| Ingediend | 1 oktober 2021 |
|---|---|
| Beantwoord | 18 november 2021 (na 48 dagen) |
| Indieners | Renske Leijten , Michiel van Nispen |
| Beantwoord door | Ferdinand Grapperhaus (minister justitie en veiligheid) (CDA), Kajsa Ollongren (viceminister-president , minister binnenlandse zaken en koninkrijksrelaties) (D66) |
| Onderwerpen | economie ict luchtvaart openbare orde en veiligheid politie, brandweer en hulpdiensten verkeer |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2021Z16956.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20212022-764.html |
Ja.
De politie heeft de drones aangeschaft via wettelijk voorgeschreven inkoopprocedures op grond van de Aanbestedingswet 2012. In een aanbesteding wordt getoetst of op een inschrijver de wettelijke uitsluitingsgronden van de Aanbestedingswet van toepassing zijn. De Aanbestedingswet 2012 biedt geen basis om producten van het bedrijf DJI uit te sluiten. Ook op de Nederlandse leverancier waren/zijn geen uitsluitingsgronden van toepassing. De Aanbestedingswet schrijft voor dat als er meerdere partijen zijn die voldoen aan de gestelde eisen, er moet worden gekozen voor de biedende partij met de beste prijs-kwaliteitverhouding.
Bij de aanschaf van een systeem beoordeelt Defensie de wijze waarop dit systeem zal worden ingezet. Indien daar vertrouwelijke en/of gerubriceerde informatie bij wordt vergaard geldt het Defensie Beveiligingsbeleid. Daarin is beschreven hoe deze informatie dient te worden behandeld. Dat betekent dat er beveiligingsmaatregelen worden geïmplementeerd om risico’s te mitigeren. De zwaarte van deze maatregelen is gekoppeld aan het niveau van het te beschermen belang en de risico’s in en rondom het systeem. Dat kan betekenen dat voor de behandeling van vertrouwelijke en/of gerubriceerde informatie bepaalde systemen niet mogen worden ingezet als de risico’s te groot worden ingeschat.
In algemene zin kan worden gezegd dat Chinese dronefabrikanten een risico kunnen vormen omdat hun data op servers in China kunnen staan waarvan de beveiliging lastig is vast te stellen. De beheerders van die data kunnen bijvoorbeeld verplicht worden om data te leveren aan de overheid. Daarom is gebruik van dergelijke drones voor Defensie meestal niet mogelijk bij operationeel optreden. Dit sluit niet uit dat deze drones gebruikt worden voor andere doeleinden binnen Defensie, bijvoorbeeld voor het maken van luchtopnames van trainingen of evenementen. Voor operationele doeleinden beschikt Defensie over militaire drones die voldoen aan de gestelde beveiligingseisen.
De politie heeft de berichten, die er vanaf het begin waren, waarin hiervan melding werd gemaakt niet kunnen verifiëren. De politie heeft hierop besloten de DJI-drones alleen in te zetten tijdens reguliere operaties. Dit zijn operaties waarbij geen vertrouwelijke informatie wordt verwerkt.
Een dergelijk onderzoek is niet aan de orde omdat de politie geen gebruik maakt van een app voor de bediening van DJI-drones. Voor de bediening van drones maakt de politie gebruikt de van zogeheten Smart Controllers van DJI. Deze Smart Controllers zijn stand-alone en bevatten de complete bediening inclusief een beeldscherm. Op deze Smart Controller staat de besturingssoftware om het toestel te besturen.
Ik zie, gezien de stappen die de politie al heeft gezet op dit gebied (zoals benoemd in antwoord 4 en 5), geen aanleiding om een nader onderzoek in te stellen. Er is tot op heden geen blijk geweest van een datalek. De politie is overigens verplicht ieder datalek direct te melden bij de Autoriteit Persoonsgegevens.
De politie heeft alleen contact met DJI voor de instelling van het geofencingsysteem. Dit systeem zorgt ervoor dat de drones niet kunnen opstijgen in de zogenaamde no-fly zones (gebieden waar niet mag worden gevlogen met drones). De politie heeft ontheffing voor veel no-fly zones. DJI heeft op verzoek van de politie deze instellingen aangepast.
Naar aanleiding van de Europese aanbesteding is er een raamovereenkomst gesloten met een Nederlandse leverancier die de DJI-drones conform deze overeenkomst levert aan de politie. In deze raamovereenkomst zijn de diverse (contract)afspraken vastgelegd, waaronder afspraken over data-security.
De politie was op de hoogte van de berichten waarin werd gesproken over de mogelijkheid dat data weglekken naar Chinese servers. De politie heeft deze berichten echter niet kunnen verifiëren. Verder verwijs ik u naar het antwoord op vraag 4.
De politie besteedt structureel aandacht aan de bescherming en beveiliging van gegevens en veilige inkoop. Zo wordt een risico- en veiligheidsanalyse uitgevoerd door de informatiemanagement-functionaris en wordt indien van toepassing een gegevensbeschermingseffectbeoordeling (GEB) uitgevoerd. Ook is in dit geval een security check uitgevoerd voor aanschaf van de drones.
Ten aanzien van het tweede deel van de vraag: de ANPR-camera’s van de politie zijn niet uitgerust met gezichtsherkenningstechnologie.
Een dergelijk overzicht is niet beschikbaar. Er is tot op heden geen aanleiding geweest om dat te inventariseren.
Eind 2018 is instrumentarium ontwikkeld dat organisaties helpt bij het meewegen van nationale veiligheidsrisico’s bij de inkoop- en aanbesteding van producten en diensten. Dit dient als hulpmiddel bij het uitvoeren van een risicoanalyse en het nemen van eventuele mitigerende maatregelen. Het instrumentarium is ter beschikking gesteld binnen de rijksoverheid en medeoverheden, alsmede aan organisaties die onderdeel zijn van de vitale processen. Behoeftestellende partijen zijn zelf verantwoordelijk voor de toepassing van dit instrumentarium en het meewegen van nationale veiligheidsrisico’s. Op dit moment zie ik geen reden tot aanscherping van het staande beleid.
Ja, dat is een begrijpelijk advies. Het nadenken over overheidsbevoegdheden en de «checks and balances» daaromtrent is een continu proces. In dit kader wijs ik graag op de Kamerbrief «Uitkomsten verkenning wettelijke bevoegdheden digitale weerbaarheid en beleidsreacties WODC-rapporten» van 3 februari 2021.3 Hierin wordt onder andere ingegaan op het Nederlandse cybersecuritystelsel en interventiemogelijkheden van de overheid in geval van digitale dreigingen en incidenten. Deze brief illustreert dat er binnen het kabinet continue aandacht is voor het vraagstuk rond overheidsbevoegdheden op gebied van cybersecurity. Dit is een proces dat nooit af is, en ik deel dan ook de visie van hoogleraar Oerlemans dat dit ook in het nieuwe kabinet continue aandacht vereist. Dit betreft overigens een ander vraagstuk dan het inkoopvraagstuk dat in de voorgaande vragen centraal staat.
Het wetsvoorstel waar dhr. Oerlemans in het artikel aan refereert betreft het voorstel voor een Wet verwerking persoonsgegevens coördinatie en analyse terrorismebestrijding en nationale veiligheid. Dit wetsvoorstel, dat op 9 november jl. aan uw Kamer is gestuurd, beoogt de juridische grondslag voor specifieke analyse- en coördinatiewerkzaamheden te verankeren die de NCTV namens de Minister van Justitie en Veiligheid uitvoert op het terrein van de nationale veiligheid en terrorismebestrijding en waarbij de verwerking van persoonsgegevens noodzakelijk wordt geacht. Ik heb daar in de brieven van 13 april 20214 en 21 mei 20215 uitvoerig aandacht aan besteed. Dit wetsvoorstel bevat geen specifieke overheidsbevoegdheden op het gebied van cybersecurity.
Hierbij deel ik u mede namens de Minister van Binnenlandse Zaken en Koninkrijksrelaties dat de schriftelijke vragen van de leden Van Nispen en Leijten (beiden SP), van uw Kamer aan de Minister van Justitie en Veiligheid over Chinese drones die gebruikt worden door de politie (ingezonden 1 oktober 2021) niet binnen de gebruikelijke termijn kunnen worden beantwoord, aangezien nog niet alle benodigde informatie is ontvangen. Ik streef ernaar de vragen zo spoedig mogelijk te beantwoorden.