Vraag 1

Bent u bekend met het bericht van Reuters waarin wordt gesteld dat de Amerikaanse regering diplomaten instrueert om buitenlandse initiatieven op het gebied van datasoevereiniteit actief tegen te gaan?1

Ja.

Vraag 2

Hoe beoordeelt u deze instructie van de Amerikaanse regering in het licht van het belang dat Europa zelf zeggenschap houdt over waar en hoe gevoelige data van burgers, bedrijven en overheden wordt opgeslagen en verwerkt?

Voor het kabinet staat voorop dat Nederland en de EU soeverein zijn in het bepalen van hun eigen wet- en regelgeving, inclusief wetgeving op het gebied van Europese datasoevereiniteit, en dat aanpassing van regelgeving onder druk van derde landen niet mag gebeuren.
Wel zal de EU haar concurrentievermogen moeten vergroten en weerbaarder moeten worden, ook op digitaal vlak. In dat kader waardeert het kabinet de inspanningen die hiertoe op EU-niveau worden gedaan en kijkt het met interesse uit naar het aankomende Technology Sovereignty Package van de Europese Commissie, dat naar verwachting onder meer voorstellen bevat voor een Cloud & AI Development Act (CADA) en herziening van de Chips Act. Het kabinet gaat daarover t.z.t. graag in gesprek met uw Kamer. Ook de Agenda Digitale Open Strategische Autonomie van het kabinet past in de inzet om het concurrentievermogen en de weerbaarheid van de (digitale) economie te vergroten.
Tot slot is het van belang om met al onze bondgenoten, waaronder de VS, actief in gesprek te blijven.

Vraag 3

Is bij u bekend of Amerikaanse diplomaten richting Nederland of bij de Europese Commissie pogingen hebben ondernomen om beleid op het gebied van datasoevereiniteit te beïnvloeden, en zo ja, op welke wijze en in welke context?

Het is niet ongebruikelijk dat belanghebbenden – zoals overheden, bedrijven, onderzoeksinstellingen en andere belangengroepen – invloed proberen uit te oefenen op politieke besluitvormingsprocessen en daartoe hun zienswijzen delen. Dit geldt ook voor de VS. Uiteindelijk besluit het kabinet zelf welke zienswijzen het verwerkt in zijn standpuntbepaling. Specifiek naar aanleiding van de casus waarnaar in deze vragen wordt verwezen, is mij niet bekend dat hierop door Amerikaanse diplomaten actie is ondernomen.

Vraag 4

Welke gevolgen kan het afzwakken van beleid op het gebied van datasoevereiniteit hebben voor de bescherming van persoonsgegevens, de online veiligheid en de controle die burgers hebben over hun eigen data?

De Algemene Verordening Gegevensbescherming (AVG) geldt als hoeksteen van het EU beleid in de digitale ruimte. De AVG beschermt grondrechten en de fundamentele vrijheden van natuurlijke personen en met name hun recht op bescherming van persoonsgegevens. De online veiligheid wordt onder meer beschermd doordat verwerkingsverantwoordelijke organisaties niet meer gegevens mogen verwerken dan noodzakelijk is, en een passende beveiliging van persoonsgegevens dienen te waarborgen. De verwerkingsverantwoordelijke dient ervoor te zorgen dat de bescherming van het grondrecht niet wordt ondermijnd, ongeacht waar de gegevens zich bevinden. In lijn met de doelstellingen van de AVG, is het Nederlandse beleid op het vlak van datasoevereiniteit erop gericht de bescherming van het grondrecht zowel in EU-verband als bij internationale doorgiften te waarborgen.

Vraag 5

Ziet u hierin aanleiding om, samen met Europese partners, actiever in te zetten op het versterken van digitale soevereiniteit, onder meer door het bevorderen van Europese cloud- en data-infrastructuur?

Het kabinet onderschrijft in algemene zin de noodzaak om actief in te zetten op het versterken van onze digitale soevereiniteit, specifiek ten aanzien van het bevorderen van Europese cloud- en datainfrastructuur. In onder meer de kabinetsreactie op de initiatiefnota «Wolken aan de Horizon» van de leden Kathmann en Six Dijkstra heeft het kabinet erkend dat het vanwege de internationale aard van de problematiek op de cloudmarkt essentieel is om deze problemen waar mogelijk in Europees verband beleidsmatig aan te pakken. In de Kamerbrief over Europese cloud-alternatieven van maart 2025 is uw Kamer geïnformeerd over de lopende initiatieven die onderdeel zijn van de geïntegreerde Europese aanpak om Europese cloud-alternatieven te stimuleren en digitale afhankelijkheden af te bouwen.
Voorts heeft het kabinet signalen ontvangen dat de Commissie in de herziening van de aanbestedingsrichtlijnen overweegt om een Europees voorkeursprincipe bij aanbesteden voor strategische sectoren op te nemen. Daarbij kan ook gekeken worden naar de cloudsector. Het kabinet is terughoudend met de inzet van een dergelijk principe en is van mening dat per sector zorgvuldig en gericht moet worden afgewogen of de baten van de inzet van een dergelijk principe opwegen tegen de kosten. Het kabinet is tevens van mening dat het instrument in beginsel enkel moet worden ingezet om de weerbaarheid van de Unie te versterken en eventuele toepassing moet daarbij tijdelijk, doelmatig en proportioneel zijn. De toegang voor gelijkgestemde handelspartners moet hierin niet belemmerd worden. Een Europees voorkeursprincipe in aanbestedingen zou, samen met andere maatregelen, kunnen bijdragen aan het afbouwen van strategische afhankelijkheden.

Vraag 6

Ziet u daarnaast aanleiding om in Europees verband gezamenlijke uitgangspunten over datasoevereiniteit actiever uit te dragen en te verdedigen?

Het kabinet zet in op eenduidige afspraken en definities over soevereiniteit van cloud- en datainfrastructuur in Europees verband. Er bestaan op dit moment geen uniforme principes om te bepalen wat soevereiniteit in relatie tot cloud is. Als gevolg hiervan vermarkten aanbieders op dit moment uiteenlopende clouddiensten als «soeverein». Omdat er op dit moment geen regels zijn die voorschrijven in welke mate zelfverklaarde soevereine clouddienstverlening bescherming moet bieden tegen niet-Europese extraterritoriale wetgeving, is het in de praktijk mogelijk dat er clouddienstverlening op Europese bodem wordt aangeboden als «soeverein» terwijl deze onder specifieke omstandigheden verplicht is niet-Europese veiligheids- en opsporingsdiensten toegang te geven tot opgeslagen data.
Het kabinet zet zich er daarom actief voor in dat het voorstel van de Europese Commissie voor de CADA bepalingen bevat voor het vaststellen van gezamenlijke uitgangspunten voor cloud- en datasoevereiniteit. Dit biedt aanbieders duidelijkheid over de eisen waar ze aan moeten voldoen om een soevereine cloud propositie te mogen aanbieden, terwijl afnemers zekerheid hebben dat de dienstverlening daadwerkelijk het beschermingsniveau biedt dat ze wensen. Het wetsvoorstel voor de CADA wordt verwacht in het tweede kwartaal van 2026.
De inzet van het kabinet voor het realiseren van gedeelde, uniforme uitgangspunten voor cloud- en datasoevereiniteit vindt parallel plaats aan het streven onder de Nederlandse Digitaliseringsstrategie om een soevereine overheidscloud te ontwikkelen.

Vraag 1

Heeft u kennisgenomen van het NRC-artikel «Google en Microsoft verzwijgen energiegebruik van hyperscale-datacenters; Datacentra Techbedrijven zwijgen over energieverbruik»?1

Ja.

Vraag 2

Hoe beoordeelt u het feit dat Microsoft en Google rapportages weigeren over het energieverbruik van hun datacenters in Nederland in Eemshaven en bij Middenmeer niet aanleveren?

De datacentra in kwestie hebben informatie aangeleverd zoals aan hen is gevraagd door de Nederlandse overheid. Op grond van de Europese Energie Efficiëntie Richtlijn (EED)2 en het nationale Besluit van 26 april 20243 zijn datacentra verplicht om informatie aan te leveren, met uitzondering van bedrijfsvertrouwelijke gegevens. Via de website van de Rijksdienst voor Ondernemend Nederland (RVO) en de in te vullen formulieren, heeft de Nederlandse overheid gecommuniceerd dat bedrijfsvertrouwelijke gegevens niet hoefden te worden aangeleverd.
In de loop van 2024 is de Europese regelgeving aangescherpt en van kracht geworden, middels een gedelegeerde verordening4. In de gedelegeerde verordening staat dat bedrijfsvertrouwelijke informatie niet openbaar wordt gemaakt, maar dat welalle informatie aangeleverd dient te worden. Deze wijziging wordt meegenomen met de implementatie van de richtlijn. Aanvankelijk werd gewacht met de aanpassing van de communicatie en het loket tot de implementatie van de richtlijn gereed zou zijn, maar na verloop van tijd is alsnog gekozen om hier niet op te wachten en de communicatie en het loket aan te passen, gezien ook de rechtstreekse werking van de gedelegeerde verordening.
Deze aanscherping is in de communicatie naar datacentra recentelijk aangepast voor de aanlevering van gegevens in 2026, in lijn met de gedelegeerde verordening. Datacentra wordt gevraagd alle gegevens aan te leveren, en aan te geven of er sprake is van bedrijfsvertrouwelijke gegevens.

Vraag 3

Deelt u de opvatting dat zonder gedetailleerde verbruiksdata geen goed beleid mogelijk is voor energie-infrastructuur?

Om goed beleid voor energie-infrastructuur te kunnen maken, werken overheden veel samen met netbeheerders. Netbeheerders hebben namelijk data over en inzicht in het energieverbruik van hun klanten. Daarbij is ook geaggregeerde data beschikbaar. De samenwerking met netbeheerders en de geaggregeerde data bieden op dit moment voldoende inzicht voor beleidsvorming voor energie-infrastructuur.

Vraag 4

Deelt u de analyse in het artikel dat gebrek aan transparantie over het energieverbruik van datacenters goed onderzoek naar netcapaciteit, de maatschappelijke impact van digitalisering, waaronder AI belemmert?

Overheden werken, zoals hierboven aangegeven, samen met netbeheerders voor inzicht te krijgen in het energieverbruik van datacenters om de beleidsvorming rondom digitalisering vorm te geven.
Daarbij zijn de verbruiksgegevens van elektriciteit van alle bedrijven bedrijfsvertrouwelijk en worden deze alleen verstrekt aan de toezichthouders ten behoeve van toezicht en handhaving van de energiebesparingsplicht.

Vraag 5

Waarom wordt er gesteld dat openbaarmaking van deze energiegegevens juridisch niet kunnen worden afgedwongen bij tech bedrijven zoals Microsoft en Google, terwijl Europese regels dit wel verplichten? Is hier sprake van onwil of onduidelijkheid in de uitvoering?

In zowel de EED5 als de gedelegeerde verordening6 is opgenomen dat informatie van datacentra die onder het nationaalrecht ter bescherming van bedrijfsgeheimen en vertrouwelijkheid valt, niet openbaar wordt gemaakt.

Vraag 6

Hoe kan het dat de Europese Energie-efficiëntierichtlijn (EED) bedrijven verplicht om energie- en waterverbruik te rapporteren, maar dat grote datacenters in Nederland lege formulieren kunnen indienen zonder gevolgen?

In het kader van de EED zijn datacentra aanvankelijk gevraagd om informatie aan te leveren met de mogelijkheid om bedrijfsvertrouwelijke gegevens weg te laten. Inmiddels worden zij gevraagd om alle gegevens aan te leveren, maar aan te geven welke daarvan bedrijfsvertrouwelijk zijn. Wanneer een leeg formulier wordt ingeleverd, zal dit worden gezien als niet voldoen aan de EED-rapportage voor datacentra. In beide situaties worden de bedrijfsvertrouwelijke gegevens niet openbaar gemaakt.

Vraag 7

Bent u bereid om consequenties te verbinden aan bedrijven die niet voldoen aan Europese transparantie-eisen over energieverbruik?

De datacentra in kwestie hebben aangeleverd wat de Nederlandse overheid aan hen heeft gevraagd. De communicatie vanuit de Nederlandse overheid, via de RVO website en de in te vullen formulieren, over de verplichting tot het rapporteren van informatie is in lijn gebracht met de gedelegeerde verordening7. Dit betekent dat vanaf 2026 datacentra worden geacht alle informatie aan te leveren. Hierbij geldt dat bedrijfsvertrouwelijke informatie wordt aangeleverd, maar niet openbaar gemaakt zal worden. Mochten datacentra hier niet aan voldoen, dan wordt een waarschuwingsbrief verzonden met een termijn om alsnog alle informatie te rapporteren. Bij het niet voldoen aan die termijn volgt een voornemen tot last onder dwangsom.

Vraag 8

Bent u bereid om, in het licht van de groei van AI en het toenemende energieverbruik daarvan, strengere nationale eisen te stellen aan transparantie van (Amerikaanse) grootverbruikers?

Het kabinet ziet, gelet op de hierboven geschetste aanpassing van de regelgeving en de aangepaste communicatie naar datacentra, op dit moment geen noodzaak om aanvullende strengere nationale eisen te stellen.

Vraag 9

Kunt u toezeggen dat het kabinet actief gaat afdwingen dat Europese openbaarmakingsregels voor energieverbruik van datacenters van Big Tech, daadwerkelijk worden nageleefd?

Ja.

Vraag 10

Deelt u de analyse in het artikel dat Microsoft en Google Europese transparantieregels over energieverbruik ondermijnen en dat Nederland daarin te weinig tegenwicht biedt?

Zie antwoord vraag 2.

Vraag 11

Bent u bereid om de energieverbruik gegevens van de datacenters van Amerikaanse tech bedrijven, waaronder die van Microsoft en Google, alsnog op te eisen?

Datacentra hebben gedaan wat van hen is gevraagd door de Nederlandse overheid. Daarbij komt dat de Europese Commissie de rapporten voor 2024 en 2025 al heeft vormgegeven. Tevens is de communicatie naar datacentra aangepast en zullen alle gegevens vanaf 2026 worden aangeleverd. Het kabinet is daarom niet voornemens om deze gegevens alsnog op te eisen.

Vraag 12

Kunt u deze vragen afzonderlijk van elkaar beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht van Nieuwsuur waarin wordt gesteld dat miljoenen euro’s aan subsidiegeld voor de stichting ECP terechtkomen bij een bedrijf waarvan een aantal directeuren van die stichting mede-eigenaar zijn?1

Ja, ik ben ermee bekend.

Vraag 2

Hoe beoordeelt u de gang van zaken rond de subsidieverstrekking aan stichting ECP?

In mijn antwoorden op de vragen van de Tweede Kamer naar aanleiding van het schriftelijk overleg2 dat ik gelijktijdig aan uw Kamer zend, ga ik dieper in op deze vraag. Op mijn rol als subsidieverstrekker ga ik in het antwoord op de vraag van de fractie van GroenLinks-PvdA (vraag 16) in. In het antwoord op vraag 24 van de CDA-fractie geef ik aan dat de subsidierelatie in 2023 is geëvalueerd, en welke stappen ik na die evaluatie heb genomen.

Vraag 3

Hoe reflecteert u op de rol en uw verantwoordelijkheid hierin?

In het antwoord op de vraag van de fractie van GroenLinks-PvdA (vraag 16) in het genoemde schriftelijk overleg ga ik nader in op de rol van EZK als subsidieverstrekker.

Vraag 4

Hoe heeft deze situatie kunnen ontstaan en waarom is de Kamer hierover niet eerder geïnformeerd?

In het antwoord op eerdergenoemde vraag 16 is aangegeven dat de overeenkomst tussen ECP en LunaVia in 2023 is beoordeeld door externe advocaten op verzoek van het ECP-bestuur, wat voor EZK geen aanleiding gaf om de Kamer hierover te informeren of andere stappen te ondernemen.

Vraag 5

Welke maatregelen worden naar aanleiding van deze situatie genomen? Hoe wordt voorkomen dat zich in de toekomst vergelijkbare gevallen voordoen?

In het antwoord op de vraag van GL-PvdA (vraag 16 in het genoemde schriftelijk overleg ga ik hier dieper op in.

Vraag 6

Deelt u de opvatting dat activiteiten die structureel met publieke middelen worden gefinancierd in beginsel via een open en transparante aanbestedingsprocedure zouden moeten plaatsvinden, zodat voor alle partijen dezelfde regels gelden en meerdere organisaties kunnen meedingen?

Ik heb mij te houden aan de geldende subsidie- en aanbestedingsregels. Elk jaar maak ik de afweging of de activiteiten van ECP passen binnen de wettelijke kaders van een maatwerksubsidie, of het eventueel aanbesteden van (onderdelen van) de activiteit. Dit is ook beschreven in het antwoord op de vraag van uw fractie (vraag 3) in het genoemde schriftelijk overleg.

Vraag 7

Bent u bereid te bevorderen dat de activiteiten die in opdracht van stichting ECP worden uitgevoerd en structureel met publieke middelen worden bekostigd, in de toekomst geheel of gedeeltelijk via een aanbesteding worden georganiseerd? Zo nee, waarom niet?

In mijn antwoord op vraag 16 van GL-PvdA in het genoemde schriftelijk overleg heb ik toegelicht hoe ik hier als subsidieverstrekker tot nu mee ben omgegaan. Ook ga ik in op de gesprekken die ik heb met het ECP-bestuur over mogelijk aanpassingen in hun governance, ook op dit punt.

Vraag 8

Kunt u deze vragen één voor één beantwoorden?

Ja. Voor de beantwoording wil ik wel doorverwijzen naar mijn antwoorden op de vragen van de Tweede Kamer naar aanleiding van het genoemde schriftelijk overleg.

Vraag 1

Bent u bekend met het bericht van RTL waarin wordt gemeld dat bij telecomprovider Odido een grootschalig datalek heeft plaatsgevonden en dat hierbij, anders dan eerder door het bedrijf gecommuniceerd, ook burgerservicenummers (BSN) zijn gelekt?1

Ja

Vraag 2

Hoe beoordeelt u de ernst van het incident, in het bijzonder het lekken van BSN, vanuit het perspectief van de bescherming van fundamentele rechten van burgers en hoe ingrijpend beoordeelt u de impact op burgers?

De schaal van dit datalek, de hoeveelheid getroffen burgers en de soms gevoelige aard van de gelekte gegevens maken dit tot een bijzondere situatie. Het maakt duidelijk dat datalekken grote gevolgen kunnen hebben. Zonder iets te willen of kunnen zeggen over de oorzaken van het onderhavige datalek, maakt dit in meer algemene zin duidelijk dat een goede beveiliging van persoonsgegevens zoals vereist in de Algemene Verordening Gegevensbescherming (AVG) pure noodzaak is en een cruciaal onderdeel van de bedrijfsprocessen moet zijn. De gevraagde beoordeling van dit datalek is uiteindelijk aan de Autoriteit Persoonsgegevens (AP) en Rijksinspectie Digitale Infrastructuur (RDI) als onafhankelijke toezichthouders. Daarnaast doet de politie onder leiding van het Landelijk Parket een strafrechtelijk onderzoek naar de aanval en de daders.
De gelekte gegevens waaronder ook het BSN zijn niet direct bruikbaar voor fraudeurs om zelfstandig fraude op naam van gedupeerden te plegen. Criminelen gebruiken de gegevens vooral om phishingaanvallen uit te voeren en gedupeerden te verleiden om op een link te klikken of nog meer gegevens prijs te geven.
Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties adviseert niet om paspoorten of identiteitskaarten te vernieuwen. Er zijn alleen paspoortnummers gelekt. Alleen met die informatie kunnen criminelen niet zelfstandig fraude plegen. Zij kunnen die informatie echter wel gebruiken voor bijvoorbeeld gerichte phishingaanvallen. Met behulp van de gestolen informatie proberen ze dan om zo betrouwbaar mogelijk te lijken en in te spelen op het gevoel van burgers met als doel om meer informatie te ontfutselen of burgers te verleiden op een link, button of QR-code te klikken.

Vraag 3

In hoeverre acht u daarbij het recht op privacy en gegevensbescherming geschonden, nu (oud-)klanten van Odido buiten hun eigen schuld risico lopen op misbruik van hun persoonsgegevens?

In algemene zin is een datalek een inbreuk in verband met het recht op persoonsgegevens. Of, en zo ja in hoeverre, de privacy en het recht op gegevensbescherming van betrokken in deze concrete zaak zijn geschonden, is niet aan het kabinet om te beoordelen. Dit is aan de Autoriteit Persoonsgegevens (AP) en de Rijksinspectie Digitale Infrastructuur (RDI) als toezichthouders of in voorkomende gevallen aan de rechter om te beoordelen.

Vraag 4

Hoe beoordeelt u het advies aan Odido om geen losgeld te betalen, gelet op de huidige situatie waarin de hackersgroep Shinyhunters is overgegaan tot publicatie van gestolen persoonsgegevens, met mogelijke ernstige gevolgen voor de (oud-)klanten van Odido?2

Het besluit van Odido om geen losgeld te betalen sluit aan bij de visie van het kabinet. Slachtoffer worden van dergelijke afperspraktijken kan veel impact hebben. De schade kan enorm oplopen en plaatst een getroffen bedrijf in een moeilijke positie, ook richting hun klanten. Zeker in dit geval waar het aantal gestolen gegevens zo omvangrijk is. De uiteindelijke afweging ligt bij de getroffen organisatie, maar het dringende advies van de overheid blijft om geen losgeld te betalen. Betaling van losgeld biedt geen garantie dat criminelen systemen herstellen, gestolen data verwijderen of ervan afzien deze openbaar te maken of door te verkopen aan andere criminelen. Daarnaast houdt het betalen van losgeld het verdienmodel van cybercriminelen in stand. De opbrengsten worden veelal ingezet voor verdere, geavanceerde cyberaanvallen, waarmee nieuwe slachtoffers worden gemaakt. Dit kan bovendien nieuwe aanvallen op Nederlandse organisaties uitlokken.

Vraag 5

Kunt u aangeven welke opsporingsprioriteit wordt gegeven aan het strafrechtelijk onderzoek dat is gestart door het Openbaar Ministerie en ligt daarbij ook een rol voor de digitale recherche?

Het OM gaat over de opsporingsprioriteit. De politie is onder gezag van het Openbaar Ministerie een opsporingsonderzoek gestart. Een team van het Team High Tech Crime, dat gespecialiseerd is in dit soort cybercriminaliteit, doet onderzoek naar het incident.

Vraag 6

Welke rol ziet u bij het ondersteunen en informeren van burgers van wie persoonsgegevens door cybercriminelen zijn gepubliceerd en acht u het huidige instrumentarium hiervoor toereikend?

De overheid geeft praktische tips om de digitale weerbaarheid van burgers te vergroten. Zo hebben burgers de mogelijkheid om websites zoals veiliginternetten.nl en die van het NCSC te raadplegen waar veel informatie en adviezen worden gegeven over hoe ze zich online kunnen beschermen en over de basisprincipes van digitale weerbaarheid. Via Centraal Meldpunt Identiteitsfraude (CMI) kan er melding worden gedaan van fraude, hier is ook een specifieke pagina over de Odido hack. Daarnaast zal het kabinet met een reactie komen in lijn met de gedane toezegging door de Staatssecretaris van Economische Zaken – digitale economie en soevereiniteit en de aangenomen motie van het lid Rajokowski die opriep tot een duidelijk handelingskader voor slachtoffers van datalekken.3

Vraag 7

Ziet u aanleiding om het strafrechtelijk kader of de opsporingscapaciteit op het terrein van hacks en digitale afpersing te versterken, bijvoorbeeld door intensivering van de digitale recherche van de politie of door aanpassing van wet- en regelgeving?

Door het Ministerie van Justitie en Veiligheid worden met de politie en het OM worden gesprekken gevoerd over wat er nodig is om de aanpak van online criminaliteit een stap verder te brengen, daarin zullen de recente incidenten zoals de hacks bij Clinical Diagnostics en Odido worden meegenomen.
In het coalitieakkoord is verder aangekondigd dat de strafmaxima voor zware cyberdelicten zullen worden verhoogd. Bij de nadere beleidsuitwerking hiervan zal ook aandacht worden besteed aan deze recente incidenten.

Vraag 8

Kunt u de vragen afzonderlijk beantwoorden en dit doen voorafgaand aan de behandeling van de Cyberbeveiligingswet?

Dit is helaas niet gelukt.

Vraag 1

Bent u bekend met het bericht van de NOS over hacks bij Basic-Fit en Booking.com waarbij klantgegevens zijn buitgemaakt?1

Vraag 2

Hoe beoordeelt u deze incidenten als indicatie van structurele tekortkomingen in de beveiliging van persoonsgegevens bij grote, digitaal opererende bedrijven?

Vraag 3

Heeft u voldoende structureel inzicht in de aard, omvang en frequentie van datalekken en cyberaanvallen in Nederland? Zo ja, hoe wordt dit overzicht benut voor beleid en toezicht? Zo nee, welke maatregelen neemt u om dit inzicht te verbeteren?

Vraag 4

Deelt u de opvatting dat herhaalde datalekken kunnen wijzen op onvoldoende structurele naleving van de Algemene verordening gegevensbescherming? Zo ja, welke systeemfouten signaleert u hierbij? Zo nee, waarom niet?

Vraag 5

Acht u de toezicht- en handhavingscapaciteit van de Autoriteit Persoonsgegevens toereikend om structurele naleving af te dwingen? Zo ja, waarom? Zo nee, welke versterkingen zijn nodig?

Vraag 6

Ziet u aanleiding om te komen tot strengere, afdwingbare beveiligingsnormen voor bedrijven die op grote schaal persoonsgegevens verwerken? Zo nee, waarom niet?

Vraag 7

In het kader van dataminimalisatie: ziet u kansen dat de ontwikkeling van de EDI-wallet in Nederland kan bijdragen aan het verkleinen van het risico op datalekken bij organisaties, doordat consumenten hun persoonsgegevens minder vaak rechtstreeks hoeven te delen met verschillende partijen?

Vraag 8

Kunt u de vragen afzonderlijk beantwoorden?

Vraag 1

Heeft u kennisgenomen van het TNO-rapport «Zonder Robotisering verdwijnt de Nederlandse Maakindustrie: Urgente actie is noodzakelijk»1?

Vraag 2

Hoe beoordeelt u de constatering in dit rapport dat de robotiseringsgraad van de Nederlandse maakindustrie achterblijft ten opzichte van internationale koplopers?

Vraag 3

Kunt u de Kamer een actuele, sectorale uitsplitsing sturen van robotadoptie in de Nederlandse maakindustrie, inclusief een onderscheid tussen het mkb en het grootbedrijf?

Vraag 4

Welke belemmeringen voor robotisering in de Nederlandse maakindustrie wegen volgens u op dit moment het zwaarst?

Vraag 5

Op welke Nederlandse evaluaties, studies of modelanalyses baseert het kabinet zijn oordeel over het effect van robotisering op arbeidsproductiviteit, leveringszekerheid en concurrentiekracht?

Vraag 6

Welke bestaande rijksinstrumenten kunnen mkb-maakbedrijven momenteel benutten voor automatisering, digitalisering en robotisering? Kunt u ook aangeven hoe vaak hier gebruik van wordt gemaakt?

Vraag 7

Zijn er fiscale prikkels, vereenvoudigingen van procedures en/of maatregelen die de regeldruk verlagen om robotinvesteringen te versnellen? Zoja, welke zijn het kansrijkst?

Vraag 8

In hoeverre vormen energiekosten, netcongestie en langdurige vergunningsprocedures momenteel een belemmering voor robotisering in de Nederlandse maakindustrie?

Vraag 9

Kunt u in kaart brengen in welke mate Nederlandse maakbedrijven afhankelijk zijn van niet-Europese leveranciers van industriële robots, sensoren, controllers, AI-software en cloud- of operationele technologiecomponenten?

Vraag 10

Welke inzet pleegt het kabinet op het gebied van standaardisatie en interoperabiliteit bij industriële robotica en hoe wordt vendor lock-in daarbij voorkomen?

Vraag 11

Hoe beoordeelt het kabinet de rol van open-sourcecomponenten in industriële robotica, mede in het licht van beheerkosten, aansprakelijkheid en cybersecurity?

Vraag 12

Welke ondersteuning is of wordt beschikbaar gesteld aan maakbedrijven, in het bijzonder mkb-bedrijven, om verbonden robots en andere operationele technologie-systemen cyberveilig in te richten en te beheren?

Vraag 13

Beschikt het kabinet over een actuele raming van de behoefte aan personeel met kennis van robotica, systeemintegratie, onderhoud, data en operationele technologie-cybersecurity in de maakindustrie? En sluiten de huidige mbo-, hbo- en wo-opleidingen en bestaande om- en bijscholingsinstrumenten daarop aan?

Vraag 14

Hoe verbindt het kabinet civiele robotisering in de maakindustrie met dual-use toepassingen en de versterking van de Nederlandse defensie-industrie?

Vraag 15

Bent u bereid de Kamer een integrale kabinetsreactie op dit rapport van TNO te sturen, waarin in ieder geval wordt ingegaan op het aspect of een nationale robotiseringsagenda noodzakelijk is?

Vraag 16

Kunt u iedere vraag afzonderlijk van elkaar beantwoorden?

Vraag 1

Bent u bekend met de berichtgeving over de cyberaanval op ChipSoft, leverancier van elektronische patiëntendossiers voor een groot deel van de Nederlandse zorginstellingen?1

Vraag 2

Kunt u een actueel beeld geven van de aard, omvang en impact van deze aanval, en welke patiënten hierdoor zijn geraakt?

Vraag 3

In hoeverre heeft deze aanval gevolgen (gehad) voor de continuïteit van zorg, bijvoorbeeld door verminderde toegang tot patiëntgegevens, vertragingen in zorgverlening of het moeten overschakelen op noodprocedures?

Vraag 4

Zijn er aanwijzingen dat patiëntgegevens zijn ingezien, buitgemaakt of anderszins gecompromitteerd? Hoe wordt dit onderzocht en wanneer verwacht u hierover duidelijkheid te kunnen geven?

Vraag 5

Hoe beoordeelt u de sterke afhankelijkheid van een beperkt aantal commerciële leveranciers voor cruciale zorg-IT, en hoe worden de risico’s daarvan beperkt?

Vraag 6

Welke eisen worden momenteel gesteld aan leveranciers van zorg-IT op het gebied van cybersecurity, weerbaarheid en continuïteit, en in hoeverre zijn deze eisen voldoende gezien de kritieke rol van deze partijen voor ons zorgsysteem?

Vraag 7

In hoeverre zijn zorginstellingen verplicht of gestimuleerd om scenario’s uit te werken voor uitval van essentiële IT-systemen, en hoe wordt geborgd dat zorgverlening doorgang kan vinden bij langdurige verstoringen?

Vraag 8

Hoe wordt binnen het beleid rond de implementatie van de NIS2-richtlijn specifiek rekening gehouden met de afhankelijkheid van de zorgsector van externe IT-leveranciers?

Vraag 9

Ziet u aanleiding om aanvullende eisen te stellen aan leveranciers van kritieke zorg-IT, bijvoorbeeld op het gebied van redundantie, interoperabiliteit of exit-strategieën, zodat zorginstellingen minder kwetsbaar zijn bij uitval of incidenten?

Vraag 10

In hoeverre wordt gewerkt aan het verminderen van single points of failure in de digitale infrastructuur van de zorg, en welke concrete stappen worden gezet om diversificatie en alternatieven te stimuleren?

Vraag 11

Welke andere lessen trekt u uit dit incident voor de bredere digitalisering van de zorg, met name op het gebied van digitale autonomie, en hoe worden deze lessen vertaald naar concreet beleid?

Vraag 12

Kunt u de Kamer op korte termijn informeren over de uitkomsten van het onderzoek naar deze aanval, inclusief de implicaties voor het beleid rondom digitale weerbaarheid in de zorg?

Vraag 1

Hoe beoordeelt u het besluit van het grootste Nederlandse pensioenfonds (ABP) om zich terug te trekken uit Palantir vanwege zorgen over mensenrechten en ethisch verantwoord investeren?1

Vraag 2

Deelt u de zorg dat afhankelijkheid van buitenlandse technologiebedrijven zoals Palantir de digitale soevereiniteit van Nederland kan ondermijnen? Zo nee, waarom niet?

Vraag 3

Kunt u uiteenzetten waar binnen de overheid de diensten en producten van Palantir worden gebruikt en waarvoor deze worden ingezet? Zo nee, waarom niet?

Vraag 4

Hoe beoordeelt u het gebruikmaken door Nederlandse (semi-)overheidsorganisaties van technologie van bedrijven zoals Palantir, waarover ernstige zorgen bestaan over betrokkenheid bij mensenrechtenschendingen? En op welke gronden wordt dit beoordeeld?

Vraag 5

Welke ethische kaders hanteert het kabinet bij de inkoop en inzet van data-analyse- en AI-systemen van commerciële partijen zoals Palantir, en hoe worden deze kaders in de praktijk toegepast en gehandhaafd?

Vraag 6

Welke concrete waarborgen, zoals toezicht, impact assessments en transparantiemechanismen, worden ingezet om te voorkomen dat het gebruik van dergelijke technologie leidt tot discriminatie, profilering of schending van privacyrechten?

Vraag 7

Bent u bereid om aanvullende richtlijnen of toetsingskaders te ontwikkelen voor samenwerking met technologiebedrijven die actief zijn in veiligheids- en surveillancedomeinen, die de digitale soevereiniteit ten goede komen? Zo nee, waarom niet?

Vraag 8

Bent u bereid om, in navolging van het besluit van ABP, voortaan expliciet en vooraf te toetsen of samenwerkingen met technologiebedrijven zoals Palantir verenigbaar zijn met Nederlandse en Europese normen, en deze toets openbaar te maken? Zo nee, waarom niet?

Vraag 9

Zou u deze vragen afzonderlijk van elkaar kunnen beantwoorden?

Vraag 1

Heeft u kennisgenomen van het artikel «Palantir CEO Makes Shocking Confession on Disrupting Democratic Power» van The New Republic?1

Vraag 2

Hoe beoordeelt u het gegeven in het artikel dat het bedrijf Palantir doelbewust inzet op discriminerende aspecten van hun technologie waarmee democratische verhoudingen worden verslechterd?

Vraag 3

Welke rol spelen bedrijven als Palantir Technologies momenteel in Nederlandse overheidsprocessen, bijvoorbeeld op het gebied van data-analyse, veiligheid of publieke dienstverlening?

Vraag 4

In hoeverre acht het kabinet het wenselijk dat technologiebedrijven die nauw samenwerken met overheden of veiligheidsdiensten ook uitgesproken politieke visies hebben over de werking van democratieën?

Vraag 5

Hoe is er in de aanbesteding van de software van Palantir nagedacht over de impact van deze samenwerking op de democratie en maatschappij?

Vraag 6

In referentie naar de aangenomen motie van het lid Six Dijkstra c.s. over het onafhankelijk maken van Palantir, wat is de status van de uitvoering van de drie gevraagde actielijnen uit deze motie2?

Vraag 7

Kunt u een plan aanleveren om de verschillende functionaliteiten van Palantir waar de Nederlandse overheid gebruik van maakt om te zetten naar volwaardige alternatieven, en welke EU-bedrijven dit kunnen leveren? Zo ja, kan er ook een overzicht gemaakt worden welke EU-bedrijven deze functionaliteiten kunnen leveren, en kunt u de Kamer dit doen toekomen?

Vraag 8

Is het kabinet bereid, als de benodigde capaciteiten nog niet op de Europese markt beschikbaar zijn, om te verkennen of de talenten binnen JIVC (Joint Informatievoorziening Commando) benut kunnen worden om de benodigde capaciteiten zelf te ontwikkelen, al dan niet in samenwerking met het Nederlandse of Europese bedrijfsleven?

Vraag 9

Is het kabinet bereid te onderzoeken of aanvullende transparantie- of governance-eisen nodig zijn voor technologiebedrijven die AI-systemen leveren aan overheden, zeker wanneer deze bedrijven ook actief zijn in defensie- en veiligheidssectoren?

Vraag 10

Kunt u deze vragen afzonderlijk van elkaar beantwoorden?

Vraag 1

Bent u bekend met het bericht dat telecomprovider Odido zonder medeweten van klanten MAC-adressen en apparaatnamen uit consumentenrouters heeft doorgestuurd naar een Amerikaans AI-bedrijf?1

Ja.

Vraag 2

Kunt u toelichten in hoeverre MAC-adressen en apparaatnamen volgens de Algemene verordening gegevensbescherming (AVG) als persoonsgegevens kunnen worden beschouwd?

Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon kan een persoonsgegeven zijn (artikel 4, eerste lid, van de Algemene Verordening Gegevensbescherming, AVG). Ook een MAC-adres of een apparaatnaam kan als persoonsgegeven worden beschouwd.

Vraag 3

Hoe beoordeelt u de privacyrisico’s van het verzamelen en delen van deze gegevens, omdat daarmee mogelijk ook huishoudens kunnen worden herkend of gevolgd?

Het is van belang dat persoonsgegevens worden verwerkt op een wijze die rechtmatig, behoorlijk en transparant is. Een verwerking is bijvoorbeeld rechtmatig, als er toestemming voor is gegeven, een gerechtvaardigd belang is of als de verwerking noodzakelijk is voor de uitvoering van een overeenkomst. Het is niet aan het kabinet binnen het stelsel van de AVG om in te gaan op individuele gevallen, maar in eerste instantie aan de Autoriteit Persoonsgegevens (AP). De taken en bevoegdheden om op te treden tegen overtredingen zijn vastgelegd in de AVG. De AP kan daartoe handhavend optreden, advies verstrekken en klachten behandelen over een inbreuk op de bescherming van persoonsgegevens. Zij toetst of sprake is van strijdigheid met de Europese gegevensbeschermingsregels. De AP is op de hoogte van de genoemde berichtgeving over Odido.

Vraag 4

Hoe beoordeelt u het feit dat deze gegevens naar een Amerikaans AI-bedrijf zijn doorgestuurd?

Doorgifte van persoonsgegevens naar een bedrijf dat buiten de Europese Economische Ruimte (EER) is gevestigd is op grond van de AVG alleen toegestaan onder voorwaarden. Persoonsgegevens mogen alleen buiten de EER worden verwerkt in overeenstemming met de voorwaarden voor dergelijke doorgiften die zijn vastgelegd in hoofdstuk V van de AVG. Bijvoorbeeld als de Europese Commissie een adequaatheidsbesluit heeft genomen of dat er door het bedrijf passende waarborgen zijn genomen. Of in deze casus wel of geen grondslag was voor het al dan niet delen van deze gegevens buiten de EER, evenals de vraag of de waarborgen van hoofdstuk V van de AVG in acht zijn genomen, is niet aan het kabinet om te beoordelen, maar aan de toezichthouder. De AP is op de hoogte van de genoemde berichtgeving over Odido.

Vraag 5

Deelt u de opvatting van de Autoriteit Persoonsgegevens dat MAC-adressen kunnen worden beschouwd als persoonsgegevens? Zo ja, welke eisen gelden voor het verzamelen en delen van deze gegevens door telecomproviders?

Ja. Zie het antwoord op vraag 2. De AVG geeft algemene regels voor de verwerking van persoonsgegevens. Daarnaast stelt de Telecommunicatiewet specifieke regels voor telecomaanbieders.

Vraag 6

Welke risico’s ziet u voor de privacy en veiligheid van burgers wanneer grote hoeveelheden metadata over wifi-netwerken en apparaten worden verzameld en mogelijk gecombineerd met andere datasets?

Dat hangt af van de omstandigheden van het geval. Een risico dat volgt uit het niet naleven van de AVG is in ieder geval dat de betrokkenen hun rechten niet (volledig) kunnen uitoefenen. Denk hierbij aan het inzien, corrigeren, of verwijderen van hun eigen persoonsgegevens.

Vraag 7

Is de Autoriteit Persoonsgegevens betrokken bij deze kwestie en wordt onderzocht of Odido de privacyregels heeft nageleefd?

De AP is op de hoogte van de genoemde berichtgeving over Odido. Het is aan de AP om opheldering te vragen aan Odido.

Vraag 8

Welke stappen verwacht u van Odido richting klanten, bijvoorbeeld om hen te informeren over welke gegevens zijn gedeeld en welke maatregelen worden genomen om dit in de toekomst te voorkomen?

Dit is niet aan het kabinet, maar in eerste instantie aan de AP. De AP toetst of sprake is van strijdigheid met de Europese gegevensbeschermingsregels. In zijn algemeenheid hangt het van meerdere factoren af. Onder andere de vraag of er een grondslag is voor het verwerken van deze gegevens en, indien er sprake is van doorgifte buiten de EER, of de waarborgen van de AVG in acht zijn genomen.

Vraag 9

Ziet u aanleiding om strengere eisen te stellen aan telecomproviders die AI-diensten gebruiken, zodat gegevens van gebruikers beter worden beschermd en transparanter wordt omgegaan met dataverzameling?

Nee. De AVG geeft duidelijke regels voor de bescherming van persoonsgegevens. Daarnaast stelt de Telecommunicatiewet specifieke regels voor telecomaanbieders. Ook de AI-verordening kent een duidelijke set van regels. Er is wel aanleiding om het gesprek te voeren met het veld, waaronder telecomaanbieders, over de bescherming van persoonsgegevens in de praktijk. Vervolgens zal dit betrokken worden bij het voornemen om de toepassing van de AVG in Nederland tegen het licht te houden.

Vraag 10

Kunt u de vragen afzonderlijk beantwoorden en dit doen voor 23 maart 2026 vanwege het wetgevingsoverleg over de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten?

Dat is helaas niet gelukt.

Vraag 1

Bent u bekend met het bericht van Nieuwsuur waarin wordt gesteld dat miljoenen euro’s aan subsidiegeld voor de stichting ECP terechtkomen bij een bedrijf waarvan een aantal directeuren van die stichting mede-eigenaar zijn?1

Ja, ik ben ermee bekend.

Vraag 2

Hoe beoordeelt u de gang van zaken rond de subsidieverstrekking aan stichting ECP?

In mijn antwoorden op de vragen van de Tweede Kamer naar aanleiding van het schriftelijk overleg2 dat ik gelijktijdig aan uw Kamer zend, ga ik dieper in op deze vraag. Op mijn rol als subsidieverstrekker ga ik in het antwoord op de vraag van de fractie van GroenLinks-PvdA (vraag 16) in. In het antwoord op vraag 24 van de CDA-fractie geef ik aan dat de subsidierelatie in 2023 is geëvalueerd, en welke stappen ik na die evaluatie heb genomen.

Vraag 3

Hoe reflecteert u op de rol en uw verantwoordelijkheid hierin?

In het antwoord op de vraag van de fractie van GroenLinks-PvdA (vraag 16) in het genoemde schriftelijk overleg ga ik nader in op de rol van EZK als subsidieverstrekker.

Vraag 4

Hoe heeft deze situatie kunnen ontstaan en waarom is de Kamer hierover niet eerder geïnformeerd?

In het antwoord op eerdergenoemde vraag 16 is aangegeven dat de overeenkomst tussen ECP en LunaVia in 2023 is beoordeeld door externe advocaten op verzoek van het ECP-bestuur, wat voor EZK geen aanleiding gaf om de Kamer hierover te informeren of andere stappen te ondernemen.

Vraag 5

Welke maatregelen worden naar aanleiding van deze situatie genomen? Hoe wordt voorkomen dat zich in de toekomst vergelijkbare gevallen voordoen?

In het antwoord op de vraag van GL-PvdA (vraag 16 in het genoemde schriftelijk overleg ga ik hier dieper op in.

Vraag 6

Deelt u de opvatting dat activiteiten die structureel met publieke middelen worden gefinancierd in beginsel via een open en transparante aanbestedingsprocedure zouden moeten plaatsvinden, zodat voor alle partijen dezelfde regels gelden en meerdere organisaties kunnen meedingen?

Ik heb mij te houden aan de geldende subsidie- en aanbestedingsregels. Elk jaar maak ik de afweging of de activiteiten van ECP passen binnen de wettelijke kaders van een maatwerksubsidie, of het eventueel aanbesteden van (onderdelen van) de activiteit. Dit is ook beschreven in het antwoord op de vraag van uw fractie (vraag 3) in het genoemde schriftelijk overleg.

Vraag 7

Bent u bereid te bevorderen dat de activiteiten die in opdracht van stichting ECP worden uitgevoerd en structureel met publieke middelen worden bekostigd, in de toekomst geheel of gedeeltelijk via een aanbesteding worden georganiseerd? Zo nee, waarom niet?

In mijn antwoord op vraag 16 van GL-PvdA in het genoemde schriftelijk overleg heb ik toegelicht hoe ik hier als subsidieverstrekker tot nu mee ben omgegaan. Ook ga ik in op de gesprekken die ik heb met het ECP-bestuur over mogelijk aanpassingen in hun governance, ook op dit punt.

Vraag 8

Kunt u deze vragen één voor één beantwoorden?

Ja. Voor de beantwoording wil ik wel doorverwijzen naar mijn antwoorden op de vragen van de Tweede Kamer naar aanleiding van het genoemde schriftelijk overleg.

Vraag 1

Bent u bekend met het bericht: «Onderzoek naar Amerikaanse cloud-risico’s door Ministerie van overheidswebsite verwijderd» (De Volkskrant, 5 maart 2026)?

Vraag 2

Kunt u verklaren waarom het onderzoek naar de risico’s van de Amazon «European Sovereign Cloud» tijdelijk offline is gehaald?1

Vraag 3

Wat is uw reactie op het rapport?

Vraag 4

Wat is het doel geweest van het onderzoek van GreenbergTraurig? Wat wordt er gedaan met de uitkomsten?

Vraag 5

Hoe reageert u op de kritiek dat het rapport eenzijdig is geschreven? Ziet u aanleiding om de risico’s nader te onderzoeken?

Vraag 6

Hoe leest u de conclusies van het rapport, waaruit blijkt dat de Amerikaanse overheid via de Amazon «European Sovereign Cloud» nog steeds toegang kan krijgen tot Nederlandse data?

Vraag 7

Kunt u bevestigen dat het afnemen van de Amazon «European Sovereign Cloud» en soortgelijke initiatieven van Amerikaanse techgiganten niet bijdraagt aan het digitaal autonoom maken van Nederland? Wordt het afbouwen van het gebruik hiervan onderdeel van het kabinetsbeleid?

Vraag 8

Hebben ministeries, uitvoeringsorganisaties, zbo’s of andere overheidsdiensten reeds plannen om gebruik te maken van de Amazon «European Sovereign Cloud» of soortgelijke initiatieven? Zo ja, kunt u een overzicht geven van organisaties die van plan zijn om de dienst af te nemen of dit al hebben gedaan?

Vraag 9

Zijn er nog andere risicoanalyses of onderzoeken uitgevoerd naar de gevolgen voor de digitale autonomie bij het afnemen van de Amazon «Sovereign European Cloud» of soortgelijke initiatieven? Zo ja, kunt u deze aan de Kamer doen toekomen?

Vraag 10

Kunt u deze vragen afzonderlijk en zo snel mogelijk beantwoorden?

Vraag 1

Bent u bekend met het bericht van Reuters waarin wordt gesteld dat de Amerikaanse regering diplomaten instrueert om buitenlandse initiatieven op het gebied van datasoevereiniteit actief tegen te gaan?1

Ja.

Vraag 2

Hoe beoordeelt u deze instructie van de Amerikaanse regering in het licht van het belang dat Europa zelf zeggenschap houdt over waar en hoe gevoelige data van burgers, bedrijven en overheden wordt opgeslagen en verwerkt?

Voor het kabinet staat voorop dat Nederland en de EU soeverein zijn in het bepalen van hun eigen wet- en regelgeving, inclusief wetgeving op het gebied van Europese datasoevereiniteit, en dat aanpassing van regelgeving onder druk van derde landen niet mag gebeuren.
Wel zal de EU haar concurrentievermogen moeten vergroten en weerbaarder moeten worden, ook op digitaal vlak. In dat kader waardeert het kabinet de inspanningen die hiertoe op EU-niveau worden gedaan en kijkt het met interesse uit naar het aankomende Technology Sovereignty Package van de Europese Commissie, dat naar verwachting onder meer voorstellen bevat voor een Cloud & AI Development Act (CADA) en herziening van de Chips Act. Het kabinet gaat daarover t.z.t. graag in gesprek met uw Kamer. Ook de Agenda Digitale Open Strategische Autonomie van het kabinet past in de inzet om het concurrentievermogen en de weerbaarheid van de (digitale) economie te vergroten.
Tot slot is het van belang om met al onze bondgenoten, waaronder de VS, actief in gesprek te blijven.

Vraag 3

Is bij u bekend of Amerikaanse diplomaten richting Nederland of bij de Europese Commissie pogingen hebben ondernomen om beleid op het gebied van datasoevereiniteit te beïnvloeden, en zo ja, op welke wijze en in welke context?

Het is niet ongebruikelijk dat belanghebbenden – zoals overheden, bedrijven, onderzoeksinstellingen en andere belangengroepen – invloed proberen uit te oefenen op politieke besluitvormingsprocessen en daartoe hun zienswijzen delen. Dit geldt ook voor de VS. Uiteindelijk besluit het kabinet zelf welke zienswijzen het verwerkt in zijn standpuntbepaling. Specifiek naar aanleiding van de casus waarnaar in deze vragen wordt verwezen, is mij niet bekend dat hierop door Amerikaanse diplomaten actie is ondernomen.

Vraag 4

Welke gevolgen kan het afzwakken van beleid op het gebied van datasoevereiniteit hebben voor de bescherming van persoonsgegevens, de online veiligheid en de controle die burgers hebben over hun eigen data?

De Algemene Verordening Gegevensbescherming (AVG) geldt als hoeksteen van het EU beleid in de digitale ruimte. De AVG beschermt grondrechten en de fundamentele vrijheden van natuurlijke personen en met name hun recht op bescherming van persoonsgegevens. De online veiligheid wordt onder meer beschermd doordat verwerkingsverantwoordelijke organisaties niet meer gegevens mogen verwerken dan noodzakelijk is, en een passende beveiliging van persoonsgegevens dienen te waarborgen. De verwerkingsverantwoordelijke dient ervoor te zorgen dat de bescherming van het grondrecht niet wordt ondermijnd, ongeacht waar de gegevens zich bevinden. In lijn met de doelstellingen van de AVG, is het Nederlandse beleid op het vlak van datasoevereiniteit erop gericht de bescherming van het grondrecht zowel in EU-verband als bij internationale doorgiften te waarborgen.

Vraag 5

Ziet u hierin aanleiding om, samen met Europese partners, actiever in te zetten op het versterken van digitale soevereiniteit, onder meer door het bevorderen van Europese cloud- en data-infrastructuur?

Het kabinet onderschrijft in algemene zin de noodzaak om actief in te zetten op het versterken van onze digitale soevereiniteit, specifiek ten aanzien van het bevorderen van Europese cloud- en datainfrastructuur. In onder meer de kabinetsreactie op de initiatiefnota «Wolken aan de Horizon» van de leden Kathmann en Six Dijkstra heeft het kabinet erkend dat het vanwege de internationale aard van de problematiek op de cloudmarkt essentieel is om deze problemen waar mogelijk in Europees verband beleidsmatig aan te pakken. In de Kamerbrief over Europese cloud-alternatieven van maart 2025 is uw Kamer geïnformeerd over de lopende initiatieven die onderdeel zijn van de geïntegreerde Europese aanpak om Europese cloud-alternatieven te stimuleren en digitale afhankelijkheden af te bouwen.
Voorts heeft het kabinet signalen ontvangen dat de Commissie in de herziening van de aanbestedingsrichtlijnen overweegt om een Europees voorkeursprincipe bij aanbesteden voor strategische sectoren op te nemen. Daarbij kan ook gekeken worden naar de cloudsector. Het kabinet is terughoudend met de inzet van een dergelijk principe en is van mening dat per sector zorgvuldig en gericht moet worden afgewogen of de baten van de inzet van een dergelijk principe opwegen tegen de kosten. Het kabinet is tevens van mening dat het instrument in beginsel enkel moet worden ingezet om de weerbaarheid van de Unie te versterken en eventuele toepassing moet daarbij tijdelijk, doelmatig en proportioneel zijn. De toegang voor gelijkgestemde handelspartners moet hierin niet belemmerd worden. Een Europees voorkeursprincipe in aanbestedingen zou, samen met andere maatregelen, kunnen bijdragen aan het afbouwen van strategische afhankelijkheden.

Vraag 6

Ziet u daarnaast aanleiding om in Europees verband gezamenlijke uitgangspunten over datasoevereiniteit actiever uit te dragen en te verdedigen?

Het kabinet zet in op eenduidige afspraken en definities over soevereiniteit van cloud- en datainfrastructuur in Europees verband. Er bestaan op dit moment geen uniforme principes om te bepalen wat soevereiniteit in relatie tot cloud is. Als gevolg hiervan vermarkten aanbieders op dit moment uiteenlopende clouddiensten als «soeverein». Omdat er op dit moment geen regels zijn die voorschrijven in welke mate zelfverklaarde soevereine clouddienstverlening bescherming moet bieden tegen niet-Europese extraterritoriale wetgeving, is het in de praktijk mogelijk dat er clouddienstverlening op Europese bodem wordt aangeboden als «soeverein» terwijl deze onder specifieke omstandigheden verplicht is niet-Europese veiligheids- en opsporingsdiensten toegang te geven tot opgeslagen data.
Het kabinet zet zich er daarom actief voor in dat het voorstel van de Europese Commissie voor de CADA bepalingen bevat voor het vaststellen van gezamenlijke uitgangspunten voor cloud- en datasoevereiniteit. Dit biedt aanbieders duidelijkheid over de eisen waar ze aan moeten voldoen om een soevereine cloud propositie te mogen aanbieden, terwijl afnemers zekerheid hebben dat de dienstverlening daadwerkelijk het beschermingsniveau biedt dat ze wensen. Het wetsvoorstel voor de CADA wordt verwacht in het tweede kwartaal van 2026.
De inzet van het kabinet voor het realiseren van gedeelde, uniforme uitgangspunten voor cloud- en datasoevereiniteit vindt parallel plaats aan het streven onder de Nederlandse Digitaliseringsstrategie om een soevereine overheidscloud te ontwikkelen.

Vraag 1

Bent u bekend met het bericht van RTL waarin wordt gemeld dat bij telecomprovider Odido een grootschalig datalek heeft plaatsgevonden en dat hierbij, anders dan eerder door het bedrijf gecommuniceerd, ook burgerservicenummers (BSN) zijn gelekt?1

Ja

Vraag 2

Hoe beoordeelt u de ernst van het incident, in het bijzonder het lekken van BSN, vanuit het perspectief van de bescherming van fundamentele rechten van burgers en hoe ingrijpend beoordeelt u de impact op burgers?

De schaal van dit datalek, de hoeveelheid getroffen burgers en de soms gevoelige aard van de gelekte gegevens maken dit tot een bijzondere situatie. Het maakt duidelijk dat datalekken grote gevolgen kunnen hebben. Zonder iets te willen of kunnen zeggen over de oorzaken van het onderhavige datalek, maakt dit in meer algemene zin duidelijk dat een goede beveiliging van persoonsgegevens zoals vereist in de Algemene Verordening Gegevensbescherming (AVG) pure noodzaak is en een cruciaal onderdeel van de bedrijfsprocessen moet zijn. De gevraagde beoordeling van dit datalek is uiteindelijk aan de Autoriteit Persoonsgegevens (AP) en Rijksinspectie Digitale Infrastructuur (RDI) als onafhankelijke toezichthouders. Daarnaast doet de politie onder leiding van het Landelijk Parket een strafrechtelijk onderzoek naar de aanval en de daders.
De gelekte gegevens waaronder ook het BSN zijn niet direct bruikbaar voor fraudeurs om zelfstandig fraude op naam van gedupeerden te plegen. Criminelen gebruiken de gegevens vooral om phishingaanvallen uit te voeren en gedupeerden te verleiden om op een link te klikken of nog meer gegevens prijs te geven.
Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties adviseert niet om paspoorten of identiteitskaarten te vernieuwen. Er zijn alleen paspoortnummers gelekt. Alleen met die informatie kunnen criminelen niet zelfstandig fraude plegen. Zij kunnen die informatie echter wel gebruiken voor bijvoorbeeld gerichte phishingaanvallen. Met behulp van de gestolen informatie proberen ze dan om zo betrouwbaar mogelijk te lijken en in te spelen op het gevoel van burgers met als doel om meer informatie te ontfutselen of burgers te verleiden op een link, button of QR-code te klikken.

Vraag 3

In hoeverre acht u daarbij het recht op privacy en gegevensbescherming geschonden, nu (oud-)klanten van Odido buiten hun eigen schuld risico lopen op misbruik van hun persoonsgegevens?

In algemene zin is een datalek een inbreuk in verband met het recht op persoonsgegevens. Of, en zo ja in hoeverre, de privacy en het recht op gegevensbescherming van betrokken in deze concrete zaak zijn geschonden, is niet aan het kabinet om te beoordelen. Dit is aan de Autoriteit Persoonsgegevens (AP) en de Rijksinspectie Digitale Infrastructuur (RDI) als toezichthouders of in voorkomende gevallen aan de rechter om te beoordelen.

Vraag 4

Hoe beoordeelt u het advies aan Odido om geen losgeld te betalen, gelet op de huidige situatie waarin de hackersgroep Shinyhunters is overgegaan tot publicatie van gestolen persoonsgegevens, met mogelijke ernstige gevolgen voor de (oud-)klanten van Odido?2

Het besluit van Odido om geen losgeld te betalen sluit aan bij de visie van het kabinet. Slachtoffer worden van dergelijke afperspraktijken kan veel impact hebben. De schade kan enorm oplopen en plaatst een getroffen bedrijf in een moeilijke positie, ook richting hun klanten. Zeker in dit geval waar het aantal gestolen gegevens zo omvangrijk is. De uiteindelijke afweging ligt bij de getroffen organisatie, maar het dringende advies van de overheid blijft om geen losgeld te betalen. Betaling van losgeld biedt geen garantie dat criminelen systemen herstellen, gestolen data verwijderen of ervan afzien deze openbaar te maken of door te verkopen aan andere criminelen. Daarnaast houdt het betalen van losgeld het verdienmodel van cybercriminelen in stand. De opbrengsten worden veelal ingezet voor verdere, geavanceerde cyberaanvallen, waarmee nieuwe slachtoffers worden gemaakt. Dit kan bovendien nieuwe aanvallen op Nederlandse organisaties uitlokken.

Vraag 5

Kunt u aangeven welke opsporingsprioriteit wordt gegeven aan het strafrechtelijk onderzoek dat is gestart door het Openbaar Ministerie en ligt daarbij ook een rol voor de digitale recherche?

Het OM gaat over de opsporingsprioriteit. De politie is onder gezag van het Openbaar Ministerie een opsporingsonderzoek gestart. Een team van het Team High Tech Crime, dat gespecialiseerd is in dit soort cybercriminaliteit, doet onderzoek naar het incident.

Vraag 6

Welke rol ziet u bij het ondersteunen en informeren van burgers van wie persoonsgegevens door cybercriminelen zijn gepubliceerd en acht u het huidige instrumentarium hiervoor toereikend?

De overheid geeft praktische tips om de digitale weerbaarheid van burgers te vergroten. Zo hebben burgers de mogelijkheid om websites zoals veiliginternetten.nl en die van het NCSC te raadplegen waar veel informatie en adviezen worden gegeven over hoe ze zich online kunnen beschermen en over de basisprincipes van digitale weerbaarheid. Via Centraal Meldpunt Identiteitsfraude (CMI) kan er melding worden gedaan van fraude, hier is ook een specifieke pagina over de Odido hack. Daarnaast zal het kabinet met een reactie komen in lijn met de gedane toezegging door de Staatssecretaris van Economische Zaken – digitale economie en soevereiniteit en de aangenomen motie van het lid Rajokowski die opriep tot een duidelijk handelingskader voor slachtoffers van datalekken.3

Vraag 7

Ziet u aanleiding om het strafrechtelijk kader of de opsporingscapaciteit op het terrein van hacks en digitale afpersing te versterken, bijvoorbeeld door intensivering van de digitale recherche van de politie of door aanpassing van wet- en regelgeving?

Door het Ministerie van Justitie en Veiligheid worden met de politie en het OM worden gesprekken gevoerd over wat er nodig is om de aanpak van online criminaliteit een stap verder te brengen, daarin zullen de recente incidenten zoals de hacks bij Clinical Diagnostics en Odido worden meegenomen.
In het coalitieakkoord is verder aangekondigd dat de strafmaxima voor zware cyberdelicten zullen worden verhoogd. Bij de nadere beleidsuitwerking hiervan zal ook aandacht worden besteed aan deze recente incidenten.

Vraag 8

Kunt u de vragen afzonderlijk beantwoorden en dit doen voorafgaand aan de behandeling van de Cyberbeveiligingswet?

Dit is helaas niet gelukt.

Vraag 1

Bent u bekend met het bericht van de NOS over de cyberaanval bij Odido waarbij gegevens van circa 6,2 miljoen accounts zijn buitgemaakt door criminelen?1

Ja.

Vraag 2

Hoe beoordeelt u de omvang en ernst van dit datalek, mede gezien het feit dat ook gevoelige persoonsgegevens, zoals identiteitsdocumentnummers en rekeningnummers, mogelijk zijn gelekt?

De schaal van dit datalek, de hoeveelheid getroffen burgers en de soms gevoelige aard van de gelekte persoonsgegevens maken dit tot een bijzondere situatie. Het maakt duidelijk dat datalekken grote gevolgen kunnen hebben. Zonder iets te willen of kunnen zeggen over de oorzaken van het onderhavige datalek, maakt dit in meer algemene zin duidelijk dat een goede bescherming van persoonsgegevens zoals onder meer vereist in de Algemene Verordening Gegevensbescherming (AVG) noodzakelijk is en een integraal onderdeel moet zijn van primaire bedrijfsprocessen. De gevraagde beoordeling van dit datalek is uiteindelijk aan de Autoriteit Persoonsgegevens (AP) en Rijksinspectie Digitale Infrastructuur (RDI) als onafhankelijke toezichthouders. Daarnaast doet de politie onder leiding van het Landelijk Parket onderzoek naar de aanval en de daders.

Vraag 3

In hoeverre heeft deze cyberaanval gevolgen voor de digitale veiligheid en weerbaarheid van Nederland, gezien de maatschappelijke rol van telecomproviders?

De AP heeft laten weten geen informatie te verstrekken over individuele zaken. In zijn algemeenheid houdt de AP bij omvangrijke datalekken onder meer toezicht op de naleving van de meldplicht datalekken en onderzoekt daarbij ook de beveiliging ten tijde van het lek en genomen vervolgstappen. Maar ook andere aspecten die specifiek zijn voor de datalekzaak kunnen door de AP worden onderzocht. Daarbij wordt ook rekening gehouden met signalen uit openbare bronnen en signalen uit klachten die de AP heeft ontvangen.
De AP beschikt over voldoende handhavende bevoegdheden vanuit de AVG om in te grijpen wanneer een (voorgenomen) verwerking van persoonsgegevens niet rechtmatig, behoorlijk en/of transparant plaatsvindt. Bijvoorbeeld door het bevestigen van normen, het geven van waarschuwingen, stilleggen van verwerkingen of het opleggen van boetes.

Vraag 4

Hoe beoordeelt u het risico dat de bij Odido gestolen persoonsgegevens in de toekomst alsnog openbaar worden gemaakt, en welke gevolgen kan dit hebben voor de veiligheid en privacy van betrokken burgers?

De bij Odido gestolen persoonsgegevens zijn inmiddels gepubliceerd.2 In algemene zin geldt dat een dergelijke grootschalige publicatie in ieder geval het risico verhoogt op diverse vormen van oplichting en fraude zoals gerichte phishing en social engineering. Onder andere Odido, Veiliginternetten.nl, de politie en de AP communiceren naar aanleiding van het datalek actief waarvoor gestolen gegevens kunnen worden misbruikt en geven tips om gevolgen van het datalek zoveel mogelijk tegen te gaan.3

Vraag 5

Heeft Odido het datalek tijdig gemeld bij de Autoriteit Persoonsgegevens en andere relevante instanties, en bent u op de hoogte van eventuele lopende onderzoeken?

De AP heeft laten weten dat Odido het datalek tijdig heeft gemeld bij de AP. Odido geeft aan daarnaast proactief relevante overheidsinstanties, waaronder de RDI, te hebben geïnformeerd. De RDI is op basis van de verkregen informatie mogelijke vervolgstappen aan het onderzoeken. De AP meldt op haar website dat zij aanleiding ziet om tot formeel onderzoek over te gaan.4

Vraag 6

Is er volgens uw inschatting sprake van nalatigheid of onvoldoende naleving van de Europese privacy- en beveiligingsverplichtingen, zoals de Algemene verordening gegevensbescherming (AVG), door Odido?

Het is niet aan het kabinet om dit te beoordelen. Dit is in eerste instantie aan de AP. De taken en bevoegdheden om op te treden tegen overtredingen zijn vastgelegd in de AVG. De AP kan daartoe handhaven, advies verstrekken, samenwerken met andere toezichthoudende autoriteiten en klachten behandelen over een inbreuk op de bescherming van persoonsgegevens. De AP toetst daarnaast of sprake is van strijdigheid met de Europese gegevensbeschermingsregels.

Vraag 7

Welke risico’s lopen getroffen klanten en acht u de door Odido genomen maatregelen voldoende om deze risico’s te beperken?

Zie het antwoord op de vraag 4. De vraag of Odido voldoende maatregelen heeft genomen om te voldoen aan de zorgplicht uit de Telecommunicatiewet en de AVG is aan de toezichthouders om te beoordelen.

Vraag 8

Welke eisen worden momenteel gesteld aan telecomproviders ten aanzien van cyberbeveiliging en gegevensbescherming en voldoen deze volgens u nog aan de huidige dreigingscontext?

Het toepasselijke normenkader stelt de strikte vereisten die noodzakelijk zijn voor een goede bescherming in een steeds veranderende dreigingscontext. Zoals aangegeven in het antwoord op vraag 3 valt Odido onder de zorgplicht van de Telecommunicatiewet. Onder de zorgplicht dienen aanbieders passende technische en organisatorische maatregelen te nemen om risico’s voor de beveiliging van hun netwerken of diensten te beheersen. Dit moet zorgen voor een veiligheidsniveau dat is afgestemd op risico's die zich voordoen. De RDI ziet toe op de naleving van de vereisten van deze zorgplicht.
Daarnaast zijn telecomproviders gebonden aan de AVG, waaronder de beginselen van behoorlijke gegevensverwerking. Het beginsel van dataminimalisatie houdt bijvoorbeeld in dat organisaties alleen persoonsgegevens mogen verzamelen en verwerken die strikt noodzakelijk zijn voor een vooraf bepaald, specifiek doel. Op verwerkingsverantwoordelijken rust daarnaast de verplichting om passende technische en organisatorische maatregelen te treffen om persoonsgegevens te beveiligen. Deze beveiligingsmaatregelen dienen een op de risico’s voor de rechten en vrijheden van personen afgestemd beveiligingsniveau te waarborgen en rekening te houden met de stand van de techniek, alsook met de aard, omvang, context en doeleinden van de verwerking. Het waarborgen van passend bewustzijn van de beveiligingsrisico's bij personen die toegang hebben tot de te verwerken gegevens is daarbij van belang. Verwerkingsverantwoordelijken dienen hun beveiligingsmaatregelen doorlopend te evalueren en zo nodig aan te passen aan nieuwe risico’s, waaronder nieuwe cyberdreigingen. Op grond van de AVG fungeert de Functionaris gegevensbescherming (FG) als onafhankelijk adviseur en ziet toe op de naleving van het gegevensbeschermingsrecht waaronder de te nemen maatregelen.
Het Nationaal Cyber Security Centrum staat rond actuele kwetsbaarheden en cyberdreigingen in nauw contact met partners binnen de telecomsector en werkt onder meer samen via het telecomgerichte Information Sharing and Analysis Center (ISAC).
EZK werkt samen met de telecomoperators in het Nationaal Continuïteit Overleg Telecom (NCOT) om gezamenlijk aan de continuïteit van de telecomdienstverlening te werken in het kader van de huidige dreiging.

Vraag 9

Ziet u aanleiding om aanvullende eisen of toezichtmaatregelen te treffen richting telecomproviders om grootschalige datalekken te voorkomen?

Op dit moment ziet de Staatssecretaris van Economische Zaken geen aanleiding om aanvullende eisen te stellen richting telecomproviders om grootschalige datalekken te voorkomen. Zoals uiteengezet in het antwoord op vraag 8 zijn onder de toepasselijke wet- en regelgeving, waaronder de Telecomwet en de AVG, organisaties zelf verantwoordelijk voor het nemen van passende maatregelen om, mede gelet op de huidige dreigingscontext, (grootschalige) datalekken te voorkomen. Het is aan de toezichthouders om daarop toe te zien en in dit verband de nodige toezichtmaatregelen te treffen. Dit is niet aan mij als bewindspersoon.

Vraag 10

Welke rol ziet u voor de overheid bij het ondersteunen van bedrijven en burgers bij het beperken van schade na grootschalige datalekken?

De AP ziet als onafhankelijke toezichthouder toe op de naleving van de AVG en kan handhavend optreden wanneer organisaties tekortschieten. Daarnaast heeft de toezichthouder een belangrijke rol in voorlichting. Door het geven van uitleg, richtsnoeren en praktische handvatten ondersteunt de toezichthouder organisaties en burgers bij de toepassing van de AVG en het uitoefenen van hun rechten.
Ook Veiliginternetten.nl geeft adviezen in deze casus. Dit is een publiek-private website om neutrale informatie over digitale veiligheid te verstrekken aan burgers. Het Nationaal Cyber Security Centrum (NCSC) deelt via openbare kanalen diverse adviezen en richtlijnen over cybersecurity, zoals beveiligingsadviezen, dreigingsinformatie en maatregelen om digitale incidenten te voorkomen of te beperken. Het Ministerie van EZK verstrekt jaarlijks via Mijn Cyberweerbare Zaak subsidie aan kleinere mkb’ers ter versterking van hun digitale weerbaarheid.
Mensen die vermoeden dat ze slachtoffer zijn geworden van diefstal van hun gegevens kunnen op de site van de politie controleren of hun data in handen is gevallen van criminelen.

Vraag 11

Acht u de oproep van Odido aan klanten om «extra alert» te zijn voldoende, of ziet u een verantwoordelijkheid voor aanvullende beschermingsmaatregelen richting getroffen klanten?

Zoals uiteengezet in het antwoord op vraag 8, stelt het toepasselijke normenkader, in het bijzonder de AVG, de nodige strikte vereisten. De AP ziet toe op de naleving van dat kader.

Vraag 12

Bestaan er landelijke richtlijnen of protocollen voor ondersteuning van burgers die slachtoffer zijn van grootschalige datalekken waarbij identiteitsgegevens zijn buitgemaakt? Zo ja, worden deze in dit geval toegepast?

Het handelingskader voor slachtoffers van datalekken wordt vormgegeven door de AVG. De AVG verplicht verwerkingsverantwoordelijke organisaties om betrokkenen te informeren over een «hoog risico» datalek. De wijze waarop betrokkenen in lijn met de AVG dienen te worden geïnformeerd, wordt uitgewerkt in richtsnoeren van het Europees Comité voor gegevensbescherming (EDPB). Het is aan de AP om daarop toe te zien. Tevens heeft de AP op grond van de AVG de eigen wettelijke taak om voorlichting te geven aan burgers over hun rechten en handelingsmogelijkheden uit hoofde van de AVG bij datalekken. De website van de AP biedt een overzicht van mogelijkheden voor betrokkenen bij een datalek.
Daarnaast zal het kabinet met een reactie komen in lijn met de gedane toezegging door de Staatssecretaris van Digitale Economie en Soevereiniteit en de aangenomen motie van het lid Rajkowski die opriep voor een duidelijk handelingskader voor slachtoffers van datalekken en de gedane toezegging5.

Vraag 13

Op welke wijze houdt de Autoriteit Persoonsgegevens toezicht op de opvolging van dit incident, en beschikt de toezichthouder volgens u over voldoende bevoegdheden en capaciteit om effectief toezicht te houden bij grootschalige datalekken?

Vraag 14

Welke lessen trekt u uit dit incident voor het beleid richting de markt op het gebied van de weerbaarheid van organisaties die grote hoeveelheden persoonsgegevens verwerken?

Zie het antwoord op vraag 2.

Vraag 1

Heeft u kennisgenomen van het bericht «Elon Musks AI-chatbot Grok onder vuur door seksueel getinte beelden»?1

Ja.

Vraag 2

Bent u op de hoogte van het incident waarbij AI-chatbot Grok door gebruikers werd aangespoord om seksuele deepfakes van minderjarige meisjes te genereren, en dat deze beelden tot wel 12 uur online hebben gestaan voordat ze werden verwijderd? Zo ja, hoe beoordeelt u dit incident in het licht van de Digital Services Act (DSA) verplichtingen ten aanzien van bescherming van minderjarigen?

Ja, daarvan zijn we op de hoogte. Het bericht dat zoveel mensen slachtoffer zijn geworden vinden wij zeer zorgwekkend. De slachtoffers zijn met name vrouwen en minderjarigen, maar deepnudes kunnen in potentie van iedereen gemaakt worden. De impact en de gevolgen van deepnudes voor slachtoffers en hun omgeving zijn enorm, mede omdat het maken van deepnudes steeds geavanceerder wordt en daarmee deepnudes steeds realistischer worden. Daarnaast zijn deze beelden ook schadelijk voor de samenleving, omdat iedereen, specifiek jongeren, ze online tegen kunnen komen. Het vervaardigen van seksueel beeldmateriaal van minderjarigen, of van personen zonder toestemming, is strafbaar, ook als het materiaal met AI is gegenereerd.
Als aangewezen zeer groot online platform zal X moeten voldoen aan de verplichtingen uit de Digitale Dienstenverordening (DSA). In die hoedanigheid is X verplicht om de systeemrisico’s die kunnen voortvloeien uit de verspreiding van illegale content, zoals illegale deepnudes, te identificeren en te beperken. Ook moeten zij het gebruikers mogelijk maken om illegale inhoud op eenvoudige wijze te melden, welke meldingen zij op een tijdige, zorgvuldige, niet-willekeurige en objectieve wijze moeten beoordelen.
Het primaat van het DSA-toezicht op X als zeer groot online platform ligt bij de Europese Commissie (EC). Daarbij wordt zij ondersteund door de Ierse toezichthouder, als toezichthouder van de lidstaat waar X zijn hoofdvestiging heeft. De toezichthouders beoordelen niet of specifieke content illegaal is en leggen geen verwijderverzoeken of bevelen op aan platforms, maar controleren of bijvoorbeeld bovenstaande meldingsmechanismes van platforms voldoen aan de DSA en of het platform de melding netjes en op tijd onderzoekt en melder over de beslissing informeert. Op 26 januari werd bekend dat de EC een nieuw, officieel onderzoek is gestart naar (de functies van) Grok en X onder de DSA. In dit nieuwe onderzoek zal worden beoordeeld of X de risico’s in verband met de verspreiding van illegale inhoud, waaronder gemanipuleerde seksuele afbeeldingen en inhoud die kwalificeert als seksueel misbruik van kinderen, in verband met de uitrol van Grok in de EU naar behoren heeft beoordeeld en beperkt.

Vraag 3

Welke stappen onderneemt Nederland binnen de Raad en richting de Europese Commissie om ervoor te zorgen dat DSA-verplichtingen met betrekking tot bescherming van minderjarigen en voorkomen van AI-malafide content effectief worden nageleefd door grote platforms?

Op de DSA wordt toezicht gehouden door onafhankelijke toezichthouders en Nederland kan dienaangaande geen instructies geven. Wel kan Nederland signalen afgeven aan de EC of de Autoriteit Consument & Markt (ACM), de coördinerende toezichthouder op de DSA in Nederland, in het geval risico’s worden gezien die om aandacht vragen. Zo heeft Nederland de uitkomsten van de kinderrechtenimpactassessments met de EC gedeeld.

Vraag 4

Bent u op de hoogte van de lopende onderzoeken van meerdere landen (o.a. Frankrijk, Zweden, Australië) tegen X over de stroom aan deepfakes en seksueel expliciete AI-beelden? Zo ja, wat is de Nederlandse positie en rol hierin?

Ja, daarvan zijn wij op de hoogte. Het is mede aan de toezichthouder van de DSA, in dit geval de EC, om te beoordelen of X aan de wettelijke verplichtingen heeft voldaan. Daarnaast hebben wij vernomen dat Frankrijk een strafrechtelijk onderzoek is gestart.2 Nederland heeft in de lopende onderzoeken tegen X geen specifieke rol. Uiteraard volgen wij de ontwikkelingen met belangstelling.

Vraag 5

Onder DSA zijn grote platformen verplicht om duidelijke, gebruiksvriendelijke mechanismen voor het rapporteren van illegale content te hebben en deze snel te behandelen, hoe beoordeelt u de effectiviteit van de huidige mechanismen van X, mede gezien het feit dat sommige beelden pas na journalistieke publiciteit werden verwijderd?

Het niet adequaat en of snel handelen van een zeer groot online platform wordt gesanctioneerd in het derde lid van artikel 16 DSA. Dit artikel verduidelijkt dat een melding van illegale inhoud, conform de vereisten van dat artikel, leidt tot zogenaamde «daadwerkelijke kennis of bekendheid» van die illegale inhoud bij een hostingbedrijf of online platform. Zodra dat het geval is, moet een zeer groot online platform prompt handelen om die illegale inhoud te verwijderen of de toegang daartoe onmogelijk te maken. Doet een platform dat niet dan kunnen ze geen beroep doen op de vrijwaring van aansprakelijkheid uit artikel 6 van de verordening en zelfstandig aansprakelijk worden gesteld voor die illegale inhoud.
Het is aan de toezichthouder, in dit geval de EC, om te beoordelen of aan bovengenoemd kader is voldaan. De EC onderzoekt dit momenteel.

Vraag 6

Hoeveel meldingen van AI-gegenereerde illegale content, waaronder deepfakes en beelden met minderjarigen, zijn via het DSA-transparantiesysteem aan de Europese Commissie en nationale autoriteiten gerapporteerd, en wat is daarvan de uitkomst?

De ACM heeft geen inzicht in meldingen die door andere lidstaten worden gedaan bij de EC en/of de Ierse toezichthouder Coimisiún na Meán (CNAM; toezichthouder van de lidstaat waar X zijn hoofdvestiging heeft). Dit is in principe vertrouwelijk tussen de melder en de EC. Meldingen over systeemrisico’s zijn vaak beschrijvend over een bepaalde functionaliteit of risico, aangevuld met enkele voorbeelden van het betreffende onderwerp.

Vraag 7

Kunt u duidelijkheid geven over hoe momenteel toezicht en handhaving is ingericht op het gebied van deepfake incidenten in Nederland? En is dit alleen meldings-gedreven of ook door middel van actieve detectie?

Handhaving en toezicht op illegaal deepfake-beeldmateriaal gebeurt primair op basis van meldingen bij de bevoegde handhavingsautoriteiten over de online platforms waar deze worden verspreid.
De ACM is de bevoegde Nederlandse toezichthouder op de DSA. De ACM heeft op grond van de DSA geen bevoegdheid om verwijderbevelen op te leggen. Wel bevat de DSA verplichtingen op grond waarvan de ACM kan handhaven wanneer online platforms of hostingproviders onvoldoende optreden tegen illegale inhoud en hun processen met betrekking tot meldingen niet op orde hebben. Dit kan het geval zijn als blijkt dat de onlinedienst niet of onvoldoende gemotiveerd of traag reageert op meldingen over illegale inhoud van bijvoorbeeld gebruikers of trusted flaggers.
Het kan zijn dat niet de ACM maar een toezichthouder in een andere lidstaat bevoegd is ten aanzien van de onlinedienst in kwestie. In het geval van de kwestie X/Grok is bijvoorbeeld de Europese Commissie primair bevoegd. Zij kan als bevoegd toezichthouder een onderzoek instellen en boetes opleggen tot 6% van de wereldwijde omzet. Daarnaast hebben gebruikers de mogelijkheid om, naast het doorlopen van de interne klachtenafhandelingsprocedure bij een aanbieder, ook een gerechtelijke procedure te starten.
De ACM roept slachtoffers van dergelijke beelden op om melding te doen bij het platform/de hosting provider, bij de politie of bij een trusted flagger zoals Offlimits. Deze meldingen zijn waardevol om aan te tonen dat materiaal zonder toestemming is verspreid. Ook kan naar aanleiding van de meldingen blijken dat het platform/de hosting provider onvoldoende optreedt tegen illegale inhoud, waarna de ACM daarop kan handelen.
Daarnaast is de Autoriteit Persoonsgegevens (AP) op grond van de DSA en de Algemene Verordening Gegevensbescherming (AVG) een bevoegd toezichthouder op het gebied van illegale deepfakes. Als deepfakes zonder toestemming worden verspreid, kan er sprake zijn van onrechtmatige verwerking van persoonsgegevens. De AP kan een onderzoek instellen naar personen of organisaties die verantwoordelijk zijn voor het (mogelijk) maken en verspreiden van dit soort materiaal. Dit kunnen in bepaalde gevallen online platforms zijn, maar ook hostingproviders die de content hosten. Voor de AP is het wel van belang dat de partij die verantwoordelijk is voor de content (afhankelijk van de omstandigheden van het geval; het individu en/of het platform) te achterhalen is, wat, anders dan bij X, niet altijd het geval is. Het kan zijn dat niet de AP maar een gegevensbeschermingsautoriteit in een andere lidstaat bevoegd is ten aanzien van de onlinedienst in kwestie. Als uit het onderzoek blijkt dat er overtredingen zijn, kan de AP of andere autoriteit aanbieders van onlinediensten bijvoorbeeld een verwerkingsverbod opleggen voor wat betreft het onrechtmatige materiaal. Het proces van onderzoek en bestuursrechtelijk handhaven zal in de regel niet leiden tot het snel offline zijn van de beelden.
De officier van justitie kan op grond van artikel 125p van het Wetboek van Strafvordering (Sv) aan een aanbieder van een communicatiedienst bevelen om strafbare online content ontoegankelijk te maken. Een dergelijk bevel kan, kort gezegd, worden gegeven als sprake is van een strafbaar feit waarvoor voorlopige hechtenis is toegelaten, ter beëindiging van dat strafbare feit en/of ter voorkoming van nieuwe strafbare feiten.
Voor illegale deepfakes, op basis van de artikelen 252, 254ba en art. 285d van het Wetboek van Strafrecht (Sr), is dit het geval. Van deze mogelijkheid wordt beperkt gebruik gemaakt, omdat de politie en het Openbaar Ministerie ook gebruik kunnen maken van verwijderverzoeken op basis van de zelfregulerings-mogelijkheden. Deze zijn in de praktijk vaak sneller. Een aanbieder die niet voldoet aan een dergelijk bevel onder 125p Sv kan strafrechtelijk aansprakelijk zijn (54a Sr).
Wanneer het materiaal van minderjarigen betreft is het seksueel beeldmateriaal van kinderen en is het strafbaar op grond van artikel 252 Sr. In Nederland is dan ATKM bevoegd om aanbieders van communicatiediensten die in Nederland zijn gevestigd of die seksueel beeldmateriaal van kinderen op Nederlands grondgebied hebben opgeslagen, te verplichten om dergelijk materiaal ontoegankelijk te maken of te verwijderen. Dit geldt ook voor seksueel beeldmateriaal van minderjarigen dat is vervaardigd door middel van AI, zoals bij deepnudes. Als aanbieders van hostingdiensten niet aan deze verplichting voldoen, kan de ATKM bestuursrechtelijk handhaven. De ATKM kan in dat geval een last onder dwangsom of een bestuurlijke boete opleggen, die kan oplopen tot 10% van de jaarlijkse omzet van de onderneming.

Vraag 8

Hoe verhoudt de handhaving van de AVG zich tot de handhaving van de DSA in dit soort gevallen, en ziet u mogelijkheden om deze instrumenten gezamenlijk effectiever in te zetten?

Er kan in dit soort gevallen zowel op basis van de AVG als de DSA worden gehandhaafd. De ACM werkt momenteel nauw samen met de AP en andere betrokken instanties aan mogelijkheden om elkaar hierin te versterken.
De ACM heeft op grond van de DSA geen bevoegdheid om verwijderbevelen op te leggen. Wel bevat de DSA verplichtingen op grond waarvan de ACM kan handhaven wanneer online platforms of hostingproviders onvoldoende optreden tegen illegale inhoud en hun processen met betrekking tot meldingen niet op orde hebben. Dit kan het geval zijn als blijkt dat de onlinedienst niet of onvoldoende gemotiveerd of traag reageert op meldingen over illegale inhoud van bijvoorbeeld gebruikers of trusted flaggers. Het kan zijn dat niet de ACM maar een toezichthouder in een andere lidstaat bevoegd is wat betreft de onlinedienst in kwestie. In het geval van de kwestie X/Grok is bijvoorbeeld de Europese Commissie primair bevoegd.
De AP kan een onderzoek instellen naar personen of organisaties die verantwoordelijk zijn voor het (mogelijk) maken en verspreiden van materiaal dat in strijd is met de AVG. Dit kunnen in bepaalde gevallen online platforms zijn, maar ook hostingproviders die de content hosten. Voor de AP is het wel van belang dat de partij die verantwoordelijk is voor de content (afhankelijk van de omstandigheden van het geval; het individu en/of het platform) te achterhalen is, wat, anders dan bij X, niet altijd het geval is. Het kan verder zo zijn dat niet de AP maar een gegevensbeschermingsautoriteit in een andere lidstaat bevoegd is wat betreft de onlinedienst in kwestie. Als uit het onderzoek blijkt dat er overtredingen zijn, kan de AP of andere autoriteit aanbieders van onlinediensten bijvoorbeeld een verwerkingsverbod opleggen wat betreft het onrechtmatige materiaal. Hierin verschilt de handhavingsmogelijkheden op de AVG ten aanzien van de mogelijkheden onder de DSA. Het proces van onderzoek en bestuursrechtelijk handhaven zal in de regel niet leiden tot het snel offline zijn van de beelden.

Vraag 9

Vindt u dat «nudify»-apps en dergelijke functies van AI-chatbots überhaupt bestaansrecht hebben? Zo nee, wat gaat u daaraan doen?

Binnen het Ministerie van Justitie en Veiligheid wordt gekeken naar de mogelijkheden om het gebruik van nudify applicaties verder tegen te gaan. Ondanks de mogelijkheid om gebruikers van de applicaties strafrechtelijk te vervolgen (via de artikelen 252 en 254ba Sr) en de mogelijkheid om elk illegaal beeld steeds te laten verwijderen, blijft het maatschappelijk probleem rondom deepnudes zich in grote mate voordoen. Om die reden wordt bezien of het wenselijk en haalbaar is het aanbieden van de applicaties zelf te verbieden, nationaal dan wel Europees. Inmiddels hebben met verschillende stakeholders en experts gesprekken plaatsgevonden. Voordat een inhoudelijke positie bepaald wordt, is verdere studie nodig.

Vraag 10

Bent u bereid om aan te dringen op effectieve handhaving tegen X in de kwestie van AI-gegenereerde beelden van minderjarigen en zo ja, welke nationale en Europese maatregelen kunnen er genomen worden of welke sancties kunnen er worden opgelegd?

Effectieve handhaving van Europees recht is onverminderd van belang. De Europese Commissie is op 26 januari jl. een nieuw onderzoek gestart naar X dat specifiek ziet op Grok. Als de Commissie concludeert dat X de DSA heeft overtreden, kan zij verdere handhavingsmaatregelen nemen, zoals de vaststelling van een besluit tot niet-naleving en de oplegging van een boete.

Vraag 11

Kunt u deze vragen elk afzonderlijk beantwoorden?

Ja.

Vraag 1

Heeft u kennisgenomen van het NRC-artikel «Google en Microsoft verzwijgen energiegebruik van hyperscale-datacenters; Datacentra Techbedrijven zwijgen over energieverbruik»?1

Ja.

Vraag 2

Hoe beoordeelt u het feit dat Microsoft en Google rapportages weigeren over het energieverbruik van hun datacenters in Nederland in Eemshaven en bij Middenmeer niet aanleveren?

De datacentra in kwestie hebben informatie aangeleverd zoals aan hen is gevraagd door de Nederlandse overheid. Op grond van de Europese Energie Efficiëntie Richtlijn (EED)2 en het nationale Besluit van 26 april 20243 zijn datacentra verplicht om informatie aan te leveren, met uitzondering van bedrijfsvertrouwelijke gegevens. Via de website van de Rijksdienst voor Ondernemend Nederland (RVO) en de in te vullen formulieren, heeft de Nederlandse overheid gecommuniceerd dat bedrijfsvertrouwelijke gegevens niet hoefden te worden aangeleverd.
In de loop van 2024 is de Europese regelgeving aangescherpt en van kracht geworden, middels een gedelegeerde verordening4. In de gedelegeerde verordening staat dat bedrijfsvertrouwelijke informatie niet openbaar wordt gemaakt, maar dat welalle informatie aangeleverd dient te worden. Deze wijziging wordt meegenomen met de implementatie van de richtlijn. Aanvankelijk werd gewacht met de aanpassing van de communicatie en het loket tot de implementatie van de richtlijn gereed zou zijn, maar na verloop van tijd is alsnog gekozen om hier niet op te wachten en de communicatie en het loket aan te passen, gezien ook de rechtstreekse werking van de gedelegeerde verordening.
Deze aanscherping is in de communicatie naar datacentra recentelijk aangepast voor de aanlevering van gegevens in 2026, in lijn met de gedelegeerde verordening. Datacentra wordt gevraagd alle gegevens aan te leveren, en aan te geven of er sprake is van bedrijfsvertrouwelijke gegevens.

Vraag 3

Deelt u de opvatting dat zonder gedetailleerde verbruiksdata geen goed beleid mogelijk is voor energie-infrastructuur?

Om goed beleid voor energie-infrastructuur te kunnen maken, werken overheden veel samen met netbeheerders. Netbeheerders hebben namelijk data over en inzicht in het energieverbruik van hun klanten. Daarbij is ook geaggregeerde data beschikbaar. De samenwerking met netbeheerders en de geaggregeerde data bieden op dit moment voldoende inzicht voor beleidsvorming voor energie-infrastructuur.

Vraag 4

Deelt u de analyse in het artikel dat gebrek aan transparantie over het energieverbruik van datacenters goed onderzoek naar netcapaciteit, de maatschappelijke impact van digitalisering, waaronder AI belemmert?

Overheden werken, zoals hierboven aangegeven, samen met netbeheerders voor inzicht te krijgen in het energieverbruik van datacenters om de beleidsvorming rondom digitalisering vorm te geven.
Daarbij zijn de verbruiksgegevens van elektriciteit van alle bedrijven bedrijfsvertrouwelijk en worden deze alleen verstrekt aan de toezichthouders ten behoeve van toezicht en handhaving van de energiebesparingsplicht.

Vraag 5

Waarom wordt er gesteld dat openbaarmaking van deze energiegegevens juridisch niet kunnen worden afgedwongen bij tech bedrijven zoals Microsoft en Google, terwijl Europese regels dit wel verplichten? Is hier sprake van onwil of onduidelijkheid in de uitvoering?

In zowel de EED5 als de gedelegeerde verordening6 is opgenomen dat informatie van datacentra die onder het nationaalrecht ter bescherming van bedrijfsgeheimen en vertrouwelijkheid valt, niet openbaar wordt gemaakt.

Vraag 6

Hoe kan het dat de Europese Energie-efficiëntierichtlijn (EED) bedrijven verplicht om energie- en waterverbruik te rapporteren, maar dat grote datacenters in Nederland lege formulieren kunnen indienen zonder gevolgen?

In het kader van de EED zijn datacentra aanvankelijk gevraagd om informatie aan te leveren met de mogelijkheid om bedrijfsvertrouwelijke gegevens weg te laten. Inmiddels worden zij gevraagd om alle gegevens aan te leveren, maar aan te geven welke daarvan bedrijfsvertrouwelijk zijn. Wanneer een leeg formulier wordt ingeleverd, zal dit worden gezien als niet voldoen aan de EED-rapportage voor datacentra. In beide situaties worden de bedrijfsvertrouwelijke gegevens niet openbaar gemaakt.

Vraag 7

Bent u bereid om consequenties te verbinden aan bedrijven die niet voldoen aan Europese transparantie-eisen over energieverbruik?

De datacentra in kwestie hebben aangeleverd wat de Nederlandse overheid aan hen heeft gevraagd. De communicatie vanuit de Nederlandse overheid, via de RVO website en de in te vullen formulieren, over de verplichting tot het rapporteren van informatie is in lijn gebracht met de gedelegeerde verordening7. Dit betekent dat vanaf 2026 datacentra worden geacht alle informatie aan te leveren. Hierbij geldt dat bedrijfsvertrouwelijke informatie wordt aangeleverd, maar niet openbaar gemaakt zal worden. Mochten datacentra hier niet aan voldoen, dan wordt een waarschuwingsbrief verzonden met een termijn om alsnog alle informatie te rapporteren. Bij het niet voldoen aan die termijn volgt een voornemen tot last onder dwangsom.

Vraag 8

Bent u bereid om, in het licht van de groei van AI en het toenemende energieverbruik daarvan, strengere nationale eisen te stellen aan transparantie van (Amerikaanse) grootverbruikers?

Het kabinet ziet, gelet op de hierboven geschetste aanpassing van de regelgeving en de aangepaste communicatie naar datacentra, op dit moment geen noodzaak om aanvullende strengere nationale eisen te stellen.

Vraag 9

Kunt u toezeggen dat het kabinet actief gaat afdwingen dat Europese openbaarmakingsregels voor energieverbruik van datacenters van Big Tech, daadwerkelijk worden nageleefd?

Ja.

Vraag 10

Deelt u de analyse in het artikel dat Microsoft en Google Europese transparantieregels over energieverbruik ondermijnen en dat Nederland daarin te weinig tegenwicht biedt?

Zie antwoord vraag 2.

Vraag 11

Bent u bereid om de energieverbruik gegevens van de datacenters van Amerikaanse tech bedrijven, waaronder die van Microsoft en Google, alsnog op te eisen?

Datacentra hebben gedaan wat van hen is gevraagd door de Nederlandse overheid. Daarbij komt dat de Europese Commissie de rapporten voor 2024 en 2025 al heeft vormgegeven. Tevens is de communicatie naar datacentra aangepast en zullen alle gegevens vanaf 2026 worden aangeleverd. Het kabinet is daarom niet voornemens om deze gegevens alsnog op te eisen.

Vraag 12

Kunt u deze vragen afzonderlijk van elkaar beantwoorden?

Ja.

Vraag 1

Bent u nog steeds van mening dat de overstap van de Belastingdienst naar Microsoft1 slechts is voorzien van «een zeer magere onderbouwing»?2

In de afgelopen periode is er intensief overleg geweest tussen de Belastingdienst, CIO Rijk en het Ministerie van Binnenlandse Zaken. Hieruit is naar voren gekomen dat er, gezien de (technische) keuzes van de Belastingdienst in het verleden, op korte termijn geen alternatief is voor de overgang naar Microsoft 365 (M365), anders dan gebruik blijven maken van de huidige verouderde werkomgeving.
De Belastingdienst heeft aangegeven dat ze sindsdien opnieuw onderzocht hebben of er nu wel Europese alternatieven zijn. Uit verkennende gesprekken blijkt dat er op dit moment nog geen volledig geïntegreerd Europees alternatief is voor M365.

Vraag 2

Staat u nog steeds achter uw stelling dat de Belastingdienst niet heeft onderbouwd dat er geen Europese alternatieven voor Microsoft zouden zijn?

Zie antwoord vraag 1.

Vraag 3

Voldoet de onderbouwing voor de overstap van de Belastingdienst aan het geldende cloudbeleid?3 Kunt u hard maken dat tijdig aan alle eisen is voldaan?

Ja, de overstap voor de kantoorautomatisering van de Belastingdienst naar M365 voldoet aan het rijksbrede cloudbeleid (2022) en het daaruit volgende cloudbeleid van het Ministerie van Financiën. Dat geldt zowel voor het besluit uit 2021 als de verkenning naar mogelijke alternatieven (terwijl de werkplek zelf al was uitgerond) in 2025. Zo heeft de Belastingdienst een cloudtoets gedaan. Er zijn een risicoanalyse en exitstrategie opgesteld. Deze zijn vertrouwelijk aan uw Kamer aangeboden. Verder is er een DPIA opgesteld en heeft de Belastingdienst voor de definitieve besluitvorming afstemming gezocht met de CIO Rijk.

Vraag 4

Heeft de Belastingdienst, door zich in 2021 te committeren aan de overstap naar Microsoft, het onmogelijk gemaakt om alsnog af te wijken van dit besluit en tijdig een Europees alternatief te implementeren?

De Belastingdienst is in 2021 gestart met het traject om de werkplekken te vervangen en moderniseren. Hierdoor zijn de mogelijkheden om over te stappen op een alternatief beperkt. De nieuwe uitgerolde werkplek, in de vorm van laptops, is namelijk ingericht op het gebruik van M365. In het geval dat er wel een geschikt Europees alternatief zou zijn, moet er een geheel nieuwe werkomgeving worden ontworpen en geïmplementeerd. De doorlooptijd hiervan is aanzienlijk en is afhankelijk van de te configureren oplossing. De verwachting is dat dit in ieder geval enkele jaren zal kosten.

Vraag 5

Deelt u de mening dat, gezien (geo)politieke ontwikkelingen en de duidelijke wens van de Kamer om de digitale autonomie van Nederland te bevorderen, de overstap van de Belastingdienst naar Microsoft alsnog heroverwogen dient te worden?

De Belastingdienst heeft bij de aanvang van het traject in 2021 gekozen voor de implementatie van M365 bij het inrichten van de werkplekken en het vervangen en moderniseren van de werkomgeving. De (geo)politieke situatie was destijds anders dan nu en het beperken van de afhankelijkheid van niet-Europese partijen speelde toen een beperktere rol in de afwegingen.
In 2025 heeft de Belastingdienst gekeken of er nog mogelijkheden bestonden om af te wijken van het pad dat in 2021 is ingeslagen en zijn er mogelijke alternatieve oplossingen bekeken. Zoals uitgelegd in de technische briefing van 4 februari jl. over dit onderwerp heeft dit heeft niet tot een andere uitkomst geleid.

Vraag 6

Bent u op de hoogte van het rapport van de Cyber Safety Review Board uit 2024 over de beveiliging van Microsoft, waaruit blijkt dat het bedrijf de cyberveiligheid structureel niet op orde heeft?4, 5 Hoe beoordeelt u het argument dat Microsoft de beste beveiliging biedt in het licht van de conclusies uit dit rapport?

Ja, ik ben op de hoogte van het genoemde rapport. In reactie op het rapport heeft Microsoft onder de naam «Secure Future Initiative» (https://blogs.microsoft.com/on-the-issues/2024/06/13/microsofts-work-to-strengthen-cybersecurity-protection/) de verantwoordelijkheid voor de incidenten geaccepteerd en actie ondernomen om zowel de producten en diensten als de operatie van Microsoft 365 te verbeteren.

Vraag 7

Bent u bereid om, in samenwerking met de Belastingdienst, duidelijk te maken welke aanvullende middelen, expertise of capaciteit nodig zijn om alsnog af te zien van de overstap naar Microsoft en zo snel mogelijk een Europees alternatief te realiseren?

Volgens de Belastingdienst is er op dit moment geen geïntegreerd Europees alternatief, met een vergelijkbaar niveau als M365, beschikbaar. Zelfs als dit alternatief er zou zijn kost het de Belastingdienst, afhankelijk van de te configureren oplossing, enkele jaren om dit te implementeren. Dit betekent dat er in de tussentijd wordt doorgewerkt op een nieuwe werkplek waarbij rekening is gehouden met de implementatie van M365. Daardoor worden medewerkers geconfronteerd met workarounds en productiviteitsverlies.
Vragen over toekomstige keuzes laat ik aan mijn opvolger.

Vraag 8

Welke «workarounds» worden nu gebruikt door ambtenaren in hun digitale werkomgeving? Bent u bereid om te onderzoeken of deze belemmeringen weg te nemen zijn zonder de overstap naar Microsoft te maken?

De workarounds zijn ontstaan omdat medewerkers nu doorwerken in een verouderde omgeving vanaf nieuwe werkplekken die zijn ingericht op een M365-omgeving. De workarounds zijn (inefficiënte) manieren om vanaf deze nieuwe werkplekken met de beperkingen van de huidige werkomgeving om te gaan. Deze workarounds zijn vrij technisch van aard. Een voorbeeld is dat bepaalde bestanden niet worden ondersteund door de uitgerolde Digitale Brug Overheid (DBO)-werkplek. Medewerkers zijn nu genoodzaakt deze bestanden naar een postbus op te sturen zodat het handmatig in het gewenste bestandsformaat kan worden omgezet en teruggestuurd. Een ander voorbeeld is dat bepaalde applicaties die deurwaarders nodig hebben op de DBO-werkplek alleen te gebruiken zijn vanuit de fysieke kantooromgeving. Met de implementatie van M365 worden dit soort problemen opgelost. Het wegnemen van deze workarounds zonder de overstap te maken naar M365 betekent dat de Belastingdienst alsnog gaat investeren in de huidige verouderde werkomgeving.

Vraag 9

Waarom zijn de CIO Rijk en de overige IT-dienstverleners van het Rijk «pas in een zeer laat stadium» betrokken in het proces van de Belastingdienst? Wanneer is dit gebeurd, en waarom pas op dat zeer late moment?6

Uw Kamer is reeds in het najaar van 2024 geïnformeerd over de overgang maar Microsoft 365 voor de werkplekken.7 Zoals ook aangegeven in mijn brief van 2 oktober jl. is dit voornemen ook door mijn ambtsvoorganger met u gedeeld in het Jaarplan Belastingdienst 2025. 8
In het afgelopen jaar is er contact geweest tussen de Belastingdienst, CIO Rijk en het Ministerie van Binnenlandse Zaken over de overstap. In de loop van 2025 heeft de Belastingdienst ook contact gezocht met SSC-ICT om een oriënterende verkenning te laten plaatsvinden naar de mogelijkheid om de functionaliteiten voor mail en agenda onder te brengen bij SSC-ICT. Daaruit is geconcludeerd dat dit geen optie is voor de korte- of middellange termijn.

Vraag 10

Deelt u de mening dat de Belastingdienst in 2021, door uit te gaan van Microsoft 365 en Windows 11 als «gouden standaard,» geen gedegen verkenning heeft gedaan van Europese alternatieven?

De keuze voor M365 is gemaakt in 2021. De (geo)politieke situatie was destijds anders dan nu, het versterken van de autonomie speelde destijds een beperkte rol in de afwegingen. Daarom werd destijds niet de noodzaak gevoeld voor een gedegen verkenning gedaan naar Europese alternatieven en heeft deze dus ook niet plaatsgevonden. De Belastingdienst heeft toen, net zoals veel andere overheidsorganisaties en private organisaties, de keuze gemaakt voor de standaard van Windows 11 en M365 en heeft deelgenomen aan de contractonderhandelingen met het Strategisch Leveranciersmanagement Microsoft voor de rijksoverheid (SLM Rijk).

Vraag 11

Deelt u de mening dat de scenario’s van de Belastingdienst, zoals die in de (beslis)nota van 28 juni 2025 zijn beschreven,7 onvolledig zijn omdat ze in de basis uitgaan van een werkomgeving die is ingericht voor Microsoft?

Het klopt dat de nota uitgaat van een werkomgeving die is ingericht voor Microsoft, omdat de uitgerolde werkplekken hiervoor zijn ingericht en is geschreven vanuit de uitgangspositie waarin de Belastingdienst zich destijds bevond. Elk (Europees) alternatief zou hier op moeten worden aangesloten. Daarmee is geen sprake van onvolledigheid, omdat iedere andere uitgangspositie een nieuw werkplekconcept behoeft.

Vraag 12

Wanneer heeft de Belastingdienst precies besloten om deze scenario’s uit te werken? Welke specifieke «(geo)politieke en maatschappelijke ontwikkelingen» gaven hier aanleiding toe?8

Na onder andere de door uw Kamer ingediende moties heeft de Belastingdienst in het voorjaar besloten om de andere scenario’s nader uit te werken.

Vraag 13

Acht u de keuze van de Belastingdienst om voor de werkomgeving over te stappen naar Microsoft inmiddels onafhankelijk en voldoende onderbouwd?

Ik verwijs u naar het antwoord op vraag 1 en 2.

Vraag 14

In het geval u de mening deelt van de indieners dat er geen degelijke onafhankelijke verkenning is uitgevoerd naar Europese alternatieven, kunt u er op toezien dat deze alsnog op korte termijn wordt uitgevoerd met als doel om een alternatieve Europese route voor de cloudmigratie van de Belastingdienst te schetsen?

Zoals aangegeven in de oplegbrief beperk ik mij tot het beantwoorden van de feitelijke vragen. Ik acht het passend de beantwoording van vragen die toezien op toekomstige keuzes aan mijn opvolger te laten.

Vraag 15

Waarop baseert de Belastingdienst de aanname dat de onderzochte scenario’s «naar verwachting binnen het aangepaste cloudbeleid passen dat momenteel door BZK wordt herzien»?9 Kunt u duidelijk uitleggen waar dit uit blijkt, aangezien dit beleid nog niet is vastgesteld en er sindsdien ook Kamermoties10 zijn aangenomen om de eisen voor soevereiniteit verder aan te scherpen?

Zie antwoord vraag 14.

Vraag 16

Kunt u per scenario, uitgewerkt door de Belastingdienst, een realistische schatting maken van de aanvullende kosten die hier bij gemoeid zouden zijn? Welk scenario acht u vanuit het soevereiniteitsbelang het meest geschikt?

Ik ga ervan uit dat u doelt op de scenario’s zoals opgenomen in de nota «Scenario’s overstap kantoorautomatisering naar cloud» van 27 juni 2025. In deze nota zijn de kosten per scenario op hoofdlijnen uitgedrukt. Een nadere uitwerking met als doel om tot een meer precies bedrag per scenario uit te werken zou niet hebben geleid tot een andere uitkomst en heeft daarom niet plaatsgevonden. Daarnaast zijn er ook niet-financiële knelpunten zoals doorlooptijden, stroomvoorziening en datacenter capaciteit. De beantwoording van het tweede deel van de vraag laat ik, zoals aangegeven in de oplegbrief, aan mijn opvolger.

Vraag 17

Wat bedoelt u met uw antwoord dat «de Belastingdienst de ontwikkelingen van Europese en soevereine alternatieven [volgt]» en «[actief] kijkt naar de mogelijkheden van soevereine en of Europese cloudoplossingen»? Zijn er afspraken gemaakt over wat dit concreet betekent en welke verwachtingen heeft u precies van de Belastingdienst?11, 12

Zoals aangegeven in de oplegbrief beperk ik mij tot het beantwoorden van de feitelijke vragen. Ik acht het passend de beantwoording van vragen die toezien op toekomstige keuzes aan mijn opvolger te laten.

Vraag 18

Waarom «volgt» de Belastingdienst enkel de ontwikkeling van een soeverein alternatief als MijnBureau, in plaats van dat zij dit met overtuiging afneemt? Ziet u mogelijkheden voor een schaalbare pilot binnen de Belastingdienst om een soeverein alternatief voor Microsoft op de werkvloer uit te proberen?

De Belastingdienst volgt het initiatief MijnBureau, omdat een (grootschalige) implementatie hiervan binnen de Belastingdienst op dit moment niet realistisch en uitvoerbaar is.
Een pilot van dit initiatief kan alleen plaatsvinden als het een voldoende hoog volwassenheidsniveau heeft bereikt en moet tegen die tijd gecontroleerd en zorgvuldig plaatsvinden. Dat neemt niet weg dat op termijn, zodra deze oplossing voldoende volwassen is, de Belastingdienst kan aansluiten bij een (rijksbrede) pilot van MijnBureau.
Daarnaast richt de Belastingdienst zich niet alleen op MijnBureau, maar wordt er ook actief onderzoek gedaan naar de ervaringen van andere Europese partijen die een overstap voorbereiden of dit al hebben gedaan. Hierbij wordt nauw opgetrokken met onder andere CIO Rijk.

Vraag 19

Deelt u de mening dat meer departementen en uitvoerders MijnBureau moeten afnemen om het project levensvatbaar te maken en waardevolle inzichten op te doen voor soevereine werkplekken?

Ja, in algemene zin deel ik deze mening. De levensvatbaarheid van een soeverein initiatief als MijnBureau is daarbij gebaat en dat kan leiden tot waardevolle inzichten. Het is wel belangrijk dat dit zorgvuldig en gecontroleerd plaatsvindt. Kleinschalig starten bij kleine overheidsorganisaties is daarbij belangrijk om zodoende op basis van ervaringen te werken aan de volwassenheid als voorbereiding op een eventuele grootschalige uitrol bij grote uitvoeringsorganisaties zoals de Belastingdienst. Daarnaast geldt dat de integratie van kantoorautomatisering in een uitvoeringsorganisatie complexer is dan bij een beleidsdepartement.

Vraag 20

Welke aanvullende afspraken zijn met Microsoft gemaakt om de risico’s in het voorkeursscenario van de Belastingdienst «zo beheersbaar mogelijk» te maken?13 Beaamt de CIO Rijk dat de risico’s zo veel als mogelijk zijn beheerst?

De aanvullende afspraken tussen de Belastingdienst en Microsoft zijn niet met CIO Rijk gedeeld, er kan daarom geen oordeel over worden geveld.

Vraag 21

Acht u het acceptabel dat het mailverkeer van de Belastingdienst, waarin fiscale informatie en informatie over «rulings» wordt gecommuniceerd, straks afhankelijk wordt van Microsoft?14

De Belastingdienst werkt continu aan het creëren van meer bewustzijn bij medewerkers om nog bewuster om te gaan met het versturen van gevoelige informatie. Daarvoor worden werkinstructies opgesteld om te voorkomen dat gevoelige informatie zoals rulings in de cloud kunnen belanden. Ook na de overstap naar M365 blijft het voor de medewerkers mogelijk om (gevoelige) informatie veilig on-premises op te slaan en onderling (en met een derde) te delen via het Belastingdienst-file-transfer. Dit is een applicatie voor medewerkers van de Belastingdienst waarmee zij (grote) bestanden kunnen delen.

Vraag 22

Acht u het acceptabel dat het mailverkeer van de Belastingdienst onder Amerikaanse surveillancewetgeving zoals de CLOUD Act, sectie 702 van de Foreign Intelligence Surveillance Act (FISA), en Executive Order 12333 komt te vallen? Hoe verhoudt dit zich tot de fiscale geheimhoudingsplicht?15

Ik ben niet naïef over de mogelijkheid dat de informatie waarover de Belastingdienst beschikt interessant kan zijn voor de Amerikaanse overheid. De Belastingdienst is zich bewust van de werking van de door u genoemde extraterritoriale Amerikaanse wetgeving. Dit risico is meegewogen in de risicoanalyse en waar mogelijk beperkt. Zoals ik ook heb aangegeven in antwoord op uw eerdere vragen betekent de overstap naar M365 een vergroting van de afhankelijkheid van de Verenigde Staten.18

Vraag 23

Deelt u de mening dat het rapport uit 2022 van GreenbergTraurig, waarin wordt gesteld dat het risico dat de VS gebruik maakt van de CLOUD Act klein is, achterhaald is door de geopolitieke ontwikkelingen nu ook de AIVD en de MIVD minder informatie met de Amerikanen delen?16

Ik erken dat de geopolitieke situatie ten opzichte van 2022 is veranderd, dat heeft een ander risicobeeld met zich meegebracht. De Belastingdienst heeft dit meegenomen in de opgestelde risicoanalyse en dit expliciet meegewogen. Deze risicoanalyse heb ik vertrouwelijk aan uw Kamer ter inzage aangeboden.

Vraag 24

Beschikt Microsoft in het geval er «double key encryption» wordt toegepast over een sleutel naar deze data? Zo ja, hoe is het versleutelen van data dan een geschikte mitigerende maatregel?

U doelt daarmee op een maatregel zoals is voorgesteld in de nota «Scenario’s overstap kantoorautomatisering naar cloud» van 27 juni 2025 bij een specifiek product van Microsoft. De maatregel van «double key encryption» wordt niet toegepast. Door gebruik te maken van «double key encryption» zijn verschillende functionaliteiten niet meer mogelijk. Zo kunnen bijvoorbeeld verschillende bestanden dan niet langer geïndexeerd worden. Deze maatregel is tevens afgewogen in de eerdergenoemde risicoanalyse.
De Belastingdienst is continu op zoek naar nieuwe oplossingen die een betere bescherming van de data mogelijk maken en het risico van het ongeautoriseerd toegang hebben tot data mitigeren.

Vraag 25

Klopt het dat de exitstrategie, waarin binnen negen maanden data uit de Microsoft-cloudomgeving wordt gehaald, «met hulp van Microsoft» wordt uitgevoerd?17 Is de exitstrategie om wég te komen van Microsoft daardoor niet ook afhankelijk geworden van Microsoft?

Nee, de exitstrategie bevat namelijk in algemene zin twee scenario’s. Een scenario waarbij de leverancier meewerkt en de Belastingdienst negen maanden de tijd krijgt om de bestanden te migreren naar een nieuwe gewenste omgeving. Daarnaast is er ook een scenario waarin rekening wordt gehouden met een acuut vertrek, bijvoorbeeld nadat de leverancier onder statelijke druk de diensten stopt. Voor dit scenario heeft de Belastingdienst een back-up en wordt er teruggevallen op de huidige on-premises omgeving.

Vraag 26

Kunt u de garantie van Microsoft, dat zij zich tegen alle vormen van politieke druk vanuit de VS zullen verzetten, hard maken? Welke concrete afspraken zijn hierover gemaakt? Kunt u bijpassende documentatie met de Kamer delen?

Microsoft heeft de zogenaamde EU-commitments gepubliceerd. Dat laat niet onverlet, dat in een extreem geval, Microsoft onder statelijke druk gedwongen kan worden om te stoppen met leveren van diensten. Dit is in de recente geschiedenis alleen onder specifieke sanctiewetgeving gebeurd. Daarbij wil ik wel opmerken dat dit, tot op zekere hoogte, ook geldt voor on-premises oplossingen. Want ook daar is sprake van afhankelijkheid van Amerikaanse techleveranciers.

Vraag 27

Zijn er nog meer nota’s of notities met betrekking tot de overstap naar Microsoft die gebruikt zijn om de afweging te maken, maar nog niet gedeeld zijn met de Kamer? Kunt u deze alsnog openbaar maken?

In de bijlage vindt u een aantal aanvullende stukken die zijn geagendeerd op het bestuursteam Belastingdienst van 27 mei 2025.

Vraag 28

Kunt u deze vragen afzonderlijk van elkaar beantwoorden en toezeggen dat u, tot deze beantwoord zijn, zich ten volste in zal spannen om een Europees alternatief voor de kantoorautomatisering van de Belastingdienst alsnog mogelijk te maken?

Zoals ik heb aangegeven in de brief die u bij deze antwoorden heeft ontvangen heb ik mij beperkt tot het beantwoorden van de feitelijke vragen en ben ik terughoudend geweest in het beantwoorden van vragen die over de toekomst gaan. Daarom zijn niet alle vragen afzonderlijk van elkaar beantwoord. De Belastingdienst zet wat betreft de grootschalige uitrol van M365 geen verdere stappen tot het aantreden van een nieuw bewindspersoon.

Vraag 1

Bent u bekend met het feit dat Italië een btw-aanslag heeft opgelegd aan Meta, LinkedIn en X?

Ja.

Vraag 2

Kunt u bevestigen dat de Europese Commissie van oordeel is dat er omzetbelasting geheven mag worden over sociale media als gebruikers de instellingen kunnen aanpassen waardoor de aanbieders persoonlijke data niet zomaar mogen verkopen en de gebruikers zelf minder functionaliteiten ter beschikking hebben?

Nee. De Europese Commissie heeft op verzoek van Italië slechts een eerste analyse1 gepresenteerd aan de andere lidstaten en gevraagd om een reactie daarop. In de analyse wordt beschreven dat heffing van btw in zulke situaties wellicht mogelijk is, omdat er dan bepaalde omstandigheden aanwezig kunnen zijn waardoor gemakkelijker een «rechtstreeks verband» kan worden gelegd tussen de door de aanbieder verrichte digitale dienst en de door de gebruiker verstrekte data. De Commissie plaatst daar echter meteen een aantal kanttekeningen bij. Zij merkt onder meer op dat het vaststellen van de waarde van de data (de maatstaf van heffing; het bedrag waarover btw geheven zou kunnen worden) lastig is en dat om die reden van geval tot geval een zorgvuldige beoordeling zal moeten worden gemaakt om tot een rechtvaardige en werkbare uitkomst te komen.
Bovendien sluit de Commissie af met de opmerking dat het zogenoemde «Btw-comité»2 mogelijk niet het juiste gremium is om deze kwestie te bespreken en dat een aanpassing van de Europese btw-richtlijn wellicht noodzakelijk is. De lidstaten zijn in de gelegenheid gesteld om hun visie op de mening en analyse van de Commissie – die dus geen officiële, of bindende interpretatie van de btw-richtlijn is3 – te delen. De gesprekken in het Btw-Comité zullen worden vervolgd en hebben dus nog niet tot een zogenoemd «richtsnoer» geleid.

Vraag 3

Kunt u uiteenzetten wanneer en onder welke voorwaarden er volgens de Europese Commissie omzetbelasting mag worden geheven over de data die aanbieders van sociale media van hun gebruikers krijgen?

Vragen over btw-heffing over «gratis» diensten van sociale mediabedrijven zijn niet nieuw. De centrale vraag is of tegenover de digitale («gratis») dienst een vergoeding in natura staat: de persoonlijke data van de gebruikers die bedrijven gebruiken om advertentie-inkomsten te verwerven.
Het Btw-comité heeft hierover in 2018 unaniem een richtsnoer aangenomen dat geen btw kan worden geheven over dergelijke «gratis» diensten, omdat het zogenoemde «rechtstreeks verband» tussen de digitale diensten en het verstrekken van persoonlijke data ontbreekt.4 Van een «rechtstreeks verband» is sprake wanneer tussen de verrichter en de ontvanger van de dienst een rechtsbetrekking bestaat in het kader waarvan over en weer prestaties worden uitgewisseld, en de door de dienstverrichter ontvangen vergoeding de werkelijke tegenwaarde vormt voor de ten behoeve van de ontvanger verrichte dienst.5 De persoonlijke data vormt niet de werkelijke tegenwaarde voor de digitale dienst. De diensten worden namelijk ook verleend als de gebruiker de persoonlijke data niet deelt. Dit richtsnoer geldt onverkort.
Italië meent dat er inmiddels situaties zijn waarvoor het unaniem aangenomen richtsnoer niet geldt. Daarom heeft Italië om de mening van het Btw-Comité gevraagd. Het gaat met name om de situatie waarin de mate van digitale dienstverlening afhankelijk is van de kwantiteit en kwaliteit van de persoonlijke data die de gebruiker verstrekt. Denk aan sociale mediabedrijven die minder foto's of video's zichtbaar maken als de gebruiker instellingen aanpast die het platform beperkt in het gebruik van persoonlijke data. In die situatie is volgens Italië wel een «rechtstreeks verband» aanwezig tussen de digitale diensten en het verstrekken van de persoonlijke data.
De Commissie beschrijft dat dit een situatie kan zijn waarin een «rechtstreeks verband» gemakkelijker kan worden gelegd. Zij tekent daarbij tegelijk aan dat het moeilijk is om te kwantificeren wat het belastbare bedrag is.
Daarnaast gaat de Commissie in op de situatie waarin de gebruiker het gebruik van de persoonlijke data niet beperkt en dus alle functionaliteiten behoudt. Zij merkt daarbij op dat het erop lijkt dat Italië – door de gewijzigde bedrijfsmodellen – ook in die gevallen van mening is dat (vanaf nu) toch sprake is van een «rechtstreeks verband» en daarbij voorbijgaat aan het unaniem aangenomen richtsnoer uit 2018. Volgens de Commissie kan ten aanzien van deze situatie nog altijd worden volgehouden dat er geen belastbare prestatie plaatsvindt, omdat het «rechtstreeks verband» ontbreekt.
Tot slot omschrijft de Commissie volledigheidshalve nog het bedrijfsmodel waarbij tegen betaling in geld een abonnement wordt afgesloten in ruil voor de volledige functionaliteiten, maar dan zonder (gepersonaliseerde) advertenties te tonen. Volgens de Commissie is het evident dat de gebruiker dan betaalt voor digitale diensten, zodat een met btw belastbare dienst door het sociale mediabedrijf wordt verricht.

Vraag 4

Bent u van mening dat het verstrekken van persoonlijke data ten behoeve van gratis toegang tot sociale media een belastbare transactie vormt?

Nee. Uitgangspunt blijft het unaniem aangenomen richtsnoer van het Btw-comité uit 2018. Dat betekent dat in de regel over het verstrekken van persoonlijke data bij «gratis» toegang tot sociale media geen btw wordt geheven. Ik onderschrijf de mening van de Commissie op dit punt, zoals beschreven bij de tweede situatie van antwoord 3.
Hoewel het eerder unaniem aangenomen richtsnoer het uitgangspunt blijft, kunnen er zich situaties voordoen, zoals Italië aangeeft, die niet onder de reikwijdte van het richtsnoer vallen. Dat is geheel afhankelijk van de feiten en de omstandigheden van het geval. Ik onderschrijf echter de kanttekeningen die de Commissie voor deze situaties plaatst bij het vaststellen van het bedrag waarover btw zou kunnen worden geheven. De btw-richtlijn bevat op dit moment ook geen werkbare bepalingen om de maatstaf van heffing (de vergoeding) te bepalen. Bovendien is het gelet op het grensoverschrijdende karakter van digitale diensten van groot belang dat alle EU-lidstaten dezelfde benadering hanteren. Met de Commissie ben ik van mening dat dit mogelijk om aanpassing van de btw-richtlijn vraagt. De voortzetting van de gesprekken in het Btw-comité zijn om die reden zeer belangrijk. Daar wil ik niet op vooruitlopen.

Vraag 5

Is het voor de Belastingdienst ook mogelijk in Nederland btw te heffen bij aanbieders van sociale media over de data, die zij van gebruikers krijgen en is de Belastingdienst voornemens dit te gaan doen? Zo nee, waarom niet? Welke stappen zijn er voor nodig om dit te gaan doen en per wanneer zou de Belastingdienst hiertoe kunnen overgaan?

De Belastingdienst kan btw heffen als daarvoor een voldoende eenduidige juridische grondslag is.
Zoals gezegd blijft het richtsnoer het uitgangspunt voor de beoordeling of btw-heffing kan plaatsvinden over de waarde van persoonlijke data. Heffing van btw in situaties die buiten het richtsnoer vallen, komt pas aan de orde als er een «rechtstreeks verband» tussen de geleverde data en de dienstverlening kan worden vastgesteld én als vaststaat over welk bedrag btw geheven zou kunnen worden. Daarover is op dit moment geen duidelijkheid. Daarbij spelen ook andere heffingsaspecten zoals het bepalen van de lidstaat die heffingsbevoegdheid heeft en de vraag of het op regelmatige basis «verkopen» van persoonlijke data door de gebruikers tot ondernemerschap voor de btw leidt. Bovendien moeten eventuele uitstralingseffecten naar andere, soortgelijke situaties (bijvoorbeeld loyaliteitsprogramma’s) worden onderzocht. Op dit moment vindt in het Btw-comité nog gedachtenvorming plaats over deze kwestie. Nederland draagt constructief bij aan deze gesprekken.

Vraag 6

Hoe hoog zou de jaarlijkse opbrengst zijn indien ook in Nederland btw wordt geheven over sociale media conform het Italiaanse voorbeeld?

Op dit moment bestaat onvoldoende inzicht om een betrouwbare raming te maken van een mogelijke btw-opbrengst over sociale media. Duidelijkheid over de maatstaf van heffing ontbreekt.
Italië geeft bovendien geen inzicht in de maatstaf van heffing noch de wijze van berekening waarop de (na)heffingsaanslag is gebaseerd. Ook de Commissie heeft geen richting gegeven aan de manier waarop de maatstaf van heffing kan worden bepaald. Zij geeft juist aan dat wellicht (aanvullende) EU-wetgeving noodzakelijk is. Gelet op deze onzekerheden op zowel juridisch als methodologisch vlak kan op dit moment geen opbrengst worden geraamd.
Indien wordt vastgesteld dat aanbieders van sociale media btw verschuldigd zijn over het verlenen van toegang tot de platforms, zal de Belastingdienst onderzoeken welke maatstaf van heffing van toepassing is. Daarnaast zal de Belastingdienst, binnen de geldende wettelijke kaders, beoordelen over welke periode en tot welke hoogte heffing kan plaatsvinden. In beginsel geldt daarbij een naheffingstermijn van vijf jaren na het einde van het kalenderjaar waarin de belastingschuld is ontstaan, met inachtneming van de algemene beginselen van behoorlijk bestuur.

Vraag 7

Hoe kijkt u naar het Italiaanse voorbeeld waar aanbieders van sociale media een naheffing opgelegd krijgen over eerdere jaren waarin geen btw is betaald? Kan dit met inachtneming van een betrouwbare overheid met terugwerkende kracht?

Zie antwoord vraag 6.