Ingediend | 23 september 2021 |
---|---|
Beantwoord | 4 november 2021 (na 42 dagen) |
Indiener | Queeny Rajkowski (VVD) |
Beantwoord door | Ferdinand Grapperhaus (minister justitie en veiligheid) (CDA), Mona Keijzer (CDA) |
Onderwerpen | economie ict recht staatsrecht |
Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2021Z16201.html |
Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20212022-578.html |
Ja.
Het Litouwse Ministerie van Defensie concludeert op basis van eigen onderzoek dat onderzochte smartphones van diverse Chinese fabrikanten kwetsbaarheden en risico’s in zich houden, waaronder de in het nieuwsartikel aangehaalde bevinding van «censuursoftware». Het gaat daarbij specifiek om een lijst van termen die in China gevoelig liggen. De Litouwse overheid concludeert dat deze lijst op Europese smartphones aanwezig is en periodiek geactualiseerd wordt, maar dat er op de in de EU verkochte smartphones geen censuur wordt toegepast.
De overheid van Litouwen verbindt aan het rapport het advies om geen telefoons van Chinese fabrikanten meer te kopen en in gebruik zijnde telefoons te vervangen. Ieder land maakt hierin een eigen afweging. Voor Nederland is er op dit moment geen aanleiding om een dergelijk zwaarwegend advies af te geven. Wel ziet het kabinet dat het daadwerkelijk toepassen van dergelijke software inbreuk kan maken op de grondrechten van gebruikers, zie hiervoor het antwoord op vraag 6.
Ja, de signalen zijn bekend bij het NCSC. Het NCSC informeert en adviseert zijn doelgroep waar relevant over cybersecurityrisico’s.
Voor het gebruik van Xiaomi-telefoons in Nederland zijn mij geen exacte cijfers bekend. Wel is er een indicatie te geven op basis van openbare marktgegevens. Uit een analyse van Europese markt voor smartphones door het bedrijf Strategy Analytics valt af te leiden dat de verkoop van Xiaomi-telefoons in Europa al enige tijd een stijgende lijn vertoont.2
Deze stijgende lijn is ook terug te zien in cijfers over het internetgebruik door gebruikers van mobiele telefoons. Zo komt het bedrijf Statcounter tot een schatting van het marktaandeel van Xiaomi in Nederland van 4,64% in september 2021.3
Alle overheidsorganisaties zijn zelf verantwoordelijk voor hun bedrijfsvoering en de beveiliging van informatie en informatiesystemen. Ze bepalen zelf welke apparatuur ze in gebruik hebben. Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties beschikt daarom niet over een totaaloverzicht van welke overheidsorganisaties welke telefoons in gebruik hebben.
Binnen de rijksoverheid wordt ten aanzien van de inkoop van telefoons via het Rijksbrede categoriemanagement samengewerkt. Wat betreft de rijksoverheid en aanpalende organisaties zijn voor zover bij het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties bekend sinds 2018 60 Xiaomi-telefoons aangeschaft. De telefoons worden niet gebruikt voor de eigen bedrijfsvoering maar zijn aangeschaft om te worden gebruikt als onderwerp van technisch, forensisch of opsporingsonderzoek. Organisaties maken bij het aanschaffen van apparatuur, zoals telefoons, een eigen afweging bij het afsluiten van nadere overeenkomsten, binnen de ruimte die rijksbreed afgesloten overeenkomsten hen daarvoor bieden. (Zie verder het antwoord op vraag 5).
Voor de aanschaf van hard- en software, waaronder telefoons, door de overheid is de Baseline Informatiebeveiliging Overheid (BIO) van kracht. De uitgangspunten van de BIO zijn onder andere risicomanagement en de eigen verantwoordelijkheid van overheidsorganisaties. Dat betekent dat organisaties zelf risicoafwegingen uitvoeren voordat hard- en software in gebruik wordt genomen, en op grond daarvan de toepassing binnen hun eigen bedrijfsprocessen bepalen. Relevant zijn in dit verband specifiek biomaatregelen 14.1.1.1 en 15.1.1.1.4
Tevens geldt dat bij de inkoop en aanbesteding van producten en diensten binnen de rijksoverheid, zoals telefoons, (eventuele) risico’s voor de nationale veiligheid worden meegewogen. Hierbij wordt in het bijzonder gelet op mogelijke risico’s ten aanzien van de continuïteit van vitale processen, de integriteit en exclusiviteit van kennis en informatie en de ongewenste opbouw van strategische afhankelijkheden. In het kader hiervan zal in geval van gevoelige apparatuur zal bij aanschaf en implementatie daarvan rekening gehouden worden met zowel eventuele risico’s in relatie tot de leverancier, als met risico’s in verband met het concrete gebruik van de systemen, bijvoorbeeld waar het gaat om de toegang tot systemen door derden. Eind 2018 is dit ten aanzien van nationale veiligheidsrisico’s verscherpt inkoop en aanbestedingsbeleid geïmplementeerd voor de rijksoverheid.
Ter ondersteuning van dit beleid is instrumentarium ontwikkeld dat organisaties handvatten biedt bij het maken van een risicoanalyse en het nemen van mitigerende maatregelen. Behoeftestellende partijen zijn zelf verantwoordelijk voor de toepassing van dit instrumentarium en het meewegen van nationale veiligheidsrisico’s. Het instrumentarium is ter beschikking gesteld binnen de rijksoverheid en medeoverheden, alsmede aan organisaties die vitale aanbieder zijn.
Uit het Litouwse onderzoek blijkt dat de betreffende functionaliteit in de Europese Unie is uitgeschakeld. Wel stellen de onderzoekers dat de fabrikant deze functie op afstand zou kunnen activeren.
In algemene zin zou het toepassen van dergelijke software een risico kunnen vormen voor grondrechten zoals de vrijheid van meningsuiting, de vrijheid van nieuwsgaring en de privacy van Nederlandse gebruikers. Hierbij is het belangrijk om op te merken dat op de software die zich op Nederlandse smartphones bevindt, de huidige wet- en regelgeving van kracht is, zoals de Algemene Verordening Gegevensbescherming en de Algemene wet gelijke behandeling.
De betreffende toezichthouders en instanties, de Autoriteit Persoonsgegevens en het College voor de Rechten van de Mens, kunnen besluiten aanvullend onderzoek te doen wanneer zij hier aanleiding toe zien.
Dit is niet juist. Xiaomi heeft in Nederland een officieel verkoopkanaal via haar eigen website. Ook zijn Xiaomi-telefoons in Nederland verkrijgbaar via de mobiele operators en via zowel Nederlandse als Europese webwinkels.
Op dit moment heb ik geen aanwijzingen dat deze software in Nederland is geactiveerd. Mocht op enig moment blijken dat dit toch het geval is, dan is het aan de betreffende toezichthouders om zo nodig te handhaven.
De vragen van het lid Rajkowski (VVD) over het bericht «Litouwen adviseert consument geen Xiaomi-telefoons meer te kopen», met kenmerk 2021Z16201, kunnen niet binnen de gebruikelijke termijn van drie weken worden beantwoord in verband met de voor de beantwoording benodigde interdepartementale afstemming. Ik verwacht de antwoorden spoedig aan uw Kamer te kunnen zenden.