Vraag 1

Bent u bekend met het manifest, wereldwijd ondertekend, die oproept om AI-uitkleedsoftware te verbieden?1

Ja.

Vraag 2

Wat is uw reactie op het manifest? Kunt u inhoudelijk reageren op de specifieke oproepen aan beleidsmakers van EU-lidstaten?

Het is goed dat het maatschappelijk middenveld met dit manifest breed aandacht vraagt voor de problematiek rondom nudifying-tools. De slachtoffers zijn met name vrouwen en minderjarigen, maar deepnudes kunnen in potentie van iedereen gemaakt worden. Het bericht dat zoveel mensen slachtoffer zijn geworden is zeer zorgwekkend. Het is onacceptabel om met behulp van AI zonder toestemming mensen uit te kleden. De impact en de gevolgen van deepnudes voor slachtoffers en hun omgeving zijn enorm, mede omdat het maken van deepnudes steeds geavanceerder wordt en daarmee deepnudes steeds realistischer worden.
Ten aanzien van de eerste drie specifieke oproepen: op grond van het bestaande straf- en civiele recht kan de nudify-problematiek in Nederland en de EU al grotendeels worden aangepakt. Het gebruik ervan zonder toestemming zal in de praktijk vrijwel altijd strafbaar en/of onrechtmatig zijn. Zo biedt de Nederlandse wetgeving via de artikelen 252 en 254ba Wetboek van Strafrecht voldoende mogelijkheden om strafrechtelijk op te treden tegen personen die met AI applicaties zonder toestemming deepnudes van personen, waaronder vrouwen en minderjarigen, genereren, voorhanden hebben en verspreiden.
Bij het verwerken van persoonsgegevens in deepfakes, zoals gezichts- of stemkenmerken, is verder de Algemene Verordening Gegevensbescherming (hierna: AVG) van toepassing. De AVG verbiedt het maken en verspreiden van deepfakes die persoonsgegevens bevatten, buiten de huiselijke sfeer, zonder een geldige verwerkingsgrondslag. In de praktijk betekent dit dat een deepfake zonder toestemming, vooral wanneer het gevoelige (bijvoorbeeld seksuele) inhoud bevat, in strijd is met de AVG. Personen wiens gegevens onrechtmatig zijn verwerkt in (deepfake)content kunnen een klacht indienen bij de Autoriteit Persoonsgegevens (hierna: AP).
Het gebruik van deepfake-technologie kan onder bepaalde omstandigheden een onrechtmatige daad vormen. Dit is meestal het geval bij de publicatie van pornografische deepfakes die zonder toestemming zijn gemaakt, maar kan ook gelden voor stemimitaties. Bovendien blijkt uit de regeling van het portretrecht in de Auteurswet dat het publiceren van een portret, dat niet op verzoek is gemaakt (wat meestal het geval is bij deepfakes), niet is toegestaan als er een redelijk belang van de geportretteerde is dat zich verzet tegen openbaarmaking (artikel 21 Auteurswet).
De digitaledienstenverordening (Digital Services Act, hierna: DSA) regelt dat hostingsdiensten, waaronder online platforms, verplicht zijn om te voorzien in mechanismen via welke gebruikers meldingen kunnen doen van illegale inhoud die zich op de dienst/op het platform bevindt. De meldingen moeten vervolgens (tijdig) worden beoordeeld en verwerkt. In het geval van illegale deepnudes zal dit betekenen dat zij de betreffende inhoud, zodra zij daarvan kennis hebben, moeten verwijderen. Wanneer de hostingdiensten, waaronder online platforms, dat niet doen riskeren zij aansprakelijkheid.
Daar bovenop geldt voor de zogenaamde aangewezen «zeer grote online platforms» (zoals X, Facebook, Instagram, TikTok, YouTube, Snapchat) de verplichting om zogenaamde systeemrisico’s die voortvloeien uit het ontwerp of de werking van de dienst en daaraan verbonden systemen (waaronder algoritmes en aanbevelingssystemen), te beoordelen en te beperken. Dit omvat risico’s in verband met de verspreiding van illegale inhoud, zoals gemanipuleerde seksueel expliciete afbeeldingen, met inbegrip van inhoud die kan neerkomen op materiaal van seksueel misbruik van kinderen. In dat kader is de Europese Commissie, die primair toezicht houdt op aangewezen zeer grote online platforms- en zoekmachines, onlangs een onderzoek gestart tegen X, in verband met de risico’s voortvloeiende uit de uitrol van Grok in dat platform.2
Het kabinet staat voor een effectieve aanpak van de nudify-problematiek en daar kan een verbod deel van uitmaken. Op dit moment wordt de mogelijkheid van een verbod op het aanbieden van nudifying-tools verkend. Hiervoor is verdere studie nodig. Er is nog weinig bekend over de effectiviteit van een mogelijk verbod, waar dit eventueel opgenomen zou moeten worden, de wijze waarop dit het beste vorm kan krijgen, de handhavingsmogelijkheden en de uitvoeringsconsequenties. Mijn ministerie is momenteel in gesprek met verschillende partijen om te bezien of de aanpak kan worden versterkt.
In de aanpak van dergelijke grensoverschrijdende uitdagingen kan een Europese benadering effectiever zijn dan een nationale. Daarom is het positief dat hierover gesprekken op Europees niveau worden gevoerd. In dat kader is relevant dat de Raad op 13 maart jl. zijn mandaat voor de triloog heeft vastgesteld ten aanzien van de AI-omnibus en een amendement waarbij AI-systemen die non-consensuele expliciete deepfakes genereren (zoals nudify-tools) onder de verboden AI-praktijken in de AI-verordening worden gebracht, heeft gesteund. Op 26 maart jl. heeft het Europees Parlement ingestemd met een dergelijk verbod. Dit betekent dat de onderhandelingen tussen het Europees Parlement en de Raad over de definitieve vorm van een dergelijk verbod kunnen beginnen.3
Voor wat betreft de laatste specifieke oproep geldt dat in het kader van het herziene curriculum voor het primair en voortgezet onderwijs kerndoelen voor Digitale Geletterdheid zijn ontwikkeld. De kerndoelen richten zich onder meer op het herkennen van online risico’s, het omgaan met (ongepaste) content en het bevorderen van digitale weerbaarheid, waaronder het kritisch omgaan met AI-toepassingen. Ook in het middelbaar beroepsonderwijs is aandacht voor digitale geletterdheid, zowel in beroepsgerichte programmaonderdelen als via generieke onderdelen.
Via het Netwerk Mediawijsheid wordt aanvullend ingezet op brede bewustwording en ondersteuning van burgers van alle leeftijden. Het netwerk ontwikkelt informatie, campagnes en lesmateriaal voor leerlingen, docenten, ouders en andere doelgroepen, met aandacht voor online pesten, seksueel grensoverschrijdend gedrag en sextortion.

Vraag 3

Steunt u het manifest? Zo ja, op welke manieren geeft u uitvoering aan de aanbevelingen?

Het is goed dat het maatschappelijk middenveld met dit manifest een duidelijke stem laat horen over de risico’s van zogenoemde nudifying tools. Door gezamenlijk stelling te nemen, maken de betrokken organisaties duidelijk dat dit een vraagstuk is voor iedereen: overheden, technologiebedrijven en de samenleving in het algemeen. Het manifest draagt eraan bij dat mensen zich bewuster worden van hun eigen rol in het tegengaan van dit probleem en spreekt iedereen aan op zijn of haar verantwoordelijkheid om bij te dragen aan een veilige (digitale) omgeving, in het bijzonder voor kinderen en jongeren. Ten aanzien van de uitvoering van de aanbevelingen verwijs ik naar de beantwoording van vraag 2.

Vraag 4

Hoe gaat u de motie-Van der Werf c.s. [Kamerstuk 36 800 VI-80] uitvoeren die vraagt om een onderzoek naar een verbod op dergelijke apps?

Op dit moment wordt de mogelijkheid van een dergelijk verbod onderzocht. Zoals aangegeven in het antwoord op vraag 2, is een verbod op AI-uitkleedapplicaties inmiddels onderdeel van de lopende AI Omnibus-onderhandelingen. Met de voortgangsbrief seksuele misdrijven, die twee keer per jaar wordt verzonden, wordt u verder geïnformeerd over de uitvoering van deze motie.

Vraag 5

Kunt u de wettelijke maatregelen tegen uitkleedsoftware versnellen, en zo spoedig mogelijk met wetgeving komen om AI-uitkleedsoftware te verbieden?

Er is hier sprake is van een maatschappelijk probleem dat zich in grote mate blijft voordoen en dat dit een snelle, voortvarende aanpak vereist. Het onderwerp heeft de aandacht van het kabinet, wat onder andere blijkt uit het coalitieakkoord.4 De mogelijkheden voor de aanpak van AI-uitkleedsoftware worden op dit moment verkend. Een verbod op AI-uitkleedapplicaties is verder onderdeel van de onderhandelingen over de AI-omnibus. Dit vraagstuk is complex en kent helaas geen snelle oplossing. Een zorgvuldige afweging, samen met alle betrokken partijen is noodzakelijk.

Vraag 6

Bent u bekend met de oproep van Spanje, gesteund door Ierland, Frankrijk en Slovenië, om AI-uitkleedsoftware te verbieden in artikel 5 van de Europese AI Act?2, 3

Ik ben bekend met de oproep van verschillende lidstaten om AI-uitkleedsoftware in artikel 5 van de Europese AI Act te verbieden. Als vermeld in de beantwoording van de vragen 2, 4 en 7 is een verbod op AI-uitkleedsoftware inmiddels onderdeel van onderhandelingen over de AI-omnibus.

Vraag 7

Deelt u de analyse van deze landen dat AI-uitkleedsoftware al is verboden in de Europese Unie? Zo niet, bent u bereid te pleiten voor een Europees verbod?

Bestaande Europese wetgeving verbiedt het maken en verspreiden van bepaalde seksueel expliciete beelden. Het gaat hier bijvoorbeeld om beelden van personen zonder hun toestemming of materiaal van seksueel kindermisbruik. Deze wetgeving maakt het vooral mogelijk om achteraf in te grijpen. De Europese ontwikkelingen ten aanzien van dit onderwerp worden meegenomen in de eerdergenoemde verkenning naar een eventueel verbod.

Vraag 8

Bent u bereid om Nederland bij deze groep EU-lidstaten te voegen? Welke expertise en ondersteuning kan Nederland in deze groep bieden, bijvoorbeeld met organisaties als Offlimits aan tafel?

Onderdeel van eerdergenoemde verkenning is het actief aangaan van gesprekken en samenwerking met andere Europese lidstaten. Als aangegeven in de beantwoording van vraag 2 hebben in het kader van de verkenning naar de mogelijkheid van een verbod op het aanbieden van nudifying-tools ook gesprekken met verschillende stakeholders en experts plaatsgevonden. Ik informeer u hier verder over in de voortgangsbrief seksuele misdrijven.

Vraag 9

Kunt u deze vragen afzonderlijk van elkaar en zo snel mogelijk beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht «NS besteedt ict deels uit aan Amerikaanse leverancier»?1

Ja.

Vraag 2

Kunt u toelichten welke ICT-processen van de NS precies worden uitbesteed?2 Zijn dit (onderdelen van) kritieke processen met gevolgen voor de continuïteit van de NS indien ze langer dan één dag uitvallen?

De aanbesteding betreft een aantal verschillende systemen. Het gaat om:
Uitval van deze systemen heeft niet direct gevolgen voor het rijden van treinen. Wel kan de uitval gevolgen hebben voor andere aspecten van de dienstverlening, wat uiteindelijk tot hinder voor reizigers kan leiden. Het is overigens goed om te beseffen dat bovenstaande functies die onderdeel zijn van de uitbesteding, nu ook al zijn ondergebracht bij derde partijen.

Vraag 3

Klopt het dat er ook (onderdelen van) beveiligingssystemen worden uitbesteed aan een Amerikaans bedrijf? Welke gevolgen heeft dit voor de digitale autonomie van de Nederlandse (spoor)infrastructuur?

Zie voor een opsomming van de betreffende systemen het antwoord op vraag 2.
Het Security Operations Center wordt door NS zelf verzorgd, op dit moment in samenwerking met een Nederlands IT-bedrijf. In deze aanbesteding heeft NS de cyberrisico’s in kaart gebracht en in lijn daarmee passende eisen gesteld en een passend risicomanagementsysteem gekozen.

Vraag 4

Deelt u de opvatting van de NS dat de uitbestede processen niet missiekritisch zijn?3 Kunt u schetsen welke gevolgen het heeft voor de dienstverlening van de NS indien deze systemen wél uitvallen? Kunt u uitsluiten dat de uitvoering van de dienstverlening van NS (het laten rijden van treinen op het hoofdrailnet) in gevaar zou kunnen komen wanneer de betreffende systemen uitvallen? Zo ja, kunt u dit motiveren? Zo nee, deelt u dan de zorgen over deze uitbesteding?

Zie ook het antwoorden op vragen 2 en 3. Uitval van deze systemen heeft geen of beperkte directe gevolgen voor het rijden van treinen. Wel kan de uitval gevolgen hebben voor andere aspecten van de dienstverlening. De daadwerkelijke impact hangt af van de aard en de duur van de onderbreking en het specifieke onderdeel van de dienstverlening dat geraakt wordt.
Hierbij dient te worden benadrukt dat de grootste bedreiging voor de continuïteit van de (digitale) dienstverlening externe kwaadwillenden zijn. Hiertoe is het van belang dat de digitale diensten die worden afgenomen voldoen aan het vereiste beveiligingsniveau. De gekozen dienstverlener voldoet hieraan.

Vraag 5

Kan de Amerikaanse overheid, via wet- en regelgeving zoals de CLOUD Act, Foreign Intelligence Surveillance Act (FISA), en Executive Order 12333, toegang krijgen tot gevoelige gegevens over de Nederlandse spoorinfrastructuur? Kunt u dit met een ja of nee beantwoorden en dit met concrete verwijzing naar relevante juridische bronnen toelichten?

Diverse landen kennen inderdaad wet- en regelgeving met extraterritoriale werking die medewerking van dienstverleners bij gegevensverzoeken van veiligheidsdiensten verplicht, zoals de CLOUD Act, Executive Order 12333, en FISA sectie 702 in de VS. Voor EO12333 is geen medewerking van de leverancier vereist. Dergelijke wet- en regelgeving kan in bepaalde gevallen mogelijk leiden tot ongewenste toegang tot Nederlandse gegevens. Op basis van dergelijke regelgeving kan een onder Amerikaanse zeggenschap vallende organisatie de opdracht krijgen gegevens te verstrekken aan de Amerikaanse overheid. Zie verder het antwoord op vragen 2 en 3.

Vraag 6

Biedt de groeiende afhankelijkheid van Amerikaanse ICT-bedrijven de mogelijkheid voor de Verenigde Staten om druk uit te oefenen op Nederland, bijvoorbeeld door de continuïteit van de dienstverlening van de NS in gevaar te brengen?

In deze NS-casus ziet het kabinet geen aanleiding om aan te nemen dat door de inkoop van deze ICT-diensten de continuïteit van de dienstverlening in gevaar wordt gebracht of dat het gebruik van deze specifieke digitale dienst gebruikt zal worden om druk uit te oefenen op Nederland. Nederland en Europa zijn voor cruciale digitale infrastructuur sterk afhankelijk geworden van een klein aantal niet-Europese spelers. Dat maakt ons kwetsbaar in een wereld waarin technologie steeds vaker als geopolitiek machtsmiddel wordt ingezet. Dit levert efficiëntie en toegang tot belangrijke functionaliteiten op, maar legt ook een kwetsbaarheid bloot ten aanzien van afhankelijkheid en digitale autonomie. Daarom is in algemene zin de inzet van het kabinet er op gericht om risicovolle strategische afhankelijkheden van derde landen af te bouwen en zoveel mogelijk te diversifiëren, ook op digitaal vlak.

Vraag 7

Deelt u de mening dat de NS digitale autonomie zou moeten betrachten en af zou moeten zien van deze aanbesteding bij een Amerikaans bedrijf? Welke concrete mogelijkheden ziet u hiertoe?

Zie het antwoord op vraag 8.

Vraag 8

Waarom voldeed KPN niet meer als aangewezen ICT-leverancier voor deze diensten? Was het strikt noodzakelijk om de ICT uit te besteden, en zo ja, waarom aan een niet-Europees bedrijf?

NS dient zicht te houden aan de Aanbestedingswet. Het eerdere contract met KPN liep af en kende ook geen verlengingsmogelijkheden meer. NS is dan verplicht de opdracht via een Europese Aanbestedingsprocedure in de markt te zetten. Daarbij stelt NS zeer uitgebreide eisen en criteria op het gebied van prijs, kwaliteit, beschikbaarheid (zo min mogelijk storingen) en cyberveiligheid. De Nederlandse dochter van een Amerikaanse onderneming kwam als beste uit de bus.

Vraag 9

Past de keuze van de NS om haar ICT uit te besteden aan een Amerikaans bedrijf binnen de ambitie van het kabinet om meer digitaal onafhankelijk te worden? Welke rol heeft de Staat als enig aandeelhouder hierin?

De gunning is een uitkomst van het verplichte Europese aanbestedingsproces. Het kabinet heeft als doel om bij digitale inkoop en aanbestedingen te gaan standaardiseren en centraliseren, waarbij onder meer gestuurd wordt op waarden zoals security-by-design, zero-trust, soevereiniteit, open source en ketenveiligheid.
Als aandeelhouder van NS staat de Minister van Financiën op dit onderwerp meer op afstand: operationele zaken zoals de wijze van aanbesteden zijn primair de verantwoordelijkheid van het bestuur van de deelnemingen.

Vraag 10

Hoe kijkt u aan tegen de keuze van de NS om, tegen de achtergrond van de huidige geopolitieke situatie en nadat de Rijksoverheid herhaaldelijk het belang van digitale autonomie benadrukte, alsnog ICT uit te besteden aan een niet-Europees bedrijf?

Ik verwijs graag naar mijn antwoord op vraag 6, 8 en 9.

Vraag 11

Acht u de lange doorlooptijd van het contract, namelijk zes tot twaalf jaar, geschikt gezien de onzekerheid van de geopolitieke relatie met de Verenigde Staten?

Een dergelijke doorlooptijd is niet ongewoon gezien de implementatietijd en -kosten van een dergelijke migratie.

Vraag 12

Klopt het dat er geen nationale richtlijnen bestaan om Amerikaanse partijen te weren? Staat dit wel voorzien in het nieuwe cloudbeleid dat nog steeds in ontwikkeling is?

Het klopt dat er geen nationale richtlijnen zijn om Amerikaanse partijen te weren en de inzet van het kabinet is daar ook niet op gericht. Het Rijksbreed cloudbeleid is niet van toepassing op staatsdeelnemingen, en is landenneutraal opgesteld.
Het kabinet heeft wel als doel om bij digitale inkoop en aanbestedingen te gaan standaardiseren en centraliseren, waarbij onder meer gestuurd wordt op waarden zoals security-by-design, zero-trust, soevereiniteit, open source en ketenveiligheid.

Vraag 13

Is in deze aanbesteding voldaan aan de Algemene Beveiligingseisen voor Rijksoverheidsopdrachten (ABRO), waarin staat dat er strenge eisen gesteld moeten worden aan digitale autonomie en soevereiniteit?

Het kabinet heeft besloten dat de departementen, hun diensten en agentschappen, en de politie vanaf 1 januari 2026 de ABRO gaan toepassen bij contracten met bedrijven als daarbij risico’s voor de nationale veiligheid aanwezig zijn. De NS is geen onderdeel van deze organisaties. Voor de implementatie hiervan hebben deze inkopende organisaties tot eind 2027 de tijd gekregen. Daarover is uw Kamer geïnformeerd (TK 2025/2026 26 643, nr. 1438). Als een inkopende organisatie, voordat zij besluit de ABRO toe te gaan passen, al een aanbestedingsproject in gang heeft gezet, is uitgangspunt dat deze aanbesteding niet alsnog onder de ABRO kan worden gebracht.
In bedoelde Kamerbrief is ook gemeld dat voorbereidingen worden getroffen om deze beveiligingseisen ook te laten toepassen door andere inkopende organisaties. Dat gaat om onder meer Zelfstandige Bestuursorganen, provincies, gemeenten, waterschappen en vitale sectoren. Momenteel wordt binnen het rijksbrede programma «Veilig inkopen» onderzocht welke risico’s deze organisaties lopen voor de nationale veiligheid. Het staat nog niet vast welke specifieke organisaties in dit onderzoek worden meegenomen. Voor deze inkopende organisaties worden de benodigde juridische instrumenten, financiën en organisatorische afspraken voorbereid. In het 3e kwartaal van 2026 wordt de Tweede Kamer over de stand van zaken van het programma «Veilig inkopen» geïnformeerd.
De ABRO maakt onderdeel uit van een keten. De inkopende organisatie deelt bij aanvang van een aanbesteding mee dat de ABRO wordt toegepast. Als bij een inkoop de Aanbestedingswet op Defensie- en Veiligheidsgebied (ADV) wordt gevolgd, dan biedt dat de mogelijkheid om alleen bedrijven uit de Europese Economische Ruimte én bedrijven uit nader te bepalen landen toe te laten als inschrijver op zo’n inkoop.
De ABRO ziet niet direct op digitale soevereiniteit en biedt geen directe mogelijkheden om ongewenste overnames te voorkomen of bepaalde aanbieders op voorhand uit te sluiten in een aanbesteding. Het Nationaal Bureau Industrieveiligheid (NBIV) controleert het bedrijf dat als winnaar uit zo’n aanbesteding komt of het aan de ABRO-eisen voldoet. Daarbij dient onder meer inzicht te worden gegeven in de organisatiestructuur van en de zeggenschap over een bedrijf. Als de risico’s voor de nationale veiligheid niet kunnen worden beperkt, geeft NBIV geen ABRO-verklaring af en kan in beginsel geen contract worden afgesloten.
Bij een contract waarop de ABRO is toegepast, is de contractspartij verplicht om NBIV tijdig te informeren bij potentiële overnames of wisselingen in significante invloed. Het biedt opdrachtgever en NBIV daarmee de mogelijkheid om de risico’s voor de nationale veiligheid te beperken. Indien die risico’s niet kunnen worden beperkt, kan de ABRO-verklaring worden ingetrokken en kan de inkopende organisatie het contract ontbinden.

Vraag 14

Is het mogelijk om via het Cloud Sovereignty Framework van de EU wél voorkeur te geven aan Europese partijen bij ICT-aanbestedingen? Waarom is daar in dit geval geen gebruik van gemaakt?

Het Cloud Sovereignty Framework van de EU is niet van toepassing op deze tender en bestond nog niet ten tijde van het uitzetten van de onderhavige aanbesteding. Het is op basis van de aanbestedingsregels niet toegestaan om gedurende de aanbestedingsprocedure aanvullende eisen (zoals het EU Cloud Sovereignty Framework) toe te voegen.
Het Cloud Sovereignty Framework van de EU biedt kwalitatieve scoringseisen voor aanbestedende partijen en heeft als doel om een level playing field te bieden aan clouddienstverleners, en tevens om de sector richting Europese standaarden en waarden te drijven. Het Cloud Sovereignty Framework is dus niet gericht op het uitsluiten van partijen.

Vraag 15

Kunt u deze vragen afzonderlijk van elkaar en zo spoedig mogelijk beantwoorden, nog voordat er onomkeerbare stappen worden gezet?

De vragen zijn zo spoedig mogelijk beantwoord.

Vraag 1

Bent u bekend met het bericht «Hackers persen Odido af na datalek en eisen een miljoen euro losgeld»?1

Ja.

Vraag 2

Deelt u de mening dat het verdienmodel van cybercriminelen voor een groot deel draait op het afpersen van slachtoffers, onder dreiging van het publiceren van gestolen data of het voor eeuwig versleutelen van systemen?

De modus operandi van cybercriminelen waarbij slachtoffers worden afgeperst onder dreiging van het publiceren van gestolen data of versleuteling is bekend.2

Vraag 3

Vindt u dat het toegeven aan dit soort afpersing het verdienmodel van cybercriminelen in stand houdt? Hoe verhoudt dit zich volgens u tot de bescherming van slachtoffers, die hun persoonlijke data in handen van criminelen zien verdwijnen als een getroffen organisatie niet betaalt?

Slachtoffer worden van ransomware en dit soort afpersing kan veel impact hebben. De schade kan enorm oplopen en plaatst een getroffen bedrijf in een moeilijke positie, ook richting klanten. Zeker in dit geval waar het aantal gestolen gegevens zo omvangrijk is. De uiteindelijke afweging is aan de getroffen organisatie, maar het dringende advies vanuit de overheid blijft: geen losgeld betalen. Het betalen van losgeld biedt geen garantie dat criminelen systemen weer toegankelijk maken of gestolen data niet doorverkopen aan andere criminelen. Het uitbetalen van losgeld houdt bovendien het verdienmodel van criminelen in stand. En lokt daarmee mogelijk nieuwe aanvallen op Nederlandse organisaties uit.
Er kan zich spanning voordoen tussen het belang van een individueel slachtoffer om op de korte termijn schade te beperken en het bredere maatschappelijke belang om het totaal aantal (potentiële) slachtoffers te verminderen en het verdienmodel van criminelen niet in stand te houden. Het is vooral belangrijk dat getroffen personen informatie krijgen over de risico’s die zij lopen en wat zij daartegen kunnen doen. Mensen die vermoeden dat ze slachtoffer zijn geworden van de diefstal van hun gegevens, kunnen op de site van de politie controleren3 of hun data in handen van criminelen is gevallen.

Vraag 4

Klopt het dat het voor een getroffen organisatie logisch kan lijken om losgeld te betalen (op basis van de belofte van daders dat gestolen data niet gepubliceerd worden of versleutelde systemen worden vrijgegeven), maar dat dit de samenleving als geheel juist meer kan kosten, omdat het verdienmodel van cybercriminelen in stand gehouden wordt? Zo nee, waarom niet? Zo ja, op welke manier kan de samenleving volgens u dit dilemma oplossen?

Slachtoffer worden van dergelijke afperspraktijken kan veel impact hebben. De schade kan enorm oplopen en plaatst een getroffen bedrijf in een moeilijke positie, ook richting hun klanten. Zeker in dit geval waar het aantal gestolen gegevens zo omvangrijk is. De uiteindelijke afweging ligt bij de getroffen organisatie, maar het dringende advies van de overheid blijft om geen losgeld te betalen. Betaling van losgeld biedt geen garantie dat criminelen systemen herstellen, gestolen data verwijderen of ervan afzien deze openbaar te maken of door te verkopen aan andere criminelen. Daarnaast houdt het betalen van losgeld het verdienmodel van cybercriminelen in stand. De opbrengsten worden veelal ingezet voor verdere, geavanceerde cyberaanvallen, waarmee nieuwe slachtoffers worden gemaakt. Dit kan bovendien nieuwe aanvallen op Nederlandse organisaties uitlokken.

Vraag 5

Staat u nog steeds achter het advies van de overheid aan organisaties om geen losgeld aan hackers te betalen? Op welke expertkennis baseert u dat advies?

Ja, zie de antwoorden op de voorgaande vragen. Dit sluit aan bij het inzicht en advies van de politie en het OM.

Vraag 6

Zou een verbod op het betalen van losgeld aan hackers de samenleving als geheel ten goede kunnen komen? Zo ja, waarom? Zo nee, waarom niet? Wat zijn volgens u de voor- en nadelen van een dergelijk verbod?

We willen organisaties die slachtoffer zijn geworden van een ransomware aanval niet criminaliseren. Er kan zich spanning voordoen tussen het belang van een individueel slachtoffer om op de korte termijn schade te beperken en het bredere maatschappelijke belang om het totaal aantal (potentiële) slachtoffers te verminderen en het verdienmodel van criminelen niet in stand te houden. Zolang die spanning niet eenduidig kan worden opgelost wordt – net als in de meeste EU landen – dringend geadviseerd om geen losgeld te betalen, in plaats van een wettelijk verbod. Daarnaast wordt ingezet op preventie, meldplichten bij toezichthouders en gerichte informatie aan individuen wier gegevens zijn getroffen.

Vraag 7

Kan een verbod op het betalen van losgeld ook dienen als extra prikkel voor organisaties om extra werk te maken van cyberweerbaarheid? Zo nee, waarom niet?

Het huidige wettelijke kader (Telecommunicatiewet, Wbni, de AVG en de aankomende Cyberbeveiligingswet) verplicht organisaties om serieus werk te maken van cyberweerbaarheid. Zoals uiteengezet in het antwoord op vraag 2 is daarbij het dringende advies om geen losgeld te betalen. Er kunnen situaties voorkomen waarbij toch een andere afweging wordt gemaakt door een organisatie. Om deze reden achten wij een volledig wettelijk verbod onwenselijk.

Vraag 8

Welke extra prikkels en instrumenten kunt u inzetten om ervoor te zorgen dat organisaties te dwingen hun cyberweerbaarheid serieus te nemen? Denkt u dat boetes hier een effectief middel voor kunnen zijn? Zo ja, op welke manier? Zo nee, waarom niet?

Het huidige wettelijke kader (Telecommunicatiewet, Wbni en AVG) biedt de nodige handhavende bevoegdheden om in te grijpen bij vastgestelde onregelmatigheden. Ingrijpen kan bijvoorbeeld door het bevestigen van normen, het geven van waarschuwingen, stilleggen van verwerkingen van persoonsgegevens of het opleggen van boetes. Onder de zorgplicht van de Telecommunicatiewet moeten organisaties passende technische en organisatorische maatregelen nemen om beveiligingsrisico’s te beheersen. Hieronder vallen ook risico’s met betrekking tot diensten zoals een klantsysteem. De Rijksinspectie Digitale Infrastructuur houdt toezicht op de Telecomwet en de Autoriteit Persoonsgegevens houdt toezicht op de AVG.
Daarnaast wordt met de aankomende implementatie van de Cyberbeveiligingswet (Cbw) een impuls gegeven aan de wettelijke verplichtingen voor essentiële en belangrijke entiteiten om maatregelen te nemen die bijdragen aan hun eigen cyberweerbaarheid. Ook is er sprake van een meldplicht bij significante incidenten. De verplichtingen uit de Cbw worden gehandhaafd door de bevoegde toezichthouders/autoriteiten. Organisaties worden onderworpen aan een beveiligingsscan en audit, en kunnen een aanwijzing, de verplichting tot het openbaar maken van een overtreding, een last onder bestuursdwang, een last onder dwangsom en een bestuurlijke boete opgelegd krijgen.

Vraag 9

Kunt u deze vragen afzonderlijk van elkaar en binnen de gestelde termijn beantwoorden?

ja.

Vraag 1

Bent u bekend met het NOS-bericht «Franse autoriteiten doen inval bij X-vestiging in Parijs»?1

Ja.

Vraag 2

Hoe beoordeelt u de inval van de Franse autoriteiten in een kantoor van het sociale mediaplatform X?

Het is niet aan ons om de inval van de Franse autoriteiten te beoordelen. Het kabinet doet geen uitspraken over specifieke (strafrechtelijke) onderzoeken. Dit geldt ook voor (strafrechtelijke) onderzoeken die in het buitenland plaatsvinden.

Vraag 3

Hoe plaatst u deze inval in het bredere onderzoek van het Franse OM en Interpol naar de de AI-chatbot Grok, seksuele deepfakes, het in bezit hebben en verspreiden van seksueel kindermisbruikmateriaal en holocaustontkenning op X?

Zie antwoord vraag 2.

Vraag 4

Bent u van plan steun uit te spreken voor dit onderzoek en eventuele maatregelen op Europees niveau toe te passen? Zo nee, waarom niet?

Het kabinet gaat ervan uit dat het Franse Openbaar Ministerie en Interpol de juiste gronden hebben om een dergelijk onderzoek te starten en eventuele vervolgstappen te overwegen. Zie het antwoord op vraag 2.
Onder de Digital Service Act (DSA) wordt X aangemerkt als zeer groot online platform. Bij zeer grote online platforms heeft de Europese Commissie de primaire bevoegdheid voor het toezicht op en de handhaving van de DSA. De Europese Commissie is hier dus aan zet en zij is op 26 januari jl., naar aanleiding van de berichtgeving over AI-chatbot Grok, een onderzoek gestart.2 Als de Europese Commissie concludeert dat X de DSA heeft overtreden, kan zij verdere handhavingsmaatregelen nemen, zoals de vaststelling van een besluit tot niet-naleving en de oplegging van een boete, net zoals de Europese Commissie dat begin december 2025 al heeft gedaan jegens X.

Vraag 5

Maakt X zich naar uw inzicht ook schuldig aan strafbare feiten door politieke inmenging te faciliteren, algoritmen aan te passen, data illegaal te verzamelen, en de AI-chatbot Grok seksuele deepfakes en kindermisbruikmateriaal te laten genereren?

Het is niet aan ons als bewindspersonen om dat te beoordelen. Zie de antwoorden op de vragen 2–4.

Vraag 6

Als blijkt dat X (vermoedelijk) tegen de Nederlandse wet- en regelgeving handelt, welke mogelijkheden heeft u om tegen het bedrijf op te treden?

Bij de beantwoording van deze vraag gaan wij in op de meest relevante wetgeving die in Nederland van toepassing is, omdat op dit moment niet duidelijk is wat de exacte aanleiding is voor de Franse inval bij X en welke regelgeving X volgens het Franse OM zou hebben geschonden.
Strafrechtelijk kan in Nederland de officier van justitie op grond van artikel 125p van het Wetboek van Strafvordering (Sv) aan een aanbieder van een communicatiedienst bevelen om strafbare online content ontoegankelijk te maken. Een dergelijk bevel kan, kort gezegd, worden gegeven als sprake is van een strafbaar feit waarvoor voorlopige hechtenis is toegelaten, ter beëindiging van dat strafbare feit en/of ter voorkoming van nieuwe strafbare feiten. Van deze mogelijkheid wordt beperkt gebruik gemaakt, omdat de politie en het Openbaar Ministerie ook gebruik kunnen maken van verwijderverzoeken op basis van de zelfreguleringsmogelijkheden. Deze zijn in de praktijk vaak sneller. Een aanbieder die niet voldoet aan een dergelijk bevel onder 125p Sv kan strafrechtelijk aansprakelijk zijn (artikel 54a van het Wetboek van Strafrecht).
De Autoriteit online Terroristisch en Kinderpornografisch Materiaal (ATKM) is bevoegd om aanbieders van communicatiediensten die in Nederland zijn gevestigd of die beeldmateriaal van seksueel kindermisbruik op Nederlands grondgebied hebben opgeslagen, te verplichten om dergelijk materiaal ontoegankelijk te maken of te verwijderen. Als aanbieders van communicatiediensten niet aan deze verplichting voldoen, kan de ATKM bestuursrechtelijk handhaven. De ATKM kan in dat geval een last onder dwangsom of een bestuurlijke boete opleggen, die kan oplopen tot 10% van de jaarlijkse omzet van de onderneming. Als en voor zover X kwalificeert als aanbieder van communicatiediensten en het beeldmateriaal van seksueel kindermisbruik op Nederlands grondgebied heeft opgeslagen, zou de ATKM daartegen mogelijk kunnen optreden tegen de verspreiding van het materiaal.
Daarnaast hebben gebruikers van X de mogelijkheid om, naast het doorlopen van de interne klachtenafhandelingsprocedure bij een aanbieder, een gerechtelijke procedure te starten.
Ook is de DSA in Nederland van toepassing. Zoals vermeld in het antwoord op vraag 4, is in het geval van X de Europese Commissie op grond van de DSA primair bevoegd om handhavend op te treden ten aanzien van de DSA en niet de ACM (de Nederlandse toezichthouder op de DSA). Wel heeft de ACM, als nationale toezichthouder, de mogelijkheid om een signaal af te geven richting de Europese Commissie en/of de digitaledienstencoördinator van de plaats van vestiging van X. In dit geval is dat de Ierse toezichthouder, omdat het Europese hoofdkantoor van X is gevestigd in Ierland.
De Europese Commissie kan als bevoegd toezichthouder een onderzoek instellen en onder andere sancties opleggen tot 6% van de wereldwijde omzet in het voorgaande boekjaar. Daarnaast kunnen zij een last onder dwangsom opleggen.
Op grond van artikel 82 DSA kan de Europese Commissie als ultimum remedium, onder strikte voorwaarden, de digitaledienstencoördinator van de plaats van vestiging van de betrokken aanbieder van het zeer grote onlineplatform, verzoeken om op te treden krachtens artikel 51, derde lid van de DSA en de bevoegde gerechtelijke autoriteit van zijn lidstaat vragen de toegang tot het platform tijdelijk te beperken. Zoals hierboven vermeld, is in het geval van X de Ierse toezichthouder de bevoegde digitaledienstencoördinator.

Vraag 7

Op welke manier draagt u bij aan onderzoeken en juridische stappen die worden gezet door de Europese Commissie en EU-lidstaten? Zo niet, ziet u mogelijkheden om expertise te verlenen aan deze acties?

Indien de vraag betrekking heeft op de handhavingsprocedure tegen X door de Europese Commissie onder de DSA, dan geldt dat zij in de verordening de bevoegdheden toegekend heeft gekregen die nodig zijn voor effectief toezicht en handhaving.
Op nationaal niveau hebben we de Autoriteit Consument en Markt en de Autoriteit Persoonsgegevens ook voorzien van de bevoegdheden die zij nodig hebben om onderzoeken te kunnen verrichten en juridische stappen te zetten.
Bij de uitvoering van hun taak zijn toezichthouders onafhankelijk. Het past dan niet als wij ons mengen in onderzoeken of juridische stappen. Dit geldt ook voor onderzoeken en juridische stappen die door toezichthouders in het buitenland worden gezet. Mochten de toezichthouders echter om hulp vragen dan sta ik daar uiteraard welwillend tegenover, mits het hun onafhankelijkheid niet schaadt. Zoals in het antwoord op vraag 4 is aangegeven, geldt in algemene zin dat de ACM goed contact onderhoudt met de Europese Commissie en andere lidstaten en, indien relevant, signalen kan delen ook wanneer een aanbieder niet in Nederland is gevestigd.

Vraag 8

Kunt u reflecteren op het besluit van het kantoor van de Franse openbaar aanklager om van X af te stappen? Ziet u dit als een terechte en effectieve reactie op de recente ontwikkelingen?

Het kabinet treedt niet in besluiten van buitenlandse opsporingsautoriteiten of het openbaar ministerie. Het is aan de Franse autoriteiten om in het kader van hun eigen onderzoek afwegingen te maken over hun werkwijze en eventuele maatregelen.

Vraag 9

Ontvangen Nederlandse autoriteiten eveneens klachten over de AI-chatbot Grok? Zo ja, hoe veel? Geven deze klachten aanleiding om ook in Nederland juridische stappen te zetten tegen X?

Recent hebben wij u geïnformeerd over het standpunt van het kabinet omtrent de verontrustende toename aan «deepnudes» via applicaties zoals GROK en de grote impact die dit heeft op slachtoffers en hun omgeving. Hierin staat voorop dat wij dit zeer onwenselijk vinden.3
Slachtoffers kunnen bij verschillende organisaties, zoals Slachtofferhulp Nederland (SHN), Centrum Seksueel Geweld (CSG) en Offlimits, terecht voor hulp. Als het slachtoffer overweegt een melding te maken of aangifte te doen, kan deze terecht bij de politie. Genoemde hulporganisaties kunnen slachtoffers hierover informeren of hierbij ondersteunen.
Bij bovengenoemde hulporganisaties is niet bekend of er ook Nederlanders zijn die slachtoffer zijn geworden van de AI-naaktbeelden, die specifiek met de AI-Chatbot Grok zijn gegenereerd. Dit komt omdat bij meldingen die door slachtoffers worden gedaan bij SHN en CSG, in de registratie geen onderscheid wordt gemaakt naar misbruik van echt dan wel AI-gegenereerd beeldmateriaal. Bij meldingen die door slachtoffers worden gedaan bij Offlimits, wordt in de registratie wel onderscheid gemaakt tussen echt en AI-gegenereerd beeldmateriaal, maar wordt niet geregistreerd met welke specifieke AI-applicatie, zoals bijvoorbeeld de AI-chatbot Grok, de afbeeldingen zijn gegenereerd.
De politie heeft in de afgelopen twee maanden wel een toename gezien in de hoeveelheid meldingen die vanuit platforms wordt gedaan over uploads naar AI-chatbot Grok. Mogelijk zijn er slachtoffers die zelf melding hebben gedaan bij de politie, maar dit is niet goed uit de registratie te halen, omdat de melding onder verschillende delictsoorten kan worden geregistreerd.
Bovenstaande geeft vooralsnog geen aanleiding om ook in Nederland juridische stappen te zetten tegen X.

Vraag 10

Bent u voornemens om naar aanleiding van het Franse onderzoek en recente berichtgeving2 over democratische ondermijning als gevolg van X om ook van het platform af te stappen? Waarom wel of niet?

Het bereiken en informeren van zoveel mogelijk mensen, juist ook groepen die via traditionele media minder goed kunnen worden bereikt, en hen in staat stellen kennis te nemen van overheidsinformatie, weegt zwaar. Daarom kiezen wij altijd voor een mix aan online en offline kanalen. Dagelijks maken miljoenen Nederlanders gebruik van sociale media, waaronder het platform X. Het platform is daarmee voor de rijksoverheid een belangrijk middel om veel mensen te bereiken en informeren.
We zijn continu op zoek naar de juiste manier hoe we inwoners kunnen bereiken. In die zoektocht hebben de ontwikkelingen op sociale media, waaronder X, onze aandacht.

Vraag 11

Kunt u, om de afhankelijkheid van X voor overheidscommunicatie te doorbreken, toezeggen dat overheidscommunicatie voortaan op alle veelgebruikte alternatieve media én op de eigen overheidswebsites plaatsvindt? Zo nee, waarom niet?

De rijksoverheid verkent doorlopend mogelijkheden en middelen waarmee zoveel mogelijk mensen kunnen worden bereikt. Sociale mediaplatformen en andere (nieuwe) kanalen maken hiervan onderdeel uit. Afhankelijk van de doelgroep en het onderwerp worden ook veelgebruikte kanalen als LinkedIn en Instagram ingezet. Daarnaast wordt via social.overheid.nl gewerkt aan het ontwikkelen van een eigen sociale mediaplatform waar Mastodon draait op een overheidsserver en waar geen gebruik wordt gemaakt van schadelijke algoritmes en de privacy van de gebruikers wordt beschermd. Momenteel is de Staatssecretaris van Economische Zaken al aanwezig op Mastodon. Ook hoeven mensen geen account aan te maken om overheidsinformatie te kunnen lezen. We verkennen daarnaast de aanwezigheid op BlueSky, waar sinds het aantreden van het nieuwe kabinet al meerdere bewindspersonen actief op zijn. Het is op dit moment echter met het oog op bereik nog geen volwaardig alternatief voor de omvangrijkste sociale mediaplatforms.
De rijksoverheid biedt (beleids)informatie in beginsel altijd op de eigen websites aan zodat mensen vrij toegang hebben tot de informatie van de rijksoverheid.

Vraag 12

Heeft u reeds gekeken naar de mogelijkheid om alternatieve communicatieplatforms voor X te gebruiken, zoals toegezegd tijdens de Algemene Politieke Beschouwingen van 2025?3

Zie het antwoord op vraag 11.

Vraag 13

Wat zijn de uiterlijke consequenties voor X als het platform willens en wetens blijft handelen tegen de Europese wet- en regelgeving in, en als dit blijkt uit de lopende onderzoeken? Bent u bereid in het uiterste geval te pleiten voor een Europees verbod op het platform?

Met betrekking tot de vraag hoe nationaal kan worden opgetreden indien X willens en wetens handelt tegen de Europese wet- en regelgeving, verwijzen wij naar het antwoord op vraag 6.
Indien de vraag betrekking heeft op de overtreding van de DSA, dan kan de Europese Commissie onder meer een boete opleggen ter hoogte van 6% van de wereldwijde jaaromzet van X. Daarnaast kan ze een dwangsom opleggen of aanbieders onder verscherpt toezicht plaatsen. In bijzondere uiterste gevallen, die in dit geval niet aan de orde zijn, kan er ook een tijdelijke blokkade van een dienst worden ingesteld.
Een Europees verbod op het platform is op dit moment niet aan de orde. Vooralsnog vertrouwt het kabinet erop dat de Europese Commissie via handhaving van de DSA de noodzakelijke wijzigingen kan afdwingen om voor naleving te zorgen. Omdat handhaving van de DSA door sommige landen wordt verbonden aan de geopolitiek is het zaak dat de lidstaten laten blijven dat zij de Europese Commissie steunen in het verrichten van diens taken.

Vraag 14

Kunt u deze vragen afzonderlijk van elkaar en uiterlijk in de week van 2 maart 2026 beantwoorden, nog voordat het gesprek van de commissie Digitale Zaken met een vertegenwoordiging van de Europese Commissie is voorzien?4

Dat is helaas niet gelukt.

Vraag 1

Bent u bekend met de uitspraak van het Gerechtshof Amsterdam van 14 april 2026 in de zaak tussen X (Twitter) en een individu om inzage te mogen krijgen in de gegevens die het bedrijf van hem bijhoudt?1

Vraag 2

Wat is uw reactie op deze uitspraak en de gevolgen die het heeft voor de interpretatie van artikel 15 van de Algemene Verordening Gegevensbescherming (AVG), zowel nationaal als in Europees verband?

Vraag 3

Bent u bereid om de Autoriteit Persoonsgegevens te vragen om een onafhankelijke analyse uit te voeren naar de gevolgen van de uitspraak voor de interpretatie, handhaving en uitoefening van het inzagerecht voor individuele gebruikers?

Vraag 4

Bent u op de hoogte van meer (soortgelijke) rechtszaken die tegen grote techbedrijven als X (Twitter) lopen? Welke gevolgen heeft de uitspraak op deze lopende zaken?

Vraag 5

Hoe wordt er op toegezien dat X (Twitter) de uitspraak van de rechter naar behoren uitvoert en (nagenoeg) volledige inzage geeft in de persoonsgegevens van de gebruiker, gezien het feit dat deze partij eerder al weigerde dit te doen?

Vraag 6

Bent u op de hoogte dat X (Twitter) in deze zaak meermaals heeft geprobeerd om de andere partij een spreekverbod op te leggen? Erkent u dat deze handelingen vanuit een groot internationaal techbedrijf intimiderend is tegenover één individu?

Vraag 7

Biedt de richtlijn tegen Strategic Lawsuit Against Public Participation (anti-SLAPP-richtlijn) genoeg bescherming tegen individuen die een zaak aanspannen richting grote internationale techbedrijven zoals X (Twitter)? Welke aanvullende maatregelen kunt u nemen om individuen die procederen tegen dit soort bedrijven te beschermen?

Vraag 8

Bent u bekend met de afwijzing van een handhavingsverzoek van de betrokken individu bij de Autoriteit Consument & Markt (ACM), mede omdat er al een civiele zaak loopt?2 Kunt u er in samenwerking met de ACM op toezien dat handhavingsverzoeken en civiele zaken elkaar in het vervolg niet meer uitsluiten?

Vraag 9

Welke gevolgen heeft het als X (Twitter) niet voldoet aan deze uitspraak? Kan het bedrijf worden gesanctioneerd of alsnog tot openheid gedwongen worden?

Vraag 10

Zijn de huidige boetemogelijkheden voor het niet naleven van de AVG volgens u voldoende effectief? Bent u bereid te onderzoeken of er aanvullende handhavingsmogelijkheden, zoals het persoonlijk aansprakelijk maken van bestuurders zoals in andere EU-landen,3 wenselijk zijn voor bedrijven die stelselmatig de wet niet naleven?

Vraag 11

Erkent u dat, na deze historische uitspraak, elke gebruiker het recht heeft om (nagenoeg) volledige inzage te verkrijgen in de gegevens die X (Twitter) over hem of haar bijhoudt? Voor welke andere (soorten) bedrijven zet deze uitspraak een precedent?

Vraag 12

Bent u het met de indieners eens dat de toegang tot het inzagerecht voor alle gebruikers toegankelijk moet zijn en uitgeoefend kan worden, ongeacht juridische kennis en middelen?

Vraag 13

Hoe kan de rechtspositie van individuele gebruikers versterkt worden om zich met gemak te beroepen op het inzagerecht richting grote techbedrijven? Welke maatregelen kunt u hiertoe nemen?

Vraag 14

Bent u bereid om in Europees verband te pleiten voor een eensgezinde uitleg van het inzagerecht van de AVG conform de rechtelijke uitspraak, en de Nederlandse interpretatie te erkennen als norm binnen alle EU-lidstaten?

Vraag 15

Bent u het met de indieners eens dat grote techbedrijven zoals X (Twitter) zouden moeten meebetalen aan de handhaving van de wetgeving die zij overtreedt, zoals het geval is onder de Digital Services Act, maar nog niet het geval is onder de AVG?

Vraag 16

Hoeveel belastinggeld betaalt X (Twitter) momenteel in Nederland?

Vraag 17

Kunt u deze vragen afzonderlijk van elkaar en zo snel mogelijk beantwoorden?

Vraag 1

Bent u bekend met het bericht «Opinie: Bescherm de lichamelijke integriteit van vrouwen, ook in de digitale wereld»?1

Vraag 2

Kunt u het onderzoek van Investico, waaruit is gebleken dat alle grote Nederlandse drogisten, zoals Kruidvat, Etos en Trekpleister, (gevoelige) informatie over de vruchtbaarheid en seksuele gezondheid van klanten delen met Amerikaanse en Chinese techbedrijven, voorzien van een kabinetsreactie?2

Vraag 3

Kunt u specifiek maken welke persoonsgegevens door de onderzochte apps en drogisten worden doorverkocht? Is hier sprake van medische gegevens, die enkel met een wettelijke grondslag of na uitdrukkelijke toestemming verwerkt mogen worden?

Vraag 4

Voldoet de gegevensverwerking door de gezondheidsapps en de drogisten aan de nationale privacywetgeving? Zo ja of nee? Kunt u dit op basis van onderzoek onderbouwen?

Vraag 5

Zijn de Autoriteit Persoonsgegevens (AP) en de Autoriteit Consument & Markt (ACM) op de hoogte van de mogelijk illegale handel in gezondheidsgegevens? Zo ja, wordt hier naar uw weten nader onderzoek naar gedaan? Zo nee, bent u bereid dit in samenwerking met de toezichthouders wel te doen?

Vraag 6

Wat is uw oordeel over het gebruik van tracking cookies bij online webshops, waardoor mogelijk gevoelige informatie over het koopgedrag van klanten aan derden wordt doorverkocht? Is dit mogelijk in strijd met de privacywetgeving?

Vraag 7

Kunt u expliciet benoemen welke acties u nationaal en in Europees verband neemt om tracking cookies zo veel mogelijk te beperken en het informatie- en toestemmingsrecht van burgers over wat er met hun gegevens gebeurt te versterken?

Vraag 8

Indien blijkt dat gezondheidsapps en drogisten in strijd met de wet medische gegevens van personen hebben verwerkt, welke gevolgen heeft dit voor deze bedrijven?

Vraag 9

Deelt u de analyse van de indieners dat de lichamelijke integriteit van personen in een digitale wereld ook vraagt om toereikende privacybescherming? Is dit momenteel juridisch goed genoeg beschermd?

Vraag 10

Bent u bereid om aanvullende stappen te nemen om de medische gegevens van personen die gezondheidsapps gebruiken of gezondheidsproducten kopen bij drogisten beter te beschermen? Zo ja, hoe gaat u dit doen?

Vraag 11

Hoeveel vrouwen in Nederland maken gebruik van zogeheten «cyclusapps», in het bijzonder van Flo en Clue? Kunt u aangeven of de wijze waarop zij geïnformeerd worden bij het gebruik van deze apps en het delen van hun gegevens, conform de huidige wet- en regelgeving is?

Vraag 12

Welke mogelijke hiaten ziet u in de bestaande wet- en regelgeving in het effectief optreden tegen het onrechtmatig bewaren en/of delen van gevoelige informatie over bijvoorbeeld miskramen, seksuele activiteit, etcetera met derde partijen, mogelijk voor commerciële doeleinden?

Vraag 13

Deelt u de zorgen dat het doorverkopen van medische gegevens van vrouwen kan zorgen tot ongewenste profilering, agressieve gerichte advertenties, of zelfs het opstellen van dataprofielen van de medische geschiedenis van vrouwen?

Vraag 14

Heeft u indicaties voor welke doeleinden de doorverkochte medische gegevens van vrouwen, die zien op hun gezondheid en seksualiteit, worden gebruikt? Is dit in overeenstemming met het doel waarmee de data in eerste instantie met bedrijven is gedeeld?

Vraag 15

Kunt u deze vragen afzonderlijk van elkaar en zo snel mogelijk beantwoorden?

Vraag 1

Bent u op de hoogte van de hack bij ChipSoft, het bedrijf dat software voor patiëntendossiers en andere digitale systemen voor ziekenhuizen levert?1

Vraag 2

Kunt u toelichten wat de ernst is van de hack en hoeveel ziekenhuizen, huisartsenpraktijken en eventuele andere zorgverleners zijn geraakt door de hack?

Vraag 3

Wat zijn de gevolgen van de hack voor zorgverleners en hun patiënten, bijvoorbeeld doordat zorginstellingen hun systemen offline hebben moeten halen?

Vraag 4

Is bepaalde zorg uitgesteld vanwege de hack en zo ja, op welke schaal?

Vraag 5

Is er gevoelige data, zoals patiëntgegevens, in handen gekomen van criminelen?

Vraag 6

Hoe verklaart u de verschillende aanpak van ziekenhuizen na de hack, bijvoorbeeld in het wel of niet offline halen van systemen?

Vraag 7

Verschilt de impact van de hack tussen ziekenhuizen die hun gegevens lokaal, hybride of juist in een cloudomgeving opslaan? Kunt u uitleggen welke keuze de meeste weerbaarheid biedt?

Vraag 8

Welke rol speelt de overheid in de afwikkeling van de hack?

Vraag 9

Zijn er alternatieven voorhanden bij een hack als deze, bijvoorbeeld alternatieve software waar ziekenhuizen en andere zorgverleners op kunnen terugvallen?

Vraag 10

Welke eisen gelden er voor leveranciers van cruciale zorg-ICT?

Vraag 11

Is de ketenweerbaarheid op het gebied van ICT in de zorg wat u betreft op orde, onder andere in de domeinen hosting, beheer, en koppelingen? Waarom wel of niet?

Vraag 12

Deelt u de opvatting dat dit geen incident is, maar een symptoom van te grote afhankelijkheid van een paar dominante leveranciers in de zorg, waarbij een incident bij één leverancier meteen een nationale zorgvraag wordt?

Vraag 13

Deelt u de zorgen over de risico’s wanneer één dominante marktpartij de infrastructuur levert voor zorginstellingen of andere essentiële publieke voorzieningen?

Vraag 14

Zijn er maatregelen die u neemt om dergelijke marktdominantie tegen te gaan, bijvoorbeeld door afspraken te maken over het inkoop- en aanbestedingsbeleid in de zorgsector? Waarom wel of niet?

Vraag 15

Hoe zorgt u voor voldoende diversificatie tussen ICT-leveranciers bij zorginstellingen? Is het uw verantwoordelijkheid om monopolievorming in de zorg-ICT tegen te gaan?

Vraag 16

Is het wenselijk dat zorginstellingen individueel ICT-diensten inkopen en hierover onderhandelen? Welke voor- en nadelen ziet u bij een meer gezamenlijke vorm van inkoop?

Vraag 17

Wat is de status van de uitvoering van de motie-Bushoff/Bevers om bij de evaluatie van de Wet vifo te bezien of bij fusies en overnames vanuit het buitenland van digitale zorginfrastructuur vergelijkbare voorwaarden gesteld kunnen worden als bij andere cruciale sectoren, zoals de chip-, energie- en telecomsector?2

Vraag 18

Deelt u de zorgen van de Autoriteit Consument & Markt (ACM) over gesloten datastandaarden bij ICT-aanbieders in de zorg, aangezien systemen daardoor niet goed met elkaar communiceren en zorgaanbieders minder keuze hebben in hun leveranciers, met monopolievorming tot gevolg?

Vraag 19

Wat is de status van de uitvoering van de motie-Bushoff/Kathmann over een routekaart waarlangs ICT-leveranciers in de zorg de komende jaren verplicht worden gebruik te maken van open datastandaarden?3

Vraag 20

Welke structurele problemen in de zorg-ICT legt deze hack bloot? Wie is er aan zet om deze op te lossen?

Vraag 21

Welke maatregelen neemt u om de cyberveiligheid en weerbaarheid van zorginstellingen structureel te vergroten?

Vraag 22

Wat wordt de rol van de Cyberbeveiligingswet, zodra deze is aangenomen, om dergelijke hacks te voorkomen en sneller af te wikkelen? Wat gaat er concreet veranderen in een casus zoals deze?

Vraag 23

Kunt u deze vragen afzonderlijk van elkaar en nog vóór het commissiedebat over digitale ontwikkelingen in de zorg van 21 mei 2026 beantwoorden?

Vraag 1

Bent u bekend met het bericht: «Rechter dwarsboomt IT-aanbesteding rijksoverheid van € 3 mrd» (Financieel Dagblad, 9 maart 2026)?1

Vraag 2

Bent u eveneens bekend met de uitspraak van de rechter in Den Haag, die stelt dat twee IT-aanbestedingen van de Rijksoverheid ter waarde van 3,3 miljard euro gestaakt moeten worden?2

Vraag 3

Wat is uw reactie op de berichtgeving en de rechterlijke uitspraak?

Vraag 4

Kunt u toelichten welke aanpassingen u gaat doorvoeren of al heeft doorgevoerd in de aanbestedingsvoorwaarden om aan de rechterlijke uitspraak te voldoen?

Vraag 5

Zouden de IT-aanbestedingen, indien ze doorgang vinden, de digitale autonomie van Nederland vergroten of verkleinen? Kunt u dit onderbouwen?

Vraag 6

Hoe houdt u de komende vier jaar de mogelijkheid om de afhankelijkheid van Amerikaanse techbedrijven via aanbestedingen te verkleinen conform de wens van de Tweede Kamer,3 nu u middels een raamovereenkomst de voorwaarden voor nieuwe inkoop jarenlang vastlegt?

Vraag 7

Ziet u met de rechterlijke uitspraak en de noodzaak om de aanbestedingsvoorwaarden aan te passen ook de mogelijkheid om digitale autonomie zwaarder mee te wegen als criterium?

Vraag 8

Welke gevolgen heeft de rechterlijke uitspraak voor de twee IT-aanbestedingen ter waarde van 3,3 miljard euro? Kunt u een overzicht geven van lopende contracten waar deze uitspraak mogelijk ook gevolgen voor heeft?

Vraag 9

Wat is het doel en de noodzaak van de twee IT-aanbestedingen? Welke diensten zouden precies ingekocht worden bij Microsoft en Oracle, en in welke ministeries en overheidsorganisaties zouden deze gebruikt worden?

Vraag 10

Waarom vraagt u in de aanbesteding voor deze grote IT-projecten om «levering van standaardprogrammatuur van vendor Microsoft» in plaats van dat u de technische eisen uitvraagt van de software die u wil inkopen?4

Vraag 11

Wat bedoelt u met «gerelateerde open source toepassingen» aan de standaardprogrammatuur van Microsoft? Op welke toepassingen gaat dit, en waarom neemt u deze af via de tussenhandelaar?5

Vraag 12

Hoe verhoudt het niet opnemen van technische eisen voor de af te nemen software zich tot artikel 2.75–2.77 van de Aanbestedingswet 2012, nu ook de term «of gelijkwaardig» (2.76, lid 4, subartikel b) ontbreekt?6

Vraag 13

Zijn de toepasselijke (verplichte of aanbevolen) standaarden van het Forum Standaardisatie uitgevraagd in deze aanbestedingen? Zo nee, waarom niet, en hoe verzekert u dan dat ook gegadigden naast Microsoft en Oracle aan de aanbesteding kunnen voldoen?

Vraag 14

Zijn de IT-aanbestedingen gericht op het inkopen van software of het vinden van softwareverkopers? Gaan deze aanbestedingen niet feitelijk over het aangaan van een licentieovereenkomst, waarbij het softwarebedrijf als rechthebbende eenzijdig de voorwaarden bepaalt?

Vraag 15

Zijn Microsoft en Oracle de énige techbedrijven die kunnen voldoen aan de technische en operationele eisen die u stelt in de aanbesteding? Zo ja, bent u het dan met de indieners eens dat de aanbesteding toeschrijft naar Microsoft en Oracle?

Vraag 16

Wat bedoelt de Staat met de stelling dat «80 tot 85% van de offerteaanvragen een productgerichte offerteaanvraag [betreft]»? Kan er sprake zijn van een open aanbesteding als het merendeel van offertes om één specifiek product vraagt?

Vraag 17

Hoeveel van deze 80 tot 85% van deze productgerichte offerteaanvragen worden uiteindelijk bij Microsoft en Oracle afgenomen? Kunt u dit inzichtelijk maken?

Vraag 18

Zorgen deze productgerichte offerteaanvragen ervoor dat het op voorhand vrijwel zeker is dat software van Microsoft en Oracle zal worden gekozen? Zo nee, waarom is er dan gekozen voor productgerichte offerteaanvragen? Zo ja, is het dan terecht om te stellen dat er sprake is van een vendor lock-in?

Vraag 19

Deelt u de analyse van de indiener dat deze mate van productgerichte offerteaanvragen een vendor lock-in van enkele grote techbedrijven in de hand speelt? Zo nee, kunt u onderbouwen dat dit niet het geval is?

Vraag 20

Is software van Microsoft en Oracle de enige manier om uw dienstverlening te kunnen handhaven? Zo nee, waarom is dan gekozen voor de productgerichte offerteaanvragen?

Vraag 21

Is dezelfde constructie met productgerichte offerteaanvragen, met sublicentiëring via tussenhandelaren, eerder toegepast bij IT-aanbestedingen van de Rijksoverheid, zoals gesteld wordt in de berichtgeving? Zijn er lopende contracten waarbij dezelfde constructie van toepassing is?

Vraag 22

Hoe verhouden deze productgerichte offerteaanvragen bij Microsoft en Oracle zich tot de Aanbestedingswet 2012, artikel 1.10a, in het bijzonder lid 2, namelijk het verbod om opdrachten te ontwerpen «met het doel bepaalde ondernemers ten onrechte te bevoordelen»?7

Vraag 23

Bent u bekend met (in omvang) vergelijkbare aanbestedingen van ICT die op een soortgelijke manier, door het noemen van de merknaam, een of meer Europese leveranciers bevoordelen? Zo ja, welke zijn dat? Zo nee, waarom is dit bij Amerikaanse bedrijven dan wel het geval?

Vraag 24

Kunt u alle relevante stukken die betrokken zijn bij de (voorbereiding van) deze twee IT-aanbestedingen aan de Kamer doen toekomen, inclusief risico-analyses en voorbereidende notities?

Vraag 25

Kunt u deze vragen afzonderlijk van elkaar beantwoorden, en toezeggen dat u de IT-aanbestedingen niet doorzet totdat deze juridisch houdbaar zijn en de Kamer volledig is geïnformeerd?

Vraag 1

Bent u bekend met het bericht: «Onderzoek naar Amerikaanse cloud-risico’s door Ministerie van overheidswebsite verwijderd» (De Volkskrant, 5 maart 2026)?

Vraag 2

Kunt u verklaren waarom het onderzoek naar de risico’s van de Amazon «European Sovereign Cloud» tijdelijk offline is gehaald?1

Vraag 3

Wat is uw reactie op het rapport?

Vraag 4

Wat is het doel geweest van het onderzoek van GreenbergTraurig? Wat wordt er gedaan met de uitkomsten?

Vraag 5

Hoe reageert u op de kritiek dat het rapport eenzijdig is geschreven? Ziet u aanleiding om de risico’s nader te onderzoeken?

Vraag 6

Hoe leest u de conclusies van het rapport, waaruit blijkt dat de Amerikaanse overheid via de Amazon «European Sovereign Cloud» nog steeds toegang kan krijgen tot Nederlandse data?

Vraag 7

Kunt u bevestigen dat het afnemen van de Amazon «European Sovereign Cloud» en soortgelijke initiatieven van Amerikaanse techgiganten niet bijdraagt aan het digitaal autonoom maken van Nederland? Wordt het afbouwen van het gebruik hiervan onderdeel van het kabinetsbeleid?

Vraag 8

Hebben ministeries, uitvoeringsorganisaties, zbo’s of andere overheidsdiensten reeds plannen om gebruik te maken van de Amazon «European Sovereign Cloud» of soortgelijke initiatieven? Zo ja, kunt u een overzicht geven van organisaties die van plan zijn om de dienst af te nemen of dit al hebben gedaan?

Vraag 9

Zijn er nog andere risicoanalyses of onderzoeken uitgevoerd naar de gevolgen voor de digitale autonomie bij het afnemen van de Amazon «Sovereign European Cloud» of soortgelijke initiatieven? Zo ja, kunt u deze aan de Kamer doen toekomen?

Vraag 10

Kunt u deze vragen afzonderlijk en zo snel mogelijk beantwoorden?

Vraag 1

Bent u bekend met het bericht «Digitale autonomie en de uitbesteding applicatiediensten omzetbelasting door de Staat»1 en de desbetreffende aanbesteding van de Belastingdienst?2

Ja.

Vraag 2

Wat is uw reactie op het bericht en de aanbesteding?

Voor het antwoord op deze vraag verwijs ik u naar de Kamerbrief die u op 17 maart jl. over dit onderwerp heeft ontvangen.

Vraag 3

Op welke gronden is gekozen om (het beheer en het onderhoud van) de software van de omzetbelasting bij FAST Enterprises in te kopen, namelijk het softwarepakket «GenTax»?

Het systeem voor de omzetbelasting is sterk verouderd en dringend toe aan modernisering. Daarover is uw Kamer in de laatste jaren veelvuldig geïnformeerd. De Belastingdienst is in 2020 gestart met het traject om het verouderde omzetbelastingsysteem te moderniseren. In 2021 heeft de Belastingdienst een marktconsultatie gedaan, waaruit bleek dat er oplossingen in de markt beschikbaar zijn. In 2022 is na extern advies besloten om een aanbesteding te starten en een pakketoplossing uit de markt aan te schaffen in plaats van zelf een nieuw systeem te bouwen. Uit het advies bleek dat een oplossing uit de markt sneller en tegen lagere kosten zou kunnen worden gerealiseerd dan wanneer de Belastingdienst zelf een systeem zou bouwen.
In 2023 is de Belastingdienst een aanbestedingsprocedure (een concurrentiegerichte dialoog) gestart. Na het doorlopen van een zorgvuldige Europese aanbestedingsprocedure is de opdracht gegund aan het Amerikaanse bedrijf Fast Enterprises. Dit bedrijf scoorde het beste op de aangegeven criteria uit de vooraf via TenderNed openbaar gemaakte aanbestedingsstukken. Voorbeelden van criteria zijn: gebruiksvriendelijkheid, gegevensbeheer, informatiebeveiliging en datamigratie.

Vraag 4

Op welke manier is er, ten tijde van de aanbesteding, rekening gehouden met digitale autonomie als voorwaarde voor aanbestedingen van overheids-ICT? Zou u dit in de huidige politieke context anders beoordelen?

Het traject is gestart in een andere (geo)politieke context. Het versterken van de nationale digitale autonomie door het beperken van de afhankelijkheid van niet-Europese technologie speelde destijds een beperktere rol in de afwegingen. Er is bewust gezocht naar bewezen technologie en gekeken naar de ervaringen van andere Europese landen.
De aanbesteding is zorgvuldig doorlopen conform de Europese aanbestedingsregels. De gevolgde Europese aanbestedingsregels maken het niet mogelijk om niet-Europese landen uit te sluiten indien hier handelsverdragen mee zijn gesloten.
Tegelijkertijd ziet dit kabinet ook dat Nederland kwetsbaar is geworden door afhankelijkheid van een klein aantal buitenlandse (tech)spelers en kijkt daarom met veel aandacht naar de digitale, en open strategische, autonomie van Nederland. In Europees verband wordt daarom gesproken over het herzien van de aanbestedingswet- en regelgeving, en een eventueel EU-voorkeursprincipe bij aanbestedingen in specifieke sectoren.

Vraag 5

Indien de keuze voor FAST Enterprises de digitale autonomie niet bevordert, kunt u dan onderbouwen waarom dit alsnog de voorkeursoptie is?

In 2020 startte de Belastingdienst het traject voor de modernisering van het verouderde omzetbelastingsysteem. Een marktconsultatie in 2021 wees uit dat er geschikte pakketoplossingen beschikbaar waren in de markt. In 2022 is na een onderzoek uitgevoerd door McKinsey besloten om een aanbesteding te starten om een bewezen pakketoplossing voor de omzetbelasting aan te schaffen in plaats van zelf een nieuw systeem te bouwen.3 Uit het onderzoek bleek dat het aanschaffen van een systeem sneller te realiseren is dan zelf bouwen. Een tweede onafhankelijk onderzoek heeft dit beeld bevestigd.
De Belastingdienst heeft een zorgvuldige Europese aanbestedingsprocedure doorlopen in de vorm van een concurrentiegerichte dialoog. Het stond Nederlandse en Europese bedrijven uiteraard vrij om hieraan deel te nemen, dat hebben zij ook gedaan. Na het doorlopen van deze aanbestedingsprocedure is de opdracht gegund aan het Amerikaanse bedrijf, Fast Enterprises. Zoals ik reeds aangaf in het antwoord op vraag 3 scoorde dit bedrijf het beste op de van te voren aangegeven criteria in de aanbestedingsstukken. Daarnaast sluiten de gevolgde Europese aanbestedingsregels Amerikaanse bedrijven niet uit.

Vraag 6

Kunt u onderbouwen waarom er niet is gekozen om de software van de omzetbelasting intern te ontwikkelen en beheren of dit in te kopen bij een Nederland of Europees bedrijf?

Zie antwoord vraag 5.

Vraag 7

Hoe garandeert u dat de relatie met FAST Enterprises niet door de Verenigde Staten gebruikt zal worden als drukmiddel, in het licht van de Nationale Veiligheidsstrategie van de VS?3 Kunt u inzicht geven in alle maatregelen die zijn genomen om dit risico te voorkomen?

Ik kan u die garantie niet geven. Het volledig uitsluiten van dit risico is bij een afhankelijkheid van een externe leverancier niet mogelijk. Het kabinet is doorlopend met de Verenigde Staten in gesprek om dergelijke vergaande maatregelen te voorkomen.5 In een extreem geval, kan de leverancier onder statelijke druk gedwongen worden om te stoppen met het leveren van diensten. In de recente geschiedenis is dit alleen onder zeer specifieke sanctiewetgeving gebeurd. De risico’s rondom continuïteit in relatie tot de Amerikaanse leverancier dienen te worden afgewogen tegen de risico’s die samenhangen met het langer in stand houden van het huidige verouderde systeem waarover ik u in de oplegbrief heb geïnformeerd. Deze risico’s acht ik groter en reëler dan dat de relatie met de leverancier als drukmiddel wordt ingezet.
De Belastingdienst voert als onderdeel van het programma een risicoanalyse conform de IRAM (Information Risk Assessment Methodology) uit. Op basis daarvan worden maatregelen uitgewerkt en geïmplementeerd en vervolgens op hun effectiviteit getoetst. Gelijktijdig en als onderdeel van de risicoanalyse laat ik parallel onderzoeken op welke termijn en onder welke voorwaarden de Belastingdienst het beheer en onderhoud van de infrastructuur van het systeem kan overnemen van Fast Enterprises. Dit kan als een alternatieve route dienen in het geval uit de risicoanalyse blijkt dat de restrisico’s, na het treffen van de beheersmaatregelen, niet tot een aanvaardbaar niveau kunnen worden teruggebracht. Het zorgvuldig uitwerken van deze alternatieve route vergt tijd. Ik zal uw Kamer hierover informeren voor het zomerreces.
Ik zal hierbij ingaan op een aantal maatregelen die nader worden uitgewerkt. De Belastingdienst werkt met Fast aan de invulling van deze mitigerende maatregelen. Zo zal de leverancier gaan werken op locatie in Apeldoorn onder toezicht van medewerkers van de Belastingdienst die worden opgeleid om het systeem te beheren. Er wordt door de leverancier, eenmaal in productie, geen beheer op afstand vanuit de Verenigde Staten gevoerd. De Belastingdienst heeft de infrastructuur ingericht als een «onvertrouwde» omgeving binnen de infrastructuur van de Belastingdienst. De omgeving is gezoneerd en koppelingen of verbindingen met andere systemen worden gecontroleerd.
De Belastingdienst is in gesprek met de leverancier over het treffen van aanvullende beheersmaatregelen. Het gaat daarbij onder meer, maar niet uitsluitend, om te bewerkstelligen dat er wordt gewerkt met medewerkers die niet onder Amerikaanse jurisdictie vallen. Ook is de Belastingdienst in gesprek met de leverancier om de escrow-regeling die is opgenomen in de overeenkomst met Fast een ruimere toepassing te geven. Dit is een regeling die dient als waarborg op de continuïteit van de dienstverlening. Er wordt een kopie van de broncode en documentatie in bewaring gegeven bij een Nederlandse onafhankelijke derde partij. In geval van het niet nakomen van dienstverleningsafspraken wordt deze broncode en documentatie vrijgegeven. De Belastingdienst gaat een proces inrichten om te zorgen dat de Belastingdienstmedewerkers in dat geval over de benodigde expertise beschikken en werkzaamheden kunnen uitvoeren.

Vraag 8

Kan de Belastingdienst gedurende de looptijd van het contract wel of niet volledig zelfstandig en zonder bijdrage van FAST Enterprises: 1) reageren op incidenten in GenTax; 2) bugfixes doorvoeren in GenTax; en 3) GenTax aanpassen zodat het voldoet aan nieuwe regelgeving?

Nee, deze handelingen kan de Belastingdienst niet volledig zelfstandig uitvoeren. Dit onderwerp is wel onderdeel van de kritische blik op de beheersmaatregelen en de nadere uitwerking hiervan. Zoals hiervoor aangegeven is de Belastingdienst een proces aan het inrichten om te zorgen dat de Belastingdienstmedewerkers de benodigde expertise hebben om continuïteit te waarborgen ingeval van niet nakomen van dienstverleningsafspraken.

Vraag 9

Kunt u precies aangeven wat de werkzaamheden en de taken zijn van het projectteam van FAST Enterprises dat op Nederlandse bodem diensten zal leveren, zowel vóór als na de implementatie van GenTax?4

De implementatie betreft een integrale oplossing waarbij Fast het beheer gaat voeren op het totale systeem (software en infrastructuur). De infrastructuur staat in Apeldoorn, maar wordt beheerd door Fast (door middel van een housing-oplossing geleverd door de Belastingdienst). Zoals in de specificatie van de opdracht beschreven zal het projectteam van Fast, op Nederlandse bodem, werkzaamheden uitvoeren die samenhangen met de realisatie, configuratie en implementatie van GenTax. Dit gebeurt onder toezicht van Belastingdienstmedewerkers (vier-ogenprincipe). De Belastingdienst werkt met Fast aan wijze waarop hier invulling aan wordt gegeven.
Het projectteam van Fast ondersteunt daarnaast de voorbereiding en uitvoering van de migratie naar de nieuwe oplossing en begeleidt de organisatorische inbedding daarvan. Ook verzorgt Fast de opleidingsmaterialen die nodig zijn om medewerkers met het nieuwe systeem te laten werken.
Na de implementatie is Fast verantwoordelijk voor het onderhoud van de oplossing, waaronder het herstellen en verbeteren van functionaliteit en het doorvoeren van productupdates. Verder draagt het projectteam van Fast op dit moment zorg voor het technisch applicatiebeheer en de beschikbaarheid en werking van de oplossing op basis van de overeengekomen service levels. Fast biedt daarnaast ondersteuning bij vragen en verstoringen en blijft, waar nodig en binnen de functionele kaders van de oplossing, configuratiewijzigingen doorvoeren wanneer wet- en regelgeving verandert.
In geval van wijzigingen in wet- en regelgeving ondersteunt Fast bij de configuratie hiervan. Deze wijzigingen voert Fast niet zelfstandig uit. Hiervoor geldt het voortbrengingsproces waarbij Fast bij het configureren samenwerkt met de Belastingdienst. De configuratie van het systeem moet worden goedgekeurd door de Belastingdienst. Dat gebeurt via een proces van definities, verschillende testen, goedkeuren en acceptatie.
Verder werkt Fast doorlopend aan verbeteringen van het Gentax-pakket. Deze verbeteringen kunnen zowel betrekking hebben op de implementatie van nieuwe Europese wet- en regelgeving als functionele en technische verbeteringen van het Gentax-pakket zelf. Het doorvoeren van deze verbeteringen vindt plaats onder regie van de Belastingdienst.

Vraag 10

Valt FAST Enterprises volledig en uitsluitend onder Nederlandse en Europese jurisdictie? Zo niet, heeft u dan in kaart gebracht welke gevolgen deze aanbesteding heeft voor de digitale autonomie van Nederland?

Nee, Fast Enterprises is een Amerikaans bedrijf en valt daarmee onder Amerikaanse jurisdictie. Daarmee komen de gegevens waartoe de leverancier, na implementatie, toegang krijgt in potentie binnen reikwijdte van extraterritoriale wetgeving zoals de CLOUD Act en de FISA Amendments Act.
De Belastingdienst is met de leverancier in gesprek over de mogelijkheid dat zij een onafhankelijke Europese entiteit oprichten met de intentie om het contract met de Belastingdienst, dat valt onder Nederlands recht, daarheen te verhuizen. Dit wordt momenteel juridisch nader verkend.

Vraag 11

Welke analyses zijn uitgevoerd op het risico op spionage, dataweglek en het vergroten van de afhankelijkheid van de Verenigde Staten door deze keuze? Kunt u deze aan de Kamer doen toekomen (al dan niet vertrouwelijk), en de uitkomsten op hoofdlijnen delen?

De Belastingdienst voert als onderdeel van het programma een risicoanalyse conform de IRAM (Information Risk Assessment Methodology) uit. Dit is een internationaal erkende methodiek om informatierisico's systematisch in kaart te brengen en te beoordelen. Deze analyse is nog niet afgerond; op basis van de uitkomsten worden maatregelen uitgewerkt en geïmplementeerd, en vervolgens op hun effectiviteit getoetst. Het nieuwe systeem wordt niet in gebruik genomen voordat de beheersmaatregelen aantoonbaar effectief zijn ingericht.
Aangezien de IRAM nog wordt uitgevoerd, kan ik de uitkomsten op dit moment nog niet met uw Kamer delen. Zodra de analyse is afgerond, ben ik bereid de resultaten en de daaruit voortvloeiende maatregelen vertrouwelijk ter inzage aan uw Kamer aan te bieden.

Vraag 12

Kunt u alle relevante notities, adviezen, (risico)analyses en documenten, die betrokken zijn bij de keuze voor FAST Enterprises, in volledigheid met de Kamer delen?

Tijdens de regeling van werkzaamheden op 3 maart jl. heeft uw Kamer verzocht om alle relevante stukken en notities die de keuze onderbouwen te ontvangen. Dit verzoek heb ik ontvangen. Omdat ik het belangrijk vind uw Kamer voor het debat van 19 maart te informeren, is de zoekslag met prioriteit uitgevoerd. Daardoor kan ik uw Kamer documenten doen toekomen die bezien op de aanbesteding, advisering, informatievoorziening en besluitvorming vanuit verschillende fasen binnen de overstap naar een ander OB-systeem. De documenten zijn bijgevoegd bij de Kamerbrief over het systeem voor de omzetbelasting die u op 17 maart jl. heeft ontvangen.
Wanneer er nieuwe relevantie informatie naar boven komt, waarmee een nieuw licht wordt geschenen op de reeds gedeelde inlichtingen, wordt dit op korte termijn met u gedeeld.

Vraag 13

Onder welke voorwaarden is het in eigen beheer en onderhoud nemen van de applicatiediensten voor de omzetbelasting een haalbare oplossing? Welke aanvullende middelen of capaciteit is nodig om dit te realiseren?

De Belastingdienst heeft dit jaar op hoofdlijnen een aantal andere scenario’s verkend. Eén van deze scenario’s is dat de Belastingdienst het beheer van de infrastructuur overneemt (van housing naar hosting). Zoals aangegeven in het antwoord op vraag 7 en in de Kamerbrief die u heeft ontvangen laat ik de mogelijkheid tot het zelfstandig beheren van de infrastructuur gelijktijdig en als onderdeel van de risicoanalyse parallel onderzoeken en zal ik uw Kamer hier voor het zomerreces over informeren. Voor een besluit wordt genomen of een toezegging wordt gedaan voor een andere variant dan het continueren van de huidige koers geldt wel dat de impact in beeld moet worden gebracht en expliciet worden gewogen inclusief de daarbij behorende dekking.
In het geval dat er voor een andere koers wordt gekozen dan de huidige zullen de risico’s en gevolgen die samenhangen met het langer in stand houden van het huidige verouderde systeem toenemen. Dat betekent dat het gevolgen kan hebben voor de tijdige implementatie van Europese wet- en regelgeving zoals de ViDA. Als deze wetgeving niet tijdig wordt geïmplementeerd kan dit leiden tot ingebrekestellingen van de Europese Commissie en problemen voor het (Nederlandse) bedrijfsleven.

Vraag 14

Heeft de Belastingdienst een duidelijke sourcingstrategie voor het inkopen van ICT-diensten? Zo ja, kunt u deze met de Kamer delen?

Ja de Belastingdienst heeft een ICT-sourcingstrategie opgesteld. Deze strategie is erop gericht om een onderbouwde keuze te maken bij de aanschaf van software. De voorkeur is om bewezen standaardoplossingen uit de markt te gebruiken, zodat de Belastingdienst marktconform kan werken. Deze strategie is eerder in oktober 2024 met uw Kamer gedeeld.7
De Belastingdienst zal het sourcingbeleid herzien en waar nodig actualiseren. Daarbij zal rekening worden gehouden met recente (geo)politieke en technische ontwikkelingen.

Vraag 15

Welke mogelijkheden heeft u om alsnog van deze leverancier af te zien, gezien de veranderende politieke situatie en de uitgesproken wens van de Kamer om digitale afhankelijkheden af te bouwen?

Het is mogelijk om de overeenkomst (onder voorwaarden) met de leverancier te ontbinden. Ik zie dat niet als een reëel scenario. Voor de systemen van de omzetbelasting geldt dat de modernisering niet langer kan wachten. Dit systeem is inmiddels rond de veertig jaar oud, de kennis wordt schaarser, de risico’s op storingen en uitval groter en de mogelijkheid om nieuw beleid uit te voeren is zeer beperkt. De keuze voor deze oplossing is weloverwogen gemaakt. De Belastingdienst heeft de aanbestedingsprocedure zorgvuldig doorlopen en de gunning is in maart 2025 definitief verleend. Zoals aangegeven in de Kamerbrief die u heeft ontvangen en in mijn antwoord op vraag 7 zet ik het traject voort en laat ik parellel onderzoeken door de Belastingdienst of het beheer en onderhoud van de infrastructuur door de Belastingdienst kan worden overgenomen.

Vraag 16

Waarom is het McKinsey-rapport «Kopen of zelf bouwen?,» dat betrokken is geweest bij de keuze om de software van de omzetbelasting in te kopen, niet meer Openbaar?5 Kunt u het rapport opnieuw Openbaar maken?

Het rapport staat nog steeds online. De link uit het artikel is verouderd. Het is in te zien via: Open overheid.

Vraag 17

Welke ambities zijn er om het gebruik van GenTax uit te breiden naar andere middelen dan de omzetbelasting, aangezien in het McKinsey-rapport wordt gesteld dat uitbreiding een voordeel is van het inkopen van een extern pakket?

Op dit moment zijn er geen plannen om het gebruik van GenTax uit te breiden naar andere belastingmiddelen.

Vraag 18

Uit welk advies bleek dat ook het beheer en onderhoud van de applicatiediensten uitbesteed moest worden? Op welke momenten is de Kamer geïnformeerd dat beheer en onderhoud bij een niet-Europees bedrijf zou worden belegd?

Hierover is geen extern advies ingewonnen.
De Tweede Kamer is periodiek geïnformeerd over de voortgang van de aanbesteding. Tijdens het commissiedebat Belastingdienst in maart 2025 is aangegeven dat de gunning aan Fast Enterprises had plaatsgevonden. Aangezien het ongebruikelijk is om uw Kamer op dit detailniveau te informeren over aanbestedingen, bent u niet specifiek geïnformeerd over het uitbesteden van het beheer en onderhoud van applicatiediensten.

Vraag 19

Zijn de waarschuwing en het advies van het Adviescollege ICT uit 2024 naar behoren opgevolgd?6 Zo nee, om welke redenen is dit niet nageleefd?

Ja. Het Adviescollege ICT heeft in april 2024 advies uitgebracht over het programma modernisering omzetbelasting. In dit advies onderschreef het Adviescollege de keuze van de Belastingdienst voor een pakketoplossing, maar werd de Belastingdienst geadviseerd de voorbereiding op een aantal punten te versterken. Mijn ambtsvoorganger heeft uw Kamer op 7 mei 2024 geïnformeerd over de wijze waarop de Belastingdienst deze adviezen zou opvolgen.10 Deze adviezen zijn opgepakt en benut door de Belastingdienst voor het verdere verloop van het traject.

Vraag 20

Kunt u nauwkeurig toelichten in welke mate medewerkers van FAST Enterprises toegang krijgt tot de gegevens die verwerkt worden bij het heffen van de omzetbelasting? Welke garantie is er dat data via deze medewerkers toegankelijk wordt voor Amerikaanse overheidsdiensten?

Fast Enterprises zal de servers gaan beheren die geplaatst worden in het datacenter van de Belastingdienst in Apeldoorn. Daardoor krijgt Fast Enterprises, als de OB-regeling(en) in productie zijn genomen, toegang tot data van belastingplichtigen. De mate waarin medewerkers van Fast toegang krijgen tot data die in deze servers staat hangt af van hun autorisatie. Het uitgangspunt is dat medewerkers van Fast tijdens de productiefase geen toegang hebben tot productiedata en daartoe alleen tijdelijk toegang verkrijgen wanneer dit nodig is om hun beheerwerk te verrichten.
Fast Enterprises heeft een geheimhoudingsverklaring ondertekend. Deze verklaring voorkomt niet dat de Amerikaanse Staat voorgenoemde data kan vorderen op basis van extra territoriale wetgeving zoals de CLOUD Act en FISA Amendments Act. Er worden maatregelen genomen om dit risico te mitigeren, zoals het inrichten van het eerdergenoemde vier-ogen principe en infrastructurele beperkingen om data uit het systeem te kunnen halen, en logging en monitoring.

Vraag 21

Deelt u de zienswijze dat het feit dat de servers van de Belastingdienst in Nederland blijven onvoldoende is om de risico’s voor de vertrouwelijkheid en cyberveiligheid weg te nemen, als een Amerikaanse partij straks toegang krijgt tot de servers?

Het gegeven dat de servers in het datacenter van de Belastingdienst staan is op zichzelf niet afdoende om alle risico’s weg te nemen. Daarom gaat de Belastingdienst ook aanvullende maatregelen nemen, zoals aangegeven in de brief die u bij met deze antwoorden heeft ontvangen, om deze risico’s tot een acceptabel niveau terug te brengen.

Vraag 22

Bent u bereid om een kort, onafhankelijk onderzoek uit te voeren naar de mogelijkheid om het project alsnog stop te zetten, met behoud van de continuïteit van de belastingheffing?

Het stopzetten van het project acht ik niet verstandig, de redenen daarvoor heb ik uitgebreid toegelicht in de Kamerbrief die u heeft ontvangen. Een onderzoek met als uitgangspunt het stopzetten van dit traject lijkt mij prematuur gezien het feit dat de risicoanalyse en de uitwerking van beheersmaatregelen nog gaande zijn. Zoals aangegeven in de Kamerbrief die u heeft ontvangen en in mijn antwoord op vraag 7 laat ik, als onderdeel van de risicoanalyse, door de Belastingdienst parellel onderzoeken of het beheer en onderhoud van de infrastructuur door de Belastingdienst kan worden overgenomen.
Ik acht het zorgvuldiger om eerst het uitwerken van deze route en het afronden van de risicoanalyse af te wachten en vervolgens de uitkomsten hiervan te beoordelen. Voorafgaand aan de ingebruikname van het nieuwe systeem zullen alle beheersmaatregelen worden getoetst op hun effectiviteit. Ik ben bereid deze toetsing door een onafhankelijke partij te laten doen en de resultaten met uw Kamer te delen.

Vraag 23

Kunt u een actueel overzicht geven van de planning van het lopende implementatietraject?

De Belastingdienst heeft gekozen voor een stapsgewijze implementatie. Deze planning is door mijn ambtsvoorganger op 13 november 2025 met uw Kamer gedeeld.11
Juli 2026
Juli 2027
4. Kleine ondernemersregeling (NL-KOR): de btw-vrijstelling voor ondernemers met een jaaromzet in Nederland tot en met € 20.000;.
Juli 2028

Vraag 24

Kunt u toezeggen om geen onomkeerbare stappen te zetten in de migratie van de diensten naar FAST Enterprises, totdat volledig is uitgesloten dat de digitale autonomie hierdoor wordt ondermijnd en de Kamer zich hierover heeft kunnen uitspreken?

Er wordt op dit moment nog geen gebruik gemaakt van het nieuwe systeem. Het huidige systeem functioneert ongewijzigd. Wel wordt er doorgewerkt aan de voorbereiding van de ingebruikname om te voorkomen dat er vertraging optreedt en de risico’s met betrekking tot de continuïteit van het systeem daarmee toenemen. Daarbij merk ik op dat de gunning in maart 2025 definitief is geworden en het contact met Fast Enterprises is getekend. De Belastingdienst is als contractpartij gehouden aan de verplichtingen die hieruit voortvloeien. Het opzeggen of niet nakomen van het contract zal juridische en financiële consequenties met zich meebrengen.
Zoals aangegeven in de Kamerbrief en in de antwoorden op vraag 7 en 13 zal ik u voor het zomerreces en dus voor de ingebruikname van het systeem informeren over het uitwerken van de alternatieve route en de risicoanalyse.

Vraag 25

Kunt u deze vragen afzonderlijk en zo snel mogelijk beantwoorden en in ieder geval te voldoen aan de aanvullende informatieverzoeken voordat het commissiedebat Belastingdienst van 19 maart 2026 plaatsvindt?

Ja, de vragen zijn zoveel mogelijk afzonderlijk van elkaar beantwoord.

Vraag 1

Bent u bekend met het bericht «Hackers persen Odido af na datalek en eisen een miljoen euro losgeld»?1

Ja.

Vraag 2

Deelt u de mening dat het verdienmodel van cybercriminelen voor een groot deel draait op het afpersen van slachtoffers, onder dreiging van het publiceren van gestolen data of het voor eeuwig versleutelen van systemen?

De modus operandi van cybercriminelen waarbij slachtoffers worden afgeperst onder dreiging van het publiceren van gestolen data of versleuteling is bekend.2

Vraag 3

Vindt u dat het toegeven aan dit soort afpersing het verdienmodel van cybercriminelen in stand houdt? Hoe verhoudt dit zich volgens u tot de bescherming van slachtoffers, die hun persoonlijke data in handen van criminelen zien verdwijnen als een getroffen organisatie niet betaalt?

Slachtoffer worden van ransomware en dit soort afpersing kan veel impact hebben. De schade kan enorm oplopen en plaatst een getroffen bedrijf in een moeilijke positie, ook richting klanten. Zeker in dit geval waar het aantal gestolen gegevens zo omvangrijk is. De uiteindelijke afweging is aan de getroffen organisatie, maar het dringende advies vanuit de overheid blijft: geen losgeld betalen. Het betalen van losgeld biedt geen garantie dat criminelen systemen weer toegankelijk maken of gestolen data niet doorverkopen aan andere criminelen. Het uitbetalen van losgeld houdt bovendien het verdienmodel van criminelen in stand. En lokt daarmee mogelijk nieuwe aanvallen op Nederlandse organisaties uit.
Er kan zich spanning voordoen tussen het belang van een individueel slachtoffer om op de korte termijn schade te beperken en het bredere maatschappelijke belang om het totaal aantal (potentiële) slachtoffers te verminderen en het verdienmodel van criminelen niet in stand te houden. Het is vooral belangrijk dat getroffen personen informatie krijgen over de risico’s die zij lopen en wat zij daartegen kunnen doen. Mensen die vermoeden dat ze slachtoffer zijn geworden van de diefstal van hun gegevens, kunnen op de site van de politie controleren3 of hun data in handen van criminelen is gevallen.

Vraag 4

Klopt het dat het voor een getroffen organisatie logisch kan lijken om losgeld te betalen (op basis van de belofte van daders dat gestolen data niet gepubliceerd worden of versleutelde systemen worden vrijgegeven), maar dat dit de samenleving als geheel juist meer kan kosten, omdat het verdienmodel van cybercriminelen in stand gehouden wordt? Zo nee, waarom niet? Zo ja, op welke manier kan de samenleving volgens u dit dilemma oplossen?

Slachtoffer worden van dergelijke afperspraktijken kan veel impact hebben. De schade kan enorm oplopen en plaatst een getroffen bedrijf in een moeilijke positie, ook richting hun klanten. Zeker in dit geval waar het aantal gestolen gegevens zo omvangrijk is. De uiteindelijke afweging ligt bij de getroffen organisatie, maar het dringende advies van de overheid blijft om geen losgeld te betalen. Betaling van losgeld biedt geen garantie dat criminelen systemen herstellen, gestolen data verwijderen of ervan afzien deze openbaar te maken of door te verkopen aan andere criminelen. Daarnaast houdt het betalen van losgeld het verdienmodel van cybercriminelen in stand. De opbrengsten worden veelal ingezet voor verdere, geavanceerde cyberaanvallen, waarmee nieuwe slachtoffers worden gemaakt. Dit kan bovendien nieuwe aanvallen op Nederlandse organisaties uitlokken.

Vraag 5

Staat u nog steeds achter het advies van de overheid aan organisaties om geen losgeld aan hackers te betalen? Op welke expertkennis baseert u dat advies?

Ja, zie de antwoorden op de voorgaande vragen. Dit sluit aan bij het inzicht en advies van de politie en het OM.

Vraag 6

Zou een verbod op het betalen van losgeld aan hackers de samenleving als geheel ten goede kunnen komen? Zo ja, waarom? Zo nee, waarom niet? Wat zijn volgens u de voor- en nadelen van een dergelijk verbod?

We willen organisaties die slachtoffer zijn geworden van een ransomware aanval niet criminaliseren. Er kan zich spanning voordoen tussen het belang van een individueel slachtoffer om op de korte termijn schade te beperken en het bredere maatschappelijke belang om het totaal aantal (potentiële) slachtoffers te verminderen en het verdienmodel van criminelen niet in stand te houden. Zolang die spanning niet eenduidig kan worden opgelost wordt – net als in de meeste EU landen – dringend geadviseerd om geen losgeld te betalen, in plaats van een wettelijk verbod. Daarnaast wordt ingezet op preventie, meldplichten bij toezichthouders en gerichte informatie aan individuen wier gegevens zijn getroffen.

Vraag 7

Kan een verbod op het betalen van losgeld ook dienen als extra prikkel voor organisaties om extra werk te maken van cyberweerbaarheid? Zo nee, waarom niet?

Het huidige wettelijke kader (Telecommunicatiewet, Wbni, de AVG en de aankomende Cyberbeveiligingswet) verplicht organisaties om serieus werk te maken van cyberweerbaarheid. Zoals uiteengezet in het antwoord op vraag 2 is daarbij het dringende advies om geen losgeld te betalen. Er kunnen situaties voorkomen waarbij toch een andere afweging wordt gemaakt door een organisatie. Om deze reden achten wij een volledig wettelijk verbod onwenselijk.

Vraag 8

Welke extra prikkels en instrumenten kunt u inzetten om ervoor te zorgen dat organisaties te dwingen hun cyberweerbaarheid serieus te nemen? Denkt u dat boetes hier een effectief middel voor kunnen zijn? Zo ja, op welke manier? Zo nee, waarom niet?

Het huidige wettelijke kader (Telecommunicatiewet, Wbni en AVG) biedt de nodige handhavende bevoegdheden om in te grijpen bij vastgestelde onregelmatigheden. Ingrijpen kan bijvoorbeeld door het bevestigen van normen, het geven van waarschuwingen, stilleggen van verwerkingen van persoonsgegevens of het opleggen van boetes. Onder de zorgplicht van de Telecommunicatiewet moeten organisaties passende technische en organisatorische maatregelen nemen om beveiligingsrisico’s te beheersen. Hieronder vallen ook risico’s met betrekking tot diensten zoals een klantsysteem. De Rijksinspectie Digitale Infrastructuur houdt toezicht op de Telecomwet en de Autoriteit Persoonsgegevens houdt toezicht op de AVG.
Daarnaast wordt met de aankomende implementatie van de Cyberbeveiligingswet (Cbw) een impuls gegeven aan de wettelijke verplichtingen voor essentiële en belangrijke entiteiten om maatregelen te nemen die bijdragen aan hun eigen cyberweerbaarheid. Ook is er sprake van een meldplicht bij significante incidenten. De verplichtingen uit de Cbw worden gehandhaafd door de bevoegde toezichthouders/autoriteiten. Organisaties worden onderworpen aan een beveiligingsscan en audit, en kunnen een aanwijzing, de verplichting tot het openbaar maken van een overtreding, een last onder bestuursdwang, een last onder dwangsom en een bestuurlijke boete opgelegd krijgen.

Vraag 9

Kunt u deze vragen afzonderlijk van elkaar en binnen de gestelde termijn beantwoorden?

ja.

Vraag 1

Bent u bekend met het onderzoek van de Justitiecommissie van het Amerikaanse Huis van Afgevaardigden, waarin Nederlandse en Europese organisaties onder vuur worden genomen vanwege hun rol bij de handhaving van de Digital Services Act (DSA)?1

Ja.

Vraag 2

Bent u eveneens bekend met de reactie van Bits of Freedom en Justice for Prosperity? Wat is hierop uw reactie?2

Ja. Het kabinet onderschrijft het belang van de handhaving van Europese digitale wetgeving. Toezichthouders en NGO’s spelen een belangrijke rol hierin en het kabinet zet zich ervoor in dat zij hun wettelijke en maatschappelijke taken zonder belemmering kunnen uitvoeren.

Vraag 3

Hoe reageert u op de aantijgingen die in het rapport worden gemaakt, waaronder richting de Autoriteit Consument & Markt (ACM) en NGO’s als Bits of Freedom en Justice for Prosperity?3

Het kabinet herkent zich niet in de uitspraken die worden gedaan in het rapport.

Vraag 4

Kunt u bevestigen dat de ACM simpelweg haar wettelijke taak uitvoert door de DSA te handhaven? Deelt u de zienswijze van de indieners dat dit op geen enkele manier onder druk mag worden gezet door andere overheden?

Dat kan het kabinet bevestigen en die zienswijze deelt het kabinet.

Vraag 5

Kunt u bevestigen dat Bits of Freedom en Justice for Prosperity hun maatschappelijke taak vervullen door betrokken te zijn bij de handhaving van de DSA? Deelt u de zienswijze van de indieners dat dit op geen enkele manier onder druk mag worden gezet door andere overheden?

Dat kan het kabinet bevestigen en die zienswijze deelt het kabinet. De effectiviteit van de DSA wordt niet alleen bepaald door handhaving door toezichthouders, maar ook door bijdragen van maatschappelijke organisaties, onderzoekers, gebruikers van platforms en onafhankelijke geschilbeslechtingsorganen, die allemaal rechten ontlenen aan de DSA.

Vraag 6

Welke status heeft dit rapport? Heeft u reden om te geloven dat hieruit sancties of maatregelen richting EU-lidstaten kunnen of zullen volgen?

Dit document is een staff report van de Republikeinse meerderheid van het Judiciary Committee in het Huis van Afgevaardigden van de VS. Met dit rapport op zichzelf kunnen geen sancties of maatregelen jegens EU-lidstaten worden ingesteld.

Vraag 7

Wat vindt u van de beschuldiging dat Nederlandse toezichthouders en NGO’s onder druk worden gezet omdat zij hun wettelijke en maatschappelijke taken uitvoeren? Heeft u hierover contact gehad met Amerikaanse vertegenwoordigers? Zo niet, kunt u dit alsnog doen?

Het kabinet vindt het niet passend dat Nederlandse toezichthouders en NGO’s onderwerp zijn van kritiek omdat zij hun wettelijke en maatschappelijke taken uitvoeren. Het betreft wetgeving die democratisch tot stand is gekomen. Het is onjuist om natuurlijke personen of organisaties daarop aan te spreken. Toezichthouders en NGO’s spelen een belangrijke rol in het Nederlandse bestel en het kabinet zet zich ervoor in dat zij hun wettelijke en maatschappelijke taken zonder belemmering kunnen uitvoeren.
Er is via verschillende kanalen regulier contact met Amerikaanse vertegenwoordigers. In die contacten heeft het kabinet ook haar zienswijze over deze casus uitgedragen. Zoals dat wanneer er een dispuut over beleid of regelgeving is, de discussie daarover via politici en beleidsmakers gevoerd moet worden.
In algemene zin blijft het kabinet zich inspannen voor de trans-Atlantische band. Tegelijkertijd benutten we diplomatieke kanalen om de VS aan te spreken wanneer hun acties onze waarden en belangen ondermijnen, altijd met oog voor de relatie en het behoud van kritieke veiligheidsbelangen.

Vraag 8

Bent u op de hoogte van berichtgeving waaruit blijkt dat de Amerikaanse overheid VS-diplomaten in Europa heeft geïnstrueerd om de DSA te traineren en frustreren?4 Hoe kijkt u naar deze werkwijze van de Verenigde Staten?

Ja. Zie ook het antwoord op vraag 9.

Vraag 9

Is de Amerikaanse ambassade in Nederland ook actief bezig met verzet tegen de handhaving van de DSA? Kunt u dit bevestigen, en toezeggen dat u contact met de ambassade opneemt om op te komen voor de vrijheid van onze toezichthouders en NGO’s?

Het staat de Amerikaanse regering vrij een positie te hebben op de DSA en deze uit te dragen.
Het kabinet is in gesprek met vertegenwoordigers van de Amerikaanse regering over de DSA. De precieze inhoud van deze gesprekken is vertrouwelijk, maar in algemene zin spant het kabinet zich ervoor in dat toezichthouders en NGO’s hun wettelijke en maatschappelijke taak zonder belemmering kunnen vervullen. Hiermee geeft het kabinet uitvoering aan het regeerakkoord waarin staat dat diplomatieke kanalen worden benut om de VS aan te spreken wanneer hun acties onze waarden en belangen ondermijnen, altijd met oog voor de relatie en het behoud van kritieke veiligheidsbelangen.

Vraag 10

Veroordeelt u de handelwijze van de Amerikaanse justitiecommissie, nu Nederlandse organisaties onder schot staan voor het uitvoeren van hun wettelijke en maatschappelijke taken?

Het kabinet deelt de inhoud van het rapport niet. Zie verder het antwoord op vraag 7.

Vraag 11

Bent u bereid maatregelen te nemen om de ACM, Bits of Freedom en Justice for Prosperity te beschermen tegen mogelijke Amerikaanse maatregelen naar aanleiding van het rapport van de justitiecommissie?

De inzet van het kabinet is erop gericht dat toezichthouders en NGO’s hun wettelijke en maatschappelijke taak zonder belemmering kunnen uitvoeren. Maatschappelijke organisaties hebben daarbij het recht op vereniging en vrijheid van meningsuiting. Mogelijke maatregelen naar aanleiding van het rapport tegen deze organisaties zal het kabinet volgen en het kabinet zal daarbij opkomen voor hun belangen.

Vraag 12

Zegt u toe om deze Nederlandse organisaties bij te staan als tegen hen een inreisverbod wordt ingevoerd? Op welke manier kunt u hen hulp aanbieden?

Zie de beantwoording van vraag 11. Het kabinet volgt de ontwikkelingen en zal indien nodig opkomen voor de belangen van deze organisaties. Van inreisverboden is op dit moment echter geen sprake.

Vraag 13

Hoe reageert u, in het licht van het rapport uit het Huis van Afgevaardigden, op het feit dat de Verenigde Staten eerder toegang tot het land hebben geweigerd voor Eurocommissaris Thierry Breton en vier vertegenwoordigers van NGO’s?

Zoals reeds aangegeven in de beantwoording van de Kamervragen van de leden Kathmann, van der Lee en Dassen over de aangekondigde tegenreactie van de Verenigde Staten gericht op Europese techbedrijven, heeft het kabinet net als de Europese Commissie en diverse andere EU-lidstaten zijn zorgen uitgesproken over deze visa-restricties en deze veroordeeld.

Vraag 14

Veroordeelt u, net als de Europese Commissie, de handelwijze van de Verenigde Staten nu zij pleitbezorgers van techregulering bestraffen?

Zie het antwoord op vraag 13.

Vraag 15

Deelt u de zorgen van de indiener dat de vijandige houding van de Verenigde Staten richting de EU en haar lidstaten kan leiden tot aarzeling bij het versterken en handhaven van Europese techregulering, zoals scherpere maatregelen tegen manipulatieve algoritmen en een digitaledienstenbelasting?

Het kabinet steunt de Europese Commissie en andere toezichthouders in het onverkort en niet-discriminatoir handhaven van de DSA, ongeacht waar de bedrijven vandaan komen. Op dit moment lopen diverse onderzoeken en procedures naar bedrijven, waardoor het kabinet op dit moment geen zorgen heeft dat de houding van de VS leidt tot terughoudendheid of aarzeling bij handhaving.

Vraag 16

Bent u het met de indiener eens dat Europa juist ondubbelzinnig en eensgezind moet blijven pleiten voor het strenger handhaven van wet- en regelgeving die de macht van Big Tech beteugelen, zoals gevraagd in de motie-Kathmann [Kamerstuk 30 821-264]?

Het kabinet steunt de Europese Commissie in het handhaven van de Europese digitale wetgeving en onderstreept het belang bij het als EU eensgezind op te treden in het geval van druk of tegenmaatregelen.

Vraag 17

Ziet u in de vijandige houding van de Verenigde Staten richting de EU aanleiding om versneld te verkennen hoe Nederland haar afhankelijkheid van Amerikaanse techdiensten kan afbouwen, zowel in de ICT-dienstverlening als bij de communicatieplatforms?

De VS zijn de wereldmacht met wie wij de meeste belangen delen. We blijven ons daarom inspannen voor goede trans-Atlantische relaties. Tegelijkertijd is het kabinet zich bewust van potentiële risico’s van afhankelijkheden. In het regeerakkoord wordt dan ook stevig ingezet op het versterken van onze digitale autonomie. Hiertoe zet het kabinet onder andere in op het versterken van de Europese digitale sector, met stimulerende, beschermende en partner maatregelen (promote, protect, partner).

Vraag 18

Kunt u deze vragen afzonderlijk van elkaar en zo snel mogelijk beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht «NS besteedt ict deels uit aan Amerikaanse leverancier»?1

Ja.

Vraag 2

Kunt u toelichten welke ICT-processen van de NS precies worden uitbesteed?2 Zijn dit (onderdelen van) kritieke processen met gevolgen voor de continuïteit van de NS indien ze langer dan één dag uitvallen?

De aanbesteding betreft een aantal verschillende systemen. Het gaat om:
Uitval van deze systemen heeft niet direct gevolgen voor het rijden van treinen. Wel kan de uitval gevolgen hebben voor andere aspecten van de dienstverlening, wat uiteindelijk tot hinder voor reizigers kan leiden. Het is overigens goed om te beseffen dat bovenstaande functies die onderdeel zijn van de uitbesteding, nu ook al zijn ondergebracht bij derde partijen.

Vraag 3

Klopt het dat er ook (onderdelen van) beveiligingssystemen worden uitbesteed aan een Amerikaans bedrijf? Welke gevolgen heeft dit voor de digitale autonomie van de Nederlandse (spoor)infrastructuur?

Zie voor een opsomming van de betreffende systemen het antwoord op vraag 2.
Het Security Operations Center wordt door NS zelf verzorgd, op dit moment in samenwerking met een Nederlands IT-bedrijf. In deze aanbesteding heeft NS de cyberrisico’s in kaart gebracht en in lijn daarmee passende eisen gesteld en een passend risicomanagementsysteem gekozen.

Vraag 4

Deelt u de opvatting van de NS dat de uitbestede processen niet missiekritisch zijn?3 Kunt u schetsen welke gevolgen het heeft voor de dienstverlening van de NS indien deze systemen wél uitvallen? Kunt u uitsluiten dat de uitvoering van de dienstverlening van NS (het laten rijden van treinen op het hoofdrailnet) in gevaar zou kunnen komen wanneer de betreffende systemen uitvallen? Zo ja, kunt u dit motiveren? Zo nee, deelt u dan de zorgen over deze uitbesteding?

Zie ook het antwoorden op vragen 2 en 3. Uitval van deze systemen heeft geen of beperkte directe gevolgen voor het rijden van treinen. Wel kan de uitval gevolgen hebben voor andere aspecten van de dienstverlening. De daadwerkelijke impact hangt af van de aard en de duur van de onderbreking en het specifieke onderdeel van de dienstverlening dat geraakt wordt.
Hierbij dient te worden benadrukt dat de grootste bedreiging voor de continuïteit van de (digitale) dienstverlening externe kwaadwillenden zijn. Hiertoe is het van belang dat de digitale diensten die worden afgenomen voldoen aan het vereiste beveiligingsniveau. De gekozen dienstverlener voldoet hieraan.

Vraag 5

Kan de Amerikaanse overheid, via wet- en regelgeving zoals de CLOUD Act, Foreign Intelligence Surveillance Act (FISA), en Executive Order 12333, toegang krijgen tot gevoelige gegevens over de Nederlandse spoorinfrastructuur? Kunt u dit met een ja of nee beantwoorden en dit met concrete verwijzing naar relevante juridische bronnen toelichten?

Diverse landen kennen inderdaad wet- en regelgeving met extraterritoriale werking die medewerking van dienstverleners bij gegevensverzoeken van veiligheidsdiensten verplicht, zoals de CLOUD Act, Executive Order 12333, en FISA sectie 702 in de VS. Voor EO12333 is geen medewerking van de leverancier vereist. Dergelijke wet- en regelgeving kan in bepaalde gevallen mogelijk leiden tot ongewenste toegang tot Nederlandse gegevens. Op basis van dergelijke regelgeving kan een onder Amerikaanse zeggenschap vallende organisatie de opdracht krijgen gegevens te verstrekken aan de Amerikaanse overheid. Zie verder het antwoord op vragen 2 en 3.

Vraag 6

Biedt de groeiende afhankelijkheid van Amerikaanse ICT-bedrijven de mogelijkheid voor de Verenigde Staten om druk uit te oefenen op Nederland, bijvoorbeeld door de continuïteit van de dienstverlening van de NS in gevaar te brengen?

In deze NS-casus ziet het kabinet geen aanleiding om aan te nemen dat door de inkoop van deze ICT-diensten de continuïteit van de dienstverlening in gevaar wordt gebracht of dat het gebruik van deze specifieke digitale dienst gebruikt zal worden om druk uit te oefenen op Nederland. Nederland en Europa zijn voor cruciale digitale infrastructuur sterk afhankelijk geworden van een klein aantal niet-Europese spelers. Dat maakt ons kwetsbaar in een wereld waarin technologie steeds vaker als geopolitiek machtsmiddel wordt ingezet. Dit levert efficiëntie en toegang tot belangrijke functionaliteiten op, maar legt ook een kwetsbaarheid bloot ten aanzien van afhankelijkheid en digitale autonomie. Daarom is in algemene zin de inzet van het kabinet er op gericht om risicovolle strategische afhankelijkheden van derde landen af te bouwen en zoveel mogelijk te diversifiëren, ook op digitaal vlak.

Vraag 7

Deelt u de mening dat de NS digitale autonomie zou moeten betrachten en af zou moeten zien van deze aanbesteding bij een Amerikaans bedrijf? Welke concrete mogelijkheden ziet u hiertoe?

Zie het antwoord op vraag 8.

Vraag 8

Waarom voldeed KPN niet meer als aangewezen ICT-leverancier voor deze diensten? Was het strikt noodzakelijk om de ICT uit te besteden, en zo ja, waarom aan een niet-Europees bedrijf?

NS dient zicht te houden aan de Aanbestedingswet. Het eerdere contract met KPN liep af en kende ook geen verlengingsmogelijkheden meer. NS is dan verplicht de opdracht via een Europese Aanbestedingsprocedure in de markt te zetten. Daarbij stelt NS zeer uitgebreide eisen en criteria op het gebied van prijs, kwaliteit, beschikbaarheid (zo min mogelijk storingen) en cyberveiligheid. De Nederlandse dochter van een Amerikaanse onderneming kwam als beste uit de bus.

Vraag 9

Past de keuze van de NS om haar ICT uit te besteden aan een Amerikaans bedrijf binnen de ambitie van het kabinet om meer digitaal onafhankelijk te worden? Welke rol heeft de Staat als enig aandeelhouder hierin?

De gunning is een uitkomst van het verplichte Europese aanbestedingsproces. Het kabinet heeft als doel om bij digitale inkoop en aanbestedingen te gaan standaardiseren en centraliseren, waarbij onder meer gestuurd wordt op waarden zoals security-by-design, zero-trust, soevereiniteit, open source en ketenveiligheid.
Als aandeelhouder van NS staat de Minister van Financiën op dit onderwerp meer op afstand: operationele zaken zoals de wijze van aanbesteden zijn primair de verantwoordelijkheid van het bestuur van de deelnemingen.

Vraag 10

Hoe kijkt u aan tegen de keuze van de NS om, tegen de achtergrond van de huidige geopolitieke situatie en nadat de Rijksoverheid herhaaldelijk het belang van digitale autonomie benadrukte, alsnog ICT uit te besteden aan een niet-Europees bedrijf?

Ik verwijs graag naar mijn antwoord op vraag 6, 8 en 9.

Vraag 11

Acht u de lange doorlooptijd van het contract, namelijk zes tot twaalf jaar, geschikt gezien de onzekerheid van de geopolitieke relatie met de Verenigde Staten?

Een dergelijke doorlooptijd is niet ongewoon gezien de implementatietijd en -kosten van een dergelijke migratie.

Vraag 12

Klopt het dat er geen nationale richtlijnen bestaan om Amerikaanse partijen te weren? Staat dit wel voorzien in het nieuwe cloudbeleid dat nog steeds in ontwikkeling is?

Het klopt dat er geen nationale richtlijnen zijn om Amerikaanse partijen te weren en de inzet van het kabinet is daar ook niet op gericht. Het Rijksbreed cloudbeleid is niet van toepassing op staatsdeelnemingen, en is landenneutraal opgesteld.
Het kabinet heeft wel als doel om bij digitale inkoop en aanbestedingen te gaan standaardiseren en centraliseren, waarbij onder meer gestuurd wordt op waarden zoals security-by-design, zero-trust, soevereiniteit, open source en ketenveiligheid.

Vraag 13

Is in deze aanbesteding voldaan aan de Algemene Beveiligingseisen voor Rijksoverheidsopdrachten (ABRO), waarin staat dat er strenge eisen gesteld moeten worden aan digitale autonomie en soevereiniteit?

Het kabinet heeft besloten dat de departementen, hun diensten en agentschappen, en de politie vanaf 1 januari 2026 de ABRO gaan toepassen bij contracten met bedrijven als daarbij risico’s voor de nationale veiligheid aanwezig zijn. De NS is geen onderdeel van deze organisaties. Voor de implementatie hiervan hebben deze inkopende organisaties tot eind 2027 de tijd gekregen. Daarover is uw Kamer geïnformeerd (TK 2025/2026 26 643, nr. 1438). Als een inkopende organisatie, voordat zij besluit de ABRO toe te gaan passen, al een aanbestedingsproject in gang heeft gezet, is uitgangspunt dat deze aanbesteding niet alsnog onder de ABRO kan worden gebracht.
In bedoelde Kamerbrief is ook gemeld dat voorbereidingen worden getroffen om deze beveiligingseisen ook te laten toepassen door andere inkopende organisaties. Dat gaat om onder meer Zelfstandige Bestuursorganen, provincies, gemeenten, waterschappen en vitale sectoren. Momenteel wordt binnen het rijksbrede programma «Veilig inkopen» onderzocht welke risico’s deze organisaties lopen voor de nationale veiligheid. Het staat nog niet vast welke specifieke organisaties in dit onderzoek worden meegenomen. Voor deze inkopende organisaties worden de benodigde juridische instrumenten, financiën en organisatorische afspraken voorbereid. In het 3e kwartaal van 2026 wordt de Tweede Kamer over de stand van zaken van het programma «Veilig inkopen» geïnformeerd.
De ABRO maakt onderdeel uit van een keten. De inkopende organisatie deelt bij aanvang van een aanbesteding mee dat de ABRO wordt toegepast. Als bij een inkoop de Aanbestedingswet op Defensie- en Veiligheidsgebied (ADV) wordt gevolgd, dan biedt dat de mogelijkheid om alleen bedrijven uit de Europese Economische Ruimte én bedrijven uit nader te bepalen landen toe te laten als inschrijver op zo’n inkoop.
De ABRO ziet niet direct op digitale soevereiniteit en biedt geen directe mogelijkheden om ongewenste overnames te voorkomen of bepaalde aanbieders op voorhand uit te sluiten in een aanbesteding. Het Nationaal Bureau Industrieveiligheid (NBIV) controleert het bedrijf dat als winnaar uit zo’n aanbesteding komt of het aan de ABRO-eisen voldoet. Daarbij dient onder meer inzicht te worden gegeven in de organisatiestructuur van en de zeggenschap over een bedrijf. Als de risico’s voor de nationale veiligheid niet kunnen worden beperkt, geeft NBIV geen ABRO-verklaring af en kan in beginsel geen contract worden afgesloten.
Bij een contract waarop de ABRO is toegepast, is de contractspartij verplicht om NBIV tijdig te informeren bij potentiële overnames of wisselingen in significante invloed. Het biedt opdrachtgever en NBIV daarmee de mogelijkheid om de risico’s voor de nationale veiligheid te beperken. Indien die risico’s niet kunnen worden beperkt, kan de ABRO-verklaring worden ingetrokken en kan de inkopende organisatie het contract ontbinden.

Vraag 14

Is het mogelijk om via het Cloud Sovereignty Framework van de EU wél voorkeur te geven aan Europese partijen bij ICT-aanbestedingen? Waarom is daar in dit geval geen gebruik van gemaakt?

Het Cloud Sovereignty Framework van de EU is niet van toepassing op deze tender en bestond nog niet ten tijde van het uitzetten van de onderhavige aanbesteding. Het is op basis van de aanbestedingsregels niet toegestaan om gedurende de aanbestedingsprocedure aanvullende eisen (zoals het EU Cloud Sovereignty Framework) toe te voegen.
Het Cloud Sovereignty Framework van de EU biedt kwalitatieve scoringseisen voor aanbestedende partijen en heeft als doel om een level playing field te bieden aan clouddienstverleners, en tevens om de sector richting Europese standaarden en waarden te drijven. Het Cloud Sovereignty Framework is dus niet gericht op het uitsluiten van partijen.

Vraag 15

Kunt u deze vragen afzonderlijk van elkaar en zo spoedig mogelijk beantwoorden, nog voordat er onomkeerbare stappen worden gezet?

De vragen zijn zo spoedig mogelijk beantwoord.

Vraag 1

Bent u bekend met het manifest, wereldwijd ondertekend, die oproept om AI-uitkleedsoftware te verbieden?1

Ja.

Vraag 2

Wat is uw reactie op het manifest? Kunt u inhoudelijk reageren op de specifieke oproepen aan beleidsmakers van EU-lidstaten?

Het is goed dat het maatschappelijk middenveld met dit manifest breed aandacht vraagt voor de problematiek rondom nudifying-tools. De slachtoffers zijn met name vrouwen en minderjarigen, maar deepnudes kunnen in potentie van iedereen gemaakt worden. Het bericht dat zoveel mensen slachtoffer zijn geworden is zeer zorgwekkend. Het is onacceptabel om met behulp van AI zonder toestemming mensen uit te kleden. De impact en de gevolgen van deepnudes voor slachtoffers en hun omgeving zijn enorm, mede omdat het maken van deepnudes steeds geavanceerder wordt en daarmee deepnudes steeds realistischer worden.
Ten aanzien van de eerste drie specifieke oproepen: op grond van het bestaande straf- en civiele recht kan de nudify-problematiek in Nederland en de EU al grotendeels worden aangepakt. Het gebruik ervan zonder toestemming zal in de praktijk vrijwel altijd strafbaar en/of onrechtmatig zijn. Zo biedt de Nederlandse wetgeving via de artikelen 252 en 254ba Wetboek van Strafrecht voldoende mogelijkheden om strafrechtelijk op te treden tegen personen die met AI applicaties zonder toestemming deepnudes van personen, waaronder vrouwen en minderjarigen, genereren, voorhanden hebben en verspreiden.
Bij het verwerken van persoonsgegevens in deepfakes, zoals gezichts- of stemkenmerken, is verder de Algemene Verordening Gegevensbescherming (hierna: AVG) van toepassing. De AVG verbiedt het maken en verspreiden van deepfakes die persoonsgegevens bevatten, buiten de huiselijke sfeer, zonder een geldige verwerkingsgrondslag. In de praktijk betekent dit dat een deepfake zonder toestemming, vooral wanneer het gevoelige (bijvoorbeeld seksuele) inhoud bevat, in strijd is met de AVG. Personen wiens gegevens onrechtmatig zijn verwerkt in (deepfake)content kunnen een klacht indienen bij de Autoriteit Persoonsgegevens (hierna: AP).
Het gebruik van deepfake-technologie kan onder bepaalde omstandigheden een onrechtmatige daad vormen. Dit is meestal het geval bij de publicatie van pornografische deepfakes die zonder toestemming zijn gemaakt, maar kan ook gelden voor stemimitaties. Bovendien blijkt uit de regeling van het portretrecht in de Auteurswet dat het publiceren van een portret, dat niet op verzoek is gemaakt (wat meestal het geval is bij deepfakes), niet is toegestaan als er een redelijk belang van de geportretteerde is dat zich verzet tegen openbaarmaking (artikel 21 Auteurswet).
De digitaledienstenverordening (Digital Services Act, hierna: DSA) regelt dat hostingsdiensten, waaronder online platforms, verplicht zijn om te voorzien in mechanismen via welke gebruikers meldingen kunnen doen van illegale inhoud die zich op de dienst/op het platform bevindt. De meldingen moeten vervolgens (tijdig) worden beoordeeld en verwerkt. In het geval van illegale deepnudes zal dit betekenen dat zij de betreffende inhoud, zodra zij daarvan kennis hebben, moeten verwijderen. Wanneer de hostingdiensten, waaronder online platforms, dat niet doen riskeren zij aansprakelijkheid.
Daar bovenop geldt voor de zogenaamde aangewezen «zeer grote online platforms» (zoals X, Facebook, Instagram, TikTok, YouTube, Snapchat) de verplichting om zogenaamde systeemrisico’s die voortvloeien uit het ontwerp of de werking van de dienst en daaraan verbonden systemen (waaronder algoritmes en aanbevelingssystemen), te beoordelen en te beperken. Dit omvat risico’s in verband met de verspreiding van illegale inhoud, zoals gemanipuleerde seksueel expliciete afbeeldingen, met inbegrip van inhoud die kan neerkomen op materiaal van seksueel misbruik van kinderen. In dat kader is de Europese Commissie, die primair toezicht houdt op aangewezen zeer grote online platforms- en zoekmachines, onlangs een onderzoek gestart tegen X, in verband met de risico’s voortvloeiende uit de uitrol van Grok in dat platform.2
Het kabinet staat voor een effectieve aanpak van de nudify-problematiek en daar kan een verbod deel van uitmaken. Op dit moment wordt de mogelijkheid van een verbod op het aanbieden van nudifying-tools verkend. Hiervoor is verdere studie nodig. Er is nog weinig bekend over de effectiviteit van een mogelijk verbod, waar dit eventueel opgenomen zou moeten worden, de wijze waarop dit het beste vorm kan krijgen, de handhavingsmogelijkheden en de uitvoeringsconsequenties. Mijn ministerie is momenteel in gesprek met verschillende partijen om te bezien of de aanpak kan worden versterkt.
In de aanpak van dergelijke grensoverschrijdende uitdagingen kan een Europese benadering effectiever zijn dan een nationale. Daarom is het positief dat hierover gesprekken op Europees niveau worden gevoerd. In dat kader is relevant dat de Raad op 13 maart jl. zijn mandaat voor de triloog heeft vastgesteld ten aanzien van de AI-omnibus en een amendement waarbij AI-systemen die non-consensuele expliciete deepfakes genereren (zoals nudify-tools) onder de verboden AI-praktijken in de AI-verordening worden gebracht, heeft gesteund. Op 26 maart jl. heeft het Europees Parlement ingestemd met een dergelijk verbod. Dit betekent dat de onderhandelingen tussen het Europees Parlement en de Raad over de definitieve vorm van een dergelijk verbod kunnen beginnen.3
Voor wat betreft de laatste specifieke oproep geldt dat in het kader van het herziene curriculum voor het primair en voortgezet onderwijs kerndoelen voor Digitale Geletterdheid zijn ontwikkeld. De kerndoelen richten zich onder meer op het herkennen van online risico’s, het omgaan met (ongepaste) content en het bevorderen van digitale weerbaarheid, waaronder het kritisch omgaan met AI-toepassingen. Ook in het middelbaar beroepsonderwijs is aandacht voor digitale geletterdheid, zowel in beroepsgerichte programmaonderdelen als via generieke onderdelen.
Via het Netwerk Mediawijsheid wordt aanvullend ingezet op brede bewustwording en ondersteuning van burgers van alle leeftijden. Het netwerk ontwikkelt informatie, campagnes en lesmateriaal voor leerlingen, docenten, ouders en andere doelgroepen, met aandacht voor online pesten, seksueel grensoverschrijdend gedrag en sextortion.

Vraag 3

Steunt u het manifest? Zo ja, op welke manieren geeft u uitvoering aan de aanbevelingen?

Het is goed dat het maatschappelijk middenveld met dit manifest een duidelijke stem laat horen over de risico’s van zogenoemde nudifying tools. Door gezamenlijk stelling te nemen, maken de betrokken organisaties duidelijk dat dit een vraagstuk is voor iedereen: overheden, technologiebedrijven en de samenleving in het algemeen. Het manifest draagt eraan bij dat mensen zich bewuster worden van hun eigen rol in het tegengaan van dit probleem en spreekt iedereen aan op zijn of haar verantwoordelijkheid om bij te dragen aan een veilige (digitale) omgeving, in het bijzonder voor kinderen en jongeren. Ten aanzien van de uitvoering van de aanbevelingen verwijs ik naar de beantwoording van vraag 2.

Vraag 4

Hoe gaat u de motie-Van der Werf c.s. [Kamerstuk 36 800 VI-80] uitvoeren die vraagt om een onderzoek naar een verbod op dergelijke apps?

Op dit moment wordt de mogelijkheid van een dergelijk verbod onderzocht. Zoals aangegeven in het antwoord op vraag 2, is een verbod op AI-uitkleedapplicaties inmiddels onderdeel van de lopende AI Omnibus-onderhandelingen. Met de voortgangsbrief seksuele misdrijven, die twee keer per jaar wordt verzonden, wordt u verder geïnformeerd over de uitvoering van deze motie.

Vraag 5

Kunt u de wettelijke maatregelen tegen uitkleedsoftware versnellen, en zo spoedig mogelijk met wetgeving komen om AI-uitkleedsoftware te verbieden?

Er is hier sprake is van een maatschappelijk probleem dat zich in grote mate blijft voordoen en dat dit een snelle, voortvarende aanpak vereist. Het onderwerp heeft de aandacht van het kabinet, wat onder andere blijkt uit het coalitieakkoord.4 De mogelijkheden voor de aanpak van AI-uitkleedsoftware worden op dit moment verkend. Een verbod op AI-uitkleedapplicaties is verder onderdeel van de onderhandelingen over de AI-omnibus. Dit vraagstuk is complex en kent helaas geen snelle oplossing. Een zorgvuldige afweging, samen met alle betrokken partijen is noodzakelijk.

Vraag 6

Bent u bekend met de oproep van Spanje, gesteund door Ierland, Frankrijk en Slovenië, om AI-uitkleedsoftware te verbieden in artikel 5 van de Europese AI Act?2, 3

Ik ben bekend met de oproep van verschillende lidstaten om AI-uitkleedsoftware in artikel 5 van de Europese AI Act te verbieden. Als vermeld in de beantwoording van de vragen 2, 4 en 7 is een verbod op AI-uitkleedsoftware inmiddels onderdeel van onderhandelingen over de AI-omnibus.

Vraag 7

Deelt u de analyse van deze landen dat AI-uitkleedsoftware al is verboden in de Europese Unie? Zo niet, bent u bereid te pleiten voor een Europees verbod?

Bestaande Europese wetgeving verbiedt het maken en verspreiden van bepaalde seksueel expliciete beelden. Het gaat hier bijvoorbeeld om beelden van personen zonder hun toestemming of materiaal van seksueel kindermisbruik. Deze wetgeving maakt het vooral mogelijk om achteraf in te grijpen. De Europese ontwikkelingen ten aanzien van dit onderwerp worden meegenomen in de eerdergenoemde verkenning naar een eventueel verbod.

Vraag 8

Bent u bereid om Nederland bij deze groep EU-lidstaten te voegen? Welke expertise en ondersteuning kan Nederland in deze groep bieden, bijvoorbeeld met organisaties als Offlimits aan tafel?

Onderdeel van eerdergenoemde verkenning is het actief aangaan van gesprekken en samenwerking met andere Europese lidstaten. Als aangegeven in de beantwoording van vraag 2 hebben in het kader van de verkenning naar de mogelijkheid van een verbod op het aanbieden van nudifying-tools ook gesprekken met verschillende stakeholders en experts plaatsgevonden. Ik informeer u hier verder over in de voortgangsbrief seksuele misdrijven.

Vraag 9

Kunt u deze vragen afzonderlijk van elkaar en zo snel mogelijk beantwoorden?

Ja.

Vraag 1

Bent u bekend met het NOS-bericht «Franse autoriteiten doen inval bij X-vestiging in Parijs»?1

Ja.

Vraag 2

Hoe beoordeelt u de inval van de Franse autoriteiten in een kantoor van het sociale mediaplatform X?

Het is niet aan ons om de inval van de Franse autoriteiten te beoordelen. Het kabinet doet geen uitspraken over specifieke (strafrechtelijke) onderzoeken. Dit geldt ook voor (strafrechtelijke) onderzoeken die in het buitenland plaatsvinden.

Vraag 3

Hoe plaatst u deze inval in het bredere onderzoek van het Franse OM en Interpol naar de de AI-chatbot Grok, seksuele deepfakes, het in bezit hebben en verspreiden van seksueel kindermisbruikmateriaal en holocaustontkenning op X?

Zie antwoord vraag 2.

Vraag 4

Bent u van plan steun uit te spreken voor dit onderzoek en eventuele maatregelen op Europees niveau toe te passen? Zo nee, waarom niet?

Het kabinet gaat ervan uit dat het Franse Openbaar Ministerie en Interpol de juiste gronden hebben om een dergelijk onderzoek te starten en eventuele vervolgstappen te overwegen. Zie het antwoord op vraag 2.
Onder de Digital Service Act (DSA) wordt X aangemerkt als zeer groot online platform. Bij zeer grote online platforms heeft de Europese Commissie de primaire bevoegdheid voor het toezicht op en de handhaving van de DSA. De Europese Commissie is hier dus aan zet en zij is op 26 januari jl., naar aanleiding van de berichtgeving over AI-chatbot Grok, een onderzoek gestart.2 Als de Europese Commissie concludeert dat X de DSA heeft overtreden, kan zij verdere handhavingsmaatregelen nemen, zoals de vaststelling van een besluit tot niet-naleving en de oplegging van een boete, net zoals de Europese Commissie dat begin december 2025 al heeft gedaan jegens X.

Vraag 5

Maakt X zich naar uw inzicht ook schuldig aan strafbare feiten door politieke inmenging te faciliteren, algoritmen aan te passen, data illegaal te verzamelen, en de AI-chatbot Grok seksuele deepfakes en kindermisbruikmateriaal te laten genereren?

Het is niet aan ons als bewindspersonen om dat te beoordelen. Zie de antwoorden op de vragen 2–4.

Vraag 6

Als blijkt dat X (vermoedelijk) tegen de Nederlandse wet- en regelgeving handelt, welke mogelijkheden heeft u om tegen het bedrijf op te treden?

Bij de beantwoording van deze vraag gaan wij in op de meest relevante wetgeving die in Nederland van toepassing is, omdat op dit moment niet duidelijk is wat de exacte aanleiding is voor de Franse inval bij X en welke regelgeving X volgens het Franse OM zou hebben geschonden.
Strafrechtelijk kan in Nederland de officier van justitie op grond van artikel 125p van het Wetboek van Strafvordering (Sv) aan een aanbieder van een communicatiedienst bevelen om strafbare online content ontoegankelijk te maken. Een dergelijk bevel kan, kort gezegd, worden gegeven als sprake is van een strafbaar feit waarvoor voorlopige hechtenis is toegelaten, ter beëindiging van dat strafbare feit en/of ter voorkoming van nieuwe strafbare feiten. Van deze mogelijkheid wordt beperkt gebruik gemaakt, omdat de politie en het Openbaar Ministerie ook gebruik kunnen maken van verwijderverzoeken op basis van de zelfreguleringsmogelijkheden. Deze zijn in de praktijk vaak sneller. Een aanbieder die niet voldoet aan een dergelijk bevel onder 125p Sv kan strafrechtelijk aansprakelijk zijn (artikel 54a van het Wetboek van Strafrecht).
De Autoriteit online Terroristisch en Kinderpornografisch Materiaal (ATKM) is bevoegd om aanbieders van communicatiediensten die in Nederland zijn gevestigd of die beeldmateriaal van seksueel kindermisbruik op Nederlands grondgebied hebben opgeslagen, te verplichten om dergelijk materiaal ontoegankelijk te maken of te verwijderen. Als aanbieders van communicatiediensten niet aan deze verplichting voldoen, kan de ATKM bestuursrechtelijk handhaven. De ATKM kan in dat geval een last onder dwangsom of een bestuurlijke boete opleggen, die kan oplopen tot 10% van de jaarlijkse omzet van de onderneming. Als en voor zover X kwalificeert als aanbieder van communicatiediensten en het beeldmateriaal van seksueel kindermisbruik op Nederlands grondgebied heeft opgeslagen, zou de ATKM daartegen mogelijk kunnen optreden tegen de verspreiding van het materiaal.
Daarnaast hebben gebruikers van X de mogelijkheid om, naast het doorlopen van de interne klachtenafhandelingsprocedure bij een aanbieder, een gerechtelijke procedure te starten.
Ook is de DSA in Nederland van toepassing. Zoals vermeld in het antwoord op vraag 4, is in het geval van X de Europese Commissie op grond van de DSA primair bevoegd om handhavend op te treden ten aanzien van de DSA en niet de ACM (de Nederlandse toezichthouder op de DSA). Wel heeft de ACM, als nationale toezichthouder, de mogelijkheid om een signaal af te geven richting de Europese Commissie en/of de digitaledienstencoördinator van de plaats van vestiging van X. In dit geval is dat de Ierse toezichthouder, omdat het Europese hoofdkantoor van X is gevestigd in Ierland.
De Europese Commissie kan als bevoegd toezichthouder een onderzoek instellen en onder andere sancties opleggen tot 6% van de wereldwijde omzet in het voorgaande boekjaar. Daarnaast kunnen zij een last onder dwangsom opleggen.
Op grond van artikel 82 DSA kan de Europese Commissie als ultimum remedium, onder strikte voorwaarden, de digitaledienstencoördinator van de plaats van vestiging van de betrokken aanbieder van het zeer grote onlineplatform, verzoeken om op te treden krachtens artikel 51, derde lid van de DSA en de bevoegde gerechtelijke autoriteit van zijn lidstaat vragen de toegang tot het platform tijdelijk te beperken. Zoals hierboven vermeld, is in het geval van X de Ierse toezichthouder de bevoegde digitaledienstencoördinator.

Vraag 7

Op welke manier draagt u bij aan onderzoeken en juridische stappen die worden gezet door de Europese Commissie en EU-lidstaten? Zo niet, ziet u mogelijkheden om expertise te verlenen aan deze acties?

Indien de vraag betrekking heeft op de handhavingsprocedure tegen X door de Europese Commissie onder de DSA, dan geldt dat zij in de verordening de bevoegdheden toegekend heeft gekregen die nodig zijn voor effectief toezicht en handhaving.
Op nationaal niveau hebben we de Autoriteit Consument en Markt en de Autoriteit Persoonsgegevens ook voorzien van de bevoegdheden die zij nodig hebben om onderzoeken te kunnen verrichten en juridische stappen te zetten.
Bij de uitvoering van hun taak zijn toezichthouders onafhankelijk. Het past dan niet als wij ons mengen in onderzoeken of juridische stappen. Dit geldt ook voor onderzoeken en juridische stappen die door toezichthouders in het buitenland worden gezet. Mochten de toezichthouders echter om hulp vragen dan sta ik daar uiteraard welwillend tegenover, mits het hun onafhankelijkheid niet schaadt. Zoals in het antwoord op vraag 4 is aangegeven, geldt in algemene zin dat de ACM goed contact onderhoudt met de Europese Commissie en andere lidstaten en, indien relevant, signalen kan delen ook wanneer een aanbieder niet in Nederland is gevestigd.

Vraag 8

Kunt u reflecteren op het besluit van het kantoor van de Franse openbaar aanklager om van X af te stappen? Ziet u dit als een terechte en effectieve reactie op de recente ontwikkelingen?

Het kabinet treedt niet in besluiten van buitenlandse opsporingsautoriteiten of het openbaar ministerie. Het is aan de Franse autoriteiten om in het kader van hun eigen onderzoek afwegingen te maken over hun werkwijze en eventuele maatregelen.

Vraag 9

Ontvangen Nederlandse autoriteiten eveneens klachten over de AI-chatbot Grok? Zo ja, hoe veel? Geven deze klachten aanleiding om ook in Nederland juridische stappen te zetten tegen X?

Recent hebben wij u geïnformeerd over het standpunt van het kabinet omtrent de verontrustende toename aan «deepnudes» via applicaties zoals GROK en de grote impact die dit heeft op slachtoffers en hun omgeving. Hierin staat voorop dat wij dit zeer onwenselijk vinden.3
Slachtoffers kunnen bij verschillende organisaties, zoals Slachtofferhulp Nederland (SHN), Centrum Seksueel Geweld (CSG) en Offlimits, terecht voor hulp. Als het slachtoffer overweegt een melding te maken of aangifte te doen, kan deze terecht bij de politie. Genoemde hulporganisaties kunnen slachtoffers hierover informeren of hierbij ondersteunen.
Bij bovengenoemde hulporganisaties is niet bekend of er ook Nederlanders zijn die slachtoffer zijn geworden van de AI-naaktbeelden, die specifiek met de AI-Chatbot Grok zijn gegenereerd. Dit komt omdat bij meldingen die door slachtoffers worden gedaan bij SHN en CSG, in de registratie geen onderscheid wordt gemaakt naar misbruik van echt dan wel AI-gegenereerd beeldmateriaal. Bij meldingen die door slachtoffers worden gedaan bij Offlimits, wordt in de registratie wel onderscheid gemaakt tussen echt en AI-gegenereerd beeldmateriaal, maar wordt niet geregistreerd met welke specifieke AI-applicatie, zoals bijvoorbeeld de AI-chatbot Grok, de afbeeldingen zijn gegenereerd.
De politie heeft in de afgelopen twee maanden wel een toename gezien in de hoeveelheid meldingen die vanuit platforms wordt gedaan over uploads naar AI-chatbot Grok. Mogelijk zijn er slachtoffers die zelf melding hebben gedaan bij de politie, maar dit is niet goed uit de registratie te halen, omdat de melding onder verschillende delictsoorten kan worden geregistreerd.
Bovenstaande geeft vooralsnog geen aanleiding om ook in Nederland juridische stappen te zetten tegen X.

Vraag 10

Bent u voornemens om naar aanleiding van het Franse onderzoek en recente berichtgeving2 over democratische ondermijning als gevolg van X om ook van het platform af te stappen? Waarom wel of niet?

Het bereiken en informeren van zoveel mogelijk mensen, juist ook groepen die via traditionele media minder goed kunnen worden bereikt, en hen in staat stellen kennis te nemen van overheidsinformatie, weegt zwaar. Daarom kiezen wij altijd voor een mix aan online en offline kanalen. Dagelijks maken miljoenen Nederlanders gebruik van sociale media, waaronder het platform X. Het platform is daarmee voor de rijksoverheid een belangrijk middel om veel mensen te bereiken en informeren.
We zijn continu op zoek naar de juiste manier hoe we inwoners kunnen bereiken. In die zoektocht hebben de ontwikkelingen op sociale media, waaronder X, onze aandacht.

Vraag 11

Kunt u, om de afhankelijkheid van X voor overheidscommunicatie te doorbreken, toezeggen dat overheidscommunicatie voortaan op alle veelgebruikte alternatieve media én op de eigen overheidswebsites plaatsvindt? Zo nee, waarom niet?

De rijksoverheid verkent doorlopend mogelijkheden en middelen waarmee zoveel mogelijk mensen kunnen worden bereikt. Sociale mediaplatformen en andere (nieuwe) kanalen maken hiervan onderdeel uit. Afhankelijk van de doelgroep en het onderwerp worden ook veelgebruikte kanalen als LinkedIn en Instagram ingezet. Daarnaast wordt via social.overheid.nl gewerkt aan het ontwikkelen van een eigen sociale mediaplatform waar Mastodon draait op een overheidsserver en waar geen gebruik wordt gemaakt van schadelijke algoritmes en de privacy van de gebruikers wordt beschermd. Momenteel is de Staatssecretaris van Economische Zaken al aanwezig op Mastodon. Ook hoeven mensen geen account aan te maken om overheidsinformatie te kunnen lezen. We verkennen daarnaast de aanwezigheid op BlueSky, waar sinds het aantreden van het nieuwe kabinet al meerdere bewindspersonen actief op zijn. Het is op dit moment echter met het oog op bereik nog geen volwaardig alternatief voor de omvangrijkste sociale mediaplatforms.
De rijksoverheid biedt (beleids)informatie in beginsel altijd op de eigen websites aan zodat mensen vrij toegang hebben tot de informatie van de rijksoverheid.

Vraag 12

Heeft u reeds gekeken naar de mogelijkheid om alternatieve communicatieplatforms voor X te gebruiken, zoals toegezegd tijdens de Algemene Politieke Beschouwingen van 2025?3

Zie het antwoord op vraag 11.

Vraag 13

Wat zijn de uiterlijke consequenties voor X als het platform willens en wetens blijft handelen tegen de Europese wet- en regelgeving in, en als dit blijkt uit de lopende onderzoeken? Bent u bereid in het uiterste geval te pleiten voor een Europees verbod op het platform?

Met betrekking tot de vraag hoe nationaal kan worden opgetreden indien X willens en wetens handelt tegen de Europese wet- en regelgeving, verwijzen wij naar het antwoord op vraag 6.
Indien de vraag betrekking heeft op de overtreding van de DSA, dan kan de Europese Commissie onder meer een boete opleggen ter hoogte van 6% van de wereldwijde jaaromzet van X. Daarnaast kan ze een dwangsom opleggen of aanbieders onder verscherpt toezicht plaatsen. In bijzondere uiterste gevallen, die in dit geval niet aan de orde zijn, kan er ook een tijdelijke blokkade van een dienst worden ingesteld.
Een Europees verbod op het platform is op dit moment niet aan de orde. Vooralsnog vertrouwt het kabinet erop dat de Europese Commissie via handhaving van de DSA de noodzakelijke wijzigingen kan afdwingen om voor naleving te zorgen. Omdat handhaving van de DSA door sommige landen wordt verbonden aan de geopolitiek is het zaak dat de lidstaten laten blijven dat zij de Europese Commissie steunen in het verrichten van diens taken.

Vraag 14

Kunt u deze vragen afzonderlijk van elkaar en uiterlijk in de week van 2 maart 2026 beantwoorden, nog voordat het gesprek van de commissie Digitale Zaken met een vertegenwoordiging van de Europese Commissie is voorzien?4

Dat is helaas niet gelukt.

Vraag 1

Bent u bekend met de berichten «X komt met nieuwe beperkingen voor gebruik Grok, maar mensen uitkleden blijft simpel»1, «Politie en instanties slaan alarm om AI-app Grok: BN’ers digitaal uitgekleed, verbod in Nederland op tafel»2 en «Topoverleg tussen OM en Minister over uitkleed-app Grok, topman Musk komt beloftes niet na met nieuwe update»3?

Ja.

Vraag 2

Is het bij u bekend dat de AI-chatbot Grok van xAI wordt gebruikt om seksuele deepfakes te maken op X? Wat is daarop uw reactie?

Ja, wij vinden het onacceptabel dat met de AI-chatbot Grok op grote schaal deepnudes (seksueel getinte nepafbeeldingen of -video’s) zijn gegenereerd. Het bericht dat zoveel mensen slachtoffer zijn geworden vinden wij zeer zorgwekkend. De slachtoffers zijn met name vrouwen en minderjarigen, maar deepnudes kunnen in potentie van iedereen gemaakt worden. De impact en de gevolgen van deepnudes voor slachtoffers en hun omgeving zijn enorm, mede omdat het maken van deepnudes steeds geavanceerder wordt en daarmee deepnudes steeds realistischer worden. Daarnaast zijn deze beelden ook schadelijk voor de samenleving, omdat iedereen, specifiek jongeren, ze online tegen kunnen komen.
Het vervaardigen van seksueel beeldmateriaal van minderjarigen, of van personen zonder toestemming, is strafbaar, ook als het materiaal met AI is gegenereerd.

Vraag 3

Welke conclusies trekt u op basis van de berichtgeving? Vindt u dat X en xAI verantwoord handelen? Zo niet, welke maatregelen kunt u zowel nationaal als Europees nemen om misbruik van xAI tegen te gaan?

Zoals ook bij vraag 2 beantwoord, vinden wij het bericht dat mensen, met name vrouwen en kinderen, slachtoffer worden van deepnudes zeer zorgwekkend.
De GROK AI tool is geen zelfstandig platform, maar een onderdeel van X waarlangs de verspreiding plaatsvindt. X is onder de Digital Service Act (DSA) een zeer groot online platform. De Europese Commissie (EC) houdt hier toezicht op en is inmiddels een onderzoek gestart in het kader van de DSA.4 Het is aan de EC om te beoordelen of X aan de wettelijke verplichtingen heeft voldaan. Nederland heeft in de lopende onderzoeken tegen X geen specifieke rol. Uiteraard volgen wij de ontwikkelingen met belangstelling.

Vraag 4

Wat heeft u met het Openbaar Ministerie besproken in het overleg van 15 januari 2026, waarover het AD bericht heeft? Kunt u de uitkomsten met de Kamer delen?

Het gesprek waarnaar wordt verwezen in het AD, betreft een gesprek op werkniveau tussen medewerkers van het Ministerie van Justitie en Veiligheid en medewerkers van de politie en het Openbaar Ministerie (OM). Binnen het Ministerie van Justitie en Veiligheid wordt gekeken naar de mogelijkheden om het gebruik van nudify-applicaties verder tegen te gaan. Ondanks de mogelijkheid om gebruikers van de applicaties strafrechtelijk te vervolgen (via de artikelen 252 en 254ba Sr) en de mogelijkheid om elk illegaal beeld te laten verwijderen, blijft het maatschappelijke probleem rondom deepnudes, zich in grote mate voordoen. Om die reden wordt bezien of het wenselijk en haalbaar is het aanbieden van de applicaties zelf te verbieden, nationaal dan wel Europees. In dat kader hebben met verschillende stakeholders en experts, waaronder ook medewerkers van de politie en het OM, gesprekken plaatsgevonden. Voordat een inhoudelijke positie bepaald wordt, is verdere studie nodig.
In de voortgangsbrief aanpak seksuele misdrijven, die twee keer per jaar wordt verstuurd, zal de Minister van Justitie en Veiligheid uw Kamer informeren over de stand van zaken van deze verkenning.

Vraag 5

Zijn uitkleedapps en -tools verboden in Nederland? Hoe wordt hierop gehandhaafd, en welke gevolgen heeft het voor X dat het platform het genereren van seksuele deepfakes standaard aanbiedt via Grok?

Zie het antwoord op vraag 4. Welke gevolgen het heeft voor X dat het platform het generen van deepnudes standaard aanbiedt via GROK, zal moeten blijken uit het onderzoek dat door de Europese Commissie is ingesteld.

Vraag 6

Welke mogelijkheden bent u aan het verkennen om op te treden tegen uitkleedapps en -tools? Hoe bent u dit aan het onderzoeken en op welke termijn gaat u de uitkomsten met de Kamer delen?4 Hoe snel zou u aanvullende maatregelen kunnen nemen?

Zie het antwoord op vraag 4.

Vraag 7

Vindt u de maatregelen die X heeft aangekondigd voldoende, namelijk een geoblokkade voor de AI-functie om seksuele deepfakes te genereren in landen die daar wetten tegen hebben? Wat betekent dit voor Nederlandse slachtoffers?

Wij zullen de effectiviteit van de door X genomen maatregelen moeten afwachten. Wij houden dat nauwlettend in de gaten.

Vraag 8

Deelt u de zorgen van de indiener dat deze geoblokkade gemakkelijk te omzeilen is en geen recht doet aan het leed van slachtoffers die ongewenst seksueel zijn afgebeeld?

Ja, wij delen deze zorgen, maar zoals eerder geantwoord zullen wij de effectiviteit van de getroffen maatregelen moeten afwachten.

Vraag 9

Onder welke voorwaarden vindt u het acceptabel dat Grok beschikbaar blijft op X? Bent u, ook na de technische aanpassingen van de chatbot, van mening dat deze niet langer beschikbaar moet zijn?

Zoals geantwoord bij vraag 4, wordt binnen het Ministerie van Justitie en Veiligheid gekeken naar de mogelijkheden om het gebruik van nudify applicaties verder tegen te gaan.

Vraag 10

Bent u bereid om, net als in België en het Verenigd Koninkrijk, over te gaan tot het blokkeren van de AI-chatbot Grok? Welke andere ingrijpen heeft u tot uw beschikking?

De DSA harmoniseert de regels die van toepassing zijn op tussenhandeldiensten op de interne markt volledig. De lidstaten mogen derhalve geen aanvullende nationale eisen stellen of in stand houden die verband houden met aangelegenheden die binnen het toepassingsgebied van de verordening vallen, tenzij daarin uitdrukkelijk is voorzien in de verordening. Vanuit België is een oproep geweest aan de EC om op te treden, maar daar is Grok momenteel niet verboden.
De EC is inmiddels een onderzoek gestart naar de AI chatbot Grok. Bij constatering van schending van de DSA staan de EC verschillende middelen ter beschikking; één daarvan is de toegang tot een dienst beperken.
In het Verenigd Koninkrijk is andere wetgeving op digitale diensten van toepassing dan in de Europese Unie.

Vraag 11

Steunt u de oproep van de Europese Commissie dat alle interne documenten en data gerelateerd aan de chatbot Grok moet worden vrijgegeven in het lopende onderzoek naar de contentmoderatie van X?5

Het is niet aan ons als bewindspersonen om deze oproep van de EC te beoordelen. Zoals ook bij vraag 3 beantwoord, houdt primair de EC toezicht op X en op Grok, als onderdeel van X. In het onderzoek, dat is gestart door de EC, heeft Nederland geen specifieke rol. Uiteraard volgen wij de ontwikkelingen met belangstelling.

Vraag 12

Kunt u de relevante toezichthouders, in dit geval de Autoriteit Consument & Markt en de Autoriteit Persoonsgegevens, vragen om hun reactie? Hebben zij voldoende mogelijkheden om toezicht te houden en te handhaven?

De ACM en AP hebben aangegeven op dit moment samen met andere partijen en toezichthouders te verkennen wat de mogelijkheden zijn om dit soort applicaties aan te pakken en hoe zij elkaar daarin kunnen versterken.
Als het gaat om specifiek de bevoegdheden van de ACM, heeft de ACM de volgende reactie gegeven:
«De ACM houdt in Nederland toezicht op de DSA. De DSA gaat niet over welke online inhoud illegaal is. Dat bepalen wetten zoals het strafrecht of privacywetgeving. Wat de DSA wél regelt, is welke processen de online platforms moeten hebben ingericht op het voorkomen van illegale inhoud. Bijvoorbeeld, hoe online platforms moeten omgaan met meldingen over illegale inhoud. Dit betekent dat de ACM niet kan optreden tegen de illegale content zelf, zoals bijvoorbeeld de seksuele beelden die zonder toestemming zijn verspreid. De ACM komt bij deze problematiek enkel in beeld als er sprake is van een onlineplatform (of een hosting provider) die een rol speelt in de verspreiding/hosting van de content en zoals hiervoor genoemd de processen niet op orde heeft.
De ACM kan optreden wanneer de aanbieders van deze diensten in Nederland gevestigd zijn. De allergrootste platforms vallen primair onder toezicht van de EC. Zo heeft de EC een DSA-onderzoek geopend tegen het platform X, in verband met de rol dat dat platform speelt in het verspreiden van content door middel van Grok. Nationale toezichthouders kunnen wel bijstand verlenen bij onderzoeken als de EC daarom vraagt. Ook kunnen Nederlandse gebruikers meldingen van mogelijke DSA-overtredingen bij de ACM indienen. De ACM zorgt er dan voor dat deze bij de juiste instanties terechtkomen.»
Als het gaat om specifiek de bevoegdheden van de AP, heeft de AP de volgende reactie gegeven:
«Het genereren en/of verspreiden van seksuele deepfakes is in dit geval een verwerking van persoonsgegevens die aan de Algemene verordening gegevensbescherming (AVG) moet voldoen. De AP kan onderzoek instellen naar personen of organisaties die verantwoordelijk zijn voor het (mogelijk) maken en verspreiden van dit soort materiaal. Dit kan op basis van klachten, maar ook op eigen initiatief. Als uit dat onderzoek blijkt dat de AVG wordt overtreden, kan de AP optreden, bijvoorbeeld door het opleggen van boetes en het laten verwijderen van content.
Wanneer het hoofdkantoor van een organisatie in een andere lidstaat is gevestigd, zoals het geval bij X (het Europese hoofdkantoor is namelijk gevestigd in Ierland), dan stelt de gegevensbeschermingsautoriteit van het betreffende land onderzoek in. De AP houdt nauw contact met deze collega-toezichthouders.
De AP merkt op dat wat deepnudes betreft er zowel praktische als juridische complicaties zijn als het gaat om bewijsvergaring en handhaving. Zo is het vaak lastig te achterhalen wie de deepfakes heeft gemaakt of verspreid, zijn de eigenaren van platforms vaak moeilijk vindbaar of bevinden deze zich in het buitenland (veelal buiten de EU). Ook sluit wetgeving niet altijd naadloos aan op dit soort situaties.»
Een complicerende factor is ook dat de illegaliteit van de content telkens van individueel geval tot geval moet worden beoordeeld en bewezen en het is niet goed mogelijk dit in generieke zin te doen. Voor een effectieve aanpak van dit probleem bevelen de ACM en AP aan dat onderzoek wordt gedaan naar manieren om de drempel voor de illegaliteit van deze problematiek te verlagen, of om vast te stellen of een nieuwe strafbaarstelling van meerwaarde is. Dan kan het probleem bij de bron worden aangepakt, in plaats van incidentbestrijding.

Vraag 13

Hoeveel klachten en meldingen zijn er gedaan door slachtoffers van seksuele deepfakes door Grok? Hoe wordt hier opvolging aan gegeven? Gebeurt dit altijd tijdig?

Slachtoffers kunnen bij verschillende organisaties, zoals Slachtofferhulp Nederland (SHN), Centrum Seksueel Geweld (CSG) en Offlimits, terecht voor hulp. Als het slachtoffer overweegt een melding te maken of aangifte te doen, kan deze terecht bij de politie. Genoemde hulporganisaties kunnen slachtoffers hierover informeren of hierbij ondersteunen.
Bij bovengenoemde hulporganisaties is niet bekend of er ook Nederlanders zijn die slachtoffer zijn geworden van de AI-naaktbeelden, die specifiek met de AI-Chatbot Grok zijn gegenereerd. Dit komt omdat bij meldingen die door slachtoffers worden gedaan bij SHN en CSG, in de registratie geen onderscheid wordt gemaakt naar misbruik van echt dan wel met AI-gegenereerd beeldmateriaal. Bij meldingen die door slachtoffers worden gedaan bij Offlimits, wordt in de registratie wel onderscheid gemaakt tussen echt en AI-gegenereerd beeldmateriaal, maar wordt niet geregistreerd met welke specifieke AI-applicatie, zoals bijvoorbeeld de AI-chatbot Grok, de afbeeldingen zijn gegenereerd.
De politie heeft in de afgelopen twee maanden wel een toename gezien in de hoeveelheid meldingen die vanuit platforms worden gedaan over uploads naar AI-chatbot Grok. Mogelijk zijn er ook slachtoffers die zelf melding hebben gedaan bij de politie, maar dit is niet goed uit de registratie te halen, omdat de melding onder verschillende delictsoorten kan worden geregistreerd.

Vraag 14

Hoe is uw contact met X? Heeft u de zorgen over deepfakes al met X besproken? Zo ja, wanneer is dat gebeurd en wat waren de uitkomsten van deze gesprekken? Zo niet, kunt u dit zo spoedig mogelijk alsnog doen?

Nee, dit hebben wij niet met X besproken. De EC heeft inmiddels een onderzoek ingesteld. Wij zullen de ontwikkeling rondom dit onderzoek volgen.

Vraag 15

Voldoen X en xAI naar uw weten aan de ethische- en transparantieverplichtingen van Nederlandse en Europese wet- en regelgeving? Welke gevolgen heeft het als dit niet het geval is?

Zoals ook bij de vragen 3 en 11 aan de orde is gekomen, is het aan de EC, een onafhankelijke toezichthouder, om hier toezicht op te houden. De EC is inmiddels een onderzoek gestart in het kader van de DSA. Het is aan de EC om te beoordelen of X aan de wettelijke verplichtingen heeft voldaan. Nederland heeft in de lopende onderzoeken tegen X geen specifieke rol. Uiteraard volgen wij de ontwikkelingen met belangstelling. Als de toezichthouder vaststelt dat sprake is van het niet nakomen verplichtingen, kan zij sancties opleggen.

Vraag 16

Behoren het verbieden van X of het vertrekken van overheidsorganisaties van de dienst tot de mogelijkheden als X stelselmatig de nationale en Europese wet- en regelgeving blijft overtreden?

Het kabinet beraadt zich op dit moment over de wenselijkheid en mogelijkheid van een verbod op bepaalde applicaties. Het verbieden van X als geheel is niet aan de orde.

Vraag 17

Kunt u deze vragen afzonderlijk van elkaar en zo snel mogelijk beantwoorden?

Ja.

Vraag 1

Bent u bekend met het NOS-bericht «Meta blokkeert tientallen queer- en abortus-accounts, zonder uitleg»1 en het bericht van Bits of Freedom «Meta sluit accounts af uit genderrechten- en abortusbeweging»?2

Ja.

Vraag 2

Hoe beoordeelt u het recente blokkeren en verwijderen door Meta van tientallen accounts op haar sociale mediaplatform?

De online publieke ruimte moet veilig, toegankelijk en transparant zijn. Daarbij geldt dat wat offline illegaal is, online ook illegaal is. Discriminatie en uitsluiting is niet toegestaan. Ook niet door internetplatforms. Als blijkt dat een online dienst stelselmatig inbreuk maak op de grondrechten, verdient dat een stevige veroordeling. Een beoordeling of er tevens sprake is van overtreding van wet- of regelgeving, zoals de Digital Services Act, is aan de bevoegde toezichthouder(s).
Wanneer een platform besluit een account te schorsen of te beëindigen, moet dat gebeuren binnen de kaders van de DSA. Zo moeten platforms de gebruiker een duidelijke en specifieke motivering verstrekken. Ook dienen online platforms adequate mogelijkheden aan te bieden om bezwaar te maken tegen het verwijderen of schorsen van accounts. In het geval van zeer grote online platformen (VLOP’s) als Meta is de Europese Commissie de aangewezen toezichthouder op de naleving van de DSA.

Vraag 3

Hoeveel accounts van personen en groepen die zich bezighouden met genderrechten, queerrechten en abortusbewegingen zijn door Meta geblokkeerd?

In dergelijk detail heb ik daar geen zicht op. De Europese Commissie houdt een database bij waarin onder meer zeer grote online platforms inzicht geven in de moderatie die zij verrichten. Wanneer een online platform besluit om accounts te schorsen of content te verwijderen, moet het platform het besluit en de specifieke motivering hiervoor indienen voor opname in de database.3

Vraag 4

Ziet u een groeiende trend in het aantal gebruikers die zich inzetten voor politieke doelen dat beperkingen opgelegd krijgt door Meta?

Daar heb ik op dit moment geen zicht op. Het onderzoek van Repro Uncensored stelt dat sprake is van een toename aan dergelijke beperkingen in 2025 ten opzichte van 2024. De DSA verplicht online platforms tot transparantie over hun moderatiepraktijken en de toezichthouders controleren hierop.

Vraag 5

Hoe reageert u op de bewering van Meta dat hier sprake is van een technische fout? Op welke manier kunt u vaststellen dat er daadwerkelijk sprake is van een fout in de (geautomatiseerde) contentmoderatie van Meta?

In het kader van zorgvuldigheid uit ik nog geen oordeel. Het namelijk niet aan mij om vast te stellen of er daadwerkelijk sprake is van fouten in de moderatiepraktijken van online platforms, maar aan de toezichthouder. Wel worden signalen als deze benoemd tijdens het structurele contact dat ik heb met de toezichthouder.

Vraag 6

Deelt u de analyse van burgerrechtenorganisatie Repro Uncensored dat Meta het specifiek gericht heeft op queer en LHBTI-accounts en accounts beheerd door sekswerkers? Zo nee, waarom niet? Zo ja, welke stappen bent u bereid om te nemen op basis van de bevindingen?

Het is niet passend als ik me daarover uitlaat, dat is aan de toezichthouder. In algemene zin vind ik het belangrijk dat de online publieke ruimte inclusief moet zijn en dat het niet zo kan zijn dat accounts op basis van specifieke gronden onevenredig worden geblokkeerd of gecensureerd.
Online platforms mogen hun eigen algemene voorwaarden vormgeven, maar moeten die zorgvuldig, evenredig en objectief handhaven (artikel 14, DSA). Er is in Nederland en de EU geen ruimte voor ongelijke behandeling in gelijke gevallen en het overtreden van nationale en Europese wetgeving door een platform en het is aan de Europese Commissie om te handhaven. Daarbij vertrouw ik de Europese Commissie in het uitoefenen van haar toezichthoudende taak op de naleving van de DSA en diens kaders ter beperking van systeemrisico’s als online haat en discriminatie. Als er sprake blijkt van systeemrisico’s op een online platform als online haat tegen gemarginaliseerde groepen, biedt de DSA ook middelen om dit te sanctioneren.
Zoals afgelopen zomer werd aangekondigd in het Plan van aanpak tegen online discriminatie, treft het kabinet zelf ook maatregelen om de prevalentie van online discriminatie zichtbaar te maken en voor Nederlandse burgers om hun digitale rechten te gebruiken. Ook maatregelen gericht op zogeheten awful but lawful content, dat schadelijk is maar niet-evident onrechtmatig.

Vraag 7

Is de manier waarop deze accounts verwijderd zijn, zonder uitleg en bezwaarmogelijkheden, in strijd met artikel 17 van de Europese Digital Services Act, dat stelt dat «opgelegde beperkingen» voorzien moeten zijn van «een duidelijke en specifieke motivering»?

Als er inderdaad sprake is van opgelegde beperkingen zonder een duidelijke en specifieke motivering, dan kan er sprake zijn van een overtreding van de DSA. Indien dit geen geïsoleerd incident is maar onderdeel van een patroon, kan de bevoegde toezichthouder dit nader onderzoeken en desnoods handhavend optreden.
De DSA verplicht ook tot het bieden van een bezwaarmogelijkheid voor gebruikers. De getroffen gebruikers kunnen dit geschil daarnaast voorleggen aan één van de buitengerechtelijke geschilbeslechtingscommissies voor een onafhankelijke beoordeling.4 Indien zij in het gelijk worden gesteld dan kan dat leiden tot een besluit dat Meta hun account(s) moet herstellen. Tot slot kunnen de getroffen gebruikers een civielrechtelijke zaak tegen Meta starten. Er is inmiddels al een aantal voorbeelden waarbij Nederlandse organisaties en personen platforms voor de rechter hebben gedaagd wegens overtreding van de DSA, en dat hebben gewonnen.

Vraag 8

Welke gevolgen heeft het voor Meta als blijkt dat zij zich niet aan de Digital Services Act heeft gehouden? Hoe ziet u erop toe dat dit wordt gehandhaafd?

De Europese Commissie kan als toezichthouder dwangsommen van de gemiddelde dagomzet en geldboetes opleggen ter hoogte van 6% van de wereldwijde omzet van een VLOP. Daarnaast kunnen personen en organisaties via de civiele rechter online platforms dagen voor overtredingen van de DSA, of gebruik maken van de mogelijkheden om de zaak voor te leggen aan een onafhankelijke geschilbeslechtingscommissie. Zoals hiervoor toegelicht zijn daar reeds succesvolle voorbeelden van bekend.

Vraag 9

Deelt u de mening van de indieners dat onafhankelijk onderzocht moet worden of hier sprake is van discriminatoir handelen?

Dat is niet aan mij. Het is zaak dat de bevoegde toezichthouders onafhankelijk kunnen opereren. Ik vind het niet passend dat ik me uitlaat over de noodzaak om de ene of een andere zaak al dan niet te onderzoeken.
In algemene zin ben ik voorstander van een transparante online publieke ruimte en vind ik het belangrijk dat de mogelijkheid bestaat om onafhankelijk onderzoek te doen met gebruik van openbare data van online platformen. Artikel 40 van de DSA biedt mogelijkheden daartoe. Wanneer een online platform deze toegang verhindert, kan de Europese Commissie daar een procedure tegen starten.

Vraag 10

Deelt u de mening dat het blokkeren van accounts op sociale media platforms op grond van ideologische of politieke voorkeuren indruist tegen Europese wetgeving? Zo nee, waarom niet?

Platforms mogen volgens de DSA hun eigen algemene voorwaarden bepalen, maar moeten bij het opstellen en toepassen daarvan gepaste aandacht hebben voor de rechten en legitieme belangen van alle betrokkenen. Waaronder de grondrechten van de afnemers van de dienst, zoals de vrijheid van meningsuiting, de vrijheid en de pluriformiteit van de media en andere fundamentele rechten en vrijheden zoals in het Handvest verankerd. Een oordeel of er in dit geval sprake is van een eventuele overtreding hiervan is aan de bevoegde toezichthouder, en uiteindelijk aan de (bestuurs)rechter, of in een privaatrechtelijke procedure aan de civiele rechter.

Vraag 11

Bent u van mening dat het uw verantwoordelijkheid is om burgers te beschermen tegen online discriminatie of onrechtmatig handelen van grote mediaplatformen zoals Meta? Bent u bereid om met Meta hierover in gesprek te gaan?

Ja. Samen met de Minister van Binnenlandse Zaken en Koninkrijksrelaties zet ik stappen om alle vormen van discriminatie en onrechtmatige behandeling door grote mediaplatformen aan te pakken. De maatregelen hiertoe liggen besloten in het Plan van aanpak tegen online discriminatie. Het contact tussen ons ministerie en de internetsector is structureel van aard, thema’s als non-discriminatie, veiligheid en inclusiviteit vormen (naast andere publieke waarden) de kern van dit contact.

Vraag 12

Bent u bereid om op basis van Europese en Nederlandse wetgeving op te treden en sancties op te leggen aan Meta als onderzoek uitwijst dat er tegen de wet wordt gehandeld?

De Europese Commissie is in eerste instantie de aangewezen partij om handhavend op te treden tegen overtredingen van de DSA door VLOP’s zoals Meta. Ik ondersteun de Europese Commissie waar mogelijk in diens rol als toezichthouder op de naleving van de DSA.

Vraag 13

Bent u bereid om bij de Europese Commissie aan te dringen op een onderzoek naar deze gevallen? Zo nee, waarom niet?

Het contact tussen de Europese Commissie en mijn ministerie (en andere relevante ministeries) is structureel van aard. Ik zie het als mijn taak om de Europese Commissie waar mogelijk te ondersteunen bij haar taakuitoefening als toezichthouder op de naleving van de DSA. Daar hoort ook het doorgeven van signalen zoals in deze berichtgeving bij. Daarbij vertrouw ik de Europese Commissie bij het uitoefenen van haar rol, dus voor aandringen zie ik geen noodzaak. Dat zou ook niet passend zijn omdat het de onafhankelijkheid van de Europese Commissie in het geding brengt.
Wel begrijp ik uw verlangen naar ad hoc en daadkrachtig ingrijpen bij waargenomen incidenten. De DSA is ontworpen om de grondrechten van mensen in de online wereld te bestendigen en ik vind het belangrijk binnen de kaders van de wet te blijven handelen. De DSA is een relatief nieuwe wet en het vereist tijd om inzicht te krijgen of de geboden kaders en maatregelen werken zoals bedoeld. In 2027 evalueert de Europese Commissie de wet en wordt deze evaluatie voorgelegd aan het Europees Parlement, de Raad en het Europees Economisch en Sociaal Comité. Tijdens deze evaluatie is er ook de mogelijkheid om namens Nederland input te geven.

Vraag 14

Kunt u deze vragen een voor een beantwoorden?

Ja.

Vraag 1

Bent u bekend met de berichten «Regels voor nieuwe e-tol niet voor iedereen duidelijk: 200.000 boetes» (NOS, 19 oktober 2025)1 en «Betaalherinnering voor e-tolweg A24 kost je vanaf nu geld» (NU.nl, 7 december 2025)2?

Ja.

Vraag 2

Wat is uw reactie op deze berichten? Ontvangt u ook signalen over de digitale toegankelijkheid van de e-tolweg, en zo ja, wat is daarvan de strekking?

De tolheffing op de A24 is voor het merendeel van de gebruikers duidelijk; echter nog niet voor iedereen. Dat is ook in lijn met de verwachtingen vooraf: een nieuw systeem vergt gewenning van gebruikers. De inzet is erop gericht dat steeds meer gebruikers de tol tijdig betalen, zodat het aantal betalingsherinneringen en boetes afneemt. Hierin is ook een duidelijke positieve trend waarneembaar. In de eerste helft van 2025 werd ca. 80% van de tolritten op tijd betaald. Begin december was dit gestegen tot ca. 90%. Dit resulteert in een daling van het aantal verstuurde betalingsherinneringen en boetes. Naar verwachting zet deze dalende trend de komende maanden verder door.
Er zijn signalen bekend over de digitale toegankelijkheid van het systeem. Zo heeft de Nationale ombudsman aangegeven dat het tolsysteem onnodige lasten legt bij burgers, en mensen uitsluit die niet digitaal vaardig zijn. Bij het klantcontactcentrum van e-TOL betreft het merendeel van de vragen algemene vragen over tolheffing, de wijze van betalen of vragen naar aanleiding van betalingsherinneringen of boetes. Er zijn slechts enkele meldingen binnengekomen die specifiek betrekking hebben op de digitale toegankelijkheid. Dit betrof personen die niet in staat waren om digitaal te betalen. In dergelijke gevallen wordt ondersteuning geboden om aan de verplichtingen te voldoen.
Het feit dat digitale toegankelijkheid in het klantcontact niet specifiek naar voren komt neemt niet weg dat het systeem ingewikkeld kan zijn voor mensen die minder digitaal vaardig zijn. Er is daarom ingezet op goede communicatie (ook via niet-digitale middelen zoals verkeersborden en kranten), goede ondersteuning en coulance bij de handhaving. Zie verder het antwoord op vraag 10.

Vraag 3

Bent u het met de indieners eens dat meer dan 200.000 uitgedeelde boetes wijst op een structurele tekortkoming in de voorlichting over de e-tolheffing?

Nee, deze stelling wordt niet gedeeld. De A24 is de eerste weg in Nederland met een elektronisch tolsysteem. Een nieuw systeem vergt gewenning van gebruikers. Dit is ook gebleken bij vergelijkbare elektronische tolwegen in het buitenland. Zoals toegelicht in het antwoord op vraag 2 werd begin december al 90% van de tolritten tijdig betaald en is het de verwachting dat dit percentage verder toeneemt. Hiermee neemt het aantal betalingsherinneringen en boetes af.

Vraag 4

Klopt het dat één op de vijf automobilisten die via de e-tolweg reizen de tol niet op tijd betalen? Is deze verhouding in lijn met wat u vooraf had verwacht?

Ten tijde van de berichtgeving van de NOS (19 oktober jl.) werd inderdaad ca. één op de vijf tolritten niet tijdig betaald. Ca. 80% van de tolritten werd daarmee wel tijdig betaald. Dat is in lijn met de inschattingen die voor het jaar 2025 in de ontwerpbegroting van het Mobiliteitsfonds 20263 zijn opgenomen. Zoals toegelicht in het antwoord op vraag 2 werd begin december al 90% van de tolritten tijdig betaald en is het de verwachting dat dit percentage verder toeneemt. Hiermee neemt het aantal betalingsherinneringen en boetes af.

Vraag 5

Is in de geplande periode van 25 jaar waarin tol zal worden geheven rekening gehouden met deze hoge inkomsten uit boetes en aanmaningen? Zo ja, waarom? Zo nee, wat betekent dit voor de duur van die periode?

In de ramingen in de begroting is rekening gehouden met inkomsten uit betalingsherinneringen en boetes. Dit omdat in artikel 11 van de Wet tijdelijke tolheffing Blankenburgverbinding en ViA15 (Wet TTH) is vastgelegd dat de netto-opbrengsten uit tolheffing, betalingsherinneringen en boetes volledig ten goede komen aan de aflossing van de tolopgave. Met de tolheffing op de A24 wordt een financieringsbehoefte gedekt van € 405 miljoen (bedrag in contante waarde en in prijspeil 2025). De tolheffing wordt beëindigd als deze tolopgave, plus de in- en uitvoeringskosten van tolheffing, is voldaan.
De duur van de tolheffing hangt af van het aantal gebruikers van de A24, het betaalgedrag van deze gebruikers en de uitvoeringskosten van tolheffing. Deze factoren zijn momenteel nog sterk in ontwikkeling, waardoor de precieze duur van de tolheffing nu nog onduidelijk is. De ramingen in de begroting over betalingsherinneringen en boetes betreffen slechts indicatieve inschattingen. Er wordt niet gestuurd op het realiseren van de geraamde inkomsten: er wordt gestuurd op naleving van de tolplicht.

Vraag 6

Kunt u verklaren waarom maar liefst één op de vijf automobilisten de e-tol niet (kunnen) betalen? In hoeverre is dit een gevolg van problemen met de digitale toegankelijkheid?

Er zijn verschillende redenen waarom gebruikers de tol niet tijdig betalen. Zo zijn er gebruikers die de verkeersborden over het hoofd zien, het systeem (nog) niet helemaal begrijpen of simpelweg vergeten te betalen. Ook zijn er gebruikers die de herinneringsbrief (ten onrechte) als een factuur hebben beschouwd. Er zijn geen indicaties dat specifiek de digitale toegankelijkheid een verklaring is voor het feit dat de tolheffing niet tijdig wordt betaald. Zie verder het antwoord op vraag 2.

Vraag 7

Heeft u inzicht in de achtergrond van de mensen die beboet worden? Zo ja, raakt dit disproportioneel doelgroepen in een kwetsbare sociaaleconomische positie?

Bij de handhaving van de tolheffing worden geen gegevens verwerkt over de achtergrond of sociaaleconomische positie van personen. Conform de Wet TTH worden alleen gegevens verwerkt die nodig zijn om een betalingsherinnering of boete te kunnen versturen. Het gaat dan onder meer om de naam, het adres en de woonplaats van de houder van het voertuig waarvoor niet tijdig tol is betaald.
Wel komt de achtergrond of sociaaleconomische positie van personen soms aan de orde in het klantcontact dat plaatsvindt. Het komt voor dat iemand meerdere boetes van soms verschillende overheidsorganisaties heeft ontvangen en deze niet allemaal (tegelijkertijd) kan betalen. Waar mogelijk wordt in dit soort gevallen maatwerk toegepast. De tolheffing is om deze reden aangesloten op de Betalingsregeling Rijk4, waarmee het CJIB als Rijksincasso-organisatie namens de aangesloten overheidsorganisaties tot een betalingsregeling kan komen die rekening houdt met de afloscapaciteit van de betrokkene.

Vraag 8

Heeft u zicht op het aantal automobilisten dat herhaaldelijk de boete niet heeft (kunnen) betalen? Kunt u een beeld schetsen van hoeveel automobilisten door het niet (kunnen) betalen van de boetes een aanzienlijk bedrag verschuldigd is?

Er is recent een analyse uitgevoerd naar gebruikers die meerdere boetes hebben ontvangen en hun betaalgedrag. Hieruit blijkt dat er na één jaar tolheffing 3.466 personen of bedrijven zijn die 10 of meer tolboetes hebben ontvangen. In 1.730 van deze gevallen is nog geen enkele boete betaald. Conform het beleid dat handhaving op maatschappelijk verantwoorde wijze plaatsvindt, wordt getracht in contact te komen met gebruikers met meerdere openstaande herinneringen of boetes. Doel hiervan is ondersteuning bieden bij het betalen en voorkomen dat personen in de problemen komen. De handhaving kan daarbij tijdelijk worden gepauzeerd. Ook wordt in bepaalde gevallen coulant opgetreden.

Vraag 9

Erkent u dat, door de tolheffing uitsluitend digitaal te doen, er een verhoogd risico is dat de ongeveer 2,5 miljoen mensen3 die moeite hebben met digitale dienstverlening disproportioneel beboet worden?

Nee, dit wordt niet erkend. Zoals aangegeven in het antwoord op vraag 2 kan het systeem ingewikkeld zijn voor mensen die minder digitaal vaardig zijn. Er is daarom ingezet op goede communicatie (ook via niet-digitale middelen zoals verkeersborden en kranten), goede ondersteuning en coulance bij de handhaving. Hiermee wordt zoveel mogelijk voorkomen dat mensen die minder digitaal vaardig zijn nadeel ondervinden of disproportioneel worden beboet. Zie verder het antwoord op vraag 10.

Vraag 10

Welke maatregelen heeft u genomen om automobilisten in een kwetsbare sociaaleconomische positie of met weinig digitale vaardigheden in staat te stellen om tijdig en gemakkelijk de tol te betalen?

De tol kan op twee manieren worden betaald: door aan te melden voor automatisch betalen of door per rit te betalen op e-tol.nl. Gebruikers hebben een vrije keuze hoe ze willen betalen, maar geadviseerd wordt om automatisch te betalen. Daarmee worden immers herinneringen en boetes voorkomen. Het aanmelden voor automatisch betalen is zo makkelijk mogelijk gemaakt en wordt ook in de communicatie benadrukt.
Gebruikers die vragen hebben over de tolheffing of ondersteuning nodig hebben bij het verrichten van betalingen of het aanmelden voor automatisch betalen, kunnen terecht bij het klantcontactcentrum. Dat geldt uiteraard ook voor personen in een kwetsbare sociaaleconomische positie of met weinig digitale vaardigheden. Ook met ondersteuning van het klantcontactcentrum is het verrichten van betaalhandelingen niet voor iedereen mogelijk. In het klantcontact wordt in dergelijke gevallen aangeraden om hulp te vragen aan familie, vrienden of buren. Ook kunnen mensen terecht bij een Informatiepunt Digitale Overheid (IDO). IDO’s zijn vaak gevestigd in bibliotheken en bieden hulp en ondersteuning bij digitale overheidsdiensten. Alle IDO’s hebben van RDW informatie ontvangen over de tolheffing. Medewerkers van IDO’s in de omgeving van de A24 hebben daarnaast een aanvullende training gekregen.

Vraag 11

Waarom heeft u besloten om ook de betalingsherinnering geld te laten kosten als een automobilist niet binnen 72 uur digitaal tol betaalt? Is dit niet een impliciete vorm van dwang om mensen te bewegen tot automatische betalingen?

Reeds bij de parlementaire behandeling van de Wet TTH in 2015 was bekend dat alleen in het eerste jaar van de tolheffing geen vergoeding voor de betalingsherinnering in rekening zou worden gebracht. Dit om gebruikers te laten wennen aan het tolsysteem. Op 7 december jl. is het eerste jaar tolheffing geëindigd en is gestart met het in rekening brengen van de vergoeding van € 9 bij een betalingsherinnering. Dit bedrag is bedoeld om de kosten te dekken die worden gemaakt met het versturen van een betalingsherinnering en de verdere afhandeling daarvan. Het is niet bedoeld als (impliciet) dwangmiddel om mensen te bewegen tot automatische betalingen. Wel wordt verwacht dat deze maatregel als bijeffect heeft dat het aantal tijdige betalingen toeneemt. Dit mede omdat sommige weggebruikers de herinneringsbrief tot aan 7 december jl. (ten onrechte) als een factuur beschouwden.

Vraag 12

Op welke manier zijn ervaringsdeskundigen, laaggeletterden en kennisorganisaties voor digitale toegankelijkheid betrokken bij het inrichten van de e-tolheffing? Voldoet dit volledig aan de eisen voor digitale toegankelijkheid?

Bij het ontwerpen van het tolsysteem is aandacht geweest voor digitale toegankelijkheid. Zo zijn bijvoorbeeld zogeheten klantreizen opgesteld, waarbij potentiële gebruikers met verschillende achtergronden en kenmerken de processtappen van het tolheffingsproces hebben doorlopen (van het zien van een verkeersbord over tolheffing tot het ontvangen van een boete en de processtappen daartussenin). Deze klantreizen hebben waardevolle inzichten opgeleverd die zijn meegenomen om het systeem gebruiksvriendelijk te maken.
Ook bij de communicatie over tolheffing (in bijvoorbeeld brieven, de website e-tol.nl en campagnemateriaal) is aandacht voor toegankelijkheid. Bijvoorbeeld door het gebruik van begrijpelijke taal op taalniveau B1. Daarnaast geldt dat overheidswebsites (zoals de website e-tol.nl) moeten voldoen aan de toegankelijkheidseisen zoals beschreven in de Wet digitale overheid (Wdo). De website heeft status B6 en voldoet daarmee aan de wettelijke eisen. Het streven is de website verder te verbeteren naar status A.

Vraag 13

Welke mogelijkheden hebben mensen die de tol niet digitaal kunnen of willen betalen om alsnog hun betaling te doen? Zijn deze mogelijkheden voldoende helder en toegankelijk?

De betaling van de tol is alleen digitaal mogelijk, door te betalen via de website e-tol.nl (met iDEAL of creditcard) of door aan te melden voor automatisch betalen. Bij automatisch betalen zijn er, afhankelijk van de gekozen aanbieder, opties om te betalen per factuur, creditcard, automatische incasso of door een saldo op het account te storten (prepaid). Informatie over betaalmogelijkheden is beschikbaar op de website e-tol.nl en kan ook worden opgevraagd bij het klantcontactcentrum.

Vraag 14

Welke kosten-batenanalyse ligt ten grondslag aan de keuze voor e-tolheffing? Welke alternatieven zijn onderzocht, zoals een ouderwets tolhuisje?

In de memorie van toelichting bij de Wet TTH7 is uitgebreid ingegaan op de afweging om bij de A24/Blankenburgverbinding en de toekomstige ViA15 te kiezen voor een free flow-tolsysteem en niet voor een «klassiek» systeem met een tolplein met slagbomen. Aspecten die een rol hebben gespeeld in de afweging zijn gebruikersgemak, doorstroming, verkeersveiligheid, betaalmogelijkheden en handhaving. Bij de A24 bleek een tolplein met slagbomen fysiek onmogelijk inpasbaar in het wegontwerp en zou het daarnaast leiden tot filevorming en reistijdverlies. Dit terwijl de A24 bedoeld is om de doorstroming in de regio Rijnmond te verbeteren.

Vraag 15

Bent u het met de indieners eens dat, gezien de nieuwigheid van de e-tol en het risico dat vooral mensen met weinig digitale vaardigheden worden beboet, terughoudendheid en ruimhartigheid moet worden betracht bij de tolheffing?

Een nieuw systeem vergt gewenning van gebruikers. Zoals toegelicht in het antwoord op vraag 9 en 10 is daarom ingezet op goede communicatie over de tolheffing, goede ondersteuning aan gebruikers en op coulance bij de handhaving. Ook zijn in het eerste jaar van de tolheffing gratis betalingsherinneringen gestuurd aan gebruikers die de tol niet tijdig hebben betaald.

Vraag 16

Bent u bereid om, vanwege de zorgen rondom de digitale toegankelijkheid van de e-tolheffing, de periode waarin geen administratiekosten worden gerekend te verlengen?

Nee, dit is niet wenselijk. Zoals toegelicht in het antwoord op vraag 2 zijn er bij het klantcontactcentrum slechts enkele meldingen binnengekomen die specifiek betrekking hebben op de digitale toegankelijkheid van het systeem. Conform de Wet TTH is in het eerste jaar van de tolheffing geen vergoeding voor de betalingsherinnering in rekening gebracht en wordt dat sinds 7 december jl. wel gedaan. Die vergoeding is nodig omdat voor het versturen en afhandelen van betalingsherinneringen substantiële uitvoeringskosten worden gemaakt. Daarnaast is een gratis betalingsherinnering niet rechtvaardig ten opzichte van gebruikers die wel op tijd tol betalen, omdat zij indirect meebetalen aan de kosten hiervan.

Vraag 17

Kunt u deze vragen zo spoedig mogelijk en afzonderlijk van elkaar beantwoorden?

Ja.

Vraag 1

Heeft u kennisgenomen van het bericht «VS dreigen met wraak om EU-acties tegen Amerikaanse techbedrijven»?1

Ja.

Vraag 2

Wat is uw reactie op de aankondiging dat de Verenigde Staten tegenmaatregelen wil nemen tegen de zogenaamde «discriminatie» van Amerikaanse techbedrijven in de Europese Unie?

Europese digitale wetgeving geldt voor alle bedrijven die actief zijn in de EU, ongeacht hun vestigingsplaats. Van ongelijke behandeling van Amerikaanse bedrijven is dus geen sprake. Mogelijke tegenmaatregelen vanwege vermeende ongelijke behandeling, inclusief mogelijke maatregelen gericht op Europese techbedrijven, ziet dit kabinet als onterecht.

Vraag 3

Is deze aankondiging, naast in een publieke tweet op X, ook formeel overgebracht aan de Europese Commissie of aan afzonderlijke lidstaten? Zo ja, wanneer werd u hiervan op de hoogte gesteld?

Voor zover bekend is de aankondiging om tegenmaatregelen te nemen tegen Europese techbedrijven, naast het bericht van de United States Trade Representative (USTR) op X, niet formeel overgebracht aan de Europese Commissie of aan afzonderlijke lidstaten.

Vraag 4

Heeft u contact gehad met de bedrijven die in de tweet van de vertegenwoordiger van de Verenigde Staten worden genoemd? Wat is uw boodschap richting deze Nederlandse en Europese bedrijven?

In zijn algemeenheid heeft het kabinet geregeld contact met Nederlandse en Europese bedrijven. Onze boodschap is dat het kabinet blijft staan achter de Europese digitale regels die zorgen voor een veilige, eerlijke en gelijkwaardige concurrentie tussen bedrijven en de handhaving daarvan. De EU stelt zelf de regels op voor diensten die in de Unie worden aangeboden en handhaaft deze regels ook. Eventuele tegenacties tegen Nederlandse en Europese bedrijven zal het kabinet volgen en uiteraard zal het kabinet daarbij in gezamenlijkheid met de Europese Commissie en lidstaten opkomen voor hun belangen.

Vraag 5

Deelt u de opvatting van de indieners dat de waarschuwing van de Verenigde Staten past in een bredere strategie om de Europese Unie onder druk te zetten om digitale wet- en regelgeving af te zwakken?

De positie van de VS ten aanzien van Europese digitale wet- en regelgeving is bij ons bekend. Het is daarom van belang om actief in gesprek te blijven met de VS en Amerikaanse techbedrijven over het belang (van naleving) van digitale wet- en regelgeving voor zover het de diensten betreft die in Unie worden geleverd, en om te proberen om zorgen over vermeende ongelijke behandeling van Amerikaanse techbedrijven weg te nemen.

Vraag 6

Hoe geeft u, in het licht van de druk uit de Verenigde Staten, uitvoering aan de motie-Kathmann die verzoekt om ondubbelzinnig aan te dringen op de maximale naleving, handhaving en versteviging van regelgeving van grote onlineplatforms?2

Het kabinet zet zich binnen de EU actief in om de Commissie te ondersteunen in het daadkrachtig optreden in haar rol als toezichthouder voor zeer grote onlineplatforms en zeer grote onlinezoekmachines. Tevens heeft Nederland begin vorig jaar met tien andere lidstaten een brief gestuurd aan de Commissie waarin wordt gevraagd volledig gebruik te maken van de handhavingscapaciteiten van de Digital Services Act (DSA). Er is ook gesproken met Eurocommissaris Virkkunen, die verantwoordelijk is voor de uitvoering van de DSA en de Digital Markets Act (DMA). Tijdens dit gesprek is, in lijn met de motie Kathmann, aandacht gevraagd voor het belang van naleving van, en handhaving op de zeer grote onlineplatforms en de zeer grote onlinezoekmachines, ongeacht waar ze vandaan komen. Inmiddels heeft de Commissie ook daadwerkelijk handhavingsbesluiten genomen wegens overtredingen van de DMA respectievelijk de DSA. Op nationaal niveau geldt dat dat de bevoegde toezichthouders, de Autoriteit Consument en Markt (ACM) en de Autoriteit Persoonsgegevens (AP), hun taken onafhankelijk uitvoeren. Wel blijft het kabinet in gesprek met zowel de Europese Commissie als de nationale toezichthouders, volgt het kabinet hun werkzaamheden, en biedt het kabinet waar mogelijk en nodig ondersteuning.

Vraag 7

Hoe geeft u tevens uitvoering aan de motie-Kathmann/Dassen die verzoekt om aanvullende Nederlandse voorwaarden te stellen in de onderhandelingen over de Digitale Omnibus?3 Hoe voorkomt u dat de druk van de Verenigde Staten leidt tot aanvullende afzwakkingen van wet- en regelgeving in de Digitale Omnibus?

De EU gaat over haar eigen wet- en regelgeving. In het kader van de simplificatie-agenda werkt de EU aan het verminderen van onnodige regelgeving. Dit doet het kabinet waar mogelijk en nodig om de Europese concurrentiepositie te versterken, niet om concessies te doen aan derde landen. De Kamer is middels een BNC-fiche geïnformeerd over de positie van het kabinet ten aanzien van de digitale omnibus.4

Vraag 8

Bent u bereid om, samen met andere EU-lidstaten, erop aan te dringen dat digitale wet- en regelgeving onder geen enkele voorwaarde wordt afgezwakt of vertraagd naar aanleiding van druk uit de Verenigde Staten?

Zie antwoord op vraag 7. Daarbij vindt het kabinet dat aanpassing van regelgeving onder druk van derde landen niet moet gebeuren. Aanpassing van regelgeving is gerechtvaardigd wanneer regelgeving ook bedrijven onnodig of disproportioneel in de weg kan zitten, wat zeer noodzakelijke investeringen in de EU en daarmee samenhangende economische groei kan belemmeren.

Vraag 9

Komt er een officiële en eenduidige Europese reactie op dit dreigement van de Verenigde Staten? Zo ja, wanneer wordt deze geformuleerd?

Een officiële gezamenlijke Europese reactie op de aankondiging op X om tegenmaatregelen te nemen gericht op Europese techbedrijven is (vooralsnog) niet voorzien. Wel heeft de Europese Commissie op 24 december 2025 een publiek statement gepubliceerd, waarin zij de visa-restricties afkeurt die de VS heeft opgelegd aan een vijftal Europeanen vanwege beschuldigingen van censuur, waaronder voormalig Eurocommissaris Thierry Breton.5 Ook dit kabinet en andere individuele Europese leiders, hebben hun zorgen uitgesproken en de actie veroordeeld.

Vraag 10

Kunt u deze vragen afzonderlijk van elkaar en zo spoedig mogelijk beantwoorden?

Ja.

Vraag 1

Bent u nog steeds van mening dat de overstap van de Belastingdienst naar Microsoft1 slechts is voorzien van «een zeer magere onderbouwing»?2

In de afgelopen periode is er intensief overleg geweest tussen de Belastingdienst, CIO Rijk en het Ministerie van Binnenlandse Zaken. Hieruit is naar voren gekomen dat er, gezien de (technische) keuzes van de Belastingdienst in het verleden, op korte termijn geen alternatief is voor de overgang naar Microsoft 365 (M365), anders dan gebruik blijven maken van de huidige verouderde werkomgeving.
De Belastingdienst heeft aangegeven dat ze sindsdien opnieuw onderzocht hebben of er nu wel Europese alternatieven zijn. Uit verkennende gesprekken blijkt dat er op dit moment nog geen volledig geïntegreerd Europees alternatief is voor M365.

Vraag 2

Staat u nog steeds achter uw stelling dat de Belastingdienst niet heeft onderbouwd dat er geen Europese alternatieven voor Microsoft zouden zijn?

Zie antwoord vraag 1.

Vraag 3

Voldoet de onderbouwing voor de overstap van de Belastingdienst aan het geldende cloudbeleid?3 Kunt u hard maken dat tijdig aan alle eisen is voldaan?

Ja, de overstap voor de kantoorautomatisering van de Belastingdienst naar M365 voldoet aan het rijksbrede cloudbeleid (2022) en het daaruit volgende cloudbeleid van het Ministerie van Financiën. Dat geldt zowel voor het besluit uit 2021 als de verkenning naar mogelijke alternatieven (terwijl de werkplek zelf al was uitgerond) in 2025. Zo heeft de Belastingdienst een cloudtoets gedaan. Er zijn een risicoanalyse en exitstrategie opgesteld. Deze zijn vertrouwelijk aan uw Kamer aangeboden. Verder is er een DPIA opgesteld en heeft de Belastingdienst voor de definitieve besluitvorming afstemming gezocht met de CIO Rijk.

Vraag 4

Heeft de Belastingdienst, door zich in 2021 te committeren aan de overstap naar Microsoft, het onmogelijk gemaakt om alsnog af te wijken van dit besluit en tijdig een Europees alternatief te implementeren?

De Belastingdienst is in 2021 gestart met het traject om de werkplekken te vervangen en moderniseren. Hierdoor zijn de mogelijkheden om over te stappen op een alternatief beperkt. De nieuwe uitgerolde werkplek, in de vorm van laptops, is namelijk ingericht op het gebruik van M365. In het geval dat er wel een geschikt Europees alternatief zou zijn, moet er een geheel nieuwe werkomgeving worden ontworpen en geïmplementeerd. De doorlooptijd hiervan is aanzienlijk en is afhankelijk van de te configureren oplossing. De verwachting is dat dit in ieder geval enkele jaren zal kosten.

Vraag 5

Deelt u de mening dat, gezien (geo)politieke ontwikkelingen en de duidelijke wens van de Kamer om de digitale autonomie van Nederland te bevorderen, de overstap van de Belastingdienst naar Microsoft alsnog heroverwogen dient te worden?

De Belastingdienst heeft bij de aanvang van het traject in 2021 gekozen voor de implementatie van M365 bij het inrichten van de werkplekken en het vervangen en moderniseren van de werkomgeving. De (geo)politieke situatie was destijds anders dan nu en het beperken van de afhankelijkheid van niet-Europese partijen speelde toen een beperktere rol in de afwegingen.
In 2025 heeft de Belastingdienst gekeken of er nog mogelijkheden bestonden om af te wijken van het pad dat in 2021 is ingeslagen en zijn er mogelijke alternatieve oplossingen bekeken. Zoals uitgelegd in de technische briefing van 4 februari jl. over dit onderwerp heeft dit heeft niet tot een andere uitkomst geleid.

Vraag 6

Bent u op de hoogte van het rapport van de Cyber Safety Review Board uit 2024 over de beveiliging van Microsoft, waaruit blijkt dat het bedrijf de cyberveiligheid structureel niet op orde heeft?4, 5 Hoe beoordeelt u het argument dat Microsoft de beste beveiliging biedt in het licht van de conclusies uit dit rapport?

Ja, ik ben op de hoogte van het genoemde rapport. In reactie op het rapport heeft Microsoft onder de naam «Secure Future Initiative» (https://blogs.microsoft.com/on-the-issues/2024/06/13/microsofts-work-to-strengthen-cybersecurity-protection/) de verantwoordelijkheid voor de incidenten geaccepteerd en actie ondernomen om zowel de producten en diensten als de operatie van Microsoft 365 te verbeteren.

Vraag 7

Bent u bereid om, in samenwerking met de Belastingdienst, duidelijk te maken welke aanvullende middelen, expertise of capaciteit nodig zijn om alsnog af te zien van de overstap naar Microsoft en zo snel mogelijk een Europees alternatief te realiseren?

Volgens de Belastingdienst is er op dit moment geen geïntegreerd Europees alternatief, met een vergelijkbaar niveau als M365, beschikbaar. Zelfs als dit alternatief er zou zijn kost het de Belastingdienst, afhankelijk van de te configureren oplossing, enkele jaren om dit te implementeren. Dit betekent dat er in de tussentijd wordt doorgewerkt op een nieuwe werkplek waarbij rekening is gehouden met de implementatie van M365. Daardoor worden medewerkers geconfronteerd met workarounds en productiviteitsverlies.
Vragen over toekomstige keuzes laat ik aan mijn opvolger.

Vraag 8

Welke «workarounds» worden nu gebruikt door ambtenaren in hun digitale werkomgeving? Bent u bereid om te onderzoeken of deze belemmeringen weg te nemen zijn zonder de overstap naar Microsoft te maken?

De workarounds zijn ontstaan omdat medewerkers nu doorwerken in een verouderde omgeving vanaf nieuwe werkplekken die zijn ingericht op een M365-omgeving. De workarounds zijn (inefficiënte) manieren om vanaf deze nieuwe werkplekken met de beperkingen van de huidige werkomgeving om te gaan. Deze workarounds zijn vrij technisch van aard. Een voorbeeld is dat bepaalde bestanden niet worden ondersteund door de uitgerolde Digitale Brug Overheid (DBO)-werkplek. Medewerkers zijn nu genoodzaakt deze bestanden naar een postbus op te sturen zodat het handmatig in het gewenste bestandsformaat kan worden omgezet en teruggestuurd. Een ander voorbeeld is dat bepaalde applicaties die deurwaarders nodig hebben op de DBO-werkplek alleen te gebruiken zijn vanuit de fysieke kantooromgeving. Met de implementatie van M365 worden dit soort problemen opgelost. Het wegnemen van deze workarounds zonder de overstap te maken naar M365 betekent dat de Belastingdienst alsnog gaat investeren in de huidige verouderde werkomgeving.

Vraag 9

Waarom zijn de CIO Rijk en de overige IT-dienstverleners van het Rijk «pas in een zeer laat stadium» betrokken in het proces van de Belastingdienst? Wanneer is dit gebeurd, en waarom pas op dat zeer late moment?6

Uw Kamer is reeds in het najaar van 2024 geïnformeerd over de overgang maar Microsoft 365 voor de werkplekken.7 Zoals ook aangegeven in mijn brief van 2 oktober jl. is dit voornemen ook door mijn ambtsvoorganger met u gedeeld in het Jaarplan Belastingdienst 2025. 8
In het afgelopen jaar is er contact geweest tussen de Belastingdienst, CIO Rijk en het Ministerie van Binnenlandse Zaken over de overstap. In de loop van 2025 heeft de Belastingdienst ook contact gezocht met SSC-ICT om een oriënterende verkenning te laten plaatsvinden naar de mogelijkheid om de functionaliteiten voor mail en agenda onder te brengen bij SSC-ICT. Daaruit is geconcludeerd dat dit geen optie is voor de korte- of middellange termijn.

Vraag 10

Deelt u de mening dat de Belastingdienst in 2021, door uit te gaan van Microsoft 365 en Windows 11 als «gouden standaard,» geen gedegen verkenning heeft gedaan van Europese alternatieven?

De keuze voor M365 is gemaakt in 2021. De (geo)politieke situatie was destijds anders dan nu, het versterken van de autonomie speelde destijds een beperkte rol in de afwegingen. Daarom werd destijds niet de noodzaak gevoeld voor een gedegen verkenning gedaan naar Europese alternatieven en heeft deze dus ook niet plaatsgevonden. De Belastingdienst heeft toen, net zoals veel andere overheidsorganisaties en private organisaties, de keuze gemaakt voor de standaard van Windows 11 en M365 en heeft deelgenomen aan de contractonderhandelingen met het Strategisch Leveranciersmanagement Microsoft voor de rijksoverheid (SLM Rijk).

Vraag 11

Deelt u de mening dat de scenario’s van de Belastingdienst, zoals die in de (beslis)nota van 28 juni 2025 zijn beschreven,7 onvolledig zijn omdat ze in de basis uitgaan van een werkomgeving die is ingericht voor Microsoft?

Het klopt dat de nota uitgaat van een werkomgeving die is ingericht voor Microsoft, omdat de uitgerolde werkplekken hiervoor zijn ingericht en is geschreven vanuit de uitgangspositie waarin de Belastingdienst zich destijds bevond. Elk (Europees) alternatief zou hier op moeten worden aangesloten. Daarmee is geen sprake van onvolledigheid, omdat iedere andere uitgangspositie een nieuw werkplekconcept behoeft.

Vraag 12

Wanneer heeft de Belastingdienst precies besloten om deze scenario’s uit te werken? Welke specifieke «(geo)politieke en maatschappelijke ontwikkelingen» gaven hier aanleiding toe?8

Na onder andere de door uw Kamer ingediende moties heeft de Belastingdienst in het voorjaar besloten om de andere scenario’s nader uit te werken.

Vraag 13

Acht u de keuze van de Belastingdienst om voor de werkomgeving over te stappen naar Microsoft inmiddels onafhankelijk en voldoende onderbouwd?

Ik verwijs u naar het antwoord op vraag 1 en 2.

Vraag 14

In het geval u de mening deelt van de indieners dat er geen degelijke onafhankelijke verkenning is uitgevoerd naar Europese alternatieven, kunt u er op toezien dat deze alsnog op korte termijn wordt uitgevoerd met als doel om een alternatieve Europese route voor de cloudmigratie van de Belastingdienst te schetsen?

Zoals aangegeven in de oplegbrief beperk ik mij tot het beantwoorden van de feitelijke vragen. Ik acht het passend de beantwoording van vragen die toezien op toekomstige keuzes aan mijn opvolger te laten.

Vraag 15

Waarop baseert de Belastingdienst de aanname dat de onderzochte scenario’s «naar verwachting binnen het aangepaste cloudbeleid passen dat momenteel door BZK wordt herzien»?9 Kunt u duidelijk uitleggen waar dit uit blijkt, aangezien dit beleid nog niet is vastgesteld en er sindsdien ook Kamermoties10 zijn aangenomen om de eisen voor soevereiniteit verder aan te scherpen?

Zie antwoord vraag 14.

Vraag 16

Kunt u per scenario, uitgewerkt door de Belastingdienst, een realistische schatting maken van de aanvullende kosten die hier bij gemoeid zouden zijn? Welk scenario acht u vanuit het soevereiniteitsbelang het meest geschikt?

Ik ga ervan uit dat u doelt op de scenario’s zoals opgenomen in de nota «Scenario’s overstap kantoorautomatisering naar cloud» van 27 juni 2025. In deze nota zijn de kosten per scenario op hoofdlijnen uitgedrukt. Een nadere uitwerking met als doel om tot een meer precies bedrag per scenario uit te werken zou niet hebben geleid tot een andere uitkomst en heeft daarom niet plaatsgevonden. Daarnaast zijn er ook niet-financiële knelpunten zoals doorlooptijden, stroomvoorziening en datacenter capaciteit. De beantwoording van het tweede deel van de vraag laat ik, zoals aangegeven in de oplegbrief, aan mijn opvolger.

Vraag 17

Wat bedoelt u met uw antwoord dat «de Belastingdienst de ontwikkelingen van Europese en soevereine alternatieven [volgt]» en «[actief] kijkt naar de mogelijkheden van soevereine en of Europese cloudoplossingen»? Zijn er afspraken gemaakt over wat dit concreet betekent en welke verwachtingen heeft u precies van de Belastingdienst?11, 12

Zoals aangegeven in de oplegbrief beperk ik mij tot het beantwoorden van de feitelijke vragen. Ik acht het passend de beantwoording van vragen die toezien op toekomstige keuzes aan mijn opvolger te laten.

Vraag 18

Waarom «volgt» de Belastingdienst enkel de ontwikkeling van een soeverein alternatief als MijnBureau, in plaats van dat zij dit met overtuiging afneemt? Ziet u mogelijkheden voor een schaalbare pilot binnen de Belastingdienst om een soeverein alternatief voor Microsoft op de werkvloer uit te proberen?

De Belastingdienst volgt het initiatief MijnBureau, omdat een (grootschalige) implementatie hiervan binnen de Belastingdienst op dit moment niet realistisch en uitvoerbaar is.
Een pilot van dit initiatief kan alleen plaatsvinden als het een voldoende hoog volwassenheidsniveau heeft bereikt en moet tegen die tijd gecontroleerd en zorgvuldig plaatsvinden. Dat neemt niet weg dat op termijn, zodra deze oplossing voldoende volwassen is, de Belastingdienst kan aansluiten bij een (rijksbrede) pilot van MijnBureau.
Daarnaast richt de Belastingdienst zich niet alleen op MijnBureau, maar wordt er ook actief onderzoek gedaan naar de ervaringen van andere Europese partijen die een overstap voorbereiden of dit al hebben gedaan. Hierbij wordt nauw opgetrokken met onder andere CIO Rijk.

Vraag 19

Deelt u de mening dat meer departementen en uitvoerders MijnBureau moeten afnemen om het project levensvatbaar te maken en waardevolle inzichten op te doen voor soevereine werkplekken?

Ja, in algemene zin deel ik deze mening. De levensvatbaarheid van een soeverein initiatief als MijnBureau is daarbij gebaat en dat kan leiden tot waardevolle inzichten. Het is wel belangrijk dat dit zorgvuldig en gecontroleerd plaatsvindt. Kleinschalig starten bij kleine overheidsorganisaties is daarbij belangrijk om zodoende op basis van ervaringen te werken aan de volwassenheid als voorbereiding op een eventuele grootschalige uitrol bij grote uitvoeringsorganisaties zoals de Belastingdienst. Daarnaast geldt dat de integratie van kantoorautomatisering in een uitvoeringsorganisatie complexer is dan bij een beleidsdepartement.

Vraag 20

Welke aanvullende afspraken zijn met Microsoft gemaakt om de risico’s in het voorkeursscenario van de Belastingdienst «zo beheersbaar mogelijk» te maken?13 Beaamt de CIO Rijk dat de risico’s zo veel als mogelijk zijn beheerst?

De aanvullende afspraken tussen de Belastingdienst en Microsoft zijn niet met CIO Rijk gedeeld, er kan daarom geen oordeel over worden geveld.

Vraag 21

Acht u het acceptabel dat het mailverkeer van de Belastingdienst, waarin fiscale informatie en informatie over «rulings» wordt gecommuniceerd, straks afhankelijk wordt van Microsoft?14

De Belastingdienst werkt continu aan het creëren van meer bewustzijn bij medewerkers om nog bewuster om te gaan met het versturen van gevoelige informatie. Daarvoor worden werkinstructies opgesteld om te voorkomen dat gevoelige informatie zoals rulings in de cloud kunnen belanden. Ook na de overstap naar M365 blijft het voor de medewerkers mogelijk om (gevoelige) informatie veilig on-premises op te slaan en onderling (en met een derde) te delen via het Belastingdienst-file-transfer. Dit is een applicatie voor medewerkers van de Belastingdienst waarmee zij (grote) bestanden kunnen delen.

Vraag 22

Acht u het acceptabel dat het mailverkeer van de Belastingdienst onder Amerikaanse surveillancewetgeving zoals de CLOUD Act, sectie 702 van de Foreign Intelligence Surveillance Act (FISA), en Executive Order 12333 komt te vallen? Hoe verhoudt dit zich tot de fiscale geheimhoudingsplicht?15

Ik ben niet naïef over de mogelijkheid dat de informatie waarover de Belastingdienst beschikt interessant kan zijn voor de Amerikaanse overheid. De Belastingdienst is zich bewust van de werking van de door u genoemde extraterritoriale Amerikaanse wetgeving. Dit risico is meegewogen in de risicoanalyse en waar mogelijk beperkt. Zoals ik ook heb aangegeven in antwoord op uw eerdere vragen betekent de overstap naar M365 een vergroting van de afhankelijkheid van de Verenigde Staten.18

Vraag 23

Deelt u de mening dat het rapport uit 2022 van GreenbergTraurig, waarin wordt gesteld dat het risico dat de VS gebruik maakt van de CLOUD Act klein is, achterhaald is door de geopolitieke ontwikkelingen nu ook de AIVD en de MIVD minder informatie met de Amerikanen delen?16

Ik erken dat de geopolitieke situatie ten opzichte van 2022 is veranderd, dat heeft een ander risicobeeld met zich meegebracht. De Belastingdienst heeft dit meegenomen in de opgestelde risicoanalyse en dit expliciet meegewogen. Deze risicoanalyse heb ik vertrouwelijk aan uw Kamer ter inzage aangeboden.

Vraag 24

Beschikt Microsoft in het geval er «double key encryption» wordt toegepast over een sleutel naar deze data? Zo ja, hoe is het versleutelen van data dan een geschikte mitigerende maatregel?

U doelt daarmee op een maatregel zoals is voorgesteld in de nota «Scenario’s overstap kantoorautomatisering naar cloud» van 27 juni 2025 bij een specifiek product van Microsoft. De maatregel van «double key encryption» wordt niet toegepast. Door gebruik te maken van «double key encryption» zijn verschillende functionaliteiten niet meer mogelijk. Zo kunnen bijvoorbeeld verschillende bestanden dan niet langer geïndexeerd worden. Deze maatregel is tevens afgewogen in de eerdergenoemde risicoanalyse.
De Belastingdienst is continu op zoek naar nieuwe oplossingen die een betere bescherming van de data mogelijk maken en het risico van het ongeautoriseerd toegang hebben tot data mitigeren.

Vraag 25

Klopt het dat de exitstrategie, waarin binnen negen maanden data uit de Microsoft-cloudomgeving wordt gehaald, «met hulp van Microsoft» wordt uitgevoerd?17 Is de exitstrategie om wég te komen van Microsoft daardoor niet ook afhankelijk geworden van Microsoft?

Nee, de exitstrategie bevat namelijk in algemene zin twee scenario’s. Een scenario waarbij de leverancier meewerkt en de Belastingdienst negen maanden de tijd krijgt om de bestanden te migreren naar een nieuwe gewenste omgeving. Daarnaast is er ook een scenario waarin rekening wordt gehouden met een acuut vertrek, bijvoorbeeld nadat de leverancier onder statelijke druk de diensten stopt. Voor dit scenario heeft de Belastingdienst een back-up en wordt er teruggevallen op de huidige on-premises omgeving.

Vraag 26

Kunt u de garantie van Microsoft, dat zij zich tegen alle vormen van politieke druk vanuit de VS zullen verzetten, hard maken? Welke concrete afspraken zijn hierover gemaakt? Kunt u bijpassende documentatie met de Kamer delen?

Microsoft heeft de zogenaamde EU-commitments gepubliceerd. Dat laat niet onverlet, dat in een extreem geval, Microsoft onder statelijke druk gedwongen kan worden om te stoppen met leveren van diensten. Dit is in de recente geschiedenis alleen onder specifieke sanctiewetgeving gebeurd. Daarbij wil ik wel opmerken dat dit, tot op zekere hoogte, ook geldt voor on-premises oplossingen. Want ook daar is sprake van afhankelijkheid van Amerikaanse techleveranciers.

Vraag 27

Zijn er nog meer nota’s of notities met betrekking tot de overstap naar Microsoft die gebruikt zijn om de afweging te maken, maar nog niet gedeeld zijn met de Kamer? Kunt u deze alsnog openbaar maken?

In de bijlage vindt u een aantal aanvullende stukken die zijn geagendeerd op het bestuursteam Belastingdienst van 27 mei 2025.

Vraag 28

Kunt u deze vragen afzonderlijk van elkaar beantwoorden en toezeggen dat u, tot deze beantwoord zijn, zich ten volste in zal spannen om een Europees alternatief voor de kantoorautomatisering van de Belastingdienst alsnog mogelijk te maken?

Zoals ik heb aangegeven in de brief die u bij deze antwoorden heeft ontvangen heb ik mij beperkt tot het beantwoorden van de feitelijke vragen en ben ik terughoudend geweest in het beantwoorden van vragen die over de toekomst gaan. Daarom zijn niet alle vragen afzonderlijk van elkaar beantwoord. De Belastingdienst zet wat betreft de grootschalige uitrol van M365 geen verdere stappen tot het aantreden van een nieuw bewindspersoon.

Vraag 1

Kent u de brief van de Nederlandse Vereniging voor Rechtspraak (NVvR) van 11 november 2025 aan het College van Procureurs-Generaal (het College), kent u de reactie van het College op die brief1 en kent u de brandbrief van 20 november 2025 uit naam van 2.850 OM-medewerkers van het «Comité OM onder druk» aan het College?2 En kent u de eerdere frustraties van OM-medewerkers over de hardnekkige ICT-problemen (toespraak voorzitter van het College van 13 mei 2024)3

Ja.

Vraag 2

Herinnert u zich de eerdere berichten «Misdaadregistratie loopt vast door gammele ICT bij OM»4, het bericht «Openbaar Ministerie heeft problemen op zittingen door «ernstige computerstoring»»5 en het bericht «Een op de vier werknemers van OM kan niet werken door ICT-problemen»?6

Ja.

Vraag 3

Herinnert u zich de mondelinge vragen van het lid Lahlah over ICT-problemen bij het OM (mondeling vragenuur 23 april 2024) en andere antwoorden op vragen vanuit de Tweede Kamer over eerdere ICT-problemen bij het Openbaar Ministerie (OM) waaronder uw antwoorden op de schriftelijke vragen van het lid Mutluer over de blijvende ICT-problemen bij het Openbaar Ministerie?7

Ja.

Vraag 4

Deelt u de mening dat uit bovenstaande berichten blijkt dat er bij het OM al veel te lang sprake is van structurele problemen met de ICT waardoor het werk door OM-medewerkers ook al te lang belemmerd wordt en tot frustratie en gevoelens van onbegrip leidt? Zo ja, waarom? Zo nee, waarom niet?

Ja, ik vind dat de medewerkers van het OM in hun werk al te lang worden gehinderd door slecht functionerende ICT en betreur dit zeer.

Vraag 5

Deelt u de mening dat er ondanks de al jaren durende problemen met de ICT bij het OM geen of nauwelijks verbetering is opgetreden? Zo ja, hoe komt dat? Zo nee, waarom deelt u die mening niet en waaruit blijkt dan het tegendeel? En zo nee, hoe komt het dan dat de laatste maanden er sprake is van snel groeiende ontevredenheid bij OM-medewerkers en ze uitgeput en gefrustreerd raken omdat concrete maatregelen om de ICT duurzaam op orde te krijgen uitblijven en de werkdruk onverminderd hoog blijft?

Ja, ik deel de mening dat er voor de medewerkers in ieder geval niet genoeg zichtbare verbetering heeft plaatsgevonden. De ICT-inbreuk in juli 20258 heeft de problemen – in ieder geval tijdelijk – nog eens vergroot. De snel gegroeide ontevredenheid is daarmee goed verklaarbaar en terecht.

Vraag 6

Schrikt u ook als u moet lezen dat een zeer groot en representatief deel van de OM-medewerkers constateert dat zij niet langer op een verantwoorde wijze hun werk kan doen en dat de staat van de rechtsstaat in het geding is? Zo ja, waarom? Zo nee, waarom niet?

Hoewel de ICT-problemen bij mij bekend zijn, vind ik het erg vervelend en betreur ik dat zo veel medewerkers hier zo veel hinder van ondervinden.

Vraag 7

Wat is er gebeurd na uw toezegging om het OM te vragen om voor het zomerreces van 2024 te komen met een plan met concrete maatregelen om de werkdruk bij het OM te verminderen, zowel door investeringen in het personeel als door het bieden van technologische oplossingen die specifiek gericht zijn op het stroomlijnen van werkprocessen?

De implementatie van het nieuwe wetboek vraagt inderdaad aanpassingen van de ICT. De ICT-opgave van het OM is in relatie tot het nieuwe wetboek groot. Op dit moment wordt door alle ketenorganisaties uitgegaan van inwerkingtreding van het nieuwe wetboek op 1 april 2029. Ook de planning van het OM is daarop gericht. Het OM kan op dit moment voor de ICT echter geen garanties geven ten aanzien van de haalbaarheid van deze planning. Het OM inventariseert momenteel de effecten van de recente ICT-problemen. Verwacht wordt dat de eventuele effecten daarvan, waaronder die met betrekking tot de implementatie van het nieuwe wetboek, in het voorjaar van 2026 bekend zijn.

Vraag 8

Erkent u dat de stress en druk bij het OM-personeel leidt tot achterstanden en onvolkomenheden in dossiers? Zo ja, kunt u concreet beschrijven hoe dit de problematiek het functioneren van de strafrechtketen aantast? Zo nee, hoe kunt u dit uitsluiten en hoe verhoudt zich dat tot de genoemde brieven van de NVvR en het Comité OM onder druk?

De dagelijkse ICT-problemen hinderen het werk en leiden daarmee tot een hogere werkdruk. Dit zou, hoewel dit niet in kwantitatief opzicht inzichtelijk is te maken, een negatief effect kunnen hebben op de prestaties van het OM. De ICT-inbreuk heeft geleid tot het ontstaan van nieuwe voorraden en zal daarmee waarschijnlijk een tijdelijk negatief effect hebben op de doorlooptijden. De mate waarin de kwantitatieve ketendoelstellingen hierdoor worden beïnvloed is nog niet bekend. Het College van procureurs-generaal herkent de zorgen en is daarover met de Ondernemingsraad, het Comité, de leiding van de OM-onderdelen en de medewerkers in gesprek.

Vraag 9

Kunt u inzichtelijk maken welke primaire processen momenteel niet naar behoren functioneren binnen het OM als gevolg van de door medewerkers aangekaarte problematiek? Kunt u bij de beantwoording van deze vraag nadrukkelijk ook informatie vanuit OM-medewerkers betrekken die dagelijks geconfronteerd worden met de ICT-problemen?

Op dit moment hebben de OM-medewerkers in alle (primaire) processen geregeld te maken met ICT-verstoringen. Er zijn inmiddels verschillende concrete maatregelen genomen die moeten helpen de werkdruk bij het OM te verlichten en het werkplezier te vergroten. Het College is hierover in gesprek met de Ondernemingsraad en met de leiding van de OM-onderdelen. Er is uitgebreidere monitoring ingericht om de prestaties van de systemen nauwlettend in de gaten te houden. Verdere vernieuwing en verzwaring van de onderliggende infrastructuur is gepland. Vanuit het College en de ICT-organisatie zijn bezoeken gebracht aan alle OM-onderdelen, met als doel om meer inzicht te krijgen in de directe en urgente ICT-problematiek en de specifieke behoeften van de collega’s op de OM-onderdelen. Op basis daarvan zijn diverse verbeteracties doorgevoerd die de werkprocessen ten goede komen.
Tegelijkertijd blijven zich in de bestaande, verouderde ICT-omgeving van het OM met enige regelmaat nieuwe ICT-incidenten aandienen. Daarom zet het OM naast genoemde kortetermijnmaatregelen ook heel stevig in op structurele oplossingen die weliswaar veel minder snel zijn te realiseren, maar voor het functioneren van de informatievoorziening (IV) en de werkprocessen bij het OM uiteindelijk van fundamenteel belang zijn. Daartoe is een meerjarenplanning in voorbereiding, die als basis zal dienen voor de onderbouwing van de meerjarige financieringsbehoefte van het OM vanwege de noodzakelijke investeringen in de ICT.

Vraag 10

Bent u bereid om met de NVvR in overleg te treden om te horen welke gevolgen de ICT-problemen voor de dagelijkse praktijk van het OM, waaronder Officieren van Justitie, hebben? Zo ja, wilt u de Kamer op de hoogte stellen van de uitkomst van dit overleg? Zo nee, waarom niet?

De NVvR heeft haar brief aan het College van procureurs-generaal gericht en hierop heeft het College gereageerd. Het College en de NVVR zijn regelmatig met elkaar in gesprek en het is ook in de eerste plaats aan het College om dat gesprek te voeren.

Vraag 11

In hoeveel zaken is er sprake van vertraging of veroudering als gevolg van de aanhoudende problematiek? Kunt u dit uiteenzetten per type zaak?

De mate waarin vertraging optreedt in zaken wordt gemeten in doorlooptijden. De ontwikkeling van de doorlooptijden wordt duidelijk bij de publicatie van de cijfers over 2025. Er kan geen causaal verband worden gelegd tussen de doorlooptijd van zaken en de algemene ICT-problematiek. Wel zal de impact van de ICT-verstoring die deze zomer plaatsvond en de nasleep daarvan waarschijnlijk zichtbaar worden in deze cijfers. Als gevolg van de ICT-verstoring en het offline gaan van de OM-systemen, konden nieuwe zaken in de periode van 17 juli tot eind augustus niet vanuit de opsporingsdiensten naar het OM worden overgedragen. Dit had vooral impact op de eenvoudige zaken. Tijdens de ICT-verstoring zijn zwaardere onderzoeks- en ondermijningsmisdrijven handmatig verwerkt en zijn vertragingen in de behandeling van deze zwaardere misdrijven beperkt gebleven.

Vraag 12

Kunt u nader uiteenzetten of er afdelingen binnen het OM onevenredig hard worden geraakt door de problematiek en welke dat zijn? Heeft dit als gevolg dat sommige soorten zaken meer vertraging en veroudering oplopen dan andere soort zaken?

Zoals hiervoor aangegeven hebben alle medewerkers te maken gehad met de ICT-problematiek. De ICT-inbreuk heeft effect gehad op de voorraden en doorlooptijden. Uit het landelijk zaakvolgsysteem blijkt dat de omvang van de voorraden («voorraadbak intake OM») vanaf de datum van de ICT-inbreuk sterk is toegenomen. Deze voorraden zijn in het vierde kwartaal van 2025 aangepakt; het OM verwacht dat deze extra voorraad in het eerste kwartaal van 2026 is weggewerkt.

Vraag 13

In hoeverre komt de door het College zelf opgelegde taakstelling om de benodigde ICT-investeringen te kunnen doen ten koste van andere taken van het OM en het welzijn de OM-medewerkers?

Om de ICT structureel te verbeteren, zijn de komende jaren investeringen nodig. Daarnaast nemen de instroom en productie af, lopen tijdelijk beschikbaar gestelde middelen af en nemen structurele kosten van het OM toe. Kortom: het OM staat voor de opgave om de financiële positie structureel te versterken.
Alle OM-onderdelen moeten dus in hun begroting voor 2026 rekening houden met minder geld. Hen is door het College daarom gevraagd aan te geven welke maatregelen nodig zijn en welke consequenties dit heeft. Voor 2026 ligt de nadruk op bewuster, slimmer en efficiënt omgaan met middelen, zowel financieel als in de verdeling van het werk. Samen met de OM-onderdelen is gezocht naar effectieve aanpak om het OM financieel robuuster te maken en te houden. Het is aan de leiding van de OM-onderdelen om binnen die financiële kaders voor 2026 verstandige keuzes te maken: wat wel kan worden gedaan en wat niet. Intussen blijf het College in goed in contact met de OM-onderdelen en wordt het welzijn van de OM-medewerkers goed in de gaten gehouden.

Vraag 14

Deelt u de mening dat deze taakstelling niet zal bijdragen aan het verlagen van de werkdruk bij het OM of het beter functioneren van het OM als organisatie? Zo ja, hoe en wanneer gaat u dan zorgen voor meer financiële armslag voor het OM? Zo nee, waarom niet?

Het College heeft geoordeeld dat het noodzakelijk en verantwoord is om de taakstelling op te leggen. Het College heeft samen met de leiding van de OM-onderdelen gezocht naar manieren om het OM financieel robuuster te maken en te houden. Hiermee maakt het OM financiële middelen vrij om zelf bij te dragen aan de noodzakelijke investeringen in het versterken van de ICT. Beter functionerende IV zal op langere termijn onder andere een positief effect hebben op de werkdruk. Het College blijft in goed contact staan met de OM-onderdelen. Waar de OM-onderdelen vastlopen, zal het College bezien of er financiële ruimte kan worden vrijgemaakt gedurende het jaar. Voor wat betreft de ICT-problematiek maakt het College inzichtelijk welke investeringen de komende jaren nodig zijn. Hierover ga ik het gesprek aan met het OM. Ik kan nog niet vooruitlopen op mogelijke oplossingsrichtingen.

Vraag 15

Zorgen de ICT problemen er voor dat slachtofferrechten bij strafzaken in geding komen? Kunt u onderbouwen, en kan het OM bevestigen, dat deze rechten momenteel niet in het geding zijn? Kunnen het OM en u waarborgen dat alle slachtoffers van strafzaken hun bestaande rechten ten volle kunnen uitoefenen? Zo nee, kunt u in overleg met het OM specifieke verbeteringen doorvoeren zodat hier zo spoedig mogelijk wél sprake van is?

Zoals hiervoor aangegeven heeft de offlinegang en stapsgewijze onlinegang van het OM geleid tot vertragingen en werken het OM en partners in en rondom de strafrechtketen hard om deze in te lopen. Er is momenteel sprake van een verhoogde werkvoorraad, waardoor het uitsturen van het wensen- en het schadevergoedingsformulier aan slachtoffers langer op zich laat wachten. Er zijn op dit moment echter geen signalen bij het OM bekend dat de slachtofferrechten in het geding komen. Zo wel dan zal het OM hier voortvarend mee aan de slag gaan.

Vraag 16

Ondervinden het OM-personeel of andere partners in de strafrechtketen op dit moment nog de gevolgen van de in de afgelopen zomer ontstane verstoring van het ICT-systeem van het OM? Zo ja, welke concrete gevolgen betreft dit?

Zie mijn antwoorden op de voorgaande vragen; er zijn door de ICT-inbreuk onder meer voorraden ontstaan die deels nog moeten worden weggewerkt.

Vraag 17

Deelt u de mening dat de overgang en implementatie van het nieuwe wetboek van Strafvordering ook aanpassingen van de ICT systeem van het OM vergt? Acht u het OM in staat om tijdig voor een goed functionerende overgang en implementatie te zorgen? Zo ja, welke stappen zijn en worden daarvoor gezet en hoe is de voortgang daarvan? Zo nee, waarom niet en wat is er dan nog meer nodig?

Vraag 18

Hoe gaat u de «vinger aan de pols» van het OM houden8 en wat gaat u doen op het moment dat u moet constateren dat de ICT-problemen nog altijd niet afdoende en tijdig worden opgelost?

Ik bespreek de ICT-problematiek zeer regelmatig met onder meer het College van procureurs-generaal en ik acht het College voldoende in staat om de problemen op te lossen. Ik laat mij niet uit over eventuele in de toekomst door mij te nemen maatregelen.

Vraag 19

Bent u nog steeds van mening u geen rol zou hebben bij het oplossen van de problemen bij het OM?9 Zo ja, waarom en waaruit leidt u af dat dat de OM leiding nu wel zelf in staat zou zijn om de langdurige structurele ICT problemen op te lossen? Zo nee, welke rol gaat u dan wel spelen? En zo nee, bent u bereid daar desnoods uw algemene aanwijzingsbevoegdheid jegens het OM voor te gebruiken?10

Het is in de eerste plaats aan het College van procureurs-generaal om de problemen met de ICT op te lossen. Uiteraard word ik van de voortgang op de hoogte gebracht en wordt er vanuit mijn departement meegedacht en ondersteuning geleverd. Ik acht het College voldoende in staat om de problemen op te lossen en laat mij niet uit over eventuele in de toekomst te nemen maatregelen.

Vraag 20

Kunt u deze vragen afzonderlijk van elkaar beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht «EU Commission internal draft would wreck core principles of the GDPR» en de brandbrief van 127 organisaties over de Digitale Omnibus?1

Ja.

Vraag 2

Wat is uw reactie op het bovenstaande bericht en de brandbrief? Kunt u ingaan op de inhoudelijke bezwaren en zorgen die hierin worden geuit?

Wij hebben kennisgenomen van de bezwaren en zorgen en nemen deze opmerkingen serieus. De bezwaren en zorgen waren evenwel gericht op een nog niet gepubliceerde versie van de zevende omnibus verordening. Alhoewel het kabinet bij de gepubliceerde voorstellen veel aanpassingen binnen de Omnibus AI en Omnibus Digitaal kan steunen omdat deze in lijn zijn met de Nederlandse inzet, heeft het kabinet vooral bij een aantal fundamentele wijzigingen aan de Algemene Verordening Gegevensbescherming (AVG) serieuze zorgen, omdat deze wijzigingen het niveau van gegevensbescherming wezenlijk verminderen, zonder dat er sprake is van een effectieve bijdrage aan het verlagen van regeldruk. Via een versnelde Beoordeling Nieuwe Commissievoorstellen (BNC)-route is uw Kamer op 12 december met een BNC-fiche geïnformeerd over de positie van het kabinet op de Omnibus Digitaal. In het antwoord op vraag 3 wordt hierop nader ingegaan.

Vraag 3

Wat is uw zienswijze op de Digitale Omnibus, die ook aanpassingen van de Algemene Verordening Gegevensbescherming en de voorgestelde e-Privacyverordening bevat?

In navolging van een vierde Omnibuspakket, waarin ook sprake was van een aantal gerichte vereenvoudigingen voor de AVG heeft de Europese Commissie (EC) op 19 november 2025 het zevende Omnibuspakket (ook wel het «Digitale Pakket») gepubliceerd. Zoals aangegeven in het BNC-fiche, verwelkomt het kabinet dat de Commissie met de omnibussen erop inzet digitale wetgeving te vereenvoudigen en stroomlijnen. Dit past binnen de bredere doelstelling van het kabinet om de regeldruk terug te dringen. Het kabinet ziet dat het pakket mogelijk ook kansen biedt voor de ontlasting van de uitvoeringsorganisaties en de vereenvoudiging van de uitvoering van beleid. Het kabinet zet erop in dat deze omnibussen zich focussen op versimpeling, verduidelijking en stroomlijning van wetgeving en dat de doelen van de wetgeving daarbij overeind blijven.
De voorgestelde wijzigingen aan de AVG geven wel aanleiding tot zorgen, omdat deze kunnen leiden tot een wezenlijke vermindering van het niveau van gegevensbescherming, zonder dat er sprake is van een effectieve bijdrage aan het verlagen van regeldruk.

Vraag 4

Zal de Digitale Omnibus de privacybescherming van burgers verzwakken? Kunt u antwoorden met een heldere ja of nee, en dit vervolgens onderbouwen?

Het kabinet is het voorstel nog aan het bestuderen en heeft uw Kamer via het BNC-fiche geïnformeerd over zijn positie op de Omnibus Digitaal. Het ontbreken van een impact assessment maakt het moeilijk om deze vraag met een helder ja of nee te beantwoorden. Het kabinet zal opheldering vragen bij de Commissie en de gevolgen voor regeldruk, uitvoerbaarheid en bescherming van grondrechten verder in kaart brengen, voordat het tot een definitief oordeel komt op deze onderdelen. Het kabinet hecht er dan ook aan dat er in het bijzonder voor wijzigingen met impact op gegevensbescherming en grondrechten gelegenheid is om de voorstellen en de gevolgen daarvan gedegen te analyseren en deze inhoudelijk te bespreken. Het kabinet vindt daarnaast dat het nog te verschijnen advies van de Europees Toezichthouder voor gegevensbescherming (EDPS) al dan niet in samenspraak met Europees Comité voor gegevensbescherming (EDPB) moet worden betrokken bij de bespreking van dit voorstel.

Vraag 5

Deel u de mening dat «simplificatie» van wetgeving nooit mag leiden tot deregulering en een feitelijke verzwakking van de privacybescherming?

Met betrekking tot de Omnibus Digitaal en Omnibus AI zet het kabinet erop in dat de omnibussen digitale wetgeving versimpelen, verduidelijken en stroomlijnen en dat de doelen van de wetgeving daarbij overeind blijven.
Het kabinet steunt het doel van simplificatie van digitale wetgeving en zal zich hier proactief voor inzetten in het kader van de omnibus, maar in het bijzonder voor wijzigingen met impact op gegevensbescherming hecht het kabinet er als gezegd aan dat er gelegenheid is om de voorstellen en de gevolgen daarvan gedegen te analyseren en deze inhoudelijk te bespreken.

Vraag 6

Deelt u de opvatting dat het beschermen van privacy een kernwaarde is van de Europese Unie, een uitvloeisel is van een gezamenlijk wereldbeeld én de lessen getrokken uit de Tweede Wereldoorlog, en dat dit onder geen enkele voorwaarde geweld mag worden aangedaan?

Het recht op eerbiediging van de persoonlijke levenssfeer (het «recht op privacy»), daaronder begrepen het recht op gegevensbescherming, is een grondrecht dat onder meer is neergelegd in artikel 10 Grondwet en artikel 8 van het Europees Verdrag voor de Rechten van de Mens (EVRM). Sinds de inwerkingtreding van het Verdrag van Lissabon op 1 december 2009, is het recht op gegevensbescherming in het Handvest van de grondrechten van de Europese Unie een op zichzelf staand grondrecht, expliciet ontkoppeld van het recht op privacy. In artikel 7 Handvest Grondrechten EU staat het recht op eerbiediging van het privéleven, in artikel 8 het recht op bescherming van persoonsgegevens. De Unierechtelijke uitwerking is gedaan in de Algemene verordening gegevensbescherming (AVG). Het recht op bescherming van persoonsgegevens heeft geen absolute gelding (overweging 4 AVG). Zo kan het recht bij wet worden ingeperkt, mits voldaan is aan de eisen van noodzakelijkheid, proportionaliteit en subsidiariteit en de inperkingen voldoende voorspelbaar en voorzienbaar zijn voor de betrokkenen. Dat onder geen enkele voorwaarde inbreuk mag worden gemaakt op dit grondrecht, onderschrijven wij derhalve niet.

Vraag 7

Op welke manieren en op welke momenten heeft Nederland haar zienswijze over de Digitale Omnibus gedeeld met de Europese Commissie? Kunt u deze contactmomenten uiteenzetten?

Het versimpelen van (onderdelen van de) digitale wetgeving is onderwerp geweest van diverse Raadsbesprekingen waar de Europese Commissie aan deelnam en besprekingen in EU-verband. Potentiële wijzigingen aan de AVG waren daarbij niet altijd onderwerp van gesprek. Versimpeling van de AI-verordening is besproken tijdens meetings van de AI-Board en versimpeling van de Dataverordening, Datagovernanceverordening en de Free Flow of Dataverordening is onderwerp geweest van de Raadswerkgroep Telecom. Het kabinet heeft het non-paper regeldruk en digitale wetgeving onder de aandacht gebracht bij de informele Telecomraad van 9 en 10 oktober en in hoogambtelijke besprekingen met de Commissie.

Vraag 8

Kunt u alle relevante documenten, die betrokken zijn bij het bepalen van de Nederlandse inzet delen met de Kamer? Heeft u ook adviezen van burgerrechtenorganisaties hierbij betrokken?

Het kabinet heeft u via een versnelde BNC-route geïnformeerd over de inzet ten aanzien van de Omnibuswetgeving. Vanwege de snelle doorlooptijd van het omnibusvoorstel en brede betrokkenheid van meerdere departementen is er geen overzicht van alle input die is ontvangen en betrokken. Het kabinet krijgt soms van stakeholders, zoals belangenorganisaties, proactief input toegestuurd. Daarnaast neemt het kabinet ook input in beschouwing die hem via de media bereikt, zoals de brandbrief waar u in vraag 1 naar verwijst. Het kabinet betrekt ook adviezen van burgerrechtenorganisaties hierbij.

Vraag 9

Acht u het verantwoord en acceptabel dat AI-bedrijven, waaronder Amerikaanse techgiganten als Google en Meta, meer mogelijkheden krijgen om gegevens van Europese burgers te gebruiken om AI-modellen te trainen?

In het voorstel van de Commissie wordt een artikel 88c aan de AVG toegevoegd, waarin het expliciet de grondslag «gerechtvaardigd belang» (artikel 6 lid 1 onder f) wordt aangewezen als de grondslag voor – kort gezegd – het ontwikkelen en toepassen van AI-modellen. Om de gevolgen van deze voorgestelde wijziging goed te overzien, is meer duidelijkheid daarover nodig en Nederland heeft op dat punt vragen gesteld aan de Commissie. De mogelijkheid om persoonsgegevens te gebruiken voor het trainen van AI-modellen bestaat overigens ook nu al. De EDPB, waarin de Europese toezichthouders samenwerken, heeft hierover op 18 december 2024 een advies aangenomen.2 Uit dat advies volgt dat de AVG ruimte biedt om ook zonder toestemming van de betrokkene op basis van de verwerkingsgrondslag «gerechtvaardigd belang» (artikel 6, eerste lid, onder f AVG) persoonsgegevens voor dit doel te verwerken. Of van deze grondslag gebruik kan worden gemaakt, wordt bepaald door de omstandigheden van het geval. Zo moet worden vastgesteld dat de beoogde verwerking noodzakelijk is ter behartiging van het gerechtvaardigde belang én dat de belangen of fundamentele rechten en vrijheden van betrokkenen die door de verwerking van persoonsgegevens worden geraakt, niet zwaarder wegen dan het gerechtvaardigde belang dat met de verwerking wordt gediend. Ook moet elke verwerkingsverantwoordelijke aantoonbaar maatregelen nemen om de impact van de verwerking op de belangen van betrokkenen te verkleinen. Daarbij speelt de toegang tot rechten van betrokkenen onder de AVG een rol, zoals het recht op inzage en het recht op bezwaar. De toezichthouder beoordeelt uiteindelijk of een dergelijke vorm van verwerking rechtmatig is. Of deze mogelijkheden verder moeten worden verruimd, vergt nadere beoordeling. Dit zou alleen aan de orde kunnen zijn als de gevolgen voor fundamentele rechten voldoende gewaarborgd zijn.

Vraag 10

Deelt u de mening dat bescherming van gevoelige gegevens, zoals politieke voorkeur, seksuele oriëntatie, en gezondheidsdata, geen geweld mag worden aangedaan?

Zoals aangegeven in het antwoord op vraag 5 hanteert het kabinet in het kader van de omnibus het uitgangspunt dat de omnibus moet focussen op verduidelijking, versimpeling en het vergroten van consistentie van digitale wetgeving. De inzet is dat daarbij de doelen van de wetgeving niet worden afgezwakt. Onder de AVG is de verwerking van deze bijzondere categorieën van persoonsgegevens verboden, vanwege de impact die dit kan hebben. Verwerking kan alleen plaatsvinden, als er een wettelijke uitzonderingsgrond bestaat. Met het voorstel worden twee nieuwe uitzonderingsgronden opgenomen in de AVG. Deze worden op dit moment nog beoordeeld. Uw Kamer is hierover geïnformeerd met het BNC-fiche.

Vraag 11

Welk signaal geeft het verzwakken van de AVG en de e-Privacyverordening af aan het Nederlandse en Europese midden- en kleinbedrijf dat volop inzet op het ontwikkelen van verantwoorde en privacyvriendelijke AI conform deze regelgeving?

De voorgestelde wijzigingen aan de AVG en de e-Privacyverordening zijn nog onderwerp van onderhandeling. Deze wetten zijn dus nog niet gewijzigd. Het kabinet heeft het streven om de regeldruk terug te dringen. Regeldruk zet een rem op de productiviteitsgroei van bedrijven en dus ook op het concurrentievermogen van onze economie. Dit kan op den duur ook de financiering van publieke taken onder druk zetten. Het kabinet zet zich daarom constructief in voor het versimpelen van digitale wetgeving, waarbij één van de uitgangspunten is dat de bescherming van grondrechten gewaarborgd blijft. Dit betekent dat het kabinet kritisch beziet of de voorstellen het doel van verlaagde regeldruk daadwerkelijk dienen en welke gevolgen dit heeft voor het niveau van gegevensbescherming. Het kabinet hecht waarde aan duidelijkheid en rechtszekerheid voor het bedrijfsleven. Bij fundamentele wijzigingen aan wetgeving, zeker als die impact hebben op het recht op gegevensbescherming, hecht het kabinet aan een impact assessment zodat het kabinet kan beoordelen of voorgestelde wijzigingen noodzakelijk, proportioneel en subsidiair zijn en de gevolgen voorspelbaar en voorzienbaar.

Vraag 12

Deelt u de mening dat het verduidelijken van wet- en regelgeving voor het midden- en kleinbedrijf niet ten koste hoeft te gaan van privacybescherming? Is dit ook uw uitgangspunt?

Ja. Het is al langere tijd een doel van het kabinet om regeldruk terug te dringen en daartoe zijn ook al oplossingsrichtingen in kaart gebracht. Hierbij kan worden gedacht aan praktische hulpmiddelen, zoals sjablonen en praktische richtsnoeren van de toezichthouder, de Autoriteit Persoonsgegevens (AP), om naleving van de wet- en regelgeving voor kleinere organisaties te vereenvoudigen. Ook kunnen lijsten van verwerkingsactiviteiten met een laag risico die door toezichthoudende autoriteiten worden verstrekt, meer duidelijkheid verschaffen en kan de ontwikkeling en het gebruik van gedragscodes en certificering worden gestimuleerd. Ten aanzien van het gebruik van gedragscodes en certificering, overweeg ik om hier nader onderzoek naar te laten doen. Het uitgangspunt van het kabinet bij de Omnibus Digitaal is dat bij het versimpelen van de wetgeving de doelen, inclusief de bescherming van grondrechten, van de wetgeving niet worden afgezwakt.

Vraag 13

Bent u bereid om in gesprek te treden met onafhankelijke experts, waaronder de Autoriteit Persoonsgegevens en burgerrechtenorganisaties op het gebied van privacy, om de Digitale Omnibus te beoordelen en in kaart te brengen of deze in de praktijk zal leiden tot een verzwakking van de privacybescherming?

Het is vanzelfsprekend dat het kabinet goede contacten onderhoudt met het veld, met inbegrip van burgerrechtenorganisaties, maar ook met partijen zoals VNO-NCW. Ten aanzien van de omnibus betrekken wij in elk geval de informatie van deze organisaties die zij publiceren bij de zelfstandige oordeelsvorming, en is er contact met de AP. Waar het om gegevensbescherming gaat kijken wij uit naar het gezamenlijke advies van de EDPB/EDPS.

Vraag 14

Bent u bereid om een voorbehoud te maken op het steunen van de Digitale Omnibus, zolang niet is uitgesloten dat deze de privacybescherming verzwakt?

Het kabinet is het voorstel nog aan het bestuderen en heeft uw Kamer via het BNC-fiche geïnformeerd over zijn positie op de Omnibus Digitaal. In beginsel steunt Nederland voorstellen om digitale wetgeving te vereenvoudigen en de regeldruk ervan te verlagen. Daarbij is het wel belangrijk dat de doelen, met inbegrip van het niveau van gegevensbescherming, van de wetgeving overeind blijven en er gelegenheid is om de voorstellen, en de gevolgen daarvan voor onder andere de bescherming van grondrechten, gedegen te analyseren, de impact ervan te kunnen doorgronden, en goed inhoudelijk te bespreken. Het kabinet vindt het in het algemeen van belang dat bij fundamentele wijzigingen aan wetgeving, zeker als die impact hebben op het recht op gegevensbescherming, een impact assessment wordt gedaan. Ook is het van belang om bij wijzigingen die impact hebben op het recht op gegevensbescherming, het advies van Europees Toezichthouder voor gegevensbescherming (EDPS) al dan niet in samenspraak met het Europees Comité voor gegevensbescherming (EDPB) te betrekken bij de verdere analyse en bespreking, om te voorkomen dat de bescherming van grondrechten, waaronder gegevensbescherming, wordt verlaagd.

Vraag 15

Kunt u deze vragen afzonderlijk van elkaar en zo snel mogelijk beantwoorden, en toezeggen om geen definitief standpunt in te nemen over de Digitale Omnibus zolang de Kamer zich hierover niet heeft uitgesproken?

De vragen zijn zo snel als mogelijk en separaat beantwoord. Het kabinet bestudeert momenteel het gepubliceerde voorstel van de EC en heeft uw Kamer via het BNC-fiche geïnformeerd over zijn positie op de Omnibus Digitaal.

Vraag 1

Bent u bekend met het bericht: «Onrust bij overheden over verkoop cloudbedrijf aan Amerikaanse IT-gigant»?1

Ja, ik ben bekend met het bericht.

Vraag 2

Wat is uw reactie op de overname van het cloudbedrijf Solvinity door het Amerikaanse techbedrijf Kyndryl?

Het waarborgen van onze digitale autonomie is een belangrijke ambitie van het kabinet, zoals ook is beschreven in de Agenda Digitale Open Strategische Autonomie2. Voor onze digitale autonomie is het van belang dat we een sterkere Nederlandse (en Europese) techsector opbouwen. Voor een klein handelsland als Nederland zijn een open economie en toegang tot internationale kapitaalmarkten hiervoor essentieel. Dat zorgt ervoor dat Nederlandse bedrijven internationaal innovatief en concurrerend kunnen zijn. Tegelijkertijd betekent dit dat bedrijven overgenomen kunnen worden door buitenlandse partijen. Waar investeringen in Nederlandse marktpartijen impact hebben op onze nationale veiligheid, hebben we instrumenten tot onze beschikking om die impact te toetsen en – indien noodzakelijk – ons hiertegen te beschermen, zoals de Wet veiligheidstoets investeringen, fusies en overnames (Wet Vifo) en de Wet ongewenste zeggenschap telecommunicatie (WOZT).

Vraag 3

Was u vooraf op de hoogte van de overname van Solvinity? Zo ja, sinds wanneer wist u dat het bedrijf door een Amerikaanse onderneming zou worden overgenomen?

In maart 2025 heeft Solvinity onder embargo de directeur van Logius medegedeeld dat de eigenaar van Solvinity op zoek was naar een overnamekandidaat. Hierbij is de naam van de overnamekandidaat niet door Solvinity gedeeld. Op verzoek van de directeur Logius is dit embargo deels opgeheven, zodat hij dit bericht met een beperkt aantal personen van het kerndepartement van het Ministerie van BZK kon delen in mei 2025. Het Ministerie van BZK heeft de naam van de overnamekandidaat vernomen op de dag van de bekendmaking van de overname in de media (5 november jl.).

Vraag 4

Heeft u voorafgaand aan de overname van Solvinity gepoogd om het bedrijf in Nederlandse handen te houden? Heeft Solvinity hierover gesprekken gehad met de Nederlandse overheid?

Het in Nederlandse handen houden van alle bedrijven is op zichzelf geen doel van het kabinet. Nederland hanteert een stelsel van investeringstoetsingen gericht op het mitigeren van risico’s voor de nationale veiligheid. Mocht de beoogde overname onder het bereik van de investeringstoetsing vallen zal het reguliere, zorgvuldige proces daartoe gevolgd worden.
Het management van Solvinity en het management van Kyndryl voeren, na de openbare aankondiging, met verschillende contracthouders gesprekken over de voorgenomen overname.

Vraag 5

Welke diensten neemt de rijksoverheid momenteel van Solvinity af? In welke kritieke processen spelen de clouddiensten van Solvinity momenteel een aanzienlijke rol?

Bekend is dat Solvinity diensten levert aan meerdere departementen, waaronder BZK (Logius), JenV, SZW, VWS, Financiën. Momenteel wordt geïnventariseerd of er kritieke processen afhankelijk zijn van de dienstverlening door Solvinity. Door deze inventarisatie wordt inzicht in het totale risicobeeld verkregen. Op basis hiervan kunnen afwegingen gemaakt worden ten aanzien van het handelingsperspectief. De verwachting is dat de inventarisatie in de komende twee weken wordt afgerond.

Vraag 6

Levert Solvinity momenteel diensten gebaseerd op Amerikaanse Platform-as-a-Service (PaaS) producten zoals Azure? Bestaat er in de huidige situatie al een mogelijk weglekken van overheidsinformatie naar Amerikaanse partijen? Kunt u onderbouwen dat dit (niet) het geval is?

Voor enkele departementen levert Solvinity toegang tot de genoemde PaaS diensten op Microsoft Azure. Bij gebruik van dit soort cloud diensten is er vrijwel altijd een risico dat data mogelijk wordt opgevraagd door Amerikaanse autoriteiten. Zoals eerder met uw Kamer gedeeld in reactie op de Initiatiefnota «Wolken aan de horizon», is op basis van onderzoek vastgesteld dat de kans laag is dat gegevens van Europese burgers op basis van de CLOUD Act verstrekt zullen worden aan de Amerikaanse overheid3. De mogelijke overname van Solvinity door Kyndryl maakt geen verschil met betrekking tot dit risico.

Vraag 7

Is voor de overheidsdiensten die nu geleverd worden door Solvinity een exitstrategie opgesteld? Zo ja, treedt deze in werking nu er een Amerikaanse overname dreigt? Zo nee, waarom is er geen exitstrategie opgesteld / treedt deze niet in werking?

Het rijksbreed cloudbeleid vereist dat er een exitstrategie opgesteld wordt bij het gebruik van clouddiensten. Organisaties stellen risicoanalyses op ten aanzien van de afgenomen dienstverlening, hierin worden onder meer de gevoeligheid van de data en de toepassing meegenomen.
Logius heeft eisen gesteld aan de retransitie4 en een retransitieplan opgesteld dat gevolgd moeten worden als het contract met Solvinity wordt beëindigd. Dit ziet niet specifiek op overnames. Verder heeft Logius, in lijn met de NDS, begin 2025 een nieuwe visie voor infrastructuur opgesteld. Daarbij heeft Logius de voorkeur uitgesproken om haar infrastructuurdienstverlening af te nemen bij een andere overheidsorganisatie en in uiterste geval – indien de Overheidscloud niet tijdig beschikbaar is – het beheer van de dienstverlening die door Solvinity wordt geleverd opnieuw Europees aan te besteden.
Voor een aantal organisaties geldt dat het verplaatsen van de huidige diensten naar een andere provider op korte termijn niet haalbaar is vanwege de complexiteit en afhankelijkheid van de huidige infrastructuur.

Vraag 8

Welke gevolgen heeft de overname van Solvinity door een Amerikaans bedrijf voor de vertrouwelijkheid en veiligheid van overheidsinformatie die bij dit bedrijf worden ondergebracht, en het bedrijf vermoedelijk onder Amerikaanse wetgeving zoals de CLOUD Act (Clarifying Lawful Overseas Use of Data Act), de Foreign Intelligence Surveillance Act (FISA)2 en Executive Order 12333 komt te vallen?

Er zijn met Solvinity afspraken gemaakt over de vertrouwelijkheid en veiligheid van de bij deze onderneming ondergebrachte gegevens. Een overname van Solvinity door een partij in de VS betekent dat die afspraken nader moeten worden ingevuld, om te voorkomen dat de vertrouwelijkheid en veiligheid van die gegevens in het geding kan komen.
De drie genoemde wettelijke instrumenten maken het, in ieder geval in theorie, mogelijk dat autoriteiten in de VS onder de in deze wetgeving genoemde voorwaarden toegang kunnen krijgen tot de gegevens waarover een onderneming in de VS beschikt, óók wanneer de gegevens zich bevinden onder een dochtervennootschap en op servers buiten de VS. Als Solvinity wordt overgenomen door een onderneming in de VS brengt dit Solvinity onder de reikwijdte van deze wetgeving. Het gevolg daarvan kan, in ieder geval in theorie, zijn dat autoriteiten in de VS in voorkomend geval toegang krijgen tot de gegevens die door Solvinity in opdracht van de Staat worden verwerkt.
De overeenkomsten tussen de Staat en Solvinity bieden aanknopingspunten om ten minste van Solvinity te verlangen dat er technische en organisatorische maatregelen worden getroffen om te waarborgen dat de gegevens waartoe zij toegang heeft op een wijze worden verwerkt die voldoet aan de in de EU geldende regels, zoals die uit de Algemene verordening gegevensbescherming. Welke maatregelen dat zullen zijn vormt onderwerp van de gesprekken tussen de Staat en Solvinity.

Vraag 9

Vindt u het acceptabel dat, met de Amerikaanse overname van Solvinity, nog meer overheids-ict onder Amerikaanse surveillancewetgeving komt te vallen?

Door toenemende digitalisering en oplopende geopolitieke spanningen moeten we alert zijn op de weerbaarheid van overheidsorganisaties. In dit kader is het bovendien belangrijk om het bredere belang van digitale autonomie te benadrukken. Overheidsorganisaties zijn sterk afhankelijk van digitale infrastructuur en technologieën, die vaak buiten Europa worden ontwikkeld of beheerd. Het versterken van digitale autonomie vergt daarom een Europese aanpak.

Vraag 10

Geeft de recente Amerikaanse overname van Zivver en Solvinity aanleiding om meer kerntaken van de digitale overheid, zoals het beheren van burgerinformatie, in publiek beheer te brengen?

De Rijksoverheid streeft naar vermindering van de afhankelijkheid van techgiganten, binnen de Nederlandse Digitaliseringsstrategie (NDS) wordt verkend hoe een soevereine overheidscloud eruit kan zien. Een voorbeeld hiervan is de casus omtrent de migratie van SSC-ICT, waar documenten en mail in de eigen datacenters zijn blijven staan.

Vraag 11

Bent u bereid om alle maatregelen te nemen die nodig zijn om te voorkomen dat kritieke processen, zoals Logius, DigiD en de dienstverlening aan het Ministerie van Justitie en Veiligheid, onder Amerikaanse surveillancewetgeving gaan vallen?

Ik ben bereid passende maatregelen te treffen op basis van een zorgvuldige risico-gebaseerde aanpak. Zodra de kritieke processen geduid worden als een «te beschermen belang» is aanvullende regelgeving van kracht.

Vraag 12

Is in de lopende contracten met Solvinity een ontbindende voorwaarde opgenomen in het geval het bedrijf wordt overgenomen door een bedrijf dat onder niet-Europese surveillancewetgeving valt?

Op dit moment worden verschillende contracten beoordeeld door de Landsadvocaat.

Vraag 13

Zijn er andere mogelijkheden om de contracten met Solvinity te ontbinden, als inderdaad blijkt dat door de Amerikaanse overname de vertrouwelijkheid en veiligheid van kritieke overheidsinformatie in het geding komt?

Indien de Algemene Rijksvoorwaarden bij IT-overeenkomsten 2022 (ARBIT-2022)6 van toepassing verklaard is op de overeenkomst is er een ontbindingsgrond als er sprake is van een ingrijpende wijziging in de zeggenschap (wat het geval kan zijn bij fusies en overnames) met betrekking tot de onderneming van de wederpartij/opdrachtnemer. Door de landsadvocaat wordt momenteel onderzocht in hoeverre dit het geval is.
Indien door de overname de nakoming van de verwerkersovereenkomst en de naleving van de AVG wordt bemoeilijkt of zelfs onmogelijk wordt, kan dit een grond vormen om de dienstverleningsovereenkomst respectievelijk de verwerkersovereenkomst te ontbinden.
Dit laat overigens onverlet de mogelijkheid om in een concreet geval een overeenkomst op basis van de Algemene Rijksvoorwaarden op te kunnen zeggen.

Vraag 14

Indien de overname door een niet-Europese partij geen ontbindende voorwaarde is, bent u dan bereid om dit voortaan altijd als voorwaarde op te nemen in contracten met Europese cloudleveranciers?

Een bepaling in het contract opnemen m.b.t. «change of control» door een niet-Europese partij is een aanvullende optie en moet worden onderzocht. Per aanbesteding wordt bekeken of dit proportioneel is, gelet op de inhoud van de opdracht.
In de Verzamelbrief Aanbesteden7 is aangegeven dat de voorkeur ligt bij de gerichte inzet van kwalitatieve eisen om de vraag naar producten van EU-bedrijven te bevorderen in strategische sectoren. Doelstelling in de Nederlandse Digitaliseringsstrategie is het zorgen voor een overheidsbrede samenwerking waarmee mogelijkheden ontstaan om (soevereine) overheids ICT diensten overheidsbreed te kunnen gebruiken en elkaar te helpen bij de implementatie hiervan. Hiervoor is een visie in ontwikkeling.
Daarnaast moet ermee rekening gehouden worden dat het afbouwen van de huidige ongewenste afhankelijkheden een traject is dat de nodige tijd in beslag zal nemen.

Vraag 15

Kunt u deze vragen afzonderlijk van elkaar en met spoed beantwoorden?

Ja. Op 11 december jl. heb ik uw Kamer bericht over de uitstel van de beantwoording.

Vraag 1

Kunt u toelichten wat er vandaag, op 12 november 2025, besproken wordt door de Law Enforcement Working Party inzake de regulering om online misbruik te voorkomen (CSAM-verordening)?1

Tijdens de Radenwerkgroep, de Law Enforcement Working Party (LEWP), van 12 november jl. is het meest recente voorstel inzake de EU-Verordening ter bestrijding van online seksueel kindermisbruik (de CSAM-verordening) besproken.

Vraag 2

Bent u bekend met de inhoud van het compromisvoorstel?2 Kunt u toelichten op welke punten deze wezenlijk anders is dan het meest recente Poolse voorstel, waarin expliciet stond dat chatcontrole nooit bevolen kan worden?

Ja, ik ben bekend met de inhoud van het compromisvoorstel. Het voorzitterschap doet hierin voorstel om het detectiebevel volledig te verwijderen uit de tekst. In plaats daarvan beoogt het voorstel vrijwillige detectie permanent mogelijk te maken door de afwijking van bepaalde bepalingen van de ePrivacyrichtlijn, zoals opgenomen in Verordening (EU) 2021/1232, permanent te maken. Dit zou betekenen dat de huidige praktijk – waarin het aan diensten zelf wordt gelaten of zij willen detecteren of niet (vrijwillige detectie) – wordt voortgezet en dat die mogelijkheid permanent wordt, in plaats van tijdelijk. Onder het Poolse voorzitterschap werd in januari jl. een vergelijkbaar voorstel gepresenteerd. Alhoewel het Poolse voorstel technisch anders was vorm gegeven, zagen beide voorstel op het schrappen van het verplichte detectiebevel en het permanent maken van vrijwillige detectie.
Op verzoek van Nederland is, vanwege het Nederlandse kabinetsstandpunt inzake verplichte detectie en de zorgen die Nederland daarbij heeft, aan het voorstel een extra overweging toegevoegd die onderstreept dat niets in deze verordening mag leiden tot of mag worden opgevat als het opleggen van detectieverplichtingen aan aanbieders.

Vraag 3

Is in het nieuwe compromisvoorstel volledig uitgesloten dat chatcontrole in Europa wordt ingevoerd? Waaruit blijkt dat deze absolute garantie bestaat, zodat het compromisvoorstel nooit kan leiden tot het omzeilen van end-to-end encryptie?

Als met «chatcontrole» wordt gedoeld op verplichte detectie, dan is dit uitgesloten ten gevolge van het volledig verwijderen van detectie uit de scope van de CSAM-Verordening. Als met «chatcontrole» wordt gedoeld op de mogelijkheid tot scannen, dan blijft dit mogelijk als een bedrijf ervoor kiest om dit vrijwillig te doen als maatregel tegen de verspreiding van materiaal van seksueel kindermisbruik. Dat is een continuering van de huidige praktijk, waarin het aan diensten zelf wordt gelaten of zij willen detecteren of niet (vrijwillige detectie), en welke mogelijkheid door de CSAM-Verordening wordt voortgezet en permanent wordt, in plaats van tijdelijk. Met dit voorstel verandert voor gebruikers van diensten in de praktijk dus niets ten opzichte van nu: de mogelijkheid van vrijwillige detectie blijft bestaan, en bedrijven kunnen er nog steeds voor kiezen dit te doen. Aanbieders die vrijwillig detecteren, moeten de gebruikers op duidelijke, expliciete en begrijpelijke wijze inlichten over het feit dat de diensten dit doen.

Vraag 4

Welke zekerheid kunt u bieden dat vrijwillige detectie van materiaal door techbedrijven nooit verplicht wordt? Vindt u het onwenselijk als dit wel het geval zou zijn?

Zoals eerder vermeld in vraag 2, is op verzoek van Nederland een aanvullende overweging opgenomen in de verordening die expliciet stelt dat niets in het voorstel mag worden opgevat als het opleggen van verplichte detectie. De wenselijkheid van deze extra waarborg is door de Juridische Dienst van de Raad bevestigd.
In het laatste voorstel van de verordening is wel een reviewclausule opgenomen waarin is opgenomen dat over 3 jaar zal worden gekeken naar de noodzaak en haalbaarheid van het opnemen van detectieverplichtingen in het toepassingsgebied van deze verordening. Hierbij zal ook worden gekeken naar de geschiktheid van de technologieën op dat moment voor het detecteren van materiaal met betrekking tot seksueel misbruik van kinderen en het benaderen van kinderen. Het kabinet heeft eerder erkend dat technologische ontwikkelingen voortdurend veranderen. Nieuwe technologieën of relevante inzichten kunnen aanleiding geven om bestaande standpunten te heroverwegen. Mocht dit het geval zijn, dan is het belangrijk om deze ontwikkelingen te onderzoeken en te toetsen.
Bij een reviewclausule in de EU-wetgeving moet, na evaluatie van de wet of het beleid, altijd nog een regulier wetgevingsproces worden doorlopen. Dit houdt in dat eventuele wijzigingen pas doorgevoerd kunnen worden nadat ze zijn goedgekeurd door zowel de Raad als het Europees Parlement. Nederland kan zich in dat proces opnieuw uitspreken over het standpunt. Bovendien staan het huidige kabinetsstandpunt en de aangenomen moties vanuit uw Kamer niet toe dat Nederland zich op dit moment positief opstelt tegenover enige vorm van verplichte detectie.

Vraag 5

Bent u het met de indiener eens dat Nederland niet in kan stemmen met een compromisvoorstel, zolang chatcontrole niet 100% is uitgesloten conform de aangenomen motie-Kathmann c.s.3, zowel nu als in de toekomst?

Naar aanleiding van de in vraag benoemde motie, heeft het kabinet per Kamerbrief op 29 november 2024 gecommuniceerd dat het in lijn met die motie geen voorstellen zal ondersteunen die verplichte detectie in de privécommunicatie van alle burgers inhouden.4 Het meest recente compromisvoorstel betreft geen verplichte detectie meer, maar zet in op de voortzetting van de huidige Nederlandse (en internationale) praktijk, die is gebaseerd op vrijwillige detectie door diensten. De in vraag 3 toegelichte extra overweging in het voorstel waarborgt dat niets in deze verordening mag leiden tot of mag worden opgevat als het opleggen van detectieverplichtingen aan aanbieders. Toch zijn de zorgen van Nederland met betrekking tot de grondrechten en de digitale weerbaarheid onvoldoende weggenomen. Hierover is op 18 november jl. een brief aan uw Kamer verzonden.5

Vraag 6

Wat is de inzet van Nederland in de besprekingen van het compromisvoorstel? Kunt u voorbereidende notities, waarin de overwegingen van het kabinet over dit voorstel worden beschreven, aan de Kamer doen toekomen?

In de Kamerbrief die het kabinet op 18 november jl. aan uw Kamer heeft toegezonden, licht het kabinet zijn positie ten aanzien van het meest recente voorstel toe. Met het permanent maken van de vrijwillige detectie verdwijnt de periodieke heroverweging van de balans tussen het doel van de detectie en privacy- en veiligheidsoverwegingen. Dat vindt het kabinet een groot risico. Het verwijderen van verplichte detectie is een grote stap geweest richting de positie van Nederland. Het kabinet is het voorzitterschap hiervoor erkentelijk. Helaas zijn niet alle zorgen van Nederland, zoals toegelicht in de hierboven genoemde brieven, weggenomen.
Dit resulteert erin dat Nederland zich zal onthouden. Tijdens de Coreper-vergadering van 26 november zal het voorstel als hamerstuk worden behandeld. Hiertoe heeft het Voorzitterschap besloten, omdat naar verwachting voldoende steun bestaat voor het voorstel (QMV). Hoewel het ongebruikelijk is om bij een hamerstuk een verklaring af te leggen, kiest Nederland er vanwege de aanhoudende zorgen toch voor om zich te onthouden en een verklaring in te brengen waarin deze zorgen worden uiteengezet.
De instructies (voorbereidende notities) maken deel uit van het diplomatieke verkeer. Om de Nederlandse onderhandelingspositie en de diplomatieke betrekkingen te beschermen kan ik deze niet met de Kamer delen.

Vraag 7

Op welk niveau is de inzet van Nederland in deze bespreking bepaald? Kunt u duidelijk maken welke departementen en instanties inspraak hebben gehad over het nationale standpunt? Welke adviezen heeft u betrokken bij de standpuntbepaling?

Zoals hierboven in vraag 6 geschetst, is de Nederlandse inzet tijdens de besprekingen in lijn met het huidige kabinetsstandpunt, zoals opgenomen in de Kamerbrief van 18 november jl. De actief betrokken departementen bij dit voorstel zijn de ministeries van Justitie en Veiligheid, Binnenlandse Zaken en Koninkrijksrelaties, Economische Zaken en Buitenlandse Zaken.

Vraag 8

Heeft u, net als bij het Poolse voorstel in 2024, advies ingewonnen van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) over de mogelijke veiligheidsgevolgen van het Deense compromisvoorstel? Zo ja, kunt u deze – indien noodzakelijk op hoofdlijnen – met spoed aan de Kamer doen toekomen? Zo nee, kunt u dit alsnog doen voordat er een definitief standpunt wordt bepaald?

Er is advies ingewonnen en dat houdt op hoofdlijnen in dat bij vrijwillige detectie de AIVD de risico's voor de digitale weerbaarheid als zeer hoog inschat. Dit is in lijn met het voorstel onder Pools voorzitterschap.

Vraag 9

Kunt u toezeggen dat u vasthoudt aan de duidelijke tegen-stelling die zij, op verzoek van een brede meerderheid in de Kamer, heeft ingenomen ten opzichte van de CSAM-verordening? Kunt u eveneens toezeggen dat u geen verdere stappen zal zetten op dit dossier totdat dit zowel in de ministerraad is besproken, als door de Tweede Kamer is bekrachtigd, gezien de demissionaire staat van het kabinet?

Nederland heeft in Brussel de bekende rode lijnen herhaald en duidelijk gemaakt dat Nederland onder geen beding kan instemmen met verplichte detectie, conform de kaders geschetst door uw Kamer.
Inzake het nieuwe voorstel zijn de betrokken Ministers gezamenlijk tot een standpuntbepaling gekomen. Uw Kamer is hierover inmiddels op 18 november jl. geïnformeerd. Nederland zal zich onthouden van stemming tijdens de Coreper-vergadering van 26 november. Aanstaande maandag vindt ook een commissiedebat plaats, waarin ik met uw Kamer verder hierover zal spreken.

Vraag 10

Kunt u deze vragen afzonderlijk en op zeer korte termijn beantwoorden, en tot die tijd geen onomkeerbare stappen zetten of toezeggingen doen in het kader van de CSAM-verordening?

Ja.