Vraag 1

Bent u bekend met het bericht «Ukraine Creates UK-Backed «A1» AI Hub to Develop EW-Resistant Drones and Predict Russian Moves»?1

Ja.

Vraag 2

Naar aanleiding van uw bezoek aan Oekraïne in maart 2026 werd bekend dat Nederland intensief gaat meekijken bij de Oekraïense inzet van drones op het slagveld, om meer te leren over de mogelijkheden voor Nederlandse productie en innovatie van onbemenste systemen; sluit dit aan op het initiatief in de berichtgeving?

Nee, dit staat los van het in de berichtgeving genoemde initiatief. Nederland is bekend met het Oekraïense AI-centrum A1, ook wel het Center of Innovations and Defence Technologies Development. Vanuit Defensie wordt contact gezocht met de initiatiefnemers van dit centrum, onder meer in het kader van lessons learned en mogelijke samenwerking.

Vraag 3

Heeft de Nederlandse industrie toegang tot de beschikbare informatie en zo ja, hoe waarborgt u dat deze informatie eerlijk toegankelijk is voor alle geïnteresseerde marktpartijen?

Defensie heeft op dit moment zelf geen directe toegang tot deze specifieke informatie, omdat Nederland niet betrokken is bij dit initiatief. Daardoor beschikt Defensie ook niet over een informatiepositie die met de Nederlandse defensie-industrie kan worden gedeeld of waarvoor Defensie de toegang kan reguleren. Nederlandse bedrijven die zelf actief zijn in Oekraïne kunnen uiteraard via hun eigen contacten met Oekraïense eindgebruikers operationele feedback of gefilterde informatie ontvangen. Dat betreft echter geen door Defensie beheerde of via Defensie beschikbaar gestelde informatiepositie. Tegelijkertijd wordt verkend op welke wijze Nederland in de toekomst kan aansluiten bij initiatieven gericht op kennis- en informatie-uitwisseling, mede om lessen uit Oekraïense innovaties breder toegankelijk te maken voor relevante Nederlandse stakeholders.

Vraag 4

Is Nederland ook voornemens om zelf een soevereine database aan te vullen voor het trainen van AI-modellen (al dan niet met Europese partners)? Wordt de Nederlandse industrie aangesloten bij een mogelijk initiatief?

Geschikte data voor het trainen van AI-modellen voor militaire doeleinden is schaars. Daarom erkent Defensie het belang van een database met dergelijke data. Defensie verkent verschillende mogelijkheden voor het verkrijgen van data van hoogwaardige kwaliteit, waarmee robuuste militaire AI kan worden ontwikkeld. Denk hierbij ook aan alternatieven zoals synthetische data. Industriepartners worden actief betrokken.

Vraag 5

Ziet u ook een kans om als Nederland koploper in Europa te worden in het ontwikkelen van verantwoorde AI? Wat gaat u op korte termijn initiëren om dit te bewerkstelligen?

Nederland zet zich al geruime tijd in voor de verantwoorde ontwikkeling, verwerving en inzet van militaire AI. Met de eerste Responsible AI in the Military Domain (REAIM) Summit in het voorjaar van 2023 heeft Nederland het thema verantwoorde AI in het militaire domein voor het eerst op de internationale agenda gezet. Nederland was bij alle REAIM summits co-host, in 2023, 2024 en 2025. Daarnaast speelt Nederland een actieve rol in de Governmental Group of Experts on Lethal Autonomous Weapon Systems (GGE LAWS). Van 2024 tot en met 2026 zit Nederland deze groep voor. Het doel is om consensus te bereiken over elementen van toekomstige afspraken over autonome wapensystemen. Tijdens de GGE LAWS bijeenkomsten gaat het ook over de huidige en toekomstige rol van AI in LAWS. Nederland blijft nauw betrokken bij het mogelijke vervolg van REAIM en de GGE LAWS. Daarnaast is Defensie nadrukkelijk bezig met het proces van verantwoorde verwerving van AI. Tot slot wordt onderzocht hoe Defensie militaire AI kan verifiëren en valideren voor veilig gebruik en inzet.

Vraag 6

Hoe weegt u het risico van het niet zelf hebben van een soevereine database voor het trainen van AI-modellen en van welke landen verwacht u afhankelijk te zijn?

De data waarop de AI-modellen worden getraind is grotendeels afkomstig en in beheer van Defensie. Daarnaast zullen er technische maatregelen worden getroffen om de daadwerkelijke uitkomsten van de AI-modellen te kunnen valideren, voordat deze daadwerkelijk (operationeel) worden ingezet. Bijvoorbeeld door eerst in een simulatieomgeving te werken. Op dit moment onderzoekt Defensie op Europees niveau met welke aanbieders en partnerlanden hiervoor een samenwerking kan worden gestart.

Vraag 7

Sluit u aan bij de gedachten dat we de standaarden voor militair gebruik van AI niet aan externe machten overlaten, maar dat we die zelf bepalen?

Het internationaal recht, waaronder het humanitair oorlogsrecht, is onverkort van toepassing op het militair gebruik van AI. Het gebruik van AI in het militaire domein mag niet leiden tot schendingen van dit recht. Dit zijn bestaande afspraken. Daarnaast onderschrijft Nederland bijvoorbeeld de NAVO-principes voor het verantwoord gebruik van AI. Voor de effectiviteit van nieuwe internationale afspraken, specifiek ten aanzien van AI in het militaire domein, is het van belang dat staten die actief zijn op het gebied van de ontwikkeling van state-of-the-art AI hieraan meedoen. Nederland zet zich op verschillende manieren actief in om nieuwe afspraken te maken, bijvoorbeeld in het kader van REAIM en van de GGE LAWS.

Vraag 8

Ziet u mogelijkheden om aan te haken op het samenwerkingsverband tussen Duitsland en Oekraïne, die hun defensiesamenwerking verder hebben geïntensiveerd door een memorandum te tekenen op het gebied van delen van data van het slagveld, waarbij Duitsland ook toegang krijgt tot real-time DELTA battlefield management system?

Ja, Defensie ziet deze mogelijkheden. Defensie kijkt expliciet naar en werkt samen met Oekraïne om lessen van het slagveld te vertalen o.a. door het delen van relevante informatie. In het deel van de organisatie belast met de militaire steun aan Oekraïne wordt actief gekeken naar innovatie en zo genoemde Lessons Learned en de disseminatie daarvan. Daarnaast werkt Defensie aan het verbinden van Nederlandse en voor Defensie relevante kennisinstellingen met Oekraïense kennis en innovatie instituten

Vraag 9

Ziet u het belang van in Europees verband initiatieven organiseren voor een strategisch autonome battlefield management architectuur die interoperabiliteit tussen de (gefragmenteerde) Europese systemen waarborgt?

Ja. Defensie onderschrijft het belang van samenwerking in Europees verband gericht op een meer strategisch autonome battlefield management architectuur. Interoperabiliteit tussen nationale systemen is essentieel voor het effectief gezamenlijk optreden van Europese krijgsmachten, onder meer binnen NAVO- en EU-verband.

Vraag 10

Onderneemt Defensie andere initiatieven om een strategisch autonome battlefield management architectuur te maken? Zo niet, kunt u een risicoafweging van afhankelijkheden geven? Zo ja, bent u bereid een plan van aanpak te maken en te delen?

Defensie heeft reeds een aantal battlefield management architecturen in gebruik, zowel aangekocht als zelf ontwikkeld. De insteek is dat primaire componenten van toekomstige battlefield management architecturen in de basis door Defensie zelf ontwikkeld worden.

Vraag 11

Kunt u de bovenstaande vragen afzonderlijk van elkaar beantwoorden?

Ja.

Vraag 1

Herinnert u zich dat u in het commissiedebat Digitale Infrastructuur en Economie d.d. 8 april aangaf dat het ontbreken van middelen op de begroting de doorslaggevende reden was om niet deel te nemen aan het Europese AI-gigafabriekeninitiatief?

Ja, ik herinner mij het debat. Daarin heb ik onder andere aangeven dat er geen middelen zijn om aan de Europese tender voor een gezamenlijke inkoop van rekenkracht mee te doen. Daarnaast heb ik aangegeven positief te staan tegenover AI-infrastructuur die vanuit private middelen gefinancierd kan worden, zoals ook in het rapport-Wennink wordt aangegeven. Ook heb ik aangegeven dat ik daarom in gesprek blijf met de partijen die AI-infrastructuur initiatieven proberen te realiseren en over de randvoorwaarden die daarvoor nodig zijn.

Vraag 2

Klopt het dat in de beslisnota d.d. 23 maart bij de Kamerbrief «Positie van het kabinet ten aanzien van deelname aan het Europese AI-gigafabriekeninitiatief» (Kamerstuk 26 643-1499) staat dat in de StafEZ van 10 maart 2026 is vastgesteld dat binnen de huidige begroting geen ruimte bestaat voor de vereiste financiële verplichtingen?

Ja.

Vraag 3

Klopt het dat eerst is geconcludeerd dat er geen geld beschikbaar was, en dat pas daarna inhoudelijke argumenten, waaronder een verwijzing naar het rapport-Wennink, zijn gebruikt om dit besluit te onderbouwen? Zo nee, kan de Staatssecretaris dan precies uiteenzetten in welke volgorde de budgettaire en inhoudelijke afwegingen zijn gemaakt?

Nee. De conclusie dat er geen middelen beschikbaar waren, is niet los van de inhoudelijke afwegingen bereikt. In 2025 heeft Ecorys in opdracht van EZK de potentiële meerwaarde van een AI-gigafabriek onderzocht. Dit rapport schetst verschillende scenario’s en benoemt zowel kansen als onzekerheden en randvoorwaarden voor publieke betrokkenheid. Daarbij plaatst het rapport kanttekeningen bij de publieke meerwaarde en wijst het onder meer op de verhouding tussen training en inferentie, en de rol die marktpartijen zelf kunnen vervullen. Ook andere inzichten, waaronder het rapport-Wennink, geven aan dat substantiële private betrokkenheid bij de realisatie van dergelijke infrastructuur voor de hand ligt.
Parallel hieraan heeft EZK de budgettaire mogelijkheden verkend. Daaruit bleek dat er geen middelen beschikbaar waren. In samenhang hebben deze inhoudelijke bevindingen en de budgettaire beperkingen geleid tot het besluit om niet deel te nemen aan een gezamenlijke aanbesteding via EuroHPC.

Vraag 4

Kan de Staatssecretaris alsnog de stukken openbaar maken die ten grondslag lagen aan het overleg in de StafEZ van 10 maart 2026, conform het eerder gedane informatieverzoek van de Kamer gedaan tijdens het commissiedebat Digitale infrastructuur en economie, waaronder memo’s, notities, berekeningen, scenario’s en de stukken waarmee de Staatssecretaris en de betrokken ambtenaren dat overleg zijn ingegaan? Indien volledige openbaarmaking niet mogelijk is, is de Staatssecretaris dan bereid om ten aanzien van het deel waarvan openbaring niet mogelijk is, deze stukken vertrouwelijk ter inzage te geven?

De belangrijkste basis voor de inhoudelijke afweging waren diverse gesprekken met consortia over hun plannen, de Europese EuroHPC regelgeving en het Ecorys-rapport, dat in opdracht van het Ministerie van EZK is opgesteld en op 19 december jl. met de Tweede Kamer is gedeeld. Ook andere inzichten, zoals het rapport-Wennink, dat ook openbaar is, zijn hierin meegenomen.

Vraag 5

Herinnert u zich dat u zich zowel in het debat, als in de Kamerbrief betreft de Positie van het kabinet ten aanzien van deelname aan het Europese AI-gigafabriekeninitiatief, beriep op het rapport-Wennink, en dat dat rapport volgens het kabinet geheel in lijn zou zijn met het standpunt van het kabinet om AI-gigafabrieken volledig door de markt te laten financieren?

Ja.

Vraag 6

Deelt u de mening dat in het rapport-Wennink staat dat «Nieuwe initiatieven [...] zijn (nog) niet volledig privaat te financieren door hoge opstartkosten en lange, onzekere terugverdientermijnen.»?

Ja. Daarbij wordt echter op pagina van 90 van het rapport de kanttekening gemaakt dat dit met name geldt voor nieuwe initiatieven in nog onbewezen markten. Tegelijkertijd vermeldt het rapport dat de AI Gigafabriek, vanwege haar sterke commerciële oriëntatie, in beginsel wél volledig privaat gefinancierd kan worden en marktconforme rekenkracht kan aanbieden.

Vraag 7

Deelt u de mening dat in het rapport-Wennink staat dat «Publieke financiering – en cofinanciering door EU-instrumenten – kan een vliegwieleffect hebben.»?

Ja.

Vraag 8

Deelt u de mening dat in het rapport-Wennink staat dat «Nederland heeft grootschalige private én publieke investeringen nodig.»?

Ja.

Vraag 9

Deelt u de mening dat u stelt te handelen in lijn met het rapport-Wennink, terwijl datzelfde rapport expliciet aangeeft dat grootschalige digitale infrastructuur juist níet volledig privaat te financieren is en publieke cofinanciering noodzakelijk is om investeringen los te krijgen? Zo nee, waarom niet?

Nee. Het rapport-Wennink maakt een onderscheid tussen verschillende typen digitale infrastructuur. Waar het voor een deel van de grootschalige infrastructuur inderdaad wijst op het belang van publieke cofinanciering, wordt in het geval van AI-gigafabrieken expliciet benoemd dat deze in beginsel volledig privaat gefinancierd kunnen worden. Dat beeld wordt ondersteund door recente marktontwikkelingen. Zo halen Europese AI-(neo)cloudbedrijven zelfstandig kapitaal op voor de bouw van AI-infrastructuur. Dit laat zien dat er binnen dit specifieke segment voldoende private investeringsbereidheid bestaat.

Vraag 10

Is hier niet gewoon sprake van het gebruiken van het rapport-Wennink als dekmantel voor een besluit dat puur budgettair is genomen? Zo nee, waarom niet?

Nee. Het rapport-Wennink is niet gebruikt als dekmantel voor een budgettaire keuze. Aan de kabinetspositie ligt, naast de gesprekken met de geïnteresseerde consortia, in de eerste plaats het rapport van Ecorys ten grondslag, waarin de relevante economische en investeringsafwegingen zijn geanalyseerd, zoals toegelicht in het antwoord op vraag 3.

Vraag 11

Deelt de Staatssecretaris de opvatting dat dit de indruk wekt van «cherry picking»? Zo nee, waarom niet?

Nee. Die indruk deel ik niet, omdat er niet uitsluitend naar het rapport-Wennink is gekeken om tot deze conclusie te komen.

Vraag 12

Herinnert u zich dat u zich in het debat ook beriep op het Ecorys-rapport? Kan de Staatssecretaris bevestigen dat Ecorys niet concludeert dat een AI-gigafabriek per definitie niet rendabel of niet zinvol is, maar juist dat de meerwaarde afhangt van ontwerp, gebruiksdoel en strategische inbedding? Waarom wordt dit rapport dan door het kabinet wel gebruikt als argument om af te haken?

Ja, dat kan ik mij herinneren en dat kan ik bevestigen. Het Ecorys-rapport stelt inderdaad niet dat een AI-gigafabriek per definitie niet rendabel of niet zinvol is. Het benadrukt juist dat de meerwaarde en businesscase sterk afhangen van het ontwerp, het beoogde gebruik en de strategische inbedding. Ecorys geeft daarbij aan dat een gecentraliseerde AI-gigafabriek vooral meerwaarde kan hebben voor de training van zeer grote modellen, maar plaatst daar tegelijkertijd de kanttekening dat het aantal partijen dat deze schaal van trainingscapaciteit daadwerkelijk benut in de Nederlandse context gering is.
Het kabinet gebruikt dit rapport niet als oordeel dat dergelijke infrastructuur «niet wenselijk» zou zijn, maar als onderbouwing voor de conclusie dat voor de varianten die juist meerwaarde hebben en op de Nederlandse markt zijn gericht, publieke financiering niet noodzakelijk is, omdat de markt daarin zelf kan voorzien. Op basis daarvan, tezamen met de budgettaire situatie, is de afweging gemaakt om geen publieke rol te nemen in een aanbesteding met financiële verplichtingen waarbij het initiatief in de specifieke vorm nog onduidelijk is.

Vraag 13

Deelt de Staatssecretaris de opvatting dat ook in dit geval dit de indruk wekt van cherry picking? Zo nee, waarom niet?

Nee, zie de toelichting in de beantwoording op vraag 12.

Vraag 14

Kan de Staatssecretaris bevestigen dat het kabinet ervan uitgaat dat Nederlandse partijen later ook rekenkracht kunnen inkopen bij AI-gigafabrieken elders in Europa? Waarop baseert het kabinet de aanname dat die capaciteit bij toenemende schaarste daadwerkelijk beschikbaar blijft voor Nederlandse bedrijven, kennisinstellingen en overheden, in plaats van dat Nederland achteraan aansluit in de rij?

Ja, het kabinet gaat er in beginsel van uit dat Nederlandse partijen toegang kunnen krijgen tot rekenkracht bij AI-gigafabrieken elders in Europa. Die aanname is gebaseerd op de afspraken en de EuroHPC-verordening, het wetgevingskader dat de EuroHPC Joint Undertaking reguleert.
Tegelijkertijd wil ik benadrukken dat dit geen vanzelfsprekendheid zonder voorwaarden is. Het kabinet onderkent dat bij toenemende schaarste in rekencapaciteit private aanbieders geneigd kunnen zijn om prioriteit te geven aan contractueel gebonden gebruikers.

Vraag 15

Kan de Staatssecretaris ingaan op de analyse van het The Hague Centre for Strategic Studies dat toegang tot kritieke digitale infrastructuur in toenemende mate afhankelijk is van geopolitieke verhoudingen en dat bij schaarste landen primair hun eigen belangen zullen beschermen? Hoe rijmt de Staatssecretaris dit met de aanname dat Nederlandse partijen bij toenemende vraag en schaarste probleemloos gebruik kunnen blijven maken van rekenkracht in andere lidstaten of daarbuiten?

Zoals ik bij de vorige vraag heb toegelicht, baseer ik mij op de afspraken binnen de EuroHPC Joint Undertaking en het daarbij behorende Europese wettelijke kader. Dat kader is er juist op gericht om gezamenlijke Europese toegang tot high-performance computing en aanverwante digitale infrastructuur te borgen, ook in situaties van toenemende schaarste of geopolitieke spanning. Lidstaten hebben zich daaraan gecommitteerd, inclusief afspraken over beschikbaarheid en gedeeld gebruik van capaciteit.

Vraag 16

Kan de Staatssecretaris bevestigen dat het kabinet kiest voor AI-gigafabrieken die volledig door de markt worden gefinancierd? Hoe realistisch acht de Staatssecretaris dat, gelet op het feit dat het rapport-Wennink juist wijst op achterblijvende private investeringen?

Het kabinet kiest ervoor dat de ontwikkeling van AI-infrastructuur, waaronder zogeheten AI-gigafabrieken, in beginsel door private partijen wordt gedragen en gefinancierd. De overheid ziet daarbij primair een rol in het creëren van de juiste randvoorwaarden, bijvoorbeeld op het gebied van beschikbare energie-infrastructuur, geschikte locaties en vergunningsprocedures. Het doel is om het voor private partijen aantrekkelijker en uitvoerbaarder te maken om dit soort investeringen daadwerkelijk hier van de grond te krijgen.

Vraag 17

In de genoemde Kamerbrief schrijft het kabinet dat het kiest voor een ontwikkeling van AI-infrastructuur die meegroeit met de marktvraag; hoe verhoudt zich dat tot de constatering in de onderliggende analyses dat de ontwikkeling van AI-infrastructuur juist sterk aanbodgedreven kan zijn, en dat investeringen in capaciteit zelf vraag, innovatie en ecosysteemvorming aanjagen? Loopt Nederland door deze afwachtende houding niet juist het risico achter te blijven omdat vraag pas ontstaat waar capaciteit al aanwezig is?

Ik ben het met u eens dat de ontwikkeling van AI-infrastructuur in bepaalde gevallen aanbodgedreven kan zijn en daarmee juist ook vraag, innovatie en ecosysteemvorming kan stimuleren. Dat is ook precies de reden dat het kabinet wél inzet op de realisatie van de publiek gefinancierde AI-fabriek in Groningen, waar sprake is van een strategische Europese investering in rekenkracht en kennisopbouw.
Tegelijkertijd geldt dat niet alle typen AI-infrastructuur dezelfde dynamiek kennen. In veel segmenten kan de markt zelf goed inspringen op groeiende vraag, mits de randvoorwaarden op orde zijn, zoals voldoende beschikbare energie, ruimte en een voorspelbaar vergunningsproces.

Vraag 18

Is de Staatssecretaris, gelet op het feit dat de doorslaggevende overweging blijkens de beslisnota budgettair was en rapporten waarachter het kabinet zich verschuilt het kabinet lijken te tegenspreken, bereid het besluit alsnog te heroverwegen en de Kamer een scenario te sturen waarin Nederland wél, al dan niet gefaseerd, kan aansluiten bij het Europese AI-gigafabriekeninitiatief?

Nee. Deelname aan de door EuroHPC geleide aanbesteding zou een substantiële financiële verplichting met zich meebrengen, die het kabinet op dit moment niet wil aangaan. De inhoudelijke afwegingen zoals toegelicht in deze beantwoording geven geen aanleiding om de positie van het kabinet te herzien. Daarbij wil ik bovendien benadrukken dat deelname aan het Europese traject geen garantie biedt op de realisatie van een AI-gigafabriek in Nederland, maar primair ziet op het indienen van een voorstel in competitie met voorstellen uit andere lidstaten.

Vraag 19

Kunt u deze vragen in ieder geval voor het tweeminutendebat naar aanleiding van het commissiedebat Digitale Infrastructuur en Economie, een voor een, beantwoorden?

Ja.

Vraag 1

Klopt het dat op 27 maart 2026 besloten is om het DigiD-contract met Solvinity nogmaals voor twee jaar te verlengen?

Op dit moment heeft Logius een contract met Solvinity dat uiterlijk in augustus 2028 afloopt. Binnen het huidige contract kan er gebruik worden gemaakt van een tweede en laatste verlengingsoptie voor de periode van 7 augustus 2026 tot (uiterlijk) 6 augustus 2028. Het gaat hierbij om het contract met Solvinity voor het uitvoeren van de beheerwerkzaamheden aan het platform waar onder andere DigiD op draait. Het is niet mogelijk om voor augustus 2026 over te stappen naar een andere partij zonder dat hierbij de continuïteit en veiligheid van DigiD en andere voorzieningen in gevaar komen. Derhalve heb ik op 27 maart 2026 ingestemd met een contractverlenging voor de periode van 7 augustus 2026 tot 6 augustus 2028.

Vraag 2

Welke overwegingen liggen ten grondslag aan deze keuze? Is het niet verlengen van het contract serieus overwogen?

De afgelopen maanden zijn er door Logius en BZK verschillende mogelijkheden verkend, zoals het versneld overstappen naar een andere leverancier of het zelf in beheer nemen van het platform waar voorzieningen als DigiD op draaien
Het beheer van het platform vraagt om een ervaren beheerorganisatie om de continuïteit en veiligheid van dienstverlening blijvend te kunnen borgen. Op dit moment is het niet mogelijk om het platform in eigen beheer te nemen vanwege het feit dat Logius niet beschikt over voldoende kennis en capaciteit.
Het beheer van het platform versneld onderbrengen bij een andere beheerorganisatie kan ook leiden tot risico’s. De voornaamste reden hiervoor is dat een nieuwe beheerorganisatie kennis en ervaring moet opbouwen met het platform dat door Logius wordt gebruikt. Onder normale omstandigheden wordt hier een periode van 6 tot 12 maanden voor gehanteerd.
Deze overdracht kan plaatsvinden nadat een aanbestedingstraject is doorlopen en een nieuwe contractant is geselecteerd. Dat maakt het niet mogelijk om de overdracht naar een andere leverancier voor augustus 2026 af te ronden. Het vormgeven van een nieuwe aanbesteding en de overdracht naar een nieuwe leverancier is een langdurig traject dat zorgvuldig moet worden doorlopen, juist om de continuïteit en veiligheid van dienstverlening te borgen.

Vraag 3

Welke andere opties heeft u overwogen, behalve het contract met twee jaar verlengen? Waarom zijn deze opties afgevallen?

Zie het antwoord op vraag 2.

Vraag 4

Welke mogelijkheden heeft u om vóór het definitieve beslismoment begin mei alsnog af te zien van de contractverlenging van twee jaar? Kunt u een beroep doen op een voorwaarde in het contract of een wettelijke bevoegdheid om dit vervroegd te doen?

De Algemene Rijksinkoopvoorwaarden bij IT-opdrachten (ARBIT) zijn op deze overeenkomst van toepassing en bieden middels artikel 30 (onder voorwaarden) mogelijkheden tot het tussentijds ontbinden of opzeggen van de overeenkomst.
Voor het definitieve beslismoment van 6 mei 2026 heb ik geen mogelijkheden om af te zien van de contractverlenging. Zoals in de beantwoording op vraag 2 beschreven, zijn er op dit moment geen mogelijkheden om per augustus 2026 over te stappen naar een andere partij die in voldoende mate continuïteit en veiligheid kan borgen.

Vraag 5

Zo niet, heeft u de mogelijkheid om het contract slechts onder voorbehoud te verlengen zolang Solvinity niet door een Amerikaans bedrijf wordt overgenomen? Bent u bereid om zo’n voorbehoud te maken?

Zie antwoord op vraag 2 en 4.

Vraag 6

Heeft u de aangenomen motie-Stoffer c.s. (Kamerstuk 26 643, nr. 1467) en de twee moties-Kathmann c.s. (Kamerstuk 21 501-33, nr. 1190) (Kamerstuk 26 643, nr. 1507) meegewogen in dit besluit? Zo ja, hoe?

Deze zijn meegenomen in het besluit. Het kabinet wacht het oordeel van de onafhankelijke toezichthouder in het kader van het driesporenbeleid zoals vermeld in de Kamerbrief van 10 februari 20261 en de kabinetsreactie van 21 april 20262 af, om vervolgens een besluit te kunnen nemen.
Om vanaf (uiterlijk) augustus 2028 over te stappen naar een contractant waarbij het zeggenschap in Nederlandse/Europese handen ligt3, 4, wor dt er door Logius samen met de Landsadvocaat gekeken naar onder welke voorwaarden de aanbesteding kan worden uitgezet in de markt. In juni 2026 zullen wij uw Kamer hierover informeren.

Vraag 7

Kunt u concreet uitleggen hoe de continuïteit en veiligheid van de dienstverlening in gevaar komt als het contract niet was verlengd? Op basis van welke onderzoeken concludeert u dat?

Logius heeft een leverancier nodig voor het leveren van diensten die benodigd zijn om het platform waarop voorzieningen zoals DigiD staan, te laten draaien. Logius moet daarom een contract afsluiten met een leverancier. Zie voor verdere toelichting het antwoord op vraag 2.

Vraag 8

Is het mogelijk om de DigiD-diensten, die nu in beheer zijn bij Solvinity, binnen drie maanden over te schakelen naar een ander bedrijf? Is deze optie serieus onderzocht?

Zie beantwoording vraag 2.

Vraag 9

Hoe kunt u het DigiD-contract met Solvinity in zo kort mogelijke tijd ontbinden, nog vóór 2028, als de Amerikaanse overname doorgang vindt? Kunt u de Kamer uiterlijk in juni 2026 informeren over de opties die u hiertoe heeft en wat hiervan de kosten zijn?

Zie antwoord op vraag 4 en 6. Ik zal uw Kamer in juni 2026 nader informeren.

Vraag 10

Kunt u deze vragen afzonderlijk van elkaar en nog vóór het definitieve verlengen van het contract in begin mei beantwoorden?

Ja.

Vraag 1

Bent u bekend met het Volkskrant-bericht «Onderzoek naar Amerikaanse cloud-risico’s door Ministerie van overheidswebsite verwijderd» (d.d. 5 maart 2026)?1

Ja.

Vraag 2

Hoe beoordeelt u de conclusie van experts dat de risico’s die overheden lopen door het gebruik van de nieuwe clouddienst van Amazon worden onderschat?

Het rapport beoogt een objectieve juridische beoordeling te geven van de juridische onderzoeksvragen die in het rapport geformuleerd zijn. Het onderzoek heeft samengevat de volgende bevindingen opgeleverd:

Vraag 3

Bent u voornemens gebruik te maken van de nieuwe clouddienst van Amazon? Waarom wel of niet?

Zoals aangegeven in het coalitieakkoord is de inzet van het kabinet erop gericht om eenzijdige afhankelijkheden van derde landen af te bouwen en zoveel mogelijk te diversifiëren, ook op digitaal vlak. Vanuit deze inzet zullen ook nieuwe ontwikkelingen op de cloudmarkt overwogen worden.

Vraag 4

Bent u bekend met de aangenomen motie van het lid Dassen (Kamerstuk 36 800, nr. 61) over het volledig overstappen op Europese, op open standaarden gebaseerde digitale alternatieven voor de digitale infrastructuur?2

Ja.

Vraag 5

Hoe verhoudt het publiceren, en naar aanleiding van deskundige kritiek weer verwijderen, van dit rapport zich tot de aangenomen motie van het lid Dassen en de brede wens van de Kamer om grootschalig over te stappen naar Europese alternatieven?

Er is geen verband tussen de lopende uitvoering van de motie Dassen en het tijdelijk terugnemen van de publicatie van het rapport. De motie richt zich op het ontwikkelen van een routekaart voor het overstappen op Europese, open standaarden gebaseerde digitale alternatieven, terwijl het tijdelijk terugnemen van de publicatie van het rapport te maken heeft met onduidelijkheden in de interpretatie. Het begeleidende bericht is verduidelijkt en daarna opnieuw geplaatst. De inhoud van het rapport is geheel ongewijzigd.

Vraag 6

Welke alternatieven zijn er al reeds om invulling te geven aan deze motie en hoe snel kunnen deze worden geïmplementeerd?

De motie roept op tot het ontwikkelen van een routekaart voor het overstappen op Europese, open standaarden gebaseerde digitale alternatieven. Deze is in ontwikkeling en zal uiterlijk in het laatste kwartaal van dit jaar aan de Kamer voorgelegd worden.

Vraag 7

Hoe zou het eventueel aanschaffen van diensten van de nieuwe clouddienst van Amazon staan in relatie tot het coalitieakkoord, waarin staat dat het inkoopbeleid van de overheid gebruikt zal worden voor het aanjagen van Nederlandse en Europese ICT-industrie?

Zoals aangegeven in het coalitieakkoord is de inzet van het kabinet erop gericht om eenzijdige afhankelijkheden van derde landen af te bouwen en zoveel mogelijk te diversifiëren, ook op digitaal vlak.

Vraag 8

Erkent u het risico voor onze digitale soevereiniteit als wij niet versneld overstappen op Europese alternatieven voor onze digitale infrastructuur? Waarom wel of niet?

Nederland en Europa zijn voor cruciale digitale infrastructuur sterk afhankelijk geworden van een klein aantal buitenlandse spelers. Dat maakt ons kwetsbaar in een wereld waarin technologie steeds vaker als geopolitiek machtsmiddel wordt ingezet. In algemene zin is de inzet van het kabinet erop gericht om het Europese aanbod van clouddiensten te vergroten en eenzijdige afhankelijkheden van partijen met een marktmacht en partijen uit derde landen af te bouwen.
Hier ziet het kabinet op in met verschillende beleidsinstrumenten zoals wetgeving (Dataverordening en de Digitalemarktenverordening) en innovatiebevordering (o.a. middels het IPCEI CIS). Het kabinet heeft als doel om bij digitale inkoop en aanbestedingen in het digitale domein te gaan standaardiseren en centraliseren, waarbij onder meer gestuurd wordt op waarden zoals security-by-design, zero-trust, soevereiniteit, open source en ketenveiligheid.

Vraag 9

Kunt u deze vragen binnen een week en afzonderlijk beantwoorden?

De vragen zijn zo spoedig mogelijk beantwoord.

Vraag 1

Kunt u nader toelichten waarom er geen middelen zijn gevonden om het luchtalarm als middel in crisissituaties te behouden, zoals aangekondigd in uw brief van 18 mei 2026?1

Vraag 2

Hoeveel geld zou het structureel kosten om het luchtalarm na 1 januari 2028 alsnog te behouden?

Vraag 3

Ziet u mogelijkheden om het luchtalarm in de toekomst te dekken met de aanvullende Defensiemiddelen in het kader van de nationale weerbaarheid?

Vraag 4

Deelt u de analyse dat het afsluiten van het luchtalarm onwenselijk is, gezien het belang van redundantie in de crisiscommunicatie? Is het niet in elke situatie beter als het luchtalarm en NL-Alert (of alternatieven) naast elkaar bestaan?

Vraag 5

Hoe kijkt u naar het gegeven dat het horen van het luchtalarm en het ontvangen van een NL-Alert een andere lading heeft voor de toehoorder? Waarop baseert u dat het luchtalarm en NL-Alert dezelfde staat van paraatheid teweegbrengt bij burgers?

Vraag 6

Erkent u dat, in een heftige ramp of crisis, ook sprake kan zijn van sabotage van mobiele netwerken? Waarop baseert u dat NL-Alert in dergelijke situaties altijd bruikbaar zal zijn?

Vraag 7

Is het bereik van NL-Alert, met een stabiele dekking van 92%, voldoende om in een crisissituatie iedereen te bereiken? Hoe verwacht u dit bereik te vergroten?

Vraag 8

Kunt u onderbouwen dat een alternatief systeem als NL-Alert, waar mensen een telefoon voor nodig hebben, goed digitaal toegankelijk is?

Vraag 9

Bent u bekend met Project Särimner, een Zweedse infrastructuur waarin «datanodes» worden gebouwd die in het geval van sabotage of verstoring onafhankelijk van elkaar crisisinformatie kunnen uitwisselen?2

Vraag 10

Bent u bereid om een oplossing zoals Project Särimner nader te onderzoeken als aanvulling op de nationale crisisinfrastructuur?

Vraag 11

Kunt u deze vragen afzonderlijk van elkaar en nog vóór het commissiedebat over nationale veiligheid, weerbaarheid, brandweer en crisisbeheersing van 10 juni 2026 beantwoorden?

Vraag 1

Bent u bekend met de bevindingen uit de twee Bloomberg-onderzoeken van 29 januari 20261 en 28 april 20262?

Vraag 2

Beschouwt u het als zorgwekkend dat de onderzoeker stelt dat Meta alle tekstberichten, foto's, audio- en video-opnames in onversleutelde vorm kan opslaan en bekijken en dat Meta sinds ten minste 2019 een «gelaagd machtigingssysteem» hanteert dat toegang verleent aan opdrachtnemers en een significant aantal buitenlandse medewerkers in India?

Vraag 3

Beschouwt u de verklaringen van voormalige opdrachtnemers van Accenture dat zij en Meta-medewerkers «onbeperkte toegang» hadden tot versleutelde WhatsApp-berichten als zorgwekkend?

Vraag 4

Indien het antwoord op ten minste een van bovenstaande twee vragen bevestigend luidt, welke consequenties verbindt u hieraan voor het gebruik van WhatsApp door Nederlandse burgers, bewindspersonen en ambtenaren?

Vraag 5

Bent u bekend met de Amerikaanse CLOUD Act, op grond waarvan de Amerikaanse overheid van in de VS gevestigde bedrijven zoals Meta kan eisen dat zij toegang verlenen tot opgeslagen gebruikersdata, ook wanneer deze betrekking heeft op buitenlandse gebruikers? Zo ja, welke consequenties verbindt de regering hieraan voor het gebruik van WhatsApp door Nederlandse burgers, bewindspersonen en ambtenaren?

Vraag 6

Acht u het mogelijk dat vertrouwelijke communicatie – ondanks de maatregelen die voortvloeien uit de Archiefwet – via Whatsapp wordt verstuurd door ambtenaren en bewindspersonen?

Vraag 7

Welke concrete maatregelen treft u op korte termijn om te voorkomen dat vertrouwelijke bestuurlijke communicatie via WhatsApp plaatsvindt, mede gelet op de ernstige twijfels over de daadwerkelijke end-to-endversleuteling?

Vraag 8

Bent u bereid een onafhankelijk onderzoek in te stellen naar de vraag of WhatsApp-berichten daadwerkelijk end-to-end versleuteld zijn en niet toegankelijk zijn voor Meta, haar medewerkers, opdrachtnemers of andere derden? Zo nee, waarom niet?

Vraag 9

Zijn er op dit moment voor bewindspersonen en ambtenaren alternatieve communicatiediensten met end-to-end-versleuteling beschikbaar? Zo ja, welke, en worden deze in de praktijk gebruikt?

Vraag 10

Hanteert u bij de selectie van communicatiediensten voor overheidsgebruik als criterium dat de implementatie van end-to-end-versleuteling onafhankelijk verifieerbaar moet zijn via openbare broncode, en zo nee, is de regering bereid dit criterium alsnog in te voeren?

Vraag 11

Bent u bereid het NCSC te verzoeken een vergelijkende veiligheidsanalyse op te stellen van beschikbare open source communicatiediensten – waaronder Signal, Element/Matrix en Wire – met als specifiek doel te beoordelen welke dienst geschikt is voor vertrouwelijke bestuurlijke communicatie?

Vraag 12

Bent u bereid een voorlichtingscampagne te starten gericht op burgers, ambtenaren en bewindspersonen, waarin wordt gewezen op de ernstige twijfels die bestaan over de vertrouwelijkheid van WhatsApp-berichten? Zo nee, waarom niet?

Vraag 1

Bent u bekend met het bericht van de NOS dat hackersgroep ShinyHunters, die eerder verantwoordelijk was voor de hack bij Odido, nu ook gegevens van miljoenen studenten, docenten en onderwijsmedewerkers via onderwijsplatform Canvas heeft buitgemaakt?1

Vraag 2

Hoe beoordeelt u de ernst van dit datalek, mede gelet op de gevoeligheid van de buitgemaakte persoonsgegevens en mogelijk ook privécommunicatie van studenten, docenten en onderwijsmedewerkers?

Vraag 3

Hoeveel studenten, docenten en onderwijsmedewerkers van Nederlandse onderwijsinstellingen zijn naar schatting getroffen en welke typen persoonsgegevens zijn daarbij buitgemaakt?

Vraag 4

Welke gevolgen kan dit datalek hebben voor studenten, docenten en onderwijsmedewerkers, bijvoorbeeld in de vorm van phishing, identiteitsfraude of andere vormen van digitale criminaliteit en hoe kan worden voorkomen dat zij hiervan slachtoffer worden?

Vraag 5

Heeft u contact met de onderwijskoepels over wat nodig is om de gevolgen van dit datalek te beperken? Zo nee, bent u bereid hierover alsnog contact met hen op te nemen?

Vraag 6

Welke ondersteuning en informatie worden momenteel geboden aan getroffen studenten, docenten en onderwijsmedewerkers om misbruik van hun persoonsgegevens te voorkomen? Acht u deze ondersteuning voldoende en welke rol ziet u hierin voor uzelf?

Vraag 7

Is voor studenten, docenten en onderwijsmedewerkers voldoende duidelijk welke persoonsgegevens via onderwijsplatformen zoals Canvas worden verwerkt, met welke externe partijen deze gegevens worden gedeeld en hoe deze gegevens worden beschermd?

Vraag 8

Vindt u het wenselijk dat Nederlandse onderwijsinstellingen onderhandelen met hackersgroep ShinyHunters naar aanleiding van het ultimatum rondom de hack op Canvas, waarbij wordt gedreigd buitgemaakte gegevens van studenten, docenten en medewerkers openbaar te maken, of bent u van mening dat overheids- en onderwijsinstellingen nooit zouden moeten ingaan op dergelijke eisen van cybercriminelen?

Vraag 9

Welke lessen trekt u uit dit incident en op welke wijze wordt deze kwestie betrokken bij de ontwikkeling van een duidelijk handelingskader voor slachtoffers van datalekken?2

Vraag 1

Heeft u kennisgenomen van het bericht dat het UWV vanaf half mei een pilot start met Microsoft Copilot en daarmee stopt met het gebruik van het Europese alternatief Le Chat?1

Vraag 2

Hoe beoordeelt u het besluit van het UWV om een Europees AI-alternatief in te ruilen voor een Amerikaanse toepassing, mede in het licht van de kabinetsambities op het gebied van digitale soevereiniteit en het verminderen van afhankelijkheden van niet-Europese technologiebedrijven?

Vraag 3

Deelt u de opvatting dat publieke organisaties, zeker wanneer zij werken met grote hoeveelheden gevoelige persoonsgegevens, bij de inzet van generatieve AI, rekening zouden moeten houden met Europese datasoevereiniteit en strategische autonomie? Zo nee, waarom niet?

Vraag 4

Welke risico’s ziet u in de keuze die het UWV heeft gemaakt om co-pilot in te gebruiken, in het bijzonder waar het gaat om toegang tot persoonsgegevens, vendor lock-in en geopolitieke afhankelijkheden?

Vraag 5

Kunt u aangeven op welke wijze is beoordeeld of Microsoft Copilot voldoet aan de eisen rondom privacy, gegevensbescherming en gegevenssoevereiniteit en kunt u aangeven welke persoonsgegevens of interne gegevens van het UWV binnen deze pilot verwerkt kunnen worden?

Vraag 6

Hoe verhoudt deze keuze zich tot eerdere signalen vanuit Europese landen, waaronder Duitsland en Frankrijk, waarin juist gezocht wordt naar alternatieven voor afhankelijkheid van Microsoft?

Vraag 7

In referentie naar de aangenomen motie van het lid El Boujdaini c.s. over het principe «Europees tenzij» te hanteren en digitale soevereiniteit en digitale autonomie als expliciet criterium op te nemen in aanbestedingen, wat is de status van de uitvoering van die motie?2

Vraag 8

Kunt u aangeven wat er momenteel al gebeurt om Europese en soevereine AI-oplossingen binnen de Nederlandse overheid te stimuleren? En bent u bereid om samen met uitvoeringsorganisaties en andere overheidsinstanties te werken aan het breder implementeren van Europese en soevereine AI-oplossingen binnen de Nederlandse overheid? Zo nee, waarom niet?

Vraag 9

Eind 2026 worden de uitkomsten van de pilot met Microsoft Copilot geëvalueerd, kunt u toezeggen dat de Kamer actief wordt geïnformeerd over de uitkomsten van de pilot?

Vraag 1

Is de Staatssecretaris bekend met deze uitspraken van mevrouw Virkkunen1, Vice-President van de Europese Commissie, waarin ze stelt dat het niet zo kan zijn dat straks in de Europese Unie VPN’s gebruikt kunnen gaan worden voor het omzeilen van leeftijdsverificatie op het internet?

Vraag 2

Wat is het standpunt hieromtrent van de Nederlandse regering? Is het beperken of zelfs verbieden van VPN’s in de Europese Unie voor de Nederlandse regering bespreekbaar?

Vraag 1

Bent u bekend met de berichten «Meta blokkeert opnieuw tientallen queer accounts op Instagram» en «Meta heft de blokkade van queer-Instagramaccounts deels op, maar de angst voor herhaling blijft: «Het duwt je terug de kast in»»?1, 2

Vraag 2

Vindt u het acceptabel dat Meta wederom eenzijdig de accounts van tientallen queerorganisaties en queer personen heeft geblokkeerd of zelfs permanent heeft verwijderd?

Vraag 3

Heeft u sinds de beantwoording op de vragen van de leden Dassen en Kathmann over een soortgelijke situatie in december 2025, meer informatie gekregen over de moderatiekeuzes door Meta?3

Vraag 4

Bent u sinds de beantwoording op de bovengenoemde vragen nog verder in contact geweest met Meta over het eenzijdig blokkeren van queer accounts? Zo ja, wat was uw inzet bij deze gesprekken?

Vraag 5

Herkent u de signalen van de getroffen accounts dat het vaak niet lukt om in contact te komen met een echt persoon bij Meta om bezwaar te kunnen maken? Wat kan u hiertegen doen?

Vraag 6

Zijn er signalen dat online accounts worden getroffen door gecoördineerde massameldingen van gebruikers of groepen die het oneens zijn met de inhoud van de accounts? Wat doet Meta om zulke gecoördineerde massameldingen tegen te gaan, met name als deze zich richten tegen minderheidsgroepen?

Vraag 7

Kunt u ingaan op de onevenredig grote gevolgen die zulke blokkades hebben voor queerorganisaties en personen die voor hun zichtbaarheid en bereik afhankelijk zijn van grote online platforms?

Vraag 8

Hoe ziet u het blokkeren van queer accounts in het licht van artikel 35 van de Digital Services Act (DSA) die stelt dat platforms structurele risico’s op haat en discriminatie moet bestrijden?

Vraag 9

Vindt u dat Meta een verantwoordelijkheid heeft om een veilige en vrije omgeving te bieden voor queer content? Hoe spant u zich vanuit het perspectief van emancipatie in om dit te waarborgen?

Vraag 10

Bent u bereid om te onderzoeken of de aanname klopt dat minderheidsgroepen onevenredig vaak en hard worden geraakt door de niet-transparante moderatie van Meta?

Vraag 11

Bent u bereid zich in te zetten om de geblokkeerde of verwijderde accounts Nederlandse personen en organisaties te herstellen? Welke mogelijkheden heeft u hiertoe?

Vraag 12

Is het blokkeren van accounts, zonder waarschuwing of motivering, in strijd met de DSA?

Vraag 13

Welke gevolgen zijn er voor grote online platforms die zich herhaaldelijk niet aan de DSA houden? Wat hebben toezichthouders nodig om harder en sneller op te kunnen treden?

Vraag 14

Bent u het ermee eens dat grote online platforms, die dusdanig veel invloed hebben op het publieke debat en het bereik van organisaties, volledige openheid moeten geven over hun moderatiecriteria en werkwijze? Voorziet de DSA voldoende in deze transparantieverplichting volgens u?

Vraag 15

Kunt u deze vragen afzonderlijk en tijdig vóór het commissiedebat sociale media en inmenging van 4 juni 2026 beantwoorden?

Vraag 1

Bent u bekend met het bericht «Nog veel meer Instagramaccounts van LHBTIQ+’ers op zwart, veel meldingen uit Nederland» waaruit blijkt dat opnieuw meerdere Instagramaccounts van LHBTIQ+-organisaties, activisten en gemeenschappen, waaronder accounts uit Nederland, offline zijn gehaald of ontoegankelijk zijn gemaakt?1

Vraag 2

Bent u eens met de stelling dat het blokkeren van specifieke LHBTIQ+ accounts en content onrechtmatig, discriminerend en onacceptabel is? Bent u het ook eens met de stelling dat het optreden hiervan, meermaals en herhaald in vrij korte tijd, niet steeds door Meta afgedaan kan worden als een incident maar dat het onderdeel lijkt te zijn van hun beleid?

Vraag 3

Deelt u de ernstige zorgen dat het blokkeren van LHBTIQ+ personen en LHBTIQ+ organisaties, zonder geldige reden, discriminerend is, de vrijheid van meningsuiting aantast en de acceptatie en het veiligheidsgevoel van LHBTIQ+-gemeenschap onder druk zet? Zo ja, waarom en welke acties onderneemt u om deze ernstige zorgen te adresseren?

Vraag 4

Is het bij u bekend in hoeverre andere minderheidsgroepen dan LHBTIQ+ ook te maken hebben met structurele discriminatie en aantasting van hun vrijheid van meningsuiting door sociale media platforms?

Vraag 5

Kunt u toelichten in hoeverre het blokkeren van deze LHBTIQ+ accounts en content zonder duidelijke uitleg in lijn is met de verplichtingen uit de Digital Services Act, met name ten aanzien van transparantie, motivering en effectieve bezwaarprocedures en welke stappen het kabinet en de Europese Commissie zetten om hier actief op te handhaven?

Vraag 6

Welke acties zijn sinds de vorige blokkades (in december 2025) ondernomen door het kabinet of bevoegde toezichthouders naar aanleiding van deze signalen?

Vraag 7

Is er tevens contact geweest met belangenorganisaties van LHBTIQ+ personen om te vragen welke signalen er nog meer zijn en waar behoefte aan is?

Vraag 8

Welke mogelijkheden ziet u voor zich om bij sociale media platformen de transparantie over het blokkeren van accounts af te dwingen zodat voor gebruikers duidelijk is op welke gronden een blokkade is ingesteld en waar ze terecht kunnen met klachten of vragen?

Vraag 9

Welke mogelijkheden heeft u om platforms ertoe te bewegen geblokkeerde accounts te herstellen en/of gedupeerden te ondersteunen bij het herstellen van hun account?

Vraag 10

Welke maatregelen gaat u nemen tegen sociale media platforms die LHBTIQ+ personen en organisaties discrimineren? En welke aanvullende maatregelen overweegt u om het digitaal targetten van LHBTIQ+ gemeenschappen via sociale media platforms tegen te gaan en de LHBITQ+ gemeenschap beter te beschermen?

Vraag 11

Kunt u de vragen afzonderlijk beantwoorden?

Vraag 1

Klopt het dat op 27 maart 2026 besloten is om het DigiD-contract met Solvinity nogmaals voor twee jaar te verlengen?

Op dit moment heeft Logius een contract met Solvinity dat uiterlijk in augustus 2028 afloopt. Binnen het huidige contract kan er gebruik worden gemaakt van een tweede en laatste verlengingsoptie voor de periode van 7 augustus 2026 tot (uiterlijk) 6 augustus 2028. Het gaat hierbij om het contract met Solvinity voor het uitvoeren van de beheerwerkzaamheden aan het platform waar onder andere DigiD op draait. Het is niet mogelijk om voor augustus 2026 over te stappen naar een andere partij zonder dat hierbij de continuïteit en veiligheid van DigiD en andere voorzieningen in gevaar komen. Derhalve heb ik op 27 maart 2026 ingestemd met een contractverlenging voor de periode van 7 augustus 2026 tot 6 augustus 2028.

Vraag 2

Welke overwegingen liggen ten grondslag aan deze keuze? Is het niet verlengen van het contract serieus overwogen?

De afgelopen maanden zijn er door Logius en BZK verschillende mogelijkheden verkend, zoals het versneld overstappen naar een andere leverancier of het zelf in beheer nemen van het platform waar voorzieningen als DigiD op draaien
Het beheer van het platform vraagt om een ervaren beheerorganisatie om de continuïteit en veiligheid van dienstverlening blijvend te kunnen borgen. Op dit moment is het niet mogelijk om het platform in eigen beheer te nemen vanwege het feit dat Logius niet beschikt over voldoende kennis en capaciteit.
Het beheer van het platform versneld onderbrengen bij een andere beheerorganisatie kan ook leiden tot risico’s. De voornaamste reden hiervoor is dat een nieuwe beheerorganisatie kennis en ervaring moet opbouwen met het platform dat door Logius wordt gebruikt. Onder normale omstandigheden wordt hier een periode van 6 tot 12 maanden voor gehanteerd.
Deze overdracht kan plaatsvinden nadat een aanbestedingstraject is doorlopen en een nieuwe contractant is geselecteerd. Dat maakt het niet mogelijk om de overdracht naar een andere leverancier voor augustus 2026 af te ronden. Het vormgeven van een nieuwe aanbesteding en de overdracht naar een nieuwe leverancier is een langdurig traject dat zorgvuldig moet worden doorlopen, juist om de continuïteit en veiligheid van dienstverlening te borgen.

Vraag 3

Welke andere opties heeft u overwogen, behalve het contract met twee jaar verlengen? Waarom zijn deze opties afgevallen?

Zie het antwoord op vraag 2.

Vraag 4

Welke mogelijkheden heeft u om vóór het definitieve beslismoment begin mei alsnog af te zien van de contractverlenging van twee jaar? Kunt u een beroep doen op een voorwaarde in het contract of een wettelijke bevoegdheid om dit vervroegd te doen?

De Algemene Rijksinkoopvoorwaarden bij IT-opdrachten (ARBIT) zijn op deze overeenkomst van toepassing en bieden middels artikel 30 (onder voorwaarden) mogelijkheden tot het tussentijds ontbinden of opzeggen van de overeenkomst.
Voor het definitieve beslismoment van 6 mei 2026 heb ik geen mogelijkheden om af te zien van de contractverlenging. Zoals in de beantwoording op vraag 2 beschreven, zijn er op dit moment geen mogelijkheden om per augustus 2026 over te stappen naar een andere partij die in voldoende mate continuïteit en veiligheid kan borgen.

Vraag 5

Zo niet, heeft u de mogelijkheid om het contract slechts onder voorbehoud te verlengen zolang Solvinity niet door een Amerikaans bedrijf wordt overgenomen? Bent u bereid om zo’n voorbehoud te maken?

Zie antwoord op vraag 2 en 4.

Vraag 6

Heeft u de aangenomen motie-Stoffer c.s. (Kamerstuk 26 643, nr. 1467) en de twee moties-Kathmann c.s. (Kamerstuk 21 501-33, nr. 1190) (Kamerstuk 26 643, nr. 1507) meegewogen in dit besluit? Zo ja, hoe?

Deze zijn meegenomen in het besluit. Het kabinet wacht het oordeel van de onafhankelijke toezichthouder in het kader van het driesporenbeleid zoals vermeld in de Kamerbrief van 10 februari 20261 en de kabinetsreactie van 21 april 20262 af, om vervolgens een besluit te kunnen nemen.
Om vanaf (uiterlijk) augustus 2028 over te stappen naar een contractant waarbij het zeggenschap in Nederlandse/Europese handen ligt3, 4, wor dt er door Logius samen met de Landsadvocaat gekeken naar onder welke voorwaarden de aanbesteding kan worden uitgezet in de markt. In juni 2026 zullen wij uw Kamer hierover informeren.

Vraag 7

Kunt u concreet uitleggen hoe de continuïteit en veiligheid van de dienstverlening in gevaar komt als het contract niet was verlengd? Op basis van welke onderzoeken concludeert u dat?

Logius heeft een leverancier nodig voor het leveren van diensten die benodigd zijn om het platform waarop voorzieningen zoals DigiD staan, te laten draaien. Logius moet daarom een contract afsluiten met een leverancier. Zie voor verdere toelichting het antwoord op vraag 2.

Vraag 8

Is het mogelijk om de DigiD-diensten, die nu in beheer zijn bij Solvinity, binnen drie maanden over te schakelen naar een ander bedrijf? Is deze optie serieus onderzocht?

Zie beantwoording vraag 2.

Vraag 9

Hoe kunt u het DigiD-contract met Solvinity in zo kort mogelijke tijd ontbinden, nog vóór 2028, als de Amerikaanse overname doorgang vindt? Kunt u de Kamer uiterlijk in juni 2026 informeren over de opties die u hiertoe heeft en wat hiervan de kosten zijn?

Zie antwoord op vraag 4 en 6. Ik zal uw Kamer in juni 2026 nader informeren.

Vraag 10

Kunt u deze vragen afzonderlijk van elkaar en nog vóór het definitieve verlengen van het contract in begin mei beantwoorden?

Ja.

Vraag 1

Heeft u kennisgenomen van het artikel van Follow the Money waarin wordt gesteld dat de Kamer niet volledig is geïnformeerd over een contract met Palantir?1

Vraag 2

Erkent u dat het antwoord dat in augustus 2025 is gegeven door de Minister van Justitie en Veiligheid op de vraag of er buiten de bekende voorbeelden binnen Justitie en Veiligheid gebruik is of wordt gemaakt van software van Palantir onjuist of op zijn minst onvolledig was? En erkent u dat de Kamer onjuist en/of onvolledig is geïnformeerd?

Vraag 3

Kunt u precies uiteenzetten wanneer het contract tussen de Koninklijke Marechaussee (KMar) en Palantir is afgesloten, welke onderdelen van Defensie hierbij betrokken zijn en waarom de Kamer hier niet (volledig) vooraf over is geïnformeerd?

Vraag 4

Heeft u kennisgenomen van het 22-punten manifesto van Palantir dat zij op hun sociale media hebben gezet?2 Hoe beoordeelt u dat manifesto? Deelt u de mening dat dit manifesto direct ingaat tegen de normen en waarden van de Nederlandse overheid en dat er mede op basis daarvan geen samenwerking kan plaatsvinden tussen Palantir en de Nederlandse overheid?

Vraag 5

Kunt u een totaaloverzicht geven van alle samenwerkingen die er hebben plaatsgevonden of plaatsvinden tussen de Nederlandse overheid en Palantir sinds de oprichting in 2003? Mochten er nog lopende samenwerkingen zijn, liggen er exitstrategieën om als Defensie zo snel mogelijk te stoppen met het gebruik van de betreffende software?

Vraag 1

Kunt u meer toelichten over de raamovereenkomst die is gesloten met het Europese cloudplatform STACKIT?1

Vraag 2

Kunt u de raamovereenkomst aan de Kamer doen toekomen?

Vraag 3

Hoe ziet u de rol van de Rijksoverheid als lancerende klant van autonome Europese IT-diensten? Hoe draagt de raamovereenkomst met STACKIT bij aan dit doel?

Vraag 4

Met welk doel is de raamovereenkomst gesloten? Zijn er ook afspraken gemaakt over de afname van deze diensten?

Vraag 5

Welke «veilige en gunstige voorwaarden» heeft u afgesproken met STACKIT? Op welke manier dragen deze voorwaarden bij aan de digitale autonomie van Nederland?

Vraag 6

Hoe draagt het sluiten van een raamovereenkomst met één leverancier bij aan een eerlijk en open speelveld voor Nederlandse en Europese techbedrijven?

Vraag 7

Hoe borgt u in het sluiten van een raamovereenkomst de diversificatie en keuzevrijheid tussen leveranciers, zoals wel beoogd wordt door een privaat initiatief zoals de Open Cloud Alliantie?2

Vraag 8

Welke diensten levert STACKIT? Kunt u concreet maken voor welke belangrijke IT-processen u van plan bent de clouddiensten van STACKIT af te nemen?

Vraag 9

Erkent u dat opslag binnen de Europese Economische Ruimte (EER) geen afdoende bescherming is tegen inzageverzoeken van niet-Europese overheden, als de bedrijven die de opslag beheren onder niet-Europese wetgeving vallen?

Vraag 10

Is uitgesloten dat de clouddiensten van STACKIT op welke manier dan ook afhankelijk zijn van niet-Europese techbedrijven in het beheer, onderhoud, de beveiliging, of andere essentiële processen?

Vraag 11

Indien dit niet uit te sluiten is, kunt u dan toelichten welke afhankelijkheden STACKIT heeft van niet-Europese bedrijven? Zijn deze afhankelijkheden weg te nemen?

Vraag 12

Welke analyses heeft u gemaakt om te bevestigen dat STACKIT daadwerkelijk volledig Europees en autonoom is? Kunt u deze met de Kamer delen?

Vraag 13

Hoe gaat de Rijksoverheid toezien of STACKIT zich aan de afspraken houdt? Welke toezichthouder is hiertoe aan zet?

Vraag 14

Kunt u de vragen afzonderlijk van elkaar en zo snel mogelijk beantwoorden?

Vraag 1

Bent u bekend met het bericht in het NRC over het AI-model Mythos dat mogelijk in handen is gevallen van onbevoegden?1

Vraag 2

Deelt u de analyse dat ongecontroleerde verspreiding van geavanceerde AI-modellen risico’s kan vergroten op cyberaanvallen, geautomatiseerde fraude en andere schadelijke toepassingen? Zo ja, welke risico’s acht u het meest urgent? Zo nee, waarom niet?

Vraag 3

Welke rol spelen geavanceerde AI-modellen op dit moment in het dreigingsbeeld? Welke gevolgen heeft de uitrol van Mythos, binnen afzienbare tijd ook aan het grotere publiek, voor dit dreigingsbeeld?

Vraag 4

Bent u van mening dat overheden toegang moeten krijgen tot Mythos zodat zij het kunnen gebruiken om preventief kwetsbaarheden op te sporen en te dichten? Kan dit op een veilige en verantwoorde manier?

Vraag 5

Hoe bereidt u overheidsorganisaties voor op de cyberveiligheidsrisico’s die gepaard gaan met de uitrol van Mythos? Kunt u uiteenzetten welke acties u neemt om de veiligheid van persoonsgegevens van burgers en de ICT-processen van de overheid te garanderen?

Vraag 6

Welke rol zou een onafhankelijke AI-raad, zoals voorgesteld in de motie-Kathmann/Six Dijkstra (Kamerstuk 26 643, nr. 1403), kunnen spelen om de veiligheidsrisico’s van geavanceerde AI te monitoren en af te dekken? Hoe wordt deze motie nu uitgevoerd?

Vraag 7

Heeft u voldoende zicht op de risico’s van model leakage, model theft en ongeautoriseerde verspreiding van geavanceerde AI-systemen in Nederland en Europa? Zo ja, hoe wordt dit inzicht benut voor beleid en toezicht? Zo nee, welke maatregelen neemt u om dit inzicht te verbeteren?

Vraag 8

Hoe beoordeelt u de toereikendheid van bestaande beveiligingsnormen en toezichtmechanismen voor ontwikkelaars en beheerders van krachtige AI-modellen, mede in relatie tot de implementatie van de AI-verordening?

Vraag 9

Welke kansen ziet u om via veilige ontwikkeling en deployment van AI de digitale veiligheid te versterken, bijvoorbeeld voor cyberdetectie, opsporing en publieke dienstverlening?

Vraag 10

Ziet u in deze casus aanleiding om in Europees verband te pleiten voor versterkte samenwerking rond monitoring van toegangsbeheer, auditing en incidentrespons? Zo ja, op welke wijze?

Vraag 11

Hoe beoordeelt u de wenselijkheid van meer transparantieverplichtingen voor aanbieders van geavanceerde AI-systemen over beveiligingsmaatregelen, incidenten en misbruikrisico’s?

Vraag 12

Kunt u de vragen afzonderlijk beantwoorden en in ieder geval vóór het rondetafelgesprek cyberveiligheid en informatiebeveiliging van 20 mei 2026?

Vraag 1

Bent u bekend met het bericht «Ukraine Creates UK-Backed «A1» AI Hub to Develop EW-Resistant Drones and Predict Russian Moves»?1

Ja.

Vraag 2

Naar aanleiding van uw bezoek aan Oekraïne in maart 2026 werd bekend dat Nederland intensief gaat meekijken bij de Oekraïense inzet van drones op het slagveld, om meer te leren over de mogelijkheden voor Nederlandse productie en innovatie van onbemenste systemen; sluit dit aan op het initiatief in de berichtgeving?

Nee, dit staat los van het in de berichtgeving genoemde initiatief. Nederland is bekend met het Oekraïense AI-centrum A1, ook wel het Center of Innovations and Defence Technologies Development. Vanuit Defensie wordt contact gezocht met de initiatiefnemers van dit centrum, onder meer in het kader van lessons learned en mogelijke samenwerking.

Vraag 3

Heeft de Nederlandse industrie toegang tot de beschikbare informatie en zo ja, hoe waarborgt u dat deze informatie eerlijk toegankelijk is voor alle geïnteresseerde marktpartijen?

Defensie heeft op dit moment zelf geen directe toegang tot deze specifieke informatie, omdat Nederland niet betrokken is bij dit initiatief. Daardoor beschikt Defensie ook niet over een informatiepositie die met de Nederlandse defensie-industrie kan worden gedeeld of waarvoor Defensie de toegang kan reguleren. Nederlandse bedrijven die zelf actief zijn in Oekraïne kunnen uiteraard via hun eigen contacten met Oekraïense eindgebruikers operationele feedback of gefilterde informatie ontvangen. Dat betreft echter geen door Defensie beheerde of via Defensie beschikbaar gestelde informatiepositie. Tegelijkertijd wordt verkend op welke wijze Nederland in de toekomst kan aansluiten bij initiatieven gericht op kennis- en informatie-uitwisseling, mede om lessen uit Oekraïense innovaties breder toegankelijk te maken voor relevante Nederlandse stakeholders.

Vraag 4

Is Nederland ook voornemens om zelf een soevereine database aan te vullen voor het trainen van AI-modellen (al dan niet met Europese partners)? Wordt de Nederlandse industrie aangesloten bij een mogelijk initiatief?

Geschikte data voor het trainen van AI-modellen voor militaire doeleinden is schaars. Daarom erkent Defensie het belang van een database met dergelijke data. Defensie verkent verschillende mogelijkheden voor het verkrijgen van data van hoogwaardige kwaliteit, waarmee robuuste militaire AI kan worden ontwikkeld. Denk hierbij ook aan alternatieven zoals synthetische data. Industriepartners worden actief betrokken.

Vraag 5

Ziet u ook een kans om als Nederland koploper in Europa te worden in het ontwikkelen van verantwoorde AI? Wat gaat u op korte termijn initiëren om dit te bewerkstelligen?

Nederland zet zich al geruime tijd in voor de verantwoorde ontwikkeling, verwerving en inzet van militaire AI. Met de eerste Responsible AI in the Military Domain (REAIM) Summit in het voorjaar van 2023 heeft Nederland het thema verantwoorde AI in het militaire domein voor het eerst op de internationale agenda gezet. Nederland was bij alle REAIM summits co-host, in 2023, 2024 en 2025. Daarnaast speelt Nederland een actieve rol in de Governmental Group of Experts on Lethal Autonomous Weapon Systems (GGE LAWS). Van 2024 tot en met 2026 zit Nederland deze groep voor. Het doel is om consensus te bereiken over elementen van toekomstige afspraken over autonome wapensystemen. Tijdens de GGE LAWS bijeenkomsten gaat het ook over de huidige en toekomstige rol van AI in LAWS. Nederland blijft nauw betrokken bij het mogelijke vervolg van REAIM en de GGE LAWS. Daarnaast is Defensie nadrukkelijk bezig met het proces van verantwoorde verwerving van AI. Tot slot wordt onderzocht hoe Defensie militaire AI kan verifiëren en valideren voor veilig gebruik en inzet.

Vraag 6

Hoe weegt u het risico van het niet zelf hebben van een soevereine database voor het trainen van AI-modellen en van welke landen verwacht u afhankelijk te zijn?

De data waarop de AI-modellen worden getraind is grotendeels afkomstig en in beheer van Defensie. Daarnaast zullen er technische maatregelen worden getroffen om de daadwerkelijke uitkomsten van de AI-modellen te kunnen valideren, voordat deze daadwerkelijk (operationeel) worden ingezet. Bijvoorbeeld door eerst in een simulatieomgeving te werken. Op dit moment onderzoekt Defensie op Europees niveau met welke aanbieders en partnerlanden hiervoor een samenwerking kan worden gestart.

Vraag 7

Sluit u aan bij de gedachten dat we de standaarden voor militair gebruik van AI niet aan externe machten overlaten, maar dat we die zelf bepalen?

Het internationaal recht, waaronder het humanitair oorlogsrecht, is onverkort van toepassing op het militair gebruik van AI. Het gebruik van AI in het militaire domein mag niet leiden tot schendingen van dit recht. Dit zijn bestaande afspraken. Daarnaast onderschrijft Nederland bijvoorbeeld de NAVO-principes voor het verantwoord gebruik van AI. Voor de effectiviteit van nieuwe internationale afspraken, specifiek ten aanzien van AI in het militaire domein, is het van belang dat staten die actief zijn op het gebied van de ontwikkeling van state-of-the-art AI hieraan meedoen. Nederland zet zich op verschillende manieren actief in om nieuwe afspraken te maken, bijvoorbeeld in het kader van REAIM en van de GGE LAWS.

Vraag 8

Ziet u mogelijkheden om aan te haken op het samenwerkingsverband tussen Duitsland en Oekraïne, die hun defensiesamenwerking verder hebben geïntensiveerd door een memorandum te tekenen op het gebied van delen van data van het slagveld, waarbij Duitsland ook toegang krijgt tot real-time DELTA battlefield management system?

Ja, Defensie ziet deze mogelijkheden. Defensie kijkt expliciet naar en werkt samen met Oekraïne om lessen van het slagveld te vertalen o.a. door het delen van relevante informatie. In het deel van de organisatie belast met de militaire steun aan Oekraïne wordt actief gekeken naar innovatie en zo genoemde Lessons Learned en de disseminatie daarvan. Daarnaast werkt Defensie aan het verbinden van Nederlandse en voor Defensie relevante kennisinstellingen met Oekraïense kennis en innovatie instituten

Vraag 9

Ziet u het belang van in Europees verband initiatieven organiseren voor een strategisch autonome battlefield management architectuur die interoperabiliteit tussen de (gefragmenteerde) Europese systemen waarborgt?

Ja. Defensie onderschrijft het belang van samenwerking in Europees verband gericht op een meer strategisch autonome battlefield management architectuur. Interoperabiliteit tussen nationale systemen is essentieel voor het effectief gezamenlijk optreden van Europese krijgsmachten, onder meer binnen NAVO- en EU-verband.

Vraag 10

Onderneemt Defensie andere initiatieven om een strategisch autonome battlefield management architectuur te maken? Zo niet, kunt u een risicoafweging van afhankelijkheden geven? Zo ja, bent u bereid een plan van aanpak te maken en te delen?

Defensie heeft reeds een aantal battlefield management architecturen in gebruik, zowel aangekocht als zelf ontwikkeld. De insteek is dat primaire componenten van toekomstige battlefield management architecturen in de basis door Defensie zelf ontwikkeld worden.

Vraag 11

Kunt u de bovenstaande vragen afzonderlijk van elkaar beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht «Privacy-adviseur Binnenlandse Zaken: overname van DigiD bedreigt veiligheid van Nederland»?1?

Ja.

Vraag 2

Hoe kwalificeert u het naar buiten treden van de Centrale Privacy Officer (CPO) van Logius in deze casus als het buiten de eigen rol treden door via media en procedures politieke druk uit te oefenen?

De berichtgeving in verschillende media is op persoonlijke titel gedaan en de mediaoptredens en de inhoud daarvan zijn niet afgestemd met het departement. Ik kan geen uitspraken doen over zaken betreffende individuele medewerkers en individuele casuïstiek.
Ten aanzien van de inhoud kan ik melden dat, zoals eerder is toegelicht aan uw Kamer, het niet mogelijk is om voor augustus 2026 over te stappen naar een andere partij zonder dat hierbij de continuïteit en veiligheid van de dienstverlening van Logius in gevaar komt. Een dergelijk traject is langdurig en vraagt een overdracht en een zorgvuldige voorbereiding en uitvoering. Derhalve heb ik op 27 maart 2026 het besluit genomen dat Logius haar contract met Solvinity mag verlengen met twee jaar. De ondertekening van deze verlenging zal begin mei 2026 plaatsvinden. Op dit moment wordt uitgewerkt onder welke voorwaarden Logius haar IT-fundament zo snel mogelijk opnieuw kan gaan aanbesteden. De Landsadvocaat is nauw bij dit proces betrokken. In juni zullen wij uw Kamer in meer detail informeren.

Vraag 3

Welke formele interne escalatiekanalen stonden voor deze functionaris open, welke van deze kanalen zijn feitelijk benut en klopt de bewering dat toegang tot de bewindspersoon of de politieke leiding is geweigerd?

In het algemeen geldt dat voor het afgeven van een signaal of het doen van een melding over een vermoeden van een integriteitsschending of misstand de meldregeling van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties drie mogelijkheden beschrijft. In beginsel worden signalen of meldingen gedaan bij de direct leidinggevende van een medewerker. Een medewerker kan er ook voor kiezen een melding te doen bij het Meldpunt Integriteit. Tot slot kan een medewerker – desgewenst anoniem – een melding doen bij een vertrouwenspersoon. Meldingen worden vertrouwelijk in ontvangst genomen en behandeld. Ik kan daarom geen uitspraken doen over het benutten van de genoemde kanalen of mogelijke acties die in individuele casuïstiek zijn genomen.

Vraag 4

Is in deze casus formeel een melding gedaan op grond van de Wet bescherming klokkenluiders en, zo ja, onder welke kwalificatie of categorie is die melding gedaan?

Ik kan geen uitspraken doen over zaken betreffende individuele medewerkers en individuele casuïstiek.

Vraag 5

Kunt u aangeven of in deze casus onderzoek wordt gedaan naar mogelijke ongeoorloofde openbaarmaking van interne informatie en, zo nee, waarom niet? Indien daarvan wel sprake is, op basis van welke normen, procedures en mogelijke disciplinaire of strafrechtelijke kaders vindt dat onderzoek plaats?

Op dit moment wordt geen onderzoek gedaan. Het stuk waaruit geciteerd lijkt, is breder binnen het departement beschikbaar is. Het is niet duidelijk hoe de informatie openbaar is geworden. Er wordt aangifte gedaan van het vermoeden van een schending van de geheimhoudingsplicht. In artikel 9 van de Ambtenarenwet 2017 is vastgelegd dat ambtenaren verplicht zijn tot geheimhouding van vertrouwelijke informatie, waarvan zij het geheime karakter kennen of redelijkerwijs moeten vermoeden. Een schending van deze verplichting kan leiden tot strafrechtelijke vervolging. De aangifte is niet gericht tegen specifieke personen.

Vraag 6

Hoe beoordeelt u, mede in het licht van de voor ambtenaren geldende regels over contacten met de media, het in het artikel opgenomen citaat van een bron met jarenlange ervaring in de top van ministeries die volgens het artikel niet officieel met de media mocht spreken?2

Ik kan geen uitspraken doen over zaken betreffende individuele medewerkers en individuele casuïstiek. Onder andere de Gedragscode Integriteit Rijk geeft concrete kaders voor externe contacten en meningsuitingen. In algemene zin geldt dat van ambtenaren wordt verwacht dat zij zich in contacten met derden, zoals de media, horen te gedragen zoals een goed ambtenaar betaamt. In de Aanwijzingen inzake externe contacten van rijksambtenaren is hierover bepaald dat een ambtenaar in functionele contacten met derden, zich er rekenschap van moet geven dat hij als zodanig optreedt namens of ten behoeve van de Minister. Ambtenaren handelen of spreken niet voor zichzelf, maar met het oog op het door de Minister of ministerraad vastgesteld beleid. Een ambtenaar heeft overigens wel het recht op vrijheid van meningsuiting tenzij de goede vervulling van zijn functie of de het goede functioneren van de openbare dienst, voor zover deze in verband staat met zijn functievervulling, niet in redelijkheid is verzekerd (artikel 10 Ambtenarenwet 2017). Wanneer daar sprake van is, is afhankelijk van de concrete omstandigheden van het geval.

Vraag 7

Deelt u de opvatting dat politiek wordt bedreven in de Tweede Kamer der Staten-Generaal en in het kabinet, en niet vanuit de ambtelijke organisatie via mediaoptredens en rechtszaken tegen de Staat?

In onze democratische rechtsstaat hebben ambtenaren een adviserende rol en besluit uiteindelijk de politiek. Zie ook het antwoord op vraag 10.

Vraag 8

Welke disciplinaire, integriteitsrechtelijke of rechtspositionele kaders gelden wanneer een ambtenaar vertrouwelijke of interne informatie gebruikt om lopende politieke besluitvorming publiekelijk te beïnvloeden?

Onder andere Titel 10 van Boek 7 van het Burgerlijk Wetboek, de Ambtenarenwet 2017, de Cao Rijk en de Gedragscode Integriteit Rijk bieden onder meer integriteitsrechtelijke, rechtspositionele en disciplinaire kaders voor ambtenaren. Welke kaders van toepassing zijn en hoe deze worden ingezet, is afhankelijk van de omstandigheden in een specifieke zaak.

Vraag 9

Acht u het, gelet op deze casus, verdedigbaar dat het kabinet de regie in dit dossier heeft, wanneer ambtenaren op deze wijze naar buiten treden, de Staat aanklagen en zich daarover ook openlijk uitlaten op sociale media?3

Verwezen wordt naar de antwoorden op vraag 6, 7, 8 en 10.

Vraag 10

Is het kabinet bereid onomwonden uit te spreken dat ambtenaren mogen waarschuwen, adviseren en, waar de wet dat toestaat, melden, maar dat zij geen parallel politiek strijdtoneel via media en procedures mogen organiseren tegen het eigen kabinetsbeleid?

Rijksbreed wordt een werkklimaat bevorderd waarbij medewerkers op de werkvloer hun vragen en dilemma’s- bij collega’s en leidinggevenden kunnen uitspreken en samen met hen kunnen onderzoeken hoe hier het beste mee om te gaan. Het bieden van ruimte voor reflectie en dialoog op de werkvloer behoort volgens het kabinet niet alleen tot goed werkgeverschap, maar is juist ook noodzakelijk om als rijksdienst effectief te kunnen functioneren en de neutraliteit te behouden.
Na het ambtelijk advies besluit uiteindelijk de bewindspersoon. De politieke weging kan tot een ander besluit leiden dan ambtelijk werd geadviseerd. De bewindspersoon legt daarover verantwoording af aan het parlement. Vervolgens voeren ambtenaren uit wat politiek is besloten, ook als de politieke weging tot een ander besluit heeft geleid dan werd geadviseerd. Als de uitvoering van een politiek besluit onbedoelde gevolgen heeft, is het de taak van ambtenaren om die signalen terug te leggen bij de verantwoordelijk bewindspersoon zodat die het besluit kan heroverwegen. Ook dan besluit uiteindelijk de politiek.
Verder wordt verwezen naar het antwoord bij vraag 6.

Vraag 11

Zou u de vragen afzonderlijk van elkaar willen beantwoorden?

Ja.

Vraag 1

Bent u bekend met de uitspraak van het Gerechtshof Amsterdam van 14 april 2026 in de zaak tussen X (Twitter) en een individu om inzage te mogen krijgen in de gegevens die het bedrijf van hem bijhoudt?1

Vraag 2

Wat is uw reactie op deze uitspraak en de gevolgen die het heeft voor de interpretatie van artikel 15 van de Algemene Verordening Gegevensbescherming (AVG), zowel nationaal als in Europees verband?

Vraag 3

Bent u bereid om de Autoriteit Persoonsgegevens te vragen om een onafhankelijke analyse uit te voeren naar de gevolgen van de uitspraak voor de interpretatie, handhaving en uitoefening van het inzagerecht voor individuele gebruikers?

Vraag 4

Bent u op de hoogte van meer (soortgelijke) rechtszaken die tegen grote techbedrijven als X (Twitter) lopen? Welke gevolgen heeft de uitspraak op deze lopende zaken?

Vraag 5

Hoe wordt er op toegezien dat X (Twitter) de uitspraak van de rechter naar behoren uitvoert en (nagenoeg) volledige inzage geeft in de persoonsgegevens van de gebruiker, gezien het feit dat deze partij eerder al weigerde dit te doen?

Vraag 6

Bent u op de hoogte dat X (Twitter) in deze zaak meermaals heeft geprobeerd om de andere partij een spreekverbod op te leggen? Erkent u dat deze handelingen vanuit een groot internationaal techbedrijf intimiderend is tegenover één individu?

Vraag 7

Biedt de richtlijn tegen Strategic Lawsuit Against Public Participation (anti-SLAPP-richtlijn) genoeg bescherming tegen individuen die een zaak aanspannen richting grote internationale techbedrijven zoals X (Twitter)? Welke aanvullende maatregelen kunt u nemen om individuen die procederen tegen dit soort bedrijven te beschermen?

Vraag 8

Bent u bekend met de afwijzing van een handhavingsverzoek van de betrokken individu bij de Autoriteit Consument & Markt (ACM), mede omdat er al een civiele zaak loopt?2 Kunt u er in samenwerking met de ACM op toezien dat handhavingsverzoeken en civiele zaken elkaar in het vervolg niet meer uitsluiten?

Vraag 9

Welke gevolgen heeft het als X (Twitter) niet voldoet aan deze uitspraak? Kan het bedrijf worden gesanctioneerd of alsnog tot openheid gedwongen worden?

Vraag 10

Zijn de huidige boetemogelijkheden voor het niet naleven van de AVG volgens u voldoende effectief? Bent u bereid te onderzoeken of er aanvullende handhavingsmogelijkheden, zoals het persoonlijk aansprakelijk maken van bestuurders zoals in andere EU-landen,3 wenselijk zijn voor bedrijven die stelselmatig de wet niet naleven?

Vraag 11

Erkent u dat, na deze historische uitspraak, elke gebruiker het recht heeft om (nagenoeg) volledige inzage te verkrijgen in de gegevens die X (Twitter) over hem of haar bijhoudt? Voor welke andere (soorten) bedrijven zet deze uitspraak een precedent?

Vraag 12

Bent u het met de indieners eens dat de toegang tot het inzagerecht voor alle gebruikers toegankelijk moet zijn en uitgeoefend kan worden, ongeacht juridische kennis en middelen?

Vraag 13

Hoe kan de rechtspositie van individuele gebruikers versterkt worden om zich met gemak te beroepen op het inzagerecht richting grote techbedrijven? Welke maatregelen kunt u hiertoe nemen?

Vraag 14

Bent u bereid om in Europees verband te pleiten voor een eensgezinde uitleg van het inzagerecht van de AVG conform de rechtelijke uitspraak, en de Nederlandse interpretatie te erkennen als norm binnen alle EU-lidstaten?

Vraag 15

Bent u het met de indieners eens dat grote techbedrijven zoals X (Twitter) zouden moeten meebetalen aan de handhaving van de wetgeving die zij overtreedt, zoals het geval is onder de Digital Services Act, maar nog niet het geval is onder de AVG?

Vraag 16

Hoeveel belastinggeld betaalt X (Twitter) momenteel in Nederland?

Vraag 17

Kunt u deze vragen afzonderlijk van elkaar en zo snel mogelijk beantwoorden?

Vraag 1

Bent u bekend met het bericht van de NOS over hacks bij Basic-Fit en Booking.com waarbij klantgegevens zijn buitgemaakt?1

Vraag 2

Hoe beoordeelt u deze incidenten als indicatie van structurele tekortkomingen in de beveiliging van persoonsgegevens bij grote, digitaal opererende bedrijven?

Vraag 3

Heeft u voldoende structureel inzicht in de aard, omvang en frequentie van datalekken en cyberaanvallen in Nederland? Zo ja, hoe wordt dit overzicht benut voor beleid en toezicht? Zo nee, welke maatregelen neemt u om dit inzicht te verbeteren?

Vraag 4

Deelt u de opvatting dat herhaalde datalekken kunnen wijzen op onvoldoende structurele naleving van de Algemene verordening gegevensbescherming? Zo ja, welke systeemfouten signaleert u hierbij? Zo nee, waarom niet?

Vraag 5

Acht u de toezicht- en handhavingscapaciteit van de Autoriteit Persoonsgegevens toereikend om structurele naleving af te dwingen? Zo ja, waarom? Zo nee, welke versterkingen zijn nodig?

Vraag 6

Ziet u aanleiding om te komen tot strengere, afdwingbare beveiligingsnormen voor bedrijven die op grote schaal persoonsgegevens verwerken? Zo nee, waarom niet?

Vraag 7

In het kader van dataminimalisatie: ziet u kansen dat de ontwikkeling van de EDI-wallet in Nederland kan bijdragen aan het verkleinen van het risico op datalekken bij organisaties, doordat consumenten hun persoonsgegevens minder vaak rechtstreeks hoeven te delen met verschillende partijen?

Vraag 8

Kunt u de vragen afzonderlijk beantwoorden?

Vraag 1

Bent u bekend met de onderzoeken van Wijzer in Geldzaken en de Universiteit Utrecht dat veel jongeren zich bij financiële beslissingen laten beïnvloeden voor finfluencers met loze beloften over snel geld verdienen en dat met name kwetsbare jongeren hierdoor in de problemen kunnen komen, terwijl finfluencers vooral hun eigenbelang dienen?1, 2

Vraag 2

Bent u bekend met het recente onderzoek van de Radboud Universiteit dat influencers zonder medische achtergrond mensen met hun gezondheidsadviezen medische misinformatie kunnen verstrekken, bijvoorbeeld met oproepen om geen zonnebrand meer te gebruiken of te stoppen met hormonale anticonceptie?3

Vraag 3

Bent u bekend met de recente waarschuwingen van de Nederlandse Voedsel- en Warenautorteit (NVWA) over de risico’s van supplementen, waar verboden of onveilige stoffen in kunnen zitten, bijvoorbeeld bij teveel inname of verkeerde combinaties waardoor schade aan de gezondheid kan ontstaan, en de publicatie van een Blocklist?4

Vraag 4

Deelt u de zorg dat jongeren in toenemende mate informatie over onder meer financiële zaken, gezondheid en maatschappelijke vraagstukken verkrijgen via sociale media en influencers, en dat dit risico’s kan meebrengen wanneer informatie onjuist, onvolledig of misleidend is?

Vraag 5

Bent u bekend met het artikel ««Geen diploma, geen video»: nieuwe Chinese wetgeving voor influencers leidt tot verhit online debat»? En het initiatief van de Chinese overheid om eisen te stellen aan influencers te beschikken over aantoonbare deskundigheid wanneer zij over bepaalde maatschappelijke thema’s, zoals gezondheid, voeding en financiën adviseren?5

Vraag 6

Vind u dat ook in Nederland strengere regels zouden moeten gelden voor influencers die over maatschappelijke thema’s, zoals gezondheid, voeding en financiën mogen adviseren, zoals het beschikken over aantoonbare deskundigheid of expliciete vermelding dat hiervan geen sprake is, omdat zulke adviezen niet zonder risico’s zijn?

Vraag 7

Kunt u onderzoeken of het mogelijk is om aanvullende eisen aan deskundigheid te stellen bij adviseren op terreinen waar desinformatie een verhoogd risico inhoudt, met name voor kwetsbare groepen, zoals over financiën, voedings- (en specifiek over Voedingssupplementen en kruidensupplementen) en gezondheidsadviezen?

Vraag 8

Zou het bijvoorbeeld mogelijk zijn een disclaimer te verplichten bij posts van influencers waaruit voor een breed publiek eenvoudig te herleiden is dat het niet om deskundig advies gaat, bijvoorbeeld #NietDeskundig, #GeenDiploma of #GeenExpert

Vraag 9

Bent u bereid om ook in Europees verband in te zetten op betere consumentenbescherming bij online advisering over mogelijk risicovolle producten, en met name op aanvullende eisen aan (informatie over) deskundigheid? Bijvoorbeeld via Digital Services Act, richtlijnen voor consumentenbescherming of de Digital Fairness Act?

Vraag 1

Heeft u kennisgenomen van het TNO-rapport «Zonder Robotisering verdwijnt de Nederlandse Maakindustrie: Urgente actie is noodzakelijk»1?

Vraag 2

Hoe beoordeelt u de constatering in dit rapport dat de robotiseringsgraad van de Nederlandse maakindustrie achterblijft ten opzichte van internationale koplopers?

Vraag 3

Kunt u de Kamer een actuele, sectorale uitsplitsing sturen van robotadoptie in de Nederlandse maakindustrie, inclusief een onderscheid tussen het mkb en het grootbedrijf?

Vraag 4

Welke belemmeringen voor robotisering in de Nederlandse maakindustrie wegen volgens u op dit moment het zwaarst?

Vraag 5

Op welke Nederlandse evaluaties, studies of modelanalyses baseert het kabinet zijn oordeel over het effect van robotisering op arbeidsproductiviteit, leveringszekerheid en concurrentiekracht?

Vraag 6

Welke bestaande rijksinstrumenten kunnen mkb-maakbedrijven momenteel benutten voor automatisering, digitalisering en robotisering? Kunt u ook aangeven hoe vaak hier gebruik van wordt gemaakt?

Vraag 7

Zijn er fiscale prikkels, vereenvoudigingen van procedures en/of maatregelen die de regeldruk verlagen om robotinvesteringen te versnellen? Zoja, welke zijn het kansrijkst?

Vraag 8

In hoeverre vormen energiekosten, netcongestie en langdurige vergunningsprocedures momenteel een belemmering voor robotisering in de Nederlandse maakindustrie?

Vraag 9

Kunt u in kaart brengen in welke mate Nederlandse maakbedrijven afhankelijk zijn van niet-Europese leveranciers van industriële robots, sensoren, controllers, AI-software en cloud- of operationele technologiecomponenten?

Vraag 10

Welke inzet pleegt het kabinet op het gebied van standaardisatie en interoperabiliteit bij industriële robotica en hoe wordt vendor lock-in daarbij voorkomen?

Vraag 11

Hoe beoordeelt het kabinet de rol van open-sourcecomponenten in industriële robotica, mede in het licht van beheerkosten, aansprakelijkheid en cybersecurity?

Vraag 12

Welke ondersteuning is of wordt beschikbaar gesteld aan maakbedrijven, in het bijzonder mkb-bedrijven, om verbonden robots en andere operationele technologie-systemen cyberveilig in te richten en te beheren?

Vraag 13

Beschikt het kabinet over een actuele raming van de behoefte aan personeel met kennis van robotica, systeemintegratie, onderhoud, data en operationele technologie-cybersecurity in de maakindustrie? En sluiten de huidige mbo-, hbo- en wo-opleidingen en bestaande om- en bijscholingsinstrumenten daarop aan?

Vraag 14

Hoe verbindt het kabinet civiele robotisering in de maakindustrie met dual-use toepassingen en de versterking van de Nederlandse defensie-industrie?

Vraag 15

Bent u bereid de Kamer een integrale kabinetsreactie op dit rapport van TNO te sturen, waarin in ieder geval wordt ingegaan op het aspect of een nationale robotiseringsagenda noodzakelijk is?

Vraag 16

Kunt u iedere vraag afzonderlijk van elkaar beantwoorden?

Vraag 1

Kunnen de Staatssecretaris EZK en de Staatssecretaris J&V toelichten of de Autoriteit Persoonsgegevens al een onderzoek is gestart naar aanleiding van het datalek bij Basic-Fit?

Vraag 2

Kunnen de Staatssecretaris EZK en de Staatssecretaris J&V toelichten of er wordt gekeken naar een mogelijke overtreding van artikel 5 AVG?

Vraag 3

Kunnen de Staatssecretaris EZK en de Staatssecretaris J&V toelichten of de regelgeving (voornamelijk de AVG) of de handhaving moet worden aangescherpt, wellicht omdat sommige AVG-artikelen onduidelijk of achterhaald zijn?

Vraag 4

Basic-Fit valt niet onder de Cyberbeveiligingswet. Deelt u de opvatting dat grote bedrijven met veel data onder de reikwijdte van de Cyberbeveiligingswet zouden moeten vallen als «belangrijke entiteit»? Basic-Fit genereert namelijk zo’n 1,4 miljard omzet.

Vraag 5

Als Basic-Fit onder de Cyberbeveiligingswet zou vallen, had volgens u beiden het datalek dan voorkomen kunnen worden (voornamelijk in het licht van de zorgplicht)?

Vraag 6

Kunt u beiden iedere vraag afzonderlijk van elkaar beantwoorden?

Vraag 1

Bent u bekend met het bericht «Opinie: Bescherm de lichamelijke integriteit van vrouwen, ook in de digitale wereld»?1

Vraag 2

Kunt u het onderzoek van Investico, waaruit is gebleken dat alle grote Nederlandse drogisten, zoals Kruidvat, Etos en Trekpleister, (gevoelige) informatie over de vruchtbaarheid en seksuele gezondheid van klanten delen met Amerikaanse en Chinese techbedrijven, voorzien van een kabinetsreactie?2

Vraag 3

Kunt u specifiek maken welke persoonsgegevens door de onderzochte apps en drogisten worden doorverkocht? Is hier sprake van medische gegevens, die enkel met een wettelijke grondslag of na uitdrukkelijke toestemming verwerkt mogen worden?

Vraag 4

Voldoet de gegevensverwerking door de gezondheidsapps en de drogisten aan de nationale privacywetgeving? Zo ja of nee? Kunt u dit op basis van onderzoek onderbouwen?

Vraag 5

Zijn de Autoriteit Persoonsgegevens (AP) en de Autoriteit Consument & Markt (ACM) op de hoogte van de mogelijk illegale handel in gezondheidsgegevens? Zo ja, wordt hier naar uw weten nader onderzoek naar gedaan? Zo nee, bent u bereid dit in samenwerking met de toezichthouders wel te doen?

Vraag 6

Wat is uw oordeel over het gebruik van tracking cookies bij online webshops, waardoor mogelijk gevoelige informatie over het koopgedrag van klanten aan derden wordt doorverkocht? Is dit mogelijk in strijd met de privacywetgeving?

Vraag 7

Kunt u expliciet benoemen welke acties u nationaal en in Europees verband neemt om tracking cookies zo veel mogelijk te beperken en het informatie- en toestemmingsrecht van burgers over wat er met hun gegevens gebeurt te versterken?

Vraag 8

Indien blijkt dat gezondheidsapps en drogisten in strijd met de wet medische gegevens van personen hebben verwerkt, welke gevolgen heeft dit voor deze bedrijven?

Vraag 9

Deelt u de analyse van de indieners dat de lichamelijke integriteit van personen in een digitale wereld ook vraagt om toereikende privacybescherming? Is dit momenteel juridisch goed genoeg beschermd?

Vraag 10

Bent u bereid om aanvullende stappen te nemen om de medische gegevens van personen die gezondheidsapps gebruiken of gezondheidsproducten kopen bij drogisten beter te beschermen? Zo ja, hoe gaat u dit doen?

Vraag 11

Hoeveel vrouwen in Nederland maken gebruik van zogeheten «cyclusapps», in het bijzonder van Flo en Clue? Kunt u aangeven of de wijze waarop zij geïnformeerd worden bij het gebruik van deze apps en het delen van hun gegevens, conform de huidige wet- en regelgeving is?

Vraag 12

Welke mogelijke hiaten ziet u in de bestaande wet- en regelgeving in het effectief optreden tegen het onrechtmatig bewaren en/of delen van gevoelige informatie over bijvoorbeeld miskramen, seksuele activiteit, etcetera met derde partijen, mogelijk voor commerciële doeleinden?

Vraag 13

Deelt u de zorgen dat het doorverkopen van medische gegevens van vrouwen kan zorgen tot ongewenste profilering, agressieve gerichte advertenties, of zelfs het opstellen van dataprofielen van de medische geschiedenis van vrouwen?

Vraag 14

Heeft u indicaties voor welke doeleinden de doorverkochte medische gegevens van vrouwen, die zien op hun gezondheid en seksualiteit, worden gebruikt? Is dit in overeenstemming met het doel waarmee de data in eerste instantie met bedrijven is gedeeld?

Vraag 15

Kunt u deze vragen afzonderlijk van elkaar en zo snel mogelijk beantwoorden?

Vraag 1

Bent u op de hoogte van de hack bij ChipSoft, het bedrijf dat software voor patiëntendossiers en andere digitale systemen voor ziekenhuizen levert?1

Ja.

Vraag 2

Kunt u toelichten wat de ernst is van de hack en hoeveel ziekenhuizen, huisartsenpraktijken en eventuele andere zorgverleners zijn geraakt door de hack?

Patiënten moeten erop kunnen vertrouwen dat hun gegevens veilig zijn. Chipsoft voert momenteel samen met een extern team van cybersecurity-experts forensisch onderzoek uit om de oorzaak, omvang en bron van het incident vast te stellen. ChipSoft levert software aan ongeveer 70% van de Nederlandse ziekenhuizen. Uit voorzorg zijn sinds 8 april 20:00 uur de verbindingen met patiëntportalen die door ChipSoft worden gehost, verbroken. Dit betreft Zorgportaal, HiX Mobile2 en het Zorgplatform. Deze zijn hierdoor tijdelijk niet beschikbaar geweest. Inmiddels is er sinds vrijdag 17 april weer sprake van het gefaseerd opstarten van functionaliteiten, nadat deze veilig zijn bevonden. Op donderdag 16 april heeft ChipSoft gecommuniceerd met de klanten die dat betrof dat er bij de hack ook gegevens zijn gestolen. Hierover heb ik de Kamer, mede namens de Staatssecretaris van Justitie en Veiligheid, in een Kamerbrief op 21 april 2026 geïnformeerd3. ChipSoft heeft geen gedetailleerde inzage gegeven in welke klanten op welke wijze getroffen zijn. In de zojuist genoemde Kamerbrief heb ik ons inzicht met u gedeeld. De resultaten van het forensisch onderzoek, die van belang zijn voor de hersteloperatie bij zorginstellingen, zullen, zo heeft ChipSoft ons laten weten, zo snel mogelijk worden gecommuniceerd. In de tussentijd ondersteunt Z-CERT, als expertisecentrum cybersecurity in de zorg, en biedt hulp aan ChipSoft voor analyse, communicatie en incidentmanagement. Z-CERT informeert en adviseert haar deelnemers over deze situatie.

Vraag 3

Wat zijn de gevolgen van de hack voor zorgverleners en hun patiënten, bijvoorbeeld doordat zorginstellingen hun systemen offline hebben moeten halen?

Navraag bij de betrokken zorginstellingen leert dat de zorgprocessen doorlopen en zorgverleners bij de gegevens van patiënten kunnen. Patiënten kunnen echter wel hinder ondervinden bij het online maken van afspraken, dit gaat nu telefonisch. Daarnaast kunnen patiënten momenteel niet zelf hun dossier inzien. Ook is er met name impact op de uitwisseling van gegevens. Tussen zorgverleners, zoals huisarts en ziekenhuizen, kunnen digitale verwijzingen niet goed plaatsvinden.
Ziekenhuizen zijn hier echter op dit soort incidenten voorbereid en zij hebben hiervoor noodprotocollen die ook in werking zijn getreden. Hierdoor kunnen veel zorgprocessen doorlopen, maar vaak met een noodzakelijke extra inzet van personeel.

Vraag 4

Is bepaalde zorg uitgesteld vanwege de hack en zo ja, op welke schaal?

Nee, de zorgprocessen lopen door.

Vraag 5

Is er gevoelige data, zoals patiëntgegevens, in handen gekomen van criminelen?

Patiënten moeten erop kunnen vertrouwen dat hun gegevens veilig zijn. Op donderdag 16 april heeft ChipSoft gecommuniceerd met haar klanten dat er bij de hack patiëntgegevens zijn gestolen. Welke exacte patiëntgegevens hierbij zijn buitgemaakt is nog in onderzoek. Ik heb de Kamer, mede namens de Staatssecretaris van Justitie en Veiligheid, in een Kamerbrief op 21 april hierover geïnformeerd.4 Ik vind dit een zeer ernstige zaak. ChipSoft moet alles uit de kast halen en de volle verantwoordelijkheid nemen om snel en zorgvuldig te onderzoeken en duidelijkheid te creëren voor patiënten en zorgverleners, zodat mensen weten of hun data gestolen is en om welke data het gaat.

Vraag 6

Hoe verklaart u de verschillende aanpak van ziekenhuizen na de hack, bijvoorbeeld in het wel of niet offline halen van systemen?

Ziekenhuizen die klant zijn bij ChipSoft hebben op advies van Z-CERT, het expertisecentrum cybersecurity in de zorg, preventieve maatregelen genomen en hebben monitoring op hun lopende systemen geïntensiveerd. De keuzes die gemaakt worden, zijn door de ziekenhuizen of organisaties zelf gemaakt op basis van eigen specifieke situatie en risico inschatting.

Vraag 7

Verschilt de impact van de hack tussen ziekenhuizen die hun gegevens lokaal, hybride of juist in een cloudomgeving opslaan? Kunt u uitleggen welke keuze de meeste weerbaarheid biedt?

De gegevens van de zorgaanbieders die gebruikmaken van de cloudomgeving van ChipSoft zijn gestolen. Van instellingen die de software van ChipSoft in eigen beheer uitvoeren of door derden laten beheren, zijn geen gegevens gestolen. Hierover heb ik de Kamer, mede namens de Staatssecretaris van Justitie en Veiligheid, in een Kamerbrief op 21 april geïnformeerd.5
Er valt niet in z’n algemeenheid te zeggen welke keuze de meeste weerbaarheid biedt. Dit hangt af van de lokale context van de zorgaanbieder en de risicoafweging die gedaan is en de beheersmaatregelen die daarbij genomen zijn.

Vraag 8

Welke rol speelt de overheid in de afwikkeling van de hack?

Wat betreft de afwikkeling van de hack en opsporing en/of vervolging ligt de verantwoordelijkheid bij de politie en het Openbaar Ministerie (OM). Diverse toezichthouders doen onderzoek naar de hack. Vanuit onze stelselverantwoordelijkheid ondersteunen we de koepelorganisaties die in het Informatieberaad Zorg zitten met informatie over de digitale aanval en een woordvoeringslijn die zij kunnen gebruiken naar hun leden.
Ook worden bijvoorbeeld handelingsperspectieven uitgewisseld. VWS en organisaties die gesubsidieerd worden door VWS ondersteunen de getroffen zorginstellingen zoveel als mogelijk. Zo financiert de overheid Z-CERT, het expertise centrum cybersecurity in de zorg. Z-CERT, biedt hulp aan ChipSoft voor analyse, communicatie en incidentmanagement. Z-CERT informeert en adviseert haar deelnemers over deze situatie. Vanuit het ministerie volgen we de ontwikkelingen zeer nauw, adviseren we koepels en zorgaanbieders en duiden we de rollen en bevoegdheden, waar nodig.

Vraag 9

Zijn er alternatieven voorhanden bij een hack als deze, bijvoorbeeld alternatieve software waar ziekenhuizen en andere zorgverleners op kunnen terugvallen?

Ziekenhuizen hebben draaiboeken en protocollen voor als systemen niet werken om te zorgen dat het zorgproces door kan blijven gaan. Dit volgt uit de verplichte risico analyse die zij moeten doen. Zo gaan bijvoorbeeld verwijzingen van huisartsen naar Chipsoft-ziekenhuizen niet meer digitaal, maar per mail of telefonisch. Zie ook het antwoord op vraag 3. Het is aan zorgverleners zelf om deze protocollen, gegeven de specifieke situatie van de betreffende zorgverlener, in te richten. De ingebruikname van een ander elektronisch patiëntendossier of andere alternatieve software is niet iets wat in enkele dagen of weken geregeld kan worden. Dit is technisch zeer complex en kent een lange doorlooptijd. Bovendien brengt het hoge kosten en andere risico’s met zich mee.

Vraag 10

Welke eisen gelden er voor leveranciers van cruciale zorg-ICT?

Nederlandse zorgaanbieders zijn wettelijk verplicht om te voldoen aan de norm voor informatiebeveiliging in de zorg, de NEN 7510. De NEN 7510 geeft richtlijnen voor controlemaatregelen en stelt eisen aan het informatiebeveiligingssystemen. De norm vereist ook beheersmaatregelen voor bedrijfscontinuïteit en bereikbaarheid. Bij de inzet van ICT-producten die medische gegevens verwerken, eisen zorgaanbieders van de softwareleveranciers van deze ICT-producten dat ook zij voldoen aan de NEN 7510. Softwareleveranciers dienen dit aan te tonen met een certificaat.
In de nabije toekomst zullen aanvullende eisen voor cyberweerbaarheid worden gesteld in de NIS2-richtlijn die wordt omgezet in de Cyberbeveiligingswet en het Cyberbeveiligingsbesluit. De European Health Data Space-verordening (EHDS) draagt bij aan toegankelijkheid van de zorg-ICT-markt in Nederland en Europa en betere databeschikbaarheid. Deze verordening gaat de nieuwe eis stellen dat EPD-systemen aan de kaders rondom cyberveiligheid moeten gaan voldoen conform de Cyberweerbaarheidsverordening6.

Vraag 11

Is de ketenweerbaarheid op het gebied van ICT in de zorg wat u betreft op orde, onder andere in de domeinen hosting, beheer, en koppelingen? Waarom wel of niet?

Zorgaanbieders zijn verantwoordelijk voor de afspraken die gemaakt worden met hun ICT-leveranciers. Uit deze verantwoordelijkheid volgt dat zij handelingsperspectieven moeten opstellen op basis van de individuele risicoafwegingen en passend bij de eigen context. In de NEN7510 is de verplichting opgenomen een risicobeoordeling uit te voeren en digitale afhankelijkheden in kaart te brengen. Daarnaast gaat de Cyberbeveiligingswet (Cbw) organisaties, waaronder zorgaanbieders, verplichten om hun leveranciersketen in kaart te brengen, en om aan de leveranciers in die keten informatiebeveiligingsnormen te stellen. De Cbw is voorzien medio 2026 in te gaan.

Vraag 12

Deelt u de opvatting dat dit geen incident is, maar een symptoom van te grote afhankelijkheid van een paar dominante leveranciers in de zorg, waarbij een incident bij één leverancier meteen een nationale zorgvraag wordt?

Nee, ik deel die opvatting niet. Zorgaanbieders dienen afspraken te maken met zorg-ICT-leveranciers en hierbij risico’s af te wegen. Het is wel zo dat de omvang van een hack groter kan zijn wanneer een leverancier met een groot marktaandeel wordt getroffen waarbij ook nog eens patiëntgegevens zijn opgeslagen.

Vraag 13

Deelt u de zorgen over de risico’s wanneer één dominante marktpartij de infrastructuur levert voor zorginstellingen of andere essentiële publieke voorzieningen?

Het is belangrijk dat er sprake is van een gezonde marktwerking op de zorg-ICT-markt. Op verzoek van de toenmalige Minister van VWS heeft de Nederlandse Zorgautoriteit (NZa) in januari 2025 een rapport uitgebracht: «Sturing op kwaliteit en betaalbaarheid zorg-ICT». Daarin staat dat onder andere in de ziekenhuiszorg een paar grote leveranciers de markt domineren. Deze marktconcentratie zorgt voor minder concurrentie, wat de prijzen op kan drijven en innovatie kan vertragen. Ook is er een definitieve leidraad goedwerkende markten voor zorg-ICT van de ACM7 gepubliceerd. Het Ministerie van VWS maakt hieruit op dat het voor nieuwe innovatieve spelers moeilijk is voet aan de grond te krijgen, omdat zorginstellingen huiverig zijn om risico’s te nemen door met kleine of nieuwe partijen in zee te gaan. Bovendien wordt toetreding tot de Nederlandse markt van nieuwe buitenlandse leveranciers bemoeilijkt door de complexe, internationaal niet te vergelijken bekostigingssystematiek in onze zorgsector. Een te grote eenzijdige afhankelijkheid kan risico’s met zich brengen voor de continuïteit van zorg. Zorginstellingen zijn zelf verantwoordelijk om deze risico’s in kaart te brengen en keuzes te maken om invulling te geven aan overwegingen van digitale autonomie.
In de brief Voortgang agenda databeschikbaarheid van 20 januari 2026 is de stand van zaken over de zorg-ICT-markt uiteengezet. Om de risico’s te beperken, ga ik de komende tijd aan de slag om de bewustwording en kennis en expertise bij bestuurders over zorg-ICT te vergroten. Ook wordt samen met partijen onderzocht hoe het inkoopproces verbeterd kan worden. Daarnaast wordt er samen met overheidspartijen met een regulerende of toezichthoudende rol in het zorgveld een zogenoemde signaleringstafel opgezet. Daar kunnen signalen over zorg-ICT worden gedeeld en kan vanuit bestaand instrumentarium bekeken worden of en zo ja welke (gezamenlijke) interventie gewenst is. Naast de hierboven genoemde acties zet ik in op de European Health Data Space (EHDS) om de markt toegankelijker te maken voor EPD-leveranciers. Om dat te bereiken worden er op Europees niveau harmoniserende regels gesteld aan interoperabiliteit tussen de EPD-systemen en aan een verplicht loggingsmechanisme voor gebruik van gegevens door zorgverleners. Ook wordt gekeken hoe het toezicht versterkt kan worden op zorg-ICT.

Vraag 14

Zijn er maatregelen die u neemt om dergelijke marktdominantie tegen te gaan, bijvoorbeeld door afspraken te maken over het inkoop- en aanbestedingsbeleid in de zorgsector? Waarom wel of niet?

In de eerste plaats zijn zorgaanbieders zelf verantwoordelijk voor de inkoop, aanbesteding en contractering van zorg-ICT. Wel blijkt uit het NZa rapport «Sturing op kwaliteit en betaalbaarheid zorg-ICT» januari 2025 dat de bewustwording en kennis en expertise bij bestuurders over zorg-ICT vergroot kan worden. Daarom wordt samen met partijen onderzocht hoe het inkoopproces verbeterd kan worden, bijvoorbeeld door de inzet van externe expertise om gezamenlijke inkoop van een kernapplicatie te laten slagen. Dit zorgt voor schaalvoordelen en vergroot de kans op samenwerking. Over dit soort onderwerpen heeft mijn ministerie ook regelmatig overleg met de ICT-gebruikersverenigingen van de ziekenhuizen.

Vraag 15

Hoe zorgt u voor voldoende diversificatie tussen ICT-leveranciers bij zorginstellingen? Is het uw verantwoordelijkheid om monopolievorming in de zorg-ICT tegen te gaan?

De Autoriteit Consument en Markt (ACM) houdt toezicht op eerlijke concurrentie en marktwerking, zo ook op de zorg-ICT markt. In eerste instantie is zij de toezichthouder op basis van de Mededingingswet die toezicht houdt op de markt en ook concentraties (fusies/overnames) beoordeelt. Zij heeft in haar brief op 28 januari 20258 aangegeven dat de zorg-ict markt niet goed werkt omdat ICT-systemen gesloten zijn. De ACM geeft aan dat zij op dit moment onvoldoende instrumenten heeft om eerlijke concurrentie en marktwerking structureel af te dwingen en adviseert het Ministerie van VWS om openheid van digitale informatiesystemen via wetgeving te verplichten.
Ik vind het belangrijk dat de zorg-ICT-markt toegankelijk is, zodat concurrentie en innovatie worden gestimuleerd. Met de EHDS wordt ook ingezet op een zo open mogelijke markt voor onder andere EPD-leveranciers. Ik onderzoek de mogelijkheden om als randvoorwaardelijk onderdeel van de EHDS, te komen tot additionele regulerende instrumenten.

Vraag 16

Is het wenselijk dat zorginstellingen individueel ICT-diensten inkopen en hierover onderhandelen? Welke voor- en nadelen ziet u bij een meer gezamenlijke vorm van inkoop?

In de eerste plaats zijn zorgaanbieders zelf verantwoordelijk voor de inkoop, aanbesteding en contractering. Gezamenlijke inkoop kan schaalvoordelen opleveren, vergroot de kans op samenwerking en versterkt de positie van de zorgaanbieders. Een nadeel kan zijn dat er minder maatwerk wordt geleverd.

Vraag 17

Wat is de status van de uitvoering van de motie-Bushoff/Bevers om bij de evaluatie van de Wet vifo te bezien of bij fusies en overnames vanuit het buitenland van digitale zorginfrastructuur vergelijkbare voorwaarden gesteld kunnen worden als bij andere cruciale sectoren, zoals de chip-, energie- en telecomsector?2

Sinds juni 2023 is de Wet Veiligheidstoets investeringen, fusies en overnames (vifo) van kracht. De Wet vifo introduceerde een mechanisme voor investeringstoetsing in Nederland. Recent is de wet, conform de toezegging aan de Tweede Kamer, geëvalueerd.
Tevens is in december 2025 de herziene Foreign Direct Investment (FDI)-screeningsverordening vastgesteld. Met de wijziging van de Verordening worden de reikwijdte en procedures van de nationale investeringstoetsingsregimes in de Europese Unie gestroomlijnd om economische veiligheidsrisico’s van investeringen op een meer coherente manier aan te pakken. Nadat de herziene FDI verordening formeel is vastgesteld, start de termijn voor omzetting van de Verordening in nationale wetgeving. In Nederland wordt deze Verordening geïmplementeerd in de Wet vifo. Ik koers aan op een verwijzing in de wet vifo naar de (terminologie van de) Wet weerbaarheid kritieke entiteiten (Wwke). Hiermee zullen kritieke entiteiten in de zorg in het geval van vijandige investeringen, fusies of overnames kunnen worden getoetst.

Vraag 18

Deelt u de zorgen van de Autoriteit Consument & Markt (ACM) over gesloten datastandaarden bij ICT-aanbieders in de zorg, aangezien systemen daardoor niet goed met elkaar communiceren en zorgaanbieders minder keuze hebben in hun leveranciers, met monopolievorming tot gevolg?

Ja ik deel deze zorgen. Het niet gebruiken van open standaarden en de geslotenheid van ICT-systemen bevordert niet de door de Nationale, Visie en Strategie10 gewenste interoperabiliteit op weg naar databeschikbaarheid. Om dat te veranderen zal een mix van Europese verplichtingen en nationale keuzes nodig zijn. Met de European Health Data Space (EHDS) verordening wordt ingezet op een zo open mogelijke markt voor EPD-leveranciers. Om dat te bereiken worden er op Europees niveau harmoniserende regels gesteld aan interoperabiliteit tussen de EPD-systemen. Vanuit de NVS-ambitie stuur ik op openstelling van systemen via open gestandaardiseerde koppelvlakken: publiek beschikbare koppelvlakken,
zodat data veilig, herbruikbaar en leverancier-onafhankelijk kan stromen door het hele stelsel. De specificaties van deze open koppelvlakken zijn een publieke verantwoordelijkheid. Zo nodig zal ik deze koppelvlakken ook als open source laten ontwikkelen en beschikbaar stellen aan marktpartijen.

Vraag 19

Wat is de status van de uitvoering van de motie-Bushoff/Kathmann over een routekaart waarlangs ICT-leveranciers in de zorg de komende jaren verplicht worden gebruik te maken van open datastandaarden?3

In mijn brief «stand van zaken landelijk dekkend netwerk» die ik voor het commissiedebat digitale zorg (gepland op 21 mei) naar uw Kamer zal sturen, zal ik dieper ingaan op dit vraagstuk.

Vraag 20

Welke structurele problemen in de zorg-ICT legt deze hack bloot? Wie is er aan zet om deze op te lossen?

Het onderzoek naar deze hack is nog in volle gang. Het is daarmee te vroeg om een verband te leggen tussen deze hack en structurele problemen in de zorg-ICT.

Vraag 21

Welke maatregelen neemt u om de cyberveiligheid en weerbaarheid van zorginstellingen structureel te vergroten?

In het versterken van de cyberweerbaarheid van de zorg neem ik een kader stellende, toezichthoudende, stimulerende en faciliterende rol in. In de brief over informatieveiligheid in de zorg van 4 december 2025 heeft mijn voorganger uw Kamer geïnformeerd over de maatregelen die mijn ministerie neemt12. Ik ondersteun zorginstellingen bij het voorkomen van incidenten door het verhogen van bewustzijn van zorgmedewerkers in het programma Informatieveilig gedrag in de zorg. Een groot deel van cyberincidenten zijn mede veroorzaakt door menselijk handelen. Daarnaast bied ik hulpmiddelen aan om te voldoen aan de NEN7510, de norm voor informatiebeveiliging in de zorg. Deze norm schrijft organisatorische, mensgerichte, fysieke en technologische beheersmaatregelen voor die de digitale weerbaarheid van een organisatie concreet verhogen. Dit met het doel om dreigingen te voorkomen, detecteren of erop te reageren. Tot slot helpt het expertisecentrum cybersecurity in de zorg (Z-CERT) zorginstellingen in het voorkomen van incidenten door te monitoren en eventuele dreigingsinformatie te delen. Daarnaast biedt Z-CERT ondersteuning bij het beperken van de gevolgen wanneer er onverhoopt een incident heeft plaatsgevonden.

Vraag 22

Wat wordt de rol van de Cyberbeveiligingswet, zodra deze is aangenomen, om dergelijke hacks te voorkomen en sneller af te wikkelen? Wat gaat er concreet veranderen in een casus zoals deze?

Voor alle zorgaanbieders is de NEN 7510, de norm voor informatiebeveiliging in de zorg, nu al wettelijk verplicht. De Cyberbeveiligingswet (Cbw) gaat bredere eisen stellen aan netwerk- en informatiebeveiliging voor diverse sectoren waaronder de sector zorg. Zodra de Cbw van kracht is (voorzien medio 2026), hebben organisaties die onder de wet vallen een meldplicht. Dit houdt in dat een significante cyberincident13 binnen 24 uur wordt gemeld bij het portaal van het Nationaal Cyber Security Centrum (NCSC). Het NSCS werkt nauw samen met Z-CERT, het expertisecentrum op het gebied van het cybersecurity in de zorg. Deze meldplicht zorgt ervoor dat alle significante meldingen worden gemonitord en er tijdig wordt gewaarschuwd tegen cyberdreigingen. Daarnaast stelt de Cbw een zorgplicht voor organisaties verplicht. Dit houdt in dat organisaties vallend onder Cbw maatregelen moeten nemen om hun netwerk- en informatiesystemen te beschermen tegen significante incidenten. De Cbw zal cyberincidenten niet voorkomen, maar de cyberweerbaarheid in Nederland en daarmee ook in de sector zorg wordt verhoogd doordat significante cyberincidenten worden gemonitord en vervolgens snel wordt gehandeld om de beveiliging van informatiesystemen en bedrijfscontinuïteit te waarborgen.

Vraag 23

Kunt u deze vragen afzonderlijk van elkaar en nog vóór het commissiedebat over digitale ontwikkelingen in de zorg van 21 mei 2026 beantwoorden?

Ja.