| Ingediend | 30 maart 2021 |
|---|---|
| Beantwoord | 19 mei 2021 (na 50 dagen) |
| Indiener | Kathalijne Buitenweg (GL) |
| Beantwoord door | Mona Keijzer (staatssecretaris economische zaken) (CDA), Ferdinand Grapperhaus (minister justitie en veiligheid) (CDA) |
| Onderwerpen | economie ict |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2021Z05118.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20202021-2801.html |
Ja, ik ben met het artikel bekend.
Aanleiding van het artikel is een intern audit-rapport van KPN uit 2011 waarin KPN een reguliere audit doet naar de beveiliging van een destijds nieuw systeem van Telfort, toen onderdeel van KPN, waarop klant- en facturatiegegevens (zoals persoons- en verkeersgegevens) werden bewaard. KPN heeft ons gemeld dat het Amerikaanse bedrijf HP hoofdaannemer was voor de realisatie van het systeem en diverse onderaannemers gebruikte, waaronder Huawei, voor de bouw en het beheer. Uit dat rapport zou blijken dat beveiligingsmaatregelen niet op orde waren, zoals logging en monitoring van wie toegang heeft tot het systeem en wie wat met de gegevens doet. Uit het rapport kwam een groot aantal verbeterpunten waarvan de meeste waren gericht aan HP als hoofdaannemer. Volgens KPN zijn alle verbetermaatregelen in de jaren erna opgevolgd. Huawei had als leverancier toegang tot het systeem voor reguliere beheer- en onderhoudsactiviteiten. Ons is niet bekend of via deze beheertoegang klantgegevens zijn ontvreemd. Navraag bij KPN leert dat dit KPN niet is gebleken. Het systeem is in het voorjaar van 2018 vervangen.
Zie antwoord vraag 2.
Zie antwoord vraag 2.
Het is ons niet bekend of, voor zover sprake is geweest van ontvreemding van klantgegevens, Chinese autoriteiten op deze manier Oeigoerse diaspora of andere groepen in beeld konden brengen of konden volgen. In algemene zin is bekend dat statelijke actoren zich richten op het vergaren van (onder meer) persoonsgegevens voor het monitoren en profileren van doelwitten. Daarbij is bekend dat de inlichtingen- en beïnvloedingsactiviteiten van China zich mede op zijn diaspora richten. Ongewenste buitenlandse beïnvloeding en inmenging hebben de aandacht van het kabinet en de inlichtingen- en veiligheidsdiensten in het bijzonder. Op het moment dat concrete activiteiten in dat verband worden waargenomen, wordt bezien of passende maatregelen nodig en mogelijk zijn.
Het kabinet doet in het openbaar geen uitspraken over het kennisniveau of de activiteiten van de Nederlandse inlichtingen- en veiligheidsdiensten.
In het algemeen kan gesteld worden dat de Telecommunicatiewet sinds 2012 een zorgplicht kent die ertoe strekt dat aanbieders van openbare telecommunicatienetwerken en -diensten passende technische en organisatorische maatregelen dienen te nemen om de risico’s voor de veiligheid en de integriteit van hun netwerken en diensten te beheersen. In het kader van die zorgplicht past het niet dat er toegangspaden tot een netwerk en diensten bestaan die niet zijn geautoriseerd of gecontroleerd door de desbetreffende aanbieder van openbare telecommunicatienetwerken en -diensten. Het ongeautoriseerd aanbrengen van geheime toegangspaden kan daarnaast een verdenking opleveren van een misdrijf als bedoeld in de artikelen 350c Sr en/of 138ab Sr.
Zie antwoord vraag 6.
Zie antwoord vraag 6.
Het klopt dat dit bewuste klantsysteem, uit het audit rapport van 2011, momenteel niet meer in gebruik is. Het betreft hier een oud klantsysteem van Telfort. Het systeem was in gebruik tot voorjaar 2018.
Wij kunnen aan de hand van een intern KPN-rapport uit 2011 geen conclusies verbinden over hoe Huawei in het algemeen producten aanlevert. Het kabinet neemt actief maatregelen om de weerbaarheid van telecommunicatienetwerken te verhogen en misbruik via leveranciers van producten en diensten tegen te gaan. In 2019 heeft de Taskforce Economisch Veiligheid (TFEV), met medewerking van de drie mobiele netwerk operators (KPN, T-Mobile en VodafoneZiggo) een risicoanalyse naar de kwetsbaarheid van de netwerken voor dergelijk misbruik uitgevoerd. Uw Kamer is op 1 juli 2019 geïnformeerd over de uitkomsten hiervan. Op basis van deze analyse heeft het kabinet besloten tot het nemen van de volgende drie maatregelen:
Voor de eerste twee genoemde maatregelen is een grondslag gecreëerd in het Besluit veiligheid en integriteit telecommunicatie, met daarin nadere regels met betrekking tot de in het antwoord op vraag 6–8 genoemde zorgplicht voor telecomaanbieders krachtens de Telecommunicatiewet. De derde maatregel is essentieel om de telecomnetwerken ook in de toekomst veilig te houden.
De standaarden op het gebied van veiligheid die in de praktijk in het kader van deze zorgplicht worden gehanteerd door telecomaanbieders, en worden getoetst door de toezichthouder (Agentschap Telecom), zijn er mede op gericht te voorkomen dat onbevoegden in systemen kunnen komen. Specifieke eisen aan toegang tot systemen, zoals autorisatie, monitoring en logging, ongeacht de leverancier, zijn daar onderdeel van.
Zie antwoord vraag 10.
Wij waren niet op de hoogte van dit rapport. Van belang is om te realiseren dat het hier gaat om een bedrijfsintern rapport uit 2011. Het feit dat KPN dit type audits liet uitvoeren geeft inzage in de wijze waarop KPN invulling geeft aan de toetsing van haar eigen systemen. In de eerder benoemde risicoanalyse van de TFEV is het risico op ongeautoriseerde toegang tot systemen en data en hoe misbruik daarvan te voorkomen meegenomen.
Op basis van de eerdergenoemde risicoanalyse van de TFEV is besloten om mobiele netwerk operators bij beschikking te verplichten om in kritieke onderdelen van hun netwerken enkel gebruik te maken van vertrouwde leveranciers. Het kabinet doet geen openbare uitspraken welke onderdelen als kritiek zijn aangemerkt. Er is op dit moment geen noodzaak om eenzelfde verplichting op te leggen voor het gehele netwerk. Eén van de maatregelen die het kabinet heeft genomen naar aanleiding van de eerder genoemde risicoanalyse van de TFEV in 2019 is het inrichten van een structureel proces, waarin nieuwe informatie over dreiging en technologie wordt beoordeeld door overheid en de telecomsector samen. Als daar aanleiding toe is, kunnen er op basis van dit structurele proces aanvullende veiligheidsmaatregelen genomen worden.
Hierbij deel ik u mede namens de Staatssecretaris van Economische Zaken en Klimaat dat de schriftelijke vragen van het lid Buitenweg (GroenLinks), van uw Kamer aan de Minister van Justitie en Veiligheid over het bericht dat Huawei toegang had tot gegevens van miljoenen Telfort-klanten (ingezonden 30 maart 2021) niet binnen de gebruikelijke termijn kunnen worden beantwoord, aangezien nog niet alle benodigde informatie is ontvangen. Ik streef ernaar de vragen zo spoedig mogelijk te beantwoorden.