Vraag 1

Heeft u kennisgenomen van het nieuwe beleid van het Openbaar Ministerie omtrent de strafbeschikking?1

Ja.

Vraag 2

Herinnert u zich dat bij de regeling van werkzaamheden van 18 februari 2025 een brief hierover gevraagd is? Kan de Kamer die brief binnen een week verwachten, tezamen met de antwoorden op deze vragen?

Ik doe mijn uiterste best om vragen vanuit uw Kamer zo spoedig mogelijk te beantwoorden. De gevraagde brief, die inmiddels aan uw Kamer is verzonden, vergde afstemming met betrokken partijen zoals het OM, waardoor een week niet haalbaar was.

Vraag 3

Op welke wijze heeft het Openbaar Ministerie overleg gevoerd over dit beleid met de Minister van Justitie en Veiligheid over dit voorstel?

Het OM heeft een jaar geleden in algemene zin aangekondigd de toepassing van de strafbeschikking te zullen verruimen. De toenmalige Minister van Justitie en Veiligheid heeft uw Kamer hierover in een brief van 29 januari 2024 geïnformeerd.2 Ik ben enkele weken voorafgaand aan 1 februari in algemene zin mondeling op de hoogte gesteld dat het OM voornemens was de toepassing van de strafbeschikking uit te breiden. Tijdens een regulier overleg met het College van PG’s op 20 februari 2025 is het onderwerp besproken.

Vraag 4

Kunt u, de Minister van Justitie en Veiligheid, alle schriftelijke stukken over overleg hierover met u en het ministerie aan de Kamer doen toekomen?

Ik heb bekeken welke stukken ik hierover ik heb ontvangen via de lijn. Bijgaand treft u het extract aan van de annotatie die ik heb ontvangen ten behoeve van de bespreking van dit onderwerp met het College van procureurs-generaal en de versie van de instructie die hierbij was gevoegd. Dit is het deel van de annotatie dat ziet op het verruimde strafbeschikkingenbeleid van het OM. Het verslag van dit overleg is nog niet vastgesteld.

Vraag 5

Heeft u, de Minister van Justitie en Veiligheid, ingestemd met deze beleidswijziging?

Het OM functioneert ten aanzien van de strafoplegging in strafzaken zelfstandig en onafhankelijk. Aanpassingen van beleid worden ter kennisneming aan de Minister van Justitie en Veiligheid voorgelegd.

Vraag 6

Bent u, de Minister van Justitie en Veiligheid, het eens met deze beleidswijziging? Indien gedeeltelijk, kunt u dan aangeven met welke gedeeltes wel en met welke gedeeltes niet?

Met behulp van een strafbeschikking kan een officier van justitie zaken zelf afdoen. Het gaat om strafbare feiten waarop maximaal zes jaar gevangenisstraf is gesteld, zoals eenvoudige mishandeling, winkeldiefstal, openbare dronkenschap, bedreiging en rijden onder invloed. Het doel van het vaker toepassen van de strafbeschikking is om de doorlooptijden van strafzaken te verkorten, de rechtspraak te ontlasten en voorraden af te bouwen. Door vaker een strafbeschikking uit te vaardigen kan de strafrechter worden ontlast en de rechterlijke capaciteit worden benut voor de zwaardere strafzaken. Daarnaast streeft het OM ernaar om hiermee meer strafzaken te kunnen afhandelen. Dit leidt er dus toe dat meer criminaliteit sneller kan worden aangepakt. Dit is ook in het belang van slachtoffers. Ik steun in algemene zin deze doelen om doorlooptijden van strafzaken te verkorten en meer criminaliteit aan te pakken. Het vaker afdoen van strafzaken met een strafbeschikking is met het oog op dat doel een geschikt middel, mede uitgaande van de bestaande capaciteitstekorten bij de rechtspraak. Vanzelfsprekend worden alle wettelijke waarborgen rondom de uitvaardiging van strafbeschikkingen in acht genomen, terwijl ook de rechten en belangen van slachtoffers gewaarborgd blijven. In gevallen waarin de officier van justitie het noodzakelijk vindt dat het desbetreffende feit met een vrijheidsstraf wordt bestraft, kan nog steeds tot dagvaarding worden overgegaan en kan vervolgens door de rechter een vrijheidsstraf worden opgelegd.

Vraag 7

Op welke wijze en wanneer bent u, de Minister van Asiel en Migratie, geïnformeerd over deze beleidswijziging?

Het verruimde beleid van het OM is mijn verantwoordelijkheid, niet die van de Minister van Asiel en Migratie.

Vraag 8

Bent u, de Minister van Asiel en Migratie, het eens met deze beleidswijziging? Indien gedeeltelijk, kunt u dan aangeven met welke gedeeltes wel en met welke gedeeltes niet?

Het verruimde beleid van het OM is mijn verantwoordelijkheid, niet die van de Minister van Asiel en Migratie.

Vraag 9

Hoe beoordeelt u het feit dat misdrijven waarvoor een taakstrafverbod geldt (en waarvoor dus een gevangenisstraf opgelegd dient te worden), nu met een strafbeschikking worden afgedaan, waardoor er geen gevangenisstraf voor opgelegd kán worden en alleen een taakstraf of boete? Acht u dat wenselijk?

De uitbreiding van de toepassing van de strafbeschikking betreft op dit moment alleen veelvoorkomende vermogensdelicten. Het OM oefent hierbij zijn taken uit binnen de kaders van de wet. Tot die kaders behoort ook het taakstrafverbod (artikel 22b Wetboek van Strafrecht). In gevallen waarin op grond daarvan geen taakstraf mag worden opgelegd, kan de officier van justitie nog steeds overgaan tot dagvaarding en de zaak voorleggen aan de rechter.

Vraag 10

Hoe beoordeelt u het feit dat asielzoekers, die overtredingen en misdrijven begaan hebben (en mogelijk voor veel overlast zorgen), nu een strafbeschikking zullen krijgen, waardoor zij geen gevangenisstraf meer kúnnen krijgen? Is dit in lijn met het kabinetsbeleid?

De uitbreiding van de toepassing van de strafbeschikking betreft op dit moment alleen veelvoorkomende vermogensdelicten met als doel doorlooptijden te verkorten en meer criminaliteit aan te pakken. Doorlooptijden verkorten en meer criminaliteit aanpakken is in lijn met het kabinetsbeleid.
U doelt op een passage in de instructie over het vervallen van de zogenaamde «contra-indicaties» voor het opleggen van een strafbeschikking, bij recidive en illegale vreemdelingen en asielzoekers. Ik vind het van belang te benadrukken dat ook deze zaken nog steeds voor de rechter kunnen worden gebracht, ook onder deze nieuwe instructie. Die afweging wordt bij iedere zaak door de officier van justitie gemaakt. Daarnaast blijft het doelgroepenbeleid van het OM in stand. Dat betekent dat er extra aandacht is en blijft voor bijvoorbeeld vervolging van overlastgevende asielzoekers en recidivisten. De instructie maakt het echter nu wel mogelijk om ook bij relatief lichte feiten – die nu soms onbestraft blijven door bijvoorbeeld gebrek aan capaciteit of sepots – een strafbeschikking op te leggen. Het opheffen van de contra-indicaties zorgt er in die gevallen voor dat asielzoekers, illegale vreemdelingen en recidivisten niet wegkomen zonder straf, maar een strafbeschikking krijgen. Het toepassen van de strafbeschikking is dus een toevoeging aan het arsenaal van een officier van justitie om strafbare feiten aan te pakken en leidt ertoe dat meer criminaliteit wordt aangepakt. Het OM zal de passage in de instructie bij een eerstvolgende wijziging of volgende instructie op dit punt verhelderen.

Vraag 11

Hoe beoordeelt u het feit dat veelplegers in dit nieuwe beleid een strafbeschikking zullen krijgen, waardoor zij geen gevangenisstraf meer kunnen krijgen? Is dit in lijn met het kabinetsbeleid?

Zoals in het antwoord op vraag 10 is toegelicht, is het doel juist om meer criminaliteit aan te pakken. Bij relatief lichtere recidivefeiten (bijvoorbeeld winkeldiefstal) kan de officier nu ook een strafbeschikking opleggen, terwijl deze feiten anders mogelijk onbestraft waren gebleven. De mogelijkheid tot dagvaarden blijft bestaan wanneer de officier van justitie dit opportuun acht. Doorlooptijden verkorten en meer criminaliteit aanpakken is in lijn met het kabinetsbeleid.

Vraag 12

Kunt u aangeven hoeveel veelplegers en hoeveel asielzoekers in 2024 en 2025 veroordeeld zijn door de rechter tot een gevangenisstraf voor delicten met maximaal 6 jaar gevangenisstraf?

De Rechtspraak registreert niet of een verdachte een asielzoeker of een veelpleger is. Daarom zijn deze cijfers niet beschikbaar. In de jaarlijkse rapportage Incidenten en misdrijven door bewoners van COA- en crisisnoodopvanglocaties geeft het WODC een overzicht van het aantal geregistreerde misdrijven waarvan vreemdelingen die verblijven op een COA-locatie, worden verdacht. Naar verwachting wordt vóór het zomerreces de rapportage over het jaar 2024 door de Minister van Asiel en Migratie aan uw Kamer aangeboden.

Vraag 13

Hoeveel mensen die veroordeeld zijn voor een delict met een taakstrafverbod (in 2024), zouden in 2025 een taakstraf of boete krijgen door dit nieuwe beleid?

Het OM past het nieuwe beleid toe binnen de kaders van de wetgeving. Voor delicten waarvoor een taakstrafverbod geldt wordt dus geen taakstraf opgelegd.

Vraag 14

Hoe beoordeelt u het feit dat de positie van het slachtoffer veel zwakker is bij een strafbeschikking dan bij een procedure voor de strafrechter? Bent u bereid ervoor te zorgen dat wanneer slachtoffers spreekrecht willen uitoefenen, ze dat kunnen doen en er in dat geval dus een rechtszitting komt?

Ook bij afdoening van een zaak met een strafbeschikking is de positie van het slachtoffer geborgd. De officier van justitie houdt bij de toepassing van de strafbeschikking rekening met de belangen van slachtoffers. Hierover heeft de toenmalige Minister voor Rechtsbescherming u uitgebreid geïnformeerd per brief van 9 november 20223 en vervolgens in de tweede4 en derde voortgangsbrief5 meerjarenagenda slachtofferbeleid. Slachtoffers worden er expliciet op gewezen dat zij een schriftelijke slachtofferverklaring kunnen indienen, zodat hun belangen door de officier van justitie kunnen worden meegewogen bij het uitvaardigen van een strafbeschikking. Ook kunnen slachtoffers stukken indienen ter onderbouwing van het verhalen van hun schade op de dader. Daarnaast geldt er op grond van de Aanwijzing OM-strafbeschikking (2022A003) een contra-indicatie voor ernstige spreekrechtwaardige feiten, waardoor er in beginsel geen strafbeschikking zal worden uitgevaardigd voor die feiten wanneer het slachtoffer van zijn spreekrecht gebruik wenst te maken. Het nieuwe beleid van het OM ziet niet op spreekrechtwaardige feiten en de betreffende contra-indicatie wordt daarin niet opgeschort. Verder bepaalt het nieuwe beleid dat bij elk veelvoorkomend vermogensdelict in de strafbeschikking een schadevergoedingsmaatregel kan worden opgelegd als het slachtoffer heeft laten weten dat een schadevergoeding gewenst is. Slachtoffers die van mening zijn dat de zaak toch voor de rechter moet worden gebracht, kunnen op grond van artikel 12 van het Wetboek van Strafvordering een beklagprocedure starten.

Vraag 15

Hoe beoordeelt u het feit dat rechtspleging in principe in de openbaarheid plaatsvindt (artikel 121 van de Grondwet) en dat de strafbeschikking zich aan die openbaarheid onttrekt? Bent u bereid met voorstellen te komen die leiden tot meer openbaarheid rondom de strafbeschikking?

Het gaat hier om de buitengerechtelijke afdoening van relatief lichtere strafzaken. Het doel is om deze snel af te doen en de rechtspraak te ontlasten. Het openbaarheidsvereiste van artikel 121 van de Grondwet geldt alleen voor «terechtzittingen» en ziet daarmee op berechting door de rechter; het strekt zich dus niet uit tot buitengerechtelijke afdoening. Door verzet in te stellen (artikel 257e, Wetboek van Strafvordering) tegen de strafbeschikking kan de verdachte bewerkstelligen dat de zaak alsnog in het openbaar wordt behandeld door de rechter. Opmerking verdient dat de officier van justitie desgevraagd een afschrift van een strafbeschikking verstrekt aan ieder ander dan de verdachte of zijn raadsman, tenzij er sprake is van een wettelijke weigeringsgrond. In dat laatste geval kan de officier van justitie een geanonimiseerd afschrift verstrekken. Indien geen afschrift wordt verstrekt kan de verzoeker een klaagschrift indienen (artikel 257h Wetboek van Strafvordering). Op die wijze is ook bij de strafbeschikking voorzien in een vorm van openbaarheid.
Daarnaast houdt de procureur-generaal bij de Hoge Raad toezicht op het OM. De procureur-generaal heeft in het verleden verschillende onderzoeken naar de toepassing van de strafbeschikking door het OM uitgevoerd. Omdat het (deels en/of verder) openbaren van de procedure omtrent de toepassing van de strafbeschikking ten koste gaat van het doel van de strafbeschikking en er al voldoende toezicht plaatsvindt op de toepassing van de strafbeschikking zie ik geen aanleiding om met voorstellen te komen om de procedure omtrent de strafbeschikking op dit punt te wijzigen.

Vraag 16

Wilt u deze vragen een voor een en binnen een week beantwoorden, aangezien het beleid al een maand geleden is ingegaan en dat dat in alle stilte gebeurd is?

Ik streef er altijd naar een zo spoedig mogelijke beantwoording van Kamervragen. De antwoorden vergen echter afstemming met bijvoorbeeld het OM en de Rechtspraak en daarom is het niet gelukt uw vragen binnen een week te beantwoorden.

Vraag 1

Bent u bekend met het feit dat alle nu beschikbare versies van Microsoft Exchange-servers op 14 oktober a.s. «end of support» zijn en daarmee niet langer door de leverancier ondersteund zullen worden en ook niet meer gebruikt kunnen worden?1 2

Ja, ik ben bekend met het feit dat de huidige versies van Microsoft Exchange Server op 14 oktober 2025 het einde van hun ondersteuningscyclus bereiken. Dit heeft de volgende impact op de ondersteuning vanuit Microsoft:
Voor Exchange Server 2016 is deze informatie sinds 2020 bekend en voor Exchange Server 2019 is de reguliere ondersteuning in januari 2024 verlopen. Extended Security Updates zijn beschikbaar gemaakt tot oktober 2025.
Microsoft heeft in juni 2022 aangekondigd dat de nieuwe versie, Exchange Server Subscription Edition (SE), de opvolger zal zijn van de huidige versies. Deze aankondiging is in mei 2024 herhaald, waarbij tevens de aanbevolen stappen zijn gecommuniceerd ter voorbereiding op de migratie van Exchange 2016 en 2019 naar Exchange SE.
Het is belangrijk om te verduidelijken dat «end of support» niet automatisch betekent dat deze systemen niet meer gebruikt kunnen worden. Het betekent wel dat er na deze datum geen updates meer worden uitgebracht, wat risico's met zich meebrengt voor de veiligheid en stabiliteit van deze systemen. Het is daarom van belang dat organisaties tijdig migreren naar ondersteunde oplossingen

Vraag 2

Op hoeveel plekken binnen de rijksoverheid wordt Microsoft Exchange nog gebruikt? Hoeveel daarvan zijn Exchange 2019 en hoeveel zijn ouder?

Binnen de Rijksoverheid maken vrijwel alle organisaties gebruik van Microsoft Exchange. Door de federatieve opbouw van de overheid zijn er momenteel geen centrale overzichten beschikbaar over de exacte aantallen en versies.
Life cycle management (LCM: het proces om op tijd nieuwe versies in productie te nemen) is een departementale verantwoordelijkheid. Het centraal opslaan van te gedetailleerde informatie buiten deze departementale verantwoordelijkheid wordt als een potentieel beveiligingsrisico beschouwd.
Standaardisatie van gedetailleerde informatie binnen de departementale verantwoordelijkheid heeft hoge prioriteit, maar vergt tijd om te organiseren vanwege het heterogene ICT-landschap binnen de Rijksoverheid.
Er wordt gewerkt aan een verbetering van het centraal geaggregeerd overzicht, waarbij rekening wordt gehouden met bovenstaande aspecten. Bij het antwoord op vraag 3 zal ik verder ingaan op de stappen die worden genomen om beter inzicht te krijgen.

Vraag 3

Indien hier nog geen overzicht van bestaat, bent u bereid om vanuit uw coördinerende rol de betreffende Ministers te vragen u hierover informatie te verstrekken?

Ja, ik ben hiertoe bereid. Bij de beantwoording zal wel een balans gezocht worden tussen cybersecurity, federatieve verantwoordelijkheid en transparantie.
Ik zal de betreffende Ministers vragen om informatie te verstrekken over het gebruik van Microsoft Exchange binnen hun departementen.
Vanuit mijn coördinerende rol wordt jaarlijks een Informatie Beveiligingsbeeld (IBB) opgesteld door de departementen. Uit dit inzicht komen geen risico’s naar boven die betrekking hebben op Microsoft Exchange.
Uw vraag past binnen een bredere aanpak waarin vanuit de coördinerende rol van CIO Rijk wordt gewerkt aan het verbeteren van het inzicht in IT-assets binnen de Rijksoverheid. Deze aanpak richt zich niet exclusief op Microsoft Exchange, maar op IT-asset management in de volle breedte.

Vraag 4

Gezien het feit dat het behoorlijk ingewikkeld is om te upgraden naar de nieuwe, nog uit te komen versie van Exchange die nog wel ondersteund wordt, hoe gaat u erop toezien dat deze systemen tijdig zijn vervangen?3

Ten aanzien van de technische complexiteit van de upgrade wil ik opmerken dat volgens informatie van Microsoft, de overgang naar Exchange Server Subscription Edition (SE) minder complex is dan het lid Six Dijkstra suggereert. Voor organisaties die momenteel Exchange Server 2019 gebruiken met de meest recente cumulatieve update (CU14), zal de update naar Exchange Server SE relatief eenvoudig zijn. Microsoft heeft aangegeven dat Exchange Server SE code-equivalent zal zijn aan Exchange Server 2019 CU15, met uitzondering van enkele kleine wijzigingen. Dit maakt een in-place upgrade mogelijk, vergelijkbaar met het toepassen van een reguliere halfjaarlijkse update. Hierbij is geen volledige herinstallatie nodig maar worden alle bestaande configuraties automatisch overgenomen in de nieuwe versie.
Voor organisaties die nog Exchange Server 2016 gebruiken, wordt geadviseerd om eerst te migreren naar Exchange Server 2019 CU14, alvorens de stap naar Exchange Server SE te maken. Microsoft biedt hierbij diverse ondersteuningsmogelijkheden via Microsoft Unified en FastTrack support.

Vraag 5

Zal het vervangen van Microsoft Exchange in de praktijk een geforceerde overgang naar de cloud betekenen? Kunt u dit antwoord toelichten?

Nee, het vervangen van Microsoft Exchange vanwege het einde van de ondersteuning betekent geen geforceerde overgang naar de cloud.
Zoals Microsoft heeft aangegeven, is Exchange Server Subscription Edition (SE) een nieuwere versie van de binnenkort niet meer ondersteunde Exchange Server 2016 en Exchange Server 2019. Net als deze oudere producten is Exchange Server SE een «on-premises» product dat geïnstalleerd kan worden in eigen datacenters van organisaties.Overheidsorganisaties behouden hiermee de keuze om hun e-mailsystemen lokaal te blijven beheren, zonder dat een migratie naar cloudoplossingen noodzakelijk is. Daarnaast bestaat de mogelijkheid om vergelijkbare diensten af te nemen bij andere aanbieders.

Vraag 6

Hoe gaat u erop toezien dat eventuele overstappen van Microsoft Exchange naar de cloud niet zonder risicoanalyses zullen plaatsvinden?

Voor eventuele overstappen van Microsoft Exchange naar cloudoplossingen is het Rijksbrede cloudbeleid 2022 en het bijbehorende Implementatiekader risicoafweging cloudgebruik van toepassing. Dit kader schrijft voor dat bij materieel public cloudgebruik binnen de Rijksdienst verplicht een aantal stappen moet worden doorlopen.
Conform artikel 4 van het Implementatiekader moet voorafgaand aan het gebruik van public clouddiensten een risicoanalyse worden uitgevoerd volgens een formeel vastgestelde risicomanagementmethodiek die voldoet aan de Baseline Informatiebeveiliging Overheid (BIO). In deze risicoanalyse moet aandacht zijn voor de context van het cloudgebruik, relevante risico's, technische en organisatorische maatregelen, en een beoordeling van deze maatregelen.
Specifiek voor Microsoft Exchange-migraties naar de cloud is belangrijk dat:
Vanuit de coördinerende rol wordt toegezien op de naleving van deze kaders. De departementen moeten jaarlijks rapporteren aan CIO Rijk over hun materieel public cloudgebruik en de risico's daarvan. CIO Rijk gebruikt deze rapportages in de jaarlijkse cyclus van CIO-gesprekken en beoordeelt deze op uitzonderlijke risico's.
Daarnaast kunnen de Auditdienst Rijk, de Algemene Rekenkamer en inspectiediensten een rol spelen in het toezicht op de naleving van deze kaders.

Vraag 7

Kunt u de beantwoording van deze vragen binnen drie weken, maar uiterlijk drie dagen vóór het debat over de migraties van overheids-ICT naar het buitenland, aan de Kamer doen toekomen?

Vraag 1

Is de gedeeltelijke migratie van de 58.000 digitale werkplekken van ambtenaren naar de public cloud strikt noodzakelijk? Waaruit blijkt dit?1

De migratie van de werkplekken van de Rijksoverheid die SSC-ICT aan het voorbereiden is, is noodzakelijk omdat meerdere componenten van de huidige werkplek op korte termijn niet meer ondersteund worden (End of Support) of zelfs het einde van hun levensduur hebben bereikt (End of Life). Het eerste geldt bijvoorbeeld voor Windows 10 (oktober 2025) en het tweede voor Ivanti (december 2026). Om continuïteit te borgen is het dus noodzakelijk deze componenten te vervangen. Daarnaast is het vanuit beveiligingsoogpunt van belang om over te stappen naar een modernere en veiligere werkplek. De migratie naar de nieuwe werkplek betreft overigens geen migratie naar de cloud. Alle documenten en mails blijven in de eigen overheid-datacenters; alleen bepaalde beheerapplicaties gaan deels naar de cloud2.

Vraag 2

Hoeveel zou de voorgenomen cloudmigratie kosten?

De migratie wordt deels bekostigd uit het al aan SSC-ICT beschikbaar gestelde ICT-budget dat bedoeld is voor doorontwikkeling van haar ICT-diensten. Daarnaast is een aanvullend budget van € 8,7 mln. voorzien voor migratie- en uitrolkosten.

Vraag 3

Deelt u de mening dat cloudmigraties van overheids-ICT naar Amerikaanse techgiganten geen vanzelfsprekendheid meer moeten zijn, gezien de onvoorspelbare geopolitieke situatie en de reële kans op een handelsoorlog met de Verenigde Staten?

Iedere cloudmigratie moet weloverwogen plaatsvinden, conform de waarborgen zoals gesteld in onder meer het Rijksbreed cloudbeleid 2022. Daarnaast is het voorkomen van risicovolle strategische afhankelijkheden een belangrijk onderdeel vanuit de Agenda DOSA.3
Een van de maatregelen die het kabinet neemt, is de herziening van het rijksbrede cloudbeleid, dat u medio 2025 ontvangt. In dit beleid wordt het gebruik van public cloud aangescherpt. Cloudtechnologie biedt onmiskenbare voordelen, zoals flexibiliteit, innovatie en gebruiksgemak, maar vereist ook zorgvuldige afwegingen om de digitale autonomie en veiligheid te waarborgen. Deze aspecten krijgen nadrukkelijker een plek in het nieuwe beleid.
Daarnaast wordt actief met Europese partners samengewerkt aan alternatieve oplossingen en een goed functionerende Europese markt. Het blijft daarom van belang om risico’s zorgvuldig af te wegen en waar nodig passende maatregelen te treffen, zoals ook bij de nieuwe werkplek van SSC-ICT is gebeurd. De uiteindelijke acceptatie van de (rest)risico’s zal voorgelegd worden (ter acceptatie) aan de afnemers van de werkplek van SSC-ICT.4

Vraag 4

Klopt het dat DICTU en de Belastingdienst ook voornemens zijn om de digitale werkplekken (gedeeltelijk) naar de public cloud verhuizen?2

In het Jaarplan 2025 Belastingdienst dat uw Kamer op 11 december 2024 heeft ontvangen, is aangegeven dat de Belastingdienst voornemens is om in 2025 alle werkplekken naar M365 te migreren. Dit gebeurt gecontroleerd en weloverwogen. De implementatie van de migratie is op dit moment nog niet gestart. De Belastingdienst volgt de recente geopolitieke ontwikkelingen en zal in lijn handelen met het herijkte Cloudbeleid en implementatieplan dat door BZK wordt opgesteld en medio 2025 zal worden opgeleverd.
DICTU maakt in zijn digitale werkplek gebruik van public clouddiensten van Microsoft, maar niet van de gehele Microsoft werkplek. De belangrijkste public cloudapplicaties die door DICTU worden ingezet zijn Teams, Onedrive en Exchange Online. Deze zijn beschikbaar voor de ca. 20.000 werknemers van de Ministeries EZ, KGG en LVVN.
Voordat bovenstaande clouddiensten in gebruik genomen zijn, zijn risicoanalyses uitgevoerd op het gebied van dataprivacy en security conform het Rijkscloudbeleid.

Vraag 5

Welke cruciale software-componenten van de huidige digitale werkplek worden vanaf eind 2026 niet meer ondersteund door de leverancier(s)? Is dit door de leverancier(s) aan u bevestigd? Om welke leverancier(s) gaat het?

De software die nu nog wordt gebruikt en die na december 2026 niet meer wordt ondersteund, betreft Ivanti Workspace Control. Dit is bevestigd door de leverancier Ivanti.
Ivanti Workspace Control is een softwareoplossing die IT-beheerders helpt bij het beheren en beveiligen van gebruikersomgevingen in Windows-omgevingen. Het zorgt ervoor dat medewerkers altijd en overal toegang hebben tot hun persoonlijke werkplek, ongeacht het apparaat of de locatie.
Ook Windows 10 dat op de meeste werkplekken in gebruik is, is aan het eind van de levenscyclus. Hier is wel nog (tegen additionele kosten) ondersteuning voor beschikbaar, maar gelet op de noodzakelijke werkzaamheden is het raadzaam om deze vernieuwingsacties te combineren.

Vraag 6

Heeft de leverancier / hebben de leveranciers van deze cruciale software-componenten bevestigd dat een oplossing, waarbij de gegevens en verwerking daarvan binnen de overheid blijven, definitief niet meer beschikbaar zal zijn?

Zie het antwoord op vraag 5. De software van Ivanti die op dit moment in gebruik is, is na 2026 niet meer te gebruiken; ook niet in een on premise variant.

Vraag 7

In de nieuwe digitale werkplek wordt volgens u «beperkt gebruik gemaakt van cloud-gebaseerde beheertoepassingen.» Om welke toepassingen van welke leverancier(s) gaat dit?

Om de nieuwe DWR2.0 werkplek te kunnen beheren en up-to-date en veilig te houden, wordt in die werkplek gebruik gemaakt van een aantal clouddiensten, waaronder Netskope, Microsoft inTune en Microsoft Defender. Deze slaan de inhoudelijke data niet op, maar zorgen ervoor dat de omgeving veilig blijft (zoals het voorkomen van malware, phishing links, etc.). Dit wordt ook wel aangeduid als «data in transit». Om dit mogelijk te maken, slaan de applicaties tijdelijk metadata en logging data op. Dat is informatie over de data, zoals de gebruikers-id, de naam van de gebruikte applicaties, het aantal up- en downloads, de datum waarop de gegevens zijn aangemaakt, het gebruikte toestel, etc. Deze gegevens staan tijdelijk in de public cloud van de leverancier (6 maanden voor MS en een zelf te configureren periode voor Netskope), t.b.v. monitoring door het Security Operations Center (SOC) van SSC-ICT. Inhoudelijke data worden hierbij niet opgeslagen.

Vraag 8

Uit welk land komt de beoogde leverancier / komen de beoogde leveranciers? Waar vindt de opslag en verwerking van gegevens plaats in deze «cloud-gebaseerde beheertoepassingen»? Welke gegevens betreft dit? En gaat overheidscommunicatie in zichtbare (onversleutelde) vorm door de servers van deze leverancier(s)?

Netskope en Microsoft zijn Amerikaanse leveranciers. Zoals aangegeven bij het antwoord op vraag 7, gaat het om data in transit. Alle data in transit is versleuteld.

Vraag 9

Is de CLOUD Act of soortgelijke wetgeving, die geforceerde toegang tot data mogelijk maakt, van toepassing op gegevens die verwerkt worden onder de «cloud-gebaseerde beheertoepassingen»?

In algemene zin geldt dat de potentiële extraterritoriale werking van Amerikaanse wetgeving ertoe kan leiden dat Amerikaanse cloudaanbieders in specifieke situaties verplicht worden om gegevens van cloudgebruikers over te dragen aan Amerikaanse inlichtingendiensten. Op verzoek van het NCSC heeft Greenberg Traurig onderzoek gedaan naar onder andere de kans dat gegevens van Europese burgers op basis van de CLOUD-act verstrekt zullen worden aan de Amerikaanse overheid. Op basis van de daaromtrent beschikbare informatie is geconcludeerd dat deze kans laag is6.
In de casus van de nieuwe werkplek van SSC-ICT wordt echter geen overheidsdata opgeslagen op de Amerikaanse cloud; documenten en mail blijven in de eigen datacenters staan. De enige data die door deze leveranciers verwerkt wordt is metadata en logging data (zie ook vraag 8).

Vraag 10

U kondigt aan «nieuwe aanpassingen zoals de gereduceerde afhankelijkheid van de publiek cloud, de ingebouwde waarborgen.» Welke afhankelijkheden blijven er over? Om welke waarborgen gaat het?

De gereduceerde afhankelijkheid zit in het feit dat al het interne verkeer, dus tussen werkplek en alles wat in de eigen datacenters draait (eigen applicaties, mail, documenten, etc.), uitsluitend over eigen infrastructuur loopt en niet door de Netskope-cloudoplossing wordt verwerkt. Daarnaast laat ik onderzoeken of hier bovenop ook onderdelen van de cloudoplossing «on premise» (in het volledig in eigen beheer zijnde OverheidsDataCenter (ODC)) kunnen worden opgesteld en beheerd, zodat ook verkeer naar externe bronnen via de eigen datacenters loopt.
Mitigerende maatregelen worden tevens besproken in het antwoord op vraag 12

Vraag 11

Kunt u toezeggen om in de aangekondigde pilot te meten hoeveel data wordt gestuurd naar / via derde partijen, en ook om te meten wanneer het niet duidelijk is om welke partijen het gaat? Kunt u duidelijk maken of het gaat om persoonsgegevens, en zo ja, om welke persoonsgegevens? Kunt u dit in ieder geval meten voor processen zoals printen, mailen en tekstverwerking, en verslag uitbrengen aan de Kamer en extern laten valideren?

Zoals hierboven aangeven, wordt alleen de metadata en logging data van de transactie gerapporteerd. Zie hiervoor het antwoord op vraag 7. Het gaat dus niet om persoonsgegevens.

Vraag 12

Hoe gaat u komen tot een betrouwbare digitale werkplek waar alle afhankelijkheden zijn weggenomen?

Als onderdeel van de implementatie van de nieuwe werkplek door SSC-ICT zijn er al diverse risicoanalyses uitgevoerd, ook op het gebied van betrouwbaarheid, beveiliging en privacy. Naar aanleiding daarvan is een groot aantal maatregelen op deze gebieden afgesproken, die voor de start van de uitrol geïmplementeerd en getoetst zullen worden. M.b.t. afhankelijkheden zal ik blijven onderzoeken hoe deze zoveel mogelijk weggenomen kunnen worden. Op periodieke basis worden de verschillende onderdelen van de werkplek heroverwogen waarbij rekening wordt gehouden met effecten op gebruikersbeleving, security, privacy, beheersbaarheid, kosten, autonomie & continuïteit. Hierbij wordt bijvoorbeeld ook gekeken naar mogelijkheden op het gebied van open source.
Het volledig wegnemen van alle afhankelijkheden bij een digitale werkplek is in de praktijk niet realistisch en ook niet altijd noodzakelijk. Verschillende componenten in de digitale wereld zijn inherent met elkaar verbonden en kennen wederzijdse afhankelijkheden. Het streven is om risico's te beheersen tot een aanvaardbaar niveau en weloverwogen keuzes te maken. In het herziene rijksbrede cloudbeleid, dat u medio 2025 ontvangt, wordt deze aanpak verder uitgewerkt. Tegelijkertijd blijft het kabinet innovatie en digitale transformatie mogelijk maken waar dat verantwoord kan.

Vraag 13

Bent u bereid om onze inlichtingen- en veiligheidsdiensten om advies te vragen over de afhankelijkheden die zullen ontstaan door de voorgenomen migratie van de digitale werkplek? Kunt u dit advies op hoofdlijnen delen met de Kamer en meewegen in uw overwegingen over de migratie?

Er is aan meerdere partijen advies gevraagd, waaronder inlichtingen- en veiligheidsdiensten. Ik ben nog in overleg hoe we op hoofdlijnen, al dan niet vertrouwelijk, de adviezen van de inlichtingen-en veiligheidsdiensten kunnen delen. Hun adviezen zijn ter harte genomen en meegewogen in het huidige ontwerp.

Vraag 14

Wordt data uit de door SSC-ICT-ontworpen werkplekken straks lokaal én in de cloud opgeslagen, of alleen nog maar lokaal? Zijn er derde partijen die, door hun positie in de gekozen oplossing, tijdelijk zicht krijgen op onze data als deze door hun toepassingen heenstroomt?

Zie antwoord op vraag 7.

Vraag 15

Wat betekent het dat data «vooralsnog» op de eigen datacenters wordt opgeslagen? Wanneer zou dit niet meer het geval zijn?

De werkplek-data blijft nu in de eigen datacenters. Naar aanleiding van het nieuwe cloudbeleid kan bij de doorontwikkeling van de werkplek hierin verandering optreden. Maar op dit moment is dat niet aan de orde.

Vraag 16

Met hoeveel zekerheid kunt u zeggen dat er geen gevoelige overheidsinformatie of persoonsgegevens worden verwerkt op de 58.000 digitale werkplekken, als u in uw brief aan de Kamer aangeeft dat hier «gewoonlijk» geen sprake van is?

Het blijft de verantwoordelijkheid van de individuele ambtenaar om conform de geldende regelgeving veilig met informatie en gegevens om te gaan. In de nieuwe werkplek is de manier van gegevens verwerken niet anders dan nu het geval is. Via gerichte communicatie en instructies kan dit verder worden ondersteund.

Vraag 17

Kunt u deze vragen afzonderlijk van elkaar en indien mogelijk nog vóór het plenaire debat over de migratie van overheids-ICT naar het buitenland beantwoorden?

Zie alle bovenstaande antwoorden op de gestelde vragen.

Vraag 1

Bent u de mening toegedaan dat de constatering uit uw kabinetsreactie dat de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en de politie «hun rollen onder bijzondere omstandigheden [vervullen] waarbij alertheid en veiligheidsbewustzijn hoog in het vaandel staan»1, strookt met de bevindingen van de Audit Dienst Rijk (ADR) in zijn rapport Beveiligingsproces van staatsgeheime vertrouwelijke informatie bij NCTV en politie2? Zo ja, kunt u dit onderbouwen aan de hand van het ADR-rapport?

Vraag 2

Wat maakte dat, zoals de ADR stelt, rapportages over het toezicht op beveiligingsmaatregelen binnen de NCTV geen impact hadden en niet door het managementteam (MT) van de NCTV werden gelezen? Wat maakte dat het MT geen baseline van beveiligingsmaatregelen liet inrichten, niet aanstuurde op compartimentering en het need-to-know-principe en geen controles op de beveiligingsmaatregelen liet uitvoeren? Wat zegt dit over het belang dat het management van de NCTV hecht aan beveiliging? Hoe kon deze werkcultuur ontstaan?

Vraag 3

Was het bij het MT van de NCTV bekend dat, naar uw kabinetsreactie, de NCTV voor het vervullen van haar rol in de bescherming van onze (nationale) veiligheid bijzondere informatie verwerkt en daarmee een interessant doelwit voor statelijke en niet-statelijke actoren is? Zo ja, wat maakte dat uit het rapport van de ADR is op te maken dat binnen het MT een volledig gebrek aan aandacht leek te zijn voor de beveiliging van die bijzondere informatie? Kunnen we hieruit opmaken dit dat de bescherming van onze (nationale) veiligheid van ondergeschikt belang was voor het MT van de NCTV? Zo nee, waar blijkt dat dan uit?

Vraag 4

Wat doet het met de geloofwaardigheid van dreigingsbeelden mede opgesteld door de NCTV, zoals het Dreigingsbeeld Statelijke Actoren 2 uit 2022, als de NCTV blijkens de bevindingen van de ADR niet handelde naar de door zichzelf hoog ingeschatte dreiging vanuit statelijke actoren en niet de benodigde basismaatregelen trof om zich tegen de inlichtingenactiviteiten daarvanuit te weren?

Vraag 5

Kunt u alle documenten aan de Kamer verstrekken over de beveiligingssituatie van de NCTV die in de afgelopen tien jaar bij de NCTV, de directeur-generaal van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD), de secretaris-Generaal van het Ministerie van Justitie en Veiligheid (JenV) of de Minister van JenV zijn aangeleverd?

Vraag 6

Zijn er meer rapporten door de ADR over de NCTV geschreven in de afgelopen tien jaar? Zo ja, kunt u die aan de Kamer verstrekken?

Vraag 7

Welke acties gaat u ondernemen om het toezicht op de NCTV op de lange termijn te verbeteren?

Vraag 8

Zijn er NCTV-medewerkers geweest die op basis van vertrouwen extra ruimte kregen om zich niet aan alle geldende beveiligingsmaatregelen te houden, zoals dat ze vanuit huis met staatsgeheimen mochten werken? Zo ja, welke afspraken zijn hierover gemaakt? Op welk niveau is daar toestemming voor gegeven?

Vraag 9

Zijn er situaties bij de NCTV geweest waarbij toegestaan of gedoogd werd dat medewerkers tegen de beveiligingsregels in vertrouwelijke of staatsgeheime informatie van de NCTV op gegevensdragers verzamelden en mee naar huis namen?

Vraag 10

Zijn er situaties bij de NCTV geweest waarbij toegestaan of gedoogd werd dat medewerkers tegen de beveiligingsregels in een eigen schaduwadministratie bijhielden van Nederlandse personen of organisaties?

Vraag 11

Hoe beoordeelt u de uitspraak van de NCTV in 2021 dat hij zich niet herkende in het «geschetste beeld van een medewerker die een eigen harde schijf mee zou nemen» en dat het «medewerkers niet toegestaan [is] privéapparaten aan te sluiten op werkcomputers»3? Had de NCTV op dat moment inderdaad geen zicht op het gebruik van eigen gegevensdragers of apparatuur door medewerkers binnen de organisatie? Is er nog nadere informatie in deze context waarover de Kamer geïnformeerd moet worden?

Vraag 12

Hoe kijkt u aan tegen het handelen van de BVA van het Ministerie van JenV tot aan het moment dat het lek bekend werd? Hoe kon het dat de BVA in de nota uit 2022 geen opmerking maakte over de gedateerde basis van de beveiligingsmaatregelen van de NCTV, noch over het ontbreken van Stg-accreditatie? Hoe kon het daarnaast dat de BVA geen maatregelen trof wanneer NCTV-analisten geen rechtsgeldige VGB hadden? Kwam dit enkel door het gebrek van een (voldoende) eigenstandige informatiepositie van de BVA, of zijn er ook situaties geweest waarin de BVA niet of onvoldoende geacteerd heeft wanneer daar wel aanleiding toe was? Zo ja, wat vindt u daarvan?

Vraag 13

Hoe wordt de Beveiligingsautoriteit (BVA) van J&V aangestuurd en aan wie legt deze verantwoording af? In welke mate is de BVA in staat om onafhankelijk te handelen? Welke mogelijkheden had en heeft de BVA om in geval van misstanden te escaleren?

Vraag 14

Hoe kan met het oog op de in het ADR-rapport genoemde misstanden in de toekomst worden gegarandeerd dat de BVA van JenV als derdelijns toezichthouder tijdig op de hoogte is van beveiligingsfouten en deze mitigeert?

Vraag 15

Is het functioneren van het BVA-stelsel conform artikel 11 van het Besluit BVA-stelsel Rijksdienst 2021 drie jaar na inwerkingtreding (oftewel 1 januari 2024) geëvalueerd4? Zo ja, wilt u de resultaten aan de Kamer doen toekomen? Zo nee, wilt u het stelsel op korte termijn alsnog laten evalueren, de controle op de verwerking van staatsgeheim gerubriceerde informatie hiervoor expliciet als aandachtspunt meegeven en de Kamer over de resultaten informeren?

Vraag 16

In welke mate hebben klokkenluiders binnen de NCTV en het CTER-cluster van de politie voldoende mogelijkheden om misstanden binnen de eigen organisatie op het gebied van insider threat en het ontbreken van beveiligingsmaatregelen aan te kaarten, en genieten zij genoeg bescherming?

Vraag 17

Is de klokkenluidersregeling in het domein van staatsgeheim gerubriceerde informatie voldoende ingericht? Welke mogelijkheden zijn er op dit gebied voor klokkenluiders?

Vraag 18

Van hoeveel gegevensdragers met daarop staatsgeheim gerubriceerde informatie is op dit moment nog onbekend waar deze zich bevinden? Hoe schat u de impact hiervan in op onze nationale veiligheid?

Vraag 19

Van hoeveel Nederlandse burgers (exact of naar schatting) is via dit lek persoonlijke informatie bij de Marokkaanse inlichtingen- en/of veiligheidsdienst terecht gekomen?

Vraag 20

Welke overige informatie is bij de Marokkaanse inlichtingen- en/of veiligheidsdienst terecht gekomen?

Vraag 21

Wat betekent dit lek voor de persoonlijke situatie en veiligheid van de Nederlandse burgers in kwestie? Hoe beoordeelt u de rechtspositie van deze burgers? Hoe schat u het risico in dat hun informatie door de Marokkaanse diensten als chantagemateriaal gebruikt kan worden? Kunt u dit onderbouwen?

Vraag 22

Van hoeveel van deze burgers waren de gegevens zonder geldend wettelijk kader door de NCTV verworven?

Vraag 23

Hoe gaat u ervoor zorgen dat al deze burgers conform de Algemene Verordening Gegevensbescherming (AVG) geïnformeerd worden over het feit dat hun gegevens betrokken zijn bij een datalek? Verwacht u dat burgers voor dit feit gecompenseerd moeten worden?

Vraag 24

Heeft u hierover contact gehad met de Autoriteit Persoonsgegevens? Zo ja, wat is uit de gesprekken gekomen? Zo nee, bent u bereid dit alsnog te doen en de Kamer over de uitkomst te informeren?

Vraag 25

Zijn het Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie (VIRBI 2013) en de Rubriceringsregeling Politie 2015 ooit geëvalueerd? Zo ja, wilt u de resultaten aan de Kamer doen toekomen? Zo nee, acht u in het kader van de door de ADR onderzochte lekken van toegevoegde waarde om dit wel te doen?

Vraag 26

Kunt u een overzicht geven van waar binnen de overheid sinds de invoering van het VIRBI 2013 onderzoek is gedaan door instanties als de ADR, de Algemene Rekenkamer (ARK) of de National Security Authority (NSA)5 naar de verwerking van nationaal gerubriceerde informatie of internationaal gerubriceerde informatie (zoals informatie met een rubricering van partnerlanden of EU-, NAVO- of ESA-gerubriceerde informatie)?

Vraag 27

Kunt u een overzicht geven van de sinds de invoering van het VIRBI 2013 geconstateerde onvolkomenheden op het gebied van de verwerking van nationaal of internationaal gerubriceerde informatie, zoals de door de ARK geconstateerde onvolkomenheden in systemen van het Ministerie van Buitenlandse Zaken6?

Vraag 28

Hoe frequent worden de overheidssystemen voor de verwerking van nationaal of internationaal gerubriceerde informatie gecontroleerd door instanties als de ADR, de ARK en de NSA? Kunt u aangeven wanneer elk van de departementen die gerubriceerd materiaal verwerken voor het laatst in het kader hiervan extern zijn onderzocht?

Vraag 29

Kunt u aangeven wat de vigerende wet- en regelgeving is van elk van de typen gerubriceerde informatie die in Nederland verwerkt worden, zoals nationaal gerubriceerde informatie, informatie met een rubricering van partnerlanden, en EU-, NAVO- en ESA-gerubriceerde informatie?

Vraag 30

Kunt u voor elk van deze typen aangeven door wie en hoe hier a) toestemming/accreditatie voor wordt verleend; en b) toezicht op wordt gehouden?

Vraag 31

Hoe wijken deze regimes van toestemming/accreditatie en toezicht af van hoe EU-partnerlanden als Frankrijk en Duitsland deze hebben ingericht, zowel voor nationaal als internationaal gerubriceerde informatie?

Vraag 32

Zijn deze regimes naar uw inzicht zowel in theorie als in praktijk passend gezien o.a. door de NCTV opgestelde dreigingsbeelden? Zo ja, wat is uw onderbouwing daarvoor? Zo nee, welke verbeteringen bent u van plan door te voeren?

Vraag 33

Wat is uw reactie op de aanbeveling in het rapport «Digitale Kroonjuwelen» van Twynstra Gudde dat «centraal, nationaal toezicht noodzakelijk is om tot een adequaat en uniform niveau van beschikbaarheid, vertrouwelijkheid en integriteit van de gegevens, documenten en registraties van Nationaal Belang te komen», waarbij «het toezicht zou kunnen worden ingericht vergelijkbaar met het toezicht op de beveiliging van gerubriceerde informatie van de EU en de NAVO» en «ingezet [wordt] op een initiële accreditatie van de betreffende beveiliging bij de overheidspartijen vóóraf, aangevuld door periodieke inspecties»7?

Vraag 34

Naast nationaal gerubriceerde informatie, welke typen internationaal gerubriceerde informatie (zoals informatie met een rubricering van partnerlanden of EU-, NAVO- of ESA-gerubriceerde informatie) verwerken de NCTV en de politie? Waren die allemaal in scope voor het onderzoek van de ADR? Zo nee, waarom niet?

Vraag 35

Kunt u aangeven wat per type gerubriceerde informatie de onderliggende grondslag/toestemming/accreditatie is op basis waarvan de NCTV en/of de politie deze verwerkt?

Vraag 36

Welk van deze typen gerubriceerde informatie zijn mogelijk gecompromitteerd in de door de ADR onderzochte lekken?

Vraag 37

Wat is er tot het moment van onderzoek door de ADR vanuit het toezicht aan audits en inspecties geweest? Welke maatregelen hebben de NCTV en de politie over de jaren genomen op basis van die audits en inspecties?

Vraag 38

Wat is zowel in het heden als op de lange termijn de impact van de lekken op de slagkracht en internationale reputatie van Nederlandse instanties als de I&V-diensten, bijvoorbeeld doordat bronnen en partnerlanden terughoudender zijn geworden in samenwerking? Wat voor maatregelen zijn er genomen om deze impact te minimaliseren?

Vraag 39

In hoeverre bent u bereid om een onafhankelijke commissie samen te stellen die het proces van herstel en bewustwording bij de NCTV kan begeleiden?

Vraag 40

Wilt u deze vragen afzonderlijk en binnen drie weken beantwoorden?

Vraag 1

Bent u bekend met de berichten «Eritrese bijeenkomst afgeblazen, probleem niet opgelost» van 20 maart 20251 en «burgemeester weigert Eritrese bijeenkomst in Rijswijk uit vrees voor rellen» van 11 maart 20252?

Vraag 2

Deelt u de zorgen van de burgemeester van Rijswijk over spanningen binnen de Eritrese gemeenschap?

Vraag 3

Wat is uw reactie op de herhaalde noodkreet van de burgemeester dat gemeenten onvoldoende in staat zijn om hier effectief tegen op te treden? Hoe kan de positie en het instrumentarium van de burgemeester op dit gebied versterkt worden?

Vraag 4

Deelt u haar opvatting dat de spanningen binnen de Eritrese gemeenschap een landelijk probleem is? Zo ja, welke effectieve maatregelen gaat u nemen om de spanningen terug te dringen en om de geweldsdreiging die daarvan uitgaat, mede richting politie, journalisten en hulpverleners, tegen te gaan?

Vraag 5

Bij welk landelijk coördinatiepunt kunnen burgemeesters terecht voor ondersteuning in de aanpak van dit probleem?

Vraag 6

Raakt de manier waarop het Eritrese regime controle uitoefent op de diasporagemeenschap in Nederland en de manier waarop dit bijdraagt aan gewelddadige conflicten binnen de Nederlandse samenleving aan de nationale veiligheid? Kunt u dit onderbouwen? Welke rol heeft de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) in deze kwestie?

Vraag 7

Kunt u deze vragen los van elkaar en binnen drie weken beantwoorden?

Vraag 1

Heeft u kennisgenomen van een aantal schandelijke uitspraken op sociale media, waarin opgeroepen lijkt te worden om in Syrië groepen de vermoorden, zoals https://x.com/HaraldDoornbos/status/1898698085716386054?

Vraag 2

In welke mate hebben de politie en het Openbaar Ministerie (OM) voldoende zicht op dit soort uitingen van haat en oproepen tot geweld vanaf Nederlandse bodem? Hoe frequent komt dit zover u bekend voor?

Vraag 3

Hebben politie en OM de prioriteit, focus en capaciteit om deze vormen van haat op te kunnen sporen en te vervolgen?

Vraag 4

Wil u in gesprek gaan met de politie en het OM hierover en terugkoppelen hoeveel zaken van mensen in Nederland die oproepen tot geweld in Syrië onderzocht en vervolgd worden? Kunt u de uitkomsten van de strafbeschikkingen of rechtszaken hierin geven?

Vraag 5

Kunt u deze vragen een voor een en binnen twee weken beantwoorden?

Vraag 1

Is de gedeeltelijke migratie van de 58.000 digitale werkplekken van ambtenaren naar de public cloud strikt noodzakelijk? Waaruit blijkt dit?1

De migratie van de werkplekken van de Rijksoverheid die SSC-ICT aan het voorbereiden is, is noodzakelijk omdat meerdere componenten van de huidige werkplek op korte termijn niet meer ondersteund worden (End of Support) of zelfs het einde van hun levensduur hebben bereikt (End of Life). Het eerste geldt bijvoorbeeld voor Windows 10 (oktober 2025) en het tweede voor Ivanti (december 2026). Om continuïteit te borgen is het dus noodzakelijk deze componenten te vervangen. Daarnaast is het vanuit beveiligingsoogpunt van belang om over te stappen naar een modernere en veiligere werkplek. De migratie naar de nieuwe werkplek betreft overigens geen migratie naar de cloud. Alle documenten en mails blijven in de eigen overheid-datacenters; alleen bepaalde beheerapplicaties gaan deels naar de cloud2.

Vraag 2

Hoeveel zou de voorgenomen cloudmigratie kosten?

De migratie wordt deels bekostigd uit het al aan SSC-ICT beschikbaar gestelde ICT-budget dat bedoeld is voor doorontwikkeling van haar ICT-diensten. Daarnaast is een aanvullend budget van € 8,7 mln. voorzien voor migratie- en uitrolkosten.

Vraag 3

Deelt u de mening dat cloudmigraties van overheids-ICT naar Amerikaanse techgiganten geen vanzelfsprekendheid meer moeten zijn, gezien de onvoorspelbare geopolitieke situatie en de reële kans op een handelsoorlog met de Verenigde Staten?

Iedere cloudmigratie moet weloverwogen plaatsvinden, conform de waarborgen zoals gesteld in onder meer het Rijksbreed cloudbeleid 2022. Daarnaast is het voorkomen van risicovolle strategische afhankelijkheden een belangrijk onderdeel vanuit de Agenda DOSA.3
Een van de maatregelen die het kabinet neemt, is de herziening van het rijksbrede cloudbeleid, dat u medio 2025 ontvangt. In dit beleid wordt het gebruik van public cloud aangescherpt. Cloudtechnologie biedt onmiskenbare voordelen, zoals flexibiliteit, innovatie en gebruiksgemak, maar vereist ook zorgvuldige afwegingen om de digitale autonomie en veiligheid te waarborgen. Deze aspecten krijgen nadrukkelijker een plek in het nieuwe beleid.
Daarnaast wordt actief met Europese partners samengewerkt aan alternatieve oplossingen en een goed functionerende Europese markt. Het blijft daarom van belang om risico’s zorgvuldig af te wegen en waar nodig passende maatregelen te treffen, zoals ook bij de nieuwe werkplek van SSC-ICT is gebeurd. De uiteindelijke acceptatie van de (rest)risico’s zal voorgelegd worden (ter acceptatie) aan de afnemers van de werkplek van SSC-ICT.4

Vraag 4

Klopt het dat DICTU en de Belastingdienst ook voornemens zijn om de digitale werkplekken (gedeeltelijk) naar de public cloud verhuizen?2

In het Jaarplan 2025 Belastingdienst dat uw Kamer op 11 december 2024 heeft ontvangen, is aangegeven dat de Belastingdienst voornemens is om in 2025 alle werkplekken naar M365 te migreren. Dit gebeurt gecontroleerd en weloverwogen. De implementatie van de migratie is op dit moment nog niet gestart. De Belastingdienst volgt de recente geopolitieke ontwikkelingen en zal in lijn handelen met het herijkte Cloudbeleid en implementatieplan dat door BZK wordt opgesteld en medio 2025 zal worden opgeleverd.
DICTU maakt in zijn digitale werkplek gebruik van public clouddiensten van Microsoft, maar niet van de gehele Microsoft werkplek. De belangrijkste public cloudapplicaties die door DICTU worden ingezet zijn Teams, Onedrive en Exchange Online. Deze zijn beschikbaar voor de ca. 20.000 werknemers van de Ministeries EZ, KGG en LVVN.
Voordat bovenstaande clouddiensten in gebruik genomen zijn, zijn risicoanalyses uitgevoerd op het gebied van dataprivacy en security conform het Rijkscloudbeleid.

Vraag 5

Welke cruciale software-componenten van de huidige digitale werkplek worden vanaf eind 2026 niet meer ondersteund door de leverancier(s)? Is dit door de leverancier(s) aan u bevestigd? Om welke leverancier(s) gaat het?

De software die nu nog wordt gebruikt en die na december 2026 niet meer wordt ondersteund, betreft Ivanti Workspace Control. Dit is bevestigd door de leverancier Ivanti.
Ivanti Workspace Control is een softwareoplossing die IT-beheerders helpt bij het beheren en beveiligen van gebruikersomgevingen in Windows-omgevingen. Het zorgt ervoor dat medewerkers altijd en overal toegang hebben tot hun persoonlijke werkplek, ongeacht het apparaat of de locatie.
Ook Windows 10 dat op de meeste werkplekken in gebruik is, is aan het eind van de levenscyclus. Hier is wel nog (tegen additionele kosten) ondersteuning voor beschikbaar, maar gelet op de noodzakelijke werkzaamheden is het raadzaam om deze vernieuwingsacties te combineren.

Vraag 6

Heeft de leverancier / hebben de leveranciers van deze cruciale software-componenten bevestigd dat een oplossing, waarbij de gegevens en verwerking daarvan binnen de overheid blijven, definitief niet meer beschikbaar zal zijn?

Zie het antwoord op vraag 5. De software van Ivanti die op dit moment in gebruik is, is na 2026 niet meer te gebruiken; ook niet in een on premise variant.

Vraag 7

In de nieuwe digitale werkplek wordt volgens u «beperkt gebruik gemaakt van cloud-gebaseerde beheertoepassingen.» Om welke toepassingen van welke leverancier(s) gaat dit?

Om de nieuwe DWR2.0 werkplek te kunnen beheren en up-to-date en veilig te houden, wordt in die werkplek gebruik gemaakt van een aantal clouddiensten, waaronder Netskope, Microsoft inTune en Microsoft Defender. Deze slaan de inhoudelijke data niet op, maar zorgen ervoor dat de omgeving veilig blijft (zoals het voorkomen van malware, phishing links, etc.). Dit wordt ook wel aangeduid als «data in transit». Om dit mogelijk te maken, slaan de applicaties tijdelijk metadata en logging data op. Dat is informatie over de data, zoals de gebruikers-id, de naam van de gebruikte applicaties, het aantal up- en downloads, de datum waarop de gegevens zijn aangemaakt, het gebruikte toestel, etc. Deze gegevens staan tijdelijk in de public cloud van de leverancier (6 maanden voor MS en een zelf te configureren periode voor Netskope), t.b.v. monitoring door het Security Operations Center (SOC) van SSC-ICT. Inhoudelijke data worden hierbij niet opgeslagen.

Vraag 8

Uit welk land komt de beoogde leverancier / komen de beoogde leveranciers? Waar vindt de opslag en verwerking van gegevens plaats in deze «cloud-gebaseerde beheertoepassingen»? Welke gegevens betreft dit? En gaat overheidscommunicatie in zichtbare (onversleutelde) vorm door de servers van deze leverancier(s)?

Netskope en Microsoft zijn Amerikaanse leveranciers. Zoals aangegeven bij het antwoord op vraag 7, gaat het om data in transit. Alle data in transit is versleuteld.

Vraag 9

Is de CLOUD Act of soortgelijke wetgeving, die geforceerde toegang tot data mogelijk maakt, van toepassing op gegevens die verwerkt worden onder de «cloud-gebaseerde beheertoepassingen»?

In algemene zin geldt dat de potentiële extraterritoriale werking van Amerikaanse wetgeving ertoe kan leiden dat Amerikaanse cloudaanbieders in specifieke situaties verplicht worden om gegevens van cloudgebruikers over te dragen aan Amerikaanse inlichtingendiensten. Op verzoek van het NCSC heeft Greenberg Traurig onderzoek gedaan naar onder andere de kans dat gegevens van Europese burgers op basis van de CLOUD-act verstrekt zullen worden aan de Amerikaanse overheid. Op basis van de daaromtrent beschikbare informatie is geconcludeerd dat deze kans laag is6.
In de casus van de nieuwe werkplek van SSC-ICT wordt echter geen overheidsdata opgeslagen op de Amerikaanse cloud; documenten en mail blijven in de eigen datacenters staan. De enige data die door deze leveranciers verwerkt wordt is metadata en logging data (zie ook vraag 8).

Vraag 10

U kondigt aan «nieuwe aanpassingen zoals de gereduceerde afhankelijkheid van de publiek cloud, de ingebouwde waarborgen.» Welke afhankelijkheden blijven er over? Om welke waarborgen gaat het?

De gereduceerde afhankelijkheid zit in het feit dat al het interne verkeer, dus tussen werkplek en alles wat in de eigen datacenters draait (eigen applicaties, mail, documenten, etc.), uitsluitend over eigen infrastructuur loopt en niet door de Netskope-cloudoplossing wordt verwerkt. Daarnaast laat ik onderzoeken of hier bovenop ook onderdelen van de cloudoplossing «on premise» (in het volledig in eigen beheer zijnde OverheidsDataCenter (ODC)) kunnen worden opgesteld en beheerd, zodat ook verkeer naar externe bronnen via de eigen datacenters loopt.
Mitigerende maatregelen worden tevens besproken in het antwoord op vraag 12

Vraag 11

Kunt u toezeggen om in de aangekondigde pilot te meten hoeveel data wordt gestuurd naar / via derde partijen, en ook om te meten wanneer het niet duidelijk is om welke partijen het gaat? Kunt u duidelijk maken of het gaat om persoonsgegevens, en zo ja, om welke persoonsgegevens? Kunt u dit in ieder geval meten voor processen zoals printen, mailen en tekstverwerking, en verslag uitbrengen aan de Kamer en extern laten valideren?

Zoals hierboven aangeven, wordt alleen de metadata en logging data van de transactie gerapporteerd. Zie hiervoor het antwoord op vraag 7. Het gaat dus niet om persoonsgegevens.

Vraag 12

Hoe gaat u komen tot een betrouwbare digitale werkplek waar alle afhankelijkheden zijn weggenomen?

Als onderdeel van de implementatie van de nieuwe werkplek door SSC-ICT zijn er al diverse risicoanalyses uitgevoerd, ook op het gebied van betrouwbaarheid, beveiliging en privacy. Naar aanleiding daarvan is een groot aantal maatregelen op deze gebieden afgesproken, die voor de start van de uitrol geïmplementeerd en getoetst zullen worden. M.b.t. afhankelijkheden zal ik blijven onderzoeken hoe deze zoveel mogelijk weggenomen kunnen worden. Op periodieke basis worden de verschillende onderdelen van de werkplek heroverwogen waarbij rekening wordt gehouden met effecten op gebruikersbeleving, security, privacy, beheersbaarheid, kosten, autonomie & continuïteit. Hierbij wordt bijvoorbeeld ook gekeken naar mogelijkheden op het gebied van open source.
Het volledig wegnemen van alle afhankelijkheden bij een digitale werkplek is in de praktijk niet realistisch en ook niet altijd noodzakelijk. Verschillende componenten in de digitale wereld zijn inherent met elkaar verbonden en kennen wederzijdse afhankelijkheden. Het streven is om risico's te beheersen tot een aanvaardbaar niveau en weloverwogen keuzes te maken. In het herziene rijksbrede cloudbeleid, dat u medio 2025 ontvangt, wordt deze aanpak verder uitgewerkt. Tegelijkertijd blijft het kabinet innovatie en digitale transformatie mogelijk maken waar dat verantwoord kan.

Vraag 13

Bent u bereid om onze inlichtingen- en veiligheidsdiensten om advies te vragen over de afhankelijkheden die zullen ontstaan door de voorgenomen migratie van de digitale werkplek? Kunt u dit advies op hoofdlijnen delen met de Kamer en meewegen in uw overwegingen over de migratie?

Er is aan meerdere partijen advies gevraagd, waaronder inlichtingen- en veiligheidsdiensten. Ik ben nog in overleg hoe we op hoofdlijnen, al dan niet vertrouwelijk, de adviezen van de inlichtingen-en veiligheidsdiensten kunnen delen. Hun adviezen zijn ter harte genomen en meegewogen in het huidige ontwerp.

Vraag 14

Wordt data uit de door SSC-ICT-ontworpen werkplekken straks lokaal én in de cloud opgeslagen, of alleen nog maar lokaal? Zijn er derde partijen die, door hun positie in de gekozen oplossing, tijdelijk zicht krijgen op onze data als deze door hun toepassingen heenstroomt?

Zie antwoord op vraag 7.

Vraag 15

Wat betekent het dat data «vooralsnog» op de eigen datacenters wordt opgeslagen? Wanneer zou dit niet meer het geval zijn?

De werkplek-data blijft nu in de eigen datacenters. Naar aanleiding van het nieuwe cloudbeleid kan bij de doorontwikkeling van de werkplek hierin verandering optreden. Maar op dit moment is dat niet aan de orde.

Vraag 16

Met hoeveel zekerheid kunt u zeggen dat er geen gevoelige overheidsinformatie of persoonsgegevens worden verwerkt op de 58.000 digitale werkplekken, als u in uw brief aan de Kamer aangeeft dat hier «gewoonlijk» geen sprake van is?

Het blijft de verantwoordelijkheid van de individuele ambtenaar om conform de geldende regelgeving veilig met informatie en gegevens om te gaan. In de nieuwe werkplek is de manier van gegevens verwerken niet anders dan nu het geval is. Via gerichte communicatie en instructies kan dit verder worden ondersteund.

Vraag 17

Kunt u deze vragen afzonderlijk van elkaar en indien mogelijk nog vóór het plenaire debat over de migratie van overheids-ICT naar het buitenland beantwoorden?

Zie alle bovenstaande antwoorden op de gestelde vragen.

Vraag 1

Heeft u kennisgenomen van het nieuwe beleid van het Openbaar Ministerie omtrent de strafbeschikking?1

Ja.

Vraag 2

Herinnert u zich dat bij de regeling van werkzaamheden van 18 februari 2025 een brief hierover gevraagd is? Kan de Kamer die brief binnen een week verwachten, tezamen met de antwoorden op deze vragen?

Ik doe mijn uiterste best om vragen vanuit uw Kamer zo spoedig mogelijk te beantwoorden. De gevraagde brief, die inmiddels aan uw Kamer is verzonden, vergde afstemming met betrokken partijen zoals het OM, waardoor een week niet haalbaar was.

Vraag 3

Op welke wijze heeft het Openbaar Ministerie overleg gevoerd over dit beleid met de Minister van Justitie en Veiligheid over dit voorstel?

Het OM heeft een jaar geleden in algemene zin aangekondigd de toepassing van de strafbeschikking te zullen verruimen. De toenmalige Minister van Justitie en Veiligheid heeft uw Kamer hierover in een brief van 29 januari 2024 geïnformeerd.2 Ik ben enkele weken voorafgaand aan 1 februari in algemene zin mondeling op de hoogte gesteld dat het OM voornemens was de toepassing van de strafbeschikking uit te breiden. Tijdens een regulier overleg met het College van PG’s op 20 februari 2025 is het onderwerp besproken.

Vraag 4

Kunt u, de Minister van Justitie en Veiligheid, alle schriftelijke stukken over overleg hierover met u en het ministerie aan de Kamer doen toekomen?

Ik heb bekeken welke stukken ik hierover ik heb ontvangen via de lijn. Bijgaand treft u het extract aan van de annotatie die ik heb ontvangen ten behoeve van de bespreking van dit onderwerp met het College van procureurs-generaal en de versie van de instructie die hierbij was gevoegd. Dit is het deel van de annotatie dat ziet op het verruimde strafbeschikkingenbeleid van het OM. Het verslag van dit overleg is nog niet vastgesteld.

Vraag 5

Heeft u, de Minister van Justitie en Veiligheid, ingestemd met deze beleidswijziging?

Het OM functioneert ten aanzien van de strafoplegging in strafzaken zelfstandig en onafhankelijk. Aanpassingen van beleid worden ter kennisneming aan de Minister van Justitie en Veiligheid voorgelegd.

Vraag 6

Bent u, de Minister van Justitie en Veiligheid, het eens met deze beleidswijziging? Indien gedeeltelijk, kunt u dan aangeven met welke gedeeltes wel en met welke gedeeltes niet?

Met behulp van een strafbeschikking kan een officier van justitie zaken zelf afdoen. Het gaat om strafbare feiten waarop maximaal zes jaar gevangenisstraf is gesteld, zoals eenvoudige mishandeling, winkeldiefstal, openbare dronkenschap, bedreiging en rijden onder invloed. Het doel van het vaker toepassen van de strafbeschikking is om de doorlooptijden van strafzaken te verkorten, de rechtspraak te ontlasten en voorraden af te bouwen. Door vaker een strafbeschikking uit te vaardigen kan de strafrechter worden ontlast en de rechterlijke capaciteit worden benut voor de zwaardere strafzaken. Daarnaast streeft het OM ernaar om hiermee meer strafzaken te kunnen afhandelen. Dit leidt er dus toe dat meer criminaliteit sneller kan worden aangepakt. Dit is ook in het belang van slachtoffers. Ik steun in algemene zin deze doelen om doorlooptijden van strafzaken te verkorten en meer criminaliteit aan te pakken. Het vaker afdoen van strafzaken met een strafbeschikking is met het oog op dat doel een geschikt middel, mede uitgaande van de bestaande capaciteitstekorten bij de rechtspraak. Vanzelfsprekend worden alle wettelijke waarborgen rondom de uitvaardiging van strafbeschikkingen in acht genomen, terwijl ook de rechten en belangen van slachtoffers gewaarborgd blijven. In gevallen waarin de officier van justitie het noodzakelijk vindt dat het desbetreffende feit met een vrijheidsstraf wordt bestraft, kan nog steeds tot dagvaarding worden overgegaan en kan vervolgens door de rechter een vrijheidsstraf worden opgelegd.

Vraag 7

Op welke wijze en wanneer bent u, de Minister van Asiel en Migratie, geïnformeerd over deze beleidswijziging?

Het verruimde beleid van het OM is mijn verantwoordelijkheid, niet die van de Minister van Asiel en Migratie.

Vraag 8

Bent u, de Minister van Asiel en Migratie, het eens met deze beleidswijziging? Indien gedeeltelijk, kunt u dan aangeven met welke gedeeltes wel en met welke gedeeltes niet?

Het verruimde beleid van het OM is mijn verantwoordelijkheid, niet die van de Minister van Asiel en Migratie.

Vraag 9

Hoe beoordeelt u het feit dat misdrijven waarvoor een taakstrafverbod geldt (en waarvoor dus een gevangenisstraf opgelegd dient te worden), nu met een strafbeschikking worden afgedaan, waardoor er geen gevangenisstraf voor opgelegd kán worden en alleen een taakstraf of boete? Acht u dat wenselijk?

De uitbreiding van de toepassing van de strafbeschikking betreft op dit moment alleen veelvoorkomende vermogensdelicten. Het OM oefent hierbij zijn taken uit binnen de kaders van de wet. Tot die kaders behoort ook het taakstrafverbod (artikel 22b Wetboek van Strafrecht). In gevallen waarin op grond daarvan geen taakstraf mag worden opgelegd, kan de officier van justitie nog steeds overgaan tot dagvaarding en de zaak voorleggen aan de rechter.

Vraag 10

Hoe beoordeelt u het feit dat asielzoekers, die overtredingen en misdrijven begaan hebben (en mogelijk voor veel overlast zorgen), nu een strafbeschikking zullen krijgen, waardoor zij geen gevangenisstraf meer kúnnen krijgen? Is dit in lijn met het kabinetsbeleid?

De uitbreiding van de toepassing van de strafbeschikking betreft op dit moment alleen veelvoorkomende vermogensdelicten met als doel doorlooptijden te verkorten en meer criminaliteit aan te pakken. Doorlooptijden verkorten en meer criminaliteit aanpakken is in lijn met het kabinetsbeleid.
U doelt op een passage in de instructie over het vervallen van de zogenaamde «contra-indicaties» voor het opleggen van een strafbeschikking, bij recidive en illegale vreemdelingen en asielzoekers. Ik vind het van belang te benadrukken dat ook deze zaken nog steeds voor de rechter kunnen worden gebracht, ook onder deze nieuwe instructie. Die afweging wordt bij iedere zaak door de officier van justitie gemaakt. Daarnaast blijft het doelgroepenbeleid van het OM in stand. Dat betekent dat er extra aandacht is en blijft voor bijvoorbeeld vervolging van overlastgevende asielzoekers en recidivisten. De instructie maakt het echter nu wel mogelijk om ook bij relatief lichte feiten – die nu soms onbestraft blijven door bijvoorbeeld gebrek aan capaciteit of sepots – een strafbeschikking op te leggen. Het opheffen van de contra-indicaties zorgt er in die gevallen voor dat asielzoekers, illegale vreemdelingen en recidivisten niet wegkomen zonder straf, maar een strafbeschikking krijgen. Het toepassen van de strafbeschikking is dus een toevoeging aan het arsenaal van een officier van justitie om strafbare feiten aan te pakken en leidt ertoe dat meer criminaliteit wordt aangepakt. Het OM zal de passage in de instructie bij een eerstvolgende wijziging of volgende instructie op dit punt verhelderen.

Vraag 11

Hoe beoordeelt u het feit dat veelplegers in dit nieuwe beleid een strafbeschikking zullen krijgen, waardoor zij geen gevangenisstraf meer kunnen krijgen? Is dit in lijn met het kabinetsbeleid?

Zoals in het antwoord op vraag 10 is toegelicht, is het doel juist om meer criminaliteit aan te pakken. Bij relatief lichtere recidivefeiten (bijvoorbeeld winkeldiefstal) kan de officier nu ook een strafbeschikking opleggen, terwijl deze feiten anders mogelijk onbestraft waren gebleven. De mogelijkheid tot dagvaarden blijft bestaan wanneer de officier van justitie dit opportuun acht. Doorlooptijden verkorten en meer criminaliteit aanpakken is in lijn met het kabinetsbeleid.

Vraag 12

Kunt u aangeven hoeveel veelplegers en hoeveel asielzoekers in 2024 en 2025 veroordeeld zijn door de rechter tot een gevangenisstraf voor delicten met maximaal 6 jaar gevangenisstraf?

De Rechtspraak registreert niet of een verdachte een asielzoeker of een veelpleger is. Daarom zijn deze cijfers niet beschikbaar. In de jaarlijkse rapportage Incidenten en misdrijven door bewoners van COA- en crisisnoodopvanglocaties geeft het WODC een overzicht van het aantal geregistreerde misdrijven waarvan vreemdelingen die verblijven op een COA-locatie, worden verdacht. Naar verwachting wordt vóór het zomerreces de rapportage over het jaar 2024 door de Minister van Asiel en Migratie aan uw Kamer aangeboden.

Vraag 13

Hoeveel mensen die veroordeeld zijn voor een delict met een taakstrafverbod (in 2024), zouden in 2025 een taakstraf of boete krijgen door dit nieuwe beleid?

Het OM past het nieuwe beleid toe binnen de kaders van de wetgeving. Voor delicten waarvoor een taakstrafverbod geldt wordt dus geen taakstraf opgelegd.

Vraag 14

Hoe beoordeelt u het feit dat de positie van het slachtoffer veel zwakker is bij een strafbeschikking dan bij een procedure voor de strafrechter? Bent u bereid ervoor te zorgen dat wanneer slachtoffers spreekrecht willen uitoefenen, ze dat kunnen doen en er in dat geval dus een rechtszitting komt?

Ook bij afdoening van een zaak met een strafbeschikking is de positie van het slachtoffer geborgd. De officier van justitie houdt bij de toepassing van de strafbeschikking rekening met de belangen van slachtoffers. Hierover heeft de toenmalige Minister voor Rechtsbescherming u uitgebreid geïnformeerd per brief van 9 november 20223 en vervolgens in de tweede4 en derde voortgangsbrief5 meerjarenagenda slachtofferbeleid. Slachtoffers worden er expliciet op gewezen dat zij een schriftelijke slachtofferverklaring kunnen indienen, zodat hun belangen door de officier van justitie kunnen worden meegewogen bij het uitvaardigen van een strafbeschikking. Ook kunnen slachtoffers stukken indienen ter onderbouwing van het verhalen van hun schade op de dader. Daarnaast geldt er op grond van de Aanwijzing OM-strafbeschikking (2022A003) een contra-indicatie voor ernstige spreekrechtwaardige feiten, waardoor er in beginsel geen strafbeschikking zal worden uitgevaardigd voor die feiten wanneer het slachtoffer van zijn spreekrecht gebruik wenst te maken. Het nieuwe beleid van het OM ziet niet op spreekrechtwaardige feiten en de betreffende contra-indicatie wordt daarin niet opgeschort. Verder bepaalt het nieuwe beleid dat bij elk veelvoorkomend vermogensdelict in de strafbeschikking een schadevergoedingsmaatregel kan worden opgelegd als het slachtoffer heeft laten weten dat een schadevergoeding gewenst is. Slachtoffers die van mening zijn dat de zaak toch voor de rechter moet worden gebracht, kunnen op grond van artikel 12 van het Wetboek van Strafvordering een beklagprocedure starten.

Vraag 15

Hoe beoordeelt u het feit dat rechtspleging in principe in de openbaarheid plaatsvindt (artikel 121 van de Grondwet) en dat de strafbeschikking zich aan die openbaarheid onttrekt? Bent u bereid met voorstellen te komen die leiden tot meer openbaarheid rondom de strafbeschikking?

Het gaat hier om de buitengerechtelijke afdoening van relatief lichtere strafzaken. Het doel is om deze snel af te doen en de rechtspraak te ontlasten. Het openbaarheidsvereiste van artikel 121 van de Grondwet geldt alleen voor «terechtzittingen» en ziet daarmee op berechting door de rechter; het strekt zich dus niet uit tot buitengerechtelijke afdoening. Door verzet in te stellen (artikel 257e, Wetboek van Strafvordering) tegen de strafbeschikking kan de verdachte bewerkstelligen dat de zaak alsnog in het openbaar wordt behandeld door de rechter. Opmerking verdient dat de officier van justitie desgevraagd een afschrift van een strafbeschikking verstrekt aan ieder ander dan de verdachte of zijn raadsman, tenzij er sprake is van een wettelijke weigeringsgrond. In dat laatste geval kan de officier van justitie een geanonimiseerd afschrift verstrekken. Indien geen afschrift wordt verstrekt kan de verzoeker een klaagschrift indienen (artikel 257h Wetboek van Strafvordering). Op die wijze is ook bij de strafbeschikking voorzien in een vorm van openbaarheid.
Daarnaast houdt de procureur-generaal bij de Hoge Raad toezicht op het OM. De procureur-generaal heeft in het verleden verschillende onderzoeken naar de toepassing van de strafbeschikking door het OM uitgevoerd. Omdat het (deels en/of verder) openbaren van de procedure omtrent de toepassing van de strafbeschikking ten koste gaat van het doel van de strafbeschikking en er al voldoende toezicht plaatsvindt op de toepassing van de strafbeschikking zie ik geen aanleiding om met voorstellen te komen om de procedure omtrent de strafbeschikking op dit punt te wijzigen.

Vraag 16

Wilt u deze vragen een voor een en binnen een week beantwoorden, aangezien het beleid al een maand geleden is ingegaan en dat dat in alle stilte gebeurd is?

Ik streef er altijd naar een zo spoedig mogelijke beantwoording van Kamervragen. De antwoorden vergen echter afstemming met bijvoorbeeld het OM en de Rechtspraak en daarom is het niet gelukt uw vragen binnen een week te beantwoorden.

Vraag 1

Bent u bekend met het feit dat alle nu beschikbare versies van Microsoft Exchange-servers op 14 oktober a.s. «end of support» zijn en daarmee niet langer door de leverancier ondersteund zullen worden en ook niet meer gebruikt kunnen worden?1 2

Ja, ik ben bekend met het feit dat de huidige versies van Microsoft Exchange Server op 14 oktober 2025 het einde van hun ondersteuningscyclus bereiken. Dit heeft de volgende impact op de ondersteuning vanuit Microsoft:
Voor Exchange Server 2016 is deze informatie sinds 2020 bekend en voor Exchange Server 2019 is de reguliere ondersteuning in januari 2024 verlopen. Extended Security Updates zijn beschikbaar gemaakt tot oktober 2025.
Microsoft heeft in juni 2022 aangekondigd dat de nieuwe versie, Exchange Server Subscription Edition (SE), de opvolger zal zijn van de huidige versies. Deze aankondiging is in mei 2024 herhaald, waarbij tevens de aanbevolen stappen zijn gecommuniceerd ter voorbereiding op de migratie van Exchange 2016 en 2019 naar Exchange SE.
Het is belangrijk om te verduidelijken dat «end of support» niet automatisch betekent dat deze systemen niet meer gebruikt kunnen worden. Het betekent wel dat er na deze datum geen updates meer worden uitgebracht, wat risico's met zich meebrengt voor de veiligheid en stabiliteit van deze systemen. Het is daarom van belang dat organisaties tijdig migreren naar ondersteunde oplossingen

Vraag 2

Op hoeveel plekken binnen de rijksoverheid wordt Microsoft Exchange nog gebruikt? Hoeveel daarvan zijn Exchange 2019 en hoeveel zijn ouder?

Binnen de Rijksoverheid maken vrijwel alle organisaties gebruik van Microsoft Exchange. Door de federatieve opbouw van de overheid zijn er momenteel geen centrale overzichten beschikbaar over de exacte aantallen en versies.
Life cycle management (LCM: het proces om op tijd nieuwe versies in productie te nemen) is een departementale verantwoordelijkheid. Het centraal opslaan van te gedetailleerde informatie buiten deze departementale verantwoordelijkheid wordt als een potentieel beveiligingsrisico beschouwd.
Standaardisatie van gedetailleerde informatie binnen de departementale verantwoordelijkheid heeft hoge prioriteit, maar vergt tijd om te organiseren vanwege het heterogene ICT-landschap binnen de Rijksoverheid.
Er wordt gewerkt aan een verbetering van het centraal geaggregeerd overzicht, waarbij rekening wordt gehouden met bovenstaande aspecten. Bij het antwoord op vraag 3 zal ik verder ingaan op de stappen die worden genomen om beter inzicht te krijgen.

Vraag 3

Indien hier nog geen overzicht van bestaat, bent u bereid om vanuit uw coördinerende rol de betreffende Ministers te vragen u hierover informatie te verstrekken?

Ja, ik ben hiertoe bereid. Bij de beantwoording zal wel een balans gezocht worden tussen cybersecurity, federatieve verantwoordelijkheid en transparantie.
Ik zal de betreffende Ministers vragen om informatie te verstrekken over het gebruik van Microsoft Exchange binnen hun departementen.
Vanuit mijn coördinerende rol wordt jaarlijks een Informatie Beveiligingsbeeld (IBB) opgesteld door de departementen. Uit dit inzicht komen geen risico’s naar boven die betrekking hebben op Microsoft Exchange.
Uw vraag past binnen een bredere aanpak waarin vanuit de coördinerende rol van CIO Rijk wordt gewerkt aan het verbeteren van het inzicht in IT-assets binnen de Rijksoverheid. Deze aanpak richt zich niet exclusief op Microsoft Exchange, maar op IT-asset management in de volle breedte.

Vraag 4

Gezien het feit dat het behoorlijk ingewikkeld is om te upgraden naar de nieuwe, nog uit te komen versie van Exchange die nog wel ondersteund wordt, hoe gaat u erop toezien dat deze systemen tijdig zijn vervangen?3

Ten aanzien van de technische complexiteit van de upgrade wil ik opmerken dat volgens informatie van Microsoft, de overgang naar Exchange Server Subscription Edition (SE) minder complex is dan het lid Six Dijkstra suggereert. Voor organisaties die momenteel Exchange Server 2019 gebruiken met de meest recente cumulatieve update (CU14), zal de update naar Exchange Server SE relatief eenvoudig zijn. Microsoft heeft aangegeven dat Exchange Server SE code-equivalent zal zijn aan Exchange Server 2019 CU15, met uitzondering van enkele kleine wijzigingen. Dit maakt een in-place upgrade mogelijk, vergelijkbaar met het toepassen van een reguliere halfjaarlijkse update. Hierbij is geen volledige herinstallatie nodig maar worden alle bestaande configuraties automatisch overgenomen in de nieuwe versie.
Voor organisaties die nog Exchange Server 2016 gebruiken, wordt geadviseerd om eerst te migreren naar Exchange Server 2019 CU14, alvorens de stap naar Exchange Server SE te maken. Microsoft biedt hierbij diverse ondersteuningsmogelijkheden via Microsoft Unified en FastTrack support.

Vraag 5

Zal het vervangen van Microsoft Exchange in de praktijk een geforceerde overgang naar de cloud betekenen? Kunt u dit antwoord toelichten?

Nee, het vervangen van Microsoft Exchange vanwege het einde van de ondersteuning betekent geen geforceerde overgang naar de cloud.
Zoals Microsoft heeft aangegeven, is Exchange Server Subscription Edition (SE) een nieuwere versie van de binnenkort niet meer ondersteunde Exchange Server 2016 en Exchange Server 2019. Net als deze oudere producten is Exchange Server SE een «on-premises» product dat geïnstalleerd kan worden in eigen datacenters van organisaties.Overheidsorganisaties behouden hiermee de keuze om hun e-mailsystemen lokaal te blijven beheren, zonder dat een migratie naar cloudoplossingen noodzakelijk is. Daarnaast bestaat de mogelijkheid om vergelijkbare diensten af te nemen bij andere aanbieders.

Vraag 6

Hoe gaat u erop toezien dat eventuele overstappen van Microsoft Exchange naar de cloud niet zonder risicoanalyses zullen plaatsvinden?

Voor eventuele overstappen van Microsoft Exchange naar cloudoplossingen is het Rijksbrede cloudbeleid 2022 en het bijbehorende Implementatiekader risicoafweging cloudgebruik van toepassing. Dit kader schrijft voor dat bij materieel public cloudgebruik binnen de Rijksdienst verplicht een aantal stappen moet worden doorlopen.
Conform artikel 4 van het Implementatiekader moet voorafgaand aan het gebruik van public clouddiensten een risicoanalyse worden uitgevoerd volgens een formeel vastgestelde risicomanagementmethodiek die voldoet aan de Baseline Informatiebeveiliging Overheid (BIO). In deze risicoanalyse moet aandacht zijn voor de context van het cloudgebruik, relevante risico's, technische en organisatorische maatregelen, en een beoordeling van deze maatregelen.
Specifiek voor Microsoft Exchange-migraties naar de cloud is belangrijk dat:
Vanuit de coördinerende rol wordt toegezien op de naleving van deze kaders. De departementen moeten jaarlijks rapporteren aan CIO Rijk over hun materieel public cloudgebruik en de risico's daarvan. CIO Rijk gebruikt deze rapportages in de jaarlijkse cyclus van CIO-gesprekken en beoordeelt deze op uitzonderlijke risico's.
Daarnaast kunnen de Auditdienst Rijk, de Algemene Rekenkamer en inspectiediensten een rol spelen in het toezicht op de naleving van deze kaders.

Vraag 7

Kunt u de beantwoording van deze vragen binnen drie weken, maar uiterlijk drie dagen vóór het debat over de migraties van overheids-ICT naar het buitenland, aan de Kamer doen toekomen?

Vraag 1

Bent u bekend met het bericht «De Vonk nodigt omstreden pro-Palestijnse activist Khatib uit voor politiek evenement»?1

Ja.

Vraag 2

In hoeverre vindt u het problematisch dat na meerdere universiteiten ook een politieke partij de zeer omstreden Mohammed Khatib uitnodigt en wil laten spreken op haar bijeenkomst?

Voor haatzaaien en het verheerlijken van geweld is geen plaats in Nederland. De heer Khatib, en de organisatie Samidoun waar hij lid van is, legitimeert, vergoelijkt en verheerlijkt geweld tegen de staat Israël, waaronder geweld door organisaties die op de terrorisme sanctielijst van de Europese Unie staan. Betrokkene heeft ook actief zijn steun uitgesproken voor terroristische organisaties. Deze uitspraken kunnen een radicaliserend effect hebben. Dit heeft er in oktober 2024 toe geleid dat betrokkene vreemdelingrechtelijk gesignaleerd staat. Dit betekent dat betrokkene zal worden geweerd indien hij Nederlands grondgebied wil betreden of hier wordt aangetroffen. Er is in onze rechtsstaat ruimte om scherpe discussies te voeren en hiertoe bijeenkomsten te organiseren, maar altijd binnen de grenzen van de wet. Een politieke partij is zelf verantwoordelijk voor bijeenkomsten die zij organiseren en ook zij wordt geacht te zorgen dat deze plaatsvinden binnen de grenzen van de wet en – in het bijzonder – die gelden voor een beoogd spreker.

Vraag 3

Welke mogelijkheden heeft u om te voorkomen dat de Mohammed Khatib fysiek dan wel online kan spreken bij bijeenkomsten in Nederland en specifiek de bijeenkomst op 13 januari 2025?

Er zijn verschillende mogelijkheden om personen die naar Nederland willen komen om hier extremistisch gedachtegoed te verspreiden fysiek te weren. Dit kan bijvoorbeeld – binnen de daarvoor bestaande wet- en regelgeving – door het weigeren van een visum, een signalering in het Schengeninformatiesysteem of het opleggen van een ongewenstverklaring door de IND. De Minister van Asiel en Migratie heeft, in samenspraak met mij, de betrokkene op 25 oktober 2024 gesignaleerd. Dit betekent dat betrokkene zal worden geweerd indien hij Nederlands grondgebied wil betreden of hier wordt aangetroffen. Deze signalering is nog steeds van kracht.
Als iemand in verband kan worden gebracht met terroristische activiteiten of de ondersteuning hiervan kan ik op basis van de Tijdelijke wet bestuurlijke maatregelen terrorismebestrijding, met het oog op de bescherming van de nationale veiligheid, vrijheidsbeperkende maatregelen opleggen, zoals een gebiedsverbod.
Verder zijn uitingen die in de fysieke wereld strafbaar zijn, ook online strafbaar. Zo kan het Openbaar Ministerie, zodra blijkt dat er (vermoedelijk) strafbare uitlatingen zijn gedaan, besluiten om online sprekers te vervolgen die dergelijke boodschappen online uiten. Ook heeft de Autoriteit online Terroristisch en Kinderpornografisch Materiaal de bevoegdheid verwijderbevelen te sturen indien er online terroristische content wordt verspreid. Die content dient dan binnen één uur te worden verwijderd. Het recht op vrijheid van meningsuiting biedt tegelijkertijd een hoge mate van bescherming voor (online) uitingen, ook als deze op veel weerstand in de samenleving stuiten. Uit recente jurisprudentie blijkt dat de rechter bij de beoordeling van de proportionaliteit van het fysiek weren van sprekers ook de omstandigheid meeweegt dat sprekers nog steeds de mogelijkheid hebben om uitlatingen op een andere wijze te delen, zoals online.2
Ik deel uw mening dat wanneer in het kader van de openbare orde en nationale veiligheid een spreker de toegang tot Nederland is geweigerd, het eveneens onwenselijk is dat diegene online spreekt. Daarom spoor ik de internetsector aan meer te doen om het internet veilig te houden. Gezien de dreiging van online extremisme en terrorisme is het namelijk van belang dat de internetsector naast bestaande wet en -regelgeving, proactieve maatregelen treft om deze dreiging tegen te gaan. Om dit te bevorderen zal ik in Europees verband inzetten op het verkennen van een zorgplicht, waardoor het instellen van proactieve maatregelen mogelijk sneller gerealiseerd kan worden. Daarnaast zet ik in op het weerbaarder maken van internetgebruikers tegen deze online extremistische boodschappen. Over deze inspanningen heb ik uw Kamer recent geïnformeerd middels de nadere uitwerking Versterkte Aanpak Online inzake extremistische en terroristische content.3
Tegelijkertijd zie ik ook dat deze maatregelen niet altijd voldoende zijn om te voorkomen dat extremistische sprekers hun schadelijke boodschappen online verspreiden. Ik wil de komende tijd verkennen of er in het kader van nationale veiligheid mogelijkheden zijn om het handelingsperspectief te verbreden. Ik zal uw Kamer over de uitkomsten hiervan informeren.

Vraag 4

Deelt u de mening dat wanneer er een inreisverbod geldt voor een persoon het eveneens onwenselijk is dat deze persoon online op een bijeenkomst kan spreken? Zo ja, welke stappen bent u voornemens te nemen om in de toekomst te voorkomen dat dit plaatsvindt?

Zie antwoord vraag 3.

Vraag 5

Hoe bent u voornemens uitvoering te geven aan de motie van het lid Eerdmans c.s. over er alles aan te doen om sprekers met extremistische boodschappen de toegang tot Nederland te ontzeggen zolang het netwerk Samidoun nog niet verboden is?2

Voor vreemdelingen die naar Nederland komen om hier extremistisch gedachtegoed te verspreiden en die daarmee een gevaar vormen voor de openbare orde en nationale veiligheid, is in Nederland geen plaats. Zoals op verschillende momenten met uw Kamer is gewisseld, is het kabinet er daarom alles aan gelegen om op te treden tegen deze sprekers.5 Conform Europese en nationale regelgeving kunnen personen die een gevaar vormen voor de openbare orde of nationale veiligheid, belet worden om toegang te krijgen tot Nederland. Dit dient per geval te worden beoordeeld. Bij deze beoordeling baseert de IND zich op beschikbare informatie, zoals een duiding van de NCTV, een ambtsbericht van de AIVD en/of informatie uit de lokale driehoek. Dit is staande praktijk en zet het kabinet voort.

Vraag 6

Bent u bereid om met de burgemeester van Amsterdam in gesprek te gaan om te voorkomen dat Mohammed Khatib zowel online als offline kan spreken?

Ik wijs nogmaals op het feit dat betrokkene staat gesignaleerd en dat betekent dat hij zal worden geweerd indien hij Nederland wil betreden of hier wordt aangetroffen. Daarbij is het aan de organisatoren van een evenement om te voorkomen dat extremistische sprekers een podium krijgen. Het lokaal bestuur is verantwoordelijk voor de handhaving van de openbare orde en maakt daarin een eigen afweging. Voor wat betreft het online weren van sprekers verwijs ik naar de beantwoording van vragen 3, 4 en 7. Tot slot wil ik opmerken dat, gelet op de eerdere extremistische uitlatingen van de heer Khatib, ik het onwenselijk acht dat hem een podium wordt geboden.

Vraag 7

Ontbreken er in uw optiek nog juridische instrumenten om sprekers met extremistische boodschappen structureel en blijvend te weren? Zo ja, welke zijn dat?

Zie antwoord vraag 3.

Vraag 8

Kunt u deze vragen binnen een week beantwoorden?

De vragen zijn zo spoedig mogelijk beantwoord.

Vraag 1

Bent u de mening toegedaan dat de constatering uit uw kabinetsreactie dat de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en de politie «hun rollen onder bijzondere omstandigheden [vervullen] waarbij alertheid en veiligheidsbewustzijn hoog in het vaandel staan»1, strookt met de bevindingen van de Audit Dienst Rijk (ADR) in zijn rapport Beveiligingsproces van staatsgeheime vertrouwelijke informatie bij NCTV en politie2? Zo ja, kunt u dit onderbouwen aan de hand van het ADR-rapport?

Vraag 2

Wat maakte dat, zoals de ADR stelt, rapportages over het toezicht op beveiligingsmaatregelen binnen de NCTV geen impact hadden en niet door het managementteam (MT) van de NCTV werden gelezen? Wat maakte dat het MT geen baseline van beveiligingsmaatregelen liet inrichten, niet aanstuurde op compartimentering en het need-to-know-principe en geen controles op de beveiligingsmaatregelen liet uitvoeren? Wat zegt dit over het belang dat het management van de NCTV hecht aan beveiliging? Hoe kon deze werkcultuur ontstaan?

Vraag 3

Was het bij het MT van de NCTV bekend dat, naar uw kabinetsreactie, de NCTV voor het vervullen van haar rol in de bescherming van onze (nationale) veiligheid bijzondere informatie verwerkt en daarmee een interessant doelwit voor statelijke en niet-statelijke actoren is? Zo ja, wat maakte dat uit het rapport van de ADR is op te maken dat binnen het MT een volledig gebrek aan aandacht leek te zijn voor de beveiliging van die bijzondere informatie? Kunnen we hieruit opmaken dit dat de bescherming van onze (nationale) veiligheid van ondergeschikt belang was voor het MT van de NCTV? Zo nee, waar blijkt dat dan uit?

Vraag 4

Wat doet het met de geloofwaardigheid van dreigingsbeelden mede opgesteld door de NCTV, zoals het Dreigingsbeeld Statelijke Actoren 2 uit 2022, als de NCTV blijkens de bevindingen van de ADR niet handelde naar de door zichzelf hoog ingeschatte dreiging vanuit statelijke actoren en niet de benodigde basismaatregelen trof om zich tegen de inlichtingenactiviteiten daarvanuit te weren?

Vraag 5

Kunt u alle documenten aan de Kamer verstrekken over de beveiligingssituatie van de NCTV die in de afgelopen tien jaar bij de NCTV, de directeur-generaal van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD), de secretaris-Generaal van het Ministerie van Justitie en Veiligheid (JenV) of de Minister van JenV zijn aangeleverd?

Vraag 6

Zijn er meer rapporten door de ADR over de NCTV geschreven in de afgelopen tien jaar? Zo ja, kunt u die aan de Kamer verstrekken?

Vraag 7

Welke acties gaat u ondernemen om het toezicht op de NCTV op de lange termijn te verbeteren?

Vraag 8

Zijn er NCTV-medewerkers geweest die op basis van vertrouwen extra ruimte kregen om zich niet aan alle geldende beveiligingsmaatregelen te houden, zoals dat ze vanuit huis met staatsgeheimen mochten werken? Zo ja, welke afspraken zijn hierover gemaakt? Op welk niveau is daar toestemming voor gegeven?

Vraag 9

Zijn er situaties bij de NCTV geweest waarbij toegestaan of gedoogd werd dat medewerkers tegen de beveiligingsregels in vertrouwelijke of staatsgeheime informatie van de NCTV op gegevensdragers verzamelden en mee naar huis namen?

Vraag 10

Zijn er situaties bij de NCTV geweest waarbij toegestaan of gedoogd werd dat medewerkers tegen de beveiligingsregels in een eigen schaduwadministratie bijhielden van Nederlandse personen of organisaties?

Vraag 11

Hoe beoordeelt u de uitspraak van de NCTV in 2021 dat hij zich niet herkende in het «geschetste beeld van een medewerker die een eigen harde schijf mee zou nemen» en dat het «medewerkers niet toegestaan [is] privéapparaten aan te sluiten op werkcomputers»3? Had de NCTV op dat moment inderdaad geen zicht op het gebruik van eigen gegevensdragers of apparatuur door medewerkers binnen de organisatie? Is er nog nadere informatie in deze context waarover de Kamer geïnformeerd moet worden?

Vraag 12

Hoe kijkt u aan tegen het handelen van de BVA van het Ministerie van JenV tot aan het moment dat het lek bekend werd? Hoe kon het dat de BVA in de nota uit 2022 geen opmerking maakte over de gedateerde basis van de beveiligingsmaatregelen van de NCTV, noch over het ontbreken van Stg-accreditatie? Hoe kon het daarnaast dat de BVA geen maatregelen trof wanneer NCTV-analisten geen rechtsgeldige VGB hadden? Kwam dit enkel door het gebrek van een (voldoende) eigenstandige informatiepositie van de BVA, of zijn er ook situaties geweest waarin de BVA niet of onvoldoende geacteerd heeft wanneer daar wel aanleiding toe was? Zo ja, wat vindt u daarvan?

Vraag 13

Hoe wordt de Beveiligingsautoriteit (BVA) van J&V aangestuurd en aan wie legt deze verantwoording af? In welke mate is de BVA in staat om onafhankelijk te handelen? Welke mogelijkheden had en heeft de BVA om in geval van misstanden te escaleren?

Vraag 14

Hoe kan met het oog op de in het ADR-rapport genoemde misstanden in de toekomst worden gegarandeerd dat de BVA van JenV als derdelijns toezichthouder tijdig op de hoogte is van beveiligingsfouten en deze mitigeert?

Vraag 15

Is het functioneren van het BVA-stelsel conform artikel 11 van het Besluit BVA-stelsel Rijksdienst 2021 drie jaar na inwerkingtreding (oftewel 1 januari 2024) geëvalueerd4? Zo ja, wilt u de resultaten aan de Kamer doen toekomen? Zo nee, wilt u het stelsel op korte termijn alsnog laten evalueren, de controle op de verwerking van staatsgeheim gerubriceerde informatie hiervoor expliciet als aandachtspunt meegeven en de Kamer over de resultaten informeren?

Vraag 16

In welke mate hebben klokkenluiders binnen de NCTV en het CTER-cluster van de politie voldoende mogelijkheden om misstanden binnen de eigen organisatie op het gebied van insider threat en het ontbreken van beveiligingsmaatregelen aan te kaarten, en genieten zij genoeg bescherming?

Vraag 17

Is de klokkenluidersregeling in het domein van staatsgeheim gerubriceerde informatie voldoende ingericht? Welke mogelijkheden zijn er op dit gebied voor klokkenluiders?

Vraag 18

Van hoeveel gegevensdragers met daarop staatsgeheim gerubriceerde informatie is op dit moment nog onbekend waar deze zich bevinden? Hoe schat u de impact hiervan in op onze nationale veiligheid?

Vraag 19

Van hoeveel Nederlandse burgers (exact of naar schatting) is via dit lek persoonlijke informatie bij de Marokkaanse inlichtingen- en/of veiligheidsdienst terecht gekomen?

Vraag 20

Welke overige informatie is bij de Marokkaanse inlichtingen- en/of veiligheidsdienst terecht gekomen?

Vraag 21

Wat betekent dit lek voor de persoonlijke situatie en veiligheid van de Nederlandse burgers in kwestie? Hoe beoordeelt u de rechtspositie van deze burgers? Hoe schat u het risico in dat hun informatie door de Marokkaanse diensten als chantagemateriaal gebruikt kan worden? Kunt u dit onderbouwen?

Vraag 22

Van hoeveel van deze burgers waren de gegevens zonder geldend wettelijk kader door de NCTV verworven?

Vraag 23

Hoe gaat u ervoor zorgen dat al deze burgers conform de Algemene Verordening Gegevensbescherming (AVG) geïnformeerd worden over het feit dat hun gegevens betrokken zijn bij een datalek? Verwacht u dat burgers voor dit feit gecompenseerd moeten worden?

Vraag 24

Heeft u hierover contact gehad met de Autoriteit Persoonsgegevens? Zo ja, wat is uit de gesprekken gekomen? Zo nee, bent u bereid dit alsnog te doen en de Kamer over de uitkomst te informeren?

Vraag 25

Zijn het Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie (VIRBI 2013) en de Rubriceringsregeling Politie 2015 ooit geëvalueerd? Zo ja, wilt u de resultaten aan de Kamer doen toekomen? Zo nee, acht u in het kader van de door de ADR onderzochte lekken van toegevoegde waarde om dit wel te doen?

Vraag 26

Kunt u een overzicht geven van waar binnen de overheid sinds de invoering van het VIRBI 2013 onderzoek is gedaan door instanties als de ADR, de Algemene Rekenkamer (ARK) of de National Security Authority (NSA)5 naar de verwerking van nationaal gerubriceerde informatie of internationaal gerubriceerde informatie (zoals informatie met een rubricering van partnerlanden of EU-, NAVO- of ESA-gerubriceerde informatie)?

Vraag 27

Kunt u een overzicht geven van de sinds de invoering van het VIRBI 2013 geconstateerde onvolkomenheden op het gebied van de verwerking van nationaal of internationaal gerubriceerde informatie, zoals de door de ARK geconstateerde onvolkomenheden in systemen van het Ministerie van Buitenlandse Zaken6?

Vraag 28

Hoe frequent worden de overheidssystemen voor de verwerking van nationaal of internationaal gerubriceerde informatie gecontroleerd door instanties als de ADR, de ARK en de NSA? Kunt u aangeven wanneer elk van de departementen die gerubriceerd materiaal verwerken voor het laatst in het kader hiervan extern zijn onderzocht?

Vraag 29

Kunt u aangeven wat de vigerende wet- en regelgeving is van elk van de typen gerubriceerde informatie die in Nederland verwerkt worden, zoals nationaal gerubriceerde informatie, informatie met een rubricering van partnerlanden, en EU-, NAVO- en ESA-gerubriceerde informatie?

Vraag 30

Kunt u voor elk van deze typen aangeven door wie en hoe hier a) toestemming/accreditatie voor wordt verleend; en b) toezicht op wordt gehouden?

Vraag 31

Hoe wijken deze regimes van toestemming/accreditatie en toezicht af van hoe EU-partnerlanden als Frankrijk en Duitsland deze hebben ingericht, zowel voor nationaal als internationaal gerubriceerde informatie?

Vraag 32

Zijn deze regimes naar uw inzicht zowel in theorie als in praktijk passend gezien o.a. door de NCTV opgestelde dreigingsbeelden? Zo ja, wat is uw onderbouwing daarvoor? Zo nee, welke verbeteringen bent u van plan door te voeren?

Vraag 33

Wat is uw reactie op de aanbeveling in het rapport «Digitale Kroonjuwelen» van Twynstra Gudde dat «centraal, nationaal toezicht noodzakelijk is om tot een adequaat en uniform niveau van beschikbaarheid, vertrouwelijkheid en integriteit van de gegevens, documenten en registraties van Nationaal Belang te komen», waarbij «het toezicht zou kunnen worden ingericht vergelijkbaar met het toezicht op de beveiliging van gerubriceerde informatie van de EU en de NAVO» en «ingezet [wordt] op een initiële accreditatie van de betreffende beveiliging bij de overheidspartijen vóóraf, aangevuld door periodieke inspecties»7?

Vraag 34

Naast nationaal gerubriceerde informatie, welke typen internationaal gerubriceerde informatie (zoals informatie met een rubricering van partnerlanden of EU-, NAVO- of ESA-gerubriceerde informatie) verwerken de NCTV en de politie? Waren die allemaal in scope voor het onderzoek van de ADR? Zo nee, waarom niet?

Vraag 35

Kunt u aangeven wat per type gerubriceerde informatie de onderliggende grondslag/toestemming/accreditatie is op basis waarvan de NCTV en/of de politie deze verwerkt?

Vraag 36

Welk van deze typen gerubriceerde informatie zijn mogelijk gecompromitteerd in de door de ADR onderzochte lekken?

Vraag 37

Wat is er tot het moment van onderzoek door de ADR vanuit het toezicht aan audits en inspecties geweest? Welke maatregelen hebben de NCTV en de politie over de jaren genomen op basis van die audits en inspecties?

Vraag 38

Wat is zowel in het heden als op de lange termijn de impact van de lekken op de slagkracht en internationale reputatie van Nederlandse instanties als de I&V-diensten, bijvoorbeeld doordat bronnen en partnerlanden terughoudender zijn geworden in samenwerking? Wat voor maatregelen zijn er genomen om deze impact te minimaliseren?

Vraag 39

In hoeverre bent u bereid om een onafhankelijke commissie samen te stellen die het proces van herstel en bewustwording bij de NCTV kan begeleiden?

Vraag 40

Wilt u deze vragen afzonderlijk en binnen drie weken beantwoorden?

Vraag 1

Bent u bekend met het bericht «Rechtbank wil zien welke data de politie over burgers verzamelt – maar de politie weigert dat» van Follow the Money?1

Ja, ik ben bekend met het bericht. Het past mij als Minister niet om uitspraken te doen in een lopende rechtszaak.

Vraag 2

Klopt het dat de politie weigert een rechterlijk bevel op te volgen om een forensisch onderzoeker toegang te geven tot haar datasystemen?

Zie antwoord vraag 1.

Vraag 3

Deelt u de mening dat de politie zich aan dergelijke rechterlijke uitspraken heeft te houden en dat politiesystemen ter inzage beschikbaar moeten worden gesteld aan door de rechter benoemde deskundigen? Deelt u de mening dat hiervoor geen dwangsommen nodig zouden moeten zijn?

Aan rechterlijke uitspraken dient in beginsel gevolg te worden gegeven. Indien een partij het oneens is met een einduitspraak van een rechter, kan daartegen hoger beroep worden ingesteld.
Over het algemeen geldt dat een rechter een deskundige kan benoemen die de opdracht krijgt een onderzoek in te stellen. Bestuursorganen dienen medewerking te verlenen aan het onderzoek. Anderzijds regelt de Wet politiegegevens (hierna: Wpg) uitputtend wie en wanneer toegang heeft tot welke politiegegevens in artikel 6a van de Wpg en verplicht de Wpg de verwerkingsverantwoordelijke om passende technische en organisatorische maatregelen te nemen ter bescherming van de rechten van betrokkenen. Bij de verwerking van politiegegevens dient de verwerkingsverantwoordelijke rekening te houden met de eisen uit de Wpg.
De korpschef heeft kenbaar gemaakt dat de politie in gesprek gaat met de deskundige over hoe zij deze kunnen faciliteren in het onderzoek zonder daarbij de bepalingen van de Wpg te overtreden.

Vraag 4

Hoe reflecteert u op de constatering van de rechtbank dat het feit dat de politie burgers onvoldoende inzage geeft in de data die in politiesystemen over hen verzameld is «helaas past in het beeld dat de rechtbank heeft»?

Het past mij niet te reflecteren op een uitspraak in een lopende rechtszaak. Iedere burger heeft recht op inzage in de persoonsgegevens die de politie over hem of haar verwerkt. De betrokkene kan daartoe een schriftelijk verzoek indienen op basis van artikel 25 van de Wpg. Een verzoek om inzage kan echter geheel of gedeeltelijk afgewezen worden wanneer een weigeringsgrond van toepassing is. De weigeringsgronden zijn opgenomen in artikel 27 van de Wpg en hebben onder andere betrekking op de bescherming van de openbare en nationale veiligheid, het vermijden van belemmeringen in gerechtelijke onderzoeken en procedures en de bescherming van rechten en vrijheden van derden. In de meest recente externe Wpg audit uit 2023 wordt de naleving van de Wpg op dit punt voldoende bevonden.2

Vraag 5

Vindt u dat burgers het recht hebben om inzage te krijgen in de gegevens die de politie van hen heeft? Zo ja, onder welke omstandigheden wel en niet? Welke stappen zet u om ervoor te zorgen dat de politie de inzagemogelijkheden voor burgers verbetert? Op welke termijn zijn deze verbeteringen aangebracht?

Zie antwoord vraag 4.

Vraag 6

Op welke termijn verwacht u dat de politie en de Koninklijke Marechaussee de aanbevelingen uit het rapport «Blind vertrouwen?»2 van de Nationale ombudsman uitvoeren? Hoe ziet u erop toe dat dit daadwerkelijk gebeurt? Kunt u hierover blijvend rapporteren aan de Kamer?

In mijn beleidsreactie heb ik aangegeven dat de Minister van Defensie en ik de politie en de KMar zullen vragen om het werkproces verder te verbeteren door te expliciteren hoe een signalering of informatie-uitwisseling met het buitenland impact kan hebben op het leven van burgers. Ik zal dit ook benoemen in mijn gesprekken met het OM. Daarnaast zal ik met betrokken instanties en relevante toezichthouders verkennen of en zo ja, hoe toezicht op de registraties en signalering van de betrokken instanties versterkt moet worden. Ik hoop deze verkenning afgerond te hebben in de eerste helft van 2025. Ik zal hierover berichten in het halfjaarbericht politie. De bij de beleidsreactie gevoegde handreiking zal gedurende het jaar via de reguliere kanalen onder de aandacht gebracht worden bij betrokken overheden en organisaties.

Vraag 7

Met welke instanties, zowel nationaal als internationaal, worden de gegevens van verdachten in de CTER-registratie gedeeld? Worden deze gegevens verwijderd als een registratie onterecht blijkt? Hoe wordt hier nationaal en internationaal op toegezien?

Ik verwijs u voor antwoorden naar het tweede halfjaarbericht politie 20234. Hier is uitgebreid ingegaan op het CTER-proces.

Vraag 8

Welke instanties hebben toegang tot de datasystemen van de politie? Klopt de stelling van de politie dat alleen de Autoriteit Persoonsgegevens hiertoe bevoegd zou zijn, een aanname die de AP zelf weerlegt?

De vereisten rondom de verwerking van politiegegevens zijn vastgelegd in de Wet politiegegevens. Voor het verlenen van toegang tot politiegegevens is een expliciete grondslag in de Wpg of lagere regelgeving (zoals het Besluit politiegegevens) noodzakelijk. Artikel 6a van de Wet politiegegevens stelt dat toegang kan worden verleend tot politiegegevens ten behoeve van het uitvoeren van toezichthoudende of controlerende taken. Dit betreft enkel diegenen die in deze wet zijn aangewezen. Dit zijn de Autoriteit Persoonsgegevens als toezichthouder, maar ook degenen die periodieke audits uitvoeren, privacyfunctionarissen en de functionaris gegevensbescherming. Er is een wijziging van de Wpg voorhanden, waarin ook de toegang tot politiesystemen nader zal worden bezien. Deze wijziging is ingegeven door de benodigde toegang door de Algemene Rekenkamer en Inspectie JenV.

Vraag 9

In welke wetgeving of (interne) protocollen is het recht op toegang tot politiegegevens vastgelegd? Waaruit blijkt dat er geen grondslag is om forensisch onderzoek te verrichten binnen de datasystemen van de politie?

Zie antwoord vraag 8.

Vraag 10

Hoe vaak is het eerder voorgekomen dat vanuit de rechtspraak een partij wordt benoemd die de opdracht krijgt om in de systemen van de politie te kijken? Hoe is daar in eventuele andere gevallen door de politie mee omgegaan?

De politie heeft mij geïnformeerd dat er bij de politie geen eerdere gevallen bekend zijn waarin de rechtbank in een bestuursrechtelijke procedure een deskundige heeft benoemd die toegang dient te worden verleend tot de politiesystemen.

Vraag 11

Wat is volgens u nodig om ervoor te zorgen dat de politie zich op dit gebied aan alle rechterlijke uitspraken houdt? Op welke termijn gaat u dit realiseren?

Ik verwijs u naar het antwoord op vraag 3.

Vraag 12

Hoe beoordeelt u de uitspraak van hoogleraar digitalisering en rechtsstaat Reijer Passchier dat er nieuwechecks and balances nodig zijn omdat de uitvoerende macht door digitalisering alleen maar machtiger wordt ten opzichte van de controlerende macht?

Ik merk op dat het in deze specifieke casus naar mijn idee niet gaat over digitalisering van de uitvoerende macht. Deze casus heeft mijn inziens betrekking op het functioneren van het rechtssysteem bij een verzoek tot inzage in de gegevens die de politie over hem of haar verwerkt. In algemene zin onderschrijf ik dat door digitalisering de mogelijkheden van politie en justitiële diensten toenemen. Het is daarbij van belang dat er een goede balans blijft bestaan tussen de taakuitvoering van deze diensten en de bescherming van de persoonlijke levenssfeer van betrokkenen. Daarbij is transparantie over het gebruik van dergelijke technologieën van groot belang.

Vraag 13

Wat zijn, in het licht van de prioriteit die u als Minister geeft aan werken aan het vertrouwen in de rechtsstaat, uw ambities om de machtsbalans tussen de uitvoerende macht en de controlerende macht te versterken? Wat is daarvoor uw tijdspad en welke middelen zijn nodig om dit te bereiken?

Het kabinet levert een gezamenlijke inspanning om het vertrouwen in onze rechtsstaat te vergroten. Om tot een sterke en beter functionerende democratische rechtsstaat te komen is het nodig te investeren in institutionele vernieuwing die leidt tot weerbare, sterke instituties en betere macht en tegenmacht. De maatregelen die het kabinet hiertoe neemt en de daarvoor beschikbare middelen zijn opgenomen in het regeerprogramma en worden de komende periode nader uitgewerkt.

Vraag 14

Wilt u deze vragen afzonderlijk en binnen drie weken beantwoorden?

Deze vragen zijn zo spoedig als mogelijk was beantwoord. Waar het de kwaliteit van de beantwoording ten goede komt zijn vragen tezamen behandeld.

Vraag 1

Heeft u kennisgenomen van het bericht «Criminelen ontdekken een nieuwe oplichtingstruc: phishing via QR-codes»?1

Ja.

Vraag 2

Heeft u een beeld van de mate waarin phishing via QR-codes in Nederland plaatsvindt op dit moment?

Betrouwbare schattingen van de mate waarin phishing via QR-codes plaatsvindt zijn moeilijk te maken omdat deze gevallen niet apart worden geregistreerd door de politie of de Fraudehelpdesk.
De Fraudehelpdesk heeft tot op heden nog geen meldingen ontvangen over fraude door middel van QR-codes bij laadpalen, parkeerautomaten of restaurants, zoals genoemd in het artikel. De politie heeft het beeld dat de vormen van oplichting met QR-codes genoemd in het nieuwsbericht nog nauwelijks voorkomen in Nederland.
Misbruik van QR-codes in e-mails komt de politie wel vaker tegen. Het gaat hierbij vooral om bankhelpdeskfraude en andere vormen van fraude met bankgegevens, beleggingsfraude en creditcardfraude. Phishing (per e-mail of per post), telefonische fraude en online op handelssites waarbij de (ver)koper een QR-code moet scannen om de betaling te bevestigen, zijn de meest voorkomende fraudevormen waar QR-codes bij betrokken zijn. De Fraudehelpdesk ontving in 2024 ongeveer 20 meldingen van phishing met QR-codes, waarbij de schade geschat wordt op ongeveer € 160.000. Daarnaast ontvangt de Fraudehelpdesk jaarlijks ongeveer 600.000 e-mails via de geautomatiseerde e-mailcheck. De schatting van de Fraudehelpdesk is dat ongeveer 20% tot 25% van de ingestuurde valse mails een QR-code bevat. Het aantal registraties waarin sprake is van phishing via QR-codes per mail lijkt gestegen.

Vraag 3

Heeft u een beeld sinds wanneer deze modus operandi door criminelen toegepast wordt?

De Fraudehelpdesk is sinds 2018 bekend met phishing via QR-codes. Het Openbaar Ministerie (OM) heeft deze vorm van oplichting voor het eerst genoemd in de Fraudemonitor 2019 en 2020.2

Vraag 4

Hoeveel gevallen van phishing via QR-codes zijn er het afgelopen jaar bij de politie gemeld?

De politie houdt geen aparte registraties bij van het aantal gevallen van phishing via QR-codes.

Vraag 5

Besteedt de politie aandacht aan deze nieuwe vorm van oplichting? Zo ja, op welke manier? Zo nee, waarom niet?

Als er een aangifte van deze nieuwe vorm van oplichting wordt gedaan, wordt de zaak in behandeling genomen en geprioriteerd conform de daarvoor geldende kaders. De politie probeert altijd alert te zijn op nieuwe fenomenen.

Vraag 6

Welke uitdagingen en belemmeringen ondervinden de politie en het Openbaar Ministerie (OM) bij de opsporing en vervolging van criminelen die deze vorm van oplichting inzetten?

Gedigitaliseerde criminaliteit in het algemeen heeft het vermogen om snel te veranderen en heeft vaak een internationale component. Een ander onderscheidend kenmerk is dat personen die zich bezighouden met deze vormen van criminaliteit zoveel mogelijk uit het zicht van de opsporing proberen te blijven door hun identiteit af te schermen.
Daarnaast is er sprake van een hefboomeffect waarmee een crimineel in korte tijd veel slachtoffers kan maken. De vrij openlijke handel in buitgemaakte gegevens op sociale media faciliteert deze online criminaliteit. Verder vloeit geld steeds vaker naar buitenlandse rekeningen waardoor interveniëren moeilijker wordt.

Vraag 7

Welke maatregelen treft u om burgers te informeren over de risico’s van phishing via QR-codes?

Er worden vanuit verschillende publieke en private organisaties campagnes gevoerd gericht op de preventie van gedigitaliseerde criminaliteit als geheel en om te informeren over de risico’s van phishing met behulp van QR-codes. Het kabinet investeert in het vergroten van de digitale weerbaarheid van burgers en bedrijven en steunt voorlichtingscampagnes, die al dan niet in samenwerking met (private) partijen worden vormgegeven. Zo publiceert de Fraudehelpdesk op haar site dagelijks een selectie van de naar hen doorgestuurde valse e-mails, ook die met een QR-code. Bedrijven van wie de naam wordt misbruikt in de mails die door de Fraudehelpdesk worden gepubliceerd, worden hiervan op de hoogte gesteld. Op de website en op sociale media worden tevens regelmatig waarschuwingen voor nieuwe of toenemende fraudevormen gepubliceerd.
Daarnaast worden er op initiatief van de politie, de banken, de Fraudehelpdesk, veiliginternetten.nl, de Betaalvereniging Nederland, het Digital Trustcenter en de Consumentenbond ook regelmatig campagnes georganiseerd om burgers en bedrijven weerbaarder te maken tegen deze vorm van gedigitaliseerde criminaliteit. In oktober 2024 is de Nationale Cursus Digitale Weerbaarheid met financiële steun van het Ministerie van Binnenlandse Zaken en Koninkrijkrelaties (BZK) gelanceerd. In de cursus is een module opgenomen over phishing, waarin phishing door middel van QR-codes ook aan bod komt. De website voorkomfraude.nl van de Nederlandse Vereniging van Banken (NVB) en de initiatieven vanuit de integrale aanpak van online fraude spelen een belangrijke rol in het versterken van de digitale weerbaarheid van kwetsbare groepen. Gelet op de steeds veranderende modus operandi, zijn deze initiatieven blijvend van belang.

Vraag 8

Heeft u contact met bedrijven wiens QR-codes door criminelen gespoofd worden en bent u in gesprek met deze bedrijven om fraude zoveel mogelijk tegen te gaan?

Voor een gerichte en effectieve aanpak is het van groot belang dat bedrijven aangifte doen indien ze te maken krijgen met spoofing. Ze kunnen hier melding van doen bij de politie of dit (anoniem) melden bij Meld Misdaad Anoniem.
Mijn beleid is gericht op het bevorderen van weerbaarheid en op preventie. Het doel hiervan is om zoveel mogelijk schade en slachtoffers aan de voorkant te voorkomen.
Daarom faciliteer ik de voorlichting rondom deze vorm van criminaliteit door de mogelijkheden waarmee criminelen fraude kunnen plegen onder de aandacht te brengen bij zowel burgers als bedrijven. Vanuit mijn ministerie en de Rijksoverheid in den brede zijn er diverse activiteiten en trajecten om de (cyber-)weerbaarheid van zowel burgers als bedrijven te verhogen. Binnen de integrale aanpak van cybercrime worden ook door de deelnemende partners trends en fenomenen met elkaar uitgewisseld en waar nodig worden deze gedeeld met de getroffen branches. De strafrechtelijke aanpak van fraude is belegd bij opsporings- en vervolgingsinstanties.

Vraag 9

Anticipeert u op nieuwe vormen van oplichting waarbij digitale technologieën worden ingezet? Zo ja, welke zijn dit?

Digitale technologieën worden vandaag de dag helaas veelvuldig ingezet door criminelen om strafbare feiten mee te plegen. In een steeds meer gedigitaliseerde maatschappij kan dus ook niet worden uitgesloten dat er (nieuwe) digitale technologieën worden ingezet voor criminele doeleinden zoals oplichting.
Daarom is het groot van belang om continu te anticiperen op nieuwe vormen van fraude. De Financial Intelligence Unit – Nederland (FIU-NL), het Financial Advanced Cyber Team (FACT) van de Fiscale Inlichtingen- en Opsporingsdienst (FIOD) en de Electronic Crimes Task Force (ECTF) zetten zich onder andere in om deze nieuwe fraudefenomenen op te sporen. Van welke aard nieuwe criminaliteitsvormen zullen zijn en welke werkwijze hiermee gepaard gaat, is niet altijd van tevoren te voorspellen. Op 23 mei jl. is uw Kamer bijvoorbeeld door de Minister van Financiën geïnformeerd over de mogelijkheden tot fraude met betaalproducten met behulp van deepfakes/kunstmatige intelligentie.3 Deze nieuwe vormen hebben dan ook de aandacht van het kabinet.

Vraag 10

Kunt u deze vragen afzonderlijk van elkaar beantwoorden?

Ja.

Vraag 1

Heeft u kennisgenomen van het bericht d.d. 3 oktober 2024, getiteld «Minister van Defensie: Nederlandse wetten ongeschikt voor «grijze zone» tussen oorlog en vrede»?1

Ja.

Vraag 2

Kunt u toelichten waaruit het huidige handelingsrepertoire van Defensie bestaat met betrekking tot de Russische schepen die vermoedelijk de Noordzee infrastructuur in kaart brengen om deze later mogelijk onklaar te kunnen maken? Wordt er nagedacht over de uitbreiding van het huidige handelingsrepertoire in de huidige «grijze zone» tussen oorlog en vrede? En zo ja, is de huidige capaciteit op de Noordzee toereikend ten aanzien van deze uitbreiding?

Het kabinet beschikt over verschillende manieren om op mogelijke dreigingen te reageren, waar het handelingsrepertoire van Defensie deel van uitmaakt. Het kabinet doet publiekelijk op voorhand geen uitspraken over hoe de Nederlandse overheid handelt bij specifieke voorvallen, om te voorkomen dat kwaadwillende partijen in hun handelen kunnen anticiperen op Nederlandse handelwijzen.
Defensie draagt op verschillende manieren bij aan de bescherming van de vitale infrastructuur op de Noordzee, binnen de kaders van wat Defensie in vredestijd mag. De MIVD voert onderzoeken uit naar heimelijke activiteiten van statelijke actoren die een mogelijk risico stellen voor de nationale veiligheid, zo ook op de Noordzee. Verder heeft Defensie sinds juli 2023 een permanente taak op de Noordzee. In het kader van deze taak doet Defensie aan beeldopbouw en houdt daarmee zicht op mogelijke dreigingen. Daartoe heeft Defensie diverse maatregelen in uitvoering om vroegtijdig heimelijke activiteiten te detecteren, identificeren en attribueren. Zo investeert Defensie in additionele waarnemingscapaciteit op zee en verwerft Defensie vaartuigen met kleine bemanning en onderwatercapaciteiten, die kunnen worden ingezet om dreigingen op zee op te sporen en nader te onderzoeken. Ook escorteert de marine wanneer nodig verdachte schepen en ontmoedigt daarmee de mogelijke ontplooiing van kwaadwillende activiteiten. Tot slot kan de krijgsmacht, in lijn met de derde hoofdtaak, militaire bijstand leveren aan bevoegd civiel gezag om onze infrastructuur veilig te houden.
Verder vraagt de bescherming van vitale infrastructuur van de Noordzee ook om preventieve maatregelen, zoals het verhogen van de weerbaarheid van dit type infrastructuur. Vanuit het interdepartementale Programma Bescherming Noordzee Infrastructuur worden onder andere extra maatregelen genomen om de weerbaarheid van de vitale infrastructuur op de Noordzee te verhogen. Daarom heeft het vorige kabinet besloten om te investeren in het interdepartementale Actieplan strategie ter bescherming Noordzee infrastructuur voor de jaren 2024 en 2025. Ook het huidige kabinet is voornemens om extra te investeren in de bescherming van de Noordzee infrastructuur. Door middel van het Actieplan wordt ook de detectie en duiding van dreigingen op de Noordzee verbeterd, wat leidt tot een snellere reactie als zich verdachte situaties voordoen. Op korte termijn worden belangrijke stappen gezet, waaronder het inkopen van satellietbeelden en de inhuur van patrouillecapaciteit. Daarnaast wordt er onderzoek gedaan naar de meest kwetsbare infrastructuurpunten en het uitrollen van additionele sensoren op de Noordzee. Ook wordt er geïnvesteerd in de ontwikkeling van nieuwe technologieën, zoals bijvoorbeeld met de oprichting van het Seabed Security Experimentation Centre (SeaSEC). Tot slot wordt er gewerkt aan de realisatie van een Alliantie tussen publieke en private partijen om informatie-uitwisseling te versterken voor een verbeterde bescherming van de infrastructuur op de Noordzee. Over dit Actieplan en de investeringen in de jaren 2024 en 2025 is uw Kamer afgelopen voorjaar per brief geïnformeerd. Eind dit jaar wordt de Kamer geïnformeerd over de voortgang hiervan.

Vraag 3

Is reeds in kaart gebracht welke wegen, bruggen en sporen versterkt dienen te worden voor zware militaire transporten? Zo ja, is de Tweede Kamer daar, al dan niet vertrouwelijk, over te informeren? Wordt dit samen ontwikkeld door de betrokken bewindspersonen en zijn hier financiële middelen voor beschikbaar?

De Ministeries van IenW en Defensie werken intensief samen aan de verbetering en instandhouding van het wegen- en spoorwegennet in Nederland ten behoeve van militaire transporten.
In 2019 is in opdracht van IenW een uitgebreide analyse van het transportnetwerk van Nederland gemaakt, op basis van de destijds geldende militaire eisen voor militaire mobiliteit en gedefinieerde routes. De Kamer is over de uitkomsten hiervan geïnformeerd (Kamerstuk 21 501, nr. 33). In 2023 heeft de Europese Unie deze eisen en routes geëvalueerd en aangepast. Het transportnetwerk voor militaire mobiliteit wordt daarom opnieuw geëvalueerd door Defensie en IenW, in samenwerking met relevante partijen als Rijkswaterstaat (RWS) en ProRail. Aan de hand van deze evaluatie worden op dit moment knelpunten geïnventariseerd. Op basis van de inventarisatie zal bekeken worden welke knelpunten prioriteit hebben en in de meerjarenprogrammering van RWS kunnen worden opgenomen. Specifieke informatie over militaire transportroutes en corridors kan i.v.m. het vertrouwelijke karakter van deze informatie niet publiekelijk gedeeld worden. Wel heeft Defensie uw Kamer eerder geïnformeerd over het Nationaal Plan Militaire Mobiliteit (Kamerstuk 35 570 X, nr. 75). De implementatie van dit plan richt zich onder andere op de inrichting van drie multimodale corridors, met routes de geschikt moeten zijn voor grootschalige verplaatsingen van militair materieel vanuit de verbonden zeehavens naar het Europese achterland.
Bij de verbetering van en instandhouding van de transportinfrastructuur voor militaire mobiliteit, wordt ook bekeken welke financieringsmogelijkheden er zijn. Voor het treffen van infrastructurele maatregelen ten behoeve van zwaar militair transport zijn op dit moment geen specifieke (aparte) financiële middelen bij IenW en Defensie beschikbaar. De Europese Commissie beschikt over financieringsprogramma’s voor cofinanciering van zogenaamde dual use infrastructurele projecten, die zowel civiele als militaire mobiliteit verbeteren. Voorbeelden van eerdere projecten die met Europese cofinanciering zijn gerealiseerd zijn de uitbreiding van een spooraansluiting in de haven van Vlissingen en de aanpassing van een vijftal spooremplacementen voor treinen met een lengte van 740 meter. Momenteel wordt door het Directorate-General for Mobility and Transport (DG MOVE) gewerkt aan de voorbereiding van een nieuw co-financieringsfonds voor het aankomende meerjarig financieel kader. IenW en Defensie hebben in dit kader gezamenlijk voorstellen gedaan voor mogelijke projecten op de belangrijkste voor militaire mobiliteit gebruikte transportroutes.

Vraag 4

Wat is uw visie op het advies van RAND dat een vorm van (actieve) dienstplicht de betrokkenheid van Nederlandse burgers, en daarmee de weerbaarheid van de samenleving, zou kunnen vergroten? Zou volgens u een vorm van dienstplicht naar Scandinavisch model met een gradueel verplichtend karakter bovendien een wenselijke toevoeging kunnen zijn aan het opschalen van het Dienjaar en het werven van meer reservisten in het licht van de personele uitdagingen bij Defensie?

In de Defensienota 2024: Sterk, slim en samen (Kamerstuk 36 295, nr. 1) heeft Defensie plannen gepresenteerd om de juiste en voldoende mensen te vinden, te binden, te behouden en het beste in hen naar boven te halen. Dat is nu de grootste uitdaging waar Defensie voor staat. Defensie werkt in hoog tempo toe naar een schaalbare krijgsmacht en voert een dienmodel in dat daarbij past. Deze schaalbare krijgsmacht krijgt vorm in een organisatie die is ingericht op taakuitvoering door vaste en mobilisabele organisatiedelen. Hierin werken militairen in actieve dienst, burgerpersoneel, reservisten en dienjaarmilitairen in wisselende samenstellingen. Zoals aangekondigd door mijn ambtsvoorganger in de brief van 3 juni jl. (Kamerstuk 36 124, nr. 45), verkent Defensie de mogelijkheden voor een dienmodel dat ook voorziet in maatregelen met een (gradueel) meer verplichtend karakter tussen vredestijd en oorlogstijd. Want er zijn effectievere manieren om op te schalen en de personele gereedheid te verhogen dan een generieke opkomstplicht. Als eerste stap zal een vrijwillige enquête worden ingevoerd. Deze enquête wordt een instrument dat beoogt het dienmodel en daarmee de schaalbare krijgsmacht als geheel te ondersteunen. De enquête richt zich op een bredere doelgroep van jongeren, in de leeftijd van 18–27 jaar. Ook breidt Defensie het aantal reservisten uit en gaat Defensie voortaan minder vrijblijvend om met reservisten, door ze in te bedden in de organisatie. Het aantal dienjaarmilitairen wordt uitgebreid om structureel te beschikken over meer militairen. Defensie richt zich daarnaast nadrukkelijk op specifieke doelgroepen; zo wordt meer aandacht besteed aan het werven van vrouwen – en andere groepen die nu onbedoeld onvoldoende worden bereikt.

Vraag 5

Wat is uw reactie op de suggestie van RAND dat «Den Haag lessen kan trekken van Estland, dat één vast aanspreekpunt heeft aangesteld voor bedrijven in het geval van cyberdreigingen»?

In de Nederlandse Cybersecuritystrategie (NLCS 2022–2028) zijn de ambities en acties voor een digitaal weerbare samenleving opgenomen. Met de NLCS worden door het kabinet verschillende acties ondernomen om ongewenste versnippering binnen het cybersecuritystelsel tegen te gaan. Zo worden het NCSC, Digital Trust Centre (DTC) en het Computer Security Incident Response Team voor digitale diensten (CSIRT-DSP) vanaf 2026 tot één centraal expertisecentrum en informatieknooppunt samengevoegd. Deze nationale cybersecurity organisatie zal organisaties in Nederland, groot of klein, publiek of privaat, vitaal- of niet-vitaal, onder meer van relevante informatie en kennis over dreigingen en incidenten voorzien en waar mogelijk ook verdere hulp bieden bij incidenten.
Daarnaast is er echter ook behoefte aan decentrale cybersecurity expertise. Om er bijvoorbeeld voor te zorgen dat organisaties goed weten om te gaan met dreigingen is het van belang dat daar goede informatie over beschikbaar is. Met de doorontwikkeling van het Landelijk Dekkend Stelsel (LDS) naar het Cyberweerbaarheidsnetwerk (CWN) zorgt het kabinet ervoor dat algemene informatie over digitale veiligheid en specifieke dreigings- en risico-informatie zo veel als mogelijk breed zal worden gedeeld, met als doel de weerbaarheid en slagkracht van hun achterbannen van schakelorganisaties te verhogen. Op deze manier combineren we sectorspecifieke kennis met cybersecurity expertise. In de visie op het CWN is de behoefte geadresseerd dat er meer regie nodig is op het netwerk als geheel en op de uitvoering daarvan. Het Nationaal Cybersecurity Centrum (NCSC) treedt op als uitvoeringscoördinator binnen het netwerk. Het CWN staat onder beleidsmatige verantwoordelijkheid van de NCTV.

Vraag 6

Waar ziet het kabinet nog de grootste kansen voor Nederland wat betreft het bevorderen van de nationale digitale weerbaarheid in tijden van oorlogsdreiging?

Cyberactiviteiten lenen zich bij uitstek voor hybride conflictvoering onder de grens van gewapend conflict. Nederland bevindt zich reeds in de grijze zone tussen vrede en conflict, waar we toenemende hybride aanvallen zien, zoals in het cyberdomein.
In de NLCS zijn de ambities en acties voor een digitaal weerbare samenleving opgenomen2. Met deze maatschappij brede aanpak zet het kabinet in op het verhogen van de digitale weerbaarheid van Nederland door o.a. het intensiveren van de samenwerking op het gebied van informatiedeling en analyse van cyberdreigingen en -incidenten tussen publieke- en private organisaties in het kader van het programma Cyclotron van het Cyberweerbaarheidsnetwerk. Daarnaast wordt er ook gewerkt aan de randvoorwaarden zoals voldoende gekwalificeerd personeel en bewustzijn bij burgers. Uw Kamer wordt spoedig geïnformeerd over de voortgang van deze strategie. Daarnaast ontvangt uw Kamer voor het einde van het jaar een Kamerbrief over de maatschappijbrede aanpak voor de weerbaarheid tegen militaire en hybride dreigingen. De NLCS draagt voor het digitale domein in grote mate bij aan de weerbaarheid tegen dit type dreigingen.
Verdergaande samenwerking tussen overheidsorganisaties om te komen tot een zo actueel mogelijk situationeel beeld is van groot belang, voor het nemen van preventieve maatregelen en het organiseren van adequate incident respons tot aan het actief verstoren, opsporen en vervolgen. Dit geldt te meer in tijden van toegenomen oorlogsdreiging. Ten behoeve van het verhogen van de digitale weerbaarheid van publieke en private organisaties in Nederland is daarnaast de totstandbrenging van wetgeving, zoals de Cyberbeveiligingswet, een belangrijke stap om de digitale weerbaarheid van Nederland te verhogen.3 Daarnaast zet de overheid in op intensieve publiek-private informatie uitwisseling die aansluit bij de behoefte van de doelgroepen, dit doet het kabinet onder meer door de bovengenoemde doorontwikkeling van het Cyberweerbaarheidsnetwerk en het programma Cyclotron.
Het kabinet ziet kansen in het vergroten van de slagkracht van de cybercapaciteiten van Defensie in dit grijze gebied. Met de nieuwe Defensie Cyberstrategie (publicatie voorzien in Q1 2025) die past binnen de kapstok van de NLCSgeeft Defensie richting aan hoe haar cybercapaciteiten doeltreffender in te zetten. We blijven investeren in de cybercapaciteiten van de MIVD en de krijgsmacht. Met de «Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensieve cyberprogramma» kunnen de diensten hun capaciteiten sneller en beter benutten.
Daarnaast is het van belang dat de hele krijgsmacht in het hier en nu effectief en op basis van passende juridische kaders kan oefenen en optreden. Hierbij horen bevoegdheden afhankelijk van de taakstelling en de gereedstellingsstatus van de krijgsmacht. Defensie werkt hiertoe aan passende wet- en regelgeving. Aspecten voor effectief optreden in het cyberdomein in het grijze gebied worden hierin meegenomen.

Vraag 7

Erkent u dat het Nederlandse cybersecuritystelsel bovengemiddeld complex en gesegmenteerd is ten opzichte van andere EU-landen als Duitsland, Frankrijk en België, waar met respectievelijk BSI, ANSSI en CCB één aangewezen cyberautoriteit bestaat verantwoordelijk voor beleid en uitvoering? Hoe kijkt het kabinet aan tegen de benadering van andere EU-landen? Welke lessen kan Nederland daaruit trekken?

In het antwoord op vraag 5 is reeds benoemd dat er met de NLCS verschillende acties worden ondernomen om ongewenste versnippering binnen het cybersecuritystelsel tegen te gaan.
De voorbeelden die genoemd worden, Duitsland, Frankrijk en België hebben een andere constitutionele basis. De centrale belegging van bijvoorbeeld de Franse Cybersecurity Autoriteit (ANSSI) is mogelijk in Frankrijk dankzij de executieve macht die bij de Franse President ligt. In Nederland heeft elk ministerie een eigen verantwoordelijkheid en is er veelal gekozen voor een scheiding tussen de taken van uitvoering en beleid.

Vraag 1

Kunt u aangeven op welke manier de Belastingdienst invulling geeft aan het begrip «de vermogensbestanddelen welke dienstbaar zijn aan de uitoefening van hun functie» betreffende leden van het Koninklijk Huis die zijn vrijgesteld van belastingheffing op grond van artikel 40, tweede lid, van de Grondwet en in welke wet of regeling die zijn vastgelegd?

De in artikel 40, tweede lid, eerste volzin, Grondwet genoemde specifieke vrijstelling voor vermogensbestanddelen die dienstbaar zijn aan de uitoefening van hun functie heeft zijn feitelijke betekenis verloren toen de betreffende objecten in het verleden werden ondergebracht in stichtingen. Dit betreft de zogenaamde regalia zoals Kroon, scepter en het rijkszwaard die een puur ceremoniële functie hebben. Desbetreffende vermogensbestanddelen zijn geen eigendom (meer) van de leden van het Koninklijk Huis. Deze objecten zijn voor het Koninklijk Huis niet fiscaal relevant. Op de website https://www.koninklijkeverzamelingen.nl staat meer informatie over de betreffende stichtingen.

Vraag 2

Zijn de leden van het Koninklijk Huis die vrijgesteld zijn van belastingen, belastingplichtig voor box 3 over vermogen dat niet onder de uitzondering in artikel 40, tweede lid, van de Grondwet valt?

Ja, alle uitkeringsgerechtigde leden van het Koninklijk Huis zijn vermogensrendementsheffing verschuldigd.

Vraag 3

Indien er geen invulling gegeven is aan «de vermogensbestanddelen welke dienstbaar zijn aan de uitoefening van hun functie», wilt u daar dan via wet- of regelgeving invulling aan geven, uitleggen hoe u dat gaat doen en daarover binnen twee maanden aan de Kamer rapporteren? Zo nee, waarom niet?

Desbetreffende vermogensbestanddelen zijn ondergebracht in stichtingen en daarom geen eigendom (meer) van de leden van het Koninklijk Huis. Deze objecten zijn voor het Koninklijk Huis niet fiscaal relevant en niet in wet of regelgeving vastgelegd.

Vraag 4

Heeft u kennis genomen van de uitspraken van mevrouw Spijker bij Renze dat bepaalde zaken, zoals de werkzaamheden van Koningin Máxima voor de Verenigde Naties, taboe zijn bij de uitzendingen?

Ja, daar heb ik kennis van genomen.

Vraag 5

Heeft de Rijksvoorlichtingsdienst (RVD) de afgelopen vijf jaar verzoeken gedaan aan journalisten om geen aandacht te schenken aan bepaalde zaken rondom het Koninklijk Huis die politiek relevant geacht kunnen worden en niets met bescherming van privacy van leden van het Koninklijk Huis te maken hebben? Zo ja, kunt u aangeven over welke onderwerpen het ging?

Nee, dat is niet gebeurd.

Vraag 6

Kunt u deze vragen één voor één en uiterlijk twee werkdagen voor de begrotingsbehandeling van de Koning beantwoorden?

Ja.

Vraag 1

Heeft u kennisgenomen van het artikel «Drugscriminelen in het hele land actief met hypotheekfraude» in het Financieele Dagblad?1

Ja.

Vraag 2

Klopt het dat er door criminele netwerken grootschalige hypotheekfraude wordt gepleegd? Zo ja, komt het beeld dat u heeft overeen met dat van de politie Amsterdam?

De ministeries van Justitie en Veiligheid en Financiën hebben zich door de politie nader laten informeren over hun signalen in de media. Het OM herkent het beeld zoals geschetst door de politie. Deze signalen passen bij het bekende beeld dat financieel gewin een belangrijke drijfveer is van criminelen, en dat ze daarvoor ons financieel systeem misbruiken.
Daarnaast hebben de ministeries van Justitie en Veiligheid en van Financiën ook gesproken met de Nederlandse Vereniging van Banken (NVB), het Verbond van Verzekeraars (VvV)2 en de Stichting Fraudebestrijding Hypotheken (SFH)3. Hieruit kwam naar voren dat deze partijen in hun praktijk regelmatig verschillende vormen van (pogingen tot) hypotheekfraude tegenkomen. Vanuit hun positie kunnen zij niet beoordelen of daar criminele netwerken achter zitten.

Vraag 3

Hoe is de schatting van landelijk ruim achtduizend woningen tot stand gekomen?

Die schatting van de politie is gebaseerd op aangiftes, meldingen en bevindingen in strafrechtelijke onderzoeken in de regionale eenheden van politie.

Vraag 4

Hoe dekkend is het zicht dat de politie hierop heeft en welke factoren van onzekerheden spelen mee?

Daders van criminaliteit, welke delicten dan ook, willen buiten het zicht van politie en OM blijven. Daarom is het zicht op criminaliteit, voor welke delicten dan ook, per definitie nooit dekkend. Daarbij is strafrecht een ultimum remedium en is de capaciteit in de (financiële) opsporing schaars en noopt deze tot keuzes. Tot slot wordt hypotheekfraude niet afzonderlijk geregistreerd bij de politie of het OM, omdat hypotheekfraude bestaat uit de delicten valsheid in geschrifte, oplichting en/of witwassen. Buiten de genoemde inschatting van de wijdverspreidheid kunnen er daarom per definitie geen gedetailleerdere uitspraken worden gedaan over de exacte omvang van de hypotheekfraude.

Vraag 5

Wat is de invloed van hypotheekfraude door criminele netwerken op de woningmarkt?

Via hypotheekfraude worden in kwetsbare wijken huizen opgekocht om arbeidsmigranten onder slechte leefomstandigheden te huisvesten. Dit is zichtbaar in gebieden van het Nationaal Programma Leefbaarheid en Veiligheid (NPLV), zoals Zaanstad, waar de woningmarkt sterk wordt aangetast. Woningen aangekocht met behulp van fraude komen immers niet beschikbaar voor mensen met een modaal inkomen, zoals leraren en zorgmedewerkers. Dit is een probleem gezien de huidige krapte op de woningmarkt. Hierdoor komt op locaties waar mensen al moeite hebben om een betaalbare woning te vinden, deze nog verder buiten bereik.

Vraag 6

Wat is uw reactie op de het onderzoek van de Amsterdamse financiële recherche naar fraude met hypotheken?

Het signaal vanuit de politie is zorgelijk, vanwege het financieel gewin dat dit oplevert voor georganiseerde criminaliteit, de hiervoor geschetste impact op de woningmarkt en de dreiging die het vormt voor de integriteit van het financiële stelsel. Financieel gewin is het centrale motief van georganiseerde criminaliteit. Het kabinet zet al langer in op de aanpak van criminele geldstromen om zo bij te dragen aan de bestrijding van georganiseerde, ondermijnende criminaliteit en aan de bescherming van de integriteit van ons financiële stelsel, de democratische rechtsorde en de openbare ruimte. In het antwoord op vraag 12 wordt ingegaan op de stappen die nu worden gezet.

Vraag 7

Welke middelen heeft de politie om criminele netwerken die hypotheekfraude plegen op te sporen en aan te pakken?

Elke eenheid van de politie beschikt over een FinEc-team met financieel specialisten. Zij zijn de teams die de grootschalige financieel-economische criminaliteit, waaronder hypotheekfraudes kunnen opsporen en aanpakken. Zij leggen criminele geldstromen bloot en verstoren criminele verdienmodellen. In het kader van de aanpak van financieel-economische criminaliteit en ondermijning richt het strafrechtelijk onderzoek zich geregeld op vormen van horizontale fraude, zoals hypotheekfraude, verzekeringsfraude, vastgoedfraude en fraude met namaakartikelen, en personen en/of criminele netwerken die hierin spilfuncties vervullen. De politie voert ook bewustwordings- en stopgesprekken met onder andere aanbieders van hypothecair krediet of van specifieke producten zoals zakelijke verhuurhypotheken, om het bewustzijn onder deze groep van de risico’s van het financieren van ongewenste cliënten met betrekking tot fraude en witwassen te verhogen.

Vraag 8

In welke mate slagen politie en het Openbaar Ministerie erin deze criminele netwerken op te sporen en te veroordelen?

Dat is niet bekend. In het kader van de aanpak van financieel-economische criminaliteit en georganiseerde ondermijnende criminaliteit richt het strafrechtelijk onderzoek zich geregeld op vormen van horizontale fraude, zoals hypotheekfraude, verzekeringsfraude, vastgoedfraude en fraude met namaakartikelen. Zoals toegelicht in het antwoord op vraag 4 wordt hypotheekfraude niet afzonderlijk geregistreerd bij de politie of het OM, omdat hypotheekfraude bestaat uit verschillende strafbare feiten, zoals valsheid in geschrifte, oplichting en/of witwassen. In de fraudemonitor 2021 en 2022 is een onderverdeling gemaakt naar de categorie krediet-, hypotheek- en depotfraude waarin in 2021 sprake was van 179 zaken en in 2022 100 zaken die voor de rechter zijn gebracht.4 Het Openbaar Ministerie rapporteert tweejaarlijks over de strafrechtelijke prestaties op het terrein van fraudebestrijding. De fraudemonitor over 2023 en 2024 verschijnt eind 2025.
Het adresseren van dit vraagstuk kan echter niet alleen vanuit de opsporing komen, er is bredere inzet nodig, ook ter voorkoming. Bij het antwoord op vraag 12 wordt hier nader op ingegaan.

Vraag 9

Wat is er bekend over de aflossnelheid van «fraudehypotheken»?

Het is niet bekend hoeveel hypothecaire leningen door consumenten zijn afgesloten op basis van het aanleveren van frauduleuze gegevens. Het is dus ook niet bekend hoe dergelijke hypothecaire leningen contractueel zijn vormgegeven voor wat betreft de looptijd en aflossnelheid van de lening, en of consumenten extra aflossen op de lening. In het algemeen geldt op grond van de Gedragscode Hypothecaire Financieringen van de Nederlandse Vereniging van Banken en het Verbond van Verzekeraars dat consumenten de aankoop van een eigen woning kunnen financieren met een aflossingsvrije lening van maximaal 50 procent van de woningwaarde. Op het overige leenbedrag moet de consument minimaal aflossen volgens een annuïtair aflosschema. Consumenten die een hypothecaire lening afsluiten voor de financiering van een eigen woning moeten deze minimaal annuïtair in ten hoogste dertig jaar aflossen om in aanmerking te komen voor hypotheekrenteaftrek. Consumenten kunnen naast reguliere aflossingen op basis van een annuïtair of lineair aflossingsschema ook eenmalig of periodiek extra aflossen op de hypothecaire lening.

Vraag 10

Klopt het dat criminelen de mogelijkheid hebben vanuit de gevangenis een bedrijf op te richten en een half uur later een hypotheekaanvraag kunnen doen?

Het uitgangspunt is dat gedetineerden enkel aan beperkingen mogen worden onderworpen indien dit voor het doel van de vrijheidsbeneming of in het belang van de handhaving van de orde of de veiligheid in de inrichting noodzakelijk is. In algemene zin is het een gedetineerde dan ook toegestaan om een organisatie op te richten en een hypotheekaanvraag te doen, zolang binnen de wettelijke kaders wordt gehandeld. Dit kan alleen via de middelen en contacten die voor gedetineerden beschikbaar zijn. Uiteraard is het niet toegestaan dat een opgerichte organisatie strafbare feiten pleegt of dat hiermee een verboden organisatie wordt voortgezet. Of een bank een hypotheek verstrekt of de Kamer van Koophandel een bedrijf inschrijft, is aan die partijen.

Vraag 11

Wat is de reden dat er geen geautomatiseerde controle op de deponeringsplicht is?

De KVK heeft op haar website staan welke rechtsvormen verplicht zijn hun jaarrekening te deponeren. Het niet voldoen aan de verplichting om de jaarrekening openbaar te maken, is een economisch delict. De controle of een organisatie heeft voldaan aan deze deponeringsplicht ligt bij KvK. Bureau Economische Handhaving (BEH) is aangewezen als bevoegde opsporingsinstantie voor onder andere overtredingen van de deponeringsplicht. De KvK verstrekt daartoe aan BEH uit haar systemen een query/bestand van rechtspersonen die wel zijn ingeschreven in het handelsregister, maar niet de verplichte jaarrekening hebben gedeponeerd (voor zover zij daartoe verplicht zijn en ook niet zijn uitgezonderd van die verplichting omdat hun cijfers zijn meegenomen in de geconsolideerde jaarrekening van de moedermaatschappij). Het Openbaar Ministerie en BEH hebben afspraken gemaakt over het aantal zaken dat wordt opgepakt. De capaciteit in de strafrechtketen is schaars en er moeten keuzes worden gemaakt.

Vraag 12

Welke maatregelen gaat u nemen naar aanleiding van de constateringen in het FD-artikel?

Op dit moment is er geen wettelijke grondslag op grond waarvan de Belastingdienst inkomensgegevens kan delen met bijvoorbeeld hypotheekverstrekkers. De Minister van Justitie en Veiligheid zal samen met de Staatssecretaris van Fiscaliteit & Belastingdienst de doeltreffendheid, doelmatigheid en uitvoerbaarheid hiervan nader verkennen en vervolgens uw Kamer informeren over de conclusie. Hiermee wordt uitvoering gegeven aan de Kamermotie van de leden Mutluer en Six Dijkstra.5 Daarbij is het belangrijk te benadrukken dat het opsporen van fraude zorgvuldig geregeld dient te worden. Dit betekent dat er voldoende waarborgen moeten zijn bij eventuele gegevensdeling.
De Minister van Justitie en Veiligheid verkent momenteel hoe de verstrekking van politiegegevens aan partijen die op grond van de Wwft een poortwachtersfunctie hebben, verbeterd kan worden, door de huidige wettelijke mogelijkheden in het Besluit politiegegevens onder de loep te nemen. Achterliggende doel is om deze financiële instellingen zo goed mogelijk in staat te stellen eigen acties en maatregelen te nemen om (hypotheek)fraude aan te pakken. Verder wordt gewerkt aan een Rijksbreed anti-corruptiebeleid, waarbij ook de financiële sector zal worden betrokken.
Daarnaast hebben de NVB, VvV en SFH aangegeven ook andere oplossingen te zien om hypotheekfraude tegen te gaan, op basis van oudere pilots en initiatieven waar geen vervolg aan is gegeven. Hierbij valt te denken aan het delen van signalen vanuit de opsporing, de introductie van een centraal punt voor aangiftes voor hypotheekfraude en samenwerking met gemeenten. Het Ministerie van Justitie en Veiligheid zal samen met de NVB, VvV en SFH, en waar relevant in overleg met het Ministerie van Financiën, deze mogelijkheden nader onderzoeken en beoordelen.
Tot slot zal de Minister van Justitie en Veiligheid in overleg met de politie bezien of en hoe kennis over nieuwe modus operandi met de hypotheekverstrekkers en SFH gedeeld kan worden, zodat zij hier beter rekening mee kunnen houden in hun praktijk.

Vraag 13

Bent u bereid voorstellen aan de Tweede Kamer te sturen voor wettelijke grondslagen over hoe banken en de Belastingdienst op proportionele en gerichte wijze dit soort fraude effectief kunnen detecteren?

De Minister van Justitie en Veiligheid geeft samen met de Staatssecretaris van Fiscaliteit & Belastingdienst uitvoering aan de Kamermotie van de leden Mutluer en Six Dijkstra om een verkenning te doen naar het idee om banken inkomsten te kunnen laten controleren bij de Belastingdienst.6 Hierbij zal onder meer gekeken worden naar doeltreffendheid, doelmatigheid en uitvoerbaarheid hiervan. Uw Kamer zal over de uitkomsten van deze verkenning en de eventuele opvolging daarvan worden geïnformeerd.
Daarbij is het belangrijk te benadrukken dat het opsporen van fraude zorgvuldig geregeld dient te worden. Dit betekent dat er voldoende waarborgen moeten zijn bij de gegevensdeling.

Vraag 14

Kunt u deze vragen één voor één, onderbouwd en binnen drie weken beantwoorden?

De vragen zijn één voor één beantwoord. Vanwege de gevoerde gesprekken en afstemming met alle betrokkenen heeft de beantwoording langer geduurd dan de gevraagde drie weken. Dat was nodig om de beantwoording te kunnen onderbouwen.

Vraag 1

Bent u bekend met het bericht «Moord op Fortuyn: OM weigert verder onderzoek naar wapenleverancier Volkert» van 16 juli 20241 naar aanleiding van de podcast «Vriend van Volkert» van Argos2 en het bericht «Broer van Pim Fortuyn eist actie na DNA-spoor op wapen»3?

Ja, daar ben ik mee bekend.

Vraag 2

Klopt het feit dat het Openbaar Ministerie (OM) niet voornemens is om het DNA-spoor op de patroonhouder van het pistool waarmee Volkert van der G. in 2002 Pim Fortuyn vermoordde opnieuw na te slaan in internationale databanken, aangezien enig strafbaar feit dat daarmee zou kunnen worden aangetoond inmiddels verjaard is? Heeft u nog aanvullende context rondom deze beslissing?

Ja, dat klopt. De context waarbinnen het OM tot deze beslissing is gekomen wordt in één van de door u aangehaalde bronnen door het OM uiteengezet. Het OM geeft aan dat verder onderzoek niet opportuun wordt geacht omdat een eventuele positieve match naar aanleiding van internationaal onderzoek niet méér zou aantonen dan dat deze persoon, op enig moment vóór 6 mei 2002, de betreffende patroonhouder voorhanden zou hebben gehad. Het strafrechtelijk onderzoek in 2002/2003 heeft geen enkele aanwijzing opgeleverd dat iemand van het plan van Volkert van der G. om Pim Fortuyn om het leven te brengen op de hoogte was, laat staan daarbij betrokken was. Ook nadien is nooit een signaal dat in die richting wees binnengekomen. Het enige strafbare feit waarvoor een DNA-match dus mogelijk een verdenking zou opleveren is overtreding van artikel 26 van de Wet wapens en munitie (Wwm), het verbod op het voorhanden hebben van wapens en munitie van categorie II en III. Dit feit is verjaard. Een strafrechtelijk verhoor, evenals de inzet van enige andere opsporingsbevoegdheid, behoort om die reden niet meer tot de mogelijkheden.

Vraag 3

Ziet u mogelijkheden om, zo niet in het kader van strafrechtelijke vervolging, dan wel in het kader van waarheidsvinding omtrent deze politieke moord, alsnog nader onderzoek naar het onbekende DNA-spoor te laten plaatsvinden?

Nee, die mogelijkheden zie ik niet. De beslissing om al dan niet nader onderzoek naar het betreffende DNA-spoor te laten verrichten is aan het OM. Het OM heeft aangegeven dergelijk onderzoek niet opportuun te achten. Ik treed als Minister van Justitie en Veiligheid niet in die beslissing.

Vraag 1

Bent u bekend met de inhoud van het voorstel tot chatcontrole dat op de agenda van de Raad van de Europese Unie staat?1

Ja.

Vraag 2

Is u bekend wanneer dit voorstel in de Raad besproken en in stemming gebracht zal worden?

Het voorstel van het Hongaarse voorzitterschap is voor het eerst op hoofdlijnen met de lidstaten besproken tijdens de Coreper-vergadering van 4 september jl. Ten grondslag aan deze bespreking lag een nota van het Voorzitterschap met daarin de kaders voor het voorstel. De compromistekst van het voorstel is vervolgens op 9 september jl. met de lidstaten gedeeld. Tot een vaststelling van een Algemene Oriëntatie is het tot dusver nog niet gekomen. Het Hongaarse voorzitterschap streeft nog steeds naar het bereiken van een algemene oriëntatie over deze Verordening. Om die reden is het de verwachting dat het voorstel geagendeerd zal worden voor de JBZ-raad van 12 en 13 december.

Vraag 3

Wat is het standpunt van het kabinet ten aanzien van dit voorstel en van overige maatregelen van chatcontrole waarbij end-to-endversleuteling generiek verzwakt of omzeild wordt?

Het kabinet erkent de urgentie van de bestrijding van kinderpornografisch materiaal volledig en is voorstander van EU-regelgeving voor het tegengaan van de verspreiding van kinderpornografisch materiaal. Deze opgave is ook opgenomen in het regeerprogramma van het kabinet.
Binnen het EU-voorstel voor de CSAM-verordening staat een bepaling die het mogelijk maakt om, als laatste redmiddel en als alle andere middelen onvoldoende resultaat hebben opgeleverd, een detectiebevel aan een aanbieder van een tussenhandeldienst of interpersoonlijke communicatiedienst op te leggen. Nederland heeft op dit punt altijd gehandeld binnen het kader van de in 2022 aangenomen motie-Van Raan, die inhoudt dat Nederland geen voorstellen ondersteunt die end-to-end encryptie onmogelijk maken.2
Ook stelde het kabinet eerder vast dat client-side scanning ten aanzien van berichtendiensten die gebruik maken van end-to-end encryptie de enige technische manier is om, binnen die diensten, het detectiebevel uit te voeren op een wijze die end-to-end encryptie niet onmogelijk maakt. Dit standpunt en de onderbouwing is met uw Kamer gedeeld.3
Op 29 november jl. heb ik uw Kamer, naar aanleiding van de motie Kathmann c.s.,4 voorzien van een brief welke de uitgangspunten inzake de positie van Nederland voor de onderhandelingen in Brussel, specifiek ten aanzien van het detectiebevel, bepaalt. Met de informatie die nu voorhanden is, zal het kabinet geen voorstellen over verplichte detectie ondersteunen die in de praktijk uitsluitend kunnen worden uitgevoerd door middel van client-side scanning,vanwege de gevolgen voor de digitale weerbaarheid. Het kabinet concludeert dat voorstellen voor verplichte detectie op dit moment niet ondersteund kunnen worden of nadere bestudering vergen. De zorgen van het kabinet over de bescherming van in het geding zijnde fundamentele grondrechten, met name op het gebied van de privacy en het brief- en telecommunicatiegeheim, en de veiligheid van het digitale domein zijn op dit moment onvoldoende weggenomen. De techniek is in ontwikkeling en er is nog weinig studie naar gedaan. Met het oog op de noodzakelijke zorgvuldigheid is meer tijd nodig om het Nederlandse standpunt op dit aspect nader te concretiseren en in te vullen.
Mocht de Verordening voor besluitvorming op de JBZ-Raad agenda van 12 en 13 december a.s. blijven staan, dan zal Nederland de eerder ingenomen positie herhalen. Nederland zal actief kenbaar maken zich te onthouden van stemming en daarmee worden gerekend tot de landen die de algemene oriëntatie niet steunen.
Voor een uitgebreide toelichting over het kabinetsstandpunt bij dit voorstel en, in het bijzonder over het zogeheten detectiebevel, verwijs ik naar de Kamerbrieven van 1 oktober 2024 en 29 november jl.

Vraag 4

Hoe verhoudt het kabinetsstandpunt zich tot artikel 10 van de Grondwet: het recht op eerbiediging van de persoonlijke levenssfeer?

Artikel 10 van de Grondwet waarborgt de persoonlijke levenssfeer van individuen. Hoewel het recht op privacy fundamenteel is, is het niet onbeperkt. Beperkingen op dit recht zijn toegestaan wanneer deze bij wet worden vastgesteld en noodzakelijk zijn voor een legitiem doel, zoals de bestrijding van criminaliteit of de bescherming van kinderen, en voldoen aan de algemene eisen van proportionaliteit en subsidiariteit en de specifieke eisen die de Grondwet stelt.
Voor wat betreft privacy-inbreuken zal Nederland geen voorstellen ondersteunen die verplichte detectie in de privécommunicatie van alle burgers inhouden, conform het verzoek aan de regering dat is neergelegd in de voornoemde motie Kathmann c.s.
De zorgen van het kabinet over de bescherming van in het geding zijnde fundamentele grondrechten, met name op het gebied van de privacy en het brief- en telecommunicatiegeheim, en de veiligheid van het digitale domein, zijn op dit moment onvoldoende weggenomen om met de Verordening in te kunnen stemmen.

Vraag 5

Hoe verhoudt het kabinetsstandpunt zich tot artikel 13 van de Grondwet: het recht op eerbiediging van het telecommunicatiegeheim?

De doelstelling van artikel 13 Grondwet betreft het beschermen van de vertrouwelijkheid van de communicatie. Deze bescherming houdt in dat de overheid en andere partijen niet zonder wettelijke grond en zonder rechterlijke toestemming, of (in het belang van de nationale veiligheid) machtiging van hen die daartoe bij de wet zijn aangewezen, privécommunicatie mogen onderscheppen, monitoren of doorzoeken. Die bescherming geldt met én zonder encryptie: ook als de inhoud van communicatie niet versleuteld is, mag die niet zomaar worden bekeken. Encryptie is een technische manier om de inhoud van de communicatie te beschermen tegen inzage door anderen, naast andere manieren om je daartegen te beschermen.
Net als bij artikel 10 van de Grondwet (recht op privacy) staat ook bij artikel 13 Grondwet de vraag centraal in welke mate de staat inbreuk kan maken op dit recht ten behoeve van een legitiem doel, zoals de bestrijding van online kindermisbruik. Beperking van dit recht is mogelijk in de gevallen bij de wet bepaald met machtiging van de rechter of, in het belang van de nationale veiligheid, door of met machtiging van hen die daartoe bij de wet zijn aangewezen.
Ook hiervoor geldt dat de zorgen van het kabinet over de bescherming van in het geding zijnde fundamentele grondrechten op dit moment onvoldoende weggenomen.

Vraag 6

Hoe verhoudt het kabinetsstandpunt zich tot het standpunt van het Hof van Justitie van de Europese Unie dat generieke toegang tot versleutelde berichten nooit rechtmatig kan zijn?2

Zoals benoemd in de beantwoording van eerdere Kamervragen over dit onderwerp ben ik bekend met de uitspraak van het Europese Hof in de zaak Schrems.6 , 7 Het Europese Hof gaf hierin aan dat «een regeling op grond waarvan de autoriteiten veralgemeend toegang kunnen krijgen tot de inhoud van elektronische communicatie [moet] worden beschouwd als een aantasting van de wezenlijke inhoud van het grondrecht op eerbiediging van het privéleven zoals door artikel 7 van het EU-Handvest gewaarborgd». Hoewel ik deze conclusie van het Hof onderschrijf, wil ik erop wijzen dat versleutelde berichten of versleuteling als zodanig geen rol speelden in deze zaak.

Vraag 7

Hoe verhoudt het kabinetsstandpunt zich tot het standpunt van het Europees Hof voor de Rechten van de Mens, namelijk: «Wetten en wetsvoorstellen waarbij chatdiensten worden verplicht om toegang tot end-to-end versleutelde data te geven, wat kan leiden tot het verzwakken van encryptie, is niet proportioneel en heeft geen plaats in een democratische samenleving»?3

Voor de beantwoording van deze vraag verwijs ik naar de beantwoording van eerdere Kamervragen, waar wordt ingegaan op de uitspraak van het Europese Hof voor de Rechten van de Mens (EHRM) op 13 februari 2024 in de zaak Podchasov v. Rusland en hoe deze uitspraak zich verhoudt tot het standpunt van het kabinet.9

Vraag 8

Hoe verhoudt het kabinetsstandpunt zich tot het proportionaliteitsbeginsel uit artikel 3:4 van de Algemene wet bestuursrecht?

Het proportionaliteitsbeginsel uit artikel 3:4 van de Algemene wet bestuursrecht (Awb) vereist dat een bestuursorgaan bij het nemen van besluiten een evenwichtige belangenafweging maakt en dat de nadelige gevolgen van een besluit niet onevenredig mogen zijn in verhouding tot het doel dat ermee wordt gediend. Op het kabinetsstandpunt als zodanig is de Awb niet van toepassing en het hoeft dan ook niet te voldoen aan de eisen van artikel 3:4, eerste lid, Awb.
Voor zover de vraag is of het kabinetsstandpunt evenredig is, benadruk ik nogmaals dat het kabinet van mening is dat op dit moment onvoldoende duidelijkheid bestaat over de impact van het detectiebevel. De zorgen van het kabinet over de bescherming van in het geding zijnde fundamentele grondrechten, met name op het gebied van de privacy en het brief- en telecommunicatiegeheim, en de veiligheid van het digitale domein, zijn op dit moment onvoldoende weggenomen om met het voorstel in te kunnen stemmen.

Vraag 9

Wilt u deze vragen afzonderlijk, onderbouwd en binnen drie weken beantwoorden?

Het is helaas niet gelukt om uw Kamer binnen de termijn van een beantwoording op deze vragen te voorzien.

Vraag 1

Bent u bekend met het artikel ««Rutte-doctrine» is springlevend: alle ministeries negeren rechterlijke uitspraken over transparantie» van Follow the Money?1

Ja.

Vraag 2

Bent u bekend met het feit dat de vorige Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties in de beantwoording op onze schriftelijke vragen over dit artikel volhield dat concepten niet zonder beoordeling geweigerd mogen worden? Kunt u, met toelichting, aangeven of deze beantwoording op juiste gronden heeft plaatsgevonden?2

In de Kamerbrief van 12 februari 20243 is aangegeven wat het uitgangspunt is van de destijds geldende rijksbrede Woo-instructie (2022) over de omgang met concepten: «Een conceptversie van een stuk leent zich naar zijn aard in eerst instantie niet goed voor openbaarmaking. Dit laat onverlet dat in een voorkomend geval relevante feitelijke informatie in een concept die niet ook is opgenomen in het definitieve stuk, voor openbaarmaking in aanmerking komt wanneer er anders een onjuist of onvolledig beeld zou ontstaan van het besluitvormingsproces. Dit vergt een beoordeling van de onderliggende relevante concepten. Integrale weigering van concepten zonder deze toets is niet toegestaan (...).De destijds geldende Woo-instructie (2022) kende echter een «strakkere» tekst die er in de praktijk op neerkwam dat concepten integraal werden geweigerd. Zo stond – onder meer – te lezen dat «Concepten van stukken in beginsel niet openbaar worden gemaakt» en «In uitzonderlijke gevallen, bijvoorbeeld als door het niet verstrekken een onjuist of onvolledig beeld ontstaat over het besluitvormingsproces, kunnen concepten wel openbaar worden gemaakt».
Zoals ook eerder aangegeven in de Kamerbrief van 12 februari 2024 oogde de Woo-instructie strakker dan bedoeld, waardoor in de praktijk concepten vaker werden geweigerd dan zou moeten. Omdat dit niet het doel was van de instructie en omdat we streven naar transparantie, is de instructie in juli 2024 aangepast4.
Deze aanpassing komt er in de kern op neer concepten vanaf DG-niveau en hoger, en bij voorkeur de bewindspersoon hebben bereikt, altijd op passageniveau moeten worden beoordeeld op de vraag of het relevante feitelijke informatie bevat inzake het besluitvormingsproces dat niet ook al (in een andere vorm) terugkomt in het definitieve stuk. Is hiervan sprake dan verdient het aanbeveling om het concept in zijn geheel openbaar te maken wanneer de te verstrekken relevante feitelijke informatie (nagenoeg) gelijkluidend is met de definitieve tekst die al (deels) openbaar is, dan wel wordt. Openbaarmaking van dergelijke concepten, lees: vanaf DG-niveau en hoger, is belangrijk wanneer daardoor inzicht wordt geboden in het voorliggende besluitvormingsproces.
Deze aangepaste lijn betekent nadrukkelijk niet dat álle andere voorliggende concepten aan dezelfde toets op passageniveau worden onderworpen. Het is in dit kader belangrijk te realiseren dat er ambtelijk in de regel zeer veel concepten worden gedeeld alvorens een stuk definitief wordt gesteld. In deze beleidsontwikkelingsfase moet er ruimte zijn om concepten en gedachten met elkaar te wisselen. Dat kan in de vorm van beleidsalternatieven zijn, maar kan ook veel vluchtiger zijn: je denkt ergens over na en deelt die gedachte met een (beleids)collega om vervolgens op iets heel anders uit te komen. In die (beleidsontwikkel)fase moet nog niet alles openbaar worden gemaakt. Dit mede vanwege het belang van de vrije gedachtevorming.
In het kader van dit vraagstuk wil ik uw Kamer ook het volgende meegeven. Als gevolg van digitalisering is de hoeveelheid informatie exponentieel toegenomen. Dit geldt ook voor concepten van documenten. Voordat een document (Kamerstuk, brief, nota, etc.) definitief wordt vastgesteld, worden veel conceptversies van dergelijke documenten binnen de organisaties gedeeld. Het is daarbij geen uitzondering dat het gaat om tientallen tot honderden verschillende conceptversies van één document, die zich ook nog eens op verschillende plekken en in verschillende systemen binnen de organisatie bevinden. Aan de omgang van concepten zit dus ook een belangrijk uitvoerbaarheidscomponent.
Op dit moment worden de termijnen van de Woo in veel gevallen al (drastisch) overschreden. Een belangrijke oorzaak hiervan is dat onder de Woo alle soorten en aantallen documenten opgevraagd kunnen worden, waaronder dus ook concepten. Wanneer alle concepten geïnventariseerd, verzameld en op passageniveau beoordeeld zouden moeten worden, zou dit grote gevolgen hebben voor de beheersbaarheid van Woo-verzoeken. De ruime openbaarheidswetgeving in Nederland is een groot goed, maar brengt tegelijkertijd een grote uitvoeringslast met zich mee. Zoals ook aangekondigd in het regeerprogramma5 start het kabinet daarom op korte termijn een onderzoek naar de uitvoeringslast, kosten en de (benodigde) capaciteit voor de Woo.

Vraag 3

Bent u bekend met de nieuwe, niet actief openbaar gemaakte nota vanuit uw ministerie waaruit blijkt dat de Kamer verkeerd is geïnformeerd en dat het ministerie wel degelijk een Rijksbrede conceptenrichtlijn hanteerde waarbij elk conceptdocument bij voorbaat niet openbaar gemaakt hoefde te worden?3

Ik ben bekend met de gememoreerde nota. Hieruit volgt echter niet dat de Kamer verkeerd is geïnformeerd over dat er een Rijksbrede conceptenrichtlijn zou zijn met als uitgangspunt dat elk conceptdocument bij voorbaat niet openbaar gemaakt hoefde te worden. Wel blijkt hieruit dat er door de (te) strakke formulering in de rijksbrede Woo-instructie in de praktijk concepten integraal werden geweigerd. Als ook aangegeven in het antwoord bij vraag 2 was dit niet het doel van de instructie en is het inmiddels aangepast. Zie ook het antwoord bij vraag 2.

Vraag 4

Zijn er nog additionele richtlijnen of aanverwante documentatie omtrent (niet-)openbaarmaking van documenten die niet reeds met de Kamer gedeeld zijn? Zo ja, zou u die op korte termijn alsnog willen verstrekken?

Bij de afhandeling van verzoeken is het wettelijke kader van de Woo leidend. De recentelijk aangepaste rijksbrede Woo-instructie (versie 2024) biedt een intern en praktisch kader van afhandelingen van Woo-verzoeken die bij de Rijksoverheid worden ingediend. Er zijn mij hierop geen additionele richtlijnen of aanverwante documentatie bekend die niet reeds met uw Kamer is gedeeld. Ter verduidelijking wijs ik er nog op dat de openbaar gemaakte nota waaraan in de vraagstelling wordt gerefereerd geen additionele richtlijn betreft op het geschetste Woo-toetsingskader maar een analyse van een voorliggende uitspraak van de rechtbank Midden-Nederland van 10 juni 2022 inzake het niet openbaar maken van conceptversies van de kabinetsreactie van 15 januari 2021 op het rapport «Ongekend onrecht».

Vraag 5

Kunt u bevestigen dat de vorige Staatssecretaris meer openheid had moeten geven in haar antwoorden? Kunt u dit nader toelichten?

Zoals toegelicht in het antwoord op vraag 2 is door de te strakke formulering in de oude rijksbrede Woo-instructie de praktijk geweest dat concepten vaker werden geweigerd dan zou moeten. Op het ontstaan van deze ongewenste praktijk had in voorgaande Kamerbrief van 12 februari 2024 voor het volledige beeld kunnen worden gewezen.

Vraag 6

Deelt u de visie dat de overheid transparantie hoort te betrachten en het grondrecht op openbaarheid van bestuur hoort te waarborgen? Zo ja, hoe gaat u ervoor zorg dragen dat hieraan consequent opvolging wordt gegeven?

Ja, ik deel deze visie. Transparantie en openbaarmaking van overheidsinformatie zijn essentieel voor het goed functioneren van onze democratische rechtsstaat en een betrouwbaar openbaar bestuur. Het is dan ook van belang dat overheidsorganisaties transparant zijn over haar overwegingen en aanspreekbaar zijn op genomen besluiten.
Vanuit mijn stelselverantwoordelijk zet ik de komende kabinetsperiode in op een betere uitvoering én betere uitvoerbaarheid van de Woo. Daarvoor wordt onder andere ingezet op meer actieve openbaarmaking en snellere afhandeling van Woo-verzoeken. Het kabinet neemt verschillende maatregelen, zoals aangekondigd in de kabinetsreactie op de Woo-invoeringstoets7 en werkt met het Meerjarenprogramma Openbaarheid en Informatiehuishouding 2024–2025 aan ondersteunende maatregelen. Op die manier werken we stap voor stap toe naar een opener overheid.

Vraag 1

Bent u bekend met de berichten dat ING1 en eerder de Volksbank2 stoppen met het ondersteunen van contactloze betalingen via hun eigen apps en klanten met een Android-toestel in plaats daarvan enkel Google Pay aanbieden?

Ja.

Vraag 2

Bent u in gesprek geweest met deze banken? Is u bekend of ook andere Nederlandse banken deze overstap overwegen?

Banken voeren hun eigen beleid en bepalen zelf of zij contactloos betalen aanbieden via een eigen app of op een andere manier. Ik heb vooraf geen contact met deze banken gehad over de beslissing om te stoppen met het aanbieden van contactloos betalen via de eigen NFC-betaalapp. Navraag bij de Betaalvereniging Nederland wijst uit dat er geen andere Nederlandse banken meer zijn met een eigen NFC-betaalapp voor Android. Drie andere grote banken hebben de overstap naar Google Pay op Android eerder al gemaakt, te beginnen in januari 2020. ING is de laatste bank die voor Android overstapt naar Google Pay.

Vraag 3

Wat is de impact op de privacy van Nederlandse gebruikers indien hun betaalverkeer via een softwareoplossing van Google of Apple loopt? Is er effectief toezicht op welke gegevens van gebruikers door deze partijen verzameld, opgeslagen en gedeeld worden? Hoe verhoudt dat zich tot het toezicht op de Nederlandse banken?

Partijen die in Nederland hun diensten aanbieden dienen zich te houden aan de geldende privacywetgeving, de Algemene verordening gegevensbescherming (AVG). Dit geldt dus zowel voor de Nederlandse banken, als voor partijen zoals Google en Apple. De Autoriteit Persoonsgegevens ziet erop toe dat partijen zich aan deze wetgeving houden.

Vraag 4

Wat betekent deze trend voor de digitale soevereiniteit van Nederland? Hoe gaat de regering voorkomen dat Nederland op het gebied van contactloos betalen op termijn de facto afhankelijk wordt van twee Amerikaanse techreuzen?

Zoals staat geschetst in de Agenda Digitale Open Strategische Autonomie (DOSA) van 17 oktober jl.3 nemen de afhankelijkheden van partijen buiten de EU toe in het digitale domein. De trend dat Nederlandse banken gebruik maken van diensten van Amerikaanse technologiebedrijven ter ondersteuning van contactloos betalen sluit aan bij deze geschetste probleemanalyse. Tegelijkertijd is niet iedere afhankelijkheid problematisch. Wederzijdse afhankelijkheden vormen de ruggengraat van het open handelssysteem en de internationale samenwerking waar Nederland en de EU veel profijt van hebben en die ons een sterkere geopolitieke positie opleveren. Een vorm van overheidsingrijpen kan echter nodig zijn voor bijvoorbeeld strategische afhankelijkheden waarop een hoog risico bestaat voor leveringsonderbrekingen.4
Om de concurrentie op digitale markten te bevorderen, is de Europese Digital Markets Act (DMA) relevant. Deze verordening, die vanaf mei 2023 van kracht is, richt zich op de allergrootste wereldwijd opererende platforms waar consumenten en ondernemers niet omheen kunnen. Deze platforms worden poortwachters genoemd. De DMA bevat verboden en verplichtingen voor poortwachters die zorgen voor eerlijke marktomstandigheden en meer concurrentie. Een van deze verplichtingen zorgt ervoor dat poortwachters contactloze betalingen mogelijk moeten maken buiten haar eigen digitale portemonnee. Bijvoorbeeld via alternatieve betaalapps van derde partijen. Deze verplichting biedt andere aanbieders de kans om te concurreren met de betaaldienst van de poortwachters. Concurrentie tussen deze diensten komt ten goede aan de keuzevrijheid en prijzen voor consumenten. Het kabinet is daarom blij dat deze verplichting in de DMA is opgenomen.
Daarnaast geldt nog steeds dat consumenten ook contactloos kunnen betalen zonder gebruik te maken van Apple Pay of Google Pay. Dit kunnen zij doen door gebruik te maken van de betaalpassen die banken standaard aan hun klanten verstrekken, of via andere betaalmethoden zoals iDeal, waarvan sommige winkeliers ook gebruik maken.
Ten slotte zijn er twee andere initiatieven om het Europese betalingsverkeer verder te ontwikkelen en afhankelijkheden van niet-EU-landen te verminderen. Allereerst wordt er gewerkt aan de mogelijke introductie van een digitale euro. Het doel van de digitale euro is om tot een pan-Europees publiek betaalmiddel te komen, dat zoveel mogelijk gestoeld is op Europese partijen en technologieën. Indachtig de oproep van uw Kamer, zet ik mij tijdens de Europese onderhandelingen voortdurend in voor een duidelijke geopolitieke strategie bij het ontwerp van een mogelijke digitale euro. Daarnaast werkt de sector samen binnen het European Payments Initiative (EPI), waarin een aantal Europese banken, waaronder ook Nederlandse banken, nieuwe private betaalmethodes ontwikkelen. Voorbeelden daarvan zijn de verdere uitrol van iDeal in Europa en de introductie van een EPI digitale wallet voor klanten (Wero). Ook hier speelt het afbouwen van afhankelijkheden een rol.

Vraag 5

Deelt u de mening dat nu het ook voor iPhone-gebruikers mogelijk gaat zijn om contactloos te betalen zonder Apple Pay te gebruiken3 , consumenten zo veel mogelijk in staat gesteld moeten worden om contactloos te kunnen betalen middels de software van hun eigen bank?

Het bieden van keuzevrijheid aan consumenten door concurrentie te bevorderen is één van de hoofddoelen van de DMA. Apple moet ervoor zorgen dat iPhone-gebruikers ook buiten haar eigen betaaldienst hun betalingen kunnen doen. Apple is namelijk aangewezen als poortwachter en de DMA bevat de verplichting tot het mogelijk maken van contactloze betalingen via alternatieve apps. Dit zet de deur open voor andere aanbieders van betaaldiensten. Dat kunnen applicaties van banken zelf zijn, maar ook van derde partijen. Of derde partijen ook gebruik gaan maken van deze mogelijkheid, is een keuze die zij zelf maken. Het kabinet verwelkomt meer concurrentie, omdat het zorgt voor meer keuzevrijheid en lagere prijzen voor consumenten.

Vraag 6

Ziet u in het licht hiervan het nut van de adoptie van een algemeen (open) contactloos betaalprotocol voor banken op Nederlands of Europees niveau? Zo ja, hoe gaat u hierop inzetten?

Zoals hiervoor aangegeven hebben consumenten de mogelijkheid om ook zonder Google Pay of Apple Pay contactloos te betalen via hun betaalpas en hebben derde partijen met de komst van de Digital Markets Act de mogelijkheid gekregen om deze betaaldienst ook aan te gaan bieden. Daarnaast heb ik hiervoor geschetst dat er al wordt gewerkt aan nieuwe betaaloplossingen via een mogelijke digitale euro en het European Payments Initiative. Daarom zie ik op dit moment geen noodzaak voor een algemeen contactloos betaalprotocol voor banken.

Vraag 1

Klopt het dat een voormalig analist van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV), ondanks geldende beveiligingsvoorschriften, de ruimte kreeg om staatsgeheime informatie op eigen gegevensdragers op te slaan?1

Er vinden op dit moment diverse onderzoeken plaats naar (aanleiding van) deze casus, waaronder het strafrechtelijk onderzoek en het onderzoek van de Auditdienst Rijk (ADR). Het strafrechtelijke onderzoek richt zich op de verdenking van het bezitten en naar buiten brengen van staatsgeheime informatie. Daarnaast maakt het onderzoek van de ADR inzichtelijk op welke wijze de beveiliging van de bijzondere informatie in de in deze casus relevante processen en systemen is ingericht bij de politie en NCTV ten einde suggesties te doen om de beveiliging waar nodig te verbeteren. Het past niet om over zaken die onder de reikwijdte van deze onderzoeken vallen inhoudelijk mededelingen te doen want dan zou ik op het oordeel van de rechter en de uitkomsten van het ADR onderzoek vooruitlopen. Zodra de onderzoeken dat toestaan, zal ik meer informatie met u delen. Ik ben daarbij mede afhankelijk van de rubricering van de eventuele informatie.

Vraag 2

Zo ja, wie heeft hem daartoe toestemming verleend?

Zie antwoord vraag 1.

Vraag 3

Zijn er op basis van vertrouwen met de analist in kwestie (nog andere) aparte werkafspraken gemaakt waarin afgeweken werd van algemeen beleid of wettelijke kaders? Kunt u eventuele relevante documenten waarin deze werkafspraken zijn opgenomen aan de Kamer verstrekken?

Zie antwoord vraag 1.

Vraag 4

Wat is het effect van deze handelwijze en het ontbreken van een fatsoenlijke chain of custody op de betrouwbaarheid van analyses en dreigingsbeelden die (mede) door de NCTV tot stand zijn gekomen en van inlichtingen die de NCTV met partners gedeeld heeft?

Voor zover deze vraag ziet op de vermeende handelwijze verwijs ik naar het antwoord op de vragen hierboven.
Laat ik voor het overige deel van de vraag duidelijk zijn. De analyses van de NCTV komen op een zorgvuldige wijze tot stand, waarbij gebruik wordt gemaakt van informatie van partners, als de AIVD, MIVD, de Politie en open bronnen waaronder online en offline media en wetenschappelijke literatuur. De analyses komen tot stand volgens een validatieproces, waarbij zowel intern als extern een inhoudelijke beoordeling op kwaliteit plaatsvindt. Voorts is de NCTV geen inlichtingendienst die zelfstandig inlichten inwint of deelt. Inlichtingenproducten van partners worden niet met andere organisaties gedeeld, tenzij de steller van het product daar expliciet mee in heeft gestemd.

Vraag 5

Kunt u bovenstaande vragen binnen twee weken beantwoorden?

De vragen zijn beantwoord binnen de reguliere termijn.

Vraag 1

Hoe gaat het kabinet waarborgen dat het toezicht op de AIVD en MIVD op orde is wanneer de Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma, bulkdatasets en overige specifieke voorzieningen per 1 juli a.s. in werking treedt, gezien het feit dat de Commissie Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) meermaals aangegeven heeft door gebrek aan capaciteit niet voldoende geëquipeerd te zijn voor haar taakuitvoering in het kader van de Tijdelijke wet?1

De CTIVD wordt per 1 januari 2025 tot 1 juli 2026 tijdelijk gehuisvest. De CTIVD wordt per 1 juli 2026 definitief gehuisvest op de locatie Turfmarkt 147 in Den Haag. Op beide locaties huisvestingslocatie zal de CTIVD voldoende ruimte hebben om met alle werknemers, inclusief de uitbreiding met 10 fte, vanuit één locatie te kunnen werken. Een deel van de voorzieningen in de Tijdelijke wet brengt geen extra werkbelasting voor de CTIVD met zich mee, omdat hiervoor al een voorziening is getroffen en een werkproces is ingeregeld door de CTIVD of omdat deze voorzieningen onafhankelijk zijn van de accentverschuiving binnen het stelsel van toetsing en toezicht. Inmiddels is afgesproken dat ook verkennen in het kader van de hackbevoegdheid tot uitvoerbaar toezicht leidt voor de CTIVD. Aan deze bevoegdheid wordt door de AIVD en de MIVD dus ook toepassing gegeven. De CTIVD heeft aangegeven geen toezicht te kunnen houden op de overige bepalingen uit de Tijdelijke wet, omdat de daarvoor benodigde cyberspecialisten voor een groot deel belast zijn met werkzaamheden voor de huisvestingsproblematiek. Toepassing van deze bevoegdheden onder de condities van de Tijdelijke wet zal dus pas plaatsvinden nadat de CTIVD de tijdelijke huisvesting betrokken heeft, of zoveel eerder als in overleg met de CTIVD verantwoord wordt geacht.

Vraag 2

Op welke termijn wordt de CTIVD voorzien van de werkruimten en huisvesting noodzakelijk voor het kunnen werven van de in 2022 toegezegde 10 fte aan capaciteit ter voorbereiding op haar taakuitvoering in het kader van de Tijdelijke wet?2

Zie antwoord vraag 1.

Vraag 1

Klopt de berichtgeving van Nieuwsuur dat de kwetsbaarheid in Cisco Webex bestond door de voorspelbaarheid van URLs?1 2 Wordt binnen de Rijksoverheid bij de implementatie van systemen standaard een controle uitgevoerd op de afwezigheid van dergelijke basale configuratiefouten?

Ja. Dit betrof geen configuratiefout van de Rijksvideodienst (Belastingdienst). De inrichting is gecheckt in samenwerking met CIO Rijk en de AIVD/NBV. Hiervoor is onder andere een BSPA3 en DPIA4 uitgevoerd. Wel kon er via enumeratie5, door een voorspelbare logische volgordelijkheid in de unieke internetadressen van websites (URL’s genoemd), metadata van andere vergaderingen worden ingezien door ongeautoriseerde gebruikers. Volgens Cisco was dit mogelijk door kwetsbaarheden in specifiek de Cloud-applicaties van Cisco Webex meetings. De Rijksoverheid heeft aanbevolen veiligheidsinstellingen en werkt veelal niet met de cloud versie, maar met de client versie van Webex.

Vraag 2

Klopt de berichtgeving van de Volkskrant dat het in het verleden mogelijk was om telefonisch in te bellen op de Webex-omgeving van de Rijksoverheid? Zo ja, zouden buitenlandse inlichtingendiensten daardoor ongemerkt vertrouwelijke Nederlandse videovergaderingen kunnen hebben bijgewoond?3

Het is mogelijk gebleken dat ongeautoriseerde gebruikers onder bepaalde voorwaarden vertrouwelijke videovergaderingen hebben kunnen bijwonen. Cisco ondersteunt namelijk de mogelijkheid in te bellen via het Public Switched Telephone Network op Cisco Webex Meetings.
Binnen Nederland zijn echter geen gevallen bekend waarbij ongeautoriseerde gebruikers vertrouwelijke videovergaderingen van de Rijksoverheid hebben bijgewoond. Uit zowel onderzoek van Cisco als uit eigen onderzoek van het Nationaal Cyber Security Centrum (NCSC) is geen indicatie van misbruik naar voren gekomen. Dit komt mede door de standaardtoepassingen van beveiligingsmaatregelen bij het gebruik van Cisco Webex binnen de Rijksoverheid.

Vraag 3

Wilt u nader toelichten wat het concreet betekent dat Cisco Webex «niet gebruikt [mag] worden voor overleggen die als zeer vertrouwelijk zijn aangemerkt of waar staatsgeheime informatie wordt besproken»? Waar legt het kabinet de lat voor «zeer vertrouwelijk»?

Webex kan, net als bijvoorbeeld regulier telefonisch contact, gebruikt worden voor informatie tot en met «Departementaal VERTROUWELIJK (Dep.V.)» gerubriceerd, anders niet.
Informatie wordt als Dep.V. gerubriceerd indien kennisname door niet geautoriseerden schade kan toebrengen aan de belangen van één of meerdere ministeries. Informatie wordt als Staatsgeheim CONFIDENTIEEL/GEHEIM/ZEER GEHEIM gerubriceerd indien kennisname door niet geautoriseerden respectievelijk schade/ernstige schade/zeer ernstige schade kan toebrengen aan een van de vitale belangen van de staat of zijn bondgenoten. «Zeer vertrouwelijk» valt onder de eigen beoordelingsruimte van de medewerker.

Vraag 4

Mogen er Departementaal Vertrouwelijk (Dep.V)-gerubriceerde gesprekken gevoerd worden via Cisco Webex? Zo ja, heeft het kabinet ook na dit incident nog voldoende vertrouwen in het beveiligingsniveau van Cisco Webex als product en het beveiligingsbewustzijn van Cisco als fabrikant om gesprekken op dit rubriceringsniveau te laten plaatsvinden?

Webex kan, net als bijvoorbeeld regulier telefonisch contact, gebruikt worden voor informatie tot en met «Departementaal VERTROUWELIJK (Dep.V.)» gerubriceerd, anders niet.
Door ontwikkeling van de techniek kunnen systemen die aanvankelijk veilig werden bevonden, nieuwe kwetsbaarheden bevatten. Daarnaast worden er continu nieuwe aanvalstechnieken ontwikkeld. Door het mitigeren van de kwetsbaarheden en nemen van aanvullende maatregelen wordt een systeem weer veilig. Dit is een regulier, normaal proces waar alle IT aan onderhavig is. Het probleem in deze casus was ook niet zozeer dat er een kwetsbaarheid ontdekt was, maar dat deze niet per direct aan de Rijksoverheid gemeld werd, omdat Cisco geen verdachte activiteiten waargenomen heeft op de Rijksoverheid tenant. Hierover zijn gesprekken met Cisco gevoerd, naar aanleiding waarvan Cisco hun meldingsproces gaat herinrichten om een dergelijke kwestie in de toekomst te voorkomen. CIO Rijk is betrokken bij deze herinrichting.

Vraag 5

Zijn bewindspersonen en ambtenaren in de praktijk voldoende geëquipeerd om videogesprekken op het juiste rubriceringsniveau te voeren? Hoe wordt hierop toegezien?

Cisco Webex is geschikt voor het voeren van videogesprekken tot en met het niveau Departementaal Vertrouwelijk. Dit is ook duidelijk uitgelegd in de handleiding van Webex voor rijksambtenaren. Voor mobiele telefoongesprekken tot en met het niveau Staatsgeheim Geheim is de Sectra Tiger/S telefoon goedgekeurd door de AIVD.

Vraag 6

Kunt u illustreren wat voor soort gevoelige gesprekken wel via Cisco Webex gevoerd mogen worden, maar niet als «zeer vertrouwelijk» worden beschouwd of Stg-gerubriceerd zijn?

Een voorbeeld hiervan zouden personeels- en/of functioneringsgesprekken kunnen zijn.

Vraag 7

Mogen er via Cisco Webex gesprekken gevoerd worden waarin militair gevoelige informatie besproken wordt?

Indien de informatie tot en met «Departementaal VERTROUWELIJK (Dep.V.)» gerubriceerd is wel, anders niet.
Informatie wordt als Dep.V. gerubriceerd indien kennisname door niet geautoriseerden schade kan toebrengen aan de belangen van één of meerdere ministeries. Informatie wordt als Staatsgeheim CONFIDENTIEEL/GEHEIM/ZEER GEHEIM gerubriceerd indien kennisname door niet geautoriseerden respectievelijk schade/ernstige schade/zeer ernstige schade kan toebrengen aan een van de vitale belangen van de staat of zijn bondgenoten.

Vraag 8

Mogen er via Cisco Webex gesprekken gevoerd worden waarin internationaal gevoelige informatie besproken wordt, zoals diplomatieke terugkoppelingen?

Zie antwoord vraag 7.

Vraag 9

Mogen er via Cisco Webex gesprekken gevoerd worden die, indien ze zouden uitlekken, de Nederlandse economische positie of economische veiligheid kunnen schaden, zoals aankomende investeringen, fusies en overnames of bedrijfsgevoelige informatie?

Zie antwoord vraag 7.

Vraag 10

Mogen er via Cisco Webex gesprekken gevoerd worden die, indien ze zouden uitlekken, de nationale veiligheid, de veiligheid van individuen of de openbare orde zouden kunnen schaden?

Zie antwoord vraag 7.

Vraag 11

Bestaat er een risico dat de vertrouwelijke identiteit van ambtenaren, waaronder medewerkers van de AIVD en MIVD, gelekt is via deze kwetsbaarheid?

Medewerkers van de Rijksoverheid maken gebruik van Webex. Bij het gebruik maken van een communicatiesysteem via het publieke internet hoort een bepaald beveiligingsniveau. Gekoppeld daaraan worden beslissingen genomen over vertrouwelijkheid.
Over de operationele werkwijzen van de inlichtingen- en veiligheidsdiensten worden in het openbaar geen uitspraken gedaan. In algemene zin houden de AIVD en MIVD altijd rekening met het beveiligingsniveau van een publieke communicatie-infrastructuur.

Vraag 12

Wat zijn de in de SLA (service level agreement) opgenomen afspraken met Cisco inzake dergelijke kwetsbaarheden en de opvolging hiervan, waaronder communicatie en afgesproken termijn voor reparatie?

Er is geen SLA met Cisco afgesloten, maar met BIS. Hierin zijn geen afspraken opgenomen omtrent kwetsbaarheden en de opvolging daarvan. Naar aanleiding van het incident wordt op korte termijn overleg met Cisco ingepland om Cisco’s beleid en processen t.a.v. mogelijke toekomstig geconstateerde kwetsbaarheden/incidenten aan te passen.

Vraag 13

Hoe beoordeelt het kabinet het «coordinated vulnerability disclosure»-beleid (voor het melden van onbekende kwetsbaarheden) van Cisco en de uitvoering daarvan in de praktijk?

Het betrof kwetsbaarheden in specifiek de Cloud-applicaties van Cisco Webex meetings, waardoor het doorvoeren van updates van kwetsbare software door afnemers niet mogelijk was. Deze software is namelijk in beheer in de Cloud-omgeving van Cisco. Cisco heeft ervoor gekozen om in dit geval een andere procedure dan de coordinated vulnerability disclosure (CVD) procedure te volgen en geen kenmerken toe te kennen aan de kwetsbaarheden.
Naar aanleiding van het incident wordt op korte termijn overleg met Cisco gevoerd om Cisco’s beleid en processen t.a.v. mogelijke toekomstig geconstateerde kwetsbaarheden/incidenten aan te passen.

Vraag 14

Bent u het met ons eens dat het «coordinated vulnerability disclosure»-beleid van producenten en de uitvoering daarvan in de praktijk een belangrijke afweging zou moeten zijn bij inkopen en aanbestedingen door de overheid? Hoe en in welke mate wordt dit nu door departementen meegewogen?

Het beschikken over een CVD-beleid is een concrete maatregel. In de Algemene Rijksinkoopvoorwaarden bij IT-opdrachten (ARBIT) is in art. 19 opgenomen dat wederpartij zorg draagt voor een niveau van Informatiebeveiliging dat van een redelijk handelend en bekwame IT-leverancier mag worden verwacht. Tevens moeten eventuele inbreuken zo spoedig mogelijk gemeld worden.
In Nederland is het CVD-beleid van het NCSC breed gecommuniceerd. Op de website van het Nationaal Cyber Security Centrum (NCSC) is veel informatie te vinden over Coordinated Vulnerability Disclosures (CVD). Dit betreft onder meer informatie over hoe personen een CVD-melding kunnen doen om technische kwetsbaarheden te melden bij het Nationaal Cyber Security Centrum (NCSC). Binnen de community van onderzoekers en ethische hackers is het CVD-beleid van het Nationaal Cyber Security Centrum (NCSC) over het algemeen goed bekend. In het buitenland zijn vergelijkbare standaarden van toepassing.

Vraag 15

Bent u het met ons eens dat dit incident, in combinatie met eerdere incidenten gerelateerd aan deze fabrikant, de noodzaak benadrukt voor een hogere mate van Nederlandse digitale autonomie op het gebied van het voeren van vertrouwelijke videogesprekken? Is hier specifiek aandacht voor binnen de Nationale Cryptostrategie (NCS)?

Binnen de Nationale Cryptostrategie (NCS) worden de behoeftes van de Rijksoverheid voor informatiebeveiligingsproducten voor gerubriceerde informatie, met een focus op staatsgeheimen, besproken. Deze behoeftelijst is gerubriceerd en derhalve kunnen wij geen uitspraak doen over de inhoud hiervan.

Vraag 16

Bent u bereid om een open source alternatief voor Webex te overwegen? Zo nee, waarom niet?

De selectie van een leverancier voor het rijksbreed videoconferencing platform heeft middels een openbare aanbesteding plaatsgevonden. Geen van de inschrijvende partijen had een open source oplossing aangeboden. Uiteraard houden wij ons graag op de hoogte van de ontwikkelingen in de markt, maar we zien dat wat betreft de schaalgrootte en de complexiteit van de organisatie van de Rijksoverheid er op dit moment geen gelijkwaardige alternatieven beschikbaar zijn.

Vraag 1

Bent u bekend met het bericht «Politiechefs spreken zich uit tegen versleutelde chatberichten» (NU.nl, 22 april)?1

Ja

Vraag 2

Wat is uw reactie op de oproep van Europese politiechefs om actie te ondernemen tegen online platforms die berichten end-to-end versleutelen? Heeft u hierover contact gehad met uw Europese collega's? Welke acties verbinden u en uw collega's aan deze oproep?

Vraag 3

Wat is uw standpunt en wat is het standpunt de Nederlandse politie over end-to-end versleuteling? Onder welke concrete voorwaarden vindt u het verbreken van end-to-end versleuteling gerechtvaardigd, zowel individueel gericht als via het inbouwen van een generieke achterdeur bij versleutelde berichtenplatforms?

De Kamer heeft in juli 2022 middels de motie van het lid Van Raan c.s. de regering verzocht end-to-end-encryptie in stand te houden en voorstellen die dat onmogelijk maken niet te steunen. Het vorige kabinet heeft, in antwoord op dit verzoek, toegezegd uitvoering te geven aan deze motie.3 Dit standpunt staat hier niet ter discussie.
Wel wil ik, zoals mijn voorganger vaak heeft benadrukt, het belang onderstrepen dat wij moeten blijven zoeken naar mogelijkheden om rechtmatige toegang tot gegevens mogelijk te maken en/of te behouden. Zoals de Kamer is geïnformeerd wordt onder andere in Europees verband naar oplossingen gezocht.4 Dat is echter een lang proces, waarbij nog geen concrete oplossingen in zicht zijn.
Overigens geeft (vooral) het Wetboek van Strafvordering bevoegdheden voor de opsporing van strafbare feiten. Deze bevoegdheden, zoals de bevoegdheid tot binnendringen in een geautomatiseerd werk, kunnen leiden tot een inbreuk op de persoonlijke levenssfeer en zijn daarom met voorwaarden en waarborgen omkleed. Deze wettelijke bepalingen zijn in beginsel techniek-neutraal. Of een inbreuk op de persoonlijke levenssfeer gerechtvaardigd is, wordt derhalve niet bepaald door de keuze van de beveiligingstechniek van de verdachte.

Vraag 4

Heeft u contact gehad met Europol en de nationale politie over deze gezamenlijke oproep? Ontvangt u dergelijke signalen ook van Nederlandse politiechefs? Zo ja, wat is uw reactie?

Vraag 5

Deelt u de mening van politiechefs dat end-to-end versleuteling in stand kan blijven met een achterdeurtje die alleen voor de politie beschikbaar is? Zo ja, hoe ziet u dat voor zich? Hoe stelt u voor dat dit technisch kan zonder dat deze achterdeur algemeen beschikbaar komt en daarmee een einde maakt aan end-to-end versleuteling?

De hoofden van politie wijzen op de uitdagingen voor de opsporing bij de rechtmatige toegang tot gegevens. Zij roepen op tot het mogelijk houden dan wel maken van die rechtmatige toegang, waarbij zij tevens vermelden dat de technische oplossingen hiervoor kunnen verschillen voor diverse platforms of vormen van toegang. Zoals gemeld wordt momenteel onder andere in Europees verband naar oplossingen gezocht.
De politie geeft in haar verklaring niet aan dat «end-to-end versleuteling in stand kan blijven met een achterdeurtje die alleen voor de politie beschikbaar is». Het is van belang te zoeken naar mogelijkheden om te voorkomen dat er vrijplaatsen voor criminele activiteiten ontstaan, die tevens recht doen aan het belang van het in stand houden van end-to-end encryptie.

Vraag 6

In de Staat van de Unie 20232 schrijft u dat «end-to-end encryptie niet onmogelijk (mag) worden gemaakt,» tegelijkertijd stelt u in eerdere antwoorden op Kamervragen van de leden Kuik en Slootweg3 dat «het van belang [is] dat er mogelijkheden zijn om onder bepaalde omstandigheden toegang tot (end-to-end versleuteld) berichtenverkeer te krijgen, onder passende voorwaarden en waarborgen.» Hoe verenigt u deze standpunten? Zou toegang onder bepaalde voorwaarden en waarborgen end-to-end versleuteling niet per definitie onmogelijk maken?

Een inperking van de privacy door de overheid moet steeds voldoen aan de eisen van noodzakelijkheid, proportionaliteit en subsidiariteit. Waar nodig worden in wettelijke regelingen daarover waarborgen opgenomen, zoals een rechterlijke machtiging voor het inperken van de vertrouwelijkheid van communicatie. In het kader van de opsporing van strafbare feiten betreft dergelijke wetgeving vooral het Wetboek van Strafvordering. Deze wettelijke bepalingen zijn in beginsel techniek-neutraal geformuleerd. Welke beveiligingsmethodiek wordt toegepast, is niet van belang voor de vraag of een inbreuk op de privacy gerechtvaardigd is.
Toegang tot informatie in specifieke gevallen leidt niet noodzakelijkerwijs tot het onmogelijk maken van end-to-end-encryptie. Wanneer informatie wordt getransporteerd tussen twee punten («end-to-end») kan deze worden beveiligd (versleuteld) worden met end-to-end-encryptie. Deze beveiligingsmethode zorgt er voor dat tijdens het transport van die informatie derden dit bericht niet in leesbare vorm kunnen onderscheppen. Om toch toegang tot het berichtenverkeer te verkrijgen, bijvoorbeeld omdat op grond van wettelijke bevoegdheden tot toegang tot de berichten van een verdachte in het kader van een opsporingsonderzoek is besloten, zijn er in theorie diverse mogelijkheden. Het bericht kan bijvoorbeeld versleuteld worden onderschept en later worden ontsleuteld. Dit blijkt echter tegenwoordig in de praktijk vaak technisch niet mogelijk. Een andere mogelijkheid is dat de aanbieder van de communicatiedienst de encryptie voor de berichten van een specifieke verdachte niet toepast en de berichten onversleuteld aan de autoriteiten verstrekt, zoals ook aanbieders van openbare telecommunicatiediensten verplicht zijn de versleuteling ongedaan te maken in het geval van het aftappen van telecommunicatie. De end-to-end-versleuteling wordt voor berichten van en naar deze specifieke verdachte dan uitgezet. Zoals eerder is toegelicht aan uw Kamer staat deze methode los van andere processen die plaatsvinden op een apparaat.7 Een manieren waarop inzicht in informatie kan worden verkregen op het apparaat is bijvoorbeeld het binnendringen in een geautomatiseerd werk. Met een dergelijke methode is er toegang tot de gegevens op het apparaat in plaats van tijdens het transport. De berichten zijn dan veelal in leesbare vorm, omdat deze op het apparaat nog niet zijn versleuteld voor het transport, of reeds zijn ontsleuteld na het transport.
Deze mogelijkheden kunnen een meer dan geringe inbreuk op de privacy opleveren en zijn daarom met passende wettelijke voorwaarden en waarborgen omkleed. Zo moeten zij onder meer voldoen aan de eisen van noodzakelijkheid, proportionaliteit en subsidiariteit. Voor een nadere toelichting wil ik verwijzen naar brieven van 8 mei, 28 juni en 18 september 2023 aan uw Kamer.8

Vraag 7

Bent u bekend met cryptotelefoons? Zo ja, hoe denkt u te voorkomen dat criminelen gebruik maken van deze devices in plaats van reguliere end-to-end versleutelde berichtenplatforms? Hoe weegt u de effectiviteit van de inbreuk op de privacy van miljoenen mensen tegenover de georganiseerde misdaad die vervolgens via cryptotelefoons anoniem kan blijven communiceren?

Ja, ik ben bekend met cryptotelefoons. Deze zijn op zichzelf niet verboden. Voor handhavingsautoriteiten is het probleem bij cryptotelefoons niet anders dan bij andere sterk versleutelde diensten: iedereen, inclusief gerechtelijke autoriteiten in Europese lidstaten die handelen op basis van wettelijke bevoegdheden, wordt toegang ontzegd tot de inhoud van deze berichten door het platform dat de communicatie mogelijk maakt. Dit gebrek aan rechtmatige toegang tot digitale gegevens raakt tevens de kern van de zorg die wordt uitgesproken door de nationale hoofden van politie in hun verklaring d.d. 18 april.9

Vraag 8

Wat is het staande beleid ten opzichte van de strategie «store-now-decrypt-later»? Wordt er nu al door veiligheidsdiensten versleutelde informatie opgeslagen, om deze op een later moment te ontsleutelen? Hoe lang mag de politie deze informatie dan hiervoor opslaan?

Ik ben bekend met het store-now-decrypt-later-begrip en de mogelijkheid om versleutelde informatie op te slaan om deze op een later moment te kunnen ontsleutelen indien er in de toekomst een kwantumcomputer beschikbaar komt. In dat verband wil ik wijzen op de strategie die de rijksoverheid heeft ontwikkeld om organisaties te helpen de risico’s van kwantumtechnologie op cryptografie op tijd te beheersen, door tijdig te migreren naar zogenaamde post-quantum cryptografie.10 Deze vorm van cryptografie biedt weerstand tegen het eerder genoemde store-now-decrypt-later-scenario.
Op uw vraag over de veiligheidsdiensten wijs ik erop dat over de precieze werkwijze van de inlichtingen- en veiligheidsdiensten in het openbaar geen uitspraken worden gedaan. Voor de politie in Nederland geldt dat zij in het kader van de opsporing versleutelde persoonsgegevens rechtmatig kunnen vergaren op grond van diverse bevoegdheden uit het Wetboek van Strafvordering. De wettelijke bewaartermijnen voor politiegegevens, zoals onder andere opgenomen in de Wet politiegegevens, maken geen onderscheid tussen versleutelde en onversleutelde gegevens.

Vraag 9

Bent u bekend met de uitspraak van het Europese Hof voor de Rechten van de Mens (EHRM) op 13 februari 2024 in de zaak Podchasov v. Rusland?4 Bent u eveneens bekend met de gezamenlijke reactie van de European Data Protection Board (EDPB) van 13 februari 2024 op de Verordening ter voorkoming en bestrijding van seksueel kindermisbruik (CSAM)?5 Bent u bovendien bekend met het standpunt van het Europese Hof van Justitie dat generieke toegang tot versleutelde berichten nooit rechtmatig kan zijn?6

Ja, ik ben bekend met de uitspraak in de zaak Podchasov v. Rusland.
Daarnaast ben ik bekend met de verklaring van het Europees Comité voor gegevensbescherming van 13 februari 2024. Dit betreft echter geen reactie op de Verordening ter bestrijding en voorkoming van seksueel kindermisbruik zoals voorgesteld door de commissie, maar op het (tegen)voorstel zoals gedaan door het Europees Parlement op 22 november 2023.14 Ten slotte ben ik bekend met de uitspraak van het Europese Hof in de zaak Schrems. Versleutelde berichten of versleuteling speelden echter geen rol in deze zaak.

Vraag 10

Onderschrijft u de conclusies van deze zwaarwegende uitspraken omtrent end-to-end versleuteling volledig? Kunt u op de uitspraken en standpunten van de drie organisaties afzonderlijk reageren?

In de zaak Podchasov v. Rusland is klager een Russische onderdaan, en gebruiker van de berichtenapplicatie Telegram. Telegram is door de Russische staat aangemerkt als «Internet organisator van communicatie». Als gevolg hiervan is het bij wet verplicht om alle communicatiegegevens op te slaan voor de duur van een jaar en de inhoud van alle communicatie gedurende zes maanden. Verder is bepaald dat deze gegevens kunnen worden voorgelegd aan de rechtshandhavingsinstanties of veiligheidsdiensten, samen met de informatie die nodig is om versleutelde berichten te kunnen ontsleutelen.15 Het EHRM overweegt dat het opslaan van de gegevens van klager een inmenging is in het recht op privéleven (artikel 8 van het Europees Verdrag voor de Rechten van de Mens (EVRM)). Deze inmenging kan gerechtvaardigd zijn indien deze heeft plaatsgevonden in overeenstemming met de wet, een legitiem doel dient en noodzakelijk is in een democratische samenleving. Het EHRM overweegt dat nationale wetgeving voldoende waarborgen moet bieden met betrekking tot onder andere de duur, de opslag, het gebruik, de toegang van derden, procedures voor het bewaren van de integriteit en vertrouwelijkheid van gegevens en procedures voor de vernietiging ervan, zodat er voldoende garanties zijn tegen het risico van misbruik en willekeur, om te voorkomen dat persoonsgegevens in strijd met artikel 8 EVRM worden gebruikt. De nationale wetgeving moet er met name voor zorgen dat de bewaarde gegevens relevant en niet buitensporig zijn in verhouding tot de doeleinden waarvoor ze worden bewaard, en dat ze in een vorm die het mogelijk maakt de betrokkenen te identificeren, niet langer worden bewaard dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor ze worden bewaard. Daarnaast moet de wetgeving aan het voorzienbaarheidsvereiste voldoen.
Het EHRM overweegt dat Russische wetgeving communicatieaanbieders verplicht tot het installeren van technieken die directe toegang door de Russische veiligheidsdiensten tot de communicatie mogelijk maken. De Russische opsporingsautoriteiten moeten weliswaar een rechterlijke machtiging verkrijgen alvorens deze gegevens te kunnen raadplegen, maar er bestaat geen verplichting om die machtiging ook aan de communicatieaanbieder te tonen.16 Gezien het risico van misbruik dat een dergelijke regeling in het leven roept, moet de wet voldoende waarborgen bevatten tegen willekeur en misbruik. Het EHRM oordeelt dat daar in deze zaak onvoldoende sprake van is.
Met betrekking tot de verplichting tot medewerking van Telegram aan het ontsleutelen van alle end-to-end versleutelde communicatie overweegt het EHRM:
«Deze maatregelen kunnen naar verluidt niet worden beperkt tot specifieke individuen en zouden zonder onderscheid iedereen treffen, inclusief individuen die geen bedreiging vormen voor een legitiem overheidsbelang. Het verzwakken van de encryptie door het creëren van achterdeuren zou het blijkbaar technisch mogelijk maken om routinematige, algemene en willekeurige surveillance van persoonlijke elektronische communicatie uit te voeren.»
Het EHRM overweegt dat onder die omstandigheden de bovengenoemde verplichting die Rusland oplegde aan Telegram niet proportioneel is ten aanzien van het beoogde doel.17 Het EHRM concludeert dat de bestreden Russische wetgeving onvoldoende adequate waarborgen tegen misbruik bevat en de kern van artikel 8 EVRM aantast – het recht op eerbiediging van het privéleven.
Het vorige kabinet heeft aangegeven uitvoering te geven aan de motie-Van Raan en heeft dit standpunt uitgebreid weergegeven en onderbouwd. Dit standpunt, dat hier niet ter discussie staat, staat haaks op het creëren van enige verplichting tot afzwakking, uitschakeling of algehele ontsleuteling van end-to-end versleutelde informatie.
Het Europese Hof in de zaak Schrems schreef dat «een regeling op grond waarvan de autoriteiten veralgemeend toegang kunnen krijgen tot de inhoud van elektronische communicatie [moet] worden beschouwd als een aantasting van de wezenlijke inhoud van het grondrecht op eerbiediging van het privéleven zoals door artikel 7 van het Handvest gewaarborgd».18
Hoewel ik deze conclusie van het Hof onderschrijf, wil ik erop wijzen dat versleutelde berichten of versleuteling als zodanig geen rol speelde in deze zaak.
Het kabinet onderschrijft de conclusie van het Europees Comité voor gegevensbescherming dat end-to-end versleuteling een belangrijk middel is om de vertrouwelijkheid van elektronische communicatie te kunnen bewerkstelligen.

Vraag 11

Is uw standpunt over end-to-end versleuteling veranderd naar aanleiding van de recente uitspraken van het EHRM en EDPB? Zo ja, op welke wijze draagt u dit uit bij lopende onderhandelingen in Europa en het binnenland over wet- en regelgeving? Zo niet, kan u met voorbeelden onderbouwen dat het huidige kabinetsstandpunt voldoende invulling geeft aan de uitspraken van de rechter en de EDPB?

Nee. Dit standpunt, zoals aangehaald en beschreven in mijn beantwoording op uw vorige vragen, is niet strijdig met voornoemde uitspraken.

Vraag 12

Biedt het geactualiseerde Grondwetsartikel 13 over het brief- en telecommunicatiegeheim een absolute garantie dat er geen verzwakkingen van end-to-end versleuteling mogen plaatsvinden in Nederland? Zijn de aanbevelingen van de staatscommissie-Grondwet 2010 hiermee volledig geïmplementeerd?7

De doelstelling van artikel 13 Grondwet (Gw) betreft het beschermen van de vertrouwelijkheid van communicatie. Die bescherming geldt met en zonder encryptie: ook als de inhoud van communicatie niet versleuteld is, mag die niet zomaar worden bekeken. Encryptie is een technische manier om de inhoud van de communicatie te beschermen tegen inzage door anderen, naast andere manieren om daartegen te beschermen. Artikel 13 schrijft niet voor of en op welke wijze private partijen hun communicatie dienen te beschermen.20 Dat een beveiligingsmethode eventueel gekraakt kan worden doet aan de juridische bescherming niet af.21 Overigens biedt artikel 13 Gw expliciet de mogelijkheid inperkingen te maken op het communicatiegeheim. Beperking van dit recht is mogelijk in de gevallen bij de wet bepaald met machtiging van de rechter of, in het belang van de nationale veiligheid, door of met machtiging van hen die daartoe bij de wet zijn aangewezen. Een voorbeeld van een dergelijke beperking is inzet van de interceptiebevoegdheid ten behoeve van de opsporing van strafbare feiten. Voorafgaande machtiging van de rechter is dan vereist.
In 2010 adviseerde de Staatscommissie om de bescherming van artikel 13 Gw te beperken tot de transportfase van de informatie en de inhoud van de communicatie buiten de bescherming van artikel 13 te laten vallen.22 In de memorie van toelichting bij de herziening van dit grondwetsartikel, alsmede tijdens debatten over het wetsvoorstel in de Tweede Kamer, is toegelicht waarom voor een andere, tevens techniek-onafhankelijke benadering is gekozen bij de vormgeving van dit grondwetsartikel.23 In de kern komt het erop neer dat bij de bescherming van het telecommunicatiegeheim is gekozen om niet het middel dat bescherming kan bieden, maar bescherming van de inhoud van de communicatie zelf centraal te stellen.24

Vraag 13

Bent u bereid om samen met de nationale politie en de Autoriteit Persoonsgegevens tot een eenduidig standpunt te komen over het borgen van end-to-end versleuteling, dat recht doet aan de uitspraken van het EHRM, EHJ en de EDPB, en dit blijvend uit te dragen in Nederland en Europa?

Zoals gezegd is voornoemd standpunt inzake end-to-end-encryptie niet strijdig met voornoemde uitspraken. Voor nadere uitleg verwijs ik naar mijn puntsgewijze beantwoording van vraag 10.

Vraag 14

Kunt u deze vragen apart van elkaar beantwoorden?

Ja.