| Ingediend | 12 april 2019 |
|---|---|
| Beantwoord | 3 juni 2019 (na 52 dagen) |
| Indieners | Mustafa Amhaouch (CDA), Joba van den Berg-Jansen (CDA) |
| Beantwoord door | Eric Wiebes (minister economische zaken) (VVD), Ferdinand Grapperhaus (minister justitie en veiligheid) (CDA) |
| Onderwerpen | criminaliteit economie ict openbare orde en veiligheid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2019Z07604.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20182019-3284.html |
Ja.
Uit de ons bekende informatie blijkt dat er sprake is van diefstal van bedrijfsvertrouwelijke informatie door ex-werknemers van de Amerikaanse vestiging van ASML. Deze diefstal van bedrijfsvertrouwelijke gegevens betreft een ernstig incident bij ASML. Ik heb geen aanwijzingen dat er in casu sprake is geweest van directe betrokkenheid van een buitenlandse overheid. Er zijn wel overeenkomsten te zien met bekende Chinese spionagedoelwitten en -werkwijzen.
In algemene zin zien wij een ontwikkeling dat staten op steeds assertievere wijze hun eigen belangen behartigen en bereid zijn om middelen in te zetten die onze welvaart, stabiliteit en openheid kunnen aantasten. Steeds meer landen richten zich hierbij op politieke en/of economische spionage.
Op 18 april jl. is uw Kamer over de dreigingen vanuit staten en de aanpak hierop geïnformeerd. Ook de AIVD en MIVD geven in hun jaarverslagen aan
dat de grootste dreiging op het gebied van economische spionage van China komt.2 3 Hierbij zet China een breed scala aan (heimelijke) middelen in die het verdienvermogen van Nederlandse bedrijven kunnen ondermijnen.
Zie antwoord vraag 2.
Zie antwoord vraag 2.
Met betrekking tot het bedrijfsbelang geeft ASML aan dat het bedrijf geen omzetverlies heeft geleden als gevolg van gemiste verkoop. Het gestolen materiaal is teruggevorderd en de ASML-klant die door XTAL was verleid om over te stappen is weer terug bij ASML. De definitieve vergoeding van 845 miljoen dollar die de Californische rechter aan ASML heeft toegekend is gebaseerd op ongerechtvaardigde verrijking in relatie tot de gestolen bedrijfsgeheimen.
De software is onderdeel van de portefeuille van ASML en wordt gebruikt voor de optimalisatie van het chipproductieproces bij de klanten van ASML. De diefstal van deze software heeft op zichzelf geen directe gevolgen voor de nationale veiligheid.
Het betreft hier een geval van diefstal van bedrijfsvertrouwelijke gegevens door ex-werknemers die zich in 2015 heeft afgespeeld in de Amerikaanse vestiging van het bedrijf die aldus valt onder Amerikaans recht. Het is primair de verantwoordelijkheid van het betreffende bedrijf om maatregelen te treffen. Zo daartoe aanleiding bestaat, is het aan de Amerikaanse autoriteiten om in deze casus eventuele strafrechtelijke maatregelen te nemen.
Technologiediefstal bij bedrijven via (oud)medewerkers is een breder fenomeen dat zich ook in Nederland voordoet. De rol van de overheid is gericht op bewustwording en weerbaarheidsverhoging. Hiermee wordt bijvoorbeeld gedoeld op het delen van dreigingsinformatie en beveiligingsadvies.
Er is in deze casus geen directe betrokkenheid van de Chinese overheid vastgesteld.
Zoals aangegeven in het antwoord op vragen 2, 3 en 4 proberen staten op steeds assertievere wijze hun eigen belangen te behartigen. In de jaarverslagen van de AIVD en MIVD staat dat China een breed scala aan (heimelijke) middelen inzet die het verdienmodel van Nederlandse bedrijven kunnen ondermijnen, waaronder (digitale) economische spionage.
Bedrijven zijn zelf in eerste instantie zelf verantwoordelijk voor het beschermen van hun bedrijfsvertrouwelijke gegevens. De overheid stelt bedrijven daartoe in staat met behulp van wetgeving op het gebied van intellectuele-eigendomsbescherming en bescherming van bedrijfsgeheimen. Op 23 oktober 2018 is de Wet bescherming bedrijfsgeheimen in werking getreden, waaraan ondernemers bescherming kunnen ontlenen als hun bedrijfsgeheim onrechtmatig is verkregen, gebruikt of openbaar gemaakt, ook als dit door een ex-werknemer is gebeurd. Daarnaast kan bescherming ook worden verkregen op basis van het arbeidsrecht of algemene contractenrecht als een ex-werknemer bijv. zijn geheimhoudingsbeding heeft geschonden, of op basis van het algemene onrechtmatigedaadsrecht. Er kan bovendien onder omstandigheden een beroep worden gedaan op bescherming tegen een inbreuk op een octrooirecht of op een chipsrecht op basis van de Wet bescherming oorspronkelijke topografieën van halfgeleiderproducten. Daarnaast heeft de overheid de verantwoordelijkheid voor het creëren van awareness voor risico’s en het bieden van een handelingsperspectief.
Zie daarnaast het antwoord op vraag 11, waarin nader wordt ingegaan op de rollen van verschillende overheidsorganisaties waar het bedrijfsleven terecht kan in dit kader.
In de Kamerbrief «Tegengaan statelijke dreigingen» is gemeld dat het kabinet met betrekking tot digitaal financieel economische spionage een verkenning heeft uitgevoerd waarin het beeld ten aanzien van de dreiging is aangescherpt en is bezien welk instrumentarium, complementair aan de maatregelen uit zoals de Internationale Cyber Strategie en de Nederlandse Cyber Security Agenda, van toepassing is om deze dreiging te mitigeren. Aanvullend instrumentarium, zoals bijvoorbeeld vergroting van het bewustzijn van deze dreiging, wordt in de verschillende beleidsterreinen opgenomen, zo ook in de aanpak tegengaan statelijke dreigingen. Het gaat hier ook om het inzetten van internationale samenwerking en diplomatieke instrumenten (inclusief attributie) zoals die in het kader van de EU Cyber Diplomacy Toolbox en om het benutten van bestaande WTO procedures waar nodig.
Bedrijven die opdrachten uitvoeren voor het Ministerie van Defensie worden contractueel Algemene Beveiligingseisen Defensie Opdrachten (ABDO) opgelegd, waanneer die bedrijven van doen krijgen met zogenoemde Te Beschermen (defensie) Belangen (TBB). Defensie controleert de bedrijven op naleving van deze eisen, en de implementatie van beveiligingsmaatregelen.
De toenemende digitalisering en internationalisering van productieprocessen en arbeidsmarkten vergroten de (digitale) spionagemogelijkheden. In 2010 is uitgebreid onderzoek gedaan naar de spionagerisico’s op het terrein van economisch welzijn & wetenschappelijk potentieel en openbaar bestuur & vitale infrastructuur.4 De conclusies van toen, die overigens los staan van deze casus waarin sprake was van diefstal door oud-medewerkers, zijn ook nu nog actueel. De verschillende mogelijkheden om telecommunicatieverkeer te onderscheppen, zijn een eerste belangrijke geconstateerde kwetsbaarheid. Uit het onderzoek blijkt ook dat de toenemende verwevenheid en complexiteit van computersystemen alsmede het koppelen van dataopslagsystemen, de gevoelige gegevens in systemen kwetsbaar maakt voor spionage. Het uitbesteden van activiteiten als systeem- en serverbeheer, datawarehousing en gegevensverwerking brengt eveneens spionagerisico’s met zich mee.
Met de Handleiding Kwetsbaarheidsanalyse Spionage (KWAS)5 van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties kunnen instanties zelf een inventarisatie maken van de eigen cruciale belangen en de daarbij behorende kwetsbaarheden.
De Rijksdienst voor Ondernemend Nederland (RVO) informeert bedrijven over de bescherming van bedrijfsvertrouwelijke gegevens en de bescherming van intellectueel eigendom middels octrooien, auteursrecht en andere rechten. Octrooicentrum Nederland (OCNL), onderdeel van de Rijksdienst voor Ondernemend Nederland, is de octrooiverlenende instantie voor het Nederlands grondgebied.6 Ook adviseert RVO over andere wijzen waarop bedrijfsgeheimen actief moeten worden beschermd, zoals fysiek en digitaal.7 Daarnaast is het Digital Trust Center (DTC) opgericht, dat niet-vitale ondernemers helpt met veilig digitaal ondernemen.8
Het Nationaal Cyber Security Centrum (NCSC) dat deel uitmaakt van het Ministerie van Justitie en Veiligheid is het centrale informatieknooppunt en expertisecentrum op het gebied van cybersecurity voor de rijksoverheid en organisaties binnen de vitale infrastructuur. Het NCSC informeert en adviseert genoemde organisaties over digitale dreigingen en kwetsbaarheden, verricht daartoe analyses, en verleent die organisaties bijstand bij het treffen van maatregelen bij dreigingen en incidenten.
De AIVD heeft verscheidene publicaties uitgebracht over spionage voor zowel instanties en individuen. Voorbeelden hiervan zijn: «Bent u zich bewust van de risico's van cyberspionage?», «Spionage in Nederland» en de hierboven genoemde «Handleiding Kwetsbaarhedenanalyse Spionage». Deze zijn te vinden op www.aivd.nl/onderwerpen/spionage. Daarnaast informeert en/of adviseert de AIVD (in specifieke gevallen) instanties die het doelwit vormen van inlichtingenactiviteiten, en adviseert hen over weerstandsverhogende maatregelen. Personen of instanties die het vermoeden hebben doelwit te zijn (geweest) van spionage, kunnen dit ook altijd rechtstreeks melden bij de AIVD, of MIVD wanneer het opdrachten voor het Ministerie van Defensie betreft.
Bedrijven die opdrachten uitvoeren voor het Ministerie van Defensie worden contractueel Algemene Beveiligingseisen Defensie Opdrachten (ABDO) opgelegd. Deze bedrijven kunnen zich wenden tot Defensie voor advies en assistentie, alsmede met vragen over beveiliging.
Ja, hoewel ASML in 2015 de hack tijdig heeft kunnen afslaan en deze geen schade heeft berokkend, zijn er omvangrijke maatregelen genomen waarmee bedrijfsvertrouwelijke gegevens significant beter zijn beschermd. De omvang van de maatregelen die ASML heeft genomen betreft tientallen miljoenen euro’s. Zoals aangegeven bij het antwoord op vraag 11 ondersteunt de overheid bedrijven met dreigingsinformatie en beveiligingsadviezen.
In 2017 is in het Regeerakkoord extra budget toegekend voor cyber security, onder andere bestemd voor AIVD en MIVD. Met dat geld zetten de AIVD en MIVD sterk in op het werven van nieuwe medewerkers en technische experts voor de onderzoeken naar digitale dreigingen.
Economische spionage en bedrijfsspionage zijn geen zelfstandige strafbare feiten, maar zullen uiting vinden in andere strafbare feiten waaronder computervredebreuk. In hoeverre hierbij buitenlandse mogendheden betrokken waren, wordt niet dusdanig geregistreerd.
Zie antwoord vraag 14.
Zoals aangegeven bij de beantwoording van vraag 2, 3 en 4 zijn er in deze casus geen aanwijzingen voor een directe betrokkenheid van de Chinese overheid. Los van deze casus kaart het kabinet de zorgen die bestaan met betrekking tot economische en bedrijfsspionage in EU-verband aan. Zo is dit onderwerp bijvoorbeeld ter sprake gekomen tijdens de EU-Chinatop op 9 april jl. Het kabinet zet tevens in op het versterken van internationale samenwerking op dit thema. Hierbij kan gebruik gemaakt worden van diplomatieke instrumenten zoals die in het kader van de EU Cyber Diplomacy Toolbox. Naar aanleiding van de Europese Raad van 18 oktober 2018 wordt tevens een cybersanctieregime afgerond.
Bij sommige bedrijven die hoogwaardige en gevoelige technologie ontwikkelen, kan een risico ontstaan voor de nationale veiligheid. Deze risico’s omvatten het risico op ongewenste afhankelijkheden van buitenlandse investeerders of statelijke actoren, op het weglekken van vertrouwelijke of gevoelige informatie of op rechtstreekse aantasting van vitale processen en het functioneren van de Nederlandse economie en democratische rechtsorde. Deze risico’s kunnen onder omstandigheden ontstaan bij overnames van en investeringen in dergelijke bedrijven, maar ook bij de inkoop van cruciale diensten of producten, de werving van personeel etc.
Het is een constant proces om te bezien welke nationale veiligheidsbelangen beschermd moeten worden, wat de dreiging is vanuit statelijke actoren voor de nationale veiligheid en hoe de weerbaarheid vergroot kan worden. De openheid van onze samenleving en economie vraagt om een zorgvuldige weging van het benutten van kansen enerzijds en het beschermen van nationale (veiligheids)belangen anderzijds.
In de bijlage van de Kamerbrief Tegengaan Statelijke Dreigingen worden verschillende maatregelen genoemd ten aanzien van economische veiligheid, waaronder een betere benutting en aanscherping van huidige wet- en regelgeving ter bescherming van nationale veiligheid. Een van andere de maatregelen die wordt genoemd is een uitwerking van een investeringstoets. Hierbij is het uitgangspunt dat een verbod in het kader van de investeringstoets alleen daar wordt ingezet indien er geen alternatieve effectieve beschermingsmaatregelen voor handen zijn. Inzet is om een dergelijk wetsvoorstel in 2019 in procedure te kunnen brengen als onderdeel van een breder palet aan maatregelen.
Het kabinet publiceerde op 15 mei de Chinastrategie die ingaat op de bredere relatie met China. De Chinanotitie staat los van het 5G-vraagstuk waarover uw Kamer separaat wordt geïnformeerd.
Zie antwoord vraag 19.
Op 12 april hebben de leden Van den Berg en Amhaouch (beiden CDA) vragen gesteld aan de ministers van Economische Zaken en Klimaat en van Justitie en Veiligheid over het bericht «Chinese spionnen stelen kostbare bedrijfsgeheimen van ASML». Vanwege de voor de beantwoording benodigde interdepartementale afstemming kunnen deze vragen niet binnen de gebruikelijke termijn van drie weken worden beantwoord. Ik streef ernaar deze vragen zo spoedig mogelijk te beantwoorden.