten de EU een vergunning aan te vragen. Nederland keurt vergunningaanvragen af indien er zorgen bestaan ten aanzien van het eindgebruik in relatie tot mensenrechtenschendingen. Nederland spant zich internationaal in om aanvullend cybersurveillancegoederen in relatie tot mensenrechtenschendingen onder exportcontrole te brengen. Een voorbeeld hiervan zijn interceptie- en monitoringsystemen die veelal gebruikt worden door inlichtingendiensten. In het Wassenaar Arrangement vergt dit consensus van alle deelnemende landen.
Kunt u uiteenzetten wat de laatste stand van zaken is bij de herziening van de Europese dual-use verordening inzake de uitbreiding van exportcontrole op cybersurveillance goederen? Kunt u dit nader toelichten met uw appreciatie en de Nederlandse inzet?
Nederland steunt de uitbreiding van exportcontrole op cybersurveillance goederen in relatie tot mensenrechtenschendingen in de herziening van de dual- useverordening. De in 2016 begonnen onderhandelingen in de Raad over de herziening van de dual-useverordening zijn moeizaam verlopen. Grootste discussiepunt in de onderhandelingen was voornoemde controle van cybersurveillancetechnologie. In december 2018 is gebleken dat geen gekwalificeerde meerderheid voor het onder controle brengen van cyber surveillance kon worden behaald om tot een Raadspositie te komen. Gelet op deze langdurige patstelling in de Raad en de gedeelde verantwoordelijkheid van de lidstaten om tot een eensgezind standpunt te komen, is de Raad in juni 2019 een mandaat overeengekomen tot onderhandeling met het Europese parlement. In dit mandaat is niet voorzien in aanvullende exportcontroleregelgeving op cybersurveillance technologie via de dual-useverordening.
Het is teleurstellend dat er geen overeenstemming in de Raad was om te komen tot een positie, waarbij de toevoeging van cybersurveillance technologie in relatie tot mensenrechtenschendingen is opgenomen. Nederland heeft zich hier zowel in de Raad als bilateraal actief voor ingezet en betreurt dat er op dit moment onvoldoende draagvlak voor is in de Raad. Nederland zal zich ervoor inzetten dat het onderwerp in de toekomst op de agenda blijft.
Het is onwenselijk nu vooruit te lopen op de nog onbekende uitkomst van het onderhandelingstraject tussen de Europese Raad, Europees parlement en de Europese Commissie op het gebied van exportcontrole op bepaalde typen cybersurveillancegoederen.
Bent u het eens dat Nederlandse cybersurveillance technologie aan exportcontrole zou moeten worden onderworpen, en dat een mensenrechtentoets hier onderdeel van uit zou moeten maken? Bent u het eens dat dergelijke exportcontrole op Europees niveau zou moeten gelden?
Zie antwoord vraag 9.