Vraag 1

Bent u bekend met de plannen van een woningstichting in Enschede om over te stappen op digitale sloten voor studentenwoningen?

Ja.

Vraag 2

Bent u bekend met de zorgen hierover vanuit de studenten en de gemeenteraad van Enschede?1 2

Ja.

Vraag 3

Kunt u toelichten hoe u denkt over de plannen om over te stappen op digitale sloten en de mogelijke risico's, waaronder privacyrisico’s, die hierbij spelen?

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties en ik hebben geen zeggenschap over de inzet van technologieën door private organisaties, zoals woningcorporaties. Vanzelfsprekend geldt ook voor private organisaties dat zij zich bij de inzet van digitale technologieën moeten houden aan de geldende wet- en regelgeving.
Bij de toepassing van digitale sloten gaat het voornamelijk over de verwerking van persoonsgegevens, waarop de Algemene Verordening Gegevensbescherming (AVG) van toepassing is. Het is echter niet aan het kabinet om onderzoek te doen of in voorkomende gevallen de privacywetgeving wordt geschonden. Dit is aan de Autoriteit Persoonsgegevens (AP), die als onafhankelijke toezichthouder verantwoordelijk en bevoegd is voor het handhaven van de AVG in Nederland.
Daarom kan ik geen appreciatie geven van de situatie in Enschede.

Vraag 4

Deelt u de mening dat het onwenselijk is dat van bewoners wordt geacht dat zij een smartphone met daarop een app zouden moeten gebruiken om hun woning of woongebouw te kunnen betreden?

Zie antwoord vraag 3.

Vraag 5

Deelt u de mening dat het onwenselijk is dat digitaal wordt geregistreerd wanneer bewoners hun woning in- en uitgaan?

Zie antwoord vraag 3.

Vraag 6

Beschikt u over een volledig of gedeeltelijk overzicht van woningen en/of woongebouwen in Nederland waar digitale sleutels vereist zijn voor het betreden van de woningen of waar het betreden of verlaten van de woningen digitaal wordt geregistreerd? Zo ja, kunt u dit overzicht met de Tweede Kamer delen?

Nee, dit overzicht heb ik niet.

Vraag 7

Hoe oordeelt u over het in gebruik nemen van digitale sleutels, zoals voorgenomen in Enschede, gelet op artikel 8 EVRM en de AVG in het licht van een eerdere uitspraak van de Finse privacytoezichthouder die het bij een soortgelijke praktijk onrechtmatig achtte?3 4

Zoals ik aangaf in antwoord op vragen 3–5, is het niet aan mij om een oordeel te geven over de verenigbaarheid van het gebruik van digitale sloten met de AVG. In Nederland is de AP, die onafhankelijk opereert, belast met het toezicht op de naleving van de AVG. Het is aan de toezichthouder om per geval te beoordelen of wordt voldaan aan de wettelijke regels, en zo niet, of en op welke manier daartegen wordt opgetreden. Zij zal daarbij de jurisprudentie van het Hof van Justitie van de Europese Unie betrekken.

Vraag 1

In hoeverre bent u op de hoogte van plannen om op Curaçao een zonnepark, laadstation en e-bussen te realiseren?

De regering van Curaçao heeft haar plannen per brief aan het kabinet kenbaar gemaakt. Het is positief dat Curaçao inzet op duurzame mobiliteit en hernieuwbare energie, wat kan bijdragen aan de energietransitie, een duurzamer transportsysteem en de economische ontwikkeling van het land.

Vraag 2

Deelt u de mening dat de ontwikkeling hiervan bijdraagt aan de economische versterking van Curaçao en het vergroten van (handels)kansen voor het Nederlandse bedrijfsleven?

Zoals reeds in het antwoord op de vorige vraag is aangegeven kunnen dergelijke initiatieven bijdragen aan economische ontwikkeling en verduurzaming. Het is aan Curaçao om de uitvoering en financiering vorm te geven. Nederlandse bedrijven kunnen hierop inspelen als marktpartijen.

Vraag 3

Bent u bekend met het feit dat het Chinese BYD (Build Your Dreams) tegen dumpprijzen elektrische bussen aan Curaçao wil leveren en daarmee oneerlijke concurrentie met het Nederlandse VDL (Van Der Leegte Groep) veroorzaakt? Wat doet het kabinet om deze oneerlijke concurrentie te voorkomen?

De inkoop van elektrische bussen is een verantwoordelijkheid van de regering van Curaçao. Curaçao heeft een autonome positie binnen het Koninkrijk en bepaalt zelf zijn economisch beleid, inclusief aanbestedingen en contractering. Nederland heeft hierin geen rol.

Vraag 4

Wat is momenteel het financiële gat voor het realiseren van het zonneveld met een elektrisch buspark en laadstation?

Volgens de gevolmachtigde Minister van Curaçao bedraagt het financiële tekort voor dit project 13,2 miljoen euro, hiervoor is vanuit het kabinet geen toezegging gedaan. De beschikbare middelen in de begrotingsreserve duurzame energie en klimaattransitie zijn gereserveerd voor de Nederlandse SDE(+)(+)-regelingen en zijn bedoeld om fluctuaties in uitgaven van deze regelingen op te kunnen vangen, en zijn daarom niet beschikbaar voor dergelijke projecten.
Wel is er op de Aanvullende Post 150 miljoen euro van de SDE-middelen gereserveerd voor Aruba, Curaçao en Sint-Maarten voor investeringssubsidies gericht op randvoorwaarden van de energietransitie, zoals netverzwaring, netaansluitingen en batterijopslag. Het gaat daarbij om onrendabele investeringen die benodigd zijn voor het inpassen van wind- en zonne-energieprojecten en investeringen in stabiliteit, capaciteit en betrouwbaarheid van het elektriciteitsnet. Dit is conform de conclusies uit het onderzoek uitgevoerd door TNO naar de mogelijkheden voor verduurzaming in de ACS landen, zoals toegelicht in de Kamerbrief van 17 juni 2024 over de Energietransitie op Aruba, Curaçao en Sint Maarten en het TNO-onderzoek (Kamerstuk 32 813, nr. 1402).
Het Kabinet voert gesprekken met de landen over de inzet van deze middelen en de benodigde investeringen. Hoewel een directe bijdrage aan dit project niet past binnen de kaders voor de beschikbare SDE-middelen zouden kosten voor netverzwaringen, batterijopslag of andere inpassingskosten, die randvoorwaardelijk zijn voor dit project, wel uit de SDE-middelen gefinancierd kunnen worden en dit project mogelijk kunnen faciliteren.

Vraag 5

Klopt het dat de door Nederland toegezegde financiering van het project nog niet geleverd is door discussie tussen de betrokken departementen?

Zie antwoord vraag 4.

Vraag 6

Deelt u de analyse dat het Ministerie van Klimaat en Groene Groei nog 4,3 miljard euro beschikbaar heeft voor dergelijke projecten in begrotingsreserve duurzame energie en klimaattransitie?

Momenteel loopt er een haalbaarheidsverkenning in samenwerking met de regering van Curaçao. De mogelijke economische kansen hangen af van de uitkomsten van deze verkenning en de financiële en technische haalbaarheid.

Vraag 7

Wanneer neemt u een besluit over de financiering van Nederland van dit project? Hoe kijkt u aan tegen het mogelijk openstellen van SDE++ subsidie (Stimulering Duurzame Energietransitie en Klimaattransitie) voor dit project en dergelijke projecten?

Curaçao beschikt over gunstige natuurlijke omstandigheden voor de productie van groene waterstof. Het ontwikkelen van een exportpositie vereist echter aanzienlijke investeringen in infrastructuur en marktontwikkeling. Nederland blijft hierover in gesprek met Curaçao en betrokken partijen.

Vraag 8

Wat is de stand van zaken van het project voor een drijvend windpark op zee? Deelt u de mening dat dit een economische kans is op Curaçao?

Ik ben voornemens om in mei naar Curaçao te reizen voor de Caribbean Climate and Energy Conference (CCEC), onder voorbehoud van mijn definitieve bevestiging. En marge van deze conferentie zal ik in gesprek gaan met de regering van Curaçao over onder andere de verduurzaming van de energievoorziening en de rol van hernieuwbare energie in de economische ontwikkeling van het land.

Vraag 9

Welke mogelijke rol ziet u voor Curaçao om een nieuwe energie-exporteconomie positie te verwerven via groene waterstof?

Nederland ondersteunt Curaçao via kennisuitwisseling en de inzet van investeringssubsidies voor duurzame elektriciteitsopwekking, zoals toegelicht hierover in de Kamerbrief van 17 juni 2024 (Kamerstuk 32 813, nr. 1402). Het initiatief en de uitvoering blijven echter de verantwoordelijkheid van Curaçao.

Vraag 10

Wat is de inzet van de Minister van Klimaat en Groene Groei als zij in mei afreist naar Curaçao op dit thema?

Vraag 11

Welke rol gaat het kabinet in brede zin spelen om in ondersteuning van Curaçao dit initiatief en deze innovatie te stimuleren samen met overheid en bedrijfsleven?

Vraag 1

Kunt u uitleggen wat het doel was van uw werkbezoek van 3 tot en met 5 maart 2025 aan Microsoft en Amazon in Seattle?1

Het doel van het werkbezoek was drieledig, namelijk: 1) Het krijgen van inzicht in de laatste technologische ontwikkelingen bij Microsoft en Amazon; 2) het bepalen van de impact die deze bedrijven hebben op het opereren van Defensie en 3) het ontwikkelen van meer inzicht op het gebied van autonomie en soevereiniteit op het gebied van data en informatie.

Vraag 2

Kunt u het volledige programma van uw werkbezoek delen, met een overzicht van wie u heeft gesproken en wat het onderwerp van deze gesprekken was?

Vanwege privacy kunnen wij geen namen of functies geven, maar er is gesproken met beide bedrijven op het niveau van director & corporate vice president. Met deze vertegenwoordigers heb ik gesproken over oplossingen voor mobiele cloudomgevingen, verwerking en eigenaarschap van data, regelgeving en toepasbaarheid van de laatste technologische ontwikkelingen die relevant zijn voor Defensie.

Vraag 3

Heeft u op dit werkbezoek concrete toezeggingen gedaan of afspraken gemaakt? Wat was uw boodschap richting de bedrijven?

Ik heb geen toezeggingen gedaan. Onze gevechtskracht is niet langer alleen afhankelijk van staal en vuur, maar ook van bits en bytes. Hierin biedt de expertise van techbedrijven zoals Microsoft en Amazon waardevolle inzichten. Mijn boodschap richting de bedrijven is om te onderzoeken hoe hun expertise en technologie bij kunnen dragen in operationele situaties, op een soevereine wijze.

Vraag 4

Is de inhoud van het werkbezoek en uw inbreng bij de activiteiten afgestemd met het Ministerie van Binnenlandse Zaken en het Ministerie van Economische Zaken?

De inhoud van het werkbezoek is afgestemd met het Ministerie van Economische Zaken.

Vraag 5

Deelt u de mening dat, in deze geopolitieke context, Nederland de afhankelijkheid van niet-Europese techbedrijven juist zou moeten verminderen?

Het kabinet heeft in 2023 de Agenda Digitale Open Strategische Autonomie (DOSA) met uw Kamer gedeeld.2 Het Kabinet constateert in de Agenda DOSA dat, in deze veranderende context, we strategisch moeten gaan kijken naar digitale technologie, en in het bijzonder naar strategische afhankelijkheden met een hoog risico.
We hebben een langdurige trans-Atlantische relatie met de VS. De VS is en zal een cruciale partner voor Nederland blijven, met gedeelde veiligheids- en economische belangen, waaronder ook digitale aspecten vallen.
Nederland zal blijven werken aan een goede werkrelatie met de VS. Ontwikkelingen in de VS, ook ten aanzien van tech, volgen elkaar snel op. We houden deze ontwikkelingen op technologisch- en veiligheidsgebied in de VS nauwlettend in de gaten.
Een te grote afhankelijkheid van één marktpartij is echter ongewenst. In de afweging welke data wij in eigen beheer verwerken en wat in de public cloud, moeten risicovolle strategische afhankelijkheden én marktconcentraties worden meegewogen. Daarbij wordt expliciet gekeken naar Europese tech-bedrijven.

Vraag 6

Acht u de totale afhankelijkheid van clouddiensten van niet-Europese techbedrijven een mogelijk risico voor de Nederlandse en Europese autonomie en veiligheid?

Zoals ook door de Algemene Rekenkamer is geconstateerd, wordt er veelvoudig gebruik gemaakt van public clouddiensten, waarbij meer dan de helft van de materieel public clouddiensten3 bij «big tech» ingekocht wordt4. Er is hiermee echter nog geen sprake van een «totale afhankelijkheid». In de afweging welke data we in eigen beheer verwerken en wat in de public cloud moeten risicovolle strategische afhankelijkheden én marktconcentraties worden meegewogen.
Defensie gaat uit van een spreiding van risico’s door clouddiensten in de eigen datacentra en bij verschillende cloud aanbieders onder te brengen, zowel binnen als buiten Europa. Er zal dus geen sprake zijn van totale afhankelijkheid van niet-Europese techbedrijven. Defensie weegt per situatie af of een eventuele afhankelijkheid acceptabel is. Daarbij worden ook de aspecten autonomie en veiligheid per situatie beoordeeld.

Vraag 7

Heeft het Ministerie van Defensie een strategie voor het terugdringen van strategische afhankelijkheden van niet-Europese techbedrijven? Zo ja, hoe gaat u deze afhankelijkheden verminderen? Zo nee, waarom niet en bent u bereid deze strategie alsnog te ontwikkelen?

Het beleid van Defensie draagt op verschillende manieren bij aan het vergroten van onze strategische autonomie en het positioneren van onze Nederlandse kennis-, technologie- en industriebasis. Begin april 2025 wordt de nieuwe Strategie van Defensie naar uw Kamer gestuurd, waarin toegelicht zal worden hoe Defensie strategische afhankelijkheden wil verminderen door zelf te investeren in de kennis- en industriebasis. Hoe sterker Europa en Nederland zijn, hoe minder afhankelijkheid. Defensie neemt daarnaast ook verschillende beschermende maatregelen: bepaalde producten, onderdelen en/of capaciteiten zullen in Nederland behouden of ontwikkeld moeten worden om (cruciale) (wapen)systemen van de krijgsmacht – en haar bondgenoten – te kunnen produceren, op te kunnen schalen en te ondersteunen.

Vraag 8

Welke strategische investeringen doet het Ministerie van Defensie op het gebied van autonomie in het digitale domein? Acht u het in het belang van de Nederlandse veiligheid om de capaciteit van de Nederlandse en Europese techsector te benutten en versterken door te investeren in hun diensten en deze af te nemen?

Om internationaal een speler van betekenis te blijven, mee te blijven lopen in de mondiale (technologische) ontwikkelingen en onze afhankelijkheid van anderen te beperken, is het verkrijgen en het behouden van leiderschap op strategische technologische punten voor Nederland en Defensie belangrijk. Nederland heeft een sterke en kennisintensieve technologische en industriële basis die hoogwaardige producten en diensten levert. De gewijzigde geopolitieke context en de snelle technologische ontwikkelingen maken dat investeringen in de Nederlandse Technologische en Industriële Basis (NLDTIB) nodig zijn. Een sterke krijgsmacht en een sterk Nederland, kan alleen als de NLDTIB en Europese Technologische Industriële Basis (EDTIB) versterkt worden. Het internationaal positioneren van Nederlandse en Europese technologiebedrijven is daarbij van belang. Begin april wordt de nieuwe Defensie Strategie voor Industrie en Innovatie (D-SII) en de bijbehorende Strategische Actieagenda Industrie, Innovatie en Kennis – Defensie (STRAIIK-D) aangeboden aan de Kamer. Daarin zullen deze ambities en versterkingen toegelicht worden.

Vraag 9

Welke acties onderneemt u om Nederlandse en Europese techbedrijven structureel meer te betrekken bij Defensie-aanbestedingen en strategische IT-infrastructuur?

Defensie werkt aan versterkte publiek-private samenwerking o.a. via Defport. Defport draagt bij aan het versnellen van de militaire materieelgereedheid door de afstand tussen Defensie en de private sector te verkleinen. Ook de regionale programmabureaus en de opbouw van regionale ecosystemen en uitbreiding van MINDBases dragen bij aan het verkleinen van de afstand tussen Defensie, kennisinstellingen en industrie. Het is voor de Europese strategische autonomie van groot belang dat er strategische samenwerking bestaat met Nederlandse en Europese techbedrijven. Defensie zet in op een nauwe samenwerking met het bedrijfsleven. Specifiek voor IT heeft Defensie sinds enkele jaren verschillende dialoogtafels met IT-bedrijven die betrekking hebben op huidige en toekomstige ontwikkelingen, om samen op te trekken en vruchtbare partnerschappen te ontwikkelen voor de lange termijn zodat snel kan worden ingespeeld op de behoeften van Defensie. Deze maandelijkse dialoog-tafels stellen Defensie in staat om uitdagingen voor te leggen aan de markt, om te komen tot nieuwe samenwerkingen, oplossingen en versnelling.

Vraag 10

Heeft u een plan om bestaande samenwerkingen met Nederlandse en Europese techbedrijven binnen Defensie op te schalen? Welke acties onderneemt u om dit te bereiken?

Ja, mede dankzij de Defensie IT-leveranciersdialoog is Defensie in staat geweest om strategische partnerschappen aan te gaan met diverse IT-bedrijven. Zoals in de Defensienota 2024 is aangekondigd zal Defensie eraan werken om nieuwe technologieën, nadrukkelijk afkomstig van de Nederlandse industrie, te integreren in militaire toepassingen.
Nationale samenwerking met andere departementen, kennispartners en het bedrijfsleven in Nederland leidt tot betere resultaten voor zowel de krijgsmacht als het Nederlandse verdienvermogen en de maatschappij. De samenwerking wordt ingericht via verschillende ecosystemen, per onderwerp en per regio. Defensie legt haar behoeften neer bij de industrie, de capability pull. Kennisinstellingen, start-ups, MKB’ers en Original Equipment Manufacturers (OEM’s) werken samen aan oplossingen die Defensie nodig heeft. Ook is er nadrukkelijk ruimte voor ideeën vanuit de industrie en civiele technologieën die betekenisvol kunnen zijn voor Defensie. Nederlandse en Europese (tech)bedrijven worden hiermee nauwer verbonden aan de opgaves van Defensie en gepositioneerd om vroegtijdig mee te werken aan uitdagingen.

Vraag 11

Hoe stimuleert u Nederlandse en Europese partijen om mee te dingen naar aanbestedingen op het gebied van defensie en veiligheid? Welke drempels ervaren deze bedrijven momenteel en hoe gaat u die wegnemen?

Het eerste deel van deze vraag heb ik beantwoord in vraag 9. Betreffende het tweede deel: Eén van de knelpunten is toegang tot financiering. Met name start-ups, scale-ups en het MKB lopen tegen deze drempel aan. Uw Kamer is recent per brief geïnformeerd5 over deze financieringsknelpunten. In deze brief kondigt Defensie vier actielijnen aan om deze knelpunten op te lossen. Deze actielijnen zetten in op 1) het bieden van lange termijnvraag, 2) het mobiliseren van private investeringen en beter gebruik maken van bestaande instrumentaria 3) het optimaliseren van overheidsprocessen en 4) het versterken van de dialoog met de markt, bijvoorbeeld met het publiek-private platform Defport.

Vraag 12

Heeft u, naast de samenwerking met niet-Europese techbedrijven, ook onderzocht welke Europese cloud- en technologiealternatieven beschikbaar zijn voor Defensie? Zo ja, welke Europese partijen heeft u hiervoor in beeld? Zo nee, waarom niet?

Ja, Defensie is een onderzoek gestart naar mogelijkheden om cloudomgevingen voor Defensie te ontwikkelen met Europese leveranciers. De gesprekken daarover verkeren nog in een commercieel vertrouwelijke fase.

Vraag 13

Bent u bereid (alsnog) gesprekken te initiëren met Europese alternatieven zoals OVHcloud, Nextcloud, of het GAIA-X-initiatief?

Ja.

Vraag 14

Wat bedoelt u precies met uw openbare uitspraak: «Met een slimme mix van eigen en commerciële cloudoplossingen vergroten we onze digitale slagkracht»?2

Defensie ontwikkelt eigen IT zoals commandovoeringssystemen en IT-infrastructuur zoals de private cloud binnen het programma GrIT. Daarnaast is er een wereldwijde zeer snelle en innovatieve technologie-ontwikkeling in de public cloud. Om militair relevant te blijven op het slagveld met digitale technologie zal Defensie deze technologieën moeten combineren. Het combineren hiervan is onderdeel van de multicloud strategie van Defensie. Dit is een cruciaal onderdeel van de digitale transformatie van Defensie.

Vraag 15

Hoe worden de diensten van Microsoft en Amazon momenteel gebruikt in de Defensie-architectuur? Welke Defensie-onderdelen zijn afhankelijkheid van deze diensten?

In de architectuur staan de clouddiensten van Microsoft en Amazon als «onderlaag» die gebruikt wordt voor ongepubliceerde of laag-gerubriceerde informatiesystemen. Naast clouddiensten neemt Defensie bij Microsoft ondersteuningsdiensten af voor de inzet van diverse Microsoft producten die op diverse plekken in de generieke IT-infrastructuur van Defensie worden toegepast. Voor de daadwerkelijke inzet zijn er geen afhankelijkheden van deze diensten (wel van de producten). Voor de lange termijn continuïteit heeft heel Defensie afhankelijkheden. Een van de belangrijkste afhankelijkheden is de cybersecurity ondersteuning van de diverse Microsoft producten.

Vraag 16

Welke gegevens worden door Defensie bewaard, verwerkt, of gedeeld via de clouddiensten van Microsoft en Amazon? Heeft de Verenigde Staten, onder de CLOUD Act, toegang tot deze (gevoelige) gegevens?

Defensie verwerkt en bewaart alleen ongerubriceerde of laag gerubriceerde gegevens in de clouddiensten van Microsoft en Amazon.
Het Nationaal Cyber Security Centrum heeft in augustus 2022 een onderzoeksrapport over de CLOUD Act gepubliceerd. In dit onderzoek stelt Greenberg Traurig dat het risico dat de Amerikaanse overheid toegang krijgt tot Europese (persoons)gegevens, specifiek op basis van de CLOUD-act, weliswaar voorstelbaar, maar in de praktijk ook (heel) klein is.
Defensie verwerkt geen hoog gerubriceerde informatie in cloud-diensten van Microsoft en Amazon. Om een goede afweging te maken over de risico’s en de baten, hanteert Defensie een cloud-afwegingskader.

Vraag 17

Kunt u deze vragen afzonderlijk van elkaar beantwoorden?

Wegens de samenhang tussen vragen 9 en 11 is een gedeelte van deze beantwoording samengevoegd. Alle overige vragen zijn afzonderlijk van elkaar beantwoord.

Vraag 1

Bent u bekend met het feit dat alle nu beschikbare versies van Microsoft Exchange-servers op 14 oktober a.s. «end of support» zijn en daarmee niet langer door de leverancier ondersteund zullen worden en ook niet meer gebruikt kunnen worden?1 2

Ja, ik ben bekend met het feit dat de huidige versies van Microsoft Exchange Server op 14 oktober 2025 het einde van hun ondersteuningscyclus bereiken. Dit heeft de volgende impact op de ondersteuning vanuit Microsoft:
Voor Exchange Server 2016 is deze informatie sinds 2020 bekend en voor Exchange Server 2019 is de reguliere ondersteuning in januari 2024 verlopen. Extended Security Updates zijn beschikbaar gemaakt tot oktober 2025.
Microsoft heeft in juni 2022 aangekondigd dat de nieuwe versie, Exchange Server Subscription Edition (SE), de opvolger zal zijn van de huidige versies. Deze aankondiging is in mei 2024 herhaald, waarbij tevens de aanbevolen stappen zijn gecommuniceerd ter voorbereiding op de migratie van Exchange 2016 en 2019 naar Exchange SE.
Het is belangrijk om te verduidelijken dat «end of support» niet automatisch betekent dat deze systemen niet meer gebruikt kunnen worden. Het betekent wel dat er na deze datum geen updates meer worden uitgebracht, wat risico's met zich meebrengt voor de veiligheid en stabiliteit van deze systemen. Het is daarom van belang dat organisaties tijdig migreren naar ondersteunde oplossingen

Vraag 2

Op hoeveel plekken binnen de rijksoverheid wordt Microsoft Exchange nog gebruikt? Hoeveel daarvan zijn Exchange 2019 en hoeveel zijn ouder?

Binnen de Rijksoverheid maken vrijwel alle organisaties gebruik van Microsoft Exchange. Door de federatieve opbouw van de overheid zijn er momenteel geen centrale overzichten beschikbaar over de exacte aantallen en versies.
Life cycle management (LCM: het proces om op tijd nieuwe versies in productie te nemen) is een departementale verantwoordelijkheid. Het centraal opslaan van te gedetailleerde informatie buiten deze departementale verantwoordelijkheid wordt als een potentieel beveiligingsrisico beschouwd.
Standaardisatie van gedetailleerde informatie binnen de departementale verantwoordelijkheid heeft hoge prioriteit, maar vergt tijd om te organiseren vanwege het heterogene ICT-landschap binnen de Rijksoverheid.
Er wordt gewerkt aan een verbetering van het centraal geaggregeerd overzicht, waarbij rekening wordt gehouden met bovenstaande aspecten. Bij het antwoord op vraag 3 zal ik verder ingaan op de stappen die worden genomen om beter inzicht te krijgen.

Vraag 3

Indien hier nog geen overzicht van bestaat, bent u bereid om vanuit uw coördinerende rol de betreffende Ministers te vragen u hierover informatie te verstrekken?

Ja, ik ben hiertoe bereid. Bij de beantwoording zal wel een balans gezocht worden tussen cybersecurity, federatieve verantwoordelijkheid en transparantie.
Ik zal de betreffende Ministers vragen om informatie te verstrekken over het gebruik van Microsoft Exchange binnen hun departementen.
Vanuit mijn coördinerende rol wordt jaarlijks een Informatie Beveiligingsbeeld (IBB) opgesteld door de departementen. Uit dit inzicht komen geen risico’s naar boven die betrekking hebben op Microsoft Exchange.
Uw vraag past binnen een bredere aanpak waarin vanuit de coördinerende rol van CIO Rijk wordt gewerkt aan het verbeteren van het inzicht in IT-assets binnen de Rijksoverheid. Deze aanpak richt zich niet exclusief op Microsoft Exchange, maar op IT-asset management in de volle breedte.

Vraag 4

Gezien het feit dat het behoorlijk ingewikkeld is om te upgraden naar de nieuwe, nog uit te komen versie van Exchange die nog wel ondersteund wordt, hoe gaat u erop toezien dat deze systemen tijdig zijn vervangen?3

Ten aanzien van de technische complexiteit van de upgrade wil ik opmerken dat volgens informatie van Microsoft, de overgang naar Exchange Server Subscription Edition (SE) minder complex is dan het lid Six Dijkstra suggereert. Voor organisaties die momenteel Exchange Server 2019 gebruiken met de meest recente cumulatieve update (CU14), zal de update naar Exchange Server SE relatief eenvoudig zijn. Microsoft heeft aangegeven dat Exchange Server SE code-equivalent zal zijn aan Exchange Server 2019 CU15, met uitzondering van enkele kleine wijzigingen. Dit maakt een in-place upgrade mogelijk, vergelijkbaar met het toepassen van een reguliere halfjaarlijkse update. Hierbij is geen volledige herinstallatie nodig maar worden alle bestaande configuraties automatisch overgenomen in de nieuwe versie.
Voor organisaties die nog Exchange Server 2016 gebruiken, wordt geadviseerd om eerst te migreren naar Exchange Server 2019 CU14, alvorens de stap naar Exchange Server SE te maken. Microsoft biedt hierbij diverse ondersteuningsmogelijkheden via Microsoft Unified en FastTrack support.

Vraag 5

Zal het vervangen van Microsoft Exchange in de praktijk een geforceerde overgang naar de cloud betekenen? Kunt u dit antwoord toelichten?

Nee, het vervangen van Microsoft Exchange vanwege het einde van de ondersteuning betekent geen geforceerde overgang naar de cloud.
Zoals Microsoft heeft aangegeven, is Exchange Server Subscription Edition (SE) een nieuwere versie van de binnenkort niet meer ondersteunde Exchange Server 2016 en Exchange Server 2019. Net als deze oudere producten is Exchange Server SE een «on-premises» product dat geïnstalleerd kan worden in eigen datacenters van organisaties.Overheidsorganisaties behouden hiermee de keuze om hun e-mailsystemen lokaal te blijven beheren, zonder dat een migratie naar cloudoplossingen noodzakelijk is. Daarnaast bestaat de mogelijkheid om vergelijkbare diensten af te nemen bij andere aanbieders.

Vraag 6

Hoe gaat u erop toezien dat eventuele overstappen van Microsoft Exchange naar de cloud niet zonder risicoanalyses zullen plaatsvinden?

Voor eventuele overstappen van Microsoft Exchange naar cloudoplossingen is het Rijksbrede cloudbeleid 2022 en het bijbehorende Implementatiekader risicoafweging cloudgebruik van toepassing. Dit kader schrijft voor dat bij materieel public cloudgebruik binnen de Rijksdienst verplicht een aantal stappen moet worden doorlopen.
Conform artikel 4 van het Implementatiekader moet voorafgaand aan het gebruik van public clouddiensten een risicoanalyse worden uitgevoerd volgens een formeel vastgestelde risicomanagementmethodiek die voldoet aan de Baseline Informatiebeveiliging Overheid (BIO). In deze risicoanalyse moet aandacht zijn voor de context van het cloudgebruik, relevante risico's, technische en organisatorische maatregelen, en een beoordeling van deze maatregelen.
Specifiek voor Microsoft Exchange-migraties naar de cloud is belangrijk dat:
Vanuit de coördinerende rol wordt toegezien op de naleving van deze kaders. De departementen moeten jaarlijks rapporteren aan CIO Rijk over hun materieel public cloudgebruik en de risico's daarvan. CIO Rijk gebruikt deze rapportages in de jaarlijkse cyclus van CIO-gesprekken en beoordeelt deze op uitzonderlijke risico's.
Daarnaast kunnen de Auditdienst Rijk, de Algemene Rekenkamer en inspectiediensten een rol spelen in het toezicht op de naleving van deze kaders.

Vraag 7

Kunt u de beantwoording van deze vragen binnen drie weken, maar uiterlijk drie dagen vóór het debat over de migraties van overheids-ICT naar het buitenland, aan de Kamer doen toekomen?

Vraag 1

Bent u bekend met de berichtgeving omtrent de grote datalekken bij verschillende ministeries? Zo ja, wanneer bent u geïnformeerd over deze datalekken en bij welke ministeries zijn deze geconstateerd?1

Vraag 2

Klopt de berichtgeving dat deze datalekken een «privacyprobleem» betreffen en kunt u deze gebruikte term definiëren alsook verklaren waarom er bij de constatering dat het om een privacyprobleem ging niet direct geschakeld werd met de Autoriteit Persoonsgegevens?

Vraag 3

Welke informatie is er vrijgekomen als gevolg van deze datalekken en bevat deze informatie ook persoonsgegevens?

Vraag 4

Welke maatregelen zijn getroffen om deze datalekken tegen te gaan en is daarmee erger voorkomen?

Vraag 5

Zijn er aanwijzingen dat het gaat om een statelijke actor?

Vraag 1

Bent u bekend met het artikel «Tienduizenden arbeidsmigranten van buiten de EU zonder papieren in Nederland»?1

Vraag 2

Erkent u dat het huidige systeem van Registratie Niet-ingezetenen (RNI) structureel misbruikt wordt doordat er geen of gebrekkige controle plaatsvindt op verblijfsrecht, met als gevolg dat duizenden personen zonder rechtmatig verblijf een BSN verkrijgen?

Vraag 3

Bent u bereid om zo snel mogelijk maatregelen te nemen waarbij het verkrijgen van een burgerservicenummer (BSN) via de RNI alleen nog mogelijk is voor personen met aantoonbaar verblijfsrecht, behoudens strikt afgebakende uitzonderingen (zoals diplomaten)?

Vraag 4

Hoe verantwoordt u het feit dat personen die illegaal in Nederland verblijven, blijkbaar met een via de RNI verkregen BSN volledig kunnen deelnemen aan het economisch verkeer – inclusief loonbetaling, bankrekening en belastingaangifte – zonder enige toets op hun verblijfsstatus of -adres?

Vraag 5

Hoe verklaart u dat in slechts één jaar tijd (2023) vijf RNI-loketten verantwoordelijk waren voor 60% van alle gemelde fraude-incidenten met documenten? Welke maatregelen zijn uitgevoerd om deze fraude te voorkomen? Welke maatregelen bent u van plan uit te voeren om dit te voorkomen?

Vraag 6

Hoeveel mensen hebben volgens u (desnoods naar uw beste schatting) een BSN en géén recht om te werken?

Vraag 7

Hoeveel signalen over frauduleuze tussenpersonen zijn sinds 2021 actief opgevolgd met strafrechtelijk onderzoek? Hoeveel van deze zaken hebben geleid tot vervolging of veroordeling?

Vraag 8

Waarom wordt het nog steeds toegestaan dat personen met een via de RNI verkregen BSN zich inschrijven bij de Kamer van Koophandel (KvK) als zelfstandig ondernemer, terwijl zij aantoonbaar geen rechtmatig verblijf in Nederland hebben?

Vraag 9

Hoe beoordeelt u het feit dat honderden personen zich via de RNI kunnen inschrijven op een loods of schuur zonder woonbestemming? Waarom blijft het wettelijk toegestaan om willekeurige adressen – die nota bene niet in de Basisregistratie Adressen en Gebouwen (BAG) geregistreerd staan – te gebruiken als verblijfsadres?

Vraag 10

Hebben gemeenten anno 2025 nog steeds geen toegang tot vrijwillig opgegeven RNI-gegevens, terwijl dit al in 2023 was toegezegd? Acht u dit aanvaardbaar gezien de omvang van de problematiek? Wanneer zal dat geregeld zijn?

Vraag 11

Bent u bereid om het verblijfadres en contactgegevens bij RNI-inschrijving verplicht te stellen, inclusief een verplichting tot adreswijziging bij verhuizing, én gemeenten geautomatiseerd te waarschuwen bij signalen van overbewoning of ongebruikelijke patronen?

Vraag 12

Waarom wordt de bestaande verplichting om na vier maanden verblijf in Nederland over te stappen naar een BRP-inschrijving in praktijk niet gehandhaafd? Bent u bereid om het BSN automatisch op non-actief te zetten indien deze overstap uitblijft?

Vraag 13

Klopt het dat gemeenten niet zelfstandig kunnen overgaan tot uitschrijving uit de RNI, zelfs bij fraude of langdurig illegaal verblijf? Waarom is deze juridische leemte nog altijd niet gedicht?

Vraag 14

Hoeveel personen stonden per 1 januari 2025 langer dan vier maanden ingeschreven in de RNI zonder BRP-registratie? Hoeveel van hen zijn (desnoods grofweg) derdelanders zonder verblijfsrecht?

Vraag 15

Hoe beoordeelt u het feit dat arbeidsmigranten via een frauduleuze RNI-inschrijving een BSN kunnen verkrijgen en daarmee rechten opbouwen die toegang geven tot uitkeringen, terwijl zij feitelijk onrechtmatig in Nederland verblijven? Acht u het aanvaardbaar dat het Uitvoeringsinstituut Werknemersverzekeringen (UWV) dergelijke aanvragen in behandeling neemt zonder toetsing aan de BRP-inschrijving?

Vraag 16

Hoeveel uitkeringen of toeslagen zijn sinds 2020 verstrekt aan personen die enkel via de RNI geregistreerd stonden, ondanks het ontbreken van een verblijfsstatus die hen daartoe zou kwalificeren?

Vraag 17

De Arbeidsinspectie stelt dat het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties al jarenlang structureel wordt gewaarschuwd voor misbruik van de RNI, maar dat «er niets verandert» en dat het ministerie «geen plannen heeft om wijzigingen aan te brengen»; klopt dit, en kunt u dat verklaren?

Vraag 18

Bent u het eens met de conclusie van de Arbeidsinspectie dat de huidige RNI-systematiek de arbeidsmarkt ondermijnt en fraude structureel faciliteert? Zo ja, wanneer komt er eindelijk maatregel of wetswijziging die deze praktijken beëindigt?

Vraag 19

Erkent de u dat het faciliteren van een «schijnlegale» status via RNI-inschrijving en BSN-verstrekking arbeidsmigranten structureel afhankelijk maakt van malafide bemiddelaars, uitzendbureaus en werkgevers? Wat gaat u doen om te voorkomen dat het overheidsstelsel bijdraagt aan de instandhouding van uitbuiting en mensenhandel?

Vraag 20

Wilt u deze vragen uiterlijk woensdag 16 april 2025 15:00 uur (24 uur voorafgaand aan het commissiedebat Regulier Verblijf), één voor één beantwoorden?

Vraag 1

Bent u bekend met de kritische reacties op het huisbezoek van de politie aan een demonstrant in Amersfoort, waaronder die van korpschef Janny Knol?1

Vraag 2

Deelt u de mening van de korpschef dat dit nooit op deze manier had mogen gebeuren en het iedere inwoner van Nederland volledig vrijstaat voor zijn of haar mening uit te komen en deel te nemen aan demonstraties?

Vraag 3

Wat vindt u ervan dat de Nationale ombudsman zich genoodzaakt voelt een onderzoek in te stellen naar de huisbezoeken?2 Bent u bereid de resultaten hiervan, naast de resultaten van het Wetenschappelijk Onderzoek- en Datacentrum (WODC)-onderzoek over het demonstratierecht dat momenteel wordt uitgevoerd, mee te nemen in uw plannen om «hardere grenzen» te stellen aan het demonstratierecht? Zo ja, hoe gaat u hiervoor zorgen? Zo nee, waarom niet?

Vraag 4

Wat is uw reactie op onderzoek van Amnesty International3 waaruit blijkt dat er onvoldoende toezicht is op politiedatabanken, waarin grootschalige verwerking van gevoelige persoonsgegevens plaatsvindt van demonstranten? Klopt het dat dit in strijd is met mensenrechten?

Vraag 5

Welke gesloten en open bronnen raadpleegt de politie in een onderzoek naar demonstranten? Op basis waarvan besluit de politie om over te gaan tot het verwerken van gevoelige persoonsgegevens?

Vraag 6

Op basis van welke wettelijke grondslag verwerkt de politie persoonsgegevens van demonstranten? Hoe is het verzamelen, verwerken en delen van deze gegevens begrensd?

Vraag 7

Zijn er interne protocollen die kaders stellen aan het verzamelen, verwerken en delen van persoonsgegevens van demonstranten? Zo ja, kunt u deze delen met de Kamer? Zo nee, hoe zorgt u er voor dat de privacy van demonstranten voldoende is beschermd?

Vraag 8

Wat zijn de mogelijke gevolgen voor demonstranten wanneer hun persoonsgegevens worden opgenomen in politiedatabanken? Hoe lang blijven hun gegevens bewaard? Worden deze altijd binnen de wettelijk toegestane bewaartermijn vernietigd?

Vraag 9

Hoe vaak startten demonstranten de afgelopen twee jaar een klachtenprocedure bij de politie omdat zij zich zorgen maakten om de verwerking van hun gevoelige persoonsgegevens? In hoeveel van de gevallen bleek dat de gegevensverwerking onrechtmatig was?

Vraag 10

Klopt het dat de politie registraties niet verwijdert wanneer blijkt dat de gegevensverwerking onrechtmatig is verlopen? Zo ja, deelt u de mening dat betrokkenen hierdoor geen rechtsherstel krijgen? Waarom wel of niet?

Vraag 11

Indien de politie persoonsgegevens verzamelt of verwerkt op een manier die achteraf onrechtmatig blijkt, worden de betrokkenen daar dan actief over geïnformeerd? Bent u het met de indiener(s) eens dat mensen het recht hebben om dit te weten?

Vraag 12

Wat vindt u van de oproep van Amnesty International aan de Nationale ombudsman en de Autoriteit Persoonsgegevens (AP) om het toezicht op registraties in politiedatabanken te versterken? Bent u bereid de Ombudsman en AP te ondersteunen in de opvolging hiervan op het gebied van rechtsherstel, de oprichting van een laagdrempelig loket en de mogelijkheden om klachten op nationaal niveau te delen en evalueren? Kunt u daarbij apart ingaan op iedere aanbeveling?

Vraag 13

Kunt u deze vragen afzonderlijk van elkaar beantwoorden?

Vraag 1

Bent u bekend met het bericht «Pro-Russische hackers nemen Belgische overheidswebsites op de korrel»1?

Vraag 2

Deelt u de opvatting van het Belgische Centrum voor Cybersecurity dat een dergelijke ddos-aanval ongevaarlijk is?

Vraag 3

Zijn Nederlandse overheidswebsites ook vatbaar voor dit soort aanvallen? Zo ja, op wat voor schaal komt dit voor?

Vraag 4

Wat voor risico's hebben cyberaanvallen op overheidswebsites voor het gebruik van de websites en de bescherming van data zoals persoonsgegevens?

Vraag 5

Is er onderzocht wat voor groepen verantwoordelijk zijn voor ddos-aanvallen op bijvoorbeeld de DigiD? Zo ja, hoe wordt hierop gehandeld? Volgen hierop bijvoorbeeld diplomatieke stappen?

Vraag 6

Is er sprake van een toename van Russische aanvallen met betrekking tot de veranderende geopolitieke situatie? Zo ja, hoe reageert de Nederlandse overheid hierop?

Vraag 1

Bent u bekend met het bericht van de Consumentenbond «Tieneraccounts maken Instagram niet direct «veilig»»1?

Vraag 2

Deelt u de conclusies van het onderzoek? Kunt u afzonderlijk in gaan op de conclusies van de Consumentenbond?

Vraag 3

Wat is uw reactie op de problemen die de Consumentenbond schetst rondom schermverslaving, een negatief zelfbeeld, en continue privacyschending door Instagram?

Vraag 4

Zijn de conclusies van het Consumentenbond-onderzoek voor u aanleiding om Meta aan te spreken op haar verantwoordelijkheid om jongeren daadwerkelijk te beschermen? Indien Meta «tieneraccounts» niet daadwerkelijk veilig maakt, welke gevolgen moet dat wat u betreft hebben?

Vraag 5

Deelt u de mening van de indiener dat de online gezondheid van jongeren niet aan techgiganten moet worden overgelaten, maar een verantwoordelijkheid is van deskundigen en de overheid?

Vraag 6

Welke verslavende ontwerpkeuzes kent Instagram? Kunt u deze op basis van onderzoek benoemen?

Vraag 7

Vindt u dat een Digitale Kijkwijzer voor sociale media, die de vertrouwde methodiek volgt van het Nederlands Instituut voor de Classificatie van Audiovisuele Media (NICAM), een effectieve methode zou zijn om verslavende ontwerpkeuzes te onderzoeken en gebruikers te behoeden voor de gezondheidsrisico’s daarvan?

Vraag 8

Deelt u de mening dat het adverteren van een «tieneraccount» dat niet daadwerkelijk doet wat het belooft een vorm van schijnveiligheid biedt, en daarmee jongeren en ouders verkeerd informeert?

Vraag 9

Erkent u dat het commerciële belang van techbedrijven om zo lang mogelijk de aandacht van een gebruiker te trekken, fundamenteel in strijd is met de belangen van (mentale) gezondheid en online veiligheid?

Vraag 10

Vindt u het uitlegbaar dat techbedrijven überhaupt zelf de voorwaarden voor een tieneraccount mogen stellen, nu blijkt dat het niet doet wat het belooft en de belangen in de kern tegenstrijdig zijn?

Vraag 11

Is de voorwaarde dat ouders zelf ook een Instagram-account moeten hebben om een tieneraccount in te stellen redelijk volgens u? Wat betekent dit voor ouders zonder Instagram-account?

Vraag 12

Hoe bent u van plan om nationaal de schermtijd te verlagen? Welke maatregelen nemen andere EU-landen om hier op te sturen? Zijn deze maatregelen effectief?

Vraag 13

Hoe gaat u de motie-Kathmann [Kamerstuk 26 643-1302], die vraagt om een Europees totaalverbod op polariserende en verslavende ontwerpkeuzes, uitvoeren?

Vraag 14

Welke EU-lidstaten delen de opvatting van de Tweede Kamer dat er een Europees totaalverbod op polariserende en verslavende ontwerpkeuzes moet komen? Hoe trekt u samen met hen op?

Vraag 15

Steunt u de komst van een ambitieuze en sterke Digital Fairness Act (DFA) zoals voorgesteld door de Europese Commissie?2 Zou deze volgens u een verbod op verslavende ontwerpkeuzes moeten bevatten?

Vraag 16

Hoe reageert u op de uitspraken van de regering-Trump dat de Digital Services Act (DSA) niet verenigbaar is met Amerikaanse waarden?3

Vraag 17

Zal u in Europees verband blijvend en ondubbelzinnig aandringen op maximale naleving, handhaving en waar nodig versteviging van digitale wetgeving, ongeacht politieke druk vanuit de Verenigde Staten?

Vraag 18

Indien de regering-Trump wél aandringt op het afzwakken van Europese regelgeving, welke conclusie verbindt u daar in het uiterste geval aan? Bent u bereid om sociale media apps die willens en wetens EU-wetten niet naleven in het uiterste geval geheel te verbieden?

Vraag 19

Bent u van mening dat het verhogen van de minimumleeftijd voor sociale media, nationaal of Europees, ook een vorm van schijnveiligheid biedt? Deelt u de mening van de indiener dat de oplossing ligt in een combinatie van niet-bindend wetenschappelijk advies en keiharde Europese regulering van sociale media apps?

Vraag 20

Hoe gaat u komen tot nationale adviesleeftijden voor verschillende sociale media apps? Welke expertise betrekt u bij het maken van deze adviezen?

Vraag 21

Wat is de rol van het Rijksinstituut voor Volksgezondheid en Milieu (RIVM) in het maken van gezaghebbend gezondheidsadvies over schermtijd bij verschillende leeftijden en verschillende soorten schermtijd? Bent u bereid om het RIVM nauw te betrekken bij het maken van de nationale adviezen?

Vraag 22

Hoe gaat u de gezaghebbende adviezen van Nederlandse experts inzetten om tot een uniforme Europese informatievoorziening over de gezondheidseffecten van sociale media apps te komen?

Vraag 23

Kunt u deze vragen afzonderlijk beantwoorden?

Vraag 1

Bent u bekend met het bericht «Persoonsgegevens honderden militairen zichtbaar via sportapp Strava»?1

Vraag 2

Hoe lang bent u al op de hoogte dat apps zoals Strava de veiligheid van Nederlandse militairen in gevaar brengen?

Vraag 3

Met hoeveel zekerheid kunt u zeggen dat er al sprake is van het combineren van openbare of gelekte informatie over militairen door kwaadwillenden? Op welke schaal vindt dit plaats?

Vraag 4

Deelt u de mening dat privacybescherming van militairen in direct verband staat met hun persoonlijke veiligheid en de nationale veiligheid?

Vraag 5

Deelt u de mening dat, vanuit het veiligheidsperspectief voor Nederlandse militairen, maximale privacybescherming op online platforms noodzakelijk is?

Vraag 6

Op welke manier doet u aan advisering en voorlichting voor militairen over online veiligheid? Welke regels gelden er voor zowel werk- als privé telefoongebruik? Verschilt dit tussen militairen in Nederland en uitgezonden militairen?

Vraag 7

Bent u bereid tot meer dwingende maatregelen, zoals het verbieden van sportapps en andere apps die de privacy van militairen schaden op militair terrein? Zo nee, waarom niet?

Vraag 8

Welke acties heeft u ondernomen om de online veiligheid van militairen beter te beschermen, ook na eerdere berichtgeving en Kamervragen over de privacygevolgen van datingapps en sportapps?2 3

Vraag 9

Hebben de acties die u heeft genomen om de online veiligheid van militairen beter te beschermen effect gehad? Kunt u dit onderbouwen?

Vraag 10

Bent u bekend met het onderzoek van de KU Leuven uit 2022, waaruit blijkt dat eerdere oplossingen van Strava vooral tot schijnveiligheid leiden?4

Vraag 11

Welke technische mogelijkheden ziet u om de veiligheid van militairen beter te beschermen bij het gebruik van sportapps, datingapps of andere apps die hun data verzamelen?

Vraag 12

Is het mogelijk om te achterhalen, al dan niet in overleg met Strava, of de openbare profielen van militairen mogelijk door kwaadwillenden zijn bekeken?

Vraag 13

In hoeverre zijn militairen die een gesloten account hebben echt veilig? Welke derde partijen hebben toegang tot de informatie die Strava verzamelt, ook als een account gesloten is? Waaruit blijkt dit?

Vraag 14

Ziet u gezien de onvoorspelbare geopolitieke situatie aanleiding om het beleid rondom het gebruik van Amerikaanse apps door militairen te heroverwegen en aan te scherpen?

Vraag 15

Kunt u deze vragen afzonderlijk en uiterlijk drie dagen vóór het commissiedebat «Hybride dreigingen en maatschappelijke weerbaarheid» beantwoorden?

Vraag 1

Wat is de impact van het (tijdelijk) stoppen vanuit de Verenigde Staten met financiering op Curaçao, Aruba en Sint Maarten (de CAS-eilanden) in het algemeen en specifiek op maatschappelijke organisaties? Hoe raakt dit de sectoren zorg en educatie? Hoe raakt dit rechtsbijstand en juridische voorlichting aan ongedocumenteerden, migranten en mensen die bescherming zoeken? Mocht u hierover nog geen concrete informatie hebben, bent u dan bereid hier op korte termijn onderzoek naar te doen? Zo nee, waarom niet?

Vraag 2

Kunt u aangeven welke concrete gevolgen er zijn als de financiering blijvend wordt stopgezet?

Vraag 3

Zijn er ook concrete gevolgen merkbaar voor Bonaire, Sint Eustatius en Saba (de BES-eilanden) (met name Bonaire) nu belangrijke projecten op Aruba en Curaçao (tijdelijk) geen financiering ontvangen?

Vraag 4

Ziet u het belang van projecten die werden uitgevoerd met deze financiering in het algemeen en specifiek door het maatschappelijk middenveld? Zo nee, waarom niet?

Vraag 5

Hoe ziet u deze situatie ontwikkelen na de stop van drie maanden die nu is aangegeven vanuit de Verenigde Staten?

Vraag 6

Bent u met de CAS-eilanden in gesprek over de gevolgen van de stop van de financiering door USAID? Zo nee, bent u van plan dit alsnog op korte termijn te doen?

Vraag 7

Erkent u dat het wegvallen van deze projecten de verantwoordelijkheid van het Koninkrijk raakt, gezien de bijzondere staatkundige relatie met de CAS-eilanden? Zo nee, waarom niet?

Vraag 8

Welke rol kan het land Nederland spelen in het opvangen van het wegvallen van deze projecten?

Vraag 9

Is Nederland bereid om mee te denken over alternatieve financieringsbronnen voor deze projecten, zoals internationale humanitaire fondsen of Europese subsidies en hier een faciliterende rol op zich te nemen?

Vraag 10

Kan Nederland proactief financiële ondersteuning aanbieden in deze uitzonderlijke situatie met inachtneming van de specifieke relatie tussen het Koninkrijk en de CAS-eilanden? Zo nee, waarom niet?

Vraag 11

Erkennen Nederland en de CAS-eilanden het cruciale werk van lokale en internationale organisaties die personen die bescherming zoeken op de eilanden ondersteunen? Zo nee, waarom niet?

Vraag 12

Gegeven de huidige situatie in Venezuela, beschouwt Nederland Venezolaanse personen op de CAS-eilanden als een groep waarvan een deel specifieke bescherming nodig heeft? Zo nee, waarom niet?

Vraag 13

Voelt Nederland zich, als grootste land binnen het Koninkrijk, verantwoordelijk vanwege de impact die dit besluit heeft op de mensenrechten van personen op de CAS-eilanden in het algemeen en ongedocumenteerden, migranten en mensen die bescherming zoeken specifiek? Zo nee, waarom niet?

Vraag 14

Kunt u deze vragen afzonderlijk van elkaar beantwoorden?

Vraag 1

Bent u bekend met het rapport «GenAI: naar een productievere en toekomstbestendige publieke sector», waarin wordt geconcludeerd dat tot wel 20 miljard euro belastinggeld bespaard kan worden door de inzet van generatieve AI?1

Vraag 2

Bent u ermee bekend dat in de publieke sector sprake is van een productiviteitsdaling, terwijl er tegelijkertijd 425.0000 vacatures openstaan? Deelt u de mening dat een uitdijende overheid met steeds meer ambtenaren geen houdbare oplossing is voor het verbeteren van dienstverlening?

Vraag 3

Ziet u dat het gebruik van generatieve AI kansen biedt voor betere dienstverlening, meer werkplezier en een oplossing kan zijn van het personeelstekort? Hoe beoordeelt u de conclusie van de onderzoekers dat inzet van Generatieve AI 255.000 tot 465.000 voltijdbanen kan opleveren? Hoeveel belastinggeld kan bespaard worden door de inzet van AI?

Vraag 4

Op welke manieren experimenteert de overheid met het gebruik van generatieve AI? Op welke manier wordt al op schaal productiviteitsgroei gerealiseerd door generatieve AI?

Vraag 5

Welke lessen trekt u uit het gebruik van generatieve AI door overheden in andere landen? Kunt u aangeven welke lessen Nederland trekt uit de in het rapport genoemde voorbeelden zoals «Albert», het Franse AI-systeem waarmee taken geautomatiseerd worden en ambtenaren minder tijd kwijt met het vinden van informatie?

Vraag 6

Welke lessen trekt u uit het gebruik van generatieve AI in de private sector? Deelt u de mening dat het reëel is dat de productiviteitsgroei in de private sector in komende jaren veel hoger ligt door adaptatie van generatieve AI? Hoe zorgt u ervoor dat de publieke sector niet achterblijft?

Vraag 7

Deelt u de conclusie dat de risico’s van het gebruik van generatieve AI beperkt kunnen worden door te zorgen dat er altijd mensen meekijken?

Vraag 8

Bent u bereid aan de slag te gaan met vijf mogelijke pioniergebieden die als kansrijk worden aangewezen voor de inzet van AI? Kunt u per pionier aangeven waarom wel of niet?

Vraag 9

Op welke manier werkt zowel Europese als Nederlandse regelgeving nu de inzet van generatieve AI tegen? Bent u bereid onnodige drempels weg te halen?

Vraag 10

Vindt u dat de geschetste randvoorwaarden voor de inzet van AI in Nederland nu in orde zijn? Zo nee, welke stappen zet u om hiervoor te zorgen?

Vraag 11

Welke langetermijndoelen stelt de overheid voor het gebruik van AI?

Vraag 12

Op welke manier worden ambtenaren nu gestimuleerd om effectiever te werken door inzet van AI? Hoe wordt dit gestimuleerd op de dagelijkse werkvloer? Vindt u dat extra stappen hier nodig zijn?

Vraag 1

Kunt u uitleggen wat het doel was van uw werkbezoek van 3 tot en met 5 maart 2025 aan Microsoft en Amazon in Seattle?1

Het doel van het werkbezoek was drieledig, namelijk: 1) Het krijgen van inzicht in de laatste technologische ontwikkelingen bij Microsoft en Amazon; 2) het bepalen van de impact die deze bedrijven hebben op het opereren van Defensie en 3) het ontwikkelen van meer inzicht op het gebied van autonomie en soevereiniteit op het gebied van data en informatie.

Vraag 2

Kunt u het volledige programma van uw werkbezoek delen, met een overzicht van wie u heeft gesproken en wat het onderwerp van deze gesprekken was?

Vanwege privacy kunnen wij geen namen of functies geven, maar er is gesproken met beide bedrijven op het niveau van director & corporate vice president. Met deze vertegenwoordigers heb ik gesproken over oplossingen voor mobiele cloudomgevingen, verwerking en eigenaarschap van data, regelgeving en toepasbaarheid van de laatste technologische ontwikkelingen die relevant zijn voor Defensie.

Vraag 3

Heeft u op dit werkbezoek concrete toezeggingen gedaan of afspraken gemaakt? Wat was uw boodschap richting de bedrijven?

Ik heb geen toezeggingen gedaan. Onze gevechtskracht is niet langer alleen afhankelijk van staal en vuur, maar ook van bits en bytes. Hierin biedt de expertise van techbedrijven zoals Microsoft en Amazon waardevolle inzichten. Mijn boodschap richting de bedrijven is om te onderzoeken hoe hun expertise en technologie bij kunnen dragen in operationele situaties, op een soevereine wijze.

Vraag 4

Is de inhoud van het werkbezoek en uw inbreng bij de activiteiten afgestemd met het Ministerie van Binnenlandse Zaken en het Ministerie van Economische Zaken?

De inhoud van het werkbezoek is afgestemd met het Ministerie van Economische Zaken.

Vraag 5

Deelt u de mening dat, in deze geopolitieke context, Nederland de afhankelijkheid van niet-Europese techbedrijven juist zou moeten verminderen?

Het kabinet heeft in 2023 de Agenda Digitale Open Strategische Autonomie (DOSA) met uw Kamer gedeeld.2 Het Kabinet constateert in de Agenda DOSA dat, in deze veranderende context, we strategisch moeten gaan kijken naar digitale technologie, en in het bijzonder naar strategische afhankelijkheden met een hoog risico.
We hebben een langdurige trans-Atlantische relatie met de VS. De VS is en zal een cruciale partner voor Nederland blijven, met gedeelde veiligheids- en economische belangen, waaronder ook digitale aspecten vallen.
Nederland zal blijven werken aan een goede werkrelatie met de VS. Ontwikkelingen in de VS, ook ten aanzien van tech, volgen elkaar snel op. We houden deze ontwikkelingen op technologisch- en veiligheidsgebied in de VS nauwlettend in de gaten.
Een te grote afhankelijkheid van één marktpartij is echter ongewenst. In de afweging welke data wij in eigen beheer verwerken en wat in de public cloud, moeten risicovolle strategische afhankelijkheden én marktconcentraties worden meegewogen. Daarbij wordt expliciet gekeken naar Europese tech-bedrijven.

Vraag 6

Acht u de totale afhankelijkheid van clouddiensten van niet-Europese techbedrijven een mogelijk risico voor de Nederlandse en Europese autonomie en veiligheid?

Zoals ook door de Algemene Rekenkamer is geconstateerd, wordt er veelvoudig gebruik gemaakt van public clouddiensten, waarbij meer dan de helft van de materieel public clouddiensten3 bij «big tech» ingekocht wordt4. Er is hiermee echter nog geen sprake van een «totale afhankelijkheid». In de afweging welke data we in eigen beheer verwerken en wat in de public cloud moeten risicovolle strategische afhankelijkheden én marktconcentraties worden meegewogen.
Defensie gaat uit van een spreiding van risico’s door clouddiensten in de eigen datacentra en bij verschillende cloud aanbieders onder te brengen, zowel binnen als buiten Europa. Er zal dus geen sprake zijn van totale afhankelijkheid van niet-Europese techbedrijven. Defensie weegt per situatie af of een eventuele afhankelijkheid acceptabel is. Daarbij worden ook de aspecten autonomie en veiligheid per situatie beoordeeld.

Vraag 7

Heeft het Ministerie van Defensie een strategie voor het terugdringen van strategische afhankelijkheden van niet-Europese techbedrijven? Zo ja, hoe gaat u deze afhankelijkheden verminderen? Zo nee, waarom niet en bent u bereid deze strategie alsnog te ontwikkelen?

Het beleid van Defensie draagt op verschillende manieren bij aan het vergroten van onze strategische autonomie en het positioneren van onze Nederlandse kennis-, technologie- en industriebasis. Begin april 2025 wordt de nieuwe Strategie van Defensie naar uw Kamer gestuurd, waarin toegelicht zal worden hoe Defensie strategische afhankelijkheden wil verminderen door zelf te investeren in de kennis- en industriebasis. Hoe sterker Europa en Nederland zijn, hoe minder afhankelijkheid. Defensie neemt daarnaast ook verschillende beschermende maatregelen: bepaalde producten, onderdelen en/of capaciteiten zullen in Nederland behouden of ontwikkeld moeten worden om (cruciale) (wapen)systemen van de krijgsmacht – en haar bondgenoten – te kunnen produceren, op te kunnen schalen en te ondersteunen.

Vraag 8

Welke strategische investeringen doet het Ministerie van Defensie op het gebied van autonomie in het digitale domein? Acht u het in het belang van de Nederlandse veiligheid om de capaciteit van de Nederlandse en Europese techsector te benutten en versterken door te investeren in hun diensten en deze af te nemen?

Om internationaal een speler van betekenis te blijven, mee te blijven lopen in de mondiale (technologische) ontwikkelingen en onze afhankelijkheid van anderen te beperken, is het verkrijgen en het behouden van leiderschap op strategische technologische punten voor Nederland en Defensie belangrijk. Nederland heeft een sterke en kennisintensieve technologische en industriële basis die hoogwaardige producten en diensten levert. De gewijzigde geopolitieke context en de snelle technologische ontwikkelingen maken dat investeringen in de Nederlandse Technologische en Industriële Basis (NLDTIB) nodig zijn. Een sterke krijgsmacht en een sterk Nederland, kan alleen als de NLDTIB en Europese Technologische Industriële Basis (EDTIB) versterkt worden. Het internationaal positioneren van Nederlandse en Europese technologiebedrijven is daarbij van belang. Begin april wordt de nieuwe Defensie Strategie voor Industrie en Innovatie (D-SII) en de bijbehorende Strategische Actieagenda Industrie, Innovatie en Kennis – Defensie (STRAIIK-D) aangeboden aan de Kamer. Daarin zullen deze ambities en versterkingen toegelicht worden.

Vraag 9

Welke acties onderneemt u om Nederlandse en Europese techbedrijven structureel meer te betrekken bij Defensie-aanbestedingen en strategische IT-infrastructuur?

Defensie werkt aan versterkte publiek-private samenwerking o.a. via Defport. Defport draagt bij aan het versnellen van de militaire materieelgereedheid door de afstand tussen Defensie en de private sector te verkleinen. Ook de regionale programmabureaus en de opbouw van regionale ecosystemen en uitbreiding van MINDBases dragen bij aan het verkleinen van de afstand tussen Defensie, kennisinstellingen en industrie. Het is voor de Europese strategische autonomie van groot belang dat er strategische samenwerking bestaat met Nederlandse en Europese techbedrijven. Defensie zet in op een nauwe samenwerking met het bedrijfsleven. Specifiek voor IT heeft Defensie sinds enkele jaren verschillende dialoogtafels met IT-bedrijven die betrekking hebben op huidige en toekomstige ontwikkelingen, om samen op te trekken en vruchtbare partnerschappen te ontwikkelen voor de lange termijn zodat snel kan worden ingespeeld op de behoeften van Defensie. Deze maandelijkse dialoog-tafels stellen Defensie in staat om uitdagingen voor te leggen aan de markt, om te komen tot nieuwe samenwerkingen, oplossingen en versnelling.

Vraag 10

Heeft u een plan om bestaande samenwerkingen met Nederlandse en Europese techbedrijven binnen Defensie op te schalen? Welke acties onderneemt u om dit te bereiken?

Ja, mede dankzij de Defensie IT-leveranciersdialoog is Defensie in staat geweest om strategische partnerschappen aan te gaan met diverse IT-bedrijven. Zoals in de Defensienota 2024 is aangekondigd zal Defensie eraan werken om nieuwe technologieën, nadrukkelijk afkomstig van de Nederlandse industrie, te integreren in militaire toepassingen.
Nationale samenwerking met andere departementen, kennispartners en het bedrijfsleven in Nederland leidt tot betere resultaten voor zowel de krijgsmacht als het Nederlandse verdienvermogen en de maatschappij. De samenwerking wordt ingericht via verschillende ecosystemen, per onderwerp en per regio. Defensie legt haar behoeften neer bij de industrie, de capability pull. Kennisinstellingen, start-ups, MKB’ers en Original Equipment Manufacturers (OEM’s) werken samen aan oplossingen die Defensie nodig heeft. Ook is er nadrukkelijk ruimte voor ideeën vanuit de industrie en civiele technologieën die betekenisvol kunnen zijn voor Defensie. Nederlandse en Europese (tech)bedrijven worden hiermee nauwer verbonden aan de opgaves van Defensie en gepositioneerd om vroegtijdig mee te werken aan uitdagingen.

Vraag 11

Hoe stimuleert u Nederlandse en Europese partijen om mee te dingen naar aanbestedingen op het gebied van defensie en veiligheid? Welke drempels ervaren deze bedrijven momenteel en hoe gaat u die wegnemen?

Het eerste deel van deze vraag heb ik beantwoord in vraag 9. Betreffende het tweede deel: Eén van de knelpunten is toegang tot financiering. Met name start-ups, scale-ups en het MKB lopen tegen deze drempel aan. Uw Kamer is recent per brief geïnformeerd5 over deze financieringsknelpunten. In deze brief kondigt Defensie vier actielijnen aan om deze knelpunten op te lossen. Deze actielijnen zetten in op 1) het bieden van lange termijnvraag, 2) het mobiliseren van private investeringen en beter gebruik maken van bestaande instrumentaria 3) het optimaliseren van overheidsprocessen en 4) het versterken van de dialoog met de markt, bijvoorbeeld met het publiek-private platform Defport.

Vraag 12

Heeft u, naast de samenwerking met niet-Europese techbedrijven, ook onderzocht welke Europese cloud- en technologiealternatieven beschikbaar zijn voor Defensie? Zo ja, welke Europese partijen heeft u hiervoor in beeld? Zo nee, waarom niet?

Ja, Defensie is een onderzoek gestart naar mogelijkheden om cloudomgevingen voor Defensie te ontwikkelen met Europese leveranciers. De gesprekken daarover verkeren nog in een commercieel vertrouwelijke fase.

Vraag 13

Bent u bereid (alsnog) gesprekken te initiëren met Europese alternatieven zoals OVHcloud, Nextcloud, of het GAIA-X-initiatief?

Ja.

Vraag 14

Wat bedoelt u precies met uw openbare uitspraak: «Met een slimme mix van eigen en commerciële cloudoplossingen vergroten we onze digitale slagkracht»?2

Defensie ontwikkelt eigen IT zoals commandovoeringssystemen en IT-infrastructuur zoals de private cloud binnen het programma GrIT. Daarnaast is er een wereldwijde zeer snelle en innovatieve technologie-ontwikkeling in de public cloud. Om militair relevant te blijven op het slagveld met digitale technologie zal Defensie deze technologieën moeten combineren. Het combineren hiervan is onderdeel van de multicloud strategie van Defensie. Dit is een cruciaal onderdeel van de digitale transformatie van Defensie.

Vraag 15

Hoe worden de diensten van Microsoft en Amazon momenteel gebruikt in de Defensie-architectuur? Welke Defensie-onderdelen zijn afhankelijkheid van deze diensten?

In de architectuur staan de clouddiensten van Microsoft en Amazon als «onderlaag» die gebruikt wordt voor ongepubliceerde of laag-gerubriceerde informatiesystemen. Naast clouddiensten neemt Defensie bij Microsoft ondersteuningsdiensten af voor de inzet van diverse Microsoft producten die op diverse plekken in de generieke IT-infrastructuur van Defensie worden toegepast. Voor de daadwerkelijke inzet zijn er geen afhankelijkheden van deze diensten (wel van de producten). Voor de lange termijn continuïteit heeft heel Defensie afhankelijkheden. Een van de belangrijkste afhankelijkheden is de cybersecurity ondersteuning van de diverse Microsoft producten.

Vraag 16

Welke gegevens worden door Defensie bewaard, verwerkt, of gedeeld via de clouddiensten van Microsoft en Amazon? Heeft de Verenigde Staten, onder de CLOUD Act, toegang tot deze (gevoelige) gegevens?

Defensie verwerkt en bewaart alleen ongerubriceerde of laag gerubriceerde gegevens in de clouddiensten van Microsoft en Amazon.
Het Nationaal Cyber Security Centrum heeft in augustus 2022 een onderzoeksrapport over de CLOUD Act gepubliceerd. In dit onderzoek stelt Greenberg Traurig dat het risico dat de Amerikaanse overheid toegang krijgt tot Europese (persoons)gegevens, specifiek op basis van de CLOUD-act, weliswaar voorstelbaar, maar in de praktijk ook (heel) klein is.
Defensie verwerkt geen hoog gerubriceerde informatie in cloud-diensten van Microsoft en Amazon. Om een goede afweging te maken over de risico’s en de baten, hanteert Defensie een cloud-afwegingskader.

Vraag 17

Kunt u deze vragen afzonderlijk van elkaar beantwoorden?

Wegens de samenhang tussen vragen 9 en 11 is een gedeelte van deze beantwoording samengevoegd. Alle overige vragen zijn afzonderlijk van elkaar beantwoord.

Vraag 1

Is de gedeeltelijke migratie van de 58.000 digitale werkplekken van ambtenaren naar de public cloud strikt noodzakelijk? Waaruit blijkt dit?1

De migratie van de werkplekken van de Rijksoverheid die SSC-ICT aan het voorbereiden is, is noodzakelijk omdat meerdere componenten van de huidige werkplek op korte termijn niet meer ondersteund worden (End of Support) of zelfs het einde van hun levensduur hebben bereikt (End of Life). Het eerste geldt bijvoorbeeld voor Windows 10 (oktober 2025) en het tweede voor Ivanti (december 2026). Om continuïteit te borgen is het dus noodzakelijk deze componenten te vervangen. Daarnaast is het vanuit beveiligingsoogpunt van belang om over te stappen naar een modernere en veiligere werkplek. De migratie naar de nieuwe werkplek betreft overigens geen migratie naar de cloud. Alle documenten en mails blijven in de eigen overheid-datacenters; alleen bepaalde beheerapplicaties gaan deels naar de cloud2.

Vraag 2

Hoeveel zou de voorgenomen cloudmigratie kosten?

De migratie wordt deels bekostigd uit het al aan SSC-ICT beschikbaar gestelde ICT-budget dat bedoeld is voor doorontwikkeling van haar ICT-diensten. Daarnaast is een aanvullend budget van € 8,7 mln. voorzien voor migratie- en uitrolkosten.

Vraag 3

Deelt u de mening dat cloudmigraties van overheids-ICT naar Amerikaanse techgiganten geen vanzelfsprekendheid meer moeten zijn, gezien de onvoorspelbare geopolitieke situatie en de reële kans op een handelsoorlog met de Verenigde Staten?

Iedere cloudmigratie moet weloverwogen plaatsvinden, conform de waarborgen zoals gesteld in onder meer het Rijksbreed cloudbeleid 2022. Daarnaast is het voorkomen van risicovolle strategische afhankelijkheden een belangrijk onderdeel vanuit de Agenda DOSA.3
Een van de maatregelen die het kabinet neemt, is de herziening van het rijksbrede cloudbeleid, dat u medio 2025 ontvangt. In dit beleid wordt het gebruik van public cloud aangescherpt. Cloudtechnologie biedt onmiskenbare voordelen, zoals flexibiliteit, innovatie en gebruiksgemak, maar vereist ook zorgvuldige afwegingen om de digitale autonomie en veiligheid te waarborgen. Deze aspecten krijgen nadrukkelijker een plek in het nieuwe beleid.
Daarnaast wordt actief met Europese partners samengewerkt aan alternatieve oplossingen en een goed functionerende Europese markt. Het blijft daarom van belang om risico’s zorgvuldig af te wegen en waar nodig passende maatregelen te treffen, zoals ook bij de nieuwe werkplek van SSC-ICT is gebeurd. De uiteindelijke acceptatie van de (rest)risico’s zal voorgelegd worden (ter acceptatie) aan de afnemers van de werkplek van SSC-ICT.4

Vraag 4

Klopt het dat DICTU en de Belastingdienst ook voornemens zijn om de digitale werkplekken (gedeeltelijk) naar de public cloud verhuizen?2

In het Jaarplan 2025 Belastingdienst dat uw Kamer op 11 december 2024 heeft ontvangen, is aangegeven dat de Belastingdienst voornemens is om in 2025 alle werkplekken naar M365 te migreren. Dit gebeurt gecontroleerd en weloverwogen. De implementatie van de migratie is op dit moment nog niet gestart. De Belastingdienst volgt de recente geopolitieke ontwikkelingen en zal in lijn handelen met het herijkte Cloudbeleid en implementatieplan dat door BZK wordt opgesteld en medio 2025 zal worden opgeleverd.
DICTU maakt in zijn digitale werkplek gebruik van public clouddiensten van Microsoft, maar niet van de gehele Microsoft werkplek. De belangrijkste public cloudapplicaties die door DICTU worden ingezet zijn Teams, Onedrive en Exchange Online. Deze zijn beschikbaar voor de ca. 20.000 werknemers van de Ministeries EZ, KGG en LVVN.
Voordat bovenstaande clouddiensten in gebruik genomen zijn, zijn risicoanalyses uitgevoerd op het gebied van dataprivacy en security conform het Rijkscloudbeleid.

Vraag 5

Welke cruciale software-componenten van de huidige digitale werkplek worden vanaf eind 2026 niet meer ondersteund door de leverancier(s)? Is dit door de leverancier(s) aan u bevestigd? Om welke leverancier(s) gaat het?

De software die nu nog wordt gebruikt en die na december 2026 niet meer wordt ondersteund, betreft Ivanti Workspace Control. Dit is bevestigd door de leverancier Ivanti.
Ivanti Workspace Control is een softwareoplossing die IT-beheerders helpt bij het beheren en beveiligen van gebruikersomgevingen in Windows-omgevingen. Het zorgt ervoor dat medewerkers altijd en overal toegang hebben tot hun persoonlijke werkplek, ongeacht het apparaat of de locatie.
Ook Windows 10 dat op de meeste werkplekken in gebruik is, is aan het eind van de levenscyclus. Hier is wel nog (tegen additionele kosten) ondersteuning voor beschikbaar, maar gelet op de noodzakelijke werkzaamheden is het raadzaam om deze vernieuwingsacties te combineren.

Vraag 6

Heeft de leverancier / hebben de leveranciers van deze cruciale software-componenten bevestigd dat een oplossing, waarbij de gegevens en verwerking daarvan binnen de overheid blijven, definitief niet meer beschikbaar zal zijn?

Zie het antwoord op vraag 5. De software van Ivanti die op dit moment in gebruik is, is na 2026 niet meer te gebruiken; ook niet in een on premise variant.

Vraag 7

In de nieuwe digitale werkplek wordt volgens u «beperkt gebruik gemaakt van cloud-gebaseerde beheertoepassingen.» Om welke toepassingen van welke leverancier(s) gaat dit?

Om de nieuwe DWR2.0 werkplek te kunnen beheren en up-to-date en veilig te houden, wordt in die werkplek gebruik gemaakt van een aantal clouddiensten, waaronder Netskope, Microsoft inTune en Microsoft Defender. Deze slaan de inhoudelijke data niet op, maar zorgen ervoor dat de omgeving veilig blijft (zoals het voorkomen van malware, phishing links, etc.). Dit wordt ook wel aangeduid als «data in transit». Om dit mogelijk te maken, slaan de applicaties tijdelijk metadata en logging data op. Dat is informatie over de data, zoals de gebruikers-id, de naam van de gebruikte applicaties, het aantal up- en downloads, de datum waarop de gegevens zijn aangemaakt, het gebruikte toestel, etc. Deze gegevens staan tijdelijk in de public cloud van de leverancier (6 maanden voor MS en een zelf te configureren periode voor Netskope), t.b.v. monitoring door het Security Operations Center (SOC) van SSC-ICT. Inhoudelijke data worden hierbij niet opgeslagen.

Vraag 8

Uit welk land komt de beoogde leverancier / komen de beoogde leveranciers? Waar vindt de opslag en verwerking van gegevens plaats in deze «cloud-gebaseerde beheertoepassingen»? Welke gegevens betreft dit? En gaat overheidscommunicatie in zichtbare (onversleutelde) vorm door de servers van deze leverancier(s)?

Netskope en Microsoft zijn Amerikaanse leveranciers. Zoals aangegeven bij het antwoord op vraag 7, gaat het om data in transit. Alle data in transit is versleuteld.

Vraag 9

Is de CLOUD Act of soortgelijke wetgeving, die geforceerde toegang tot data mogelijk maakt, van toepassing op gegevens die verwerkt worden onder de «cloud-gebaseerde beheertoepassingen»?

In algemene zin geldt dat de potentiële extraterritoriale werking van Amerikaanse wetgeving ertoe kan leiden dat Amerikaanse cloudaanbieders in specifieke situaties verplicht worden om gegevens van cloudgebruikers over te dragen aan Amerikaanse inlichtingendiensten. Op verzoek van het NCSC heeft Greenberg Traurig onderzoek gedaan naar onder andere de kans dat gegevens van Europese burgers op basis van de CLOUD-act verstrekt zullen worden aan de Amerikaanse overheid. Op basis van de daaromtrent beschikbare informatie is geconcludeerd dat deze kans laag is6.
In de casus van de nieuwe werkplek van SSC-ICT wordt echter geen overheidsdata opgeslagen op de Amerikaanse cloud; documenten en mail blijven in de eigen datacenters staan. De enige data die door deze leveranciers verwerkt wordt is metadata en logging data (zie ook vraag 8).

Vraag 10

U kondigt aan «nieuwe aanpassingen zoals de gereduceerde afhankelijkheid van de publiek cloud, de ingebouwde waarborgen.» Welke afhankelijkheden blijven er over? Om welke waarborgen gaat het?

De gereduceerde afhankelijkheid zit in het feit dat al het interne verkeer, dus tussen werkplek en alles wat in de eigen datacenters draait (eigen applicaties, mail, documenten, etc.), uitsluitend over eigen infrastructuur loopt en niet door de Netskope-cloudoplossing wordt verwerkt. Daarnaast laat ik onderzoeken of hier bovenop ook onderdelen van de cloudoplossing «on premise» (in het volledig in eigen beheer zijnde OverheidsDataCenter (ODC)) kunnen worden opgesteld en beheerd, zodat ook verkeer naar externe bronnen via de eigen datacenters loopt.
Mitigerende maatregelen worden tevens besproken in het antwoord op vraag 12

Vraag 11

Kunt u toezeggen om in de aangekondigde pilot te meten hoeveel data wordt gestuurd naar / via derde partijen, en ook om te meten wanneer het niet duidelijk is om welke partijen het gaat? Kunt u duidelijk maken of het gaat om persoonsgegevens, en zo ja, om welke persoonsgegevens? Kunt u dit in ieder geval meten voor processen zoals printen, mailen en tekstverwerking, en verslag uitbrengen aan de Kamer en extern laten valideren?

Zoals hierboven aangeven, wordt alleen de metadata en logging data van de transactie gerapporteerd. Zie hiervoor het antwoord op vraag 7. Het gaat dus niet om persoonsgegevens.

Vraag 12

Hoe gaat u komen tot een betrouwbare digitale werkplek waar alle afhankelijkheden zijn weggenomen?

Als onderdeel van de implementatie van de nieuwe werkplek door SSC-ICT zijn er al diverse risicoanalyses uitgevoerd, ook op het gebied van betrouwbaarheid, beveiliging en privacy. Naar aanleiding daarvan is een groot aantal maatregelen op deze gebieden afgesproken, die voor de start van de uitrol geïmplementeerd en getoetst zullen worden. M.b.t. afhankelijkheden zal ik blijven onderzoeken hoe deze zoveel mogelijk weggenomen kunnen worden. Op periodieke basis worden de verschillende onderdelen van de werkplek heroverwogen waarbij rekening wordt gehouden met effecten op gebruikersbeleving, security, privacy, beheersbaarheid, kosten, autonomie & continuïteit. Hierbij wordt bijvoorbeeld ook gekeken naar mogelijkheden op het gebied van open source.
Het volledig wegnemen van alle afhankelijkheden bij een digitale werkplek is in de praktijk niet realistisch en ook niet altijd noodzakelijk. Verschillende componenten in de digitale wereld zijn inherent met elkaar verbonden en kennen wederzijdse afhankelijkheden. Het streven is om risico's te beheersen tot een aanvaardbaar niveau en weloverwogen keuzes te maken. In het herziene rijksbrede cloudbeleid, dat u medio 2025 ontvangt, wordt deze aanpak verder uitgewerkt. Tegelijkertijd blijft het kabinet innovatie en digitale transformatie mogelijk maken waar dat verantwoord kan.

Vraag 13

Bent u bereid om onze inlichtingen- en veiligheidsdiensten om advies te vragen over de afhankelijkheden die zullen ontstaan door de voorgenomen migratie van de digitale werkplek? Kunt u dit advies op hoofdlijnen delen met de Kamer en meewegen in uw overwegingen over de migratie?

Er is aan meerdere partijen advies gevraagd, waaronder inlichtingen- en veiligheidsdiensten. Ik ben nog in overleg hoe we op hoofdlijnen, al dan niet vertrouwelijk, de adviezen van de inlichtingen-en veiligheidsdiensten kunnen delen. Hun adviezen zijn ter harte genomen en meegewogen in het huidige ontwerp.

Vraag 14

Wordt data uit de door SSC-ICT-ontworpen werkplekken straks lokaal én in de cloud opgeslagen, of alleen nog maar lokaal? Zijn er derde partijen die, door hun positie in de gekozen oplossing, tijdelijk zicht krijgen op onze data als deze door hun toepassingen heenstroomt?

Zie antwoord op vraag 7.

Vraag 15

Wat betekent het dat data «vooralsnog» op de eigen datacenters wordt opgeslagen? Wanneer zou dit niet meer het geval zijn?

De werkplek-data blijft nu in de eigen datacenters. Naar aanleiding van het nieuwe cloudbeleid kan bij de doorontwikkeling van de werkplek hierin verandering optreden. Maar op dit moment is dat niet aan de orde.

Vraag 16

Met hoeveel zekerheid kunt u zeggen dat er geen gevoelige overheidsinformatie of persoonsgegevens worden verwerkt op de 58.000 digitale werkplekken, als u in uw brief aan de Kamer aangeeft dat hier «gewoonlijk» geen sprake van is?

Het blijft de verantwoordelijkheid van de individuele ambtenaar om conform de geldende regelgeving veilig met informatie en gegevens om te gaan. In de nieuwe werkplek is de manier van gegevens verwerken niet anders dan nu het geval is. Via gerichte communicatie en instructies kan dit verder worden ondersteund.

Vraag 17

Kunt u deze vragen afzonderlijk van elkaar en indien mogelijk nog vóór het plenaire debat over de migratie van overheids-ICT naar het buitenland beantwoorden?

Zie alle bovenstaande antwoorden op de gestelde vragen.

Vraag 1

In hoeverre bent u op de hoogte van plannen om op Curaçao een zonnepark, laadstation en e-bussen te realiseren?

De regering van Curaçao heeft haar plannen per brief aan het kabinet kenbaar gemaakt. Het is positief dat Curaçao inzet op duurzame mobiliteit en hernieuwbare energie, wat kan bijdragen aan de energietransitie, een duurzamer transportsysteem en de economische ontwikkeling van het land.

Vraag 2

Deelt u de mening dat de ontwikkeling hiervan bijdraagt aan de economische versterking van Curaçao en het vergroten van (handels)kansen voor het Nederlandse bedrijfsleven?

Zoals reeds in het antwoord op de vorige vraag is aangegeven kunnen dergelijke initiatieven bijdragen aan economische ontwikkeling en verduurzaming. Het is aan Curaçao om de uitvoering en financiering vorm te geven. Nederlandse bedrijven kunnen hierop inspelen als marktpartijen.

Vraag 3

Bent u bekend met het feit dat het Chinese BYD (Build Your Dreams) tegen dumpprijzen elektrische bussen aan Curaçao wil leveren en daarmee oneerlijke concurrentie met het Nederlandse VDL (Van Der Leegte Groep) veroorzaakt? Wat doet het kabinet om deze oneerlijke concurrentie te voorkomen?

De inkoop van elektrische bussen is een verantwoordelijkheid van de regering van Curaçao. Curaçao heeft een autonome positie binnen het Koninkrijk en bepaalt zelf zijn economisch beleid, inclusief aanbestedingen en contractering. Nederland heeft hierin geen rol.

Vraag 4

Wat is momenteel het financiële gat voor het realiseren van het zonneveld met een elektrisch buspark en laadstation?

Volgens de gevolmachtigde Minister van Curaçao bedraagt het financiële tekort voor dit project 13,2 miljoen euro, hiervoor is vanuit het kabinet geen toezegging gedaan. De beschikbare middelen in de begrotingsreserve duurzame energie en klimaattransitie zijn gereserveerd voor de Nederlandse SDE(+)(+)-regelingen en zijn bedoeld om fluctuaties in uitgaven van deze regelingen op te kunnen vangen, en zijn daarom niet beschikbaar voor dergelijke projecten.
Wel is er op de Aanvullende Post 150 miljoen euro van de SDE-middelen gereserveerd voor Aruba, Curaçao en Sint-Maarten voor investeringssubsidies gericht op randvoorwaarden van de energietransitie, zoals netverzwaring, netaansluitingen en batterijopslag. Het gaat daarbij om onrendabele investeringen die benodigd zijn voor het inpassen van wind- en zonne-energieprojecten en investeringen in stabiliteit, capaciteit en betrouwbaarheid van het elektriciteitsnet. Dit is conform de conclusies uit het onderzoek uitgevoerd door TNO naar de mogelijkheden voor verduurzaming in de ACS landen, zoals toegelicht in de Kamerbrief van 17 juni 2024 over de Energietransitie op Aruba, Curaçao en Sint Maarten en het TNO-onderzoek (Kamerstuk 32 813, nr. 1402).
Het Kabinet voert gesprekken met de landen over de inzet van deze middelen en de benodigde investeringen. Hoewel een directe bijdrage aan dit project niet past binnen de kaders voor de beschikbare SDE-middelen zouden kosten voor netverzwaringen, batterijopslag of andere inpassingskosten, die randvoorwaardelijk zijn voor dit project, wel uit de SDE-middelen gefinancierd kunnen worden en dit project mogelijk kunnen faciliteren.

Vraag 5

Klopt het dat de door Nederland toegezegde financiering van het project nog niet geleverd is door discussie tussen de betrokken departementen?

Zie antwoord vraag 4.

Vraag 6

Deelt u de analyse dat het Ministerie van Klimaat en Groene Groei nog 4,3 miljard euro beschikbaar heeft voor dergelijke projecten in begrotingsreserve duurzame energie en klimaattransitie?

Momenteel loopt er een haalbaarheidsverkenning in samenwerking met de regering van Curaçao. De mogelijke economische kansen hangen af van de uitkomsten van deze verkenning en de financiële en technische haalbaarheid.

Vraag 7

Wanneer neemt u een besluit over de financiering van Nederland van dit project? Hoe kijkt u aan tegen het mogelijk openstellen van SDE++ subsidie (Stimulering Duurzame Energietransitie en Klimaattransitie) voor dit project en dergelijke projecten?

Curaçao beschikt over gunstige natuurlijke omstandigheden voor de productie van groene waterstof. Het ontwikkelen van een exportpositie vereist echter aanzienlijke investeringen in infrastructuur en marktontwikkeling. Nederland blijft hierover in gesprek met Curaçao en betrokken partijen.

Vraag 8

Wat is de stand van zaken van het project voor een drijvend windpark op zee? Deelt u de mening dat dit een economische kans is op Curaçao?

Ik ben voornemens om in mei naar Curaçao te reizen voor de Caribbean Climate and Energy Conference (CCEC), onder voorbehoud van mijn definitieve bevestiging. En marge van deze conferentie zal ik in gesprek gaan met de regering van Curaçao over onder andere de verduurzaming van de energievoorziening en de rol van hernieuwbare energie in de economische ontwikkeling van het land.

Vraag 9

Welke mogelijke rol ziet u voor Curaçao om een nieuwe energie-exporteconomie positie te verwerven via groene waterstof?

Nederland ondersteunt Curaçao via kennisuitwisseling en de inzet van investeringssubsidies voor duurzame elektriciteitsopwekking, zoals toegelicht hierover in de Kamerbrief van 17 juni 2024 (Kamerstuk 32 813, nr. 1402). Het initiatief en de uitvoering blijven echter de verantwoordelijkheid van Curaçao.

Vraag 10

Wat is de inzet van de Minister van Klimaat en Groene Groei als zij in mei afreist naar Curaçao op dit thema?

Vraag 11

Welke rol gaat het kabinet in brede zin spelen om in ondersteuning van Curaçao dit initiatief en deze innovatie te stimuleren samen met overheid en bedrijfsleven?

Vraag 1

Wat is, met in achtneming van de recente Kamerstukken, momenteel de status van de migratie van het domeinregistratiesysteem van het.nl-domein naar de public cloud van Amazon Web Services door SIDN?1

Vraag 2

In hoeverre zijn er sinds de toezegging van SIDN geen onomkeerbare stappen te zetten mogelijk toch onomkeerbare besluiten genomen en stappen gezet in het licht van de voorgenomen migratie?

Vraag 3

Deelt u de mening dat het advies van de AIVD om het gehele domeinregistratiesysteem (DNS) keten van SIDN bij een Nederlandse partij op Nederlands grondgebied te houden, op basis van recente geopolitieke ontwikkelingen, opnieuw bezien moet worden?

Vraag 4

Hoe beoordeelt u, gezien de geopolitieke ontwikkelingen, het risico dat de Verenigde Staten zich niet meer wenst te houden aan Europese regels in het kader van de EU-US Data Privacy Framework? Deelt u de mening dat de risico’s op dit moment juridisch op een acceptabel niveau zijn, maar dat gezien de geopolitieke ontwikkelingen deze risico's toch kunnen toenemen, gelet op het belang van de nationale veiligheid? Zo neen, waarom niet?

Vraag 5

Hoe beoordeelt u op dit moment het scenario om.nl-domein in zijn geheel niet te verplaatsen naar Amazon Web Services, maar om deze in handen te houden van SIDN? Wat zijn eventuele maatregelen die het kabinet moet nemen om de verplaatsing te voorkomen? Welke kosten zijn hier indicatief mee gemoeid?

Vraag 6

Hoe beoordeelt u het scenario waarbij tijdelijk de situatie zoals deze nu is gehandhaafd blijft totdat er een volledig Nederlandse oplossing voorhanden is in overeenstemming met het advies van de AIVD? Wat zijn eventuele maatregelen die het kabinet moet nemen? Welke kosten zijn hier indicatief mee gemoeid?

Zie antwoord vraag 5.

Vraag 7

Kunt u deze vragen beantwoorden uiterlijk 3 dagen vóór het plenaire debat «migratie overheids-ICT naar het buitenland»?

Vraag 1

Heeft u kennisgenomen van het rapport «Onderzoek Jaarrekening Land Aruba 2019» van de Algemene Rekenkamer Aruba?1

Ja.

Vraag 2

Hoe beoordeelt u dat het land Aruba geen prioriteit geeft aan de oplevering van de jaarrekeningen en er daardoor geen sprake is van een afsluitende begrotingscyclus? Hoe beoordeelt u verder de conclusies en aanbevelingen die in dit rapport staan?

Goed financieel beheer en een goed begrotingsproces acht ik van het grootste belang voor alle landen in het Koninkrijk. Net als Curaçao en Sint Maarten draagt Aruba zelf de verantwoordelijkheid voor het verbeteren van het begrotingsproces. Ik verwacht daarom van Aruba dat het land snel tot vaststelling van de jaarrekeningen en begroting 2025 zal overgaan.
Er is een achterstand in de oplevering en de vaststelling van de jaarrekeningen van het Land Aruba, maar de conclusie dat Aruba geen prioriteit geeft aan de oplevering van de jaarrekeningen, deel ik niet. Met de inzet van externe ondersteuning vanuit het Landspakket wordt sinds vorig jaar hard gewerkt aan de inhaalslag. Doelstelling is om nog dit jaar de achterstand tot en met jaarrekening 2023 weg te werken.
Ik deel verder de andere conclusies en aanbevelingen van de Algemene Rekenkamer Aruba bij de jaarrekening over 2019 en in dat kader zijn in de uitvoeringsagenda bij het Landspakket ook belangrijke afspraken gemaakt over de aanpak, planning en de beoogde resultaten om het financieel beheer te verbeteren. Vanuit de Tijdelijke Werkorganisatie wordt constructief op deze onderwerpen met Aruba samengewerkt.

Vraag 3

Hoe beoordeelt u de tekortkomingen in het financieel beheer van het land Aruba en dat er geen structurele verbeteringen zijn aangebracht in het begrotingsproces? Deelt u de mening dat er nu heel snel een verbetertraject moet worden ingezet met als doel een goed financieel beheer van het land Aruba? Zo nee, waarom niet?

Het financieel beheer is nog niet in orde, maar het Land Aruba heeft in de afgelopen jaren het begrotingsproces aanzienlijk verbeterd, met een verbeterde opzet en de introductie van vaste wijzigingsmomenten. Het is essentieel dat deze positieve lijn wordt voortgezet en dat een ordentelijk begrotingsproces gewaarborgd blijft. Zo is de begroting 2025 weliswaar tijdig ingediend, maar nog niet door het parlement vastgesteld. Het College Aruba financieel toezicht heeft recentelijk in haar advies ook benadrukt dat vaststelling alsnog snel moet plaatsvinden2.
Vanuit het Landspakket Aruba is reeds een verbetertraject ingezet en wordt in diverse projecten gewerkt aan het oplossen van de structurele tekortkomingen in het financieel beheer. De Tijdelijke Werkorganisatie ondersteunt hierbij.

Vraag 4

Wat kan er worden gedaan om ervoor te zorgen dat het financieel beheer van het land Aruba op orde komt?

De problematiek is omvangrijk en vraagt om een samenhangende aanpak, waarbij fundamentele problemen in de wetgeving, de inrichting van de financiële organisatie, de financiële processen en de administratie moeten worden opgelost. Met de uitvoering van het Landspakket wordt ingezet op een verbetering van al deze facetten. In mijn antwoord op vraag 6 licht ik verschillende trajecten nader toe.

Vraag 5

Wat zijn de gevolgen van de tekortkomingen in het financieel beheer van het land Aruba voor de uitvoering van het Landspakket Aruba?

De uitvoering van het Landspakket Aruba ondervindt geen hinder van de tekortkomingen in het financieel beheer.

Vraag 6

Hoe verhoudt het onderhavige rapport van de Algemene Rekenkamer Aruba zich tot uw opmerking tijdens het verzamelcommissiedebat CAS, gehouden op 15 januari 2025 (36 600 IV, nr. 46), dat er goede stappen zijn gezet om het financieel beheer van Aruba te verbeteren? Wat zijn die goede stappen? Waaruit blijkt de verbetering van het financieel beheer?

Het Land Aruba heeft de ambitie uitgesproken om over het jaar 2026 over een goedkeurende controleverklaring bij de jaarrekening te beschikken. In het kader van het Landspakket heeft het land Aruba een ambitieus programma ingericht met samenhangende trajecten om de knelpunten in het financieel beheer aan te pakken.
In lijn met de aanbevelingen van de Algemene Rekenkamer Aruba wordt in deze trajecten gewerkt aan het vaststellen van verslaggevingsvoorschriften en het normenkader voor de controle van de jaarrekening, het oplossen van de tekortkomingen in de onderliggende processen en het oplossen van de personeelstekorten in de financiële functie.
Het is complexe problematiek die een goede voorbereiding en besluitvorming vraagt om tot een duurzame oplossing te kunnen komen. Daarnaast vormt de beschikbare capaciteit een bottleneck, maar ik zie tegelijkertijd resultaten die mij positief stemmen over de aanpak en het vervolg.
Ik noem enkele voorbeelden:

Vraag 7

Hoe spoort een en ander met de afspraken in het kader van de landspakketten?

Met de afspraken in het kader van het Landspakket Aruba worden over het algemeen dezelfde doelstellingen en resultaten nagestreefd, als ook benoemd in de aanbevelingen van het rapport van de Algemene Rekenkamer Aruba «Onderzoek Jaarrekening Land Aruba 2019».

Vraag 8

Wat is de stand van zaken met betrekking tot de Rijkswet Aruba financieel toezicht? Bent u hierover nog steeds in gesprek met het land Aruba? Wanneer verwacht u overeenstemming met Aruba te hebben? Welke belemmeringen zijn er?

Aan het wetsvoorstel wordt door teams van beide landen gewerkt. Op verzoek van Aruba brengt het IMF een advies uit over de begrotingsnormen en het financieel beheer. Dit advies wordt in de tweede helft van februari verwacht en zal vervolgens door de teams worden verwerkt in het wetsvoorstel en worden voorgelegd aan beide regeringen.

Vraag 9

Deelt u de mening dat de Rijkswet Aruba financieel toezicht zo snel mogelijk afgerond moet worden? Zo nee, waarom niet?

Ja.

Vraag 1

Bent u bekend met het feit dat alle nu beschikbare versies van Microsoft Exchange-servers op 14 oktober a.s. «end of support» zijn en daarmee niet langer door de leverancier ondersteund zullen worden en ook niet meer gebruikt kunnen worden?1 2

Ja, ik ben bekend met het feit dat de huidige versies van Microsoft Exchange Server op 14 oktober 2025 het einde van hun ondersteuningscyclus bereiken. Dit heeft de volgende impact op de ondersteuning vanuit Microsoft:
Voor Exchange Server 2016 is deze informatie sinds 2020 bekend en voor Exchange Server 2019 is de reguliere ondersteuning in januari 2024 verlopen. Extended Security Updates zijn beschikbaar gemaakt tot oktober 2025.
Microsoft heeft in juni 2022 aangekondigd dat de nieuwe versie, Exchange Server Subscription Edition (SE), de opvolger zal zijn van de huidige versies. Deze aankondiging is in mei 2024 herhaald, waarbij tevens de aanbevolen stappen zijn gecommuniceerd ter voorbereiding op de migratie van Exchange 2016 en 2019 naar Exchange SE.
Het is belangrijk om te verduidelijken dat «end of support» niet automatisch betekent dat deze systemen niet meer gebruikt kunnen worden. Het betekent wel dat er na deze datum geen updates meer worden uitgebracht, wat risico's met zich meebrengt voor de veiligheid en stabiliteit van deze systemen. Het is daarom van belang dat organisaties tijdig migreren naar ondersteunde oplossingen

Vraag 2

Op hoeveel plekken binnen de rijksoverheid wordt Microsoft Exchange nog gebruikt? Hoeveel daarvan zijn Exchange 2019 en hoeveel zijn ouder?

Binnen de Rijksoverheid maken vrijwel alle organisaties gebruik van Microsoft Exchange. Door de federatieve opbouw van de overheid zijn er momenteel geen centrale overzichten beschikbaar over de exacte aantallen en versies.
Life cycle management (LCM: het proces om op tijd nieuwe versies in productie te nemen) is een departementale verantwoordelijkheid. Het centraal opslaan van te gedetailleerde informatie buiten deze departementale verantwoordelijkheid wordt als een potentieel beveiligingsrisico beschouwd.
Standaardisatie van gedetailleerde informatie binnen de departementale verantwoordelijkheid heeft hoge prioriteit, maar vergt tijd om te organiseren vanwege het heterogene ICT-landschap binnen de Rijksoverheid.
Er wordt gewerkt aan een verbetering van het centraal geaggregeerd overzicht, waarbij rekening wordt gehouden met bovenstaande aspecten. Bij het antwoord op vraag 3 zal ik verder ingaan op de stappen die worden genomen om beter inzicht te krijgen.

Vraag 3

Indien hier nog geen overzicht van bestaat, bent u bereid om vanuit uw coördinerende rol de betreffende Ministers te vragen u hierover informatie te verstrekken?

Ja, ik ben hiertoe bereid. Bij de beantwoording zal wel een balans gezocht worden tussen cybersecurity, federatieve verantwoordelijkheid en transparantie.
Ik zal de betreffende Ministers vragen om informatie te verstrekken over het gebruik van Microsoft Exchange binnen hun departementen.
Vanuit mijn coördinerende rol wordt jaarlijks een Informatie Beveiligingsbeeld (IBB) opgesteld door de departementen. Uit dit inzicht komen geen risico’s naar boven die betrekking hebben op Microsoft Exchange.
Uw vraag past binnen een bredere aanpak waarin vanuit de coördinerende rol van CIO Rijk wordt gewerkt aan het verbeteren van het inzicht in IT-assets binnen de Rijksoverheid. Deze aanpak richt zich niet exclusief op Microsoft Exchange, maar op IT-asset management in de volle breedte.

Vraag 4

Gezien het feit dat het behoorlijk ingewikkeld is om te upgraden naar de nieuwe, nog uit te komen versie van Exchange die nog wel ondersteund wordt, hoe gaat u erop toezien dat deze systemen tijdig zijn vervangen?3

Ten aanzien van de technische complexiteit van de upgrade wil ik opmerken dat volgens informatie van Microsoft, de overgang naar Exchange Server Subscription Edition (SE) minder complex is dan het lid Six Dijkstra suggereert. Voor organisaties die momenteel Exchange Server 2019 gebruiken met de meest recente cumulatieve update (CU14), zal de update naar Exchange Server SE relatief eenvoudig zijn. Microsoft heeft aangegeven dat Exchange Server SE code-equivalent zal zijn aan Exchange Server 2019 CU15, met uitzondering van enkele kleine wijzigingen. Dit maakt een in-place upgrade mogelijk, vergelijkbaar met het toepassen van een reguliere halfjaarlijkse update. Hierbij is geen volledige herinstallatie nodig maar worden alle bestaande configuraties automatisch overgenomen in de nieuwe versie.
Voor organisaties die nog Exchange Server 2016 gebruiken, wordt geadviseerd om eerst te migreren naar Exchange Server 2019 CU14, alvorens de stap naar Exchange Server SE te maken. Microsoft biedt hierbij diverse ondersteuningsmogelijkheden via Microsoft Unified en FastTrack support.

Vraag 5

Zal het vervangen van Microsoft Exchange in de praktijk een geforceerde overgang naar de cloud betekenen? Kunt u dit antwoord toelichten?

Nee, het vervangen van Microsoft Exchange vanwege het einde van de ondersteuning betekent geen geforceerde overgang naar de cloud.
Zoals Microsoft heeft aangegeven, is Exchange Server Subscription Edition (SE) een nieuwere versie van de binnenkort niet meer ondersteunde Exchange Server 2016 en Exchange Server 2019. Net als deze oudere producten is Exchange Server SE een «on-premises» product dat geïnstalleerd kan worden in eigen datacenters van organisaties.Overheidsorganisaties behouden hiermee de keuze om hun e-mailsystemen lokaal te blijven beheren, zonder dat een migratie naar cloudoplossingen noodzakelijk is. Daarnaast bestaat de mogelijkheid om vergelijkbare diensten af te nemen bij andere aanbieders.

Vraag 6

Hoe gaat u erop toezien dat eventuele overstappen van Microsoft Exchange naar de cloud niet zonder risicoanalyses zullen plaatsvinden?

Voor eventuele overstappen van Microsoft Exchange naar cloudoplossingen is het Rijksbrede cloudbeleid 2022 en het bijbehorende Implementatiekader risicoafweging cloudgebruik van toepassing. Dit kader schrijft voor dat bij materieel public cloudgebruik binnen de Rijksdienst verplicht een aantal stappen moet worden doorlopen.
Conform artikel 4 van het Implementatiekader moet voorafgaand aan het gebruik van public clouddiensten een risicoanalyse worden uitgevoerd volgens een formeel vastgestelde risicomanagementmethodiek die voldoet aan de Baseline Informatiebeveiliging Overheid (BIO). In deze risicoanalyse moet aandacht zijn voor de context van het cloudgebruik, relevante risico's, technische en organisatorische maatregelen, en een beoordeling van deze maatregelen.
Specifiek voor Microsoft Exchange-migraties naar de cloud is belangrijk dat:
Vanuit de coördinerende rol wordt toegezien op de naleving van deze kaders. De departementen moeten jaarlijks rapporteren aan CIO Rijk over hun materieel public cloudgebruik en de risico's daarvan. CIO Rijk gebruikt deze rapportages in de jaarlijkse cyclus van CIO-gesprekken en beoordeelt deze op uitzonderlijke risico's.
Daarnaast kunnen de Auditdienst Rijk, de Algemene Rekenkamer en inspectiediensten een rol spelen in het toezicht op de naleving van deze kaders.

Vraag 7

Kunt u de beantwoording van deze vragen binnen drie weken, maar uiterlijk drie dagen vóór het debat over de migraties van overheids-ICT naar het buitenland, aan de Kamer doen toekomen?

Vraag 1

Bent u bekend met de plannen van een woningstichting in Enschede om over te stappen op digitale sloten voor studentenwoningen?

Ja.

Vraag 2

Bent u bekend met de zorgen hierover vanuit de studenten en de gemeenteraad van Enschede?1 2

Ja.

Vraag 3

Kunt u toelichten hoe u denkt over de plannen om over te stappen op digitale sloten en de mogelijke risico's, waaronder privacyrisico’s, die hierbij spelen?

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties en ik hebben geen zeggenschap over de inzet van technologieën door private organisaties, zoals woningcorporaties. Vanzelfsprekend geldt ook voor private organisaties dat zij zich bij de inzet van digitale technologieën moeten houden aan de geldende wet- en regelgeving.
Bij de toepassing van digitale sloten gaat het voornamelijk over de verwerking van persoonsgegevens, waarop de Algemene Verordening Gegevensbescherming (AVG) van toepassing is. Het is echter niet aan het kabinet om onderzoek te doen of in voorkomende gevallen de privacywetgeving wordt geschonden. Dit is aan de Autoriteit Persoonsgegevens (AP), die als onafhankelijke toezichthouder verantwoordelijk en bevoegd is voor het handhaven van de AVG in Nederland.
Daarom kan ik geen appreciatie geven van de situatie in Enschede.

Vraag 4

Deelt u de mening dat het onwenselijk is dat van bewoners wordt geacht dat zij een smartphone met daarop een app zouden moeten gebruiken om hun woning of woongebouw te kunnen betreden?

Zie antwoord vraag 3.

Vraag 5

Deelt u de mening dat het onwenselijk is dat digitaal wordt geregistreerd wanneer bewoners hun woning in- en uitgaan?

Zie antwoord vraag 3.

Vraag 6

Beschikt u over een volledig of gedeeltelijk overzicht van woningen en/of woongebouwen in Nederland waar digitale sleutels vereist zijn voor het betreden van de woningen of waar het betreden of verlaten van de woningen digitaal wordt geregistreerd? Zo ja, kunt u dit overzicht met de Tweede Kamer delen?

Nee, dit overzicht heb ik niet.

Vraag 7

Hoe oordeelt u over het in gebruik nemen van digitale sleutels, zoals voorgenomen in Enschede, gelet op artikel 8 EVRM en de AVG in het licht van een eerdere uitspraak van de Finse privacytoezichthouder die het bij een soortgelijke praktijk onrechtmatig achtte?3 4

Zoals ik aangaf in antwoord op vragen 3–5, is het niet aan mij om een oordeel te geven over de verenigbaarheid van het gebruik van digitale sloten met de AVG. In Nederland is de AP, die onafhankelijk opereert, belast met het toezicht op de naleving van de AVG. Het is aan de toezichthouder om per geval te beoordelen of wordt voldaan aan de wettelijke regels, en zo niet, of en op welke manier daartegen wordt opgetreden. Zij zal daarbij de jurisprudentie van het Hof van Justitie van de Europese Unie betrekken.

Vraag 1

Bent u bekend met het bericht «Onbetrouwbaar algoritme bestempelt jongeren als toekomstig crimineel» (Follow the Money, 20 januari)?1

Ja.

Vraag 2

Kunt u volledig uitleggen wat het doel en de functie is van het Preselect Recidive-algoritme? Hoe hangt dit samen met andere risicotaxatie-instrumenten?

Met het risicotaxatie-instrument Preselect Recidive wordt van jongeren die door de politie als verdachte worden verhoord een eerste inschatting gemaakt van het risico op herhaling. Deze inschatting wordt gemaakt met behulp van een wetenschappelijk gevalideerd analysemodel met informatie die bekend is bij de politie. In dit model zitten variabelen als eerdere politiecontacten, gepleegde delict(en) en leeftijd en geslacht van de jongere. De uitkomst van de Preselect Recidive wordt gebruikt bij de afweging in het zogenaamde afstemmingsoverleg «ZSM» ten aanzien van de vraag of verdere risicotaxatie voor de jongere noodzakelijk is. Er is bij de toepassing van de Preselect Recidive dus altijd sprake van een besluit door mensen, niet door een algoritme, waarbij ook andere informatie over de jongere wordt gebruikt. In het artikel van Follow the Money wordt de indruk gewekt dat de uitkomst van dit instrument bepalend is voor het vervolgtraject van een jeugdige verdachte. Dit is niet het geval. Het instrument wordt meegewogen bij de vraag of verdere risicotaxatie voor de jongere nodig is.
Voor een verdere toelichting op het doel en de functie van risicotaxatie-instrumenten in het algemeen en van de Preselect Recidive in het bijzonder, verwijs ik naar de brief van 6 maart 2025, waarin ik op verzoek van de vaste commissie voor Justitie en Veiligheid een reactie heb gegeven op het artikel van Follow the Money.In het antwoord op vraag 3 ga ik in op andere risicotaxatie-instrumenten en de samenhang met de Preselect Recidive.

Vraag 3

Welke soortgelijke instrumenten worden ook ingezet in de jeugdstrafrechtketen? Kunt u toelichten welke rol deze spelen, de relevante documentatie delen, en de systemen opnemen in het Algoritmeregister?

Diverse risicotaxatie-instrumenten uit de jeugdstrafrechtketen zijn gebundeld in het Landelijk Instrumentarium Jeugdstrafrechtketen (LIJ). Het gaat daarbij, naast de Preselect Recidive, om de volgende instrumenten:
Een uitgebreide omschrijving van de inhoud en werking van de verschillende instrumenten is te vinden in de Handleiding LIJ (zie bijlage 1).
Een van de doelstellingen van het LIJ als geheel is informatiedeling en een eenduidige werkwijze van ketenpartners. Ketenpartners bouwen waar mogelijk voort op informatie die al eerder in de keten verzameld is. Dit scheelt tijd en voorkomt dat jongeren en ouders steeds weer dezelfde vragen moeten beantwoorden.
Er zijn Rijksbrede afspraken om eind 2025 ten minste alle hoog risico AI-systemen in het Algoritmeregister te publiceren. Ik wil transparant zijn over de risicotaxatie-instrumenten uit de jeugdstrafrechtketen en deze in het Algoritmeregister publiceren. De Ritax, het meest uitgebreide instrument uit het LIJ, is in 2023 door de Raad voor de Kinderbescherming opgenomen in het Algoritmeregister. Deze publicatie wordt voor eind 2025 aangevuld met de aanvullende Module Zorg. De Politie voert de Preselect Recidive in 2025 op in het Algoritmeregister. Voor Halt-SI wordt door JenV, in samenwerking met Halt, bezien of dit een hoog risico of impactvol algoritme betreft. Indien dit het geval is worden met Halt afspraken gemaakt over opname in het Algoritmeregister in 2025.

Vraag 4

Hoe worden het Dynamisch Risico Profiel (DRP) en het Algemeen Recidive Risico (ARR) berekend? Welke rol spelen deze profielen in het jeugdrecht?

Het ARR is de uitkomst van het instrument Preselect Recidive. Het ARR geeft de geschatte kans dat een jongere opnieuw met politie en justitie in aanraking komt vanwege het plegen van een delict. Voor het vaststellen van het ARR («laag», «midden» of «hoog») wordt gebruik gemaakt van statische (onveranderbare) risicofactoren. De variabelen uit het model zijn te vinden in hoofdstuk 3 van de Handleiding LIJ, deze wordt voor de volledigheid meegezonden (zie bijlage 1).
Het ARR wordt gebruikt bij de afweging in het zogenaamde afstemmingsoverleg ZSM ten aanzien van de vraag of verdere risicotaxatie voor de jongere noodzakelijk is. Naast het gepleegde delict en het ARR wordt hierbij ook gebruik gemaakt van andere informatie over de jongere die op dat moment bij de ketenpartners bekend is. Het ARR is daarmee altijd ondersteunend aan menselijke besluitvorming. De rol van de Preselect Recidive en het ARR in de jeugdstrafrechtketen wordt toegelicht in de beantwoording van vraag 17, in de genoemde brief van 6 maart 2025 en de Handleiding LIJ (bijlage 1).
Het DRP is de uitkomst van de Ritax en wordt berekend door een optelsom van risico- en beschermende factoren van een jongere, gemeten op negen (leef)domeinen, zoals gezin, geestelijke gezondheid en agressie. Ieder domein kent diverse items, waarbij de professional vraagt naar onderwerpen zoals «Ernst/heftigheid van conflicten tussen gezinsleden», «Stemming» en «Meldingen van gewelddadig gedrag». De totaalscores per domein (domeinscore) worden berekend door de scores van de verschillende items uit de betreffende domeinen bij elkaar op te tellen. Het DRP vormt samen met het ARR een indicator om toe te leiden naar passende interventies die door de Raad voor de Kinderbescherming of de Jeugdreclassering worden geadviseerd aan OM, de rechter en/of ten behoeve van het plan van aanpak voor toezicht en begeleiding van de Jeugdreclassering.
Voor een verdere uitleg over de berekening van het DRP verwijs ik u naar de Handleiding LIJ die voor de volledigheid wordt meegezonden (bijlage 1). De rol van de Ritax en het DRP in de jeugdstrafrechtketen wordt toegelicht onder vraag 3.

Vraag 5

Klopt het dat u overwogen hebt Preselect uit werking te nemen? Waarom heeft het gebruik van het algoritme toch doorgang gevonden? Geldt dit ook voor soortgelijke instrumenten?

Ten tijde van oplevering van het meeste recente validatieonderzoek (2023), is met ketenpartners besproken of het instrument nog voldoende betrouwbaar was voor toepassing in de praktijk. Destijds is geconcludeerd dat dit het geval was. Wel werd van belang geacht dat doorontwikkeling zo snel mogelijk plaatsvindt vanwege een afname in de voorspelkracht (zie vraag 27 voor een toelichting op het doorontwikkeltraject van de Preselect Recidive). Voor deze afweging is onder meer gekeken naar de impact op de jeugdstrafrechtketen, en daarmee de jongeren, indien het instrument tijdelijk niet meer gebruikt wordt en het voldoen aan de geldende wet- en regelgeving rondom toepassing van dergelijke instrumenten. Ook de afgenomen voorspelkracht van het instrument is meegewogen. Aangezien deze nog steeds acceptabel is volgens internationale standaarden, is geoordeeld dat het instrument nog steeds van meerwaarde is voor de praktijk (zie toelichting in de alinea hieronder over het gestructureerd professioneel oordeel).
In de eerder genoemde brief van 6 maart 2025 beschrijf ik daarnaast dat de huidige versie van Preselect Recidive grotendeels voldoet aan de vijf voorwaarden zoals gesteld door de Autoriteit Persoonsgegevens (AP) en hierdoor nog op een verantwoorde wijze kan worden gebruikt tot de nieuwe versie wordt ingevoerd. In de afweging om de Preselect Recidive te blijven gebruiken wordt ook de waarde van dit instrument voor de praktijk meegenomen. Uit onderzoek blijkt namelijk dat een voorspelling op basis van een gestructureerd professioneel oordeel (een combinatie van de professionele blik en een instrument) beter is dan een voorspelling op basis van een ongestructureerde klinische blik (zie vraag 17). Zonder een instrument ontstaat er een risico op tunnelvisie, waarmee de rechtsgelijkheid in het geding komt.
Voor de overige instrumenten van het LIJ wordt ook periodiek een validatieonderzoek uitgevoerd. Indien de resultaten van deze onderzoeken hier aanleiding toe geven, of wijzigingen in wet- en regelgeving, worden de instrumenten herzien.

Vraag 6

Waaruit blijkt dat Preselect voldoet aan wetenschappelijke normen en betrouwbaar genoeg is om gebruikt te worden in besluitvorming die kwetsbare jongeren aangaat?

Wetenschappelijke normen voor risicotaxatie-instrumenten kunnen betrekking hebben op: (a) theoretische onderbouwing, (b) betrouwbaarheid en (c) de predictieve validiteit.

Vraag 7

Kunt u alle documentatie over de ontwikkeling, technische werking en toepassing van dit algoritme delen met de Kamer?

Ik verwijs naar de Handleiding LIJ in bijlage 1. Hierin staat de ontwikkeling/opbouw, werking en toepassing van het algoritme beschreven (hoofdstuk 1 en 3).
Daarnaast verwijs ik naar diverse publicaties van Van der Put (Universiteit van Amsterdam). In deze publicaties staat de (statistische) ontwikkeling van de Preselect Recidive uitgewerkt:

Vraag 8

Is er een Privacy Impact Assessment (PIA) uitgevoerd voor het gebruik van Preselect? Wat waren de resultaten van deze PIA en is daar opvolging aan gegeven? Wanneer is voor het laatst een PIA uitgevoerd op Preselect en wanneer is de eerstvolgende PIA voorzien?

In 2025 wordt een gegevensbeschermingseffectbeoordeling (GEB/DPIA) uitgevoerd, als onderdeel van het implementatieproces van de herziene Preselect Recidive. Zie ook het antwoord op vraag 27 voor een toelichting op de herziening van de Preselect Recidive. Eerder is nog geen (D)PIA uitgevoerd voor de Preselect Recidive. De risicotaxatie-instrumenten die de politie gebruikt zijn ten tijde van ingebruikname getoetst in het kader van de toen geldende wettelijke privacykaders. De Preselect Recidive dateert uit 2013. Een (D)PIA, sinds 2018 verplicht, wordt door politie uitgevoerd in geval van de ingebruikname van een nieuw of vernieuwd instrument. De politie heeft in 2023 wel een toets gedaan op de kwaliteit van bronnen die gebruikt worden voor hun risicotaxatie-instrumenten in brede zin. Hier kwamen geen onregelmatigheden uit naar voren die aanleiding gaven tot aanpassing van de Preselect Recidive.

Vraag 9

Welke instanties maken gebruik van Preselect? Kunt u per instantie uitleggen met welk doel het algoritme wordt toegepast?

Ik verwijs u naar mijn antwoord op vraag 3 en de genoemde brief van 6 maart 2025.

Vraag 10

Hoe zorgt u ervoor dat instanties die Preselect momenteel gebruiken om voorspellende lijsten met verdachte jongeren op te stellen, deze werkwijze zo snel mogelijk stopzetten?

Preselect Recidive is ontwikkeld om in te schatten of aanvullende risicotaxatie nodig is voor een jeugdige verdachte in het strafrecht. De Preselect Recidive mag uitsluitend gebruikt worden op het ZSM-overleg en niet voor andere doeleinden. Waar eerder in de praktijk is gesignaleerd dat risicotaxatie-instrumenten of scores werden hergebruikt of toegepast in niet daarvoor bedoelde processen, zijn door de politie maatregelen genomen om dit te stoppen. Met politie worden periodiek overleggen gevoerd over onder andere de juiste toepassing van de Preselect Recidive.

Vraag 11

Is er één standaard vastgesteld voor het verantwoorde gebruik van Preselect? Zo ja, kunt u deze delen? Zo niet, kunt u deze zo snel mogelijk ontwikkelen?

Ja, er is één standaard vastgesteld voor het verantwoorde gebruik van de Preselect Recidive. Ik verwijs u naar de Handleiding LIJ (bijlage 1) voor een gedetailleerde beschrijving.

Vraag 12

Op basis van welke factoren berekent Preselect een score voor jongeren? Kunt u een lijst maken van alle bronnen die het algoritme raadpleegt?

De Preselect Recidive wordt gevuld op basis van het landelijke bedrijfsprocessensysteem van de Politie (BVI). Hieruit wordt informatie gehaald zoals het totaal aantal incidenten waarbij de jongere de rol van verdachte heeft, de leeftijd van de jongere ten tijde van het eerste delict en het totaal aantal incidenten waarbij de jongere de rol van betrokkene heeft. Voor een volledig overzicht verwijs ik u naar hoofdstuk 3 van de Handleiding LIJ.

Vraag 13

Worden registraties van verdenkingen die nooit zijn bewezen of hebben geleid tot vrijspraak ook meegerekend in de risicoscore van een jongere?

Bij een sepot onterecht verdachte of vrijspraak wordt de registratie niet meer meegerekend in de risicoscore van de jongere. Tevens worden registraties die ouder zijn dan vijf jaar verwijderd (conform artikel 8, zesde lid Wet politiegegevens) en hierdoor niet meegenomen in de berekening.

Vraag 14

Hoe voorkomt u dat er ongelijke behandeling plaatsvindt bij hetzelfde misdrijf door het gebruik van het algoritme?

Met de Preselect Recidive wordt op basis van een wetenschappelijk getoetst en genormeerd model een inschatting gemaakt of verdere risicotaxatie noodzakelijk is bij de jeugdige verdachte. Deze inschatting wordt gemaakt op basis van diverse factoren uit het politieregistratiesysteem (zie hoofdstuk 3 van de Handleiding LIJ voor de lijst met variabelen). Bij jongeren die eenzelfde delict plegen, maar op andere variabelen die voorspellend zijn voor recidive anders scoren (bijvoorbeeld het aantal eerdere registraties van de betreffende jongere in de rol van verdachte), volgt mogelijk een andere uitkomst van de Preselect Recidive. Hierbij is er geen sprake van een ongelijke behandeling ten nadele van de jongere, maar van een afweging over de meest passende interventie om het risico op recidive te beperken. De afweging over het vervolg en het advies van de Preselect Recidive hierbij is maatwerk, de uitkomst van het instrument is ondersteunend aan menselijke beoordeling. Bovendien versterkt juist de combinatie van de professionele blik en een objectief gestructureerd instrument een uniforme werkwijze en daarmee gelijkere bejegening. De toepassing van een instrument verkleint de kans dat het eigen interpretatiekader van professionals een (grote) rol speelt in het besluit over het vervolgtraject van de jeugdige verdachte.

Vraag 15

Vindt u het terecht dat variabelen als «omstander» of «huisgenoot» als risicofactor kunnen worden beschouwd in het Preselect-algoritme? Zo ja, kunt u aangeven hoe u dat relateert aan het concept «afgeleide schuld»?

Als een ARR-score wordt opgesteld, dan is de jongere inmiddels zelf in de rol van verdachte bekend bij politie. De Preselect Recidive wordt dus alleen afgenomen als een jeugdige zelf verdacht wordt van een strafbaar feit. Daarnaast weten we uit de wetenschappelijke literatuur dat blootstelling aan crimineel gedrag dan wel (ervaren) druk om mee te participeren risicofactoren zijn voor recidive. Dat blijkt ook uit onderzoeken uitgevoerd op politiegegevens. In het huidige model zijn deze variabelen (aantal registraties rol betrokken («omstander») en aantal registraties medebewoners rol verdachte («huisgenoot»)) opgenomen.
Voor de instrumenten van het LIJ wordt daarbij altijd kritisch gekeken naar de samenstelling van de instrumenten. Indien blijkt dat variabelen uit het model achterwege gelaten kunnen of moeten worden dan gebeurt dit ook. Voor alle variabelen uit het model wordt dit heroverwogen in de doorontwikkeling van de Preselect Recidive. Daarbij wordt ook afgewogen of er belangrijke informatie wordt gemist voor een passende behandeling.8
Het concept afgeleide schuld9 speelt hier geen rol: de Preselect Recidive geeft een advies over de noodzaak van aanvullende risicotaxatie en niet over schuldbepaling dan wel de benodigde strafmaat. Bovendien spelen variabelen als «omstander» of «huisgenoot» pas een rol als de jongere zelf wordt verdacht van een strafbaar feit en de Preselect Recidive wordt toegepast.

Vraag 16

Op welke data is Preselect getraind? Is deze data zuiver en voldoende representatief? Is er gecontroleerd voor (onbewuste en/of systematische) vooroordelen in de trainingsdata?

De Preselect Recidive maakt gebruik van statische (onveranderbare) risicofactoren. Bij het bepalen van deze factoren is gebruik gemaakt van twee (willekeurige) steekproeven in de data, waarbij de ene steekproef is gebruikt om Preselect Recidive op te ontwikkelen en de andere steekproef om deze te valideren.10 Deze data zijn afkomstig uit het landelijke bedrijfsprocessensysteem van de politie (BVI).
De kwaliteit van een dataset is altijd afhankelijk van de kwaliteit van ingevoerde data. Dat is voor de Preselect Recidive niet anders dan voor andere instrumenten. Pakkans en prevalentie van de doelgroep spelen ook een rol bij de representativiteit van de data. Daarom worden instrumenten van het LIJ periodiek geëvalueerd en ook tussentijds wordt continue afgewogen of er voldoende gerechtvaardigd belang en empirische onderbouwing is van het model.

Vraag 17

Deelt u de zorgen dat een algoritme in grote mate sturend kan zijn voor de betrokken (politie)medewerker die een casus beoordeelt? Hoe wordt waardevolle menselijke tussenkomst gegarandeerd?

Ik begrijp de zorg want het instrument geeft inderdaad mede richting aan het besluit, maar met betekenisvolle menselijke tussenkomst en het gebruik van diverse informatiebronnen ondervangen we dat er automatische en eenzijdige besluitvorming plaatsvindt. Dat gebeurt als volgt.
Betekenisvolle menselijke tussenkomst is een essentieel onderdeel in de opvolging van de Preselect Recidive. De inschatting van laag, midden of hoog risico (het ARR) is een van de informatiebronnen waar de het afstemmingsoverleg ZSM gebruik van maakt. In dit overleg wordt met de diverse betrokken professionals door het Openbaar Ministerie op basis van deze verschillende informatiebronnen besloten welk vervolg de jeugdige verdachte krijgt. Uit onderzoek blijkt dat een voorspelling op basis van een gestructureerd professioneel oordeel (een combinatie van de professionele blik en een instrument) beter is dan een voorspelling op basis van een ongestructureerde klinische blik.11 Daarmee is de combinatie die op het ZSM-overleg wordt gehanteerd, namelijk een professioneel oordeel aangevuld met de analyse door een instrument, een meer betrouwbare manier waarop een besluit genomen kan worden dan uitsluitend op basis van het oordeel van de professional.

Vraag 18

Met welke regelmaat wordt de werking en het gebruik van Preselect onafhankelijk doorgelicht? Kunt u alle bij u bekende onderzoeken naar dit algoritme delen met de Kamer?

De doelstelling van het LIJ is om instrumenten eens in de vijf jaar te valideren. Deze termijn biedt de mogelijkheid om tot voldoende respondenten (jongeren) te komen waarbij het instrument is afgenomen, om vervolgens valide uitspraken te kunnen doen. Ook wordt hiermee aangesloten bij de termijn van drie tot vijf jaar voor recidivemetingen, zoals gehanteerd door het WODC en/of het CBS. Daarnaast worden alle instrumenten of aanpassingen daaraan steeds voorgelegd aan een onafhankelijke toetsingscommissie. Voor de Preselect Recidive heeft dit langer geduurd, vanwege vertraging in het leveren van de benodigde data. Zie onder vraag 7 welke documenten ik hierover met u deel.

Vraag 19

Wat is het percentage valspositieven dat Preselect oplevert? Hoe vaak komt het voor dat een jongere ten onrechte een te hoge of lage score wordt toebedeeld?

Het bepalen van valspositieven of -negatieven is complex, omdat:
De score wordt altijd bezien in het geheel van andere beschikbare informatie en heeft geen één-op-één-relatie met de gekozen interventie. Aan de Preselect Recidive score is geen direct gevolg gekoppeld; zie ook het antwoord op vraag 17.

Vraag 20

Waarom staat het algoritme niet opgenomen in het Algoritmeregister? Kunt u alsnog het algoritme zo snel als mogelijk volledig transparant in het Algoritmeregister opnemen?

In 2025 registreert de politie het algoritme van de Preselect Recidive in het Algoritmeregister.

Vraag 21

Gaat u ouders, jongeren en jeugdrechtadvocaten voortaan altijd informeren als en hoe Preselect is toegepast in de besluitvorming? Op welke termijn en op welke manier gaat u dit doen?

Ja, dat zal ik in 2025 doorvoeren voor alle jongeren bij wie de Preselect Recidive wordt afgenomen. Nu gebeurt dat al bij een deel van de jongeren, namelijk bij de jongeren voor wie de Raad voor de Kinderbescherming een onderzoek doet. Ik wil voor deze ontwikkeling aanhaken bij al bestaande voorzieningen om jongeren, ouder(s)/verzorger(s) en andere betrokken zo laagdrempelig mogelijk te informeren.

Vraag 22

Bent u bereid om een inschatting te (laten) maken of jongeren onrechtmatig of incorrect zijn geprofileerd door het gebruik van Preselect? Kunt u de eventuele gevolgen die dit heeft gehad ook inschatten?

Door voor de instrumenten uit het LIJ periodiek te toetsen of aanpassing nodig is, breng ik in kaart of de instrumenten werken zoals beoogd en voldoen aan wet- en regelgeving. In het IAMA dat uitgevoerd wordt voor de herziene Preselect Recidive is bovendien specifiek aandacht voor het naleven van de grondrechten en daarmee onder andere het risico op profilering bij de inzet van algoritmes. Waar nodig stuur ik bij. Het is echter inherent aan risicotaxatie-instrumenten dat deze geen perfecte schatting geven. De Preselect Recidive wordt daarom nooit gebruikt als automatische doorverwijzing, maar er is altijd sprake van betekenisvolle menselijke tussenkomst. Bovendien kan er op verschillende momenten in de jeugdstrafrechtketen bijgestuurd worden indien het ingezette traject toch te zwaar of te licht blijkt.12 Hiermee wordt ook voorzien in bijsturing op casusniveau. Een inschatting geven is daarnaast complex, omdat de Preselect Recidive in de besluitvorming niet de enige factor is die wordt meegewogen.

Vraag 23

Gaat u jongeren, ouders en jeugdrechtadvocaten in staat stellen om bezwaar te maken als zij vermoeden dat het algoritme heeft geleid tot een verkeerde uitkomst?

Zoals ook is toegelicht in het antwoord op vraag 17, liggen verschillende informatiebronnen ten grondslag aan de beslissing welk vervolg een jeugdige verdachte krijgt. Er is dus geen besluitvorming op basis van enkel de uitkomst van de Preselect Recidive. Ik zie daarom geen aanleiding om het bezwaar maken tegen een beslissing vanwege de uitkomst van de Preselect Recidive mogelijk te maken.

Vraag 24

Deelt u de conclusie van de vier wetenschappers van de Radboud Universiteit dat «de voorspellende waarde van Preselect beperkt [is] en voor jongeren riskante gevolgen [kan] hebben»?

De voorspellende waarde van Preselect is vergelijkbaar met instrumenten die wereldwijd worden toegepast om recidive te voorspellen; zie ook het antwoord op vraag 6. Omdat de voorspellende waarde nooit perfect is, is de uitkomst van het instrument nooit leidend. Preselect Recidive wordt gebruikt om te adviseren of aanvullende risicotaxatie nodig is. Daarmee deel ik de conclusie niet dat dit riskante gevolgen kan hebben voor een jeugdige verdachte, maar juist helpt te komen tot een goed passende interventie.

Vraag 25

Kunt u het onderzoek van de Universiteit van Amsterdam uit 2023, waaruit naar eigen zeggen blijkt dat de voorspellende waarde van Preselect laag is, delen met de Kamer?

Ja, zie mijn antwoord op vraag 7 voor de gevraagde publicatie.

Vraag 26

Hoe is er opvolging gegeven om de tekortkomingen die de Algemene Rekenkamer in 2022 constateerde bij de inzet van algoritmes in het jeugdrecht? Zijn alle aanbevelingen geïmplementeerd?2 3

Voor het antwoord op de vraag verwijs ik u naar het «Verantwoordingsonderzoek 2023 Ministerie van Justitie en Veiligheid» van de Algemene Rekenkamer.15 Hieruit is gebleken dat de aanbevelingen naar tevredenheid van de Algemene Rekenkamer zijn opgevolgd en dat het aandachtspunt16 dat de Algemene Rekenkamer meegaf, is komen te vervallen. De aanbevelingen en vereisten die hieruit naar voren kwamen, worden nu standaard meegenomen in de ontwikkeling rondom alle instrumenten van het LIJ waaronder de Preselect Recidive.

Vraag 27

Op welke manier wordt Preselect nu doorontwikkeld? Kunt u de Kamer blijvend informeren over het gebruik en de doorontwikkeling van het algoritme?

Voor de Preselect Recidive is het meest recente valideringsonderzoek in 2023 uitgevoerd. Met dit onderzoek is getoetst of het instrument nog werkt zoals beoogd. Hieruit bleek dat een aanpassing van het model zoals ontwikkeld in 2013 noodzakelijk was, vooral op de volgende punten:
Vervolgens heeft de Universiteit van Amsterdam in opdracht van mijn ministerie in 2024 een vervolgonderzoek uitgevoerd naar de benodigde aanpassingen. Dit onderzoek dient als uitgangspunt voor de verbeteringen die in 2025 worden doorgevoerd, zoals hierboven genoemd. Daartoe behoort het aanscherpen van de bestaande kwaliteitscyclus, zoals de standaard periodieke evaluaties, het uitvoeren van een Data protection impact assessment (DPIA) en een Impact Assessment Mensenrechten en Algoritmes (IAMA), het herinrichten van taken en verantwoordelijkheden en het verbeteren van de informatievoorziening aan jongeren, ouder(s)/verzorger(s). Over de voortgang van de doorontwikkeling zal ik de Kamer in de tweede helft van 2025 informeren.

Vraag 28

Kunt u deze vragen afzonderlijk van elkaar en zo spoedig mogelijk beantwoorden?

Met bovenstaande beantwoording verwacht ik aan uw verzoek te hebben voldaan.

Vraag 1

Klopt het dat als men via de website werkenvoornederland.nl solliciteert bij de AIVD of MIVD hierover informatie gedeeld wordt met Google via het gebruik van Google Analytics? Zo ja, welke gegevens worden precies verzameld en verwerkt? Zo nee, kunt u een onderbouwing geven waarom dit volgens u niet het geval is?1

Nee, er worden geen gegevens van sollicitanten bij de AIVD of MIVD gedeeld met Google via het gebruik van Google Analytics op werkenvoornederland.nl. De sollicitatieprocessen van de AIVD en MIVD zijn volledig gescheiden van dit platform en worden afgehandeld via de eigen, beveiligde systemen van de AIVD en MIVD.
Google Analytics 4 (GA4) is op werkenvoornederland.nl geconfigureerd met de strengste privacy-instellingen, waarbij alle identificerende gegevens zijn uitgeschakeld en het IP-adres is geanonimiseerd tot op het niveau van het land. Hierdoor is het niet mogelijk om individuele gebruikers te identificeren a.d.h.v. de verzamelde data. De betrokken privacy en security officer binnen mijn organisatie bevestigt dat het gebruik van GA4 op deze manier voldoet aan de geldende privacywetgeving en is betrokken geweest bij de inrichting en de implementatie.
Om te garanderen dat werkenvoornederland.nl ook in de toekomst voldoet aan de gestelde privacystandaarden evalueert mijn organisatie de configuratie van Google Analytics 4 regelmatig en past deze aan waar nodig. Deze aanpak zorgt voor een optimale balans tussen het verkrijgen van inzicht in het gebruik van deze website en de bescherming van de privacy van website bezoekers.

Vraag 2

In hoeverre zijn de gegevens over bezoekers en gebruikers van werkenvoornederland.nl die worden doorgegeven aan Google Analytics mogelijk herleidbaar tot individuen? Kunt u hierin ook het IP-adres betrekken, en hoeveel huishoudens jarenlang hetzelfde IP-adres houden, en daarmee herleidbaar zijn?

De gegevens die via GA4 worden verzameld op werkenvoornederland.nl zijn niet herleidbaar tot individuele personen. Het IP-adres wordt geanonimiseerd tot op het niveau van het land, waardoor het onmogelijk is om specifieke bezoekers of huishoudens te identificeren.
Het is waar dat sommige huishoudens gedurende langere tijd hetzelfde IP-adres kunnen hebben. Echter, door het toepassen van geavanceerde anonimiseringstechnieken en het vermijden van het verzamelen van direct identificeerbare informatie zoals namen of e-mailadressen, wordt het risico op herleidbaarheid tot een minimum beperkt.
GA4 is geconfigureerd met strenge privacy-instellingen om te voldoen aan de AVG. Daarnaast voert men met regelmaat controle uit inzake de data en applicatie om de effectiviteit van de privacymaatregelen te garanderen.

Vraag 3

Als gegevens van Google Analytics mogelijk herleidbaar zijn tot individuen, klopt het dat op deze wijze de identiteit van sollicitanten bij de AIVD of MIVD feitelijk met Google wordt gedeeld?

Het is onmogelijk dat de identiteit van sollicitanten bij de AIVD of MIVD via Google Analytics wordt gedeeld. Hier zijn verschillende redenen voor. Ten eerste is er een scheiding van sollicitatieprocessen. Werkenvoornederland.nl dient enkel en alleen als promotieplatform voor vacatures. De daadwerkelijke sollicitatieprocessen bij de AIVD en MIVD vinden plaats via hun eigen, beveiligde systemen. Er is géén directe koppeling tussen deze systemen en GA4. Ten tweede hanteren we strikte privacy-instellingen. GA4 is op werkenvoornederland.nl geconfigureerd met de strengste privacy-instellingen. Dit betekent dat er geen gegevens worden verzameld die herleidbaar zijn tot individuele personen. Zo zijn gebruikersidentificatie, demografische gegevens en het volledige IP-adres uitgeschakeld. In plaats daarvan wordt het IP-adres geanonimiseerd tot op het niveau van het land. Ten derde evalueren we regelmatig. Om te garanderen dat ook in de toekomst wordt voldaan aan de hoogste privacystandaarden, wordt de configuratie van Google Analytics 4 met regelmaat geëvalueerd en aangepast waar nodig.
Door deze combinatie van technische maatregelen en strikte privacy-instellingen kan met zekerheid worden gesteld dat de gegevens die via GA4 worden verzameld, in geen geval kunnen worden gebruikt om de identiteit van sollicitanten bij de AIVD of MIVD te achterhalen.

Vraag 4

Klopt het dat in de nieuwste versie van Google Analytics, Google geen IP-adressen van bezoekers meer kan zien? Of kan Google het IP-adres nog steeds zien en belooft men alleen maar er niets mee te doen? Maakt werkenvoornederland.nl gebruik van de nieuwste versie van Google Analytics?

GA4 anonimiseert IP-adressen automatisch tot op het niveau van het land, waardoor het onmogelijk is om individuele gebruikers te identificeren. Dit betekent dat Google geen toegang heeft tot de volledige IP-adressen en deze ook niet opslaat. Deze maatregel is een essentieel onderdeel van de ingebouwde privacybescherming in GA4.
Werkenvoornederland.nl maakt inderdaad gebruik van de nieuwste versie van Google Analytics, namelijk Google Analytics 4 (GA4). Door gebruik te maken van deze versie zijn we in staat om aan de strengste privacy-eisen te voldoen. Daarnaast zijn er aanvullende maatregelen getroffen om de privacy van website bezoekers te beschermen, zoals bijvoorbeeld het uitschakelen van gebruikersidentificatie en het beperken van de dataretentie. Google kan in GA4 geen volledige IP-adressen zien, en werkenvoornederland.nl heeft alle mogelijke maatregelen getroffen om de privacy van bezoekers te waarborgen.

Vraag 5

Klopt het dat Google van de Amerikaanse wet op verzoek dit soort data moet doorgeven, ongeacht wat een Nederlands contract hierover zegt? Zo nee, kunt u dit onderbouwen?2

De Amerikaanse Cloud Act verleent Amerikaanse autoriteiten inderdaad het recht om gegevens op te vragen van bedrijven die in de Verenigde Staten gevestigd zijn, zoals Google. Dit geldt ook voor gegevens die op servers buiten de Verenigde Staten zijn opgeslagen. Echter, de specifieke gegevens die via GA4 worden verzameld op werkenvoornederland.nl vallen buiten het bereik van deze wetgeving.
De strenge anonimisering van de gegevens, met name van IP-adressen, en het ontbreken van direct identificeerbare informatie zorgen ervoor dat de gegevens die via GA4 worden verzameld op werkenvoornederland.nl geen waarde hebben voor identificatiedoeleinden. Zelfs als de Amerikaanse Cloud Act zou worden aangepast of uitgebreid, zouden deze gegevens niet kunnen worden gebruikt om individuen te identificeren en zouden ze daarom buiten het bereik vallen van eventuele dataverzoeken.
Het is in deze context belangrijk te benadrukken dat de Cloud Act primair gericht is op het verkrijgen van gegevens die nodig zijn voor strafrechtelijke onderzoeken. Gegevens die geen enkel verband houden met criminele activiteiten, zoals de geanonimiseerde data die we verzamelen, vallen buiten de reikwijdte van deze wetgeving.

Vraag 6

Deelt u de mening dat het ongewenst is als gegevens van sollicitanten bij de AIVD of MIVD worden gedeeld met Google, en in het verlengde daarmee mogelijk met een buitenlandse regering? Zo nee, waarom niet?

Ik deel de mening dat het ongewenst is dat persoonsgegevens van sollicitanten bij de AIVD of MIVD worden gedeeld met externe partijen, zoals Google, of in het verlengde daarvan met buitenlandse overheden. Om deze reden heeft mijn organisatie ervoor gekozen om GA4 dusdanig te configureren dat er geen persoonsgegevens worden verzameld of gedeeld. De verzamelde data zijn volledig geanonimiseerd, waardoor het onmogelijk is om individuele personen, waaronder sollicitanten, te identificeren.
Het delen van persoonsgegevens van sollicitanten, en in het bijzonder bij gevoelige diensten als de AIVD en MIVD, zou niet alleen een inbreuk zijn op de privacy van de kandidaten, maar zou ook een veiligheidsrisico kunnen vormen.

Vraag 7

Klopt het dat er inmiddels steeds meer alternatieven zijn voor het gebruik van Google Analytics, en dat de Nederlandse overheid ook een eigen statistieken-faciliteit heeft waarbij informatie niet met het buitenland wordt gedeeld?

Het klopt dat er steeds meer alternatieven voor Google Analytics beschikbaar zijn, waaronder open-source oplossingen zoals Matomo en Piwik PRO (van origine Franse bedrijven). Deze alternatieven bieden vaak meer controle over de data en kunnen beter aansluiten bij specifieke privacy-eisen.
De Nederlandse overheid heeft inderdaad initiatieven genomen om eigen statistieken-faciliteiten te ontwikkelen. Het doel hiervan is om de afhankelijkheid van externe aanbieders te verminderen en de controle over gevoelige data te vergroten. Echter, de implementatie van dergelijke oplossingen vereist aanzienlijke investeringen in tijd, geld en expertise.
In het geval van werkenvoornederland.nl is GA4 momenteel de gekozen oplossing vanwege de uitgebreide functionaliteit en de lagere kosten in vergelijking met sommige alternatieven zoals Matomo. Bij de keuze voor GA4 zijn, zoals eerder aangegeven, de privacy-instellingen zorgvuldig geconfigureerd om te voldoen aan de geldende wet- en regelgeving.
Het is belangrijk op te merken dat de keuze voor een analytics-tool een afweging is tussen verschillende factoren, waaronder functionaliteit, kosten, privacy en technische expertise. De keuze voor GA4 is gebaseerd op een zorgvuldige afweging van deze factoren in de context van werkenvoornederland.nl.
Bij toekomstige vernieuwingen van werkenvoornederland.nl zullen opnieuw alle beschikbare opties tegen het licht worden houden, waarbij de ontwikkelingen op het gebied van privacy, databeveiliging en cyberweerbaarheid een belangrijke rol spelen.

Vraag 8

Kunt u aangeven waarom de website werkenvoornederland.nl per se met Google Analytics moet werken? Waarom wordt er geen gebruik gemaakt van Europese alternatieven of een eigen faciliteit van de rijksoverheid?

De keuze voor GA4 voor werkenvoornederland.nl is in eerste instantie gemaakt vanwege de uitgebreide functionaliteiten en de relatief lage kosten. Het platform biedt een schat aan data over websitebezoek, waardoor we inzicht krijgen in de gebruikerservaring en onze dienstverlening kunnen optimaliseren. Echter, ik ben me bewust van de discussie rondom de privacy-implicaties van het gebruik van Amerikaanse analytics-tools en de beschikbaarheid van Europese alternatieven.
Bij de keuze voor een analytics-tool wegen we verschillende factoren mee, waaronder:
Hoewel een Europees alternatief een optie lijkt, zijn er nog enkele uitdagingen te overwinnen, zoals de hogere kosten en de noodzaak om de bestaande data-infrastructuur aan te passen. De keuze voor een alternatief voor Google Analytics vraagt een zorgvuldige afweging.

Vraag 9

Hoe staat het met het onderzoek van de Autoriteit Persoonsgegevens naar het gebruik van Google Analytics en het mogelijke verbod op het gebruik hiervan?

De Autoriteit Persoonsgegevens (AP) heeft in 2022 onderzoek gedaan naar het gebruik van Google Analytics en de mogelijke inbreuk op de Algemene Verordening Gegevensbescherming (AVG). Dit onderzoek werd geïnspireerd door vergelijkbare onderzoeken in andere Europese landen, die concludeerden dat het doorgeven van persoonsgegevens aan servers in de Verenigde Staten in strijd kan zijn met de AVG.
Dit onderzoek heb ik met grote belangstelling gevolgd en de ontwikkelingen hou ik nauwlettend in de gaten. Hoewel de AP nog geen definitieve uitspraak heeft gedaan, is het duidelijk dat er zorgen zijn over de privacy-implicaties van het gebruik van Google Analytics. Mocht de AP besluiten dat het gebruik van Google Analytics in de huidige vorm niet langer is toegestaan, dan zal ik hier uiteraard gevolg aan geven.
Er zijn, zoals eerder aangegeven, verschillende alternatieven en zij houden rekening met vernieuwingsvraagstukken waarin een scenario wordt beschreven om eventueel over te stappen.
Het is belangrijk om te benadrukken dat de privacy van werkenvoornederland.nl bezoekers zeer serieus wordt genomen. Ik zet me volledig in om te voldoen aan de geldende wet- en regelgeving en om een veilige en vertrouwde online omgeving te bieden.

Vraag 10

Kunt u aangeven welke andere Europese landen gebruik maken van Google Analytics op de sollicitatiepagina van de geheime diensten?

Het is niet eenvoudig een eenduidig antwoord te geven op de vraag welke Europese landen gebruik maken van Google Analytics op de sollicitatiepagina's van hun geheime diensten.
Geheime diensten opereren doorgaans in een omgeving van strikte vertrouwelijkheid. Dit betekent dat informatie over de gebruikte technologieën, waaronder analytics-tools, vaak niet openbaar gemaakt wordt. Daarnaast verschillen de privacywetgevingen en -praktijken tussen de verschillende Europese landen, waardoor er geen eenduidige aanpak is voor het gebruik van analytics-tools binnen de overheid.
Redenen waarom deze informatie moeilijk te achterhalen is:
Hoewel ik geen concrete gegevens kan verstrekken over het gebruik van Google Analytics door specifieke Europese geheime diensten, kan ik wel stellen dat het gebruik van analytics-tools binnen overheidsorganisaties in het algemeen steeds vaker onder de loep wordt genomen. De discussie over privacy en databeveiliging is de afgelopen jaren sterk toegenomen, en dit heeft ook terechte gevolgen voor de keuze van softwaretools.

Vraag 11

Bent u bereid te stoppen met het gebruik van Google Analytics op werkenvoornederland.nl of het solliciteren bij de geheime diensten op een andere manier te regelen? Zo nee, waarom niet?

De privacy van bezoekers aan werkenvoornederland.nl is van groot belang. Daarom sta ik open voor het evalueren van alternatieven voor Google Analytics. Ik volg de ontwikkelingen op het gebied van privacywetgeving en (nieuwe) technologieën nauwlettend en pas de werkwijze daarop aan om daarmee te voldoen aan de verwachtingen van gebruikers en afnemers.
Wat betreft het solliciteren bij de AIVD en MIVD is het voor mij van belang om te benadrukken dat Google Analytics hierbij géén rol speelt. Sollicitaties verlopen volledig via de eigen, beveiligde systemen van deze organisaties en worden niet via werkenvoornederland.nl afgehandeld.
Mocht blijken dat het gebruik van Google Analytics niet langer in lijn is met de geldende privacywetgeving, dan zal ik overstappen op een alternatief dat voldoet aan de hoogste privacy en security standaarden. Hierbij zal er rekening worden gehouden met factoren als functionaliteit, kosten en technische haalbaarheid.

Vraag 1

Bent u bekend met het bericht «Bunq ondervraagt klant via bankapp na onlinekritiek»?1, 2

Ja, daar ben ik mee bekend.

Vraag 2

Wat is uw reactie op dit bericht?

Het Financieele Dagblad schreef dat Bunq klanten via haar bankapp zou hebben benaderd en zou hebben gedreigd met beëindiging van de klantrelatie nadat deze klanten online kritiek hadden geuit over de bank. Voor de beantwoording van deze Kamervragen heb ik contact opgenomen met Bunq. De bank zegt contact op te nemen met klanten met als doel om haar dienstverlening te verbeteren. Daarbij is Bunq niet actief op zoek naar klanten die zich negatief uitlaten online over de bank. Bunq geeft aan dat het de genoemde klanten niet heeft bedreigd met beëindiging van de klantrelatie en de klantrelatie ook niet heeft beëindigd. De klanten die in het artikel van het Financieele Dagblad worden genoemd, zijn nog klanten bij Bunq.
In het algemeen geldt dat bankgegevens, zoals de naam van de cliënt, bankrekeningnummer en transactiegegevens, worden beschouwd als persoonsgegevens en vallen dus onder de privacywetgeving: de Algemene Verordening Gegevensbescherming (AVG) in combinatie met de Nederlandse Uitvoeringswet AVG (UAVG). Voor het verwerken van deze persoonsgegevens is een grondslag vereist. De Autoriteit Persoonsgegevens (AP) is de toezichthouder op naleving van de (U)AVG.

Vraag 3

Was u op de hoogte van deze signalen? Zo ja, hoe lang waren de signalen al bij u of betrokken toezichthouders bekend?

Nee, ik heb bij de publicatie van het artikel in het Financieel Dagblad voor het eerst kennisgenomen van deze berichten. De Nederlandsche Bank (DNB) is in dit geval de relevante financiële toezichthouder. DNB is over individuele instellingen geheimhouding verschuldigd. Ook de Autoriteit Persoonsgegevens (AP) heeft hier een rol. De AP kan op grond van klachten of uit eigen beweging onderzoek doen naar mogelijke overtredingen van de privacywetgeving, waaronder oneigenlijk gebruik van bankgegevens. Ik heb van de AP hier geen signalen over ontvangen.

Vraag 4

Heeft u contact gehad met Bunq naar aanleiding van dit bericht? Zo ja, met welke boodschap zocht u contact? Zo nee, bent u bereid dit alsnog te doen?

Voor de beantwoording van deze Kamervragen ben ik in gesprek gegaan met Bunq. In het algemeen geeft Bunq aan dat zij dagelijks in contact staat met haar klanten om naar hun feedback en ervaringen te luisteren en dat veiligheid en privacy altijd voorop staan. Verder geeft Bunq aan dat de bank de genoemde klanten niet heeft bedreigd met beëindiging van de klantrelatie en de klantrelatie ook niet heeft beëindigd. Voorts heeft Bunq aangegeven dat zij klanten benadert die op sociale media en fora berichten over de bank plaatsen, zodat zij haar dienstverlening kan verbeteren.

Vraag 5

Zijn er naar aanleiding van dit bericht en eerdere berichten over misstanden bij Bunq aanscherpingen geweest in het toezicht op deze bank? Is het u bekend of Bunq sindsdien interne procedures en toezicht heeft ingericht om dit soort praktijken te voorkomen?

Het is aan de AP om handhavend op te treden ten aanzien van de correcte naleving van de (U)AVG. Daarnaast zijn er verschillende wetten, waaronder de Wet op het financieel toezicht (Wft), de Wet ter voorkoming van witwassen en financiering van terrorisme (Wwft) en de Sanctiewet 1977 (Sw) die het wettelijk kader aangeven waar banken zich aan moeten houden en waar DNB toezicht op houdt. DNB is geheimhouding verschuldigd over vertrouwelijke gegevens die zij in het kader van haar toezichttaak ontvangt en verwerkt. Over specifieke instellingen kan DNB daarom geen uitspraken doen. DNB hanteert in haar toezicht een risicogebaseerde aanpak en betrekt onder meer incidentmeldingen en andere signalen bij haar prioriteitstelling. Als DNB vaststelt dat een instelling de desbetreffende wetgeving onvoldoende naleeft, kan DNB maatregelen nemen, waaronder handhavende maatregelen.

Vraag 6

Bent u van mening dat Bunq een juiste afweging gemaakt tussen de privacy van haar klanten en het eigen economische belang als zij dreigt om de relatie met een klant te beëindigen als negatieve uitingen online niet worden verwijderd?

Bij navraag laat Bunq weten dat zij de genoemde klanten niet heeft bedreigd met beëindiging van de klantrelatie en de klantrelatie ook niet heeft beëindigd.

Vraag 7

Bent u het met de indieners eens dat een bank onder geen enkele voorwaarden haar klanten onder druk mag zetten om zich op een bepaalde manier in het openbaar te uiten?

Ja, daar ben ik het mee eens.

Vraag 8

Kunt u bevestigen of Bunq daadwerkelijk klantrelaties heeft beëindigd nadat klanten kritiek hebben geuit? Hoe beoordeelt u dit in het licht van de afhankelijkheidsrelatie die een klant heeft tot zijn of haar bank?

Bij navraag laat Bunq weten dat het uiten van kritiek geen grond is om de klantrelatie te beëindigen. Volgens Bunq zijn er geen klantrelaties beëindigd vanwege het uiten van kritiek.

Vraag 9

Op welke gronden mag een bank haar relatie met een klant beëindigen? Welke bescherming geniet de klant bij een eenzijdige beëindiging van het contact aan de kant van de bank?

Beide partijen, zowel de bank als de klant, hebben het recht om de relatie te beëindigen. De gronden waarop een bank een klantrelatie kan beëindigen zijn wanneer een witwasrisico niet gemitigeerd kan worden of het cliëntonderzoek niet voltooid kan worden.3 Daarnaast kan de bank in kwestie opzeggingsgronden geformuleerd hebben in de algemene voorwaarden, zoals wanneer een betaalrekening van een particulier gebruikt wordt voor zakelijke doeleinden. In al deze gevallen hebben banken een algemene zorgplicht tegenover hun klanten, indien zij de rekening willen opzeggen. Dit betekent dat de bank op zorgvuldige wijze de belangen van de klant in acht moet nemen. Daarnaast mag de bank een klantrelatie niet beëindigen wanneer dit tot onaanvaardbare gevolgen leidt.
Wanneer een particuliere klant een klacht heeft over het handelen van een bank, kan de klant, na het doorlopen van de interne klachtprocedure van de bank, terecht bij Het Klachteninstituut Financiële Dienstverlening (Kifid). Daarnaast kan een klant naar de civiele rechter stappen.

Vraag 10

In welke wet- en regelgeving is vastgelegd hoe banken wel en niet om mogen gaan met klantgegevens? Zijn consumenten wettelijk beschermd van dit soort wanpraktijken? Zo ja, hoe wordt erop toegezien dat banken dit naleven?

Zoals in de beantwoording bij vraag 2 is aangegeven, worden bankgegevens beschouwd als persoonsgegevens en zij vallen dus onder de privacywetgeving: de AVG in combinatie met de UAVG. Voor het verwerken van deze persoonsgegevens is een geldige grondslag vereist. De AP is de primaire toezichthouder op naleving van de (U)AVG. De AP kan op grond van klachten of uit eigen beweging onderzoek doen naar mogelijke overtredingen van de privacywetgeving. Het online uiten van kritiek op een bank is geen geldige grondslag voor het verwerken van klantgegevens.

Vraag 11

Heeft Bunq beleid om te mogen achterhalen welke gebruikers negatieve uitingen doen over de bank? Zo ja, vindt u dit terecht en worden klanten hier voldoende van op de hoogte gebracht?

Bunq heeft aangegeven dat zij online sociale media en fora in de gaten houdt om de veiligheid van klanten te bevorderen. Ook zegt Bunq te reageren op online uitingen om te achterhalen hoe zij haar dienstverlening kan verbeteren.
Bunq kijkt daarom naar openbare online content, maar geeft aan niet specifiek te zoeken naar negatieve reacties.

Vraag 12

Is het toegestaan dat Bunq klantgegevens, zoals gebruikersnamen, koppelt aan informatie verkregen op andere platforms, ook als dit eigen (anonieme) meningen betreft?

Het online uiten van kritiek op een bank is geen geldige grondslag voor het verwerken van klantgegevens.

Vraag 13

Bent u bereid om de Autoriteit Financiële Markten (AFM) en De Nederlandse Bank (DNB), in navolging van de Autoriteit Persoonsgegevens (AP), te vragen om deze situatie te onderzoeken?

De AFM en DNB zijn zelfstandige bestuursorganen en functioneren als onafhankelijke toezichthouders. Ik kan de toezichthouders daarom niet vragen om een specifieke situatie te onderzoeken. De toezichthouders maken zelf de afweging wat onderzocht dient te worden.

Vraag 14

Kunt u deze vragen afzonderlijk van elkaar en zo spoedig mogelijk beantwoorden?

De vragen zijn zo afzonderlijk van elkaar, zo spoedig en volledig als mogelijk beantwoord. Vanwege de vragen aan Bunq en de toezichthouders heeft de beantwoording wat langer geduurd.

Vraag 1

Bent u bekend met de monitorrapportage 2024 «Digitale toegankelijkheid en dienstverlening» van het College van de Rechten voor de Mens?1

Ja.

Vraag 2

Kunt u op elk van de aanbevelingen van het bovengenoemde rapport ingaan en aangeven wat de inzet en het doel zijn?

Het CRM beveelt het Ministerie van VWS aan om voor de nationale strategie voor de implementatie van het VN-verdrag handicap meer concrete doelstellingen te formuleren over digitale toegankelijkheid en dienstverlening op alle terreinen van het leven, ook voor Caribisch Nederland, en deze mee te nemen in de werkagenda bij de strategie.2
Digitalisering speelt een steeds grotere rol en is niet meer weg te denken uit ons dagelijks leven. Het is daarom belangrijk dat iedereen, met én zonder beperking, toegang heeft tot digitale informatie en diensten.
De doelstellingen van de nationale strategie VN-verdrag Handicap zijn kabinetsbreed vastgesteld. Op dit moment worden de doelstellingen vertaald naar concrete maatregelen, waaronder de maatregelen die gaan over digitale toegankelijkheid. Deze maatregelen worden opgenomen in de werkagenda bij de nationale strategie.
Caribisch Nederland valt niet binnen de scope van de nationale strategie VN-verdrag Handicap. Wel wordt in Caribisch Nederland gewerkt aan het op orde brengen van de digitale overheid en overheidsdienstverlening. Voorzieningen uit (Europees) Nederland worden doorgetrokken, zoals DigiD vanaf 2025. Op dit moment loopt de parlementaire behandeling van de invoering van het BSN en de Wet digitale overheid (Wdo). De inzet is dat de digitale toegankelijkheidseisen uit de Wdo uiterlijk in 2028 voor alle overheidsorganisaties zullen gelden. Daarnaast werkt het kabinet aan verbetering van de digitale infrastructuur op de eilanden, zodat iedereen kan beschikken over betaalbaar en betrouwbaar internet. Ook worden zorginstellingen geholpen bij de overgang van papieren registraties naar digitale registratiesystemen. Daarbij wordt ook gekeken naar de toegankelijkheid en gebruiksvriendelijkheid van deze systemen voor mensen met een beperking.
Vanuit het Ministerie van BZK werken we op dit moment aan de lagere regelgeving, waaronder de besluiten die vallen onder de Wdo mogelijk ook van toepassing verklaren voor Caribisch Nederland. Via een internetconsultatie bekijken we de mogelijkheden tot aanpassing in de AMvB (Besluit tot wijziging van diverse algemene maatregelen van bestuur) en stellen voor om het Tijdelijk besluit digitale toegankelijkheid overheid en het Besluit, beveiligde verbinding met overheidswebsites en -webapplicaties in te voeren in Caribisch Nederland. Voor de toegankelijkheidsstandaard is het voornemen om 1-1-2028 als uiterste datum op te nemen waarop websites en apps aan de standaard moeten voldoen. Ook kijken we vanuit BZK naar de uitvoerbaarheid van de verplichting voor Caribisch Nederland.
Het CRM onderstreept in de rapportage dat de overheid mensen met een beperking en hun vertegenwoordigende organisaties vanaf het begin structureel moet betrekken bij het opstellen, uitvoeren en evalueren van wetgeving en beleid over digitale toegankelijkheid en dienstverlening. Het CRM benadrukt het belang hiervan voor de inrichting en uitvoering van het centrale toezicht op het Besluit digitale toegankelijkheid, ontwikkeling van de Informatiepunten digitale overheid (IDO’s) en de overheidsbrede loketten. Ook doet het CRM de aanbeveling aan het Ministerie van VWS om prioriteit te geven aan het ontwikkelen van een infrastructuur voor het betrekken van mensen met een beperking en hun vertegenwoordigende organisaties.
Voor het Ministerie van BZK is het belangrijk dat we aansluiten op de leefwereld van mensen door met hen in gesprek te gaan en hen te betrekken bij het vaststellen van problemen én het oplossen daarvan. Voor onderwerpen als de loketfunctie – waaronder de IDO’s en de overheidsbrede loketten – en proactieve dienstverlening doet BZK dat bijvoorbeeld met iteratief, ontwerpend onderzoek, samen met mensen.
Het Ministerie van BZK is bezig om de toepassingen van de Code Inclusief Digitaal Ontwerpen (CIDO) te integreren in het NL Design System (NLDS). NLDS geeft richtlijnen en componenten voor het ontwikkelen van digitale diensten. Hierbij wordt uitgegaan van toegankelijkheid, gebruikersvriendelijkheid, inclusiviteit en consistentie, ondersteund door gebruikersonderzoek. De CIDO moet erop toezien dat bij het ontwerpen van websites en applicaties de eindgebruikers (onder wie mensen met een beperking) worden betrokken. Deze randvoorwaarden zijn nodig om inclusief ontwerpen te stimuleren. Overheidsorganisaties en eindgebruikers werken samen om digitale toegankelijkheid te verwezenlijken.
Bij de ontwikkeling van de werkagenda bij de nationale strategie VN-verdrag handicap zijn mensen met een beperking nauw betrokken. De Staatssecretaris Langdurige en Maatschappelijke Zorg maakt in dit ontwikkelproces afspraken met de betrokken ministeries over hoe mensen met een beperking betrokken kunnen worden bij de uitvoering van de maatregelen die worden opgenomen in de werkagenda.
En ten slotte, in het Beleidskompas, wat de huidige werkwijze is voor beleids- en wetgevingstrajecten binnen de Rijksoverheid, is het betrekken van belanghebbenden (waaronder vertegenwoordigende organisaties van mensen met een beperking), een onderdeel in alle stappen van het proces.
Het CRM beveelt het Ministerie van BZK aan om vast te leggen in het beleid dat overheidsinstanties organisatie-breed en voortdurend aandacht dienen te besteden aan digitale toegankelijkheid. Tevens moeten overheidsinstanties eisen stellen aan digitale toegankelijkheid bij hun inkoopvoorwaarden. Tot slot, benadrukt het CRM dat het van belang is dat het centrale toezicht op de naleving van het Besluit digitale toegankelijkheid effectief is en regelmatig plaatsvindt.
Het Ministerie van BZK vindt het belangrijk dat overheidswebsites en applicaties voldoen aan het Besluit digitale toegankelijkheid overheid. Het Ministerie van BZK gaat op de volgende onderdelen inzetten:
Het CRM vraagt in zijn monitorrapportage aan het Ministerie van BZK om een tijdpad te presenteren voor de verschillende stappen die gezet gaan worden om toegang tot overheidsdienstverlening voor wettelijke vertegenwoordigers en gemachtigden te garanderen.
De publieke dienstverlening van de (semi)-overheid digitaliseert. Burgers die (deels) handelingsonbekwaam zijn en niet zelfstandig mogen handelen, zoals personen die onder bewind of curatele staan of minderjarigen, hebben een door de wet of door de rechter aangestelde wettelijk vertegenwoordiger (bewindvoerder, curator, mentor of een persoon met gezag over een minderjarige).
Uw Kamer heeft de door BZK ontraden motie van het lid Ceder (36 600 VII, nr. 61) aangenomen. De motie-Ceder vraagt voor het zomerreces van 2025 het probleem op te lossen dat wettelijke vertegenwoordigers soms noodgedwongen in overtreding zijn bij DigiD-machtigingen.
In de beantwoording van de vragen van het lid Inge van Dijk (CDA) (20232024–878) door mijn voorganger aangegeven, zal BZK totdat alle overheidsdienstverleners zijn aangesloten, zoals aangeven in de beantwoording van de vragen van de SGP-leden Bisschop en Van der Staaij (2022D22285) en GroenLinks-leden Westerveld en Bouchallikh (2022Z10723), niets doen dat de hulp aan deze groep in de weg kan staan. Het gaat dan uitdrukkelijk om handelingsonbekwame hulpbehoevenden die een wettelijk vertegenwoordiger hebben.
Digitale toegang voor wettelijk vertegenwoordigers is nu alleen mogelijk bij de Belastingdienst, WIL Lekstroom en via twee pilots bij de gemeente Rotterdam en Den Haag (bijstand) en MUMC+. Bij de overige dienstverleners kunnen ze via de eigen daarvoor ingerichte processen van de publieke dienstverleners inloggen en zaken doen.
Hierbij informeert BZK uw Kamer over de structurele mogelijkheden en hoe BZK aan oplossingen werkt. Momenteel werkt BZK aan een bevoegdheidsverklaringsdienst (BVD) om de bronnen Wettelijk Vertegenwoordigingsregister (WVR) en Ouderlijk Gezag te kunnen ontsluiten. Via de uitrol van het Stelsel Toegang zal ik stapsgewijs de voorzieningen die zijn gerealiseerd voor wettelijke vertegenwoordigen van handelingsonbekwame burgers beschikbaar maken. Te beginnen met ouderlijk gezag (kinderen jonger dan 12 jaar) in de zorgsector vanaf januari 2026. Eerder is niet mogelijk omdat het bouwen van de voorzieningen tijd vraagt en wetgeving aangepast moet worden. Daarnaast moeten dienstverleners aansluiten op alle voorzieningen en hun systemen aanpassen voor implementatie hiervan. Het gaat om een hele keten die goed en vooral zorgvuldig ingericht moet worden, en dat vergt (doorloop) tijd. Ik zal u hier in de komende Verzamelbrieven verder over informeren.
In de monitorrapportage roept het CRM het Ministerie van VWS op om toegankelijkheidseisen voor de sectoren zorg en onderwijs bindend vast te leggen. Hiertoe vraagt het CRM om een tijdlijn te schetsen en de voortgang hierop te monitoren.
Het Ministerie van VWS en het Ministerie van BZK werken samen met andere departementen aan de uitwerking van de werkagenda bij de nationale strategie voor de implementatie van het VN-verdrag Handicap, die vóór de zomer van 2025 wordt gedeeld met de Kamer. In de gesprekken over deze werkagenda wordt in overleg met de Ministeries van VWS, BZK en OCW ingezet op afspraken te maken over de manier waarop de eisen voor digitale toegankelijkheid ook voor de domeinen Zorg en Onderwijs kunnen gaan gelden.
Ook wijst het CRM erop om te investeren in de training van ontwikkelaars en producenten. In deze trainingen moet expliciet aandacht zijn voor het VN-verdrag Handicap en het principe van universeel ontwerp. Het is belangrijk dat ontwikkelaars en producenten het principe van universeel ontwerp kennen en kunnen toepassen.
Het Ministerie van VWS zet zich in voor het verder verspreiden van kennis over het VN-verdrag Handicap. De afgelopen jaren is dit onder andere samen gedaan met bijvoorbeeld de VNG en Ieder(in), met verschillende concrete kennisproducten en -activiteiten als resultaat. In 2025 start een programma vanuit de Nationale Wetenschapsagenda (NWA). Dit programma richt zich op het ontwikkelen van kennis die bijdraagt aan de verandering in denken en doen over mensen met een beperking in de samenleving. Deze kennis kan worden benut om met verschillende partijen samen te werken aan een toegankelijke samenleving voor iedereen. Ook zijn er mooie voorbeelden van andere partijen, zoals kennisinstellingen en universiteiten die specifieke kennis over toegankelijkheid en inclusie delen, bijvoorbeeld het Expertisecentrum inclusief onderwijs (ECIO) dat kennis deelt over het VN-verdrag Handicap met onderwijsinstellingen. Daarnaast verkent het Ministerie van VWS de opties voor het vergroten van kennis over het VN-verdrag Handicap bij ambtenaren binnen de Rijksoverheid.

Vraag 3

Hoe reageert u op het feit dat meer dan de helft van alle overheidsdiensten en lokale overheden niet toegankelijk is volgens de wet?2 Zijn de richtlijnen voor algemene toegankelijkheid zoals beschreven in het Tijdelijk besluit digitale toegankelijke overheid nog actueel?3

Het Ministerie van BZK vindt het aantal overheidswebsites en -apps die aan de wettelijke verplichting voldoen te laag.
De richtlijnen voor digitale toegankelijkheid, zoals beschreven in het Besluit digitale toegankelijke overheid, zijn actueel. De Europese norm EN 301549 is leidend. Wanneer er nieuwe vereisten komen voor digitale toegankelijkheid, wordt deze Europese norm herzien en zullen die vereisten ook gelijk in Nederland gelden.

Vraag 4

Hoe geeft u uitvoering aan de motie-Westerveld4 over de uitleg van wetsvoorstellen in toegankelijke taal? Ziet u met ons dat dit niet standaard gebeurd? Kunt u laten weten wat u gaat doen om dit uit te voeren, samen met uw collega-bewindspersonen?

De motie van het lid Westerveld (GroenLinks-PvdA) verzoekt een heldere toelichting te maken bij ieder wetsvoorstel, zodat iedere burger en met name mensen met minder taalvaardigheden, gemakkelijker toegang hebben tot wetsvoorstellen en deze ook kunnen begrijpen. Naar aanleiding van deze motie wordt dit punt ook aan de orde gesteld in het zogenoemd Interdepartementaal Hoofdenoverleg Wetgevingsbeleid (IHW).
Het is belangrijk dat alle burgers begrijpen wat in wet- en regelgeving staat. Op de website van het Kenniscentrum voor beleid en regelgeving van de Rijksoverheid zijn de principes van Duidelijke Taal in wet- en regelgeving uiteengezet. Ook zijn er tips en trainingen die beleidsmedewerkers en wetgevingsjuristen kunnen gebruiken om Duidelijke Taal als uitgangspunt te nemen bij het opstellen van wet- en regelgeving. En is er een groep ambassadeurs van Duidelijke Taal (wetgevingsjuristen, beleidsjuristen en beleidsmedewerkers) die zich inzetten om de principes van Duidelijke Taal onder de aandacht te brengen bij de verschillende departementen én in de werkwijze te integreren. Verder wordt bij de Schrijfwijzer van de memorie van toelichting verwezen naar de pagina over Duidelijke Taal.

Vraag 5

Kunt u een tijdlijn maken met daarin wanneer alle overheidswebsites en -applicaties aan de wet voldoen? Zijn er sancties nodig om organisaties aan te sporen hun diensten toegankelijk te maken?

Een plan van aanpak op digitale toegankelijkheid stuurt de Staatssecretaris van BZK einde Q1 naar uw Kamer. Of sancties nodig zijn, wordt nog onderzocht. Momenteel blijkt namelijk dat het in de praktijk voor overheden lastig is om PDF’s op een digitaal toegankelijke manier te ontsluiten. Daarvoor wordt een voorziening ontwikkeld (NLdoc), beschikbaar einde 2025. De verwachting is dat dit een positieve impact zal hebben op de digitale toegankelijkheid van overheidswebsites.
Verder, op het gebied van toezicht zijn het afgelopen jaar in een drietal rondes zogenoemde «signaleringsbrieven» verzonden aan diverse overheidsorganisaties. In deze brieven werden overheidsorganisaties erop geattendeerd om te voldoen aan de wettelijke verplichting en werd er gewezen op hulp die er geboden kon worden.

Vraag 6

Is het uw ambitie om alle overheidsdiensten te laten voldoen aan de A-classificatie van het Dashboard DigiToegankelijk? Welke diensten moeten volgens u met voorrang aan deze eis voldoen en hoe gaat u hiervoor zorgen?

De ambitie van het Ministerie van BZK is om zoveel mogelijk overheidsorganisaties te laten voldoen aan het Besluit Digitale Toegankelijkheid Overheid. Dat betekent een focus op de A t/m C statussen. Zie ook het antwoord onder vraag 2, aanbeveling 3.

Vraag 7

Bent u van mening dat ook uitvoeringsorganisaties, zorgorganisaties en onderwijsinstellingen aan deze eisen voor toegankelijkheid moeten voldoen?

Zorgorganisaties en onderwijsinstellingen hoeven momenteel niet te voldoen aan de eisen voor toegankelijkheid, omdat zij niet vallen onder het Besluit digitale toegankelijkheid overheid of de Europese toegankelijkheidsrichtlijn. Het besluit geldt voor overheidsinstanties en de Europese toegankelijkheidsrichtlijn voornamelijk voor bedrijven en ondernemers. Momenteel verkennen wij (het Ministerie van VWS, OCW en BZK) de mogelijke opties om de toegankelijkheidsvoorschriften te laten gelden voor de sectoren zorg en onderwijs. We streven ernaar hierover een concrete maatregel op te nemen in de werkagenda voor de Nationale Strategie VN-Verdrag.

Vraag 8

Bent u bereid de implementatie van het verdrag van de Verenigde Naties inzake de rechten van personen met een handicap (VN-verdrag handicap) uit te breiden naar zorg en onderwijs, zoals in andere landen het geval is? Kunt u hierover met deze sectoren afspraken maken?

In 2016 heeft Nederland het VN-Verdrag Handicap geratificeerd. Sindsdien werkt het kabinet aan de verdere implementatie van het Verdrag, ook waar het gaat om zorg en onderwijs. De artikelen 24 en 25 van het VN-Verdrag Handicap gaan immers over zorg en onderwijs.
Zie ook beantwoording onder vraag 7.

Vraag 9

Welke minimumvereisten over toegankelijkheid zijn er voor hulpdiensten zoals de politie, brandweer en medische hulpdiensten?

De wettelijke verplichting is om minimaal te voldoen aan de Europese standaard voor digitale toegankelijkheid, EN301549. De standaard beschrijft voor een breed scala van ICT-toepassingen aan welke eisen deze moeten voldoen voor mensen met een functiebeperking.
Zowel de website van de Landelijke Meldkamer Samenwerking (LMS), als de twee belangrijke websites van de politie, waaronder politie.nl en kombijdepolitie.nl, hebben een B-score. Hiermee voldoen zij aan de wettelijke eisen van het Tijdelijk besluit digitale toegankelijkheid overheid. Voor de overige websites wordt gewerkt aan een verbetering of koppeling aan de site politie.nl en kombijdepolitie.nl
Daarnaast ligt de verantwoordelijkheid voor de bereikbaarheid van alarmnummer 112 bij de Minister van Justitie en Veiligheid (JenV) en de Minister van Economische Zaken (EZ). Er zijn verschillende manieren waarop 112 te bereiken is voor mensen met een beperking:

Vraag 10

Bent u het eens met de stelling dat het van het grootste belang is dat alle mensen met een beperking altijd gebruik moeten kunnen maken van overheidsdiensten als hulpdiensten en dit ook is afgesproken in het Tijdelijk besluit digitale toegankelijkheid overheid en het VN-verdrag handicap?

Alle mensen, dus ook alle mensen met een beperking, dienen toegang te hebben tot overheidsdiensten als hulpdiensten. Dit geldt dus ook voor het alarmnummer 112, ongeacht het tijdstip van de dag. Zie verder het antwoord onder vraag 9.

Vraag 11

Op welke manier is toegankelijkheid nu een vast onderdeel van de ontwikkeling van nieuwe websites, applicaties en formulieren bij alle overheidslagen? Worden eindgebruikers nu standaard meegenomen bij het ontwerpen? Zo ja, welke standaarden gelden hiervoor?

Digitale toegankelijkheid is nog geen vast onderdeel bij de ontwikkeling van nieuwe websites, mobiele applicaties (apps) en formulieren bij alle overheidslagen. Het plan is om eindgebruikers via de aanpak van het NLDS een vast onderdeel te laten uitmaken van de standaard aanpak voor eindgebruikers bij het ontwikkelen van overheidswebsites en apps. Zie ook de beantwoording onder vraag 2, aanbeveling 2 en 3.

Vraag 12

Waar kunnen mensen aankloppen en een melding doen op het moment dat een overheidsdienst of hulpdienst niet toegankelijk is? Kan dit op een toegankelijke manier en wat wordt er vervolgens mee gedaan?

Momenteel kunnen meldingen van ontoegankelijke websites en apps op de website van DigiToegankelijk.nl ingediend worden.
In de hernieuwde aanpak van BZK wordt er nieuw beleid ontwikkelt en trekken we de geleerde lessen uit andere voorbeelden die hebben gewerkt. Hierbij willen we bijvoorbeeld kijken naar de geleerde lessen bij de invoering van de Coordinated Vulnerability Disclosure (CVD). Met de invoering hiervan is het op een verantwoorde wijze en in gezamenlijkheid tussen melder en organisatie openbaar maken van ICT-kwetsbaarheden op de kaart gezet en kan iedereen een melding doen bij een bedrijf, overheidsinstantie of andere organisatie. De organisatie heeft dan de kans om de kwetsbaarheid op te lossen.
Vanuit digitale toegankelijkheid wordt er gekeken naar een soortgelijke aanpak, op websites van overheden en hulpdiensten, waar mensen een melding rechtstreeks bij de organisatie kunnen doen zodat de digitale toegankelijkheid daar waar dat nodig is, verder bevorderd kan worden.

Vraag 13

Op welke manier worden bestaande diensten verbeterd op basis van input door eindgebruikers? Is de overheid in staat om diensten die zij heeft ingekocht van derden zelf aan te passen om ze toegankelijk te maken?

Het Ministerie van BZK biedt overheidsorganisaties de mogelijkheid om gebruik te maken van generieke hulpmiddelen om hun diensten te verbeteren. Deze hulpmiddelen worden ontwikkeld aan de hand van gebruikersonderzoeken, waarbij overheidsorganisaties zelf de keuze hebben of en hoe zij deze hulpmiddelen inzetten. Overheidsorganisaties zijn hierbij zelf verantwoordelijk voor de inkoop van hun diensten. Er zijn algemene inkoopvoorwaarden waar gebruik van wordt gemaakt, maar het kan per situatie verschillen in of de overheidsorganisatie zelf of de leverancier toegankelijkheidsproblemen oplost.

Vraag 14

Kunt u concreet maken welke toekomst u ziet voor de Informatiepunten Digitale Overheid (IDO’s)?

In 2026 verandert de financiering van de IDO’s. De huidige Specifieke Uitkering (SPUK), die de uitvoering belegt bij bibliotheken, komt te vervallen. In plaats daarvan worden de middelen voor de IDO-dienstverlening aan het Gemeentefonds toegevoegd. Dit is een kabinetsbesluit. Gemeenten kunnen dan, met hun kennis van de lokale context, zelf beslissen welke organisatie de laagdrempelige ondersteuning kan bieden. Dat kan nog steeds de bibliotheek zijn, maar ook een andere organisatie als dat in de lokale context beter past, het niveau van de dienstverlening gegarandeerd blijft en mensen zo beter worden bereikt, omdat ze daar vaker komen.
Samen met partners brengen we in 2025 in kaart wat de consequenties, kansen en risico’s van de nieuwe wijze van financiering zijn voor de IDO’s. Uitgangspunt is dat de laagdrempelige, empathische ondersteuning en informatievoorziening in de gemeente behouden blijft.

Vraag 15

Bent u bekend met het onderzoek van KPMG, gedaan op verzoek van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, waaruit blijkt dat de financiering voor IDO’s al structureel te laag is?5

Ja, de Staatssecretaris van BZK is bekend met het exploitatieonderzoek van KPMG. Uit het onderzoek blijkt dat er geen gemiddelde exploitatiekosten van het Informatiepunt Digitale Overheid te bepalen zijn, omdat ze sterk uiteenlopen en een reflectie zijn van de lokale inrichting van het IDO en de keuzes in de uitvoering. Bibliotheekorganisaties lijken, aldus het onderzoek, de IDO-middelen voornamelijk in te zetten voor de financiering van de directe uitvoeringskosten van de IDO’s. Indirecte kosten als overhead, huisvesting en automatisering worden door de bibliotheek vaak uit andere middelen dan de specifieke uitkering (SPUK) gefinancierd. Uit het onderzoek blijkt ook dat de toevoeging van de IDO’s aan de dienstverlening van de bibliotheken niet altijd heeft geleid tot een toename van deze overheadkosten. KPMG doet vervolgens de aanbeveling aan gemeenten om de opdracht aan bibliotheken te concretiseren, zodat meer gestuurd kan worden op hetgeen mogelijk is met het beschikbare budget.

Vraag 16

Hoe verenigt u de ambitie om de dienstverlening van IDO’s op peil te houden met de huidige ontoereikende financiering en de voorgenomen bezuiniging op deze voorziening? Bent u het met ons eens dat de middelen voor IDO’s jaarlijks geïndexeerd moeten worden?

De overheveling naar het gemeentefonds gaat gepaard met een korting van 10%. De overheveling verlaagt de administratieve en financiële kosten voor gemeenten door een vermindering van controle- en verantwoordingslasten. Het standpunt van het kabinet is dat dit niet moet leiden tot een inhoudelijke korting op de dienstverlening vanuit de IDO’s.
De middelen voor de SPUK IDO worden op dit moment niet geïndexeerd. Als in de toekomst de middelen worden overgeheveld naar het gemeentefonds, dan geldt dat de ontwikkeling van de omvang van het gemeentefonds (algemene uitkering en decentralisatie-uitkeringen) de ontwikkeling van het bruto binnenlands product (accres) volgt. Dit accres is, evenals alle middelen uit het gemeentefonds, vrij besteedbaar en wordt daarom niet toegerekend aan specifieke onderdelen van de algemene uitkering en/of aan decentralisatie-uitkeringen. Het is dan ook aan gemeenten hoeveel van dit accres ze vervolgens willen toewijzen aan de IDO.

Vraag 17

Welke gevolgen heeft het wegvallen van de specifieke uitkeringen aan gemeenten (SPUK-gelden) voor de toekomst van de IDO’s? Bent u het eens met de stelling dat dit middel er juist voor zorgt dat bibliotheken de loketten goed aan kunnen sluiten op de lokale gemeenschap?

Gemeenten kunnen dan, met hun kennis van de lokale context, zelf beslissen welke organisatie de ingang tot publieke dienstverlening en de laagdrempelige ondersteuning kan bieden zoals bibliotheken dat nu doen. Dat kan de bibliotheek zijn, maar ook een andere organisatie als dat in de lokale context beter past en het niveau van dienstverlening gegarandeerd blijft. Begin 2025 presenteert de Staatssecretaris van BZK een beleidsvisie op fysieke en lokale ondersteuning bij regelzaken met de overheid, waarin een belangrijke rol is weggelegd voor gemeenten om lokaal vorm te geven aan passende ondersteuning en publieke dienstverlening. In 2025 verkent de Staatssecretaris van BZK, met partners, hoe het Ministerie van BZK gemeenten hierbij kan blijven ondersteunen.

Vraag 18

Kunt u verzekeren dat, als de subsidie voor IDO’s met een korting over wordt gemaakt naar het gemeentefonds, deze nog altijd ten goede zal komen van deze loketten? Waaruit zal dat blijken?

De inzet van de Staatssecretaris van BZK is om de laagdrempelige dienstverlening, zoals geboden vanuit het IDO, in stand te houden en daarover gaat het Ministerie van BZK graag met gemeenten verder in gesprek. Door de nieuwe financieringsvorm krijgen gemeenten de beleidsvrijheid om lokaal te bepalen waar welke dienstverlening nodig is en hoe ze dit het meest effectief kunnen inrichten.
Het kabinet zet in op het vergroten van bereikbaarheid en toegankelijkheid van overheidsorganisaties (hfst 7.2 Goed Bestuur uit regeerakkoord). Dat gebeurt zoveel mogelijk bij bestaande loketten en logische plaatsen waar mensen op zoek gaan naar hulp, zoals bijvoorbeeld wijkcentra, de IDO’s en buurthuizen. De Staatssecretaris van BZK presenteert zijn visie hierop aan de Kamer in Q1 2025.

Vraag 19

Bent u bereid om in gesprek te gaan met IDO-beheerders, bibliotheken en de Vereniging Nederlandse Gemeenten (VNG) en om verschillende financieringsmodellen uit te werken die de regierol van bibliotheken behoudt?

Met de SPUK IDO werd beoogd om gemeenten regie te geven over het netwerk van organisaties rond de IDO. Het kabinetsbesluit om alle SPUKs af te schaffen en de financiële middelen over te hevelen naar het gemeentefonds is in lijn met de visie van de Staatssecretaris van BZK. De visie biedt namelijk meer beleidsvrijheid voor gemeenten om te bepalen waar lokaal welke dienstverlening nodig is en wie deze uitvoert. Er worden daarom geen verschillende financieringsmodellen uitgewerkt die de uitvoering van het IDO exclusief bij de bibliotheek beleggen.

Vraag 20

Waar kunnen mensen (met een beperking) aankloppen als zij vragen hebben omtrent de digitale dienstverlening van private partijen? Hoe kan de samenwerking met IDO’s op dit vlak versterkt worden?

Private partijen zijn in eerste instantie zelf verantwoordelijk voor goede toegankelijke dienstverlening. De Staatssecretaris van BZK ziet mogelijkheden in samenwerking met (semi-)private partijen die essentiële dienstverlening bieden, zoals woningbouwcorporaties en zorgverzekeraars. Uitgangspunt hierbij is dat in die samenwerking een wederkerigheid moet zitten, omdat de inzet van publieke middelen private partijen niet ontslaat van het bieden van goede en voor iedereen toegankelijke dienstverlening.

Vraag 21

Bent u het eens met de mening dat het zeer zorgwekkend is dat in de zorgsector veel websites niet of niet volledig toegankelijk zijn? Bent u bereid om afspraken te maken met de sector over de toegankelijkheid van lokale en landelijke zorgportalen?

Zorgorganisaties en onderwijsinstellingen hoeven momenteel niet te voldoen aan de eisen voor toegankelijkheid, omdat zij niet vallen onder het Besluit digitale toegankelijkheid overheid of de Europese toegankelijkheidsrichtlijn. Het besluit geldt voor overheidsinstanties en de Europese toegankelijkheidsrichtlijn voornamelijk voor bedrijven en ondernemers. Momenteel verkennen wij (het Ministerie van VWS, OCW en BZK) de mogelijke opties om de toegankelijkheidsvoorschriften te laten gelden voor de sectoren zorg en onderwijs. We streven ernaar hierover een concrete maatregel op te nemen in de werkagenda voor de Nationale Strategie VN-Verdrag.

Vraag 22

Op welke wijze worden mensen met een beperking en hun vertegenwoordigende organisaties betrokken bij wetgeving en beleid over digitale toegankelijkheid en dienstverlening en de uitvoering daarvan?

Mensen met een beperking worden betrokken bij het maken van beleid en wetgeving over digitale toegankelijkheid en dienstverlening. Mensen met een beperking worden bijvoorbeeld betrokken bij de herziening van de internationale standaard voor digitale toegankelijkheid. Deze standaard wordt beheerd door het World Wide Web Consortium. Als een website voldoet aan deze wettelijk verplichte standaard, wordt er dus aan de behoeften van mensen met een beperking voldaan.

Vraag 23

Kunt u deze vragen afzonderlijk van elkaar en in ieder geval vóór het commissiedebat over digitale inclusie beantwoorden?

Ja.

Vraag 1

Herinnert u zich de antwoorden van uw ambtsvoorganger op Kamervragen over het ontbreken van een geboortedatum in de Basisregistratie Personen (BRP)?1

Ja. In de beantwoording van die Kamervragen is vermeld dat de problematiek van het hebben van een (gedeeltelijk) onbekende geboortedatum op termijn tot het verleden zou moeten gaan behoren. In de Wet Basisregistratie Personen (Wet BRP), die op 6 januari 2014 in werking is getreden, is namelijk een voorziening getroffen voor de gevallen waarin bij inschrijving van een vreemdeling als ingezetene (inwoner) in de BRP geen geboortedatum kan worden vastgesteld. Er wordt in die gevallen uitgegaan van de (al dan niet fictieve) geboortedatum die bij de toelating van betrokkene tot Nederland door de Minister van J&V (momenteel de Minister van Asiel en Migratie (A&M)) is vastgesteld.2

Vraag 2

In hoeverre is de verwachting van uw ambtsvoorganger dat de problematiek van het hebben van een (gedeeltelijk) onbekende geboortedatum «tot het verleden moet gaan behoren» uitgekomen?

Die verwachting is uitgekomen, in zoverre dat vanaf 2014 het aantal nieuwe inschrijvingen van inwoners met een onvolledige geboortedatum in totaal minder dan 40 is. Een volledig onbekende geboortedatum komt helemaal niet meer voor bij inwoners die geregistreerd staan in de BRP.

Vraag 3

Hoeveel personen zijn er (naar schatting) waarvan nog voor de inwerkingtreding van de Wet Basisregistratie personen (Wet BRP) een (gedeeltelijk) onbekende geboortedatum in de BRP is opgenomen?

Op dit moment3 gaat het om ongeveer 35.950 inwoners. Dit aantal is sinds de invoering van de Wet BRP in 2014 gedaald. Vanaf 6 januari 2014 tot 22 december 2024 hebben 2.750 inwoners hun (gedeeltelijk) onbekende geboortedatum laten corrigeren naar een volledige geboortedatum.

Vraag 4

Deelt u de mening dat het hebben van een geboortedatum met «00» of «XX» vanwege de steeds verdergaande digitalisering van (overheid)systemen voor die personen tot onoverkomelijke problemen kan leiden, bijvoorbeeld bij het ontvangen van AOW of bij andere registraties omdat die systemen «00» of «XX» niet aanvaarden? Zo nee, waarom niet?

In het algemeen kan ik hierover zeggen dat de meeste organisaties die gebruikmaken van de BRP bij het ontbreken van een volledige geboortedatum, een fictieve geboortedatum hanteren (zie bijvoorbeeld het Besluit beleidsregels van de SVB4). Ik kan echter niet uitsluiten dat er nog (overheids)systemen zijn die niet of moeilijk de gedeeltelijk onbekende geboortedatum kunnen verwerken en dat dit het zelfstandig functioneren van personen belemmert. De inwoner heeft in dergelijke gevallen wel handelingsperspectief. Hij kan de gemeente verzoeken om zijn geboortedatum te rectificeren (zie het antwoord op vraag 6).

Vraag 5

Deelt u de mening dat het niet zelfstandig kunnen opereren in een digitale omgeving omdat de registratie van de geboortedatum dat belemmert, ook het zelfstandig functioneren van die personen belemmert? Zo nee, waarom niet?

Zie antwoord vraag 4.

Vraag 6

Bent u bereid om ervoor te zorgen dat personen die nog steeds met een geboortedatum «00»of «XX» geregistreerd staan alsnog een fictieve geboortedatum kunnen krijgen die wel in digitale systemen kan worden verwerkt? Zo ja, op welke wijze en welke termijn gaat u dit doen? Zo nee, waarom niet en hoe moeten deze personen dan wel problemen met digitale registraties omzeilen?

Personen die met een onvolledige geboortedatum in de BRP staan, kunnen bij hun gemeente een verzoek indienen om hun geboortedatum te laten rectificeren.5 Bij een verzoek tot rectificatie moet een brondocument worden overgelegd. Personen die met een onvolledige geboortedatum in de BRP staan, kunnen doorgaans (redelijkerwijs) geen document overleggen waaraan de geboortedatum kan worden ontleend. Indien de betrokkene zelf weet wat zijn geboortedatum is, kan hij een verklaring onder eed of belofte afleggen bij de gemeente (artikel 2.8, tweede lid, onderdeel e, van de Wet BRP). De geboortedatum kan dan op basis van die verklaring worden gerectificeerd.
Als de inwoner niet kan verklaren wat zijn geboortedatum is of indien aannemelijk is dat die verklaring onjuist is6, kan de gemeente de Minister van A&M vragen om een mededeling van de geboortedatum op grond van artikel 2.17 van de Wet BRP, voor zover deze gegevens zijn vastgesteld in het kader van de toelating van betrokkene tot Nederland. De gemeente past de geboortedatum in de BRP dan aan op basis van de mededeling van de Minister van A&M.