Open Kamerbeta

Kamervraag 2024Z14247

Het bericht ‘Paniek over veiligheid pensioenen APG: kritisch rapport legt problemen bloot’

Ingediend 25 september 2024
Beantwoord 19 november 2024 (na 55 dagen)
Indiener Agnes Joseph (NSC)
Beantwoord door Eddy van Hijum (CDA), Zsolt Szabó (VVD)
Onderwerpen arbeidsvoorwaarden werk
Bron vraag https://zoek.officielebekendmakingen.nl/kv-tk-2024Z14247.html
Bron antwoord https://zoek.officielebekendmakingen.nl/ah-tk-20242025-609.html
1. De Limburger, 20 september 2024, «Paniek over veiligheid pensioenen A…
  • Vraag 1
    Bent u bekend met het bericht «Paniek over veiligheid pensioenen APG: kritisch rapport legt problemen bloot»?1

    Ja, hier ben ik mee bekend.

  • Vraag 2
    Bent u, evenals De Nederlandsche Bank (DNB), op de hoogte van de uitkomsten van het onderzoek van de consultants van het bureau Schuberg Philis naar de kwetsbaarheid van pensioenuitvoerder APG voor cyberaanvallen?

    Naar aanleiding van de berichtgeving in De Limburger heb ik hierover contact opgenomen met APG. Uit deze contacten is gebleken dat APG en andere pensioenuitvoerders met regelmaat laten onderzoeken wat de impact is van een significante cyberaanval. Uit het meest recente onderzoek is gebleken dat de beveiliging op hoog niveau is. Op een aantal punten heeft het rapport geleid tot verdere aanscherpingen. Deze werkwijze is in lijn met de wettelijke taak om te zorgen voor een beheerste en integere bedrijfsvoering. Hier wordt ook door DNB en AFM in hun respectievelijke verantwoordelijkheden toezicht op gehouden.

  • Vraag 3
    In het bericht staat dat APG voor vier miljoen mensen pensioenen regelt, kunt u aangeven hoeveel mensen momenteel via APG een maandelijkse pensioenuitkering ontvangen?

    APG verzorgt op dit moment voor circa 4,6 miljoen mensen hun pensioen (jaarverslag APG 2023). Op het moment van schrijven ontvangen ruim 1,4 miljoen mensen een maandelijkse pensioenuitkering via APG.

  • Vraag 4
    Hoe kijkt u naar de uitkomst van het onderzoek van Schuberg Philis dat APG mogelijk zes tot twaalf maanden nodig zou hebben om de digitale infrastructuur weer op de rit te krijgen in een zogenoemde «no-IT-situatie», een situatie waarin hackers alles platleggen?
  • Vraag 5
    Hoe kijkt u aan tegen het geschetste scenario dat een groot aantal mensen in Nederland in geval van zo’n «no-IT-situatie» bij APG mogelijk plots – tijdelijk – geen aanvullende pensioenuitkering ontvangen en daardoor bijvoorbeeld de huur niet meer kunnen betalen?
  • Vraag 6
    Wat is uw visie op de stelling in het bericht dat de huidige kwetsbare situatie niet alleen een bedreiging is voor APG en APB, maar zelfs voor de «BV Nederland»?
  • Vraag 7
    Vindt u het in dat licht ook zorgelijk dat uit het onderzoek naar voren komt dat de grootste kwetsbaarheden in de IT-beveiliging in de programma’s en applicaties zitten waar dagelijks mee wordt gewerkt bij APG?
  • Vraag 8
    Is bij u bekend of er andere pensioenuitvoerders zijn waarbij de IT-veiligheid niet op orde is? Zo ja, hoe gaat u pensioenuitvoerders aansporen om die IT-veiligheid te verbeteren?

    Pensioenuitvoeringsorganisaties, zoals APG, laten periodiek testen en audits doen om IT-kwetsbaarheden en verbeterpunten aan het licht te brengen. Wanneer daaruit blijkt dat er verbeterpunten zijn, worden maatregelen genomen om de IT-risico’s te mitigeren. Na deze constatering heeft APG maatregelen genomen om de IT-risico’s te mitigeren. Dit gebeurt in goed overleg met de belangrijkste stakeholders en toezichthouders. Pensioenuitvoerders staan via hun fondsen onder toezicht, en doen mee aan zeer ingrijpende cybersecuritytesten van DNB, waaronder de bovengenoemde TIBER-test.

  • Vraag 9
    Bent u van mening dat het in het grootste belang is dat een pensioenuitvoerder zoals APG zo snel mogelijk weer operationeel kan zijn in het geval van een cyberaanval?
  • Vraag 10
    Hoe beoordeelt u de uitkomst van het onderzoek dat de back-ups van APG op dit moment niet zodanig zijn ingericht dat APG weer snel operationeel kan zijn in het geval van een cyberaanval?
  • Vraag 11
    Wat kunt u vanuit uw rol als bewindspersoon doen om bij te dragen aan een oplossing voor deze kwetsbaarheid in de IT-systemen van APG, nu uit het bericht blijkt dat er veel discussie is over hoe de problemen opgelost moeten worden?
  • Vraag 12
    Bent u van mening dat het van groot belang is dat de regie over IT-systemen en digitale infrastructuur zoveel mogelijk intern blijft ten opzichte van uitbesteding aan externe partijen/experts? Zo niet, waarom niet?
  • Vraag 13
    Deelt u de observatie uit het bericht dat het een enorme impact heeft, en zelfs maatschappelijk ontwrichtend werkt, als het misgaat door bijvoorbeeld een cyberaanval bij een instelling als APG? Zo niet, waarom niet?
  • Vraag 14
    Hoe gaat u zich vanuit uw rol als bewindspersoon inzetten om dit risico zoveel mogelijk te minimaliseren?
  • Vraag 15
    Hoe beoordeelt u tenslotte dit bericht over kwetsbaarheden in de IT-systemen van een grote pensioenuitvoerder in het licht van de druk op de IT-systemen van pensioenuitvoerders in de transitie naar het nieuwe pensioenstelsel?

    De transitie naar het nieuwe pensioenstelsel vraagt veel van de sector. Om deze reden houdt mijn ministerie een vinger aan de pols tijdens de stelseltransitie. Met behulp van signalering, gesprekken met de sector, de monitoring en de onafhankelijke adviezen van de regeringscommissaris wordt gewogen of de transitie haalbaar blijft binnen de voorgestelde termijnen. De regeringscommissaris heeft in haar eerste advies gesignaleerd dat in het kader van de transitie rekening moet worden gehouden met een realistische planning en commitment van de betrokken partijen aan die planning, waaronder ICT-leveranciers. In de Wtp staat vastgelegd dat tijdens de transitie van pensioenuitvoerders wordt verwacht in het implementatieplan op welke wijze en in welk tijdspad de pensioenuitvoerder voorbereidingen treft voor de uitvoering van de nieuwe pensioenregeling, op welke wijze er invulling zal worden gegeven aan de uitvoering van de nieuwe pensioenregeling en de wijze waarop zal worden omgegaan met opgebouwde pensioenaanspraken en pensioenrechten.
    In het implementatieplan gaat de pensioenuitvoerder onder meer in op de technische uitvoerbaarheid, de kosten en de risico’s van de uitvoering van de pensioenregeling en de risicobeheersingsmaatregelen die getroffen worden.
    In het bijzonder wordt door de pensioenuitvoerder aandacht gegeven aan de datakwaliteit voor, na en tijdens de transitie naar het nieuwe pensioenstelsel, en aan de geschiktheid van het pensioenadministratiesysteem. Voor datakwaliteit en de risico’s daaromtrent zijn extra waarborgen gesteld in de Wtp. Aanvullend is er ook het «Kader Datakwaliteit» van de Pensioenfederatie dat tot doel heeft te faciliteren dat pensioenuitvoerders die wensen in te varen op een consistente en aantoonbare wijze de datakwaliteit onderbouwen en borgen.6 Deze wettelijke kaders dragen bij aan het zo klein mogelijk houden van de risico’s op het gebied van IT-veiligheid en datakwaliteit.
    Er zijn naar mijn weten geen signalen bekend dat IT-systemen van pensioenuitvoerders niet tijdig gereed zullen zijn om de transitie naar het nieuwe pensioenstelsel te maken.

  • Mededeling - 14 oktober 2024

    Hierbij deel ik u mede dat de beantwoording van de Kamervragen van het lid Joseph (NSC) over het bericht «Paniek over veiligheid pensioenen APG: kritisch rapport legt problemen bloot» niet binnen de gestelde termijn van drie weken mogelijk is omdat nader overleg nodig is met betrokken organisaties. Dit is niet mogelijk binnen de gebruikelijke termijnen van beantwoording van Kamervragen. Ik zal u zo spoedig mogelijk de antwoorden op deze Kamervragen doen toekomen.

Kamervraag document nummer: kv-tk-2024Z14247
Volledige titel: Het bericht ‘Paniek over veiligheid pensioenen APG: kritisch rapport legt problemen bloot’
Kamerantwoord document nummer: ah-tk-20242025-609
Volledige titel: Antwoord op vragen van het lid Joseph over het bericht ‘Paniek over veiligheid pensioenen APG: kritisch rapport legt problemen bloot’