Vraag 1

Bent u bekend met het bericht «Ukraine Creates UK-Backed «A1» AI Hub to Develop EW-Resistant Drones and Predict Russian Moves»?1

Ja.

Vraag 2

Naar aanleiding van uw bezoek aan Oekraïne in maart 2026 werd bekend dat Nederland intensief gaat meekijken bij de Oekraïense inzet van drones op het slagveld, om meer te leren over de mogelijkheden voor Nederlandse productie en innovatie van onbemenste systemen; sluit dit aan op het initiatief in de berichtgeving?

Nee, dit staat los van het in de berichtgeving genoemde initiatief. Nederland is bekend met het Oekraïense AI-centrum A1, ook wel het Center of Innovations and Defence Technologies Development. Vanuit Defensie wordt contact gezocht met de initiatiefnemers van dit centrum, onder meer in het kader van lessons learned en mogelijke samenwerking.

Vraag 3

Heeft de Nederlandse industrie toegang tot de beschikbare informatie en zo ja, hoe waarborgt u dat deze informatie eerlijk toegankelijk is voor alle geïnteresseerde marktpartijen?

Defensie heeft op dit moment zelf geen directe toegang tot deze specifieke informatie, omdat Nederland niet betrokken is bij dit initiatief. Daardoor beschikt Defensie ook niet over een informatiepositie die met de Nederlandse defensie-industrie kan worden gedeeld of waarvoor Defensie de toegang kan reguleren. Nederlandse bedrijven die zelf actief zijn in Oekraïne kunnen uiteraard via hun eigen contacten met Oekraïense eindgebruikers operationele feedback of gefilterde informatie ontvangen. Dat betreft echter geen door Defensie beheerde of via Defensie beschikbaar gestelde informatiepositie. Tegelijkertijd wordt verkend op welke wijze Nederland in de toekomst kan aansluiten bij initiatieven gericht op kennis- en informatie-uitwisseling, mede om lessen uit Oekraïense innovaties breder toegankelijk te maken voor relevante Nederlandse stakeholders.

Vraag 4

Is Nederland ook voornemens om zelf een soevereine database aan te vullen voor het trainen van AI-modellen (al dan niet met Europese partners)? Wordt de Nederlandse industrie aangesloten bij een mogelijk initiatief?

Geschikte data voor het trainen van AI-modellen voor militaire doeleinden is schaars. Daarom erkent Defensie het belang van een database met dergelijke data. Defensie verkent verschillende mogelijkheden voor het verkrijgen van data van hoogwaardige kwaliteit, waarmee robuuste militaire AI kan worden ontwikkeld. Denk hierbij ook aan alternatieven zoals synthetische data. Industriepartners worden actief betrokken.

Vraag 5

Ziet u ook een kans om als Nederland koploper in Europa te worden in het ontwikkelen van verantwoorde AI? Wat gaat u op korte termijn initiëren om dit te bewerkstelligen?

Nederland zet zich al geruime tijd in voor de verantwoorde ontwikkeling, verwerving en inzet van militaire AI. Met de eerste Responsible AI in the Military Domain (REAIM) Summit in het voorjaar van 2023 heeft Nederland het thema verantwoorde AI in het militaire domein voor het eerst op de internationale agenda gezet. Nederland was bij alle REAIM summits co-host, in 2023, 2024 en 2025. Daarnaast speelt Nederland een actieve rol in de Governmental Group of Experts on Lethal Autonomous Weapon Systems (GGE LAWS). Van 2024 tot en met 2026 zit Nederland deze groep voor. Het doel is om consensus te bereiken over elementen van toekomstige afspraken over autonome wapensystemen. Tijdens de GGE LAWS bijeenkomsten gaat het ook over de huidige en toekomstige rol van AI in LAWS. Nederland blijft nauw betrokken bij het mogelijke vervolg van REAIM en de GGE LAWS. Daarnaast is Defensie nadrukkelijk bezig met het proces van verantwoorde verwerving van AI. Tot slot wordt onderzocht hoe Defensie militaire AI kan verifiëren en valideren voor veilig gebruik en inzet.

Vraag 6

Hoe weegt u het risico van het niet zelf hebben van een soevereine database voor het trainen van AI-modellen en van welke landen verwacht u afhankelijk te zijn?

De data waarop de AI-modellen worden getraind is grotendeels afkomstig en in beheer van Defensie. Daarnaast zullen er technische maatregelen worden getroffen om de daadwerkelijke uitkomsten van de AI-modellen te kunnen valideren, voordat deze daadwerkelijk (operationeel) worden ingezet. Bijvoorbeeld door eerst in een simulatieomgeving te werken. Op dit moment onderzoekt Defensie op Europees niveau met welke aanbieders en partnerlanden hiervoor een samenwerking kan worden gestart.

Vraag 7

Sluit u aan bij de gedachten dat we de standaarden voor militair gebruik van AI niet aan externe machten overlaten, maar dat we die zelf bepalen?

Het internationaal recht, waaronder het humanitair oorlogsrecht, is onverkort van toepassing op het militair gebruik van AI. Het gebruik van AI in het militaire domein mag niet leiden tot schendingen van dit recht. Dit zijn bestaande afspraken. Daarnaast onderschrijft Nederland bijvoorbeeld de NAVO-principes voor het verantwoord gebruik van AI. Voor de effectiviteit van nieuwe internationale afspraken, specifiek ten aanzien van AI in het militaire domein, is het van belang dat staten die actief zijn op het gebied van de ontwikkeling van state-of-the-art AI hieraan meedoen. Nederland zet zich op verschillende manieren actief in om nieuwe afspraken te maken, bijvoorbeeld in het kader van REAIM en van de GGE LAWS.

Vraag 8

Ziet u mogelijkheden om aan te haken op het samenwerkingsverband tussen Duitsland en Oekraïne, die hun defensiesamenwerking verder hebben geïntensiveerd door een memorandum te tekenen op het gebied van delen van data van het slagveld, waarbij Duitsland ook toegang krijgt tot real-time DELTA battlefield management system?

Ja, Defensie ziet deze mogelijkheden. Defensie kijkt expliciet naar en werkt samen met Oekraïne om lessen van het slagveld te vertalen o.a. door het delen van relevante informatie. In het deel van de organisatie belast met de militaire steun aan Oekraïne wordt actief gekeken naar innovatie en zo genoemde Lessons Learned en de disseminatie daarvan. Daarnaast werkt Defensie aan het verbinden van Nederlandse en voor Defensie relevante kennisinstellingen met Oekraïense kennis en innovatie instituten

Vraag 9

Ziet u het belang van in Europees verband initiatieven organiseren voor een strategisch autonome battlefield management architectuur die interoperabiliteit tussen de (gefragmenteerde) Europese systemen waarborgt?

Ja. Defensie onderschrijft het belang van samenwerking in Europees verband gericht op een meer strategisch autonome battlefield management architectuur. Interoperabiliteit tussen nationale systemen is essentieel voor het effectief gezamenlijk optreden van Europese krijgsmachten, onder meer binnen NAVO- en EU-verband.

Vraag 10

Onderneemt Defensie andere initiatieven om een strategisch autonome battlefield management architectuur te maken? Zo niet, kunt u een risicoafweging van afhankelijkheden geven? Zo ja, bent u bereid een plan van aanpak te maken en te delen?

Defensie heeft reeds een aantal battlefield management architecturen in gebruik, zowel aangekocht als zelf ontwikkeld. De insteek is dat primaire componenten van toekomstige battlefield management architecturen in de basis door Defensie zelf ontwikkeld worden.

Vraag 11

Kunt u de bovenstaande vragen afzonderlijk van elkaar beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht: «Onderzoek naar Amerikaanse cloud-risico’s door Ministerie van overheidswebsite verwijderd» (De Volkskrant, 5 maart 2026)?

Ja.

Vraag 2

Kunt u verklaren waarom het onderzoek naar de risico’s van de Amazon «European Sovereign Cloud» tijdelijk offline is gehaald?1

Vanwege onduidelijkheden in de interpretatie is de publicatie tijdelijk teruggenomen voor verduidelijking in het begeleidende bericht en daarna opnieuw geplaatst; de inhoud van het rapport is geheel ongewijzigd.

Vraag 3

Wat is uw reactie op het rapport?

Het onderzoeksrapport dat SLM heeft laten opstellen door het advocatenkantoor Greenberg Traurig bevat een objectieve juridische beoordeling van de AWS ESC ten aanzien van de soevereiniteit op data en soevereiniteit op de beschikbaarheid van het systeem.
Het onderzoek heeft samengevat de volgende bevindingen opgeleverd:
De conclusie van Greenberg Traurig dat de AWS European Sovereign Cloud compatibel kan zijn met de visie digitale autonomie en soevereiniteit, heeft alleen betrekking op een deel van de eisen ten aanzien van Nederlandse of Europese jurisdictie, maar niet op de overige autonomie doelstellingen van de Visie.

Vraag 4

Wat is het doel geweest van het onderzoek van GreenbergTraurig? Wat wordt er gedaan met de uitkomsten?

Binnen de scope en mandaat van SLM Microsoft, Google Cloud en AWS valt het onderzoeken van het aanbod van de genoemde partijen. Zo voert SLM onder meer Data Protection Impact Assessments (DPIA’s) uit op diensten van deze partijen.
Gezien het beschikbaar zijn van de AWS European Sovereign Cloud (AWS ESC) per 15–01 jl. is dit aanbod in opdracht van SLM onderzocht.
Het onderzoeksrapport dat SLM heeft laten opstellen door het advocatenkantoor Greenberg Traurig bevat een objectieve juridische beoordeling van de AWS ESC ten aanzien van de soevereiniteit op data en soevereiniteit op de beschikbaarheid van het systeem.
Een belangrijke disclaimer is dat dit geen technisch onderzoek is naar de doeltreffendheid van technische en/of organisatorische maatregelen van AWS. Ook betreft dit geen beleidsadvies of een compliance-beoordeling.

Vraag 5

Hoe reageert u op de kritiek dat het rapport eenzijdig is geschreven? Ziet u aanleiding om de risico’s nader te onderzoeken?

Het rapport beoogt een objectieve juridische beoordeling te geven van de juridische onderzoeksvragen die in het rapport geformuleerd zijn.
Momenteel is er geen aanleiding om de risico’s nader te onderzoeken. Nu wordt prioriteit gegeven aan onderzoek en contractering van EU leveranciers (momenteel STACKITt, ESET en OVH).

Vraag 6

Hoe leest u de conclusies van het rapport, waaruit blijkt dat de Amerikaanse overheid via de Amazon «European Sovereign Cloud» nog steeds toegang kan krijgen tot Nederlandse data?

Zie beantwoording vraag 3.

Vraag 7

Kunt u bevestigen dat het afnemen van de Amazon «European Sovereign Cloud» en soortgelijke initiatieven van Amerikaanse techgiganten niet bijdraagt aan het digitaal autonoom maken van Nederland? Wordt het afbouwen van het gebruik hiervan onderdeel van het kabinetsbeleid?

Zie antwoord op vraag 3 (voor eerste deelvraag).
Het kabinetsbeleid is er, middels de Nederlandse Digitalisering Strategie (NDS), op gericht een soevereine overheidscloud te realiseren, waar mogelijk en passend in samenwerking met de Nederlandse of Europese IT industrie.
In algemene zin is de inzet van het kabinet erop gericht om eenzijdige afhankelijkheden van derde landen af te bouwen en zoveel mogelijk te diversifiëren, ook op digitaal vlak.

Vraag 8

Hebben ministeries, uitvoeringsorganisaties, zbo’s of andere overheidsdiensten reeds plannen om gebruik te maken van de Amazon «European Sovereign Cloud» of soortgelijke initiatieven? Zo ja, kunt u een overzicht geven van organisaties die van plan zijn om de dienst af te nemen of dit al hebben gedaan?

Overheidsorganisaties zijn verantwoordelijk voor hun eigen gebruik van clouddiensten. Op dit moment is mij niet bekend of er overheidsorganisaties voornemens zijn deze clouddienst te gaan gebruiken.

Vraag 9

Zijn er nog andere risicoanalyses of onderzoeken uitgevoerd naar de gevolgen voor de digitale autonomie bij het afnemen van de Amazon «Sovereign European Cloud» of soortgelijke initiatieven? Zo ja, kunt u deze aan de Kamer doen toekomen?

In samenwerking met een werkgroep van het CIO Platform Nederland, waaraan ook een aantal overheid CIO’s deelnemen, is er een inventarisatie gedaan naar een aantal cloud diensten die als «soevereine cloud» worden aangeboden.
Deze inventarisatie is nog niet afgerond en indien een rapport wordt opgesteld, kan het gedeeld worden met de Tweede Kamer.

Vraag 10

Kunt u deze vragen afzonderlijk en zo snel mogelijk beantwoorden?

De vragen zijn zo spoedig mogelijk beantwoord.

Vraag 1

Bent u bekend met de berichtgeving over de cyberaanval op ChipSoft, leverancier van elektronische patiëntendossiers voor een groot deel van de Nederlandse zorginstellingen?1

Ja.

Vraag 2

Kunt u een actueel beeld geven van de aard, omvang en impact van deze aanval, en welke patiënten hierdoor zijn geraakt?

Het Ministerie van VWS onderhoudt geen klantrelatie met Chipsoft en is daarmee geen onderdeel van de informatievoorziening van Chipsoft naar zijn klanten. Uit informele contacten heb ik begrepen dat Chipsoft momenteel samen met een extern team van cybersecurity-experts forensisch onderzoek uitvoert om de oorzaak, omvang en bron van het incident vast te stellen. Naar ik begrepen heb zijn uit voorzorg de verbindingen sinds 8 april 20:00 uur met patiëntportalen die door ChipSoft worden gehost, verbroken. Dit betreft Zorgportaal, HiX Mobile2 en het Zorgplatform. Deze zijn hierdoor tijdelijk niet beschikbaar. Op donderdag 16 april heeft ChipSoft gecommuniceerd met haar klanten dat er bij de hack ook gegevens zijn gestolen. Hierover heb ik de Kamer, mede namens de Staatssecretaris van Justitie en Veiligheid, in een Kamerbrief op 21 april 2026 geïnformeerd. De resultaten van het forensisch onderzoek, die van belang zijn voor de hersteloperatie bij zorginstellingen, zullen, zo heeft ChipSoft ons doen laten weten, zo snel mogelijk worden gecommuniceerd. In de tussentijd ondersteunt Z-CERT, als expertisecentrum cybersecurity in de zorg, en biedt hulp aan ChipSoft voor analyse, communicatie en incidentmanagement. Z-CERT informeert en adviseert haar deelnemers over deze situatie.

Vraag 3

In hoeverre heeft deze aanval gevolgen (gehad) voor de continuïteit van zorg, bijvoorbeeld door verminderde toegang tot patiëntgegevens, vertragingen in zorgverlening of het moeten overschakelen op noodprocedures?

Ik heb van de betrokken zorginstellingen begrepen dat de zorgprocessen doorlopen en zorgverleners bij de gegevens van patiënten kunnen. Patiënten kunnen echter wel hinder ondervinden bij het online maken van afspraken, dit gaat nu telefonisch. Daarnaast kunnen patiënten momenteel niet zelf hun dossier inzien Ook is er met name impact op de uitwisseling van gegevens. Tussen zorgverleners, zoals huisarts en ziekenhuizen, kunnen verwijzingen niet goed plaatsvinden. Echter, ziekenhuizen zijn voorbereid op dit soort incidenten en zij hebben hiervoor noodprotocollen die ook in werking zijn getreden. Hierdoor kunnen veel zorgprocessen doorlopen, maar vaak met een noodzakelijke extra inzet van personeel. Deze situatie kan daarmee maar voor een beperkte periode bestaan. Inmiddels zo begreep ik is er sinds vrijdag 17 april weer sprake van het opstarten van functionaliteiten, nadat deze veilig zijn bevonden.

Vraag 4

Zijn er aanwijzingen dat patiëntgegevens zijn ingezien, buitgemaakt of anderszins gecompromitteerd? Hoe wordt dit onderzocht en wanneer verwacht u hierover duidelijkheid te kunnen geven?

Op donderdag 16 april heeft ChipSoft gecommuniceerd met haar klanten dat er bij de hack patiëntgegevens zijn gestolen. Hierover heb ik de Kamer, mede namens de Staatssecretaris van Justitie en Veiligheid, in een Kamerbrief op 21 april geïnformeerd. Ik vind dit een zeer ernstige zaak. ChipSoft moet alles uit de kast halen en de volle verantwoordelijkheid nemen om snel en zorgvuldig te onderzoeken en duidelijkheid te creëren voor patiënten en zorgverleners, zodat mensen weten of hun data gestolen is en om welke data het gaat.

Vraag 5

Hoe beoordeelt u de sterke afhankelijkheid van een beperkt aantal commerciële leveranciers voor cruciale zorg-IT, en hoe worden de risico’s daarvan beperkt?

Op verzoek van de toenmalige Minister van VWS heeft de Nederlandse Zorgautoriteit (NZa) in januari 2025 een rapport uitgebracht: «Sturing op kwaliteit en betaalbaarheid zorg-ICT». Daarin staat dat onder andere in de ziekenhuiszorg een paar grote leveranciers de markt domineren. Deze concentratie van marktmacht zorgt ervoor dat er minder concurrentie is, wat de prijzen op kan drijven en innovatie kan vertragen. Ook in de Definitieve leidraad goedwerkende markten voor zorg-ICT van de ACM3 staat dat het voor nieuwe, innovatieve spelers moeilijk is om voet aan de grond te krijgen, omdat zorginstellingen huiverig zijn om risico's te nemen door met kleine of nieuwe partijen in zee te gaan. Bovendien wordt toetreding tot de Nederlandse markt van nieuwe buitenlandse leveranciers bemoeilijkt door de complexe, internationaal niet te vergelijken bekostigingssystematiek in de zorgsector. Een te grote eenzijdige afhankelijkheid kan risico’s met zich brengen voor de continuïteit van zorg. Zorginstellingen zijn zelf verantwoordelijk om deze risico’s in kaart te brengen en keuzes te maken om invulling te geven aan hun digitale autonomie.
Ik ben echter ook van mening dat de ontwikkeling naar een European Health Data Space (EHDS) bij kan dragen om de markt toegankelijker te maken voor EPD-leveranciers. Om dat te bereiken worden er bijvoorbeeld op Europees niveau harmoniserende regels gesteld aan interoperabiliteit tussen de EPD-systemen en het verplicht maken van een loggingsmechanisme voor gebruik van gegevens door zorgverleners. Ook wordt gekeken hoe het toezicht versterkt kan worden. In de brief Voortgang agenda databeschikbaarheid van 20 januari 20264 is de stand van zaken over de zorg-ICT-markt uiteengezet. Om de risico’s te beperken ga ik de komende tijd aan de slag om te bezien hoe de bewustwording en kennis en expertise bij bestuurders over zorg-ICT vergroot kan worden. Daarnaast wordt samen met partijen onderzocht hoe het inkoopproces verbeterd kan worden en zal er samen met overheidspartijen met een regulerende of toezichthoudende rol in het zorgveld een zogenoemde signaleringstafel worden opgezet waar signalen aangaande zorg-IT kunnen worden gedeeld en vanuit bestaand instrumentarium kan worden bekeken of en zo ja welke (gezamenlijke) interventie gewenst is.

Vraag 6

Welke eisen worden momenteel gesteld aan leveranciers van zorg-IT op het gebied van cybersecurity, weerbaarheid en continuïteit, en in hoeverre zijn deze eisen voldoende gezien de kritieke rol van deze partijen voor ons zorgsysteem?

Nederlandse zorgaanbieders zijn momenteel wettelijk verplicht om te voldoen aan de norm voor informatiebeveiliging in de zorg, de NEN 7510. De NEN 7510 geeft richtlijnen voor controlemaatregelen en stelt eisen aan het informatiebeveiligingssystemen. De norm vereist ook beheersmaatregelen voor bedrijfscontinuïteit en bereikbaarheid. Bij de inzet van ICT-producten die medische gegevens verwerken, eisen zorgaanbieders van de softwareleveranciers van deze ICT-producten dat ook zij voldoen aan de NEN 7510. Softwareleveranciers dienen dit aan te tonen met een certificaat. Daarnaast zullen aanvullende eisen voor cyberweerbaarheid worden gesteld in de NIS2 richtlijn die wordt omgezet in de Cyberbeveiligingswet en het Cyberbeveiligingsbesluit. Ik ga hier verder op in bij vraag 8. De EHDS draagt bij aan toegankelijkheid van de zorg-ICT-markt in Nederland en Europa en betere databeschikbaarheid. Deze verordening gaat de nieuwe eis stellen dat EPD-systemen aan de kaders rondom cyberveiligheid moeten gaan voldoen conform de Cyberweerbaarheidsverordening5.

Vraag 7

In hoeverre zijn zorginstellingen verplicht of gestimuleerd om scenario’s uit te werken voor uitval van essentiële IT-systemen, en hoe wordt geborgd dat zorgverlening doorgang kan vinden bij langdurige verstoringen?

Het doen van een risicoanalyse is onderdeel van de norm voor informatieveiligheid in de zorg (NEN7510). Aan deze norm dienen zorgaanbieders aantoonbaar te voldoen. Bij het werken volgens de norm hoort ook het nemen van maatregelen om uitval (door bijvoorbeeld een cyberincident) te voorkomen en de impact te beperken. Een belangrijk onderdeel van de norm is bovendien dat er plannen worden gemaakt voor bedrijfscontinuïteit bij onverwachte verstoringen of uitval en dat deze periodiek getest, geëvalueerd en verbeterd worden.

Vraag 8

Hoe wordt binnen het beleid rond de implementatie van de NIS2-richtlijn specifiek rekening gehouden met de afhankelijkheid van de zorgsector van externe IT-leveranciers?

De NIS2 richtlijn wordt omgezet in de Cyberbeveiligingswet en het Cyberbeveiligingsbesluit. In de Cyberbeveiligingswet is in artikel 10 opgenomen dat de organisaties die onder deze wet vallen verplicht zijn om beleid vast te stellen over de beveiliging van de toeleveringsketen. Dit betekent dat de zorgaanbieders die onder de reikwijdte vallen niet alleen hun eigen netwerk- en informatiesystemen op orde hebben, maar ook die van hun rechtstreekse leveranciers periodiek toetsen. Daarnaast zullen IT-leveranciers ook rechtstreeks onder de reikwijdte van de wet vallen, onder de sector digitale infrastructuur.

Vraag 9

Ziet u aanleiding om aanvullende eisen te stellen aan leveranciers van kritieke zorg-IT, bijvoorbeeld op het gebied van redundantie, interoperabiliteit of exit-strategieën, zodat zorginstellingen minder kwetsbaar zijn bij uitval of incidenten?

Zorgaanbieders zijn verantwoordelijk voor de afspraken die gemaakt worden met hun ICT-leveranciers. Uit deze verantwoordelijkheid volgt dat zij handelingsperspectieven moeten opstellen op basis van de individuele risicoafwegingen en passend bij de eigen context. In de NEN7510 is de verplichting opgenomen een risicobeoordeling uit te voeren en digitale afhankelijkheden in kaart te brengen. Daarnaast verplicht de Cyberbeveiligingswet (Cbw) organisaties, waaronder zorgaanbieders, om hun leveranciersketen in kaart te brengen en om aan de leveranciers in die keten informatiebeveiligingsnormen te stellen.

Vraag 10

In hoeverre wordt gewerkt aan het verminderen van single points of failure in de digitale infrastructuur van de zorg, en welke concrete stappen worden gezet om diversificatie en alternatieven te stimuleren?

Er wordt vanuit verschillende projecten en programma’s gewerkt aan het realiseren van een duurzaam en veilig gezondheidsinformatiestelsel. Bij de totstandkoming van dit stelsel is het uitgangspunt dat er sprake is van een federatief stelsel waarbij data aan de bron blijft. Voor vertrouwen in het gebruik van gezondheidsgegevens zijn enkele (centrale) vertrouwenscomponenten noodzakelijk. Om te waarborgen dat deze voorzieningen geen centrale point-of-failure worden, is bij de realisatie van de techniek rekening gehouden met de mogelijkheden om de data te kunnen repliceren zonder dat daarmee de betrouwbaarheid van data in het geding komt. Zo wordt het Landelijk Register Zorgaanbieders (LRZa) ingericht om adresseerbare punten per zorgaanbieder op te kunnen vragen zodat de decentrale punten direct met elkaar kunnen uitwisselen. Om te voorkomen dat dit een single-point-of-failure wordt, is er synchronisatie van gegevens mogelijk zodat de adresseerbare punten periodiek kunnen worden geharmoniseerd zonder dat dit de betrouwbaarheid van de gegevens in het geding brengt.
Zoals beschreven bij vraag 5 worden er bij de European Health Data Space- verordening regels opgelegd aan leveranciers om de EPD-markt beter te laten functioneren en concurrentie en innovatie te bevorderden. Daarmee wordt het voor nieuwe toetreders aantrekkelijker om toe te treden tot de Nederlandse markt. Ook wordt ingezet op een betere vraagbundeling en vraagarticulatie en het verbeteren van het inkoopproces.

Vraag 11

Welke andere lessen trekt u uit dit incident voor de bredere digitalisering van de zorg, met name op het gebied van digitale autonomie, en hoe worden deze lessen vertaald naar concreet beleid?

Digitale veiligheid is nooit voor honderd procent te garanderen en dit soort aanvallen zijn nooit helemaal te voorkomen. Wat we wel gezamenlijk kunnen doen, is de risico’s zoveel mogelijk beperken en ervoor zorgen dat eventueel misbruik snel wordt gesignaleerd en doeltreffend wordt aangepakt. Ik vind het belangrijk dat zorgaanbieders regie nemen over hun digitale autonomie. Bij digitale autonomie hoort een inzicht én keuzes jegens kwetsbaarheden in veiligheid, maar ook in eenzijdige afhankelijkheden van dominante marktpartijen. Dit vraagstuk is niet specifiek voor de zorg. Hier kan de zorg dus inspiratie putten uit stappen die in andere sectoren gezet worden. Zonder in contractuele verplichtingen te willen treden, zie ik het als mijn taak de zorgsector in deze bredere maatschappelijke beweging mee te krijgen.

Vraag 12

Kunt u de Kamer op korte termijn informeren over de uitkomsten van het onderzoek naar deze aanval, inclusief de implicaties voor het beleid rondom digitale weerbaarheid in de zorg?

In eerste instantie is ChipSoft zelf verantwoordelijk om te communiceren over de bevindingen van het forensisch onderzoek dat zij momenteel, in samenwerking met cybersecurity-experts, laten uitvoeren. Ik volg de zaak uiteraard nauwlettend. Mocht de rapportage van ChipSoft aanleiding zijn voor mij om vanuit mijn systeemverantwoordelijkheid aanvullende acties te ondernemen dan zal ik uw Kamer hierover informeren.

Vraag 1

Bent u bekend met het bericht van Reuters waarin wordt gesteld dat de Amerikaanse regering diplomaten instrueert om buitenlandse initiatieven op het gebied van datasoevereiniteit actief tegen te gaan?1

Ja.

Vraag 2

Hoe beoordeelt u deze instructie van de Amerikaanse regering in het licht van het belang dat Europa zelf zeggenschap houdt over waar en hoe gevoelige data van burgers, bedrijven en overheden wordt opgeslagen en verwerkt?

Voor het kabinet staat voorop dat Nederland en de EU soeverein zijn in het bepalen van hun eigen wet- en regelgeving, inclusief wetgeving op het gebied van Europese datasoevereiniteit, en dat aanpassing van regelgeving onder druk van derde landen niet mag gebeuren.
Wel zal de EU haar concurrentievermogen moeten vergroten en weerbaarder moeten worden, ook op digitaal vlak. In dat kader waardeert het kabinet de inspanningen die hiertoe op EU-niveau worden gedaan en kijkt het met interesse uit naar het aankomende Technology Sovereignty Package van de Europese Commissie, dat naar verwachting onder meer voorstellen bevat voor een Cloud & AI Development Act (CADA) en herziening van de Chips Act. Het kabinet gaat daarover t.z.t. graag in gesprek met uw Kamer. Ook de Agenda Digitale Open Strategische Autonomie van het kabinet past in de inzet om het concurrentievermogen en de weerbaarheid van de (digitale) economie te vergroten.
Tot slot is het van belang om met al onze bondgenoten, waaronder de VS, actief in gesprek te blijven.

Vraag 3

Is bij u bekend of Amerikaanse diplomaten richting Nederland of bij de Europese Commissie pogingen hebben ondernomen om beleid op het gebied van datasoevereiniteit te beïnvloeden, en zo ja, op welke wijze en in welke context?

Het is niet ongebruikelijk dat belanghebbenden – zoals overheden, bedrijven, onderzoeksinstellingen en andere belangengroepen – invloed proberen uit te oefenen op politieke besluitvormingsprocessen en daartoe hun zienswijzen delen. Dit geldt ook voor de VS. Uiteindelijk besluit het kabinet zelf welke zienswijzen het verwerkt in zijn standpuntbepaling. Specifiek naar aanleiding van de casus waarnaar in deze vragen wordt verwezen, is mij niet bekend dat hierop door Amerikaanse diplomaten actie is ondernomen.

Vraag 4

Welke gevolgen kan het afzwakken van beleid op het gebied van datasoevereiniteit hebben voor de bescherming van persoonsgegevens, de online veiligheid en de controle die burgers hebben over hun eigen data?

De Algemene Verordening Gegevensbescherming (AVG) geldt als hoeksteen van het EU beleid in de digitale ruimte. De AVG beschermt grondrechten en de fundamentele vrijheden van natuurlijke personen en met name hun recht op bescherming van persoonsgegevens. De online veiligheid wordt onder meer beschermd doordat verwerkingsverantwoordelijke organisaties niet meer gegevens mogen verwerken dan noodzakelijk is, en een passende beveiliging van persoonsgegevens dienen te waarborgen. De verwerkingsverantwoordelijke dient ervoor te zorgen dat de bescherming van het grondrecht niet wordt ondermijnd, ongeacht waar de gegevens zich bevinden. In lijn met de doelstellingen van de AVG, is het Nederlandse beleid op het vlak van datasoevereiniteit erop gericht de bescherming van het grondrecht zowel in EU-verband als bij internationale doorgiften te waarborgen.

Vraag 5

Ziet u hierin aanleiding om, samen met Europese partners, actiever in te zetten op het versterken van digitale soevereiniteit, onder meer door het bevorderen van Europese cloud- en data-infrastructuur?

Het kabinet onderschrijft in algemene zin de noodzaak om actief in te zetten op het versterken van onze digitale soevereiniteit, specifiek ten aanzien van het bevorderen van Europese cloud- en datainfrastructuur. In onder meer de kabinetsreactie op de initiatiefnota «Wolken aan de Horizon» van de leden Kathmann en Six Dijkstra heeft het kabinet erkend dat het vanwege de internationale aard van de problematiek op de cloudmarkt essentieel is om deze problemen waar mogelijk in Europees verband beleidsmatig aan te pakken. In de Kamerbrief over Europese cloud-alternatieven van maart 2025 is uw Kamer geïnformeerd over de lopende initiatieven die onderdeel zijn van de geïntegreerde Europese aanpak om Europese cloud-alternatieven te stimuleren en digitale afhankelijkheden af te bouwen.
Voorts heeft het kabinet signalen ontvangen dat de Commissie in de herziening van de aanbestedingsrichtlijnen overweegt om een Europees voorkeursprincipe bij aanbesteden voor strategische sectoren op te nemen. Daarbij kan ook gekeken worden naar de cloudsector. Het kabinet is terughoudend met de inzet van een dergelijk principe en is van mening dat per sector zorgvuldig en gericht moet worden afgewogen of de baten van de inzet van een dergelijk principe opwegen tegen de kosten. Het kabinet is tevens van mening dat het instrument in beginsel enkel moet worden ingezet om de weerbaarheid van de Unie te versterken en eventuele toepassing moet daarbij tijdelijk, doelmatig en proportioneel zijn. De toegang voor gelijkgestemde handelspartners moet hierin niet belemmerd worden. Een Europees voorkeursprincipe in aanbestedingen zou, samen met andere maatregelen, kunnen bijdragen aan het afbouwen van strategische afhankelijkheden.

Vraag 6

Ziet u daarnaast aanleiding om in Europees verband gezamenlijke uitgangspunten over datasoevereiniteit actiever uit te dragen en te verdedigen?

Het kabinet zet in op eenduidige afspraken en definities over soevereiniteit van cloud- en datainfrastructuur in Europees verband. Er bestaan op dit moment geen uniforme principes om te bepalen wat soevereiniteit in relatie tot cloud is. Als gevolg hiervan vermarkten aanbieders op dit moment uiteenlopende clouddiensten als «soeverein». Omdat er op dit moment geen regels zijn die voorschrijven in welke mate zelfverklaarde soevereine clouddienstverlening bescherming moet bieden tegen niet-Europese extraterritoriale wetgeving, is het in de praktijk mogelijk dat er clouddienstverlening op Europese bodem wordt aangeboden als «soeverein» terwijl deze onder specifieke omstandigheden verplicht is niet-Europese veiligheids- en opsporingsdiensten toegang te geven tot opgeslagen data.
Het kabinet zet zich er daarom actief voor in dat het voorstel van de Europese Commissie voor de CADA bepalingen bevat voor het vaststellen van gezamenlijke uitgangspunten voor cloud- en datasoevereiniteit. Dit biedt aanbieders duidelijkheid over de eisen waar ze aan moeten voldoen om een soevereine cloud propositie te mogen aanbieden, terwijl afnemers zekerheid hebben dat de dienstverlening daadwerkelijk het beschermingsniveau biedt dat ze wensen. Het wetsvoorstel voor de CADA wordt verwacht in het tweede kwartaal van 2026.
De inzet van het kabinet voor het realiseren van gedeelde, uniforme uitgangspunten voor cloud- en datasoevereiniteit vindt parallel plaats aan het streven onder de Nederlandse Digitaliseringsstrategie om een soevereine overheidscloud te ontwikkelen.

Vraag 1

Bent u bekend met het bericht van de NOS dat hackersgroep ShinyHunters, die eerder verantwoordelijk was voor de hack bij Odido, nu ook gegevens van miljoenen studenten, docenten en onderwijsmedewerkers via onderwijsplatform Canvas heeft buitgemaakt?1

Vraag 2

Hoe beoordeelt u de ernst van dit datalek, mede gelet op de gevoeligheid van de buitgemaakte persoonsgegevens en mogelijk ook privécommunicatie van studenten, docenten en onderwijsmedewerkers?

Vraag 3

Hoeveel studenten, docenten en onderwijsmedewerkers van Nederlandse onderwijsinstellingen zijn naar schatting getroffen en welke typen persoonsgegevens zijn daarbij buitgemaakt?

Vraag 4

Welke gevolgen kan dit datalek hebben voor studenten, docenten en onderwijsmedewerkers, bijvoorbeeld in de vorm van phishing, identiteitsfraude of andere vormen van digitale criminaliteit en hoe kan worden voorkomen dat zij hiervan slachtoffer worden?

Vraag 5

Heeft u contact met de onderwijskoepels over wat nodig is om de gevolgen van dit datalek te beperken? Zo nee, bent u bereid hierover alsnog contact met hen op te nemen?

Vraag 6

Welke ondersteuning en informatie worden momenteel geboden aan getroffen studenten, docenten en onderwijsmedewerkers om misbruik van hun persoonsgegevens te voorkomen? Acht u deze ondersteuning voldoende en welke rol ziet u hierin voor uzelf?

Vraag 7

Is voor studenten, docenten en onderwijsmedewerkers voldoende duidelijk welke persoonsgegevens via onderwijsplatformen zoals Canvas worden verwerkt, met welke externe partijen deze gegevens worden gedeeld en hoe deze gegevens worden beschermd?

Vraag 8

Vindt u het wenselijk dat Nederlandse onderwijsinstellingen onderhandelen met hackersgroep ShinyHunters naar aanleiding van het ultimatum rondom de hack op Canvas, waarbij wordt gedreigd buitgemaakte gegevens van studenten, docenten en medewerkers openbaar te maken, of bent u van mening dat overheids- en onderwijsinstellingen nooit zouden moeten ingaan op dergelijke eisen van cybercriminelen?

Vraag 9

Welke lessen trekt u uit dit incident en op welke wijze wordt deze kwestie betrokken bij de ontwikkeling van een duidelijk handelingskader voor slachtoffers van datalekken?2

Vraag 1

Heeft u kennisgenomen van het bericht dat het UWV vanaf half mei een pilot start met Microsoft Copilot en daarmee stopt met het gebruik van het Europese alternatief Le Chat?1

Vraag 2

Hoe beoordeelt u het besluit van het UWV om een Europees AI-alternatief in te ruilen voor een Amerikaanse toepassing, mede in het licht van de kabinetsambities op het gebied van digitale soevereiniteit en het verminderen van afhankelijkheden van niet-Europese technologiebedrijven?

Vraag 3

Deelt u de opvatting dat publieke organisaties, zeker wanneer zij werken met grote hoeveelheden gevoelige persoonsgegevens, bij de inzet van generatieve AI, rekening zouden moeten houden met Europese datasoevereiniteit en strategische autonomie? Zo nee, waarom niet?

Vraag 4

Welke risico’s ziet u in de keuze die het UWV heeft gemaakt om co-pilot in te gebruiken, in het bijzonder waar het gaat om toegang tot persoonsgegevens, vendor lock-in en geopolitieke afhankelijkheden?

Vraag 5

Kunt u aangeven op welke wijze is beoordeeld of Microsoft Copilot voldoet aan de eisen rondom privacy, gegevensbescherming en gegevenssoevereiniteit en kunt u aangeven welke persoonsgegevens of interne gegevens van het UWV binnen deze pilot verwerkt kunnen worden?

Vraag 6

Hoe verhoudt deze keuze zich tot eerdere signalen vanuit Europese landen, waaronder Duitsland en Frankrijk, waarin juist gezocht wordt naar alternatieven voor afhankelijkheid van Microsoft?

Vraag 7

In referentie naar de aangenomen motie van het lid El Boujdaini c.s. over het principe «Europees tenzij» te hanteren en digitale soevereiniteit en digitale autonomie als expliciet criterium op te nemen in aanbestedingen, wat is de status van de uitvoering van die motie?2

Vraag 8

Kunt u aangeven wat er momenteel al gebeurt om Europese en soevereine AI-oplossingen binnen de Nederlandse overheid te stimuleren? En bent u bereid om samen met uitvoeringsorganisaties en andere overheidsinstanties te werken aan het breder implementeren van Europese en soevereine AI-oplossingen binnen de Nederlandse overheid? Zo nee, waarom niet?

Vraag 9

Eind 2026 worden de uitkomsten van de pilot met Microsoft Copilot geëvalueerd, kunt u toezeggen dat de Kamer actief wordt geïnformeerd over de uitkomsten van de pilot?

Vraag 1

Bent u bekend met het bericht «Leerlingen komen met desinformatie over Holocaust de klas in: «Zien ze op TikTok»»?1.

Vraag 2

Deelt u de zorgen van docenten en onderzoekers over de toename van desinformatie over de Holocaust onder leerlingen, mede als gevolg van AI gegenereerde beelden op sociale media?

Vraag 3

Meer dan de helft van de leerlingen kon in een experiment een AI-gegenereerde foto van Auschwitz niet van een echte foto onderscheiden, deelt u de zorg dat een gebrek aan historische basiskennis leerlingen kwetsbaarder maakt voor desinformatie?

Vraag 4

Herkent u het beeld dat vier op de tien docenten aangeeft dat sommige leerlingen de ernst van de Holocaust bagatelliseren? Hoe beoordeelt u deze ontwikkeling?

Vraag 5

Hoe beoordeelt u de huidige staat van mediawijsheid en digitale geletterdheid op scholen en acht u de huidige inspanningen voldoende?

Vraag 6

Bent u bereid om additionele maatregelen te nemen om de mediawijsheid en digitale geletterdheid op scholen te verbeteren?

Vraag 7

Hoe beoordeelt u het feit dat het momenteel voor eenieder mogelijk is om met AI-platforms als ChatGPT nepbeelden te genereren van de Holocaust, met als gevolg het ernstige risico op bagatellisering van dit verleden? Zo nee, bent u bereid maatregelen te treffen?

Vraag 8

Over welke instrumenten beschikt u om op te treden tegen het genereren en verspreiden van AI-gegenereerde nepbeelden van de Holocaust op sociale media, mede gezien het feit dat het bagatelliseren van de Holocaust in Nederland strafbaar is?

Vraag 9

Welke mogelijkheden ziet u om op te treden tegen sociale media-accounts en -platformen die AI-gegenereerde Holocaustbeelden verspreiden waardoor grote groepen gebruikers met deze desinformatie in aanraking komen?

Vraag 10

Bent u bereid in gesprek te gaan met sociale mediaplatforms zoals TikTok over het actief verwijderen van desinformatie en AI-gegenereerde nepbeelden over de Holocaust, en bent u bereid dit ook Europees te agenderen in het kader van de Digital Services Act?

Vraag 11

Kunt alle vragen afzonderlijk van elkaar beantwoorden?

Vraag 1

Bent u bekend met het bericht «Nog veel meer Instagramaccounts van LHBTIQ+’ers op zwart, veel meldingen uit Nederland» waaruit blijkt dat opnieuw meerdere Instagramaccounts van LHBTIQ+-organisaties, activisten en gemeenschappen, waaronder accounts uit Nederland, offline zijn gehaald of ontoegankelijk zijn gemaakt?1

Vraag 2

Bent u eens met de stelling dat het blokkeren van specifieke LHBTIQ+ accounts en content onrechtmatig, discriminerend en onacceptabel is? Bent u het ook eens met de stelling dat het optreden hiervan, meermaals en herhaald in vrij korte tijd, niet steeds door Meta afgedaan kan worden als een incident maar dat het onderdeel lijkt te zijn van hun beleid?

Vraag 3

Deelt u de ernstige zorgen dat het blokkeren van LHBTIQ+ personen en LHBTIQ+ organisaties, zonder geldige reden, discriminerend is, de vrijheid van meningsuiting aantast en de acceptatie en het veiligheidsgevoel van LHBTIQ+-gemeenschap onder druk zet? Zo ja, waarom en welke acties onderneemt u om deze ernstige zorgen te adresseren?

Vraag 4

Is het bij u bekend in hoeverre andere minderheidsgroepen dan LHBTIQ+ ook te maken hebben met structurele discriminatie en aantasting van hun vrijheid van meningsuiting door sociale media platforms?

Vraag 5

Kunt u toelichten in hoeverre het blokkeren van deze LHBTIQ+ accounts en content zonder duidelijke uitleg in lijn is met de verplichtingen uit de Digital Services Act, met name ten aanzien van transparantie, motivering en effectieve bezwaarprocedures en welke stappen het kabinet en de Europese Commissie zetten om hier actief op te handhaven?

Vraag 6

Welke acties zijn sinds de vorige blokkades (in december 2025) ondernomen door het kabinet of bevoegde toezichthouders naar aanleiding van deze signalen?

Vraag 7

Is er tevens contact geweest met belangenorganisaties van LHBTIQ+ personen om te vragen welke signalen er nog meer zijn en waar behoefte aan is?

Vraag 8

Welke mogelijkheden ziet u voor zich om bij sociale media platformen de transparantie over het blokkeren van accounts af te dwingen zodat voor gebruikers duidelijk is op welke gronden een blokkade is ingesteld en waar ze terecht kunnen met klachten of vragen?

Vraag 9

Welke mogelijkheden heeft u om platforms ertoe te bewegen geblokkeerde accounts te herstellen en/of gedupeerden te ondersteunen bij het herstellen van hun account?

Vraag 10

Welke maatregelen gaat u nemen tegen sociale media platforms die LHBTIQ+ personen en organisaties discrimineren? En welke aanvullende maatregelen overweegt u om het digitaal targetten van LHBTIQ+ gemeenschappen via sociale media platforms tegen te gaan en de LHBITQ+ gemeenschap beter te beschermen?

Vraag 11

Kunt u de vragen afzonderlijk beantwoorden?

Vraag 1

Heeft u kennisgenomen van het artikel van Follow the Money waarin wordt gesteld dat de Kamer niet volledig is geïnformeerd over een contract met Palantir?1

Vraag 2

Erkent u dat het antwoord dat in augustus 2025 is gegeven door de Minister van Justitie en Veiligheid op de vraag of er buiten de bekende voorbeelden binnen Justitie en Veiligheid gebruik is of wordt gemaakt van software van Palantir onjuist of op zijn minst onvolledig was? En erkent u dat de Kamer onjuist en/of onvolledig is geïnformeerd?

Vraag 3

Kunt u precies uiteenzetten wanneer het contract tussen de Koninklijke Marechaussee (KMar) en Palantir is afgesloten, welke onderdelen van Defensie hierbij betrokken zijn en waarom de Kamer hier niet (volledig) vooraf over is geïnformeerd?

Vraag 4

Heeft u kennisgenomen van het 22-punten manifesto van Palantir dat zij op hun sociale media hebben gezet?2 Hoe beoordeelt u dat manifesto? Deelt u de mening dat dit manifesto direct ingaat tegen de normen en waarden van de Nederlandse overheid en dat er mede op basis daarvan geen samenwerking kan plaatsvinden tussen Palantir en de Nederlandse overheid?

Vraag 5

Kunt u een totaaloverzicht geven van alle samenwerkingen die er hebben plaatsgevonden of plaatsvinden tussen de Nederlandse overheid en Palantir sinds de oprichting in 2003? Mochten er nog lopende samenwerkingen zijn, liggen er exitstrategieën om als Defensie zo snel mogelijk te stoppen met het gebruik van de betreffende software?

Vraag 1

Bent u bekend met het bericht in het NRC over het AI-model Mythos dat mogelijk in handen is gevallen van onbevoegden?1

Vraag 2

Deelt u de analyse dat ongecontroleerde verspreiding van geavanceerde AI-modellen risico’s kan vergroten op cyberaanvallen, geautomatiseerde fraude en andere schadelijke toepassingen? Zo ja, welke risico’s acht u het meest urgent? Zo nee, waarom niet?

Vraag 3

Welke rol spelen geavanceerde AI-modellen op dit moment in het dreigingsbeeld? Welke gevolgen heeft de uitrol van Mythos, binnen afzienbare tijd ook aan het grotere publiek, voor dit dreigingsbeeld?

Vraag 4

Bent u van mening dat overheden toegang moeten krijgen tot Mythos zodat zij het kunnen gebruiken om preventief kwetsbaarheden op te sporen en te dichten? Kan dit op een veilige en verantwoorde manier?

Vraag 5

Hoe bereidt u overheidsorganisaties voor op de cyberveiligheidsrisico’s die gepaard gaan met de uitrol van Mythos? Kunt u uiteenzetten welke acties u neemt om de veiligheid van persoonsgegevens van burgers en de ICT-processen van de overheid te garanderen?

Vraag 6

Welke rol zou een onafhankelijke AI-raad, zoals voorgesteld in de motie-Kathmann/Six Dijkstra (Kamerstuk 26 643, nr. 1403), kunnen spelen om de veiligheidsrisico’s van geavanceerde AI te monitoren en af te dekken? Hoe wordt deze motie nu uitgevoerd?

Vraag 7

Heeft u voldoende zicht op de risico’s van model leakage, model theft en ongeautoriseerde verspreiding van geavanceerde AI-systemen in Nederland en Europa? Zo ja, hoe wordt dit inzicht benut voor beleid en toezicht? Zo nee, welke maatregelen neemt u om dit inzicht te verbeteren?

Vraag 8

Hoe beoordeelt u de toereikendheid van bestaande beveiligingsnormen en toezichtmechanismen voor ontwikkelaars en beheerders van krachtige AI-modellen, mede in relatie tot de implementatie van de AI-verordening?

Vraag 9

Welke kansen ziet u om via veilige ontwikkeling en deployment van AI de digitale veiligheid te versterken, bijvoorbeeld voor cyberdetectie, opsporing en publieke dienstverlening?

Vraag 10

Ziet u in deze casus aanleiding om in Europees verband te pleiten voor versterkte samenwerking rond monitoring van toegangsbeheer, auditing en incidentrespons? Zo ja, op welke wijze?

Vraag 11

Hoe beoordeelt u de wenselijkheid van meer transparantieverplichtingen voor aanbieders van geavanceerde AI-systemen over beveiligingsmaatregelen, incidenten en misbruikrisico’s?

Vraag 12

Kunt u de vragen afzonderlijk beantwoorden en in ieder geval vóór het rondetafelgesprek cyberveiligheid en informatiebeveiliging van 20 mei 2026?

Vraag 1

Bent u bekend met het bericht «Ukraine Creates UK-Backed «A1» AI Hub to Develop EW-Resistant Drones and Predict Russian Moves»?1

Ja.

Vraag 2

Naar aanleiding van uw bezoek aan Oekraïne in maart 2026 werd bekend dat Nederland intensief gaat meekijken bij de Oekraïense inzet van drones op het slagveld, om meer te leren over de mogelijkheden voor Nederlandse productie en innovatie van onbemenste systemen; sluit dit aan op het initiatief in de berichtgeving?

Nee, dit staat los van het in de berichtgeving genoemde initiatief. Nederland is bekend met het Oekraïense AI-centrum A1, ook wel het Center of Innovations and Defence Technologies Development. Vanuit Defensie wordt contact gezocht met de initiatiefnemers van dit centrum, onder meer in het kader van lessons learned en mogelijke samenwerking.

Vraag 3

Heeft de Nederlandse industrie toegang tot de beschikbare informatie en zo ja, hoe waarborgt u dat deze informatie eerlijk toegankelijk is voor alle geïnteresseerde marktpartijen?

Defensie heeft op dit moment zelf geen directe toegang tot deze specifieke informatie, omdat Nederland niet betrokken is bij dit initiatief. Daardoor beschikt Defensie ook niet over een informatiepositie die met de Nederlandse defensie-industrie kan worden gedeeld of waarvoor Defensie de toegang kan reguleren. Nederlandse bedrijven die zelf actief zijn in Oekraïne kunnen uiteraard via hun eigen contacten met Oekraïense eindgebruikers operationele feedback of gefilterde informatie ontvangen. Dat betreft echter geen door Defensie beheerde of via Defensie beschikbaar gestelde informatiepositie. Tegelijkertijd wordt verkend op welke wijze Nederland in de toekomst kan aansluiten bij initiatieven gericht op kennis- en informatie-uitwisseling, mede om lessen uit Oekraïense innovaties breder toegankelijk te maken voor relevante Nederlandse stakeholders.

Vraag 4

Is Nederland ook voornemens om zelf een soevereine database aan te vullen voor het trainen van AI-modellen (al dan niet met Europese partners)? Wordt de Nederlandse industrie aangesloten bij een mogelijk initiatief?

Geschikte data voor het trainen van AI-modellen voor militaire doeleinden is schaars. Daarom erkent Defensie het belang van een database met dergelijke data. Defensie verkent verschillende mogelijkheden voor het verkrijgen van data van hoogwaardige kwaliteit, waarmee robuuste militaire AI kan worden ontwikkeld. Denk hierbij ook aan alternatieven zoals synthetische data. Industriepartners worden actief betrokken.

Vraag 5

Ziet u ook een kans om als Nederland koploper in Europa te worden in het ontwikkelen van verantwoorde AI? Wat gaat u op korte termijn initiëren om dit te bewerkstelligen?

Nederland zet zich al geruime tijd in voor de verantwoorde ontwikkeling, verwerving en inzet van militaire AI. Met de eerste Responsible AI in the Military Domain (REAIM) Summit in het voorjaar van 2023 heeft Nederland het thema verantwoorde AI in het militaire domein voor het eerst op de internationale agenda gezet. Nederland was bij alle REAIM summits co-host, in 2023, 2024 en 2025. Daarnaast speelt Nederland een actieve rol in de Governmental Group of Experts on Lethal Autonomous Weapon Systems (GGE LAWS). Van 2024 tot en met 2026 zit Nederland deze groep voor. Het doel is om consensus te bereiken over elementen van toekomstige afspraken over autonome wapensystemen. Tijdens de GGE LAWS bijeenkomsten gaat het ook over de huidige en toekomstige rol van AI in LAWS. Nederland blijft nauw betrokken bij het mogelijke vervolg van REAIM en de GGE LAWS. Daarnaast is Defensie nadrukkelijk bezig met het proces van verantwoorde verwerving van AI. Tot slot wordt onderzocht hoe Defensie militaire AI kan verifiëren en valideren voor veilig gebruik en inzet.

Vraag 6

Hoe weegt u het risico van het niet zelf hebben van een soevereine database voor het trainen van AI-modellen en van welke landen verwacht u afhankelijk te zijn?

De data waarop de AI-modellen worden getraind is grotendeels afkomstig en in beheer van Defensie. Daarnaast zullen er technische maatregelen worden getroffen om de daadwerkelijke uitkomsten van de AI-modellen te kunnen valideren, voordat deze daadwerkelijk (operationeel) worden ingezet. Bijvoorbeeld door eerst in een simulatieomgeving te werken. Op dit moment onderzoekt Defensie op Europees niveau met welke aanbieders en partnerlanden hiervoor een samenwerking kan worden gestart.

Vraag 7

Sluit u aan bij de gedachten dat we de standaarden voor militair gebruik van AI niet aan externe machten overlaten, maar dat we die zelf bepalen?

Het internationaal recht, waaronder het humanitair oorlogsrecht, is onverkort van toepassing op het militair gebruik van AI. Het gebruik van AI in het militaire domein mag niet leiden tot schendingen van dit recht. Dit zijn bestaande afspraken. Daarnaast onderschrijft Nederland bijvoorbeeld de NAVO-principes voor het verantwoord gebruik van AI. Voor de effectiviteit van nieuwe internationale afspraken, specifiek ten aanzien van AI in het militaire domein, is het van belang dat staten die actief zijn op het gebied van de ontwikkeling van state-of-the-art AI hieraan meedoen. Nederland zet zich op verschillende manieren actief in om nieuwe afspraken te maken, bijvoorbeeld in het kader van REAIM en van de GGE LAWS.

Vraag 8

Ziet u mogelijkheden om aan te haken op het samenwerkingsverband tussen Duitsland en Oekraïne, die hun defensiesamenwerking verder hebben geïntensiveerd door een memorandum te tekenen op het gebied van delen van data van het slagveld, waarbij Duitsland ook toegang krijgt tot real-time DELTA battlefield management system?

Ja, Defensie ziet deze mogelijkheden. Defensie kijkt expliciet naar en werkt samen met Oekraïne om lessen van het slagveld te vertalen o.a. door het delen van relevante informatie. In het deel van de organisatie belast met de militaire steun aan Oekraïne wordt actief gekeken naar innovatie en zo genoemde Lessons Learned en de disseminatie daarvan. Daarnaast werkt Defensie aan het verbinden van Nederlandse en voor Defensie relevante kennisinstellingen met Oekraïense kennis en innovatie instituten

Vraag 9

Ziet u het belang van in Europees verband initiatieven organiseren voor een strategisch autonome battlefield management architectuur die interoperabiliteit tussen de (gefragmenteerde) Europese systemen waarborgt?

Ja. Defensie onderschrijft het belang van samenwerking in Europees verband gericht op een meer strategisch autonome battlefield management architectuur. Interoperabiliteit tussen nationale systemen is essentieel voor het effectief gezamenlijk optreden van Europese krijgsmachten, onder meer binnen NAVO- en EU-verband.

Vraag 10

Onderneemt Defensie andere initiatieven om een strategisch autonome battlefield management architectuur te maken? Zo niet, kunt u een risicoafweging van afhankelijkheden geven? Zo ja, bent u bereid een plan van aanpak te maken en te delen?

Defensie heeft reeds een aantal battlefield management architecturen in gebruik, zowel aangekocht als zelf ontwikkeld. De insteek is dat primaire componenten van toekomstige battlefield management architecturen in de basis door Defensie zelf ontwikkeld worden.

Vraag 11

Kunt u de bovenstaande vragen afzonderlijk van elkaar beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht van de NOS over hacks bij Basic-Fit en Booking.com waarbij klantgegevens zijn buitgemaakt?1

Vraag 2

Hoe beoordeelt u deze incidenten als indicatie van structurele tekortkomingen in de beveiliging van persoonsgegevens bij grote, digitaal opererende bedrijven?

Vraag 3

Heeft u voldoende structureel inzicht in de aard, omvang en frequentie van datalekken en cyberaanvallen in Nederland? Zo ja, hoe wordt dit overzicht benut voor beleid en toezicht? Zo nee, welke maatregelen neemt u om dit inzicht te verbeteren?

Vraag 4

Deelt u de opvatting dat herhaalde datalekken kunnen wijzen op onvoldoende structurele naleving van de Algemene verordening gegevensbescherming? Zo ja, welke systeemfouten signaleert u hierbij? Zo nee, waarom niet?

Vraag 5

Acht u de toezicht- en handhavingscapaciteit van de Autoriteit Persoonsgegevens toereikend om structurele naleving af te dwingen? Zo ja, waarom? Zo nee, welke versterkingen zijn nodig?

Vraag 6

Ziet u aanleiding om te komen tot strengere, afdwingbare beveiligingsnormen voor bedrijven die op grote schaal persoonsgegevens verwerken? Zo nee, waarom niet?

Vraag 7

In het kader van dataminimalisatie: ziet u kansen dat de ontwikkeling van de EDI-wallet in Nederland kan bijdragen aan het verkleinen van het risico op datalekken bij organisaties, doordat consumenten hun persoonsgegevens minder vaak rechtstreeks hoeven te delen met verschillende partijen?

Vraag 8

Kunt u de vragen afzonderlijk beantwoorden?

Vraag 1

Heeft u kennisgenomen van het TNO-rapport «Zonder Robotisering verdwijnt de Nederlandse Maakindustrie: Urgente actie is noodzakelijk»1?

Vraag 2

Hoe beoordeelt u de constatering in dit rapport dat de robotiseringsgraad van de Nederlandse maakindustrie achterblijft ten opzichte van internationale koplopers?

Vraag 3

Kunt u de Kamer een actuele, sectorale uitsplitsing sturen van robotadoptie in de Nederlandse maakindustrie, inclusief een onderscheid tussen het mkb en het grootbedrijf?

Vraag 4

Welke belemmeringen voor robotisering in de Nederlandse maakindustrie wegen volgens u op dit moment het zwaarst?

Vraag 5

Op welke Nederlandse evaluaties, studies of modelanalyses baseert het kabinet zijn oordeel over het effect van robotisering op arbeidsproductiviteit, leveringszekerheid en concurrentiekracht?

Vraag 6

Welke bestaande rijksinstrumenten kunnen mkb-maakbedrijven momenteel benutten voor automatisering, digitalisering en robotisering? Kunt u ook aangeven hoe vaak hier gebruik van wordt gemaakt?

Vraag 7

Zijn er fiscale prikkels, vereenvoudigingen van procedures en/of maatregelen die de regeldruk verlagen om robotinvesteringen te versnellen? Zoja, welke zijn het kansrijkst?

Vraag 8

In hoeverre vormen energiekosten, netcongestie en langdurige vergunningsprocedures momenteel een belemmering voor robotisering in de Nederlandse maakindustrie?

Vraag 9

Kunt u in kaart brengen in welke mate Nederlandse maakbedrijven afhankelijk zijn van niet-Europese leveranciers van industriële robots, sensoren, controllers, AI-software en cloud- of operationele technologiecomponenten?

Vraag 10

Welke inzet pleegt het kabinet op het gebied van standaardisatie en interoperabiliteit bij industriële robotica en hoe wordt vendor lock-in daarbij voorkomen?

Vraag 11

Hoe beoordeelt het kabinet de rol van open-sourcecomponenten in industriële robotica, mede in het licht van beheerkosten, aansprakelijkheid en cybersecurity?

Vraag 12

Welke ondersteuning is of wordt beschikbaar gesteld aan maakbedrijven, in het bijzonder mkb-bedrijven, om verbonden robots en andere operationele technologie-systemen cyberveilig in te richten en te beheren?

Vraag 13

Beschikt het kabinet over een actuele raming van de behoefte aan personeel met kennis van robotica, systeemintegratie, onderhoud, data en operationele technologie-cybersecurity in de maakindustrie? En sluiten de huidige mbo-, hbo- en wo-opleidingen en bestaande om- en bijscholingsinstrumenten daarop aan?

Vraag 14

Hoe verbindt het kabinet civiele robotisering in de maakindustrie met dual-use toepassingen en de versterking van de Nederlandse defensie-industrie?

Vraag 15

Bent u bereid de Kamer een integrale kabinetsreactie op dit rapport van TNO te sturen, waarin in ieder geval wordt ingegaan op het aspect of een nationale robotiseringsagenda noodzakelijk is?

Vraag 16

Kunt u iedere vraag afzonderlijk van elkaar beantwoorden?

Vraag 1

Bent u bekend met de berichtgeving over de cyberaanval op ChipSoft, leverancier van elektronische patiëntendossiers voor een groot deel van de Nederlandse zorginstellingen?1

Ja.

Vraag 2

Kunt u een actueel beeld geven van de aard, omvang en impact van deze aanval, en welke patiënten hierdoor zijn geraakt?

Het Ministerie van VWS onderhoudt geen klantrelatie met Chipsoft en is daarmee geen onderdeel van de informatievoorziening van Chipsoft naar zijn klanten. Uit informele contacten heb ik begrepen dat Chipsoft momenteel samen met een extern team van cybersecurity-experts forensisch onderzoek uitvoert om de oorzaak, omvang en bron van het incident vast te stellen. Naar ik begrepen heb zijn uit voorzorg de verbindingen sinds 8 april 20:00 uur met patiëntportalen die door ChipSoft worden gehost, verbroken. Dit betreft Zorgportaal, HiX Mobile2 en het Zorgplatform. Deze zijn hierdoor tijdelijk niet beschikbaar. Op donderdag 16 april heeft ChipSoft gecommuniceerd met haar klanten dat er bij de hack ook gegevens zijn gestolen. Hierover heb ik de Kamer, mede namens de Staatssecretaris van Justitie en Veiligheid, in een Kamerbrief op 21 april 2026 geïnformeerd. De resultaten van het forensisch onderzoek, die van belang zijn voor de hersteloperatie bij zorginstellingen, zullen, zo heeft ChipSoft ons doen laten weten, zo snel mogelijk worden gecommuniceerd. In de tussentijd ondersteunt Z-CERT, als expertisecentrum cybersecurity in de zorg, en biedt hulp aan ChipSoft voor analyse, communicatie en incidentmanagement. Z-CERT informeert en adviseert haar deelnemers over deze situatie.

Vraag 3

In hoeverre heeft deze aanval gevolgen (gehad) voor de continuïteit van zorg, bijvoorbeeld door verminderde toegang tot patiëntgegevens, vertragingen in zorgverlening of het moeten overschakelen op noodprocedures?

Ik heb van de betrokken zorginstellingen begrepen dat de zorgprocessen doorlopen en zorgverleners bij de gegevens van patiënten kunnen. Patiënten kunnen echter wel hinder ondervinden bij het online maken van afspraken, dit gaat nu telefonisch. Daarnaast kunnen patiënten momenteel niet zelf hun dossier inzien Ook is er met name impact op de uitwisseling van gegevens. Tussen zorgverleners, zoals huisarts en ziekenhuizen, kunnen verwijzingen niet goed plaatsvinden. Echter, ziekenhuizen zijn voorbereid op dit soort incidenten en zij hebben hiervoor noodprotocollen die ook in werking zijn getreden. Hierdoor kunnen veel zorgprocessen doorlopen, maar vaak met een noodzakelijke extra inzet van personeel. Deze situatie kan daarmee maar voor een beperkte periode bestaan. Inmiddels zo begreep ik is er sinds vrijdag 17 april weer sprake van het opstarten van functionaliteiten, nadat deze veilig zijn bevonden.

Vraag 4

Zijn er aanwijzingen dat patiëntgegevens zijn ingezien, buitgemaakt of anderszins gecompromitteerd? Hoe wordt dit onderzocht en wanneer verwacht u hierover duidelijkheid te kunnen geven?

Op donderdag 16 april heeft ChipSoft gecommuniceerd met haar klanten dat er bij de hack patiëntgegevens zijn gestolen. Hierover heb ik de Kamer, mede namens de Staatssecretaris van Justitie en Veiligheid, in een Kamerbrief op 21 april geïnformeerd. Ik vind dit een zeer ernstige zaak. ChipSoft moet alles uit de kast halen en de volle verantwoordelijkheid nemen om snel en zorgvuldig te onderzoeken en duidelijkheid te creëren voor patiënten en zorgverleners, zodat mensen weten of hun data gestolen is en om welke data het gaat.

Vraag 5

Hoe beoordeelt u de sterke afhankelijkheid van een beperkt aantal commerciële leveranciers voor cruciale zorg-IT, en hoe worden de risico’s daarvan beperkt?

Op verzoek van de toenmalige Minister van VWS heeft de Nederlandse Zorgautoriteit (NZa) in januari 2025 een rapport uitgebracht: «Sturing op kwaliteit en betaalbaarheid zorg-ICT». Daarin staat dat onder andere in de ziekenhuiszorg een paar grote leveranciers de markt domineren. Deze concentratie van marktmacht zorgt ervoor dat er minder concurrentie is, wat de prijzen op kan drijven en innovatie kan vertragen. Ook in de Definitieve leidraad goedwerkende markten voor zorg-ICT van de ACM3 staat dat het voor nieuwe, innovatieve spelers moeilijk is om voet aan de grond te krijgen, omdat zorginstellingen huiverig zijn om risico's te nemen door met kleine of nieuwe partijen in zee te gaan. Bovendien wordt toetreding tot de Nederlandse markt van nieuwe buitenlandse leveranciers bemoeilijkt door de complexe, internationaal niet te vergelijken bekostigingssystematiek in de zorgsector. Een te grote eenzijdige afhankelijkheid kan risico’s met zich brengen voor de continuïteit van zorg. Zorginstellingen zijn zelf verantwoordelijk om deze risico’s in kaart te brengen en keuzes te maken om invulling te geven aan hun digitale autonomie.
Ik ben echter ook van mening dat de ontwikkeling naar een European Health Data Space (EHDS) bij kan dragen om de markt toegankelijker te maken voor EPD-leveranciers. Om dat te bereiken worden er bijvoorbeeld op Europees niveau harmoniserende regels gesteld aan interoperabiliteit tussen de EPD-systemen en het verplicht maken van een loggingsmechanisme voor gebruik van gegevens door zorgverleners. Ook wordt gekeken hoe het toezicht versterkt kan worden. In de brief Voortgang agenda databeschikbaarheid van 20 januari 20264 is de stand van zaken over de zorg-ICT-markt uiteengezet. Om de risico’s te beperken ga ik de komende tijd aan de slag om te bezien hoe de bewustwording en kennis en expertise bij bestuurders over zorg-ICT vergroot kan worden. Daarnaast wordt samen met partijen onderzocht hoe het inkoopproces verbeterd kan worden en zal er samen met overheidspartijen met een regulerende of toezichthoudende rol in het zorgveld een zogenoemde signaleringstafel worden opgezet waar signalen aangaande zorg-IT kunnen worden gedeeld en vanuit bestaand instrumentarium kan worden bekeken of en zo ja welke (gezamenlijke) interventie gewenst is.

Vraag 6

Welke eisen worden momenteel gesteld aan leveranciers van zorg-IT op het gebied van cybersecurity, weerbaarheid en continuïteit, en in hoeverre zijn deze eisen voldoende gezien de kritieke rol van deze partijen voor ons zorgsysteem?

Nederlandse zorgaanbieders zijn momenteel wettelijk verplicht om te voldoen aan de norm voor informatiebeveiliging in de zorg, de NEN 7510. De NEN 7510 geeft richtlijnen voor controlemaatregelen en stelt eisen aan het informatiebeveiligingssystemen. De norm vereist ook beheersmaatregelen voor bedrijfscontinuïteit en bereikbaarheid. Bij de inzet van ICT-producten die medische gegevens verwerken, eisen zorgaanbieders van de softwareleveranciers van deze ICT-producten dat ook zij voldoen aan de NEN 7510. Softwareleveranciers dienen dit aan te tonen met een certificaat. Daarnaast zullen aanvullende eisen voor cyberweerbaarheid worden gesteld in de NIS2 richtlijn die wordt omgezet in de Cyberbeveiligingswet en het Cyberbeveiligingsbesluit. Ik ga hier verder op in bij vraag 8. De EHDS draagt bij aan toegankelijkheid van de zorg-ICT-markt in Nederland en Europa en betere databeschikbaarheid. Deze verordening gaat de nieuwe eis stellen dat EPD-systemen aan de kaders rondom cyberveiligheid moeten gaan voldoen conform de Cyberweerbaarheidsverordening5.

Vraag 7

In hoeverre zijn zorginstellingen verplicht of gestimuleerd om scenario’s uit te werken voor uitval van essentiële IT-systemen, en hoe wordt geborgd dat zorgverlening doorgang kan vinden bij langdurige verstoringen?

Het doen van een risicoanalyse is onderdeel van de norm voor informatieveiligheid in de zorg (NEN7510). Aan deze norm dienen zorgaanbieders aantoonbaar te voldoen. Bij het werken volgens de norm hoort ook het nemen van maatregelen om uitval (door bijvoorbeeld een cyberincident) te voorkomen en de impact te beperken. Een belangrijk onderdeel van de norm is bovendien dat er plannen worden gemaakt voor bedrijfscontinuïteit bij onverwachte verstoringen of uitval en dat deze periodiek getest, geëvalueerd en verbeterd worden.

Vraag 8

Hoe wordt binnen het beleid rond de implementatie van de NIS2-richtlijn specifiek rekening gehouden met de afhankelijkheid van de zorgsector van externe IT-leveranciers?

De NIS2 richtlijn wordt omgezet in de Cyberbeveiligingswet en het Cyberbeveiligingsbesluit. In de Cyberbeveiligingswet is in artikel 10 opgenomen dat de organisaties die onder deze wet vallen verplicht zijn om beleid vast te stellen over de beveiliging van de toeleveringsketen. Dit betekent dat de zorgaanbieders die onder de reikwijdte vallen niet alleen hun eigen netwerk- en informatiesystemen op orde hebben, maar ook die van hun rechtstreekse leveranciers periodiek toetsen. Daarnaast zullen IT-leveranciers ook rechtstreeks onder de reikwijdte van de wet vallen, onder de sector digitale infrastructuur.

Vraag 9

Ziet u aanleiding om aanvullende eisen te stellen aan leveranciers van kritieke zorg-IT, bijvoorbeeld op het gebied van redundantie, interoperabiliteit of exit-strategieën, zodat zorginstellingen minder kwetsbaar zijn bij uitval of incidenten?

Zorgaanbieders zijn verantwoordelijk voor de afspraken die gemaakt worden met hun ICT-leveranciers. Uit deze verantwoordelijkheid volgt dat zij handelingsperspectieven moeten opstellen op basis van de individuele risicoafwegingen en passend bij de eigen context. In de NEN7510 is de verplichting opgenomen een risicobeoordeling uit te voeren en digitale afhankelijkheden in kaart te brengen. Daarnaast verplicht de Cyberbeveiligingswet (Cbw) organisaties, waaronder zorgaanbieders, om hun leveranciersketen in kaart te brengen en om aan de leveranciers in die keten informatiebeveiligingsnormen te stellen.

Vraag 10

In hoeverre wordt gewerkt aan het verminderen van single points of failure in de digitale infrastructuur van de zorg, en welke concrete stappen worden gezet om diversificatie en alternatieven te stimuleren?

Er wordt vanuit verschillende projecten en programma’s gewerkt aan het realiseren van een duurzaam en veilig gezondheidsinformatiestelsel. Bij de totstandkoming van dit stelsel is het uitgangspunt dat er sprake is van een federatief stelsel waarbij data aan de bron blijft. Voor vertrouwen in het gebruik van gezondheidsgegevens zijn enkele (centrale) vertrouwenscomponenten noodzakelijk. Om te waarborgen dat deze voorzieningen geen centrale point-of-failure worden, is bij de realisatie van de techniek rekening gehouden met de mogelijkheden om de data te kunnen repliceren zonder dat daarmee de betrouwbaarheid van data in het geding komt. Zo wordt het Landelijk Register Zorgaanbieders (LRZa) ingericht om adresseerbare punten per zorgaanbieder op te kunnen vragen zodat de decentrale punten direct met elkaar kunnen uitwisselen. Om te voorkomen dat dit een single-point-of-failure wordt, is er synchronisatie van gegevens mogelijk zodat de adresseerbare punten periodiek kunnen worden geharmoniseerd zonder dat dit de betrouwbaarheid van de gegevens in het geding brengt.
Zoals beschreven bij vraag 5 worden er bij de European Health Data Space- verordening regels opgelegd aan leveranciers om de EPD-markt beter te laten functioneren en concurrentie en innovatie te bevorderden. Daarmee wordt het voor nieuwe toetreders aantrekkelijker om toe te treden tot de Nederlandse markt. Ook wordt ingezet op een betere vraagbundeling en vraagarticulatie en het verbeteren van het inkoopproces.

Vraag 11

Welke andere lessen trekt u uit dit incident voor de bredere digitalisering van de zorg, met name op het gebied van digitale autonomie, en hoe worden deze lessen vertaald naar concreet beleid?

Digitale veiligheid is nooit voor honderd procent te garanderen en dit soort aanvallen zijn nooit helemaal te voorkomen. Wat we wel gezamenlijk kunnen doen, is de risico’s zoveel mogelijk beperken en ervoor zorgen dat eventueel misbruik snel wordt gesignaleerd en doeltreffend wordt aangepakt. Ik vind het belangrijk dat zorgaanbieders regie nemen over hun digitale autonomie. Bij digitale autonomie hoort een inzicht én keuzes jegens kwetsbaarheden in veiligheid, maar ook in eenzijdige afhankelijkheden van dominante marktpartijen. Dit vraagstuk is niet specifiek voor de zorg. Hier kan de zorg dus inspiratie putten uit stappen die in andere sectoren gezet worden. Zonder in contractuele verplichtingen te willen treden, zie ik het als mijn taak de zorgsector in deze bredere maatschappelijke beweging mee te krijgen.

Vraag 12

Kunt u de Kamer op korte termijn informeren over de uitkomsten van het onderzoek naar deze aanval, inclusief de implicaties voor het beleid rondom digitale weerbaarheid in de zorg?

In eerste instantie is ChipSoft zelf verantwoordelijk om te communiceren over de bevindingen van het forensisch onderzoek dat zij momenteel, in samenwerking met cybersecurity-experts, laten uitvoeren. Ik volg de zaak uiteraard nauwlettend. Mocht de rapportage van ChipSoft aanleiding zijn voor mij om vanuit mijn systeemverantwoordelijkheid aanvullende acties te ondernemen dan zal ik uw Kamer hierover informeren.

Vraag 1

Hoe beoordeelt u het besluit van het grootste Nederlandse pensioenfonds (ABP) om zich terug te trekken uit Palantir vanwege zorgen over mensenrechten en ethisch verantwoord investeren?1

Vraag 2

Deelt u de zorg dat afhankelijkheid van buitenlandse technologiebedrijven zoals Palantir de digitale soevereiniteit van Nederland kan ondermijnen? Zo nee, waarom niet?

Vraag 3

Kunt u uiteenzetten waar binnen de overheid de diensten en producten van Palantir worden gebruikt en waarvoor deze worden ingezet? Zo nee, waarom niet?

Vraag 4

Hoe beoordeelt u het gebruikmaken door Nederlandse (semi-)overheidsorganisaties van technologie van bedrijven zoals Palantir, waarover ernstige zorgen bestaan over betrokkenheid bij mensenrechtenschendingen? En op welke gronden wordt dit beoordeeld?

Vraag 5

Welke ethische kaders hanteert het kabinet bij de inkoop en inzet van data-analyse- en AI-systemen van commerciële partijen zoals Palantir, en hoe worden deze kaders in de praktijk toegepast en gehandhaafd?

Vraag 6

Welke concrete waarborgen, zoals toezicht, impact assessments en transparantiemechanismen, worden ingezet om te voorkomen dat het gebruik van dergelijke technologie leidt tot discriminatie, profilering of schending van privacyrechten?

Vraag 7

Bent u bereid om aanvullende richtlijnen of toetsingskaders te ontwikkelen voor samenwerking met technologiebedrijven die actief zijn in veiligheids- en surveillancedomeinen, die de digitale soevereiniteit ten goede komen? Zo nee, waarom niet?

Vraag 8

Bent u bereid om, in navolging van het besluit van ABP, voortaan expliciet en vooraf te toetsen of samenwerkingen met technologiebedrijven zoals Palantir verenigbaar zijn met Nederlandse en Europese normen, en deze toets openbaar te maken? Zo nee, waarom niet?

Vraag 9

Zou u deze vragen afzonderlijk van elkaar kunnen beantwoorden?

Vraag 1

Heeft u kennisgenomen van het artikel «Palantir CEO Makes Shocking Confession on Disrupting Democratic Power» van The New Republic?1

Vraag 2

Hoe beoordeelt u het gegeven in het artikel dat het bedrijf Palantir doelbewust inzet op discriminerende aspecten van hun technologie waarmee democratische verhoudingen worden verslechterd?

Vraag 3

Welke rol spelen bedrijven als Palantir Technologies momenteel in Nederlandse overheidsprocessen, bijvoorbeeld op het gebied van data-analyse, veiligheid of publieke dienstverlening?

Vraag 4

In hoeverre acht het kabinet het wenselijk dat technologiebedrijven die nauw samenwerken met overheden of veiligheidsdiensten ook uitgesproken politieke visies hebben over de werking van democratieën?

Vraag 5

Hoe is er in de aanbesteding van de software van Palantir nagedacht over de impact van deze samenwerking op de democratie en maatschappij?

Vraag 6

In referentie naar de aangenomen motie van het lid Six Dijkstra c.s. over het onafhankelijk maken van Palantir, wat is de status van de uitvoering van de drie gevraagde actielijnen uit deze motie2?

Vraag 7

Kunt u een plan aanleveren om de verschillende functionaliteiten van Palantir waar de Nederlandse overheid gebruik van maakt om te zetten naar volwaardige alternatieven, en welke EU-bedrijven dit kunnen leveren? Zo ja, kan er ook een overzicht gemaakt worden welke EU-bedrijven deze functionaliteiten kunnen leveren, en kunt u de Kamer dit doen toekomen?

Vraag 8

Is het kabinet bereid, als de benodigde capaciteiten nog niet op de Europese markt beschikbaar zijn, om te verkennen of de talenten binnen JIVC (Joint Informatievoorziening Commando) benut kunnen worden om de benodigde capaciteiten zelf te ontwikkelen, al dan niet in samenwerking met het Nederlandse of Europese bedrijfsleven?

Vraag 9

Is het kabinet bereid te onderzoeken of aanvullende transparantie- of governance-eisen nodig zijn voor technologiebedrijven die AI-systemen leveren aan overheden, zeker wanneer deze bedrijven ook actief zijn in defensie- en veiligheidssectoren?

Vraag 10

Kunt u deze vragen afzonderlijk van elkaar beantwoorden?

Vraag 1

Bent u bekend met het bericht dat telecomprovider Odido zonder medeweten van klanten MAC-adressen en apparaatnamen uit consumentenrouters heeft doorgestuurd naar een Amerikaans AI-bedrijf?1

Ja.

Vraag 2

Kunt u toelichten in hoeverre MAC-adressen en apparaatnamen volgens de Algemene verordening gegevensbescherming (AVG) als persoonsgegevens kunnen worden beschouwd?

Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon kan een persoonsgegeven zijn (artikel 4, eerste lid, van de Algemene Verordening Gegevensbescherming, AVG). Ook een MAC-adres of een apparaatnaam kan als persoonsgegeven worden beschouwd.

Vraag 3

Hoe beoordeelt u de privacyrisico’s van het verzamelen en delen van deze gegevens, omdat daarmee mogelijk ook huishoudens kunnen worden herkend of gevolgd?

Het is van belang dat persoonsgegevens worden verwerkt op een wijze die rechtmatig, behoorlijk en transparant is. Een verwerking is bijvoorbeeld rechtmatig, als er toestemming voor is gegeven, een gerechtvaardigd belang is of als de verwerking noodzakelijk is voor de uitvoering van een overeenkomst. Het is niet aan het kabinet binnen het stelsel van de AVG om in te gaan op individuele gevallen, maar in eerste instantie aan de Autoriteit Persoonsgegevens (AP). De taken en bevoegdheden om op te treden tegen overtredingen zijn vastgelegd in de AVG. De AP kan daartoe handhavend optreden, advies verstrekken en klachten behandelen over een inbreuk op de bescherming van persoonsgegevens. Zij toetst of sprake is van strijdigheid met de Europese gegevensbeschermingsregels. De AP is op de hoogte van de genoemde berichtgeving over Odido.

Vraag 4

Hoe beoordeelt u het feit dat deze gegevens naar een Amerikaans AI-bedrijf zijn doorgestuurd?

Doorgifte van persoonsgegevens naar een bedrijf dat buiten de Europese Economische Ruimte (EER) is gevestigd is op grond van de AVG alleen toegestaan onder voorwaarden. Persoonsgegevens mogen alleen buiten de EER worden verwerkt in overeenstemming met de voorwaarden voor dergelijke doorgiften die zijn vastgelegd in hoofdstuk V van de AVG. Bijvoorbeeld als de Europese Commissie een adequaatheidsbesluit heeft genomen of dat er door het bedrijf passende waarborgen zijn genomen. Of in deze casus wel of geen grondslag was voor het al dan niet delen van deze gegevens buiten de EER, evenals de vraag of de waarborgen van hoofdstuk V van de AVG in acht zijn genomen, is niet aan het kabinet om te beoordelen, maar aan de toezichthouder. De AP is op de hoogte van de genoemde berichtgeving over Odido.

Vraag 5

Deelt u de opvatting van de Autoriteit Persoonsgegevens dat MAC-adressen kunnen worden beschouwd als persoonsgegevens? Zo ja, welke eisen gelden voor het verzamelen en delen van deze gegevens door telecomproviders?

Ja. Zie het antwoord op vraag 2. De AVG geeft algemene regels voor de verwerking van persoonsgegevens. Daarnaast stelt de Telecommunicatiewet specifieke regels voor telecomaanbieders.

Vraag 6

Welke risico’s ziet u voor de privacy en veiligheid van burgers wanneer grote hoeveelheden metadata over wifi-netwerken en apparaten worden verzameld en mogelijk gecombineerd met andere datasets?

Dat hangt af van de omstandigheden van het geval. Een risico dat volgt uit het niet naleven van de AVG is in ieder geval dat de betrokkenen hun rechten niet (volledig) kunnen uitoefenen. Denk hierbij aan het inzien, corrigeren, of verwijderen van hun eigen persoonsgegevens.

Vraag 7

Is de Autoriteit Persoonsgegevens betrokken bij deze kwestie en wordt onderzocht of Odido de privacyregels heeft nageleefd?

De AP is op de hoogte van de genoemde berichtgeving over Odido. Het is aan de AP om opheldering te vragen aan Odido.

Vraag 8

Welke stappen verwacht u van Odido richting klanten, bijvoorbeeld om hen te informeren over welke gegevens zijn gedeeld en welke maatregelen worden genomen om dit in de toekomst te voorkomen?

Dit is niet aan het kabinet, maar in eerste instantie aan de AP. De AP toetst of sprake is van strijdigheid met de Europese gegevensbeschermingsregels. In zijn algemeenheid hangt het van meerdere factoren af. Onder andere de vraag of er een grondslag is voor het verwerken van deze gegevens en, indien er sprake is van doorgifte buiten de EER, of de waarborgen van de AVG in acht zijn genomen.

Vraag 9

Ziet u aanleiding om strengere eisen te stellen aan telecomproviders die AI-diensten gebruiken, zodat gegevens van gebruikers beter worden beschermd en transparanter wordt omgegaan met dataverzameling?

Nee. De AVG geeft duidelijke regels voor de bescherming van persoonsgegevens. Daarnaast stelt de Telecommunicatiewet specifieke regels voor telecomaanbieders. Ook de AI-verordening kent een duidelijke set van regels. Er is wel aanleiding om het gesprek te voeren met het veld, waaronder telecomaanbieders, over de bescherming van persoonsgegevens in de praktijk. Vervolgens zal dit betrokken worden bij het voornemen om de toepassing van de AVG in Nederland tegen het licht te houden.

Vraag 10

Kunt u de vragen afzonderlijk beantwoorden en dit doen voor 23 maart 2026 vanwege het wetgevingsoverleg over de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten?

Dat is helaas niet gelukt.

Vraag 1

Bent u bekend met het bericht van Nieuwsuur waarin wordt gesteld dat miljoenen euro’s aan subsidiegeld voor de stichting ECP terechtkomen bij een bedrijf waarvan een aantal directeuren van die stichting mede-eigenaar zijn?1

Ja, ik ben ermee bekend.

Vraag 2

Hoe beoordeelt u de gang van zaken rond de subsidieverstrekking aan stichting ECP?

In mijn antwoorden op de vragen van de Tweede Kamer naar aanleiding van het schriftelijk overleg2 dat ik gelijktijdig aan uw Kamer zend, ga ik dieper in op deze vraag. Op mijn rol als subsidieverstrekker ga ik in het antwoord op de vraag van de fractie van GroenLinks-PvdA (vraag 16) in. In het antwoord op vraag 24 van de CDA-fractie geef ik aan dat de subsidierelatie in 2023 is geëvalueerd, en welke stappen ik na die evaluatie heb genomen.

Vraag 3

Hoe reflecteert u op de rol en uw verantwoordelijkheid hierin?

In het antwoord op de vraag van de fractie van GroenLinks-PvdA (vraag 16) in het genoemde schriftelijk overleg ga ik nader in op de rol van EZK als subsidieverstrekker.

Vraag 4

Hoe heeft deze situatie kunnen ontstaan en waarom is de Kamer hierover niet eerder geïnformeerd?

In het antwoord op eerdergenoemde vraag 16 is aangegeven dat de overeenkomst tussen ECP en LunaVia in 2023 is beoordeeld door externe advocaten op verzoek van het ECP-bestuur, wat voor EZK geen aanleiding gaf om de Kamer hierover te informeren of andere stappen te ondernemen.

Vraag 5

Welke maatregelen worden naar aanleiding van deze situatie genomen? Hoe wordt voorkomen dat zich in de toekomst vergelijkbare gevallen voordoen?

In het antwoord op de vraag van GL-PvdA (vraag 16 in het genoemde schriftelijk overleg ga ik hier dieper op in.

Vraag 6

Deelt u de opvatting dat activiteiten die structureel met publieke middelen worden gefinancierd in beginsel via een open en transparante aanbestedingsprocedure zouden moeten plaatsvinden, zodat voor alle partijen dezelfde regels gelden en meerdere organisaties kunnen meedingen?

Ik heb mij te houden aan de geldende subsidie- en aanbestedingsregels. Elk jaar maak ik de afweging of de activiteiten van ECP passen binnen de wettelijke kaders van een maatwerksubsidie, of het eventueel aanbesteden van (onderdelen van) de activiteit. Dit is ook beschreven in het antwoord op de vraag van uw fractie (vraag 3) in het genoemde schriftelijk overleg.

Vraag 7

Bent u bereid te bevorderen dat de activiteiten die in opdracht van stichting ECP worden uitgevoerd en structureel met publieke middelen worden bekostigd, in de toekomst geheel of gedeeltelijk via een aanbesteding worden georganiseerd? Zo nee, waarom niet?

In mijn antwoord op vraag 16 van GL-PvdA in het genoemde schriftelijk overleg heb ik toegelicht hoe ik hier als subsidieverstrekker tot nu mee ben omgegaan. Ook ga ik in op de gesprekken die ik heb met het ECP-bestuur over mogelijk aanpassingen in hun governance, ook op dit punt.

Vraag 8

Kunt u deze vragen één voor één beantwoorden?

Ja. Voor de beantwoording wil ik wel doorverwijzen naar mijn antwoorden op de vragen van de Tweede Kamer naar aanleiding van het genoemde schriftelijk overleg.

Vraag 1

Bent u bekend met het bericht: «Onderzoek naar Amerikaanse cloud-risico’s door Ministerie van overheidswebsite verwijderd» (De Volkskrant, 5 maart 2026)?

Ja.

Vraag 2

Kunt u verklaren waarom het onderzoek naar de risico’s van de Amazon «European Sovereign Cloud» tijdelijk offline is gehaald?1

Vanwege onduidelijkheden in de interpretatie is de publicatie tijdelijk teruggenomen voor verduidelijking in het begeleidende bericht en daarna opnieuw geplaatst; de inhoud van het rapport is geheel ongewijzigd.

Vraag 3

Wat is uw reactie op het rapport?

Het onderzoeksrapport dat SLM heeft laten opstellen door het advocatenkantoor Greenberg Traurig bevat een objectieve juridische beoordeling van de AWS ESC ten aanzien van de soevereiniteit op data en soevereiniteit op de beschikbaarheid van het systeem.
Het onderzoek heeft samengevat de volgende bevindingen opgeleverd:
De conclusie van Greenberg Traurig dat de AWS European Sovereign Cloud compatibel kan zijn met de visie digitale autonomie en soevereiniteit, heeft alleen betrekking op een deel van de eisen ten aanzien van Nederlandse of Europese jurisdictie, maar niet op de overige autonomie doelstellingen van de Visie.

Vraag 4

Wat is het doel geweest van het onderzoek van GreenbergTraurig? Wat wordt er gedaan met de uitkomsten?

Binnen de scope en mandaat van SLM Microsoft, Google Cloud en AWS valt het onderzoeken van het aanbod van de genoemde partijen. Zo voert SLM onder meer Data Protection Impact Assessments (DPIA’s) uit op diensten van deze partijen.
Gezien het beschikbaar zijn van de AWS European Sovereign Cloud (AWS ESC) per 15–01 jl. is dit aanbod in opdracht van SLM onderzocht.
Het onderzoeksrapport dat SLM heeft laten opstellen door het advocatenkantoor Greenberg Traurig bevat een objectieve juridische beoordeling van de AWS ESC ten aanzien van de soevereiniteit op data en soevereiniteit op de beschikbaarheid van het systeem.
Een belangrijke disclaimer is dat dit geen technisch onderzoek is naar de doeltreffendheid van technische en/of organisatorische maatregelen van AWS. Ook betreft dit geen beleidsadvies of een compliance-beoordeling.

Vraag 5

Hoe reageert u op de kritiek dat het rapport eenzijdig is geschreven? Ziet u aanleiding om de risico’s nader te onderzoeken?

Het rapport beoogt een objectieve juridische beoordeling te geven van de juridische onderzoeksvragen die in het rapport geformuleerd zijn.
Momenteel is er geen aanleiding om de risico’s nader te onderzoeken. Nu wordt prioriteit gegeven aan onderzoek en contractering van EU leveranciers (momenteel STACKITt, ESET en OVH).

Vraag 6

Hoe leest u de conclusies van het rapport, waaruit blijkt dat de Amerikaanse overheid via de Amazon «European Sovereign Cloud» nog steeds toegang kan krijgen tot Nederlandse data?

Zie beantwoording vraag 3.

Vraag 7

Kunt u bevestigen dat het afnemen van de Amazon «European Sovereign Cloud» en soortgelijke initiatieven van Amerikaanse techgiganten niet bijdraagt aan het digitaal autonoom maken van Nederland? Wordt het afbouwen van het gebruik hiervan onderdeel van het kabinetsbeleid?

Zie antwoord op vraag 3 (voor eerste deelvraag).
Het kabinetsbeleid is er, middels de Nederlandse Digitalisering Strategie (NDS), op gericht een soevereine overheidscloud te realiseren, waar mogelijk en passend in samenwerking met de Nederlandse of Europese IT industrie.
In algemene zin is de inzet van het kabinet erop gericht om eenzijdige afhankelijkheden van derde landen af te bouwen en zoveel mogelijk te diversifiëren, ook op digitaal vlak.

Vraag 8

Hebben ministeries, uitvoeringsorganisaties, zbo’s of andere overheidsdiensten reeds plannen om gebruik te maken van de Amazon «European Sovereign Cloud» of soortgelijke initiatieven? Zo ja, kunt u een overzicht geven van organisaties die van plan zijn om de dienst af te nemen of dit al hebben gedaan?

Overheidsorganisaties zijn verantwoordelijk voor hun eigen gebruik van clouddiensten. Op dit moment is mij niet bekend of er overheidsorganisaties voornemens zijn deze clouddienst te gaan gebruiken.

Vraag 9

Zijn er nog andere risicoanalyses of onderzoeken uitgevoerd naar de gevolgen voor de digitale autonomie bij het afnemen van de Amazon «Sovereign European Cloud» of soortgelijke initiatieven? Zo ja, kunt u deze aan de Kamer doen toekomen?

In samenwerking met een werkgroep van het CIO Platform Nederland, waaraan ook een aantal overheid CIO’s deelnemen, is er een inventarisatie gedaan naar een aantal cloud diensten die als «soevereine cloud» worden aangeboden.
Deze inventarisatie is nog niet afgerond en indien een rapport wordt opgesteld, kan het gedeeld worden met de Tweede Kamer.

Vraag 10

Kunt u deze vragen afzonderlijk en zo snel mogelijk beantwoorden?

De vragen zijn zo spoedig mogelijk beantwoord.

Vraag 1

Bent u bekend met het bericht van Reuters waarin wordt gesteld dat de Amerikaanse regering diplomaten instrueert om buitenlandse initiatieven op het gebied van datasoevereiniteit actief tegen te gaan?1

Ja.

Vraag 2

Hoe beoordeelt u deze instructie van de Amerikaanse regering in het licht van het belang dat Europa zelf zeggenschap houdt over waar en hoe gevoelige data van burgers, bedrijven en overheden wordt opgeslagen en verwerkt?

Voor het kabinet staat voorop dat Nederland en de EU soeverein zijn in het bepalen van hun eigen wet- en regelgeving, inclusief wetgeving op het gebied van Europese datasoevereiniteit, en dat aanpassing van regelgeving onder druk van derde landen niet mag gebeuren.
Wel zal de EU haar concurrentievermogen moeten vergroten en weerbaarder moeten worden, ook op digitaal vlak. In dat kader waardeert het kabinet de inspanningen die hiertoe op EU-niveau worden gedaan en kijkt het met interesse uit naar het aankomende Technology Sovereignty Package van de Europese Commissie, dat naar verwachting onder meer voorstellen bevat voor een Cloud & AI Development Act (CADA) en herziening van de Chips Act. Het kabinet gaat daarover t.z.t. graag in gesprek met uw Kamer. Ook de Agenda Digitale Open Strategische Autonomie van het kabinet past in de inzet om het concurrentievermogen en de weerbaarheid van de (digitale) economie te vergroten.
Tot slot is het van belang om met al onze bondgenoten, waaronder de VS, actief in gesprek te blijven.

Vraag 3

Is bij u bekend of Amerikaanse diplomaten richting Nederland of bij de Europese Commissie pogingen hebben ondernomen om beleid op het gebied van datasoevereiniteit te beïnvloeden, en zo ja, op welke wijze en in welke context?

Het is niet ongebruikelijk dat belanghebbenden – zoals overheden, bedrijven, onderzoeksinstellingen en andere belangengroepen – invloed proberen uit te oefenen op politieke besluitvormingsprocessen en daartoe hun zienswijzen delen. Dit geldt ook voor de VS. Uiteindelijk besluit het kabinet zelf welke zienswijzen het verwerkt in zijn standpuntbepaling. Specifiek naar aanleiding van de casus waarnaar in deze vragen wordt verwezen, is mij niet bekend dat hierop door Amerikaanse diplomaten actie is ondernomen.

Vraag 4

Welke gevolgen kan het afzwakken van beleid op het gebied van datasoevereiniteit hebben voor de bescherming van persoonsgegevens, de online veiligheid en de controle die burgers hebben over hun eigen data?

De Algemene Verordening Gegevensbescherming (AVG) geldt als hoeksteen van het EU beleid in de digitale ruimte. De AVG beschermt grondrechten en de fundamentele vrijheden van natuurlijke personen en met name hun recht op bescherming van persoonsgegevens. De online veiligheid wordt onder meer beschermd doordat verwerkingsverantwoordelijke organisaties niet meer gegevens mogen verwerken dan noodzakelijk is, en een passende beveiliging van persoonsgegevens dienen te waarborgen. De verwerkingsverantwoordelijke dient ervoor te zorgen dat de bescherming van het grondrecht niet wordt ondermijnd, ongeacht waar de gegevens zich bevinden. In lijn met de doelstellingen van de AVG, is het Nederlandse beleid op het vlak van datasoevereiniteit erop gericht de bescherming van het grondrecht zowel in EU-verband als bij internationale doorgiften te waarborgen.

Vraag 5

Ziet u hierin aanleiding om, samen met Europese partners, actiever in te zetten op het versterken van digitale soevereiniteit, onder meer door het bevorderen van Europese cloud- en data-infrastructuur?

Het kabinet onderschrijft in algemene zin de noodzaak om actief in te zetten op het versterken van onze digitale soevereiniteit, specifiek ten aanzien van het bevorderen van Europese cloud- en datainfrastructuur. In onder meer de kabinetsreactie op de initiatiefnota «Wolken aan de Horizon» van de leden Kathmann en Six Dijkstra heeft het kabinet erkend dat het vanwege de internationale aard van de problematiek op de cloudmarkt essentieel is om deze problemen waar mogelijk in Europees verband beleidsmatig aan te pakken. In de Kamerbrief over Europese cloud-alternatieven van maart 2025 is uw Kamer geïnformeerd over de lopende initiatieven die onderdeel zijn van de geïntegreerde Europese aanpak om Europese cloud-alternatieven te stimuleren en digitale afhankelijkheden af te bouwen.
Voorts heeft het kabinet signalen ontvangen dat de Commissie in de herziening van de aanbestedingsrichtlijnen overweegt om een Europees voorkeursprincipe bij aanbesteden voor strategische sectoren op te nemen. Daarbij kan ook gekeken worden naar de cloudsector. Het kabinet is terughoudend met de inzet van een dergelijk principe en is van mening dat per sector zorgvuldig en gericht moet worden afgewogen of de baten van de inzet van een dergelijk principe opwegen tegen de kosten. Het kabinet is tevens van mening dat het instrument in beginsel enkel moet worden ingezet om de weerbaarheid van de Unie te versterken en eventuele toepassing moet daarbij tijdelijk, doelmatig en proportioneel zijn. De toegang voor gelijkgestemde handelspartners moet hierin niet belemmerd worden. Een Europees voorkeursprincipe in aanbestedingen zou, samen met andere maatregelen, kunnen bijdragen aan het afbouwen van strategische afhankelijkheden.

Vraag 6

Ziet u daarnaast aanleiding om in Europees verband gezamenlijke uitgangspunten over datasoevereiniteit actiever uit te dragen en te verdedigen?

Het kabinet zet in op eenduidige afspraken en definities over soevereiniteit van cloud- en datainfrastructuur in Europees verband. Er bestaan op dit moment geen uniforme principes om te bepalen wat soevereiniteit in relatie tot cloud is. Als gevolg hiervan vermarkten aanbieders op dit moment uiteenlopende clouddiensten als «soeverein». Omdat er op dit moment geen regels zijn die voorschrijven in welke mate zelfverklaarde soevereine clouddienstverlening bescherming moet bieden tegen niet-Europese extraterritoriale wetgeving, is het in de praktijk mogelijk dat er clouddienstverlening op Europese bodem wordt aangeboden als «soeverein» terwijl deze onder specifieke omstandigheden verplicht is niet-Europese veiligheids- en opsporingsdiensten toegang te geven tot opgeslagen data.
Het kabinet zet zich er daarom actief voor in dat het voorstel van de Europese Commissie voor de CADA bepalingen bevat voor het vaststellen van gezamenlijke uitgangspunten voor cloud- en datasoevereiniteit. Dit biedt aanbieders duidelijkheid over de eisen waar ze aan moeten voldoen om een soevereine cloud propositie te mogen aanbieden, terwijl afnemers zekerheid hebben dat de dienstverlening daadwerkelijk het beschermingsniveau biedt dat ze wensen. Het wetsvoorstel voor de CADA wordt verwacht in het tweede kwartaal van 2026.
De inzet van het kabinet voor het realiseren van gedeelde, uniforme uitgangspunten voor cloud- en datasoevereiniteit vindt parallel plaats aan het streven onder de Nederlandse Digitaliseringsstrategie om een soevereine overheidscloud te ontwikkelen.

Vraag 1

Bent u bekend met het bericht van RTL waarin wordt gemeld dat bij telecomprovider Odido een grootschalig datalek heeft plaatsgevonden en dat hierbij, anders dan eerder door het bedrijf gecommuniceerd, ook burgerservicenummers (BSN) zijn gelekt?1

Ja

Vraag 2

Hoe beoordeelt u de ernst van het incident, in het bijzonder het lekken van BSN, vanuit het perspectief van de bescherming van fundamentele rechten van burgers en hoe ingrijpend beoordeelt u de impact op burgers?

De schaal van dit datalek, de hoeveelheid getroffen burgers en de soms gevoelige aard van de gelekte gegevens maken dit tot een bijzondere situatie. Het maakt duidelijk dat datalekken grote gevolgen kunnen hebben. Zonder iets te willen of kunnen zeggen over de oorzaken van het onderhavige datalek, maakt dit in meer algemene zin duidelijk dat een goede beveiliging van persoonsgegevens zoals vereist in de Algemene Verordening Gegevensbescherming (AVG) pure noodzaak is en een cruciaal onderdeel van de bedrijfsprocessen moet zijn. De gevraagde beoordeling van dit datalek is uiteindelijk aan de Autoriteit Persoonsgegevens (AP) en Rijksinspectie Digitale Infrastructuur (RDI) als onafhankelijke toezichthouders. Daarnaast doet de politie onder leiding van het Landelijk Parket een strafrechtelijk onderzoek naar de aanval en de daders.
De gelekte gegevens waaronder ook het BSN zijn niet direct bruikbaar voor fraudeurs om zelfstandig fraude op naam van gedupeerden te plegen. Criminelen gebruiken de gegevens vooral om phishingaanvallen uit te voeren en gedupeerden te verleiden om op een link te klikken of nog meer gegevens prijs te geven.
Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties adviseert niet om paspoorten of identiteitskaarten te vernieuwen. Er zijn alleen paspoortnummers gelekt. Alleen met die informatie kunnen criminelen niet zelfstandig fraude plegen. Zij kunnen die informatie echter wel gebruiken voor bijvoorbeeld gerichte phishingaanvallen. Met behulp van de gestolen informatie proberen ze dan om zo betrouwbaar mogelijk te lijken en in te spelen op het gevoel van burgers met als doel om meer informatie te ontfutselen of burgers te verleiden op een link, button of QR-code te klikken.

Vraag 3

In hoeverre acht u daarbij het recht op privacy en gegevensbescherming geschonden, nu (oud-)klanten van Odido buiten hun eigen schuld risico lopen op misbruik van hun persoonsgegevens?

In algemene zin is een datalek een inbreuk in verband met het recht op persoonsgegevens. Of, en zo ja in hoeverre, de privacy en het recht op gegevensbescherming van betrokken in deze concrete zaak zijn geschonden, is niet aan het kabinet om te beoordelen. Dit is aan de Autoriteit Persoonsgegevens (AP) en de Rijksinspectie Digitale Infrastructuur (RDI) als toezichthouders of in voorkomende gevallen aan de rechter om te beoordelen.

Vraag 4

Hoe beoordeelt u het advies aan Odido om geen losgeld te betalen, gelet op de huidige situatie waarin de hackersgroep Shinyhunters is overgegaan tot publicatie van gestolen persoonsgegevens, met mogelijke ernstige gevolgen voor de (oud-)klanten van Odido?2

Het besluit van Odido om geen losgeld te betalen sluit aan bij de visie van het kabinet. Slachtoffer worden van dergelijke afperspraktijken kan veel impact hebben. De schade kan enorm oplopen en plaatst een getroffen bedrijf in een moeilijke positie, ook richting hun klanten. Zeker in dit geval waar het aantal gestolen gegevens zo omvangrijk is. De uiteindelijke afweging ligt bij de getroffen organisatie, maar het dringende advies van de overheid blijft om geen losgeld te betalen. Betaling van losgeld biedt geen garantie dat criminelen systemen herstellen, gestolen data verwijderen of ervan afzien deze openbaar te maken of door te verkopen aan andere criminelen. Daarnaast houdt het betalen van losgeld het verdienmodel van cybercriminelen in stand. De opbrengsten worden veelal ingezet voor verdere, geavanceerde cyberaanvallen, waarmee nieuwe slachtoffers worden gemaakt. Dit kan bovendien nieuwe aanvallen op Nederlandse organisaties uitlokken.

Vraag 5

Kunt u aangeven welke opsporingsprioriteit wordt gegeven aan het strafrechtelijk onderzoek dat is gestart door het Openbaar Ministerie en ligt daarbij ook een rol voor de digitale recherche?

Het OM gaat over de opsporingsprioriteit. De politie is onder gezag van het Openbaar Ministerie een opsporingsonderzoek gestart. Een team van het Team High Tech Crime, dat gespecialiseerd is in dit soort cybercriminaliteit, doet onderzoek naar het incident.

Vraag 6

Welke rol ziet u bij het ondersteunen en informeren van burgers van wie persoonsgegevens door cybercriminelen zijn gepubliceerd en acht u het huidige instrumentarium hiervoor toereikend?

De overheid geeft praktische tips om de digitale weerbaarheid van burgers te vergroten. Zo hebben burgers de mogelijkheid om websites zoals veiliginternetten.nl en die van het NCSC te raadplegen waar veel informatie en adviezen worden gegeven over hoe ze zich online kunnen beschermen en over de basisprincipes van digitale weerbaarheid. Via Centraal Meldpunt Identiteitsfraude (CMI) kan er melding worden gedaan van fraude, hier is ook een specifieke pagina over de Odido hack. Daarnaast zal het kabinet met een reactie komen in lijn met de gedane toezegging door de Staatssecretaris van Economische Zaken – digitale economie en soevereiniteit en de aangenomen motie van het lid Rajokowski die opriep tot een duidelijk handelingskader voor slachtoffers van datalekken.3

Vraag 7

Ziet u aanleiding om het strafrechtelijk kader of de opsporingscapaciteit op het terrein van hacks en digitale afpersing te versterken, bijvoorbeeld door intensivering van de digitale recherche van de politie of door aanpassing van wet- en regelgeving?

Door het Ministerie van Justitie en Veiligheid worden met de politie en het OM worden gesprekken gevoerd over wat er nodig is om de aanpak van online criminaliteit een stap verder te brengen, daarin zullen de recente incidenten zoals de hacks bij Clinical Diagnostics en Odido worden meegenomen.
In het coalitieakkoord is verder aangekondigd dat de strafmaxima voor zware cyberdelicten zullen worden verhoogd. Bij de nadere beleidsuitwerking hiervan zal ook aandacht worden besteed aan deze recente incidenten.

Vraag 8

Kunt u de vragen afzonderlijk beantwoorden en dit doen voorafgaand aan de behandeling van de Cyberbeveiligingswet?

Dit is helaas niet gelukt.

Vraag 1

Bent u bekend met het bericht van de NOS over de cyberaanval bij Odido waarbij gegevens van circa 6,2 miljoen accounts zijn buitgemaakt door criminelen?1

Ja.

Vraag 2

Hoe beoordeelt u de omvang en ernst van dit datalek, mede gezien het feit dat ook gevoelige persoonsgegevens, zoals identiteitsdocumentnummers en rekeningnummers, mogelijk zijn gelekt?

De schaal van dit datalek, de hoeveelheid getroffen burgers en de soms gevoelige aard van de gelekte persoonsgegevens maken dit tot een bijzondere situatie. Het maakt duidelijk dat datalekken grote gevolgen kunnen hebben. Zonder iets te willen of kunnen zeggen over de oorzaken van het onderhavige datalek, maakt dit in meer algemene zin duidelijk dat een goede bescherming van persoonsgegevens zoals onder meer vereist in de Algemene Verordening Gegevensbescherming (AVG) noodzakelijk is en een integraal onderdeel moet zijn van primaire bedrijfsprocessen. De gevraagde beoordeling van dit datalek is uiteindelijk aan de Autoriteit Persoonsgegevens (AP) en Rijksinspectie Digitale Infrastructuur (RDI) als onafhankelijke toezichthouders. Daarnaast doet de politie onder leiding van het Landelijk Parket onderzoek naar de aanval en de daders.

Vraag 3

In hoeverre heeft deze cyberaanval gevolgen voor de digitale veiligheid en weerbaarheid van Nederland, gezien de maatschappelijke rol van telecomproviders?

De AP heeft laten weten geen informatie te verstrekken over individuele zaken. In zijn algemeenheid houdt de AP bij omvangrijke datalekken onder meer toezicht op de naleving van de meldplicht datalekken en onderzoekt daarbij ook de beveiliging ten tijde van het lek en genomen vervolgstappen. Maar ook andere aspecten die specifiek zijn voor de datalekzaak kunnen door de AP worden onderzocht. Daarbij wordt ook rekening gehouden met signalen uit openbare bronnen en signalen uit klachten die de AP heeft ontvangen.
De AP beschikt over voldoende handhavende bevoegdheden vanuit de AVG om in te grijpen wanneer een (voorgenomen) verwerking van persoonsgegevens niet rechtmatig, behoorlijk en/of transparant plaatsvindt. Bijvoorbeeld door het bevestigen van normen, het geven van waarschuwingen, stilleggen van verwerkingen of het opleggen van boetes.

Vraag 4

Hoe beoordeelt u het risico dat de bij Odido gestolen persoonsgegevens in de toekomst alsnog openbaar worden gemaakt, en welke gevolgen kan dit hebben voor de veiligheid en privacy van betrokken burgers?

De bij Odido gestolen persoonsgegevens zijn inmiddels gepubliceerd.2 In algemene zin geldt dat een dergelijke grootschalige publicatie in ieder geval het risico verhoogt op diverse vormen van oplichting en fraude zoals gerichte phishing en social engineering. Onder andere Odido, Veiliginternetten.nl, de politie en de AP communiceren naar aanleiding van het datalek actief waarvoor gestolen gegevens kunnen worden misbruikt en geven tips om gevolgen van het datalek zoveel mogelijk tegen te gaan.3

Vraag 5

Heeft Odido het datalek tijdig gemeld bij de Autoriteit Persoonsgegevens en andere relevante instanties, en bent u op de hoogte van eventuele lopende onderzoeken?

De AP heeft laten weten dat Odido het datalek tijdig heeft gemeld bij de AP. Odido geeft aan daarnaast proactief relevante overheidsinstanties, waaronder de RDI, te hebben geïnformeerd. De RDI is op basis van de verkregen informatie mogelijke vervolgstappen aan het onderzoeken. De AP meldt op haar website dat zij aanleiding ziet om tot formeel onderzoek over te gaan.4

Vraag 6

Is er volgens uw inschatting sprake van nalatigheid of onvoldoende naleving van de Europese privacy- en beveiligingsverplichtingen, zoals de Algemene verordening gegevensbescherming (AVG), door Odido?

Het is niet aan het kabinet om dit te beoordelen. Dit is in eerste instantie aan de AP. De taken en bevoegdheden om op te treden tegen overtredingen zijn vastgelegd in de AVG. De AP kan daartoe handhaven, advies verstrekken, samenwerken met andere toezichthoudende autoriteiten en klachten behandelen over een inbreuk op de bescherming van persoonsgegevens. De AP toetst daarnaast of sprake is van strijdigheid met de Europese gegevensbeschermingsregels.

Vraag 7

Welke risico’s lopen getroffen klanten en acht u de door Odido genomen maatregelen voldoende om deze risico’s te beperken?

Zie het antwoord op de vraag 4. De vraag of Odido voldoende maatregelen heeft genomen om te voldoen aan de zorgplicht uit de Telecommunicatiewet en de AVG is aan de toezichthouders om te beoordelen.

Vraag 8

Welke eisen worden momenteel gesteld aan telecomproviders ten aanzien van cyberbeveiliging en gegevensbescherming en voldoen deze volgens u nog aan de huidige dreigingscontext?

Het toepasselijke normenkader stelt de strikte vereisten die noodzakelijk zijn voor een goede bescherming in een steeds veranderende dreigingscontext. Zoals aangegeven in het antwoord op vraag 3 valt Odido onder de zorgplicht van de Telecommunicatiewet. Onder de zorgplicht dienen aanbieders passende technische en organisatorische maatregelen te nemen om risico’s voor de beveiliging van hun netwerken of diensten te beheersen. Dit moet zorgen voor een veiligheidsniveau dat is afgestemd op risico's die zich voordoen. De RDI ziet toe op de naleving van de vereisten van deze zorgplicht.
Daarnaast zijn telecomproviders gebonden aan de AVG, waaronder de beginselen van behoorlijke gegevensverwerking. Het beginsel van dataminimalisatie houdt bijvoorbeeld in dat organisaties alleen persoonsgegevens mogen verzamelen en verwerken die strikt noodzakelijk zijn voor een vooraf bepaald, specifiek doel. Op verwerkingsverantwoordelijken rust daarnaast de verplichting om passende technische en organisatorische maatregelen te treffen om persoonsgegevens te beveiligen. Deze beveiligingsmaatregelen dienen een op de risico’s voor de rechten en vrijheden van personen afgestemd beveiligingsniveau te waarborgen en rekening te houden met de stand van de techniek, alsook met de aard, omvang, context en doeleinden van de verwerking. Het waarborgen van passend bewustzijn van de beveiligingsrisico's bij personen die toegang hebben tot de te verwerken gegevens is daarbij van belang. Verwerkingsverantwoordelijken dienen hun beveiligingsmaatregelen doorlopend te evalueren en zo nodig aan te passen aan nieuwe risico’s, waaronder nieuwe cyberdreigingen. Op grond van de AVG fungeert de Functionaris gegevensbescherming (FG) als onafhankelijk adviseur en ziet toe op de naleving van het gegevensbeschermingsrecht waaronder de te nemen maatregelen.
Het Nationaal Cyber Security Centrum staat rond actuele kwetsbaarheden en cyberdreigingen in nauw contact met partners binnen de telecomsector en werkt onder meer samen via het telecomgerichte Information Sharing and Analysis Center (ISAC).
EZK werkt samen met de telecomoperators in het Nationaal Continuïteit Overleg Telecom (NCOT) om gezamenlijk aan de continuïteit van de telecomdienstverlening te werken in het kader van de huidige dreiging.

Vraag 9

Ziet u aanleiding om aanvullende eisen of toezichtmaatregelen te treffen richting telecomproviders om grootschalige datalekken te voorkomen?

Op dit moment ziet de Staatssecretaris van Economische Zaken geen aanleiding om aanvullende eisen te stellen richting telecomproviders om grootschalige datalekken te voorkomen. Zoals uiteengezet in het antwoord op vraag 8 zijn onder de toepasselijke wet- en regelgeving, waaronder de Telecomwet en de AVG, organisaties zelf verantwoordelijk voor het nemen van passende maatregelen om, mede gelet op de huidige dreigingscontext, (grootschalige) datalekken te voorkomen. Het is aan de toezichthouders om daarop toe te zien en in dit verband de nodige toezichtmaatregelen te treffen. Dit is niet aan mij als bewindspersoon.

Vraag 10

Welke rol ziet u voor de overheid bij het ondersteunen van bedrijven en burgers bij het beperken van schade na grootschalige datalekken?

De AP ziet als onafhankelijke toezichthouder toe op de naleving van de AVG en kan handhavend optreden wanneer organisaties tekortschieten. Daarnaast heeft de toezichthouder een belangrijke rol in voorlichting. Door het geven van uitleg, richtsnoeren en praktische handvatten ondersteunt de toezichthouder organisaties en burgers bij de toepassing van de AVG en het uitoefenen van hun rechten.
Ook Veiliginternetten.nl geeft adviezen in deze casus. Dit is een publiek-private website om neutrale informatie over digitale veiligheid te verstrekken aan burgers. Het Nationaal Cyber Security Centrum (NCSC) deelt via openbare kanalen diverse adviezen en richtlijnen over cybersecurity, zoals beveiligingsadviezen, dreigingsinformatie en maatregelen om digitale incidenten te voorkomen of te beperken. Het Ministerie van EZK verstrekt jaarlijks via Mijn Cyberweerbare Zaak subsidie aan kleinere mkb’ers ter versterking van hun digitale weerbaarheid.
Mensen die vermoeden dat ze slachtoffer zijn geworden van diefstal van hun gegevens kunnen op de site van de politie controleren of hun data in handen is gevallen van criminelen.

Vraag 11

Acht u de oproep van Odido aan klanten om «extra alert» te zijn voldoende, of ziet u een verantwoordelijkheid voor aanvullende beschermingsmaatregelen richting getroffen klanten?

Zoals uiteengezet in het antwoord op vraag 8, stelt het toepasselijke normenkader, in het bijzonder de AVG, de nodige strikte vereisten. De AP ziet toe op de naleving van dat kader.

Vraag 12

Bestaan er landelijke richtlijnen of protocollen voor ondersteuning van burgers die slachtoffer zijn van grootschalige datalekken waarbij identiteitsgegevens zijn buitgemaakt? Zo ja, worden deze in dit geval toegepast?

Het handelingskader voor slachtoffers van datalekken wordt vormgegeven door de AVG. De AVG verplicht verwerkingsverantwoordelijke organisaties om betrokkenen te informeren over een «hoog risico» datalek. De wijze waarop betrokkenen in lijn met de AVG dienen te worden geïnformeerd, wordt uitgewerkt in richtsnoeren van het Europees Comité voor gegevensbescherming (EDPB). Het is aan de AP om daarop toe te zien. Tevens heeft de AP op grond van de AVG de eigen wettelijke taak om voorlichting te geven aan burgers over hun rechten en handelingsmogelijkheden uit hoofde van de AVG bij datalekken. De website van de AP biedt een overzicht van mogelijkheden voor betrokkenen bij een datalek.
Daarnaast zal het kabinet met een reactie komen in lijn met de gedane toezegging door de Staatssecretaris van Digitale Economie en Soevereiniteit en de aangenomen motie van het lid Rajkowski die opriep voor een duidelijk handelingskader voor slachtoffers van datalekken en de gedane toezegging5.

Vraag 13

Op welke wijze houdt de Autoriteit Persoonsgegevens toezicht op de opvolging van dit incident, en beschikt de toezichthouder volgens u over voldoende bevoegdheden en capaciteit om effectief toezicht te houden bij grootschalige datalekken?

Vraag 14

Welke lessen trekt u uit dit incident voor het beleid richting de markt op het gebied van de weerbaarheid van organisaties die grote hoeveelheden persoonsgegevens verwerken?

Zie het antwoord op vraag 2.

Vraag 1

Heeft u kennisgenomen van het bericht «Elon Musks AI-chatbot Grok onder vuur door seksueel getinte beelden»?1

Ja.

Vraag 2

Bent u op de hoogte van het incident waarbij AI-chatbot Grok door gebruikers werd aangespoord om seksuele deepfakes van minderjarige meisjes te genereren, en dat deze beelden tot wel 12 uur online hebben gestaan voordat ze werden verwijderd? Zo ja, hoe beoordeelt u dit incident in het licht van de Digital Services Act (DSA) verplichtingen ten aanzien van bescherming van minderjarigen?

Ja, daarvan zijn we op de hoogte. Het bericht dat zoveel mensen slachtoffer zijn geworden vinden wij zeer zorgwekkend. De slachtoffers zijn met name vrouwen en minderjarigen, maar deepnudes kunnen in potentie van iedereen gemaakt worden. De impact en de gevolgen van deepnudes voor slachtoffers en hun omgeving zijn enorm, mede omdat het maken van deepnudes steeds geavanceerder wordt en daarmee deepnudes steeds realistischer worden. Daarnaast zijn deze beelden ook schadelijk voor de samenleving, omdat iedereen, specifiek jongeren, ze online tegen kunnen komen. Het vervaardigen van seksueel beeldmateriaal van minderjarigen, of van personen zonder toestemming, is strafbaar, ook als het materiaal met AI is gegenereerd.
Als aangewezen zeer groot online platform zal X moeten voldoen aan de verplichtingen uit de Digitale Dienstenverordening (DSA). In die hoedanigheid is X verplicht om de systeemrisico’s die kunnen voortvloeien uit de verspreiding van illegale content, zoals illegale deepnudes, te identificeren en te beperken. Ook moeten zij het gebruikers mogelijk maken om illegale inhoud op eenvoudige wijze te melden, welke meldingen zij op een tijdige, zorgvuldige, niet-willekeurige en objectieve wijze moeten beoordelen.
Het primaat van het DSA-toezicht op X als zeer groot online platform ligt bij de Europese Commissie (EC). Daarbij wordt zij ondersteund door de Ierse toezichthouder, als toezichthouder van de lidstaat waar X zijn hoofdvestiging heeft. De toezichthouders beoordelen niet of specifieke content illegaal is en leggen geen verwijderverzoeken of bevelen op aan platforms, maar controleren of bijvoorbeeld bovenstaande meldingsmechanismes van platforms voldoen aan de DSA en of het platform de melding netjes en op tijd onderzoekt en melder over de beslissing informeert. Op 26 januari werd bekend dat de EC een nieuw, officieel onderzoek is gestart naar (de functies van) Grok en X onder de DSA. In dit nieuwe onderzoek zal worden beoordeeld of X de risico’s in verband met de verspreiding van illegale inhoud, waaronder gemanipuleerde seksuele afbeeldingen en inhoud die kwalificeert als seksueel misbruik van kinderen, in verband met de uitrol van Grok in de EU naar behoren heeft beoordeeld en beperkt.

Vraag 3

Welke stappen onderneemt Nederland binnen de Raad en richting de Europese Commissie om ervoor te zorgen dat DSA-verplichtingen met betrekking tot bescherming van minderjarigen en voorkomen van AI-malafide content effectief worden nageleefd door grote platforms?

Op de DSA wordt toezicht gehouden door onafhankelijke toezichthouders en Nederland kan dienaangaande geen instructies geven. Wel kan Nederland signalen afgeven aan de EC of de Autoriteit Consument & Markt (ACM), de coördinerende toezichthouder op de DSA in Nederland, in het geval risico’s worden gezien die om aandacht vragen. Zo heeft Nederland de uitkomsten van de kinderrechtenimpactassessments met de EC gedeeld.

Vraag 4

Bent u op de hoogte van de lopende onderzoeken van meerdere landen (o.a. Frankrijk, Zweden, Australië) tegen X over de stroom aan deepfakes en seksueel expliciete AI-beelden? Zo ja, wat is de Nederlandse positie en rol hierin?

Ja, daarvan zijn wij op de hoogte. Het is mede aan de toezichthouder van de DSA, in dit geval de EC, om te beoordelen of X aan de wettelijke verplichtingen heeft voldaan. Daarnaast hebben wij vernomen dat Frankrijk een strafrechtelijk onderzoek is gestart.2 Nederland heeft in de lopende onderzoeken tegen X geen specifieke rol. Uiteraard volgen wij de ontwikkelingen met belangstelling.

Vraag 5

Onder DSA zijn grote platformen verplicht om duidelijke, gebruiksvriendelijke mechanismen voor het rapporteren van illegale content te hebben en deze snel te behandelen, hoe beoordeelt u de effectiviteit van de huidige mechanismen van X, mede gezien het feit dat sommige beelden pas na journalistieke publiciteit werden verwijderd?

Het niet adequaat en of snel handelen van een zeer groot online platform wordt gesanctioneerd in het derde lid van artikel 16 DSA. Dit artikel verduidelijkt dat een melding van illegale inhoud, conform de vereisten van dat artikel, leidt tot zogenaamde «daadwerkelijke kennis of bekendheid» van die illegale inhoud bij een hostingbedrijf of online platform. Zodra dat het geval is, moet een zeer groot online platform prompt handelen om die illegale inhoud te verwijderen of de toegang daartoe onmogelijk te maken. Doet een platform dat niet dan kunnen ze geen beroep doen op de vrijwaring van aansprakelijkheid uit artikel 6 van de verordening en zelfstandig aansprakelijk worden gesteld voor die illegale inhoud.
Het is aan de toezichthouder, in dit geval de EC, om te beoordelen of aan bovengenoemd kader is voldaan. De EC onderzoekt dit momenteel.

Vraag 6

Hoeveel meldingen van AI-gegenereerde illegale content, waaronder deepfakes en beelden met minderjarigen, zijn via het DSA-transparantiesysteem aan de Europese Commissie en nationale autoriteiten gerapporteerd, en wat is daarvan de uitkomst?

De ACM heeft geen inzicht in meldingen die door andere lidstaten worden gedaan bij de EC en/of de Ierse toezichthouder Coimisiún na Meán (CNAM; toezichthouder van de lidstaat waar X zijn hoofdvestiging heeft). Dit is in principe vertrouwelijk tussen de melder en de EC. Meldingen over systeemrisico’s zijn vaak beschrijvend over een bepaalde functionaliteit of risico, aangevuld met enkele voorbeelden van het betreffende onderwerp.

Vraag 7

Kunt u duidelijkheid geven over hoe momenteel toezicht en handhaving is ingericht op het gebied van deepfake incidenten in Nederland? En is dit alleen meldings-gedreven of ook door middel van actieve detectie?

Handhaving en toezicht op illegaal deepfake-beeldmateriaal gebeurt primair op basis van meldingen bij de bevoegde handhavingsautoriteiten over de online platforms waar deze worden verspreid.
De ACM is de bevoegde Nederlandse toezichthouder op de DSA. De ACM heeft op grond van de DSA geen bevoegdheid om verwijderbevelen op te leggen. Wel bevat de DSA verplichtingen op grond waarvan de ACM kan handhaven wanneer online platforms of hostingproviders onvoldoende optreden tegen illegale inhoud en hun processen met betrekking tot meldingen niet op orde hebben. Dit kan het geval zijn als blijkt dat de onlinedienst niet of onvoldoende gemotiveerd of traag reageert op meldingen over illegale inhoud van bijvoorbeeld gebruikers of trusted flaggers.
Het kan zijn dat niet de ACM maar een toezichthouder in een andere lidstaat bevoegd is ten aanzien van de onlinedienst in kwestie. In het geval van de kwestie X/Grok is bijvoorbeeld de Europese Commissie primair bevoegd. Zij kan als bevoegd toezichthouder een onderzoek instellen en boetes opleggen tot 6% van de wereldwijde omzet. Daarnaast hebben gebruikers de mogelijkheid om, naast het doorlopen van de interne klachtenafhandelingsprocedure bij een aanbieder, ook een gerechtelijke procedure te starten.
De ACM roept slachtoffers van dergelijke beelden op om melding te doen bij het platform/de hosting provider, bij de politie of bij een trusted flagger zoals Offlimits. Deze meldingen zijn waardevol om aan te tonen dat materiaal zonder toestemming is verspreid. Ook kan naar aanleiding van de meldingen blijken dat het platform/de hosting provider onvoldoende optreedt tegen illegale inhoud, waarna de ACM daarop kan handelen.
Daarnaast is de Autoriteit Persoonsgegevens (AP) op grond van de DSA en de Algemene Verordening Gegevensbescherming (AVG) een bevoegd toezichthouder op het gebied van illegale deepfakes. Als deepfakes zonder toestemming worden verspreid, kan er sprake zijn van onrechtmatige verwerking van persoonsgegevens. De AP kan een onderzoek instellen naar personen of organisaties die verantwoordelijk zijn voor het (mogelijk) maken en verspreiden van dit soort materiaal. Dit kunnen in bepaalde gevallen online platforms zijn, maar ook hostingproviders die de content hosten. Voor de AP is het wel van belang dat de partij die verantwoordelijk is voor de content (afhankelijk van de omstandigheden van het geval; het individu en/of het platform) te achterhalen is, wat, anders dan bij X, niet altijd het geval is. Het kan zijn dat niet de AP maar een gegevensbeschermingsautoriteit in een andere lidstaat bevoegd is ten aanzien van de onlinedienst in kwestie. Als uit het onderzoek blijkt dat er overtredingen zijn, kan de AP of andere autoriteit aanbieders van onlinediensten bijvoorbeeld een verwerkingsverbod opleggen voor wat betreft het onrechtmatige materiaal. Het proces van onderzoek en bestuursrechtelijk handhaven zal in de regel niet leiden tot het snel offline zijn van de beelden.
De officier van justitie kan op grond van artikel 125p van het Wetboek van Strafvordering (Sv) aan een aanbieder van een communicatiedienst bevelen om strafbare online content ontoegankelijk te maken. Een dergelijk bevel kan, kort gezegd, worden gegeven als sprake is van een strafbaar feit waarvoor voorlopige hechtenis is toegelaten, ter beëindiging van dat strafbare feit en/of ter voorkoming van nieuwe strafbare feiten.
Voor illegale deepfakes, op basis van de artikelen 252, 254ba en art. 285d van het Wetboek van Strafrecht (Sr), is dit het geval. Van deze mogelijkheid wordt beperkt gebruik gemaakt, omdat de politie en het Openbaar Ministerie ook gebruik kunnen maken van verwijderverzoeken op basis van de zelfregulerings-mogelijkheden. Deze zijn in de praktijk vaak sneller. Een aanbieder die niet voldoet aan een dergelijk bevel onder 125p Sv kan strafrechtelijk aansprakelijk zijn (54a Sr).
Wanneer het materiaal van minderjarigen betreft is het seksueel beeldmateriaal van kinderen en is het strafbaar op grond van artikel 252 Sr. In Nederland is dan ATKM bevoegd om aanbieders van communicatiediensten die in Nederland zijn gevestigd of die seksueel beeldmateriaal van kinderen op Nederlands grondgebied hebben opgeslagen, te verplichten om dergelijk materiaal ontoegankelijk te maken of te verwijderen. Dit geldt ook voor seksueel beeldmateriaal van minderjarigen dat is vervaardigd door middel van AI, zoals bij deepnudes. Als aanbieders van hostingdiensten niet aan deze verplichting voldoen, kan de ATKM bestuursrechtelijk handhaven. De ATKM kan in dat geval een last onder dwangsom of een bestuurlijke boete opleggen, die kan oplopen tot 10% van de jaarlijkse omzet van de onderneming.

Vraag 8

Hoe verhoudt de handhaving van de AVG zich tot de handhaving van de DSA in dit soort gevallen, en ziet u mogelijkheden om deze instrumenten gezamenlijk effectiever in te zetten?

Er kan in dit soort gevallen zowel op basis van de AVG als de DSA worden gehandhaafd. De ACM werkt momenteel nauw samen met de AP en andere betrokken instanties aan mogelijkheden om elkaar hierin te versterken.
De ACM heeft op grond van de DSA geen bevoegdheid om verwijderbevelen op te leggen. Wel bevat de DSA verplichtingen op grond waarvan de ACM kan handhaven wanneer online platforms of hostingproviders onvoldoende optreden tegen illegale inhoud en hun processen met betrekking tot meldingen niet op orde hebben. Dit kan het geval zijn als blijkt dat de onlinedienst niet of onvoldoende gemotiveerd of traag reageert op meldingen over illegale inhoud van bijvoorbeeld gebruikers of trusted flaggers. Het kan zijn dat niet de ACM maar een toezichthouder in een andere lidstaat bevoegd is wat betreft de onlinedienst in kwestie. In het geval van de kwestie X/Grok is bijvoorbeeld de Europese Commissie primair bevoegd.
De AP kan een onderzoek instellen naar personen of organisaties die verantwoordelijk zijn voor het (mogelijk) maken en verspreiden van materiaal dat in strijd is met de AVG. Dit kunnen in bepaalde gevallen online platforms zijn, maar ook hostingproviders die de content hosten. Voor de AP is het wel van belang dat de partij die verantwoordelijk is voor de content (afhankelijk van de omstandigheden van het geval; het individu en/of het platform) te achterhalen is, wat, anders dan bij X, niet altijd het geval is. Het kan verder zo zijn dat niet de AP maar een gegevensbeschermingsautoriteit in een andere lidstaat bevoegd is wat betreft de onlinedienst in kwestie. Als uit het onderzoek blijkt dat er overtredingen zijn, kan de AP of andere autoriteit aanbieders van onlinediensten bijvoorbeeld een verwerkingsverbod opleggen wat betreft het onrechtmatige materiaal. Hierin verschilt de handhavingsmogelijkheden op de AVG ten aanzien van de mogelijkheden onder de DSA. Het proces van onderzoek en bestuursrechtelijk handhaven zal in de regel niet leiden tot het snel offline zijn van de beelden.

Vraag 9

Vindt u dat «nudify»-apps en dergelijke functies van AI-chatbots überhaupt bestaansrecht hebben? Zo nee, wat gaat u daaraan doen?

Binnen het Ministerie van Justitie en Veiligheid wordt gekeken naar de mogelijkheden om het gebruik van nudify applicaties verder tegen te gaan. Ondanks de mogelijkheid om gebruikers van de applicaties strafrechtelijk te vervolgen (via de artikelen 252 en 254ba Sr) en de mogelijkheid om elk illegaal beeld steeds te laten verwijderen, blijft het maatschappelijk probleem rondom deepnudes zich in grote mate voordoen. Om die reden wordt bezien of het wenselijk en haalbaar is het aanbieden van de applicaties zelf te verbieden, nationaal dan wel Europees. Inmiddels hebben met verschillende stakeholders en experts gesprekken plaatsgevonden. Voordat een inhoudelijke positie bepaald wordt, is verdere studie nodig.

Vraag 10

Bent u bereid om aan te dringen op effectieve handhaving tegen X in de kwestie van AI-gegenereerde beelden van minderjarigen en zo ja, welke nationale en Europese maatregelen kunnen er genomen worden of welke sancties kunnen er worden opgelegd?

Effectieve handhaving van Europees recht is onverminderd van belang. De Europese Commissie is op 26 januari jl. een nieuw onderzoek gestart naar X dat specifiek ziet op Grok. Als de Commissie concludeert dat X de DSA heeft overtreden, kan zij verdere handhavingsmaatregelen nemen, zoals de vaststelling van een besluit tot niet-naleving en de oplegging van een boete.

Vraag 11

Kunt u deze vragen elk afzonderlijk beantwoorden?

Ja.

Vraag 1

Heeft u kennisgenomen van het NRC-artikel «Google en Microsoft verzwijgen energiegebruik van hyperscale-datacenters; Datacentra Techbedrijven zwijgen over energieverbruik»?1

Ja.

Vraag 2

Hoe beoordeelt u het feit dat Microsoft en Google rapportages weigeren over het energieverbruik van hun datacenters in Nederland in Eemshaven en bij Middenmeer niet aanleveren?

De datacentra in kwestie hebben informatie aangeleverd zoals aan hen is gevraagd door de Nederlandse overheid. Op grond van de Europese Energie Efficiëntie Richtlijn (EED)2 en het nationale Besluit van 26 april 20243 zijn datacentra verplicht om informatie aan te leveren, met uitzondering van bedrijfsvertrouwelijke gegevens. Via de website van de Rijksdienst voor Ondernemend Nederland (RVO) en de in te vullen formulieren, heeft de Nederlandse overheid gecommuniceerd dat bedrijfsvertrouwelijke gegevens niet hoefden te worden aangeleverd.
In de loop van 2024 is de Europese regelgeving aangescherpt en van kracht geworden, middels een gedelegeerde verordening4. In de gedelegeerde verordening staat dat bedrijfsvertrouwelijke informatie niet openbaar wordt gemaakt, maar dat welalle informatie aangeleverd dient te worden. Deze wijziging wordt meegenomen met de implementatie van de richtlijn. Aanvankelijk werd gewacht met de aanpassing van de communicatie en het loket tot de implementatie van de richtlijn gereed zou zijn, maar na verloop van tijd is alsnog gekozen om hier niet op te wachten en de communicatie en het loket aan te passen, gezien ook de rechtstreekse werking van de gedelegeerde verordening.
Deze aanscherping is in de communicatie naar datacentra recentelijk aangepast voor de aanlevering van gegevens in 2026, in lijn met de gedelegeerde verordening. Datacentra wordt gevraagd alle gegevens aan te leveren, en aan te geven of er sprake is van bedrijfsvertrouwelijke gegevens.

Vraag 3

Deelt u de opvatting dat zonder gedetailleerde verbruiksdata geen goed beleid mogelijk is voor energie-infrastructuur?

Om goed beleid voor energie-infrastructuur te kunnen maken, werken overheden veel samen met netbeheerders. Netbeheerders hebben namelijk data over en inzicht in het energieverbruik van hun klanten. Daarbij is ook geaggregeerde data beschikbaar. De samenwerking met netbeheerders en de geaggregeerde data bieden op dit moment voldoende inzicht voor beleidsvorming voor energie-infrastructuur.

Vraag 4

Deelt u de analyse in het artikel dat gebrek aan transparantie over het energieverbruik van datacenters goed onderzoek naar netcapaciteit, de maatschappelijke impact van digitalisering, waaronder AI belemmert?

Overheden werken, zoals hierboven aangegeven, samen met netbeheerders voor inzicht te krijgen in het energieverbruik van datacenters om de beleidsvorming rondom digitalisering vorm te geven.
Daarbij zijn de verbruiksgegevens van elektriciteit van alle bedrijven bedrijfsvertrouwelijk en worden deze alleen verstrekt aan de toezichthouders ten behoeve van toezicht en handhaving van de energiebesparingsplicht.

Vraag 5

Waarom wordt er gesteld dat openbaarmaking van deze energiegegevens juridisch niet kunnen worden afgedwongen bij tech bedrijven zoals Microsoft en Google, terwijl Europese regels dit wel verplichten? Is hier sprake van onwil of onduidelijkheid in de uitvoering?

In zowel de EED5 als de gedelegeerde verordening6 is opgenomen dat informatie van datacentra die onder het nationaalrecht ter bescherming van bedrijfsgeheimen en vertrouwelijkheid valt, niet openbaar wordt gemaakt.

Vraag 6

Hoe kan het dat de Europese Energie-efficiëntierichtlijn (EED) bedrijven verplicht om energie- en waterverbruik te rapporteren, maar dat grote datacenters in Nederland lege formulieren kunnen indienen zonder gevolgen?

In het kader van de EED zijn datacentra aanvankelijk gevraagd om informatie aan te leveren met de mogelijkheid om bedrijfsvertrouwelijke gegevens weg te laten. Inmiddels worden zij gevraagd om alle gegevens aan te leveren, maar aan te geven welke daarvan bedrijfsvertrouwelijk zijn. Wanneer een leeg formulier wordt ingeleverd, zal dit worden gezien als niet voldoen aan de EED-rapportage voor datacentra. In beide situaties worden de bedrijfsvertrouwelijke gegevens niet openbaar gemaakt.

Vraag 7

Bent u bereid om consequenties te verbinden aan bedrijven die niet voldoen aan Europese transparantie-eisen over energieverbruik?

De datacentra in kwestie hebben aangeleverd wat de Nederlandse overheid aan hen heeft gevraagd. De communicatie vanuit de Nederlandse overheid, via de RVO website en de in te vullen formulieren, over de verplichting tot het rapporteren van informatie is in lijn gebracht met de gedelegeerde verordening7. Dit betekent dat vanaf 2026 datacentra worden geacht alle informatie aan te leveren. Hierbij geldt dat bedrijfsvertrouwelijke informatie wordt aangeleverd, maar niet openbaar gemaakt zal worden. Mochten datacentra hier niet aan voldoen, dan wordt een waarschuwingsbrief verzonden met een termijn om alsnog alle informatie te rapporteren. Bij het niet voldoen aan die termijn volgt een voornemen tot last onder dwangsom.

Vraag 8

Bent u bereid om, in het licht van de groei van AI en het toenemende energieverbruik daarvan, strengere nationale eisen te stellen aan transparantie van (Amerikaanse) grootverbruikers?

Het kabinet ziet, gelet op de hierboven geschetste aanpassing van de regelgeving en de aangepaste communicatie naar datacentra, op dit moment geen noodzaak om aanvullende strengere nationale eisen te stellen.

Vraag 9

Kunt u toezeggen dat het kabinet actief gaat afdwingen dat Europese openbaarmakingsregels voor energieverbruik van datacenters van Big Tech, daadwerkelijk worden nageleefd?

Ja.

Vraag 10

Deelt u de analyse in het artikel dat Microsoft en Google Europese transparantieregels over energieverbruik ondermijnen en dat Nederland daarin te weinig tegenwicht biedt?

Zie antwoord vraag 2.

Vraag 11

Bent u bereid om de energieverbruik gegevens van de datacenters van Amerikaanse tech bedrijven, waaronder die van Microsoft en Google, alsnog op te eisen?

Datacentra hebben gedaan wat van hen is gevraagd door de Nederlandse overheid. Daarbij komt dat de Europese Commissie de rapporten voor 2024 en 2025 al heeft vormgegeven. Tevens is de communicatie naar datacentra aangepast en zullen alle gegevens vanaf 2026 worden aangeleverd. Het kabinet is daarom niet voornemens om deze gegevens alsnog op te eisen.

Vraag 12

Kunt u deze vragen afzonderlijk van elkaar beantwoorden?

Ja.