Vraag 1

Bent u bekend met het bericht «Seven Hackers Associated with Chinese Government Charged with Computer Intrusions Targeting Perceived Critics of China and U.S. Businesses and Politicians»?1

Ja.

Vraag 2

Wat is uw reactie op de aantijgingen van de Verenigde Staten (VS) en het Verenigd Koninkrijk (VK) tegen deze zeven hackers, die volgens hen in opdracht van de Chinese Staat cyberaanvallen uitvoerden tegen journalisten, politici, activisten en bedrijven?

De verklaringen van de VS en het VK passen in het algemene beeld van de cyberdreiging die uitgaat van China, dat al langer wordt geschetst door de AIVD, de MIVD en de NCTV.2 Na publicatie van de Britse verklaring op 28 februari jl. heeft Nederland, zowel nationaal als via de Europese Unie (EU), solidariteit uitgesproken met het VK. De verklaringen van de VS en het VK onderstrepen de noodzaak om de groeiende cyberdreiging, samen met de EU, VS, VK en andere partners, strategischer en proactiever tegen te gaan, zoals ook beschreven in de Internationale Cyberstrategie 2023–2028.3

Vraag 3

Deelt u de grote zorgen over de gevolgen van mogelijke Chinese cyberaanvallen?

Wij delen de zorgen over de gevolgen van Chinese cyberaanvallen. Die zorgen zijn overgebracht door de Minister-President en de Minister voor Buitenlandse Handel en Ontwikkelingssamenwerking aan de Chinese autoriteiten tijdens hun gezamenlijke bezoek aan Beijing op 26 en 27 maart jl. Daarbij is specifiek verwezen naar de recente attributie door het kabinet van een Chinese cyberaanval op het Ministerie van Defensie.

Vraag 4

Is de hackgroep Advanced Persistent Threat Group 31 (APT31) bekend bij de Nederlandse inlichtingen-en veiligheidsdiensten? Wat kunt u delen over de werkwijze van deze groep en de dreiging daarvan voor Nederland?

Er wordt in het openbaar niet ingegaan op de werkwijze en het kennisniveau van de inlichtingen- en veiligheidsdiensten.
Zoals vermeld in het Cyber Security Beeld Nederland 2022, heeft de Chinese digitale spionage actor APT31 op grote schaal en langdurig politieke doelwitten in Europa en Noord-Amerika aangevallen. Ook in Nederland waren er doelwitten van aanvallen en verkenningsactiviteiten door deze actor.4 De interesse vanuit statelijke actoren in deze doelwitten illustreert het belang van goede beveiligingsmaatregelen en netwerkdetectiemogelijkheden voor Nederlandse overheidsnetwerken om aanvallen te detecteren, af te slaan en nader onderzoek te verrichten.

Vraag 5

Kunt u bevestigen dat deze groep wordt aangestuurd door het Chinese Ministerie van Staatsveiligheid?

Zie antwoord vraag 4.

Vraag 6

Kunt u bevestigen dat deze groep gerichte aanvallen uitvoert op journalisten, politici (o.a. van de Inter-Parliamentary Alliance on China), activisten en bedrijven? Zo ja, hoe lang gebeurt dat al?

Zie antwoord vraag 4.

Vraag 7

Klopt het voor zover bij u bekend dat APT31 zich ook richtte op Nederlandse Kamerleden? Zo ja, sinds wanneer en welke zijn dit?

Zie antwoord vraag 4.

Vraag 8

In hoeverre kan er via deze hackaanvallen staatsgeheime informatie zijn verkregen? Kunt u daarbij specifiek ingaan op informatie die eventueel van/via Nederlandse politici is verkregen?

Zie antwoord vraag 4.

Vraag 9

Bent u tevens bekend met het bericht «New Zealand accuses China of hacking parliament, condemns activity»?2

Ja.

Vraag 10

Is de hackgroep ATP40 bekend bij de Nederlandse inlichtingen- en veiligheidsdiensten? Wat kunt u delen over de werkwijze van deze groep en de gevolgen daarvan?

Zie beantwoording vraag 4 t/m 8.

Vraag 1

Bent u ervan op de hoogte dat Atos al jarenlang financiële problemen ervaart? Heeft u deze berichten meegenomen in de risicoanalyses in de derde voortgangsrapportage Grensverleggende IT (GrIT)?1

Defensie monitort de ontwikkelingen bij Atos nauwlettend, dit gebeurt onder de coördinatie van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Samen met de hoofdaannemer van het consortium Athena, Kyndryl, worden maatregelen voorbereid voor het geval Atos wegvalt. In de derde voortgangsrapportage bent u aan de hand van de op dat moment actuele informatie geïnformeerd over de situatie rondom Atos. In de vertrouwelijke bijlage van de vierde voortgangsrapportage (Kamerstuk 35 728, nr. 14) heb ik u op basis van de op dat moment beschikbare informatie geïnformeerd over de situatie rondom Atos.

Vraag 2

De, nu openbaar bekende, grote financiële problemen (waar ook naar is gevraagd tijdens de technische briefing GrIT op 7 maart jl.) betekent voor Atos dat ze moeten overleggen met banken over hoe om te gaan met een miljardenschuld; kunt u aangeven in hoeverre dit invloed heeft op het project GrIT?

Atos is een onderaannemer van het consortium. Kyndryl is de hoofdaannemer en daarmee verantwoordelijk voor de continuïteit van de dienstverlening van het consortium. Defensie bereidt samen met Kyndryl maatregelen voor om adequaat te kunnen reageren op de ontwikkelingen bij Atos. Deze voorbereidingen zijn in een vergevorderd stadium. Doordat deze voorbereidingen tijdig worden getroffen is het op dit moment niet nodig om de doelen van het programma GrIT te wijzigen.
Vanwege de commerciële vertrouwelijkheid kan ik op dit moment niet verder ingaan op de situatie rondom Atos of de maatregelen die worden voorbereid.

Vraag 3

Kunt u de mogelijke risico's meenemen in de vierde voortgangsrapportage GrIT?

De situatie rondom Atos en de risico’s voor het programma zijn behandeld in de vierde voortgangsrapportage dan wel de vertrouwelijke bijlage. De situatie rondom Atos wordt nauwgezet gevolgd door Defensie zodat er tijdig kan worden ingespeeld op relevante ontwikkelingen. In de komende voortgangsrapportages zal aandacht blijven voor de samenwerking met het consortium in het algemeen en de situatie rondom Atos in het bijzonder.

Vraag 4

In hoeverre beïnvloeden de financiële problemen bij Atos de kerndoelen van het GrIT-project en zijn er risico's groter geworden waardoor doelverschuiving noodzakelijk is?

Zie antwoord vraag 2.

Vraag 5

Wat zijn de mogelijke richtingen waarin het project GrIT zou moeten gaan om in deze gewijzigde situatie succesvol afgerond te kunnen worden?

Met de herijking van het programma worden maatregelen genomen zodat er snel resultaten behaald kunnen worden (Kamerstuk 35 728, nr. 13). Daarnaast bereidt Defensie, samen met de hoofdaannemer Kyndryl, maatregelen voor om adequaat te reageren op de situatie rondom Atos.

Vraag 6

Kunt u de vragen beantwoorden voorafgaand aan het publiceren van de vierde voortgangsrapportage GrIT?

In het kader van de zorgvuldige beantwoording van de gestelde vragen heb ik deze niet beantwoord voor het publiceren van de vierde voortgangsrapportage GrIT op 2 april.

Vraag 1

Bent u bekend met het bericht van Stichting Internet Domeinregistratie Nederland (SIDN) dat zij van plan is om in de komende twee jaar haar volledige ICT-omgeving, waarbinnen het.nl-domein beheerd wordt, over te dragen aan Amazon Web Services (AWS)?1

Ja, ik heb hier kennis van genomen.

Vraag 2

Heeft u contact gehad met het SIDN over dit besluit? Zo ja, welk standpunt heeft u richting de organisatie uitgedragen?

Het Ministerie van Economische Zaken en Klimaat (EZK) is door Stichting Internet Domeinregistratie Nederland (SIDN) niet schriftelijk geïnformeerd over of geraadpleegd bij de besluitvorming. Het onderzoek heeft SIDN in het najaar van 2023 kort ter sprake gebracht in een breder overleg tussen SIDN en EZK. SIDN heeft toen aangegeven dat zij toekomstige (cloud)oplossingen voor haar domeinregistratiedienst heeft onderzocht. Op basis van dit onderzoek heeft SIDN een voorkeur voor Amazon Web Services (AWS). SIDN gaf aan dit een lastige keuze te vinden, maar alles overwegende op deze voorkeur uit te komen. Na deze mondelinge toelichting is mijn ministerie niet nader geïnformeerd door SIDN.
Na de plaatsing van het bericht eind januari hebben EZK en SIDN frequent contact gehad, zowel op ambtelijk als politiek niveau. Zo heb ik zelf, samen met de Staatssecretaris Koninkrijksrelaties en Digitalisering, een gesprek gevoerd met de bestuurders van SIDN, waarin ik mijn zorgen geuit heb over dit voorgenomen besluit en het gebrek aan draagvlak onder de stakeholders. Ik heb SIDN daarbij gewezen op het convenant2 tussen SIDN en EZK, waarin mijn ministerie afspraken heeft gemaakt met SIDN over borging van de continuïteit van de dienstverlening, de binding met Nederland en het belang van goede betrokkenheid van de stakeholders van SIDN.
Op basis van de gesprekken met en informatie van SIDN constateer ik dat van een daadwerkelijke verhuizing nog geen sprake is, maar dat SIDN toewerkt naar een situatie waarin deze verhuizing in 2025 mogelijk is. Afgesproken is dat SIDN op dit moment geen onomkeerbare stappen zal zetten. De verhuizing is dus nog geen voldongen feit. Vanuit die context heb ik SIDN gevraagd om haar belanghebbenden uit de internetgemeenschap, waaronder de Rijksoverheid, veel nauwer te betrekken in de overwegingen die achter dit voorgenomen besluit liggen en inzage te geven waarom er naar het oordeel van SIDN binnen Nederland of de EU geen vergelijkbare alternatieven beschikbaar zijn. Dit alles maakt dat ik op dit moment nog geen definitief standpunt kan innemen over de voorgenomen verhuizing. Ik zal in Q2 de Tweede Kamer nader informeren als diverse onderzoeken en nadere gesprekken over deze casus hebben plaatsgevonden.
Voorts heb ik SIDN gewezen op het feit dat de activiteiten van SIDN onder diverse wetten en regels vallen, waaronder de Wet beveiliging netwerk- en informatiesystemen (Wbni) en de Algemene Verordening Gegevensbescherming (AVG). Op basis van de Wbni zal Rijksinspectie Digitale Infrastructuur (RDI) als toezichthouder beoordelen of de verhuizing risico’s oplevert voor de veiligheid, integriteit en continuïteit van het .nl domein, en in hoeverre deze risico’s door SIDN (kunnen) worden gemitigeerd door bestaande of aanvullende maatregelen.
Op grond van de AVG geldt dat SIDN een Data Protection Impact Assessment (DPIA) en Data Transfer Impact Assessment (DTIA) moet laten uitvoeren voorafgaand aan de voorgenomen migratie naar AWS. Hiermee zullen ook alle risico's en mitigerende maatregelen voor de privacy in kaart gebracht moeten worden. De verhuizing kan slechts plaatsvinden nadat deze processen zijn afgerond en SIDN ook op dit gebied voldoet aan haar zorgplicht. SIDN heeft aangegeven dit traject in voorbereiding te hebben.
Daarnaast ben ik met SIDN overeengekomen dat ik met betrokkenheid van de internetgemeenschap, een quickscan zal uitvoeren. Het doel is een beter beeld te krijgen of er geen Nederlands of Europees alternatief beschikbaar is dat kan voldoen aan de eisen van SIDN voor haar domeinregistratiesysteem, en wat het zou vergen om deze lacune te vullen. De quickscan zal daarmee niet exclusief op SIDN gericht zijn, maar we nemen deze casus wel nadrukkelijk mee, juist omdat ik, vanuit de eisen die partijen zoals SIDN stellen, wil weten wat het aanbod in Nederland en de EU is in vergelijking met de Amerikaanse partijen.

Vraag 3

Deelt u de mening dat het.nl-domein een essentieel onderdeel is van de digitale infrastructuur van Nederland?

Ja, de dienstverlening van SIDN vormt een essentieel onderdeel van de digitale infrastructuur van Nederland. Er zijn meerdere instrumenten die gericht zijn op het borgen van de beschikbaarheid en veiligheid van de dienstverlening van SIDN. Ten eerste is SIDN als aanbieder van Domain Name Server (DNS)-diensten en register van topleveldomeinnamen, een aanbieder van een essentiële dienst als bedoeld in de Wbni. Daarom zijn de in die wet opgenomen verplichtingen en het daarin ook geregelde toezicht op de naleving daarvan op SIDN van toepassing. De Wbni strekt in hoofdzaak tot implementatie van de Europese Netwerk- en Informatiebeveiligingsrichtlijn (NIB-richtlijn). De verplichtingen op grond van de Wbni betreffen onder meer het nemen van passende en evenredige technische en organisatorische maatregelen om de risico’s voor de beveiliging van netwerk- en informatiesystemen te beheersen. SIDN heeft op basis van de Wbni een zorgplicht. De RDI toetst als toezichthouder doorlopend op de naleving van de zorgplicht en kan, als dat niet gebeurt, ook handhavend optreden. Uiteraard zal SIDN ook tijdens en na de eventuele verhuizing moeten blijven voldoen aan de Wbni. Ten tweede is SIDN op grond van het nationale vitaalbeleid als aanbieder van DNS-diensten en beheerder van een register van topleveldomeinnamen aangemerkt als vitale aanbieder. Ten derde heeft EZK met SIDN een convenant afgesloten dat de relatie met Nederland waarborgt en voorziet in afspraken over continuïteit.
Overigens heeft SIDN aangegeven niet het voornemen te hebben om het gehele .nl-domein in de cloud te plaatsen, maar alleen het domeinregistratiesysteem. Registratie van een .nl-domein beslaat twee systemen: Het domeinregistratiesysteem en het domeinnaamsysteem.
Het domeinregistratiesysteem is de administratie van wie welke domeinnaam heeft. Dit domeinregistratiesysteem bevat de volgende gegevens: van wie welke domeinnaam is, welke service provider verantwoordelijk is en naar welke name servers verwezen moet worden. De name server zorgt voor de koppeling van de domeinnaam aan de IP-adressen. Het domeinnaamsysteem vertaalt de domeinnamen, die we dagelijks gebruiken, zoals overheid.nl, naar de IP-adressen van de internetdiensten (het telefoonboek van het internet).
SIDN heeft aangegeven dat het domeinnaamsysteem geen onderdeel is van de migratie naar AWS. Eventuele uitval van het domeinregistratiesysteem heeft niet direct gevolgen voor de bereikbaarheid van bestaande .nl domeinnamen en de daaraan verbonden diensten.

Vraag 4

Deelt u de mening dat de verhuizing van het.nl-domein zorgt voor een onwenselijke afhankelijkheid van de Verenigde Staten?

Verhuizing van het domeinregistratiesysteem van SIDN zou een bepaalde afhankelijkheid van AWS creëren. Het kabinet wil zogenaamde risicovolle strategische afhankelijkheden mitigeren. Niet iedere afhankelijkheid is een risico; zo vormen wederzijdse afhankelijkheden de hoeksteen van het mondiale handelssysteem, waardoor specialisatie kan optreden, innovatie wordt gestimuleerd, producten toegankelijk blijven, wetenschappelijke kennis circuleert en onze welvaart en koopkracht toeneemt.3
Voor de specifieke casus van de voorgenomen verhuizing van het domeinregistratiesysteem van SIDN wordt door het kabinet nader bezien in hoeverre de voorgenomen verhuizing risico’s oplevert voor onze digitale open strategische autonomie. SIDN zal vanuit haar zorgplicht moeten documenteren en beoordelen in hoeverre de verhuizing risico’s oplevert voor onze publieke belangen zoals veiligheid van gegevens en de continuïteit van de dienstverlening van SIDN. En zo ja, in hoeverre deze risico’s (kunnen) worden gemitigeerd door bestaande of aanvullende maatregelen en wat dit betekent voor de voorgenomen verhuizing. Toezichthouders waaronder de RDI, zullen toetsen of aan alle wet- en regelgeving is voldaan. Ik vind het daarnaast van belang dat SIDN meeweegt welke Nederlandse (of Europese) alternatieven voorhanden zijn. Zie ook het antwoord op vraag 2.

Vraag 5

Hebben de hostingprovider en de Amerikaanse overheid toegang tot de gegevens in de AWS-cloud? Onder welke voorwaarden hebben zij toegang?

SIDN heeft aangegeven dat de servers die zij voornemens zijn te gebruiken van AWS gevestigd zijn binnen de EU en dat de Europese wet- en regelgeving onverkort van toepassing zal zijn. Daarnaast heeft SIDN gemeld dat de data versleuteld verwerkt, getransporteerd en opgeslagen zal worden. Versleuteling is een voorbeeld van een technische maatregel waar de RDI naar kijkt bij aanbieders van essentiële diensten, in haar rol als toezichthouder. SIDN gaf daarnaast aan dat zowel de hostingprovider als de Amerikaanse overheid geen toegang hebben tot gegevens die in het registratiesysteem worden verwerkt of opgeslagen.
Wel kunnen de data op basis van de US Cloud Act, Amerikaanse wetgeving met extraterritoriale werking, opgeëist worden. Deze wetgeving maakt het onder andere mogelijk dat Amerikaanse federale rechtshandhaving bij uitzondering, na goedkeuring via een huiszoekingsbevel van een Amerikaanse rechter, toegang kunnen eisen tot gegevens indien die zijn opgeslagen of worden verwerkt bij Amerikaanse bedrijven of Europese leveranciers onder Amerikaanse jurisdictie. Er zijn meer landen die dergelijke wetgeving en bijbehorende verplichtingen hebben.
De DPIA, die nog moet worden afgerond, zal de risico's en mitigerende maatregelen in kaart moeten brengen. Dit is een voorwaarde om de verhuizing te laten plaatsvinden. De Autoriteit Persoonsgegevens houdt toezicht op naleving van de AVG, daaronder valt ook het goed uitvoeren van een DPIA. Primair ligt de verantwoordelijkheid bij de organisatie zelf, in deze casus SIDN, om een DPIA en DTIA uit te voeren. AP ziet uiteindelijk er op toe dat de SIDN de DPIA en DTIA goed uitvoert. Als uit deze DPIA en DTIA blijkt dat er hoge restrisico’s zijn, dan moet de SIDN naar de AP gaan voor verdere bespreking over die risico’s.

Vraag 6

Is het voldoende mogelijk om toezicht te houden en zo nodig aanpassingen ten goede van de veiligheid door te voeren als het.nl-domeinbeheer bij een Amerikaans bedrijf ligt?

Zowel de activiteiten van SIDN als die van AWS vallen onder de Europese wetgeving en het daarin geregelde toezicht.
Net als voor elke andere aanbieder van een essentiële dienst geldt vanuit de Wbni voor SIDN de wettelijke verplichting om evenredige technische en organisatorische maatregelen te nemen om de risico’s voor de beveiliging van hun netwerk- en informatiesystemen te beheersen, de zogenaamde zorgplicht. De maatregelen moeten zorgen voor een niveau van beveiliging dat is afgestemd op de risico’s die zich voordoen. Ook moeten aanbieders van essentiële diensten, passende maatregelen nemen om incidenten die de beveiliging van de netwerk- en informatiesystemen aantasten, te voorkomen en gevolgen te beperken teneinde de continuïteit van de dienst te waarborgen.
De RDI houdt toezicht op de naleving van de zorgplicht door SIDN en heeft, zo nodig, verschillende instrumenten tot zijn beschikking om naleving van de zorgplicht af te dwingen, zoals het vorderen van informatie, opleggen van een verplichting tot een beveiligingsaudit en het opleggen van bestuurlijke boetes.
Op basis van de Wbni zijn genoemde verplichtingen én toezicht op de naleving daarvan door de RDI ook van toepassing op digitale dienstverleners, zoals verleners van cloudcomputingdiensten. Zij hebben dus ook een zorgplicht in bovenbedoelde zin met betrekking tot de beveiliging van hun netwerk- en informatiesystemen. Wel is het zo dat de Wbni alleen van toepassing is op digitale dienstverleners die gelet op de NIB-richtlijn onder de jurisdictie van Nederland vallen. Op basis van de NIB-richtlijn wordt een verlener van cloudcomputerdiensten geacht te vallen onder de jurisdictie van de lidstaat waar hij zijn hoofdvestiging heeft. De rechtspersoon van AWS in de Europese Unie is in Luxemburg gevestigd en valt daarmee onder het (toezicht)regime van Luxemburg. Toezichthouders als bedoeld in de NIB-richtlijn in de EU kunnen elkaar bijstand verlenen en samenwerken.

Vraag 7

Kunt u met volle zekerheid zeggen dat alle registratiegegevens en.nl-domeinen, van nationale websites tot emailadressen, afgeschermd en veilig zijn bij een Amerikaans bedrijf? Hoe komt u tot die conclusie? Welke risico’s ziet u?

Nee, volle zekerheid kan nooit worden gegeven, ongeacht welke leverancier gebruikt wordt en waar deze vandaan komt. De risico’s moeten beheersbaar zijn. Op dit moment heeft de RDI, mede gegeven de fase waarin het voornemen tot verhuizing zit, van SIDN nog te weinig informatie verkregen om te kunnen concluderen over de risico’s voor de systemen als gevolg van het voorgenomen besluit. Zie hiervoor ook de beantwoording van vraag 6. Voor wat betreft vragen rond privacyaspecten geldt dat de genoemde DPIA en DTIA nog moeten worden afgerond alvorens hierover een oordeel kan worden gegeven. Zie ook het antwoord op vraag 2.

Vraag 8

Vindt u het acceptabel dat SIDN, die sinds 2018 geldt als een «aanbieder van essentiële diensten»2, haar systeembeheer naar een Amerikaanse aanbieder verplaatst?

Zoals eerder aangegeven ben ik verrast over het voorgenomen besluit en baart deze stap mij ook zorgen. De verhuizing is echter nog geen voldongen feit. Ik heb deze zorgen in een gesprek met de bestuurders van SIDN ook kenbaar gemaakt en heb aangegeven dat SIDN eerst nog diverse stappen in het proces moet doorlopen voordat gezegd kan worden of dit besluit gerechtvaardigd is. Zie verder het antwoord op vraag 2. Overigens zoals in vraag 3 heeft SIDN aangegeven niet het voornemen te hebben om het gehele .nl-domein in de cloud te plaatsen, maar alleen het domeinregistratiesysteem.

Vraag 9

Past het overhevelen van het.nl-domeinbeheer naar een Amerikaanse cloud binnen het Nederlandse en Europese beleid rondom strategische autonomie?

Op 17 oktober 2023 is de Tweede Kamer geïnformeerd over de agenda digitale open strategische autonomie (DOSA)5. Deze agenda bouwt voort op het bredere kabinetsbeleid rond open strategische autonomie6 en de aanpak strategische afhankelijkheden7.
Het kabinet hecht grote waarde aan een internationale rechtsorde waarin handel en investeringen vrijelijk hun weg vinden. Wederzijdse afhankelijkheden vormen de ruggengraat van het open handelssysteem en de internationale samenwerking waar Nederland en de EU veel profijt van hebben en die ons een sterkere geopolitieke positie opleveren. Tegelijkertijd kan een vorm van overheidsingrijpen nodig zijn, bijvoorbeeld indien strategische afhankelijkheden hoge risico’s met zich meebrengen.
In de agenda DOSA staat de probleemanalyse en beleidsinzet (zie antwoord bij vraag 13) op de beleidsprioriteit cloud geschetst. Zoals staat aangegeven in deze agenda wordt de Europese markt gedomineerd door enkele Amerikaanse partijen.
In algemene zin is het overhevelen van activiteiten naar een cloudleverancier van buiten de EU niet strijdig met het beleid rond (digitale) open strategische autonomie. Tegelijkertijd is het belangrijk om te kijken naar in hoeverre dit risico’s oplevert, in hoeverre deze risico’s (kunnen) worden gemitigeerd door huidig instrumentarium of aanvullend instrumentarium en wat de mogelijkheid tot substitutie is.
In aanvulling hierop is in de Agenda DOSA al een breder onderzoek voorzien waarin mitigerende maatregelen voor de vermindering van cloudafhankelijkheid van Nederland worden verkend.

Vraag 10

Wat zijn de gevolgen voor Nederland en al haar belangrijke digitale diensten die in het.nl-domein staan als het register gecompromitteerd raakt? Wat betekent dit in het slechtste geval voor Nederland en welke regie houden de overheid en internetdiensten over hun eigen.nl-adres?

SIDN heeft aangegeven dat het domeinregistratiesysteem in beheer blijft van de stichting. Onbevoegde wijzigingen in het domeinregistratiesysteem kunnen, zowel nu als in de toekomst, grote gevolgen hebben voor de aan de domeinnaam verbonden diensten. Om het risico op dergelijke wijzigingen te mitigeren worden maatregelen genomen. SIDN geeft aan dat de veelheid aan mitigerende maatregelen die AWS treft juist een van de redenen is om voor die partij te kiezen. Wat de gevolgen van de migratie zijn voor privacy moet o.a. nog blijken uit de nog uit te voeren DPIA.

Vraag 11

Heeft het Agentschap Telecom als verantwoordelijk toezichthouder gereageerd op de ICT-strategie waarin de verhuizing naar AWS besloten is? Zo ja, kunt u deze reactie of zienswijze delen?

Omdat de RDI (voorheen Agentschap Telecom) niet vooraf geïnformeerd is over het voorgenomen besluit van SIDN om te migreren naar AWS en nog meer informatie van SIDN nodig heeft over deze voorgenomen migratie, heeft de RDI op dit moment geen inhoudelijke reactie of zienswijze en kan ik die daarom niet delen. Zoals beschreven in vraag 6 toetst RDI binnen de kaders van de Wbni de veiligheid van het huidige domeinregistratiesysteem alsook toekomstige systemen zoals gebruik van AWS.

Vraag 12

Hoe reageert u op de bewering van SIDN dat zij overstapt naar een Amerikaanse cloud omdat «er nog geen volwaardig Europees alternatief bestaat»?

In algemene zin kan gesteld worden dat er verschillende Nederlandse en Europese aanbieders van ICT- en clouddiensten zijn, die als «alternatief» zouden kunnen dienen. Of deze aanbieders een volledig en/of concurrerend aanbod voor de gevraagde dienstverlening kunnen leveren aan SIDN is iets waar het kabinet meer inzicht in wil krijgen middels een quickscan.
SIDN heeft aangegeven te werken aan een exit-strategie. Deze strategie is tweeledig. Het heeft zowel betrekking op het snel kunnen verhuizen in het geval van problemen of calamiteiten, als het kunnen migreren naar een Europese of Nederlandse cloudprovider als deze mogelijkheid zich aandient.

Vraag 13

Welke maatregelen neemt Nederland om zo snel mogelijk te komen tot een betrouwbaar en publiek Europees cloudsysteem? Indien deze in ontwikkeling is, wanneer verwacht u dat deze in gebruik is?

Nederland zet in op Europese ontwikkeling van innovatieve clouddiensten en regulering van de markt. Op 15 oktober 2020 hebben de lidstaten van de Europese Unie een verklaring8 ondertekend om samen te werken aan de uitrol van veerkrachtige en concurrerende cloudinfrastructuur en -diensten in heel Europa.
Het «Important Project of Common European Interest on the next generation Cloud Infrastructure and Services» (IPCEI CIS) is een van de manieren waarop hier gevolg aan is gegeven, door het subsidiëren van een nieuwe generatie innovatieve, duurzame en veilige Europese cloudoplossingen. De Tweede Kamer is op 21 december 2023 over de IPCEI CIS geïnformeerd middels de beantwoording van vragen van de Kamer9 en een Kamerbrief10. De looptijd van deze projecten, inclusief de uitrolfase, is tot met 2028 en de totale subsidie bedraagt ruim 71 mln euro.
Daarnaast neemt Nederland deel aan de European Alliance for Industrial Data, Edge and Cloud, waarin overheden en bedrijven op Europees niveau samenwerken om de ontwikkeling en uitrol van nieuwe oplossingen te simuleren.11
Ook loopt het Gaia-X initiatief12, dat erop gericht is om een alternatief te ontwikkelen voor de deels gesloten ecosystemen van bestaande grote cloudspelers. Diverse Nederlandse bedrijven en organisaties zijn hierachter de drijvende kracht. Het kabinet steunt de ontwikkeling via een Nederlandse GAIA-X hub bij TNO en is vertegenwoordigd in de Governmental Advisory Board van het initiatief.
Naast de reeds bestaande Europese clouddiensten zullen deze initiatieven naar verwachting het cloudaanbod aanzienlijk vergroten.
Verder is er inmiddels wetgeving gericht op het beter laten functioneren van de digitale interne markt. Hierbij zijn de Dataverordening13 en Digital Markets Act belangrijke kaders waarmee economische afhankelijkheid (en lock-in) van cloudaanbieders worden verminderd.
Volgens het kabinet dragen deze initiatieven samen bij aan het ontwikkelen van een Europees cloudsysteem met als ambitie om tot een volwaardig Europees aanbod te komen. Het is belangrijk om nader te bezien of deze acties zorgen voor het benodigde aanbod van clouddiensten voor toepassingen zoals het domeinregistratiesysteem van SIDN. De quickscan zal naar verwachting meer inzicht geven (zie antwoord vraag 2).

Vraag 14

Op welke manier bent u betrokken bij dit besluit van SIDN en haar werkzaamheden? Welke rol neemt u als Minister om deze essentiële digitale infrastructuur te onderhouden?

Sinds 1996 beheert en registreert de onafhankelijke stichting SIDN de domeinnamen binnen het .nl-domein. EZK heeft voor het eerst met SIDN een convenant afgesloten dat dateert uit 2008. Het convenant is in 2015 en 2022 geëvalueerd en herzien en met de Tweede Kamer gedeeld14. Doel van het convenant is om waarborgen te krijgen op de stabiliteit en continuïteit van het .nl-domein. SIDN heeft tot nu toe gezorgd voor 100% beschikbaarheid van het .nl domein.
In het convenant is onder andere afgesproken dat SIDN en het .nl-domein verbonden blijven met Nederland, waarbij SIDN zich ten doel blijft stellen het .nl-domein voor gebruikers in Nederland beschikbaar te houden. Daarnaast staat in het convenant dat SIDN haar belanghebbenden adequaat betrekt bij besluiten. Dit laatste is onvoldoende gebeurd, omdat bijvoorbeeld zorgen van de Vereniging van Registrars nog niet geadresseerd waren voordat SIDN het besluit over de migratie naar AWS kenbaar maakte. Ik heb aan SIDN gevraagd zich aan het convenant te houden, door onder andere met de belanghebbenden dit voorgenomen besluit te bespreken en ben zoals hiervoor aangegeven zelf ook in overleg met SIDN.
De RDI houdt toezicht op de naleving van in de Wbni geregelde verplichtingen (zorgplicht, etc.) rustend op aanbieders van essentiële diensten in de sectoren energie en digitale infrastructuur waaronder digital dienstverleners, inclusief SIDN.

Vraag 15

Wat is de rol van de coördinerend Staatssecretaris voor Digitale Zaken bij het bewaken van de autonomie van het.nl-domein? Is deze rol voldoende om de autonomie te waarborgen? Zo niet, bent u alsnog bereid deze coördinerende rol te pakken?

Zoals eerder aangegeven hebben de Minister van EZK en de Staatssecretaris Koninkrijksrelaties en Digitalisering gezamenlijk met de bestuurders van SIDN gesproken. De Staatssecretaris Koninkrijksrelaties en Digitalisering heeft net als de Minister van EZK aangegeven dat het voorgenomen besluit van SIDN nader onderzoek en een open discussie vereist zoals aangegeven in deze brief. In haar rol als coördinerend Staatssecretaris voor Digitale Zaken staat de Staatssecretaris in deze casus in contact met de Minister van EZK en brengt zij richting en expertise in over waardengedreven digitalisering, onder meer in relatie tot het Rijkscloudbeleid. In haar rol draagt zij bij aan het bewaken van publieke waarden, waar digitale open strategische autonomie een basis vormt van een verantwoorde digitale transitie. De digitale overheid vereist continuïteit en voor de overheid is het essentieel dat het .nl-domein voor de dienstverlening voor de Nederlandse maatschappij altijd beschikbaar is. De Minister van Economische Zaken en Klimaat en de Staatssecretaris Koninkrijksrelaties en digitalisering zullen in gesprek gaan met een brede groep belangenbehartigers zoals bijvoorbeeld wetenschappers en inhoudelijke experts over de manier waarop digitale open strategische autonomie het beste kan worden geborgd voor vraagstukken rond o.a. cloudinfrastructuur en -diensten.

Vraag 16

Welke alternatieve Nederlandse of Europese private cloudproviders zijn er en zou het.nl-domein ook bij deze ondergebracht kunnen worden?

Zoals aangegeven in het antwoord op vraag 2, ben ik met SIDN overeengekomen dat we met betrokkenheid van stakeholders een quickscan zullen uitvoeren om een beter beeld te krijgen of er geen vergelijkbaar Nederlands of Europees alternatief beschikbaar is die voldoet aan de eisen van SIDN voor haar domeinregistratiesysteem, en wat het zou vergen om deze lacune te vullen. De quickscan zal daarmee niet exclusief op SIDN gericht zijn, maar we nemen deze casus wel nadrukkelijk mee, juist omdat ik, vanuit de eisen die partijen zoals SIDN stellen, wil weten wat het aanbod in Nederland en de EU is in vergelijking met de Amerikaanse partijen.

Vraag 17

Hoe kan het dat dé beheerder van het.nl-domein niet voldoende personeel aan kan trekken om haar systeem veilig binnen Nederland te beheren?

Waarom SIDN niet voldoende personeel kan aantrekken is bij EZK niet exact bekend. SIDN geeft aan dat het niet kunnen aantrekken van nieuw personeel is gerelateerd aan diverse factoren. Zo dateert het domeinregistratiesysteem dat nu nog in eigen beheer is, uit 2010 en geven opleidingen niet of nauwelijks meer scholing in het beheer van dergelijke systemen. De gevraagde kennis is zeer specifiek en niet eenvoudig vervangbaar bij ziekte, uitval of vertrek. SIDN is van mening dat dit risico’s met zich meebrengt voor de continuïteit van de bedrijfsvoering. SIDN verwacht door meer gestandaardiseerde systemen te gebruiken en een deel van het systeem in de cloud te plaatsen, uit een grotere pool van IT-professionals te kunnen werven.
In algemene zin wordt de hele samenleving geraakt door tekorten op de arbeidsmarkt. Tekorten in de ICT spelen al decennia en zijn van toenemende en structurele aard. De grote vraag blijkt uit toenemende aantal vacatures in de ICT. In 2021 had 71% van de bedrijven in Nederland moeite om specialistische ICT-vacatures te vervullen. Met het huidige groeitempo van bijna 7% per jaar, is in 2030 één op de tien van de beroepsbevolking IT’er. Dat betekent dat de Nederlandse arbeidsmarkt moet toewerken naar 1 miljoen digitaal geschoolden in 2030.

Vraag 18

Onder welke voorwaarden is het voor SIDN mogelijk om haar diensten in Nederland in beheer te houden? Welke maatregelen kunt u nemen om aan deze voorwaarden te voldoen?

SIDN heeft aangegeven dat zij te allen tijde haar diensten in Nederland in beheer houdt. Zie het antwoord op de vragen 2 en 3.

Vraag 19

Welke instrumenten heeft u als Minister om bij te sturen op de tarieven van de SIDN?

SIDN is een onafhankelijke stichting die zelf de basisprijzen stelt voor een .nl-domein. In 2024 vraagt SIDN voor een domeinnaam € 4,15 per jaar. Dit is het bedrag dat registrars betalen aan SIDN voor haar dienstverlening. Ik heb geen bevoegdheid om bij te sturen op de tarieven.

Vraag 20

Bent u bereid om als eindverantwoordelijke voor de digitale infrastructuur in Nederland in te grijpen en tot een plan te komen om het.nl-domein binnen Nederland te houden?

De verhuizing is nog geen voldongen feit en SIDN heeft toegezegd nu nog geen onomkeerbare stappen te zetten. Ik heb, i.s.m. de Staatssecretaris Koninkrijksrelaties en Digitalisering diverse acties uitgezet om meer zicht te krijgen op de keuze van SIDN. Hieronder vat ik ze kort samen:
EZK is in het licht van het convenant in gesprek met SIDN over voorgenomen migratie van het domeinregistratiesysteem naar AWS. Daarin is vastgelegd dat dat SIDN duurzaam verbonden moet blijven met Nederland en SIDN haar stakeholders moet betrekken. In dat kader heb ik SIDN ook gevraagd om haar belanghebbenden uit de internetgemeenschap, waaronder de Rijksoverheid, veel nauwer te betrekken in de overwegingen achter dit voorgenomen besluit.
Ik ben met SIDN overeengekomen dat EZK met betrokkenheid van stakeholders een quickscan zal uitvoeren om een beter beeld te krijgen of er geen vergelijkbaar Nederlands of Europees alternatief beschikbaar is die voldoet aan de eisen van SIDN voor haar domeinregistratiesysteem, en wat het zou vergen om deze lacune te vullen. De quickscan zal daarmee niet exclusief op SIDN gericht zijn, maar we nemen deze casus wel nadrukkelijk mee, juist omdat ik, vanuit de eisen die partijen zoals SIDN stellen, wil weten wat het aanbod in Nederland en de EU is in vergelijking met de Amerikaanse partijen. Waar nodig zal ik nader bezien welke risico’s er bestaan en welke mogelijkheden vervolgstappen er zijn om de digitale open strategische autonomie te bevorderen, en de continuïteit, integriteit en veiligheid van de dienstverlening te garanderen.
De RDI toetst op basis van de Wbni de beveiliging en continuïteit van de netwerk- en informatiesystemen van SIDN, zowel het huidige domeinregistratiesysteem als ook een toekomstig gebruik van AWS.
SIDN zal op basis van de AVG een Data Privacy Impact Assessment (DPIA) en Data Transfer Impact Assessment (DTIA) uitvoeren.
Ik zal samen met de Staatssecretaris Koninkrijksrelaties en Digitalisering in gesprek gaan met een brede groep belangenbehartigers zoals bijvoorbeeld wetenschappers en inhoudelijke experts over de manier waarop digitale open strategische autonomie het beste kan worden geborgd voor vraagstukken rond o.a. cloudinfrastructuur en -diensten.
Al met al zijn er diverse acties genomen om het voorgenomen besluit van SIDN tegen het licht te houden en ik bekijk op basis daarvan wat nodig is. Het belang van een zorgvuldige afweging betekent dat het op dit moment te vroeg is om al conclusies te trekken. Op basis van de uitkomsten van deze acties zal ik de Kamer nader informeren, naar verwachting is dit in Q2.

Vraag 21

Kunt u zo snel mogelijk met een eerste reactie komen, zo nodig apart van de volledige beantwoording van deze vragen?

Ja.

Vraag 22

Wilt u deze vragen apart van elkaar beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht «Miljoenen drugsadvertenties op Telegram, platform laat handel ongemoeid»?1 2

Ja, daar ben ik bekend mee.

Vraag 2

Wat vindt u ervan dat drugscriminelen in openbare Telegram-groepen ongestoord kunnen handelen in drugs, zowel softdrugs als harddrugs en designerdrugs?

Het is schokkend om te zien hoeveel van dit soort berichten rondgaan op Telegram. Het is in de eerste plaats de verantwoordelijkheid van Telegram om dit te modereren. Dit soort zelfreinigend vermogen wordt ook door andere sociale media platforms toegepast. Daar zet ik ook op in bij Telegram. We zijn daar helaas nog niet in geslaagd, omdat het moeilijk is om met Telegram in contact te komen en afspraken te maken.
De politie mag en kan, gelet op het grote aantal berichten en de schaarste in de capaciteit, niet het hele internet monitoren op berichten waarin drugs wordt aangeboden. Wel gaat de politie daar waar mogelijk over tot handhaving. De opsporing richt zich op het opsporen van de grote drugsaanbieders.
Momenteel worden samen met betrokken partijen, zoals het Openbaar Ministerie (OM) en politie, verkennende gesprekken gevoerd met als doel het opstellen van een plan van aanpak voor handhaving op de online verkoop van verboden middelen. De handhaving van de online verkoop van drugs kent uitdagingen die niet zijn voorbehouden aan de verkoop van drugs, maar breder gelden voor de online verkoop van verboden middelen. De aanpak hiervan is complex en de totstandkoming van een goed en gedragen plan hierop vergt tijd. Ik zal uw Kamer in een volgende voortgangsbrief nader informeren over de concrete voorstellen om beter te kunnen handhaven op de verkoop van drugs via online kanalen.

Vraag 3

Herkent u het beeld dat Telegram vooral wordt gebruikt als advertentieplatform en dat dealers na het opbouwen van een vertrouwensband overstappen op andere communicatiemiddelen? Welke andere apps kent u met vergelijkbare praktijken?

Telegram voorziet behalve in groepen en kanalen ook in de mogelijkheid om één-op-één te communiceren over bijvoorbeeld betaling en aflevering. Bij frequenter contact kan inderdaad een vertrouwensband ontstaan waarna andere communicatiewijzen kunnen worden gedeeld, zoals alternatieve berichtendiensten die voorzien in interpersoonlijke privécommunicatie.

Vraag 4

Bent u het met de stelling eens dat drugsdealers die op Telegram hun criminele praktijken uitvoeren, zoveel mogelijk opgespoord en bestraft moeten worden met medewerking van Telegram? Zo nee, waarom niet?

De criminaliteit die via Telegram plaatsvindt, moet worden bestreden. De verwachting is dat nieuwe Europese wetgeving – zoals de Digital Services Act (DSA)3 – de internetsector tot meer actie dwingt met de verplichtingen die daarin geregeld zijn. In het geval van Telegram lijkt in een adequaat moderatiebeleid voor openbare groepen4 de grootste winst te behalen. De Nederlandse strafrechtelijke aanpak heeft een beperkt effect aangezien het hier om een internationale online dienst gaat met een groot aantal gebruikers. Omdat de capaciteit binnen onze strafrechtketen beperkt is, moeten bovendien altijd keuzes gemaakt worden. Een meewerkende houding van Telegram is in alle gevallen van groot belang.

Vraag 5

Wanneer is voor u de maat vol voor Telegram, gezien de aanhoudende berichten over online haat, bedreiging, expose-groepen, criminele praktijken en oplichting via dit platform en het feit dat Telegram hier zelf helemaal niets aan doet?

De aanwezigheid van illegale inhoud en illegale activiteiten op Telegram vind ik problematisch. Temeer omdat Telegram weinig bereidheid tot medewerking toont in het kader van zelfregulering en opsporingsonderzoeken. In de beantwoording van eerdere Kamervragen van de leden Kuik en Slootweg (CDA)5 over Telegram heb ik daarom aangegeven dat het kabinet de inspanningen verhoogt om partijen als Telegram en X op hun verantwoordelijkheden te wijzen, deels met behulp van nieuwe wetgevende instrumenten, zoals de Verordening Terroristische Online Inhoud6 en de eerdergenoemde DSA. Over de ontwerp Verordening ter voorkoming en bestrijding van seksueel kindermisbruik wordt nog onderhandeld. Deze drie verordeningen leggen aan tussenhandeldiensten meer (zorgvuldigheids)verplichtingen op, onder meer in relatie tot illegale online inhoud. Ze spelen daarom een belangrijke rol in het aanpakken van de soorten inhoud en praktijken die u noemt. Daarnaast ben ik in constante dialoog met verschillende soorten aanbieders in de internetsector, zoals via de «publiek-private samenwerking online content moderatie». Juist vanwege de constructieve samenwerking met de aldaar aanwezige platforms (zoals Meta, TikTok en Snapchat) is de afwezigheid van partijen als Telegram en X te betreuren.

Vraag 6

Zijn de claims van Telegram dat zij wel degelijk proactief modereren op schadelijke content te verifiëren?

De gemaakte claims door Telegram zijn momenteel lastig onafhankelijk te verifiëren door een gebrek aan transparantie. De handhavingspraktijk en onderzoeken zoals die van de NOS geven een beeld van de verschillende vormen en omvang van illegale inhoud op Telegram, wat zich moeilijk verhoudt tot de gemaakte claims. De DSA brengt naar verwachting verandering in deze situatie zoals toegelicht in het antwoord op vraag 7.

Vraag 7

Wilt u Telegram vragen bewijs te leveren van hun proactieve moderatie op schadelijke content in Nederland of Nederlandse groepen en wilt u dit onafhankelijk laten toetsen?

Zoals aangegeven spant het kabinet zich in om partijen op hun verantwoordelijkheden te wijzen. Telegram zal op grond van de DSA, die vanaf 17 februari 2024 van toepassing is op alle tussenhandeldiensten, in ieder geval jaarlijks moeten gaan rapporteren over (onder meer) inhoudsmoderatie die zij op eigen initiatief toepast, de ontvangen bevelen van lidstatelijke autoriteiten, en de omgang met meldingen van illegale inhoud van gebruikers en zogeheten betrouwbare flaggers7. Hierdoor wordt meer inzicht afgedwongen in hetgeen Telegram doet op het gebied van online content moderatie. Het is aan de toezichthouder in België – waar Telegram met de inwerkingtreding van de DSA een wettelijke vertegenwoordiger heeft aangewezen8 – om toezicht te houden op de naleving van deze eisen.

Vraag 8

Herinnert u zich dat u in antwoord op eerdere vragen van de leden Kuik en Slootweg3 over Telegram-exposegroepen heeft aangegeven dat Telegram niet reageert op vorderingen of bevelen in het kader van opsporingsonderzoeken?

Ja, mijn beantwoording daarop is mij bekend.

Vraag 9

Wat zijn gevolgen van het niet voldoen aan een vordering of bevel door de politie of de officier van justitie in het kader van een opsporingsonderzoek? Welke afwegingen worden daarbij gemaakt?

Wanneer Telegram niet meewerkt aan rechtshulpverzoeken en niet voldoet aan strafvorderlijke vorderingen en/of bevelen, dan is het gevolg daarvan dat onderzoek naar (een vermoeden van) strafbare feiten wordt belemmerd. In algemene zin geldt dat afhankelijk van de context en de grondslag van een vordering of bevel het niet meewerken daaraan strafrechtelijke, civielrechtelijke of bestuursrechtelijke gevolgen kan hebben.

Vraag 10

In hoeverre zijn er mogelijkheden om medewerking van Telegram aan vorderingen of bevelen van de politie of officier van justitie af te dwingen?

In sommige gevallen zou bij niet-naleving van een vordering of bevel vanuit de politie of officier van justitie kunnen worden overgegaan op dwangmiddelen, zoals inbeslagname of strafvervolging. De eventuele inzet hiervan wordt onder andere beïnvloed door de grondslag van de vordering of het bevel, de ernst van de overtreding en ook de vestigingslocatie van een bedrijf. Van Telegram is bekend dat deze momenteel geen Nederlandse of andere Europese vestiging heeft. Wel is bekend dat Telegram met de inwerkingtreding van de DSA inmiddels een wettelijke vertegenwoordiger in België heeft aangewezen.

Vraag 11

Klopt het dat de officier van justitie op basis van artikel 125p van het Wetboek van Strafvordering na toestemming van de rechter-commissaris, een aanbieder van een communicatiedienst kan bevelen om content ontoegankelijk te maken, en dat dit in de praktijk het blokkeren van een Telegramkanaal kan zijn, openbaar of besloten?

Ja, dat klopt.

Vraag 12

Zo ja, kunt u aangeven waarom het blokkeren van een Telegramkanaal blijkens uw antwoord op vraag 6 van de leden Slootweg en Kuiken slechts in uitzonderlijke gevallen mogelijk is en dan alleen via de telefoon van de verdachte?

De casus waarin via de telefoon van verdachte gegevens in drie Telegram-groepen ontoegankelijk werden gemaakt, werd in de beantwoording uitzonderlijk genoemd, omdat de politie niet vaak in de positie is dat zij een Telegram-gebruiker heeft kunnen identificeren en directe toegang heeft tot diens telefoon. Dit maakte het op grond van artikel 125p Sv jo 181 Sv mogelijk om de Telegram-groepen af te sluiten zonder medewerking van Telegram.

Vraag 13

Waarom is de politie volgens uw antwoord in vraag 6 vaak niet in de positie om een Telegramkanaal te blokkeren?

Zie antwoord vraag 12.

Vraag 14

Wat vindt u ervan dat het blokkeren van een Telegramkanaal blijkbaar afhankelijk is van de medewerking van Telegram zelf?

In de casus waar u naar refereert in vraag 12 konden gegevens dus ontoegankelijk worden gemaakt zonder medewerking van Telegram, omdat er toegang was tot de telefoon van verdachte. Dat neemt niet weg dat een meewerkende houding van online aanbieders gewenst is, zodat bevelen die op grond van 125p Sv direct aan hen zijn gericht ook daadwerkelijk worden opgevolgd en er niet een strafbaar feit ontstaat of blijft voortbestaan door niet-naleving.

Vraag 15

Welke mogelijkheden zijn er om de politie meer handvatten te geven om Telegramkanalen sneller te blokkeren? Vraagt de politie ook om extra mogelijkheden of bevoegdheden en zo ja, welke?

De wet voorziet in mogelijkheden voor politie en OM om online aanbieders ertoe te bewegen om strafbare inhoud ontoegankelijk te maken en personen achter accounts op te sporen. Zoals toegelicht in het antwoord op vraag 10 wordt de effectiviteit van deze middelen belemmerd wanneer een bedrijf niet op Nederlands grondgebied is gevestigd. In het geval van buitenlandse online aanbieders dient dan gebruik te worden gemaakt van een rechtshulpverzoek. Dit is vaak een tijdrovende exercitie en de uitkomst ervan is afhankelijk van de medewerking van het land waaraan het verzoek is gericht.
Verder verwijs ik naar mijn antwoord op vraag 2 over de gesprekken die gevoerd worden met onder andere politie en OM om te komen tot een plan van aanpak voor handhaving op de online verkoop van verboden middelen.

Vraag 16

Vindt u het gerechtvaardigd om in uitzonderlijke gevallen en bij grove en herhaaldelijke schendingen op het gebied van illegale content de mogelijkheid te hebben om een app als Telegram als geheel voor een bepaalde periode uit de lucht te halen in Nederland? Kunt u uitgebreid toelichten wat de technische en juridische implicaties hiervan zouden zijn?

Het volledig verbieden of ontoegankelijk maken van een app is zeer ingrijpend. In het geval van Telegram zou hieruit een inperking van de vrijheid van meningsuiting volgen. De noodzaak hiervan moet dan in verhouding staan tot de ernst van de overtredingen waarbij de vraag speelt of lichtere middelen niet al voldoende soelaas bieden. De DSA biedt een kader waarin toezicht en sanctionering zijn geregeld en in een opbouw van handhavingsmogelijkheden is voorzien. De verordening laat in een uiterst geval en onder voorwaarden ruimte voor de toezichthouder om de rechter te verzoeken de toegang tot een dienst tijdelijk te beperken10. Doordat Telegram in België haar wettelijke vertegenwoordiger voor de DSA heeft aangewezen is de Belgische onafhankelijk toezichthouder voor de DSA hiertoe exclusief bevoegd.

Vraag 17

Wat vindt u van het feit dat Telegram in Duitsland een boete heeft gekregen van ruim vijf miljoen euro, omdat Telegram geen aanspreekpunt in Duitsland heeft waar mensen schadelijke en criminele content kunnen melden?

Het Bundesamt für Justiz (BfJ) heeft in 2022 haar bevoegdheden als autoriteit onder de NetzDG, de Duitse netwerkhandhavingswet, gebruikt om twee boetes van in totaal € 5,125 mln aan Telegram op te leggen. De NetzDG maakt plaats voor de DSA. De DSA is namelijk maximumharmonisatie voor wat betreft de verplichtingen voor tussenhandeldiensten door de EU, waardoor dergelijke nationale wetgeving niet langer is toegestaan. De actie van het BfJ laat zien dat partijen als Telegram zich niet kunnen onttrekken aan verplichtingen die hen zijn opgelegd. Dit maakt mij hoopvol over de toepassing van de DSA die in meerdere opzichten gelijkenissen kent met de NetzDG.

Vraag 18

Op welke manier reageren andere Europese landen op Telegram wanneer schadelijke content niet verwijderd wordt en geen opvolging wordt gegeven aan vorderingen van politie en justitie?

Het kabinet is niet op de hoogte van de praktijk in de verschillende lidstaten.

Vraag 19

Verwacht u, gezien de trackrecord van Telegram, dat de invoering van de Digital Services Act (DSA) zal leiden tot verbetering van het gedrag van Telegram?

Het laat zich moeilijk voorspellen hoe het handelen van een partij als Telegram zich gaat ontwikkelen met de inwerkingtreding van de DSA. Tegelijkertijd is Telegram een voorbeeld dat de noodzaak voor regulering aantoont. De DSA en de eerdergenoemde wetgevingsinstrumenten in mijn antwoord op vraag 5 versterken de mogelijkheden om op te kunnen treden. Uit de praktijk zal moeten blijken welke resultaten dit oplevert. In dit kader is relevant dat de positie van Telegram onder de DSA nog niet geheel duidelijk is. Het is waarschijnlijk dat de openbare chatgroepen op Telegram voldoen aan de definitie van online platform onder de DSA, terwijl besloten (groeps)gesprekken er buiten vallen, maar de praktijk moet dit uitwijzen. Ondertussen staat wel vast dat de DSA voor meer transparantie en dus verbetering van het gedrag door Telegram zou moeten leiden. Zie het ook het antwoord op vraag 7.

Vraag 20

Verwacht u dat de huidige sancties onder de DSA hard genoeg zijn om online platformen zoals Telegram te dwingen verantwoordelijkheid te nemen over de activiteiten op hun platform?

Zie antwoord vraag 19.

Vraag 21

Bent u bereid om de Kamer een brief te sturen waarin u uitgebreid toelicht aan welke bepalingen die volgen uit de DSA Telegram zich op dit moment volgens u niet houdt of waar er een risico zit?

Zoals aangegeven moet de positie van Telegram onder de DSA zich nog uitkristalliseren. Bovendien is de DSA gestoeld op het land-van-oorsprongsbeginsel voor het bepalen van bevoegdheid. Het is aan de onafhankelijke toezichthouder die is aangewezen in België, de lidstaat waar Telegram een wettelijk vertegenwoordiger heeft aangewezen, om een oordeel te vormen over de naleving van bepalingen uit de DSA door tussenhandeldiensten die onder haar bevoegdheid vallen. Het is niet aan mij om verder te oordelen of de DSA op (onderdelen van) Telegram van toepassing is, of welke onderdelen van de DSA mogelijk worden overtreden. Dat is aan de onafhankelijk toezichthouder en uiteindelijk aan de rechter en het Hof van Justitie.

Vraag 22

Wanneer verwacht u de uitvoeringswet van de DSA naar de Kamer te sturen?

De Minister van Economische Zaken en Klimaat werkt al geruime tijd aan het ontwerpwetsvoorstel voor de Uitvoeringswet Digitaledienstenverordening. Op 7 februari jl. heeft de Raad van State advies uitgebracht over het ontwerpwetsvoorstel. Dat wordt momenteel verwerkt. De Minister van Economische Zaken en Klimaat streeft ernaar het ontwerpwetsvoorstel daarna zo spoedig mogelijk bij de Kamer in te dienen en zal Uw Kamer daar apart over informeren.

Vraag 1

Klopt het dat in de door de informateurs gedeelde hoofdfiche Digitalisering1 een verwijzing wordt gemaakt naar in totaal 27 Fiches die betrekking hebben op Digitale Zaken?

Vraag 2

Zijn er bij u meer Fiches bekend die betrekking hebben op Digitale Zaken?

Vraag 3

Kunt u alle onderliggende Fiches, waar naar verwezen wordt in de hoofdfiche Digitalisering en die anderzijds bekend bij u zijn, zo spoedig mogelijk openbaar maken en delen met de Tweede Kamer?

Vraag 1

Wat is de status van dit document? Is het daadwerkelijk ondertekend op 28 maart 2024 door de partijen? Wat zal er ter besluitvorming aan de kamer worden voorgelegd?

Vraag 2

Kunt u toelichten wat de rol is van Stichting Brainport als vertegenwoordiger van de samenwerkende partijen? In hoeverre heeft Stichting Brainport de mogelijkheid om partijen in de regio te houden aan de afspraken?

Vraag 3

Waarom is ervoor gekozen om een vertegenwoordiging van het bedrijfsleven of grote bedrijven als ASML, NXP en Philips niet afzonderlijk te laten mee tekenen?

Vraag 4

Waar bestond het oorspronkelijke pakket van 1,7 miljard euro uit? Kunt u de bedragen onderverdelen in talentontwikkeling, woningen en mobiliteit?

Vraag 5

Hoe zal de structurele bijdrage van 80,5 miljoen euro aan talentontwikkeling worden gedekt?

Vraag 6

Is al bekend wat de bijdrage zal zijn van private partijen in de genoemde bedragen? Kunt u deze bijdrage uitsplitsen naar talentontwikkeling, woningbouw, mobiliteit en netcongestie?

Vraag 7

Is hierbij uitgegaan van de verdeling van 1/3 van 1/3, zoals dat bij het voorgaande pakket de afspraak was? Waarom wel, of waarom niet?

Vraag 8

Deelt de u de mening dat, gezien de winstgevendheid van de chipsector en gezien precedentwerking voor eventueel toekomstige overeenkomsten, een significante bijdrage van de sector zelf een vereiste is?

Vraag 9

Kunt u de tekst «het zwaartepunt ligt in de regio» met betrekking tot talentontwikkeling nader toelichten? Wat zou de juiste verdeling zijn tussen de Brainport regio en andere regio’s (Twente, Delft, Groningen)?

Vraag 10

Overwegende dat reistijden binnen Nederland relatief klein zijn en talent zich makkelijk verspreid over Nederland, deelt u de mening dat wat betreft talentontwikkeling het zwaartepunt niet noodzakelijkerwijs op de Brainport regio zou hoeven te liggen? Wat is de reden om dit wel te doen?

Vraag 11

Is het mogelijk om concrete en bindende afspraken te maken over de stay-rate van buitenlandse studenten? En indien ja, hoe kan dat het beste?

Vraag 12

In de media is verschillende keren een inschatting gemaakt van de extra basis- en middelbare scholen die nodig zijn in de regio. Is daar ook extra investeringsgeld voor opgenomen in deze afspraken?

Vraag 13

Is er tijdens de gesprekken ook gesproken over zorg en culturele voorzieningen? Hoe wordt voorzien in de benodigde groei op deze punten?

Vraag 14

Wat wordt onder mobiliteit bedoeld met «afspraken maken over risicoverdeling en omgang met risico’s»? Tussen welke partijen wordt er risico verdeeld en om welke risico gaat het?

Vraag 15

Heeft u een beeld hoe de benodigde stikstofdeskundigheid die nodig is voor de infrastructuurprojecten kan worden vrijgemaakt?

Vraag 16

Kunt u meer inzicht geven in de bestemming van de 425 miljoen euro voor woningbouw? Gaat het hier over garanties, financieringen van onrendabele top of bouwdepots zelf? Hoeveel van deze investering verwachten we terug bij verkoop van de woningen?

Vraag 17

Welk deel van de grond voor deze woning is in eigendom van de gemeente? Welk deel is daarnaast al beschikbaar en bestemd en welk deel moet nog worden gevonden?

Vraag 18

Welk deel van de woningen zullen sociale huur zijn? Welk deel betaalbare huur?

Vraag 19

Hoe verhoudt het woonfonds van private partijen in de regio waaronder ASML zich tot de investering?

Vraag 20

Wat zal het effect zijn van de groei van het eco-systeem op de woningtekorten in andere regio’s, zoals Twente, waar veel toeleveranciers gevestigd zijn die mee moeten groeien?

Vraag 21

Zijn er afspraken gemaakt over een energie hub op het terrein van ASML? Is de Minister het Minister het met NSC eens dat dit een goede investering zou zijn die ASML zelf kan bijdragen?

Vraag 22

Deelt u de mening dat elektriciteitsaansluitingen van (nieuw te bouwen) huizen en publieke voorzieningen in de regio niet in gevaar moeten komen door prioriteitstelling via de MIEK? kunt u garanderen dat in dergelijke afspraken deze doelen voorrang hebben boven groei van het bedrijfsleven?

Vraag 23

Kunt u meer kwantitatieve duidelijkheid geven over de afspraken die zijn gemaakt over de middelen uit het klimaatfonds?

Vraag 24

Kunt u deze vragen beantwoorden minimaal een week voor het door lid Sneller aangevraagde plenaire debat over het vestigingsklimaat van Nederland?

Vraag 1

Bent u ervan op de hoogte dat Atos al jarenlang financiële problemen ervaart? Heeft u deze berichten meegenomen in de risicoanalyses in de derde voortgangsrapportage Grensverleggende IT (GrIT)?1

Defensie monitort de ontwikkelingen bij Atos nauwlettend, dit gebeurt onder de coördinatie van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Samen met de hoofdaannemer van het consortium Athena, Kyndryl, worden maatregelen voorbereid voor het geval Atos wegvalt. In de derde voortgangsrapportage bent u aan de hand van de op dat moment actuele informatie geïnformeerd over de situatie rondom Atos. In de vertrouwelijke bijlage van de vierde voortgangsrapportage (Kamerstuk 35 728, nr. 14) heb ik u op basis van de op dat moment beschikbare informatie geïnformeerd over de situatie rondom Atos.

Vraag 2

De, nu openbaar bekende, grote financiële problemen (waar ook naar is gevraagd tijdens de technische briefing GrIT op 7 maart jl.) betekent voor Atos dat ze moeten overleggen met banken over hoe om te gaan met een miljardenschuld; kunt u aangeven in hoeverre dit invloed heeft op het project GrIT?

Atos is een onderaannemer van het consortium. Kyndryl is de hoofdaannemer en daarmee verantwoordelijk voor de continuïteit van de dienstverlening van het consortium. Defensie bereidt samen met Kyndryl maatregelen voor om adequaat te kunnen reageren op de ontwikkelingen bij Atos. Deze voorbereidingen zijn in een vergevorderd stadium. Doordat deze voorbereidingen tijdig worden getroffen is het op dit moment niet nodig om de doelen van het programma GrIT te wijzigen.
Vanwege de commerciële vertrouwelijkheid kan ik op dit moment niet verder ingaan op de situatie rondom Atos of de maatregelen die worden voorbereid.

Vraag 3

Kunt u de mogelijke risico's meenemen in de vierde voortgangsrapportage GrIT?

De situatie rondom Atos en de risico’s voor het programma zijn behandeld in de vierde voortgangsrapportage dan wel de vertrouwelijke bijlage. De situatie rondom Atos wordt nauwgezet gevolgd door Defensie zodat er tijdig kan worden ingespeeld op relevante ontwikkelingen. In de komende voortgangsrapportages zal aandacht blijven voor de samenwerking met het consortium in het algemeen en de situatie rondom Atos in het bijzonder.

Vraag 4

In hoeverre beïnvloeden de financiële problemen bij Atos de kerndoelen van het GrIT-project en zijn er risico's groter geworden waardoor doelverschuiving noodzakelijk is?

Zie antwoord vraag 2.

Vraag 5

Wat zijn de mogelijke richtingen waarin het project GrIT zou moeten gaan om in deze gewijzigde situatie succesvol afgerond te kunnen worden?

Met de herijking van het programma worden maatregelen genomen zodat er snel resultaten behaald kunnen worden (Kamerstuk 35 728, nr. 13). Daarnaast bereidt Defensie, samen met de hoofdaannemer Kyndryl, maatregelen voor om adequaat te reageren op de situatie rondom Atos.

Vraag 6

Kunt u de vragen beantwoorden voorafgaand aan het publiceren van de vierde voortgangsrapportage GrIT?

In het kader van de zorgvuldige beantwoording van de gestelde vragen heb ik deze niet beantwoord voor het publiceren van de vierde voortgangsrapportage GrIT op 2 april.

Vraag 1

Bent u bekend met het bericht «Seven Hackers Associated with Chinese Government Charged with Computer Intrusions Targeting Perceived Critics of China and U.S. Businesses and Politicians»?1

Ja.

Vraag 2

Wat is uw reactie op de aantijgingen van de Verenigde Staten (VS) en het Verenigd Koninkrijk (VK) tegen deze zeven hackers, die volgens hen in opdracht van de Chinese Staat cyberaanvallen uitvoerden tegen journalisten, politici, activisten en bedrijven?

De verklaringen van de VS en het VK passen in het algemene beeld van de cyberdreiging die uitgaat van China, dat al langer wordt geschetst door de AIVD, de MIVD en de NCTV.2 Na publicatie van de Britse verklaring op 28 februari jl. heeft Nederland, zowel nationaal als via de Europese Unie (EU), solidariteit uitgesproken met het VK. De verklaringen van de VS en het VK onderstrepen de noodzaak om de groeiende cyberdreiging, samen met de EU, VS, VK en andere partners, strategischer en proactiever tegen te gaan, zoals ook beschreven in de Internationale Cyberstrategie 2023–2028.3

Vraag 3

Deelt u de grote zorgen over de gevolgen van mogelijke Chinese cyberaanvallen?

Wij delen de zorgen over de gevolgen van Chinese cyberaanvallen. Die zorgen zijn overgebracht door de Minister-President en de Minister voor Buitenlandse Handel en Ontwikkelingssamenwerking aan de Chinese autoriteiten tijdens hun gezamenlijke bezoek aan Beijing op 26 en 27 maart jl. Daarbij is specifiek verwezen naar de recente attributie door het kabinet van een Chinese cyberaanval op het Ministerie van Defensie.

Vraag 4

Is de hackgroep Advanced Persistent Threat Group 31 (APT31) bekend bij de Nederlandse inlichtingen-en veiligheidsdiensten? Wat kunt u delen over de werkwijze van deze groep en de dreiging daarvan voor Nederland?

Er wordt in het openbaar niet ingegaan op de werkwijze en het kennisniveau van de inlichtingen- en veiligheidsdiensten.
Zoals vermeld in het Cyber Security Beeld Nederland 2022, heeft de Chinese digitale spionage actor APT31 op grote schaal en langdurig politieke doelwitten in Europa en Noord-Amerika aangevallen. Ook in Nederland waren er doelwitten van aanvallen en verkenningsactiviteiten door deze actor.4 De interesse vanuit statelijke actoren in deze doelwitten illustreert het belang van goede beveiligingsmaatregelen en netwerkdetectiemogelijkheden voor Nederlandse overheidsnetwerken om aanvallen te detecteren, af te slaan en nader onderzoek te verrichten.

Vraag 5

Kunt u bevestigen dat deze groep wordt aangestuurd door het Chinese Ministerie van Staatsveiligheid?

Zie antwoord vraag 4.

Vraag 6

Kunt u bevestigen dat deze groep gerichte aanvallen uitvoert op journalisten, politici (o.a. van de Inter-Parliamentary Alliance on China), activisten en bedrijven? Zo ja, hoe lang gebeurt dat al?

Zie antwoord vraag 4.

Vraag 7

Klopt het voor zover bij u bekend dat APT31 zich ook richtte op Nederlandse Kamerleden? Zo ja, sinds wanneer en welke zijn dit?

Zie antwoord vraag 4.

Vraag 8

In hoeverre kan er via deze hackaanvallen staatsgeheime informatie zijn verkregen? Kunt u daarbij specifiek ingaan op informatie die eventueel van/via Nederlandse politici is verkregen?

Zie antwoord vraag 4.

Vraag 9

Bent u tevens bekend met het bericht «New Zealand accuses China of hacking parliament, condemns activity»?2

Ja.

Vraag 10

Is de hackgroep ATP40 bekend bij de Nederlandse inlichtingen- en veiligheidsdiensten? Wat kunt u delen over de werkwijze van deze groep en de gevolgen daarvan?

Zie beantwoording vraag 4 t/m 8.

Vraag 1

Vindt u het acceptabel dat Nederland achterloopt met het implementeren van de Uitvoeringswet digitaledienstenverordening, gezien de noodzaak voor het reguleren van verslavende en polariserende online diensten?

Uiteraard is het spijtig dat het wetsvoorstel voor de Uitvoeringswet digitaledienstenverordening op 17 februari jl. nog niet tot wet verheven en in werking getreden was. Er wordt al sinds de totstandkoming van de digitaledienstenverordening (in het Engels: de Digital Services Act, hierna «DSA») aan het ontwerpwetsvoorstel voor de uitvoeringswet gewerkt. De DSA heeft een complex karakter en een breed toepassingsbereik en heeft gevolgen voor bestaande wetgeving, onder meer het Burgerlijk Wetboek, het Wetboek van Strafvordering en de Algemene wet bestuursrecht. Het zorgvuldig opstellen van het wetsvoorstel en bijbehorende memorie van toelichting in afstemming met alle betrokken partijen en het doorlopen van alle stappen van het wetgevingsproces, waaronder verplichte raadplegingen en toetsen1, hebben ervoor gezorgd dat het niet mogelijk was om de uitvoeringswetgeving binnen de termijn die de DSA voorschrijft (15 maanden) tot stand te doen komen.
In dit verband zij opgemerkt dat een uitvoeringstermijn van 15 maanden erg kort is als de uitvoering op het niveau van een formele wet dient plaats te vinden, zoals bij de DSA het geval is. Niet voor niets heeft de Nederlandse regering tijdens de onderhandelingen gepleit voor een langere uitvoeringstermijn van ten minste 18, maar liever 24 maanden. Ook in 10 andere lidstaten is tijdige uitvoering niet gelukt (zie verder antwoord op vraag 12).
Dat neemt niet weg dat we uiteraard de urgentie voelen om de bevoegde autoriteiten in Nederland aan te wijzen en van de benodigde bevoegdheden te voorzien. Om die reden heeft de Minister van Economische Zaken en Klimaat op 11 februari jl., vooruitlopend op de verdere totstandkoming en inwerkingtreding van de Uitvoeringswet digitaledienstenverordening een ministerieel aanwijzingsbesluit genomen waarin de Autoriteit Consument & Markt («ACM») voorlopig wordt aangewezen als bevoegde autoriteit en digitaledienstencoördinator.2 Dit besluit stelt de ACM in staat om een aantal handelingen ter uitvoering van de DSA alvast te verrichten. Inmiddels is het advies van de Afdeling advisering van de Raad van State van 7 februari jl. verwerkt. Het ontwerpvoorstel voor de uitvoeringswet is gereed en wordt op korte termijn voorgelegd aan de ministerraad. Naar verwachting wordt het wetsvoorstel daardoor binnenkort bij uw Kamer ingediend.
We hechten er verder aan te benadrukken dat het niet zo is dat online (tussenhandel)diensten op dit moment niet gereguleerd zijn. De DSA is sinds 17 februari jl. volledig van toepassing. Tussenhandeldiensten moeten dus aan de daarin neergelegde regels voldoen en gebruikers kunnen hun rechten onder de DSA inroepen. Bovendien moeten aangewezen «zeer grote online platforms» en «zeer grote online zoekmachines» al sinds 25 augustus 2023 volledig aan de regels uit de DSA voldoen. Laatstgenoemde diensten vallen primair onder het toezicht van de Europese Commissie, die deze taak serieus neemt en voortvarend oppakt.3

Vraag 2

Ziet u met oog op de aankomende Europese verkiezingen de noodzaak voor het snel implementeren van de Uitvoeringswet om desinformatie zo goed mogelijk te kunnen bestrijden en de toegang tot betrouwbare informatie juist te versterken?

We zien sowieso de noodzaak om zo snel mogelijk goed en volledig uitvoering te geven aan de DSA. Het streven en de verwachting is dat het voorstel voor de uitvoeringswet op korte termijn kan worden aangeboden aan uw Kamer.
Voor wat betreft de bestrijding van desinformatie in relatie tot het Europese verkiezingsproces wordt opgemerkt dat de aanpak hiervan valt onder de DSA-regels gericht op het identificeren en beperken van systeemrisico’s door zogenaamde «zeer grote online platforms» en «zeer grote online zoekmachines», waarvan er thans 22 zijn aangewezen.4 Desinformatie kan zo’n systeemrisico vormen. Deze verplichtingen gelden uitsluitend voor de aangewezen zeer grote online platforms- en zoekmachines. Op grond van artikel 56, tweede lid, van de DSA houdt de Europese Commissie exclusief toezicht op de naleving van deze regels. Dat doet zij al sinds 25 augustus 2023. De lidstaten – en dus de op nationaal niveau aangewezen/aan te wijzen bevoegde autoriteiten – hebben geen bevoegdheid tot toezicht en handhaving ten aanzien van deze verplichtingen. Dat de nationale uitvoeringswet nog niet in werking is getreden heeft daarop geen invloed.
Waar het gaat om maatregelen voor het tegengaan van desinformatie en de toegang tot betrouwbare informatie zullen bij de Europese verkiezingen dezelfde maatregelen worden genomen als bij de Tweede Kamerverkiezingen van afgelopen november. Zie hierover de brief van de Minister van BZK over de weerbaarheid van het verkiezingsproces5.

Vraag 3

Heeft u zonder deze Uitvoeringswet voldoende gereedschap om online platforms te dwingen tot actie als er willens en wetens desinformatie en nepnieuws wordt gedeeld op hun kanalen? Welke bevoegdheden vanuit de digitaledienstenverordening zouden u hierbij helpen?

Zoals toegelicht in het antwoord op vraag 2, valt de aanpak van desinformatie (zoals nepnieuws) onder het bereik van de regels gericht op het voorkomen van systeemrisico’s door zeer grote online platforms en zeer grote online zoekmachines (artikelen 34 en 35 van de DSA). De Europese Commissie is exclusief bevoegd voor het toezicht op en de handhaving van de verplichtingen die uitsluitend gelden ten aanzien van aanbieders van zeer grote online platforms en zeer grote online zoekmachines, waaronder de verplichtingen ten aanzien van systeemrisico’s.
De eerste 19 aangewezen zeer grote online platforms – zoals Facebook, Instagram, TikTok, X en YouTube – moeten sinds 25 augustus 2023 al aan de DSA voldoen. Sindsdien kan het strijd met de verordening opleveren als zij niet-optreden tegen desinformatie die een systeemrisico vormt. De Commissie kan daarop handhaven. Daar is de Nederlandse uitvoeringswet niet voor nodig.

Vraag 4

Bent u het met de indieners eens dat het een zwaktebod is dat het Nederland niet is gelukt om de digitaledienstenverordening op tijd als nationale wet in te voeren, ondanks de regelmaat waarmee het kabinet verwijst naar deze verordening als voorbeeld van effectieve en noodzakelijke regulering van online diensten?

Het is spijtig dat de uitvoeringswet op 17 februari jl. nog niet tot wet verheven en in werking getreden was en de toezichthouders nog niet bevoegd zijn om toezicht te houden en te handhaven. Zoals toegelicht in het antwoord op vraag 1, was de uitvoeringstermijn echter te kort voor een zorgvuldig wetgevingsproces.
Dat de uitvoeringswet er nog niet is, betekent overigens niet dat online tussenhandeldiensten nu niet gereguleerd zijn. Vanaf 17 februari jl. moeten online diensten die onder de DSA vallen volledig aan de verplichtingen uit de verordening voldoen. De ACM en de Autoriteit persoonsgegevens (AP) kunnen, zodra de Uitvoeringswet er is, zo nodig met terugwerkende kracht optreden tegen aanbieders van tussenhandeldiensten die in Nederland gevestigd zijn of hier hun wettelijke vertegenwoordiger hebben aangewezen.
Ook wordt er opgemerkt dat een goede uitvoering van een verordening zoals de DSA meer behelst dan enkel het tot stand brengen van de uitvoeringswet. Zo wordt er sinds de adoptie van de DSA met onder meer de ACM en AP als beoogd toezichthouders samengewerkt, bijvoorbeeld om informatie over de DSA onder de aandacht te brengen van de bedrijven die er straks aan moeten voldoen en van de gebruikers en belanghebbenden die door de DSA nieuwe rechten krijgen. De ACM is bijvoorbeeld in contact gebracht met partijen die geïnteresseerd zijn in het verwerven van de status van «trusted flagger» of «erkend onderzoeker». Verder heeft de Minister van Economische Zaken en Klimaat in 2023 reeds middelen voor beide toezichthouders beschikbaar gesteld zodat zij zich kunnen voorbereiden op het moment dat de DSA volledig van toepassing wordt en zij toezicht kunnen gaan houden. Ook voor 2024 en verder zijn er inmiddels (structurele) middelen beschikbaar gesteld aan de toezichthouders. Verder heeft de Minister van Economische Zaken en Klimaat, vooruitlopend op de uitvoeringswet, het Besluit voorlopige aanwijzing ACM als bevoegde autoriteit en digitaledienstencoördinator digitaledienstenverordening genomen (zie het antwoord op vraag 1).

Vraag 5

Deelt u de mening dat het herhaaldelijk missen van deadlines voor de invoering van digitale wetgeving de rol van Nederland als koploper binnen Europa verzwakt?

Uiteraard streeft het kabinet ernaar om uitvoeringstermijnen te halen. In de praktijk blijken de termijnen die hiervoor worden gegeven in Europese regelgeving echter vaak te krap om nationaal de vereiste formele wet tot stand te brengen.
De uitvoering van wetgeving behelst, zoals in het antwoord op vraag 4 toegelicht, meer dan enkel het zorgvuldig tot stand brengen van uitvoeringswetgeving. Daar is veel op bereikt. Daarom denken we dat de beperkte vertraging die Nederland in dit geval oploopt geen substantieel negatief effect heeft op het vertrouwen in Nederland als onderdeel van de kopgroep in digitalisering.

Vraag 6

Kunt u toelichten wat de gevolgen zijn van het niet tijdig invoeren van de wet? Kunt u ook uitleggen waarom het niet is gelukt om de Uitvoeringswet vóór de formele inwerkstelling op 17 februari 2024 nationaal in te voeren?

Dat de Uitvoeringswet nog niet tot wet verheven is, betekent dat de ACM en de AP als beoogd toezichthouders op dit moment nog geen toezichtsbevoegdheden kunnen inzetten of handhavend kunnen optreden tegen overtredingen van de DSA door diensten die onder hun bevoegdheid vallen. De redenen voor het niet tijdig invoeren van de wet zijn beschreven in de antwoorden op vragen 1, 4, en 5. Zoals toegelicht bij het antwoord op vraag 9, kan de ACM op basis van het aanwijzingsbesluit bepaalde onderdelen van de verordening wel al uitvoeren.

Vraag 7

Wanneer verwacht u dat de invoeringswet wél is geïmplementeerd? Welke deadlines volgen er nog voor het invoeren van de digitaledienstenverordening en wat zijn de gevolgen als we deze missen?

Op 7 februari jl. heeft de Raad van State advies uitgebracht over het ontwerpwetsvoorstel. Dat advies is inmiddels verwerkt en het wetsvoorstel zal na akkoord van de ministerraad bij uw Kamer worden ingediend. Naar verwachting wordt het wetsvoorstel medio/eind maart 2024 aan uw Kamer aangeboden. De uiteindelijke datum van inwerkingtreding is afhankelijk van de behandeling door uw Kamer en de Eerste Kamer.
Er volgen verder geen deadlines meer. De DSA is sinds 17 februari jl. volledig van toepassing.

Vraag 8

Bent u gezien het verstrijken van de deadline in staat om het zeer recente advies van de Raad van State (14 februari 2024) op fatsoenlijke manier te verwerken en tevens genoeg tijd aan de Kamer te laten om de wet goed te controleren en zo nodig te amenderen?1

Ja. Het advies van de Raad van State is inmiddels verwerkt en het wetsvoorstel wordt op korte termijn bij uw Kamer ingediend. Het is daarna vanzelfsprekend aan uw Kamer, in haar rol als medewetgever, om te bepalen op welke wijze zij het wetsvoorstel wenst te behandelen. In dit verband hechten we er aan om op te merken dat het wetsvoorstel zich beperkt tot datgene wat noodzakelijk is voor de uitvoering van de DSA in Nederland. Daarbij gaat het om de aanwijzing van bevoegde autoriteiten en de digitaledienstencoördinator, het stellen van regels met betrekking tot hun bevoegdheden en samenwerking en de benodigde wijzigingen van andere wetten. Het wetsvoorstel zelf bevat geen nadere regels waar aanbieders van tussenhandeldiensten zich aan moeten houden. Dat zou ook niet mogelijk zijn omdat de DSA een verordening is, die rechtstreeks werkt en voorziet in maximumharmonisatie.

Vraag 9

Welke bevoegdheid heeft de Autoriteit Consument en Markt (ACM) precies om toezicht te houden op de digitaledienstenverordening, nu hun taak niet wettelijk is vastgelegd en zij slechts «beoogd toezichthouder» is?

Bij het Besluit voorlopige aanwijzing ACM als bevoegde autoriteit en digitaledienstencoördinator digitaledienstenverordening is de ACM, vooruitlopend op de verdere totstandkoming van voornoemde uitvoeringswet, aangewezen als bevoegde autoriteit en als digitaledienstencoördinator. De aanwijzing stelt de ACM in staat bepaalde onderdelen van de verordening die het karakter hebben van uitvoeringshandelingen alvast uit te voeren. Een voorbeeld is het ontvangen van contactgegevens van in Nederland gevestigde wettelijke vertegenwoordigers van buiten de Unie gevestigde aanbieders van tussenhandeldiensten (artikel 13, vierde lid, DSA). De ACM zal door de aanwijzing tevens fungeren als aanspreekpunt voor de digitaledienstencoördinatoren van andere lidstaten en de Europese Commissie in het kader van de wederzijdse bijstand (artikel 57 DSA) en in die hoedanigheid informatie kunnen uitwisselen die nodig is voor een goede uitvoering van de verordening. Daarnaast zal de ACM deel uitmaken van de digitaledienstenraad – de onafhankelijke adviesgroep van digitaledienstencoördinatoren – en kunnen deelnemen aan de besluitvorming daarin.
De ACM kan op basis van het besluit nog geen uitvoeringstaken uitvoeren die de uitoefening van openbaar gezag behelzen. Dit betekent dat de ACM nog geen toezichtsbevoegdheden kan inzetten of handhavend op kan treden. Ook is zij nog niet bevoegd om besluiten met rechtsgevolgen te nemen, zoals het certificeren van buitengerechtelijke geschilbeslechtingsorganen of het toekennen van de status van «betrouwbare flagger» of «erkende onderzoeker». Die taken kan de ACM pas uitvoeren op het moment dat de uitvoeringswet in werking is getreden.
Zoals toegelicht in het antwoord op vraag 4, beschikt de ACM wel al over financiële middelen waarmee zij al volop voorbereidingen treft om bovenstaande taken wel uit te kunnen voeren als de uitvoeringswet eenmaal tot wet verheven is. Zo heeft de ACM onder meer een meldingenloket ingericht en een leidraad opgesteld over de DSA.7
De reden dat tot dusver steeds is gesproken over «beoogd» toezichthouders, heeft te maken met het feit dat het ontwerpwetsvoorstel nog niet is aangenomen door de Tweede en Eerste Kamer. Pas als dat het geval is, is hun aanwijzing definitief.

Vraag 10

Is de ACM in staat om te handelen volgens haar conceptleidraad zonder implementatie van de Uitvoeringswet?2 Zijn de verplichtingen in deze leidraad afdwingbaar als online platforms deze niet naleven?

De verplichtingen vloeien rechtstreeks voort uit de verordening en tussenhandeldiensten moeten daar sinds 17 februari jl. volledig aan voldoen. Gebruikers kunnen de rechten die zij op grond van de DSA hebben jegens online diensten inroepen. De DSA is dus wel degelijk afdwingbaar. Zoals toegelicht in het antwoord op vraag 9, kan de ACM op dit moment echter nog niet handhavend optreden. De leidraad gaat in op de zorgvuldigheidsverplichtingen voor tussenhandeldiensten die zijn neergelegd in de DSA en hoe de ACM die interpreteert. Zij vormt een hulpbron voor tussenhandeldiensten die uitvoering moeten geven aan de verplichtingen uit de DSA.

Vraag 11

Hoe vaak heeft u contact met de ACM om vast te leggen wat precies haar bevoegdheden zijn? Is de Uitvoeringswet hiervoor noodzakelijk?

De ACM is intensief betrokken bij de totstandkoming van het ontwerpwetsvoorstel. Ook heeft zij een Uitvoerbaarheids- en handhaafbaarheidstoets verricht op het ontwerpwetsvoorstel.
De uitvoeringswet is noodzakelijk om de ACM als beoogd toezichthouder te voorzien van de bevoegdheden die zij op grond van (artikel 50 van) de DSA moet hebben.

Vraag 12

Zijn er andere landen die de wet niet tijdig hebben ingevoerd? Welke landen zijn dit?

Ja. De Europese Commissie houdt een website bij met daarop een overzicht van de aangewezen digitaledienstencoördinatoren.9 Uit dit overzicht blijkt dat België, Estland, Frankrijk, Duitsland, Griekenland, Letland, Litouwen, Malta, Polen, Slowakije, überhaupt nog geen digitaledienstencoördinator hebben aangewezen. Een aantal landen heeft, net als Nederland, (voorlopig) een digitaledienstencoördinator aangewezen, vooruitlopend op uitvoeringswetgeving die nog niet is aangenomen. Voor hoeveel landen dit geldt is niet bekend.

Vraag 13

Kunt u een overzicht geven van de wetten die betrekking hebben op digitale zaken, die momenteel niet zijn ingevoerd ondanks de verstreken deadline? Wat zijn de financiële gevolgen geweest voor het missen van de deadlines?

Verordening
Deadline1
Stand van zaken
Gevolgen2
Platform to Business Verordening (P2B) – 2019/1150/EU
Geen, verordening is sinds juli 2020 van toepassing.
Wetsvoorstel om ACM als toezichthouder aan te wijzen is in december 2022 aangeboden aan uw Kamer.3
De verordening verplicht lidstaten om te voorzien in een adequate en doeltreffende handhaving van de verordening, maar schrijft niet voor hoe dat vormgegeven moet worden. Sinds de inwerkingtreding vindt in Nederland privaatrechtelijke handhaving van de P2B door de rechter plaats. Nadien is ervoor gekozen om ook de ACM te belasten met de handhaving van de P2B-verordening. Hiertoe is een wetsvoorstel bij uw Kamer ingediend. De ACM heeft zich al voorbereid op haar toekomstige taak, onder andere door het opstellen van een leidraad waarmee zij de regels uit de verordening verder verduidelijkt. Zolang het wetsvoorstel niet is aangenomen en in werking treedt, kan de ACM niet handhavend optreden. De Europese Commissie is van oordeel dat Nederland had moeten voorzien in specifieke nationale uitvoeringsbepalingen ter handhaving van de verordening en heeft Nederland daarom in gebreke gesteld. Het wetsvoorstel neemt de bezwaren van de Commissie weg.
Data Governance Verordening (DGA) – 2022/868/EU
24 september 2023
Het voorstel uitvoeringswet DGA is in oktober 2023 aangeboden aan uw Kamer.4 De nota n.a.v. het verslag wordt op korte termijn aan uw Kamer verstuurd.
Als onderdeel van de DGA geldt een registratieverplichting voor databemiddelingsdiensten, data-altruïstische organisaties kunnen zich vrijwillig registreren. Daarnaast kunnen zij een EU-label aanvragen om het vertrouwen in hun dienst te vergroten. Zo wordt voor iedereen zichtbaar welke partijen betrouwbaar met data omgaan. Een registratie of een EU-label aanvraag is pas mogelijk vanaf het moment dat de ACM met de inwerkingtreding van de uitvoeringswet formeel wordt aangewezen als toezichthouder. Aanbieders kunnen vanaf nu wel al een pre-notificatie van registratie en EU-label indienen bij de ACM. Dit zorgt ervoor dat het registratieproces efficiënt doorlopen kan worden zodra de ACM formeel is aangewezen als toezichthouder. Ook is er nog geen bevoegd orgaan aangewezen om overheidsorganisaties bij te staan in het kader van het tweede hoofdstuk van de verordening. Daarnaast kan de ACM nog niet formeel als toezichthouder deelnemen aan het Europees Comité voor Gegevensinnovatie.
Digitale Markten Verordening (DMA) – 2022/1925/EU
Geen.
Het voorstel uitvoeringswet DMA is in januari 2024 aan uw Kamer aangeboden.5
De Commissie is als enige bevoegd tot handhaving van de DMA. Voor lidstaten is er geen verplichting om nationale toezichthouders aanvullende onderzoeksbevoegdheden te geven, maar de verordening biedt wel die mogelijkheid. In het wetsvoorstel wordt voorgesteld om de ACM deze aanvullende onderzoeksbevoegdheden te geven.
Digitale Diensten Verordening (DSA) – 2022/2065/EU
17 februari 2024
Het voorstel uitvoeringswet wordt binnen enkele weken aangeboden aan uw Kamer.
Zie het antwoord op vraag 6.
Die de verordening stelt voor de uitvoeringswetgeving.
Er zijn vooralsnog geen financiele gevolgen voorzien.
Kamerstuk 36285.
Kamerstuk 36451.
Kamerstuk 36495.

Vraag 14

Hoe gaat u ervoor zorgen dat digitale wetgeving voortaan tijdig en degelijk wordt ingevoerd, zodat de Kamer deze ook grondig kan behandelen en tijd heeft om deze nog te amenderen?

Vanzelfsprekend streeft het kabinet altijd naar tijdige implementatie of uitvoering van Europese (digitale) wetgeving. Dat lukt echter alleen met een realistische implementatie- of uitvoeringstermijn die ruimte laat voor de vereiste nationale afstemming en wetgevingsprocedures van alle lidstaten. Daar maakt het kabinet zich hard voor tijdens het Europese wetgevingsproces en dat zal zij ook in de toekomst blijven doen. Die pogingen zijn soms succesvol en soms niet.
Dat één of meerdere implementatie/uitvoeringswetten op of na de betreffende termijn bij de Kamer worden ingediend, doet overigens niet af aan de rol en bevoegdheden van de Kamer als medewetgever.

Vraag 15

Bent u het met de indieners eens dat het niet op tijd voorleggen van wetgeving de controlerende en medewetgevende taak van de Kamer verslechtert?

Het aan de Kamer voorleggen van wetsvoorstellen na het verstrijken van de uitvoerings- of implementatietermijn neemt naar de mening van het kabinet niet weg dat de Kamer haar controlerende en medewetgevende taak voldoende kan verrichten. Ten overvloede zij opgemerkt dat de Kamer ook tijdens de onderhandelingen over de DSA is geïnformeerd.

Vraag 16

Deelt u de mening dat regulering van het digitale domein noodzakelijk is en we hier in het verleden te veel steken hebben laten vallen?

Regulering van het digitale domein is inderdaad wenselijk en het kabinet heeft zich daarom ook proactief opgesteld bij de totstandkoming van diverse wetgeving in het digitale domein op Europees niveau.

Vraag 17

Kunt u deze vragen zo spoedig mogelijk en apart van elkaar beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht van Stichting Internet Domeinregistratie Nederland (SIDN) dat zij van plan is om in de komende twee jaar haar volledige ICT-omgeving, waarbinnen het.nl-domein beheerd wordt, over te dragen aan Amazon Web Services (AWS)?1

Ja, ik heb hier kennis van genomen.

Vraag 2

Heeft u contact gehad met het SIDN over dit besluit? Zo ja, welk standpunt heeft u richting de organisatie uitgedragen?

Het Ministerie van Economische Zaken en Klimaat (EZK) is door Stichting Internet Domeinregistratie Nederland (SIDN) niet schriftelijk geïnformeerd over of geraadpleegd bij de besluitvorming. Het onderzoek heeft SIDN in het najaar van 2023 kort ter sprake gebracht in een breder overleg tussen SIDN en EZK. SIDN heeft toen aangegeven dat zij toekomstige (cloud)oplossingen voor haar domeinregistratiedienst heeft onderzocht. Op basis van dit onderzoek heeft SIDN een voorkeur voor Amazon Web Services (AWS). SIDN gaf aan dit een lastige keuze te vinden, maar alles overwegende op deze voorkeur uit te komen. Na deze mondelinge toelichting is mijn ministerie niet nader geïnformeerd door SIDN.
Na de plaatsing van het bericht eind januari hebben EZK en SIDN frequent contact gehad, zowel op ambtelijk als politiek niveau. Zo heb ik zelf, samen met de Staatssecretaris Koninkrijksrelaties en Digitalisering, een gesprek gevoerd met de bestuurders van SIDN, waarin ik mijn zorgen geuit heb over dit voorgenomen besluit en het gebrek aan draagvlak onder de stakeholders. Ik heb SIDN daarbij gewezen op het convenant2 tussen SIDN en EZK, waarin mijn ministerie afspraken heeft gemaakt met SIDN over borging van de continuïteit van de dienstverlening, de binding met Nederland en het belang van goede betrokkenheid van de stakeholders van SIDN.
Op basis van de gesprekken met en informatie van SIDN constateer ik dat van een daadwerkelijke verhuizing nog geen sprake is, maar dat SIDN toewerkt naar een situatie waarin deze verhuizing in 2025 mogelijk is. Afgesproken is dat SIDN op dit moment geen onomkeerbare stappen zal zetten. De verhuizing is dus nog geen voldongen feit. Vanuit die context heb ik SIDN gevraagd om haar belanghebbenden uit de internetgemeenschap, waaronder de Rijksoverheid, veel nauwer te betrekken in de overwegingen die achter dit voorgenomen besluit liggen en inzage te geven waarom er naar het oordeel van SIDN binnen Nederland of de EU geen vergelijkbare alternatieven beschikbaar zijn. Dit alles maakt dat ik op dit moment nog geen definitief standpunt kan innemen over de voorgenomen verhuizing. Ik zal in Q2 de Tweede Kamer nader informeren als diverse onderzoeken en nadere gesprekken over deze casus hebben plaatsgevonden.
Voorts heb ik SIDN gewezen op het feit dat de activiteiten van SIDN onder diverse wetten en regels vallen, waaronder de Wet beveiliging netwerk- en informatiesystemen (Wbni) en de Algemene Verordening Gegevensbescherming (AVG). Op basis van de Wbni zal Rijksinspectie Digitale Infrastructuur (RDI) als toezichthouder beoordelen of de verhuizing risico’s oplevert voor de veiligheid, integriteit en continuïteit van het .nl domein, en in hoeverre deze risico’s door SIDN (kunnen) worden gemitigeerd door bestaande of aanvullende maatregelen.
Op grond van de AVG geldt dat SIDN een Data Protection Impact Assessment (DPIA) en Data Transfer Impact Assessment (DTIA) moet laten uitvoeren voorafgaand aan de voorgenomen migratie naar AWS. Hiermee zullen ook alle risico's en mitigerende maatregelen voor de privacy in kaart gebracht moeten worden. De verhuizing kan slechts plaatsvinden nadat deze processen zijn afgerond en SIDN ook op dit gebied voldoet aan haar zorgplicht. SIDN heeft aangegeven dit traject in voorbereiding te hebben.
Daarnaast ben ik met SIDN overeengekomen dat ik met betrokkenheid van de internetgemeenschap, een quickscan zal uitvoeren. Het doel is een beter beeld te krijgen of er geen Nederlands of Europees alternatief beschikbaar is dat kan voldoen aan de eisen van SIDN voor haar domeinregistratiesysteem, en wat het zou vergen om deze lacune te vullen. De quickscan zal daarmee niet exclusief op SIDN gericht zijn, maar we nemen deze casus wel nadrukkelijk mee, juist omdat ik, vanuit de eisen die partijen zoals SIDN stellen, wil weten wat het aanbod in Nederland en de EU is in vergelijking met de Amerikaanse partijen.

Vraag 3

Deelt u de mening dat het.nl-domein een essentieel onderdeel is van de digitale infrastructuur van Nederland?

Ja, de dienstverlening van SIDN vormt een essentieel onderdeel van de digitale infrastructuur van Nederland. Er zijn meerdere instrumenten die gericht zijn op het borgen van de beschikbaarheid en veiligheid van de dienstverlening van SIDN. Ten eerste is SIDN als aanbieder van Domain Name Server (DNS)-diensten en register van topleveldomeinnamen, een aanbieder van een essentiële dienst als bedoeld in de Wbni. Daarom zijn de in die wet opgenomen verplichtingen en het daarin ook geregelde toezicht op de naleving daarvan op SIDN van toepassing. De Wbni strekt in hoofdzaak tot implementatie van de Europese Netwerk- en Informatiebeveiligingsrichtlijn (NIB-richtlijn). De verplichtingen op grond van de Wbni betreffen onder meer het nemen van passende en evenredige technische en organisatorische maatregelen om de risico’s voor de beveiliging van netwerk- en informatiesystemen te beheersen. SIDN heeft op basis van de Wbni een zorgplicht. De RDI toetst als toezichthouder doorlopend op de naleving van de zorgplicht en kan, als dat niet gebeurt, ook handhavend optreden. Uiteraard zal SIDN ook tijdens en na de eventuele verhuizing moeten blijven voldoen aan de Wbni. Ten tweede is SIDN op grond van het nationale vitaalbeleid als aanbieder van DNS-diensten en beheerder van een register van topleveldomeinnamen aangemerkt als vitale aanbieder. Ten derde heeft EZK met SIDN een convenant afgesloten dat de relatie met Nederland waarborgt en voorziet in afspraken over continuïteit.
Overigens heeft SIDN aangegeven niet het voornemen te hebben om het gehele .nl-domein in de cloud te plaatsen, maar alleen het domeinregistratiesysteem. Registratie van een .nl-domein beslaat twee systemen: Het domeinregistratiesysteem en het domeinnaamsysteem.
Het domeinregistratiesysteem is de administratie van wie welke domeinnaam heeft. Dit domeinregistratiesysteem bevat de volgende gegevens: van wie welke domeinnaam is, welke service provider verantwoordelijk is en naar welke name servers verwezen moet worden. De name server zorgt voor de koppeling van de domeinnaam aan de IP-adressen. Het domeinnaamsysteem vertaalt de domeinnamen, die we dagelijks gebruiken, zoals overheid.nl, naar de IP-adressen van de internetdiensten (het telefoonboek van het internet).
SIDN heeft aangegeven dat het domeinnaamsysteem geen onderdeel is van de migratie naar AWS. Eventuele uitval van het domeinregistratiesysteem heeft niet direct gevolgen voor de bereikbaarheid van bestaande .nl domeinnamen en de daaraan verbonden diensten.

Vraag 4

Deelt u de mening dat de verhuizing van het.nl-domein zorgt voor een onwenselijke afhankelijkheid van de Verenigde Staten?

Verhuizing van het domeinregistratiesysteem van SIDN zou een bepaalde afhankelijkheid van AWS creëren. Het kabinet wil zogenaamde risicovolle strategische afhankelijkheden mitigeren. Niet iedere afhankelijkheid is een risico; zo vormen wederzijdse afhankelijkheden de hoeksteen van het mondiale handelssysteem, waardoor specialisatie kan optreden, innovatie wordt gestimuleerd, producten toegankelijk blijven, wetenschappelijke kennis circuleert en onze welvaart en koopkracht toeneemt.3
Voor de specifieke casus van de voorgenomen verhuizing van het domeinregistratiesysteem van SIDN wordt door het kabinet nader bezien in hoeverre de voorgenomen verhuizing risico’s oplevert voor onze digitale open strategische autonomie. SIDN zal vanuit haar zorgplicht moeten documenteren en beoordelen in hoeverre de verhuizing risico’s oplevert voor onze publieke belangen zoals veiligheid van gegevens en de continuïteit van de dienstverlening van SIDN. En zo ja, in hoeverre deze risico’s (kunnen) worden gemitigeerd door bestaande of aanvullende maatregelen en wat dit betekent voor de voorgenomen verhuizing. Toezichthouders waaronder de RDI, zullen toetsen of aan alle wet- en regelgeving is voldaan. Ik vind het daarnaast van belang dat SIDN meeweegt welke Nederlandse (of Europese) alternatieven voorhanden zijn. Zie ook het antwoord op vraag 2.

Vraag 5

Hebben de hostingprovider en de Amerikaanse overheid toegang tot de gegevens in de AWS-cloud? Onder welke voorwaarden hebben zij toegang?

SIDN heeft aangegeven dat de servers die zij voornemens zijn te gebruiken van AWS gevestigd zijn binnen de EU en dat de Europese wet- en regelgeving onverkort van toepassing zal zijn. Daarnaast heeft SIDN gemeld dat de data versleuteld verwerkt, getransporteerd en opgeslagen zal worden. Versleuteling is een voorbeeld van een technische maatregel waar de RDI naar kijkt bij aanbieders van essentiële diensten, in haar rol als toezichthouder. SIDN gaf daarnaast aan dat zowel de hostingprovider als de Amerikaanse overheid geen toegang hebben tot gegevens die in het registratiesysteem worden verwerkt of opgeslagen.
Wel kunnen de data op basis van de US Cloud Act, Amerikaanse wetgeving met extraterritoriale werking, opgeëist worden. Deze wetgeving maakt het onder andere mogelijk dat Amerikaanse federale rechtshandhaving bij uitzondering, na goedkeuring via een huiszoekingsbevel van een Amerikaanse rechter, toegang kunnen eisen tot gegevens indien die zijn opgeslagen of worden verwerkt bij Amerikaanse bedrijven of Europese leveranciers onder Amerikaanse jurisdictie. Er zijn meer landen die dergelijke wetgeving en bijbehorende verplichtingen hebben.
De DPIA, die nog moet worden afgerond, zal de risico's en mitigerende maatregelen in kaart moeten brengen. Dit is een voorwaarde om de verhuizing te laten plaatsvinden. De Autoriteit Persoonsgegevens houdt toezicht op naleving van de AVG, daaronder valt ook het goed uitvoeren van een DPIA. Primair ligt de verantwoordelijkheid bij de organisatie zelf, in deze casus SIDN, om een DPIA en DTIA uit te voeren. AP ziet uiteindelijk er op toe dat de SIDN de DPIA en DTIA goed uitvoert. Als uit deze DPIA en DTIA blijkt dat er hoge restrisico’s zijn, dan moet de SIDN naar de AP gaan voor verdere bespreking over die risico’s.

Vraag 6

Is het voldoende mogelijk om toezicht te houden en zo nodig aanpassingen ten goede van de veiligheid door te voeren als het.nl-domeinbeheer bij een Amerikaans bedrijf ligt?

Zowel de activiteiten van SIDN als die van AWS vallen onder de Europese wetgeving en het daarin geregelde toezicht.
Net als voor elke andere aanbieder van een essentiële dienst geldt vanuit de Wbni voor SIDN de wettelijke verplichting om evenredige technische en organisatorische maatregelen te nemen om de risico’s voor de beveiliging van hun netwerk- en informatiesystemen te beheersen, de zogenaamde zorgplicht. De maatregelen moeten zorgen voor een niveau van beveiliging dat is afgestemd op de risico’s die zich voordoen. Ook moeten aanbieders van essentiële diensten, passende maatregelen nemen om incidenten die de beveiliging van de netwerk- en informatiesystemen aantasten, te voorkomen en gevolgen te beperken teneinde de continuïteit van de dienst te waarborgen.
De RDI houdt toezicht op de naleving van de zorgplicht door SIDN en heeft, zo nodig, verschillende instrumenten tot zijn beschikking om naleving van de zorgplicht af te dwingen, zoals het vorderen van informatie, opleggen van een verplichting tot een beveiligingsaudit en het opleggen van bestuurlijke boetes.
Op basis van de Wbni zijn genoemde verplichtingen én toezicht op de naleving daarvan door de RDI ook van toepassing op digitale dienstverleners, zoals verleners van cloudcomputingdiensten. Zij hebben dus ook een zorgplicht in bovenbedoelde zin met betrekking tot de beveiliging van hun netwerk- en informatiesystemen. Wel is het zo dat de Wbni alleen van toepassing is op digitale dienstverleners die gelet op de NIB-richtlijn onder de jurisdictie van Nederland vallen. Op basis van de NIB-richtlijn wordt een verlener van cloudcomputerdiensten geacht te vallen onder de jurisdictie van de lidstaat waar hij zijn hoofdvestiging heeft. De rechtspersoon van AWS in de Europese Unie is in Luxemburg gevestigd en valt daarmee onder het (toezicht)regime van Luxemburg. Toezichthouders als bedoeld in de NIB-richtlijn in de EU kunnen elkaar bijstand verlenen en samenwerken.

Vraag 7

Kunt u met volle zekerheid zeggen dat alle registratiegegevens en.nl-domeinen, van nationale websites tot emailadressen, afgeschermd en veilig zijn bij een Amerikaans bedrijf? Hoe komt u tot die conclusie? Welke risico’s ziet u?

Nee, volle zekerheid kan nooit worden gegeven, ongeacht welke leverancier gebruikt wordt en waar deze vandaan komt. De risico’s moeten beheersbaar zijn. Op dit moment heeft de RDI, mede gegeven de fase waarin het voornemen tot verhuizing zit, van SIDN nog te weinig informatie verkregen om te kunnen concluderen over de risico’s voor de systemen als gevolg van het voorgenomen besluit. Zie hiervoor ook de beantwoording van vraag 6. Voor wat betreft vragen rond privacyaspecten geldt dat de genoemde DPIA en DTIA nog moeten worden afgerond alvorens hierover een oordeel kan worden gegeven. Zie ook het antwoord op vraag 2.

Vraag 8

Vindt u het acceptabel dat SIDN, die sinds 2018 geldt als een «aanbieder van essentiële diensten»2, haar systeembeheer naar een Amerikaanse aanbieder verplaatst?

Zoals eerder aangegeven ben ik verrast over het voorgenomen besluit en baart deze stap mij ook zorgen. De verhuizing is echter nog geen voldongen feit. Ik heb deze zorgen in een gesprek met de bestuurders van SIDN ook kenbaar gemaakt en heb aangegeven dat SIDN eerst nog diverse stappen in het proces moet doorlopen voordat gezegd kan worden of dit besluit gerechtvaardigd is. Zie verder het antwoord op vraag 2. Overigens zoals in vraag 3 heeft SIDN aangegeven niet het voornemen te hebben om het gehele .nl-domein in de cloud te plaatsen, maar alleen het domeinregistratiesysteem.

Vraag 9

Past het overhevelen van het.nl-domeinbeheer naar een Amerikaanse cloud binnen het Nederlandse en Europese beleid rondom strategische autonomie?

Op 17 oktober 2023 is de Tweede Kamer geïnformeerd over de agenda digitale open strategische autonomie (DOSA)5. Deze agenda bouwt voort op het bredere kabinetsbeleid rond open strategische autonomie6 en de aanpak strategische afhankelijkheden7.
Het kabinet hecht grote waarde aan een internationale rechtsorde waarin handel en investeringen vrijelijk hun weg vinden. Wederzijdse afhankelijkheden vormen de ruggengraat van het open handelssysteem en de internationale samenwerking waar Nederland en de EU veel profijt van hebben en die ons een sterkere geopolitieke positie opleveren. Tegelijkertijd kan een vorm van overheidsingrijpen nodig zijn, bijvoorbeeld indien strategische afhankelijkheden hoge risico’s met zich meebrengen.
In de agenda DOSA staat de probleemanalyse en beleidsinzet (zie antwoord bij vraag 13) op de beleidsprioriteit cloud geschetst. Zoals staat aangegeven in deze agenda wordt de Europese markt gedomineerd door enkele Amerikaanse partijen.
In algemene zin is het overhevelen van activiteiten naar een cloudleverancier van buiten de EU niet strijdig met het beleid rond (digitale) open strategische autonomie. Tegelijkertijd is het belangrijk om te kijken naar in hoeverre dit risico’s oplevert, in hoeverre deze risico’s (kunnen) worden gemitigeerd door huidig instrumentarium of aanvullend instrumentarium en wat de mogelijkheid tot substitutie is.
In aanvulling hierop is in de Agenda DOSA al een breder onderzoek voorzien waarin mitigerende maatregelen voor de vermindering van cloudafhankelijkheid van Nederland worden verkend.

Vraag 10

Wat zijn de gevolgen voor Nederland en al haar belangrijke digitale diensten die in het.nl-domein staan als het register gecompromitteerd raakt? Wat betekent dit in het slechtste geval voor Nederland en welke regie houden de overheid en internetdiensten over hun eigen.nl-adres?

SIDN heeft aangegeven dat het domeinregistratiesysteem in beheer blijft van de stichting. Onbevoegde wijzigingen in het domeinregistratiesysteem kunnen, zowel nu als in de toekomst, grote gevolgen hebben voor de aan de domeinnaam verbonden diensten. Om het risico op dergelijke wijzigingen te mitigeren worden maatregelen genomen. SIDN geeft aan dat de veelheid aan mitigerende maatregelen die AWS treft juist een van de redenen is om voor die partij te kiezen. Wat de gevolgen van de migratie zijn voor privacy moet o.a. nog blijken uit de nog uit te voeren DPIA.

Vraag 11

Heeft het Agentschap Telecom als verantwoordelijk toezichthouder gereageerd op de ICT-strategie waarin de verhuizing naar AWS besloten is? Zo ja, kunt u deze reactie of zienswijze delen?

Omdat de RDI (voorheen Agentschap Telecom) niet vooraf geïnformeerd is over het voorgenomen besluit van SIDN om te migreren naar AWS en nog meer informatie van SIDN nodig heeft over deze voorgenomen migratie, heeft de RDI op dit moment geen inhoudelijke reactie of zienswijze en kan ik die daarom niet delen. Zoals beschreven in vraag 6 toetst RDI binnen de kaders van de Wbni de veiligheid van het huidige domeinregistratiesysteem alsook toekomstige systemen zoals gebruik van AWS.

Vraag 12

Hoe reageert u op de bewering van SIDN dat zij overstapt naar een Amerikaanse cloud omdat «er nog geen volwaardig Europees alternatief bestaat»?

In algemene zin kan gesteld worden dat er verschillende Nederlandse en Europese aanbieders van ICT- en clouddiensten zijn, die als «alternatief» zouden kunnen dienen. Of deze aanbieders een volledig en/of concurrerend aanbod voor de gevraagde dienstverlening kunnen leveren aan SIDN is iets waar het kabinet meer inzicht in wil krijgen middels een quickscan.
SIDN heeft aangegeven te werken aan een exit-strategie. Deze strategie is tweeledig. Het heeft zowel betrekking op het snel kunnen verhuizen in het geval van problemen of calamiteiten, als het kunnen migreren naar een Europese of Nederlandse cloudprovider als deze mogelijkheid zich aandient.

Vraag 13

Welke maatregelen neemt Nederland om zo snel mogelijk te komen tot een betrouwbaar en publiek Europees cloudsysteem? Indien deze in ontwikkeling is, wanneer verwacht u dat deze in gebruik is?

Nederland zet in op Europese ontwikkeling van innovatieve clouddiensten en regulering van de markt. Op 15 oktober 2020 hebben de lidstaten van de Europese Unie een verklaring8 ondertekend om samen te werken aan de uitrol van veerkrachtige en concurrerende cloudinfrastructuur en -diensten in heel Europa.
Het «Important Project of Common European Interest on the next generation Cloud Infrastructure and Services» (IPCEI CIS) is een van de manieren waarop hier gevolg aan is gegeven, door het subsidiëren van een nieuwe generatie innovatieve, duurzame en veilige Europese cloudoplossingen. De Tweede Kamer is op 21 december 2023 over de IPCEI CIS geïnformeerd middels de beantwoording van vragen van de Kamer9 en een Kamerbrief10. De looptijd van deze projecten, inclusief de uitrolfase, is tot met 2028 en de totale subsidie bedraagt ruim 71 mln euro.
Daarnaast neemt Nederland deel aan de European Alliance for Industrial Data, Edge and Cloud, waarin overheden en bedrijven op Europees niveau samenwerken om de ontwikkeling en uitrol van nieuwe oplossingen te simuleren.11
Ook loopt het Gaia-X initiatief12, dat erop gericht is om een alternatief te ontwikkelen voor de deels gesloten ecosystemen van bestaande grote cloudspelers. Diverse Nederlandse bedrijven en organisaties zijn hierachter de drijvende kracht. Het kabinet steunt de ontwikkeling via een Nederlandse GAIA-X hub bij TNO en is vertegenwoordigd in de Governmental Advisory Board van het initiatief.
Naast de reeds bestaande Europese clouddiensten zullen deze initiatieven naar verwachting het cloudaanbod aanzienlijk vergroten.
Verder is er inmiddels wetgeving gericht op het beter laten functioneren van de digitale interne markt. Hierbij zijn de Dataverordening13 en Digital Markets Act belangrijke kaders waarmee economische afhankelijkheid (en lock-in) van cloudaanbieders worden verminderd.
Volgens het kabinet dragen deze initiatieven samen bij aan het ontwikkelen van een Europees cloudsysteem met als ambitie om tot een volwaardig Europees aanbod te komen. Het is belangrijk om nader te bezien of deze acties zorgen voor het benodigde aanbod van clouddiensten voor toepassingen zoals het domeinregistratiesysteem van SIDN. De quickscan zal naar verwachting meer inzicht geven (zie antwoord vraag 2).

Vraag 14

Op welke manier bent u betrokken bij dit besluit van SIDN en haar werkzaamheden? Welke rol neemt u als Minister om deze essentiële digitale infrastructuur te onderhouden?

Sinds 1996 beheert en registreert de onafhankelijke stichting SIDN de domeinnamen binnen het .nl-domein. EZK heeft voor het eerst met SIDN een convenant afgesloten dat dateert uit 2008. Het convenant is in 2015 en 2022 geëvalueerd en herzien en met de Tweede Kamer gedeeld14. Doel van het convenant is om waarborgen te krijgen op de stabiliteit en continuïteit van het .nl-domein. SIDN heeft tot nu toe gezorgd voor 100% beschikbaarheid van het .nl domein.
In het convenant is onder andere afgesproken dat SIDN en het .nl-domein verbonden blijven met Nederland, waarbij SIDN zich ten doel blijft stellen het .nl-domein voor gebruikers in Nederland beschikbaar te houden. Daarnaast staat in het convenant dat SIDN haar belanghebbenden adequaat betrekt bij besluiten. Dit laatste is onvoldoende gebeurd, omdat bijvoorbeeld zorgen van de Vereniging van Registrars nog niet geadresseerd waren voordat SIDN het besluit over de migratie naar AWS kenbaar maakte. Ik heb aan SIDN gevraagd zich aan het convenant te houden, door onder andere met de belanghebbenden dit voorgenomen besluit te bespreken en ben zoals hiervoor aangegeven zelf ook in overleg met SIDN.
De RDI houdt toezicht op de naleving van in de Wbni geregelde verplichtingen (zorgplicht, etc.) rustend op aanbieders van essentiële diensten in de sectoren energie en digitale infrastructuur waaronder digital dienstverleners, inclusief SIDN.

Vraag 15

Wat is de rol van de coördinerend Staatssecretaris voor Digitale Zaken bij het bewaken van de autonomie van het.nl-domein? Is deze rol voldoende om de autonomie te waarborgen? Zo niet, bent u alsnog bereid deze coördinerende rol te pakken?

Zoals eerder aangegeven hebben de Minister van EZK en de Staatssecretaris Koninkrijksrelaties en Digitalisering gezamenlijk met de bestuurders van SIDN gesproken. De Staatssecretaris Koninkrijksrelaties en Digitalisering heeft net als de Minister van EZK aangegeven dat het voorgenomen besluit van SIDN nader onderzoek en een open discussie vereist zoals aangegeven in deze brief. In haar rol als coördinerend Staatssecretaris voor Digitale Zaken staat de Staatssecretaris in deze casus in contact met de Minister van EZK en brengt zij richting en expertise in over waardengedreven digitalisering, onder meer in relatie tot het Rijkscloudbeleid. In haar rol draagt zij bij aan het bewaken van publieke waarden, waar digitale open strategische autonomie een basis vormt van een verantwoorde digitale transitie. De digitale overheid vereist continuïteit en voor de overheid is het essentieel dat het .nl-domein voor de dienstverlening voor de Nederlandse maatschappij altijd beschikbaar is. De Minister van Economische Zaken en Klimaat en de Staatssecretaris Koninkrijksrelaties en digitalisering zullen in gesprek gaan met een brede groep belangenbehartigers zoals bijvoorbeeld wetenschappers en inhoudelijke experts over de manier waarop digitale open strategische autonomie het beste kan worden geborgd voor vraagstukken rond o.a. cloudinfrastructuur en -diensten.

Vraag 16

Welke alternatieve Nederlandse of Europese private cloudproviders zijn er en zou het.nl-domein ook bij deze ondergebracht kunnen worden?

Zoals aangegeven in het antwoord op vraag 2, ben ik met SIDN overeengekomen dat we met betrokkenheid van stakeholders een quickscan zullen uitvoeren om een beter beeld te krijgen of er geen vergelijkbaar Nederlands of Europees alternatief beschikbaar is die voldoet aan de eisen van SIDN voor haar domeinregistratiesysteem, en wat het zou vergen om deze lacune te vullen. De quickscan zal daarmee niet exclusief op SIDN gericht zijn, maar we nemen deze casus wel nadrukkelijk mee, juist omdat ik, vanuit de eisen die partijen zoals SIDN stellen, wil weten wat het aanbod in Nederland en de EU is in vergelijking met de Amerikaanse partijen.

Vraag 17

Hoe kan het dat dé beheerder van het.nl-domein niet voldoende personeel aan kan trekken om haar systeem veilig binnen Nederland te beheren?

Waarom SIDN niet voldoende personeel kan aantrekken is bij EZK niet exact bekend. SIDN geeft aan dat het niet kunnen aantrekken van nieuw personeel is gerelateerd aan diverse factoren. Zo dateert het domeinregistratiesysteem dat nu nog in eigen beheer is, uit 2010 en geven opleidingen niet of nauwelijks meer scholing in het beheer van dergelijke systemen. De gevraagde kennis is zeer specifiek en niet eenvoudig vervangbaar bij ziekte, uitval of vertrek. SIDN is van mening dat dit risico’s met zich meebrengt voor de continuïteit van de bedrijfsvoering. SIDN verwacht door meer gestandaardiseerde systemen te gebruiken en een deel van het systeem in de cloud te plaatsen, uit een grotere pool van IT-professionals te kunnen werven.
In algemene zin wordt de hele samenleving geraakt door tekorten op de arbeidsmarkt. Tekorten in de ICT spelen al decennia en zijn van toenemende en structurele aard. De grote vraag blijkt uit toenemende aantal vacatures in de ICT. In 2021 had 71% van de bedrijven in Nederland moeite om specialistische ICT-vacatures te vervullen. Met het huidige groeitempo van bijna 7% per jaar, is in 2030 één op de tien van de beroepsbevolking IT’er. Dat betekent dat de Nederlandse arbeidsmarkt moet toewerken naar 1 miljoen digitaal geschoolden in 2030.

Vraag 18

Onder welke voorwaarden is het voor SIDN mogelijk om haar diensten in Nederland in beheer te houden? Welke maatregelen kunt u nemen om aan deze voorwaarden te voldoen?

SIDN heeft aangegeven dat zij te allen tijde haar diensten in Nederland in beheer houdt. Zie het antwoord op de vragen 2 en 3.

Vraag 19

Welke instrumenten heeft u als Minister om bij te sturen op de tarieven van de SIDN?

SIDN is een onafhankelijke stichting die zelf de basisprijzen stelt voor een .nl-domein. In 2024 vraagt SIDN voor een domeinnaam € 4,15 per jaar. Dit is het bedrag dat registrars betalen aan SIDN voor haar dienstverlening. Ik heb geen bevoegdheid om bij te sturen op de tarieven.

Vraag 20

Bent u bereid om als eindverantwoordelijke voor de digitale infrastructuur in Nederland in te grijpen en tot een plan te komen om het.nl-domein binnen Nederland te houden?

De verhuizing is nog geen voldongen feit en SIDN heeft toegezegd nu nog geen onomkeerbare stappen te zetten. Ik heb, i.s.m. de Staatssecretaris Koninkrijksrelaties en Digitalisering diverse acties uitgezet om meer zicht te krijgen op de keuze van SIDN. Hieronder vat ik ze kort samen:
EZK is in het licht van het convenant in gesprek met SIDN over voorgenomen migratie van het domeinregistratiesysteem naar AWS. Daarin is vastgelegd dat dat SIDN duurzaam verbonden moet blijven met Nederland en SIDN haar stakeholders moet betrekken. In dat kader heb ik SIDN ook gevraagd om haar belanghebbenden uit de internetgemeenschap, waaronder de Rijksoverheid, veel nauwer te betrekken in de overwegingen achter dit voorgenomen besluit.
Ik ben met SIDN overeengekomen dat EZK met betrokkenheid van stakeholders een quickscan zal uitvoeren om een beter beeld te krijgen of er geen vergelijkbaar Nederlands of Europees alternatief beschikbaar is die voldoet aan de eisen van SIDN voor haar domeinregistratiesysteem, en wat het zou vergen om deze lacune te vullen. De quickscan zal daarmee niet exclusief op SIDN gericht zijn, maar we nemen deze casus wel nadrukkelijk mee, juist omdat ik, vanuit de eisen die partijen zoals SIDN stellen, wil weten wat het aanbod in Nederland en de EU is in vergelijking met de Amerikaanse partijen. Waar nodig zal ik nader bezien welke risico’s er bestaan en welke mogelijkheden vervolgstappen er zijn om de digitale open strategische autonomie te bevorderen, en de continuïteit, integriteit en veiligheid van de dienstverlening te garanderen.
De RDI toetst op basis van de Wbni de beveiliging en continuïteit van de netwerk- en informatiesystemen van SIDN, zowel het huidige domeinregistratiesysteem als ook een toekomstig gebruik van AWS.
SIDN zal op basis van de AVG een Data Privacy Impact Assessment (DPIA) en Data Transfer Impact Assessment (DTIA) uitvoeren.
Ik zal samen met de Staatssecretaris Koninkrijksrelaties en Digitalisering in gesprek gaan met een brede groep belangenbehartigers zoals bijvoorbeeld wetenschappers en inhoudelijke experts over de manier waarop digitale open strategische autonomie het beste kan worden geborgd voor vraagstukken rond o.a. cloudinfrastructuur en -diensten.
Al met al zijn er diverse acties genomen om het voorgenomen besluit van SIDN tegen het licht te houden en ik bekijk op basis daarvan wat nodig is. Het belang van een zorgvuldige afweging betekent dat het op dit moment te vroeg is om al conclusies te trekken. Op basis van de uitkomsten van deze acties zal ik de Kamer nader informeren, naar verwachting is dit in Q2.

Vraag 21

Kunt u zo snel mogelijk met een eerste reactie komen, zo nodig apart van de volledige beantwoording van deze vragen?

Ja.

Vraag 22

Wilt u deze vragen apart van elkaar beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht «Miljoenen drugsadvertenties op Telegram, platform laat handel ongemoeid»?1 2

Ja, daar ben ik bekend mee.

Vraag 2

Wat vindt u ervan dat drugscriminelen in openbare Telegram-groepen ongestoord kunnen handelen in drugs, zowel softdrugs als harddrugs en designerdrugs?

Het is schokkend om te zien hoeveel van dit soort berichten rondgaan op Telegram. Het is in de eerste plaats de verantwoordelijkheid van Telegram om dit te modereren. Dit soort zelfreinigend vermogen wordt ook door andere sociale media platforms toegepast. Daar zet ik ook op in bij Telegram. We zijn daar helaas nog niet in geslaagd, omdat het moeilijk is om met Telegram in contact te komen en afspraken te maken.
De politie mag en kan, gelet op het grote aantal berichten en de schaarste in de capaciteit, niet het hele internet monitoren op berichten waarin drugs wordt aangeboden. Wel gaat de politie daar waar mogelijk over tot handhaving. De opsporing richt zich op het opsporen van de grote drugsaanbieders.
Momenteel worden samen met betrokken partijen, zoals het Openbaar Ministerie (OM) en politie, verkennende gesprekken gevoerd met als doel het opstellen van een plan van aanpak voor handhaving op de online verkoop van verboden middelen. De handhaving van de online verkoop van drugs kent uitdagingen die niet zijn voorbehouden aan de verkoop van drugs, maar breder gelden voor de online verkoop van verboden middelen. De aanpak hiervan is complex en de totstandkoming van een goed en gedragen plan hierop vergt tijd. Ik zal uw Kamer in een volgende voortgangsbrief nader informeren over de concrete voorstellen om beter te kunnen handhaven op de verkoop van drugs via online kanalen.

Vraag 3

Herkent u het beeld dat Telegram vooral wordt gebruikt als advertentieplatform en dat dealers na het opbouwen van een vertrouwensband overstappen op andere communicatiemiddelen? Welke andere apps kent u met vergelijkbare praktijken?

Telegram voorziet behalve in groepen en kanalen ook in de mogelijkheid om één-op-één te communiceren over bijvoorbeeld betaling en aflevering. Bij frequenter contact kan inderdaad een vertrouwensband ontstaan waarna andere communicatiewijzen kunnen worden gedeeld, zoals alternatieve berichtendiensten die voorzien in interpersoonlijke privécommunicatie.

Vraag 4

Bent u het met de stelling eens dat drugsdealers die op Telegram hun criminele praktijken uitvoeren, zoveel mogelijk opgespoord en bestraft moeten worden met medewerking van Telegram? Zo nee, waarom niet?

De criminaliteit die via Telegram plaatsvindt, moet worden bestreden. De verwachting is dat nieuwe Europese wetgeving – zoals de Digital Services Act (DSA)3 – de internetsector tot meer actie dwingt met de verplichtingen die daarin geregeld zijn. In het geval van Telegram lijkt in een adequaat moderatiebeleid voor openbare groepen4 de grootste winst te behalen. De Nederlandse strafrechtelijke aanpak heeft een beperkt effect aangezien het hier om een internationale online dienst gaat met een groot aantal gebruikers. Omdat de capaciteit binnen onze strafrechtketen beperkt is, moeten bovendien altijd keuzes gemaakt worden. Een meewerkende houding van Telegram is in alle gevallen van groot belang.

Vraag 5

Wanneer is voor u de maat vol voor Telegram, gezien de aanhoudende berichten over online haat, bedreiging, expose-groepen, criminele praktijken en oplichting via dit platform en het feit dat Telegram hier zelf helemaal niets aan doet?

De aanwezigheid van illegale inhoud en illegale activiteiten op Telegram vind ik problematisch. Temeer omdat Telegram weinig bereidheid tot medewerking toont in het kader van zelfregulering en opsporingsonderzoeken. In de beantwoording van eerdere Kamervragen van de leden Kuik en Slootweg (CDA)5 over Telegram heb ik daarom aangegeven dat het kabinet de inspanningen verhoogt om partijen als Telegram en X op hun verantwoordelijkheden te wijzen, deels met behulp van nieuwe wetgevende instrumenten, zoals de Verordening Terroristische Online Inhoud6 en de eerdergenoemde DSA. Over de ontwerp Verordening ter voorkoming en bestrijding van seksueel kindermisbruik wordt nog onderhandeld. Deze drie verordeningen leggen aan tussenhandeldiensten meer (zorgvuldigheids)verplichtingen op, onder meer in relatie tot illegale online inhoud. Ze spelen daarom een belangrijke rol in het aanpakken van de soorten inhoud en praktijken die u noemt. Daarnaast ben ik in constante dialoog met verschillende soorten aanbieders in de internetsector, zoals via de «publiek-private samenwerking online content moderatie». Juist vanwege de constructieve samenwerking met de aldaar aanwezige platforms (zoals Meta, TikTok en Snapchat) is de afwezigheid van partijen als Telegram en X te betreuren.

Vraag 6

Zijn de claims van Telegram dat zij wel degelijk proactief modereren op schadelijke content te verifiëren?

De gemaakte claims door Telegram zijn momenteel lastig onafhankelijk te verifiëren door een gebrek aan transparantie. De handhavingspraktijk en onderzoeken zoals die van de NOS geven een beeld van de verschillende vormen en omvang van illegale inhoud op Telegram, wat zich moeilijk verhoudt tot de gemaakte claims. De DSA brengt naar verwachting verandering in deze situatie zoals toegelicht in het antwoord op vraag 7.

Vraag 7

Wilt u Telegram vragen bewijs te leveren van hun proactieve moderatie op schadelijke content in Nederland of Nederlandse groepen en wilt u dit onafhankelijk laten toetsen?

Zoals aangegeven spant het kabinet zich in om partijen op hun verantwoordelijkheden te wijzen. Telegram zal op grond van de DSA, die vanaf 17 februari 2024 van toepassing is op alle tussenhandeldiensten, in ieder geval jaarlijks moeten gaan rapporteren over (onder meer) inhoudsmoderatie die zij op eigen initiatief toepast, de ontvangen bevelen van lidstatelijke autoriteiten, en de omgang met meldingen van illegale inhoud van gebruikers en zogeheten betrouwbare flaggers7. Hierdoor wordt meer inzicht afgedwongen in hetgeen Telegram doet op het gebied van online content moderatie. Het is aan de toezichthouder in België – waar Telegram met de inwerkingtreding van de DSA een wettelijke vertegenwoordiger heeft aangewezen8 – om toezicht te houden op de naleving van deze eisen.

Vraag 8

Herinnert u zich dat u in antwoord op eerdere vragen van de leden Kuik en Slootweg3 over Telegram-exposegroepen heeft aangegeven dat Telegram niet reageert op vorderingen of bevelen in het kader van opsporingsonderzoeken?

Ja, mijn beantwoording daarop is mij bekend.

Vraag 9

Wat zijn gevolgen van het niet voldoen aan een vordering of bevel door de politie of de officier van justitie in het kader van een opsporingsonderzoek? Welke afwegingen worden daarbij gemaakt?

Wanneer Telegram niet meewerkt aan rechtshulpverzoeken en niet voldoet aan strafvorderlijke vorderingen en/of bevelen, dan is het gevolg daarvan dat onderzoek naar (een vermoeden van) strafbare feiten wordt belemmerd. In algemene zin geldt dat afhankelijk van de context en de grondslag van een vordering of bevel het niet meewerken daaraan strafrechtelijke, civielrechtelijke of bestuursrechtelijke gevolgen kan hebben.

Vraag 10

In hoeverre zijn er mogelijkheden om medewerking van Telegram aan vorderingen of bevelen van de politie of officier van justitie af te dwingen?

In sommige gevallen zou bij niet-naleving van een vordering of bevel vanuit de politie of officier van justitie kunnen worden overgegaan op dwangmiddelen, zoals inbeslagname of strafvervolging. De eventuele inzet hiervan wordt onder andere beïnvloed door de grondslag van de vordering of het bevel, de ernst van de overtreding en ook de vestigingslocatie van een bedrijf. Van Telegram is bekend dat deze momenteel geen Nederlandse of andere Europese vestiging heeft. Wel is bekend dat Telegram met de inwerkingtreding van de DSA inmiddels een wettelijke vertegenwoordiger in België heeft aangewezen.

Vraag 11

Klopt het dat de officier van justitie op basis van artikel 125p van het Wetboek van Strafvordering na toestemming van de rechter-commissaris, een aanbieder van een communicatiedienst kan bevelen om content ontoegankelijk te maken, en dat dit in de praktijk het blokkeren van een Telegramkanaal kan zijn, openbaar of besloten?

Ja, dat klopt.

Vraag 12

Zo ja, kunt u aangeven waarom het blokkeren van een Telegramkanaal blijkens uw antwoord op vraag 6 van de leden Slootweg en Kuiken slechts in uitzonderlijke gevallen mogelijk is en dan alleen via de telefoon van de verdachte?

De casus waarin via de telefoon van verdachte gegevens in drie Telegram-groepen ontoegankelijk werden gemaakt, werd in de beantwoording uitzonderlijk genoemd, omdat de politie niet vaak in de positie is dat zij een Telegram-gebruiker heeft kunnen identificeren en directe toegang heeft tot diens telefoon. Dit maakte het op grond van artikel 125p Sv jo 181 Sv mogelijk om de Telegram-groepen af te sluiten zonder medewerking van Telegram.

Vraag 13

Waarom is de politie volgens uw antwoord in vraag 6 vaak niet in de positie om een Telegramkanaal te blokkeren?

Zie antwoord vraag 12.

Vraag 14

Wat vindt u ervan dat het blokkeren van een Telegramkanaal blijkbaar afhankelijk is van de medewerking van Telegram zelf?

In de casus waar u naar refereert in vraag 12 konden gegevens dus ontoegankelijk worden gemaakt zonder medewerking van Telegram, omdat er toegang was tot de telefoon van verdachte. Dat neemt niet weg dat een meewerkende houding van online aanbieders gewenst is, zodat bevelen die op grond van 125p Sv direct aan hen zijn gericht ook daadwerkelijk worden opgevolgd en er niet een strafbaar feit ontstaat of blijft voortbestaan door niet-naleving.

Vraag 15

Welke mogelijkheden zijn er om de politie meer handvatten te geven om Telegramkanalen sneller te blokkeren? Vraagt de politie ook om extra mogelijkheden of bevoegdheden en zo ja, welke?

De wet voorziet in mogelijkheden voor politie en OM om online aanbieders ertoe te bewegen om strafbare inhoud ontoegankelijk te maken en personen achter accounts op te sporen. Zoals toegelicht in het antwoord op vraag 10 wordt de effectiviteit van deze middelen belemmerd wanneer een bedrijf niet op Nederlands grondgebied is gevestigd. In het geval van buitenlandse online aanbieders dient dan gebruik te worden gemaakt van een rechtshulpverzoek. Dit is vaak een tijdrovende exercitie en de uitkomst ervan is afhankelijk van de medewerking van het land waaraan het verzoek is gericht.
Verder verwijs ik naar mijn antwoord op vraag 2 over de gesprekken die gevoerd worden met onder andere politie en OM om te komen tot een plan van aanpak voor handhaving op de online verkoop van verboden middelen.

Vraag 16

Vindt u het gerechtvaardigd om in uitzonderlijke gevallen en bij grove en herhaaldelijke schendingen op het gebied van illegale content de mogelijkheid te hebben om een app als Telegram als geheel voor een bepaalde periode uit de lucht te halen in Nederland? Kunt u uitgebreid toelichten wat de technische en juridische implicaties hiervan zouden zijn?

Het volledig verbieden of ontoegankelijk maken van een app is zeer ingrijpend. In het geval van Telegram zou hieruit een inperking van de vrijheid van meningsuiting volgen. De noodzaak hiervan moet dan in verhouding staan tot de ernst van de overtredingen waarbij de vraag speelt of lichtere middelen niet al voldoende soelaas bieden. De DSA biedt een kader waarin toezicht en sanctionering zijn geregeld en in een opbouw van handhavingsmogelijkheden is voorzien. De verordening laat in een uiterst geval en onder voorwaarden ruimte voor de toezichthouder om de rechter te verzoeken de toegang tot een dienst tijdelijk te beperken10. Doordat Telegram in België haar wettelijke vertegenwoordiger voor de DSA heeft aangewezen is de Belgische onafhankelijk toezichthouder voor de DSA hiertoe exclusief bevoegd.

Vraag 17

Wat vindt u van het feit dat Telegram in Duitsland een boete heeft gekregen van ruim vijf miljoen euro, omdat Telegram geen aanspreekpunt in Duitsland heeft waar mensen schadelijke en criminele content kunnen melden?

Het Bundesamt für Justiz (BfJ) heeft in 2022 haar bevoegdheden als autoriteit onder de NetzDG, de Duitse netwerkhandhavingswet, gebruikt om twee boetes van in totaal € 5,125 mln aan Telegram op te leggen. De NetzDG maakt plaats voor de DSA. De DSA is namelijk maximumharmonisatie voor wat betreft de verplichtingen voor tussenhandeldiensten door de EU, waardoor dergelijke nationale wetgeving niet langer is toegestaan. De actie van het BfJ laat zien dat partijen als Telegram zich niet kunnen onttrekken aan verplichtingen die hen zijn opgelegd. Dit maakt mij hoopvol over de toepassing van de DSA die in meerdere opzichten gelijkenissen kent met de NetzDG.

Vraag 18

Op welke manier reageren andere Europese landen op Telegram wanneer schadelijke content niet verwijderd wordt en geen opvolging wordt gegeven aan vorderingen van politie en justitie?

Het kabinet is niet op de hoogte van de praktijk in de verschillende lidstaten.

Vraag 19

Verwacht u, gezien de trackrecord van Telegram, dat de invoering van de Digital Services Act (DSA) zal leiden tot verbetering van het gedrag van Telegram?

Het laat zich moeilijk voorspellen hoe het handelen van een partij als Telegram zich gaat ontwikkelen met de inwerkingtreding van de DSA. Tegelijkertijd is Telegram een voorbeeld dat de noodzaak voor regulering aantoont. De DSA en de eerdergenoemde wetgevingsinstrumenten in mijn antwoord op vraag 5 versterken de mogelijkheden om op te kunnen treden. Uit de praktijk zal moeten blijken welke resultaten dit oplevert. In dit kader is relevant dat de positie van Telegram onder de DSA nog niet geheel duidelijk is. Het is waarschijnlijk dat de openbare chatgroepen op Telegram voldoen aan de definitie van online platform onder de DSA, terwijl besloten (groeps)gesprekken er buiten vallen, maar de praktijk moet dit uitwijzen. Ondertussen staat wel vast dat de DSA voor meer transparantie en dus verbetering van het gedrag door Telegram zou moeten leiden. Zie het ook het antwoord op vraag 7.

Vraag 20

Verwacht u dat de huidige sancties onder de DSA hard genoeg zijn om online platformen zoals Telegram te dwingen verantwoordelijkheid te nemen over de activiteiten op hun platform?

Zie antwoord vraag 19.

Vraag 21

Bent u bereid om de Kamer een brief te sturen waarin u uitgebreid toelicht aan welke bepalingen die volgen uit de DSA Telegram zich op dit moment volgens u niet houdt of waar er een risico zit?

Zoals aangegeven moet de positie van Telegram onder de DSA zich nog uitkristalliseren. Bovendien is de DSA gestoeld op het land-van-oorsprongsbeginsel voor het bepalen van bevoegdheid. Het is aan de onafhankelijke toezichthouder die is aangewezen in België, de lidstaat waar Telegram een wettelijk vertegenwoordiger heeft aangewezen, om een oordeel te vormen over de naleving van bepalingen uit de DSA door tussenhandeldiensten die onder haar bevoegdheid vallen. Het is niet aan mij om verder te oordelen of de DSA op (onderdelen van) Telegram van toepassing is, of welke onderdelen van de DSA mogelijk worden overtreden. Dat is aan de onafhankelijk toezichthouder en uiteindelijk aan de rechter en het Hof van Justitie.

Vraag 22

Wanneer verwacht u de uitvoeringswet van de DSA naar de Kamer te sturen?

De Minister van Economische Zaken en Klimaat werkt al geruime tijd aan het ontwerpwetsvoorstel voor de Uitvoeringswet Digitaledienstenverordening. Op 7 februari jl. heeft de Raad van State advies uitgebracht over het ontwerpwetsvoorstel. Dat wordt momenteel verwerkt. De Minister van Economische Zaken en Klimaat streeft ernaar het ontwerpwetsvoorstel daarna zo spoedig mogelijk bij de Kamer in te dienen en zal Uw Kamer daar apart over informeren.

Vraag 1

Bent u bekend met het risico dat quantumcomputing encryptie zal doorbreken en daarmee toegang wordt verkregen tot een schat aan gevoelige informatie?

Ja, het is mij bekend dat krachtige quantumcomputers bepaalde versleuteling (of cryptografie) sterk kunnen verzwakken of doorbreken. Dit veroorzaakt risico’s voor de Rijksoverheid en ook voor burgers, ondernemingen en andere overheden die tijdig beheerst moeten worden.
Cryptografie zorgt voor veilige en vertrouwelijke digitale communicatie. Cryptografie houdt zich o.a. bezig met technieken om informatie op te slaan en over te dragen zodanig dat deze alleen leesbaar zijn door partijen die de juiste sleutel bezitten (vertrouwelijkheid). Daarnaast wordt het ingezet om gegevens te beschermen tegen wijzigingen (integriteit), zekerheid te verkrijgen van verzenden en ontvangen van informatie (onweerlegbaarheid) en bevestiging van identiteiten van zender en ontvanger te bewerkstelligen (authenticatie). Daarvoor zijn in ons dagelijks leven zeer veel toepassingen en cryptografie wordt om die reden overal gebruikt. Door cryptografie zijn bijvoorbeeld onze identiteitsgegevens (paspoorten) beschermd, kunnen we veilig verkeerslichten en bruggen aansturen, mailen en appen we met elkaar, betalen we met onze telefoon en we gebruiken het om vertrouwelijke informatie te versleutelen, zoals bedrijfsgeheimen of staatsgeheimen. Cryptografie vormt dan ook een onmisbaar instrument om de vertrouwelijkheid, integriteit en beschikbaarheid van processen en data te beschermen.
Met de komst van een krachtige quantumcomputer is de meeste cryptografie echter niet meer (voldoende) veilig: bestaande encryptiemethodes zullen onze digitale gegevens niet meer voldoende kunnen beschermen.
De overgang van kwetsbare cryptografie naar quantumveilige cryptografie is een technologisch ingrijpende wijziging die nog niet eerder op deze schaal is voorgekomen. Daarom moeten er nu voorbereidende acties worden ondernomen, zie ook de beantwoording bij vraag 5.

Vraag 2

Welke kansen en risico´s ziet u op het gebied van quantum?

Er zijn met betrekking tot quantum in relatie tot quantumproof encryptie zowel kansen als risico's.
In mijn brief van 7 november 20231 heb ik u geïnformeerd over een aantal belangrijke knelpunten in de transitie naar quantumveilige cryptografie en een aantal kansen die dit biedt.
Daarnaast zijn er risico’s zoals onvoldoende bewustzijn en kennis. Voor dat laatste ontwikkel ik samen met de private sector een cryptografie opleiding om alle typen IT- beheer bij te scholen. Deze komt naar verwachting in de loop van 2024 beschikbaar.

Vraag 3

Bent u bekend met het gegeven dat de Amerikaanse president Biden reeds een wet heeft getekend die overheidsorganisaties verplicht om te migreren naar IT-systemen die quantum-proof zijn?1

Het kabinet volgt de internationale ontwikkelingen en heeft kennis genomen van de genoemde Amerikaanse wetgeving3. Deze wetgeving geeft de verplichting aan federale overheidsinstanties om te migreren naar quantumveilige cryptografie: het adopteren van de standaarden die door het Amerikaanse National Institute of Standards and Technology dit jaar gepubliceerd worden om weerbaar te zijn tegen de dreiging van quantumtechnologie. Deze migratie en beschreven aanpak hiervoor worden ook binnen de Rijksoverheid gezien als de belangrijkste instrumenten om deze dreiging het hoofd te bieden.
De aanpak van de Rijksoverheid past bij de generieke, risicogerichte aanpak voor digitale weerbaarheid. Deze aanpak geeft ruimte om ook andere maatregelen te nemen om de hiervoor genoemde risico’s te beheersen, indien bijvoorbeeld bepaalde systemen niet kunnen migreren naar quantumveilige cryptografie.

Vraag 4

Kunt u toelichten in hoeverre er vergelijkbare wetgeving nodig is in Nederland en in hoeverre dit wordt voorbereid?

De Amerikaanse wetgeving oplossing verplicht federale overheidsinstanties om te migreren naar quantumveilige cryptografie: namelijk het adopteren van de nieuwe standaarden van National Institute of Standards and Technology (zie vraag 3). De huidige Europese, nationale en overheidsbrede wet- en regelgeving op het gebied van informatiebeveiliging c.q. cybersecurity heeft een andere werking maar biedt voldoende aanknopingspunten om in actie te moeten komen.
Zo geeft NIS24 (Network and Information Security Directive) aan dat «state of the art» beveiligingsmaatregelen waaronder «state of the art» encryptie moeten worden toegepast. Deze richtlijn schrijft verder voor dat organisaties die onder de richtlijn vallen moeten hebben: «beleid en procedures inzake het gebruik van cryptografie en, in voorkomend geval, encryptie».5 De gekozen maatregelen om de systemen te beveiligen volgt uit de risicoanalyse van de te beveiligen informatie. De Minister van Justitie en Veiligheid heeft de Kamer per brief op 31 januari geïnformeerd over de voortgang van de implementatie van de richtlijn.
Daarnaast vereisen de Baseline Informatiebeveiliging Overheid (BIO) en de voor de overheid verplichte ISO-standaarden6 dat nieuwe dreigingen en risico’s worden opgenomen in het risicomanagementproces. Deze standaarden bevatten normen ten aanzien van beleid en beheer van cryptografie. Ook andere eisen zorgen ervoor dat organisaties moeten starten met het beheersbaar maken van de dreiging van de quantumcomputer voor cryptografie – die daar kwetsbaar voor is. Een voorbeeld is de eis rondom het beheersen van kwetsbaarheden.

Vraag 5

Welke ondersteuning wordt er nu vanuit de Rijksoverheid geboden aan organisaties om zich voor te bereiden op de komst van quantumcomputers en de effecten op encryptie?

De benodigde veranderingen om gegevens en communicatie te beschermen tegen de capaciteiten van quantumcomputers zijn complex, omvangrijk en zullen vele jaren in beslag nemen. Nu beginnen met voorbereiden is dan ook noodzakelijk om risico’s, inspanning en kosten te kunnen spreiden. Daarom is een Rijksbreed samenwerkingsprogramma opgezet: quantumveilige Cryptografie (QvC-Rijk). Hierover heb ik u in mijn brief van afgelopen november geïnformeerd7

Vraag 6

Welke stappen kunnen organisaties nu al nemen om gegevens te beschermen tegen de komst van quantumcomputers?

Veel (overheids)organisaties en IT-leveranciers moeten zich nu al voorbereiden op risico’s die de komst van de quantumcomputer met zich meebrengen. Bijvoorbeeld organisaties die data verwerken, die over langere tijd nog vertrouwelijk moeten blijven zoals medische data of bedrijfsgeheime data. Of organisaties die systemen met een lange levensduur aanbieden, zoals bijvoorbeeld industriële automatisering8.
De volgende acties kunnen nu al door bedrijven en (overheids)instanties ondernomen worden:
De volgende maatregelen kunnen worden getroffen om wijzigingen voor te bereiden, die op een later moment noodzakelijk zullen zijn:

Vraag 7

In hoeverre wordt er internationaal of in Europees verband samengewerkt aan de voorbereiding van versterkte encryptie(-vereisten) voor de komst van quantumcomputers?

Een heel bekende samenwerking op dit vlak is de Amerikaanse National Institute of Standards and Technology competitie voor Post quantum cryptografie9. Nederland heeft ook een inzending gedaan, welke is geselecteerd (CRYSTALS-KYBER)10 om in de nieuwe wereldwijde standaarden op te nemen.
Daarnaast wordt door de wetenschap ook op dit onderwerp internationaal samengewerkt (zie vraag 8).
Met de Franse en Duitse nationale informatiebeveiligingsinstituten bestaan onder andere vanuit de Rijksoverheid al langer samenwerkingen generiek op cybersecurity en ook cryptografie. Momenteel wordt besproken op welke onderwerpen de samenwerking en kennisdeling op het gebied van de quantumdreiging geïntensiveerd kunnen worden.

Vraag 8

Welk onderzoek wordt er nu verricht naar quantumcomputing, en meer specifiek naar de gevolgen voor encryptie?

Departementen hebben gezamenlijk geld beschikbaar gesteld voor het oplossen van een aantal vraagstukken over cybersecurity. Dit heeft geleid tot een programma: Cybersecurity – naar een veilig en betrouwbaar digitaal domein11.
Binnen dit programma lopen 2 onderzoeken op het vlak van cryptografie:
Doel van dit onderzoek is om quantumveilige PKI-systemen te ontwikkelen en sector-gebaseerde groeipaden te leveren die organisaties zullen helpen hun systemen naar een quantumveilige toekomst te migreren. Dit gebeurt in samenwerking met koplopers in de telecommunicatie, financiële dienstverlening, zorg en publieke sector.
Doel van dit onderzoek is het ontwerpen van nieuwe algoritmen en siliciumchips met inherente bescherming tegen fysieke aanvallen, en het ontwikkelen van nieuwe simulatie- en evaluatietechnieken voor fysieke beveiliging. PROACT zal daarom bijdragen aan een verhoogde beveiliging van onze persoonlijke en bedrijfsgevoelige gegevens.
Op veel meer plekken wordt op dit vlak onderzoek gedaan, zowel door onderzoek en wetenschap, maar ook door private partijen. Tijdens congressen wordt hierover kennis gedeeld. Een recent voorbeeld hiervan in Nederland is het congres van het PKI-consortium van afgelopen november. Het PKI-consortium heeft dit congres georganiseerd samen met de Rijksoverheid (Logius) en onderzoeksorganisaties (Centrum voor Wiskunde en Informatica- CWI- en TNO)12.

Vraag 9

Welke maatregelen neemt de Staatssecretaris op korte termijn ter voorbereiding op de komst van quantumcomputers?

Onder regie van de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties wordt de migratie naar quantumveilige cryptografie binnen de Rijksoverheid voorbereid. Voor wat betreft het programma quantumveilige Cryptografie Rijk (QvC-Rijk): zie antwoord bij vraag 5.
De AIVD (Algemene Inlichtingen- en Veiligheidsdienst), het NCSC (Nationaal Cyber Security Centrum), CIO-Rijk (directie Chief Information Office- Rijk) en EZK (Ministerie van Economische Zaken en Klimaat) ontwikkelen hiervoor kennisproducten vanuit de taken die zij invullen. Dit gebeurt in onderlinge samenwerking en afstemming.
In brede zin maakt het voorbereiden op quantumveilige cryptografie deel uit van de Nederlandse Cybersecuritystrategie 2022–202813. Deze stelt onder andere dat, om de digitale veiligheid van Nederland nu en in de toekomst afdoende te kunnen beschermen, de ontwikkeling en toepassing van kennis en kunde op het gebied van cybersecurity continu worden versterkt. Intensieve en duurzame samenwerking tussen overheid, bedrijfsleven en kennisinstellingen is hiervoor essentieel. Het publiek-private samenwerkingsplatform dcypher, onder verantwoordelijkheid van EZK, speelt hier voor de overheid een centrale rol in, en legt de basis voor agendering en programmering van meerjarige onderzoeks- en innovatietrajecten met overheidspartijen, bedrijven en kennisinstellingen.

Vraag 1

Bent u op de hoogte van de brief van 22 november 2023 van de Inspectie Overheidsinformatie en Erfgoed over de «bevindingen opvolging aanbevelingen inspectie»? Dat gaat over de «De archivering van chatberichten bij het Ministerie van Algemene Zaken» en het onder verlengd toezicht plaatsen van het ministerie1

Ja.

Vraag 2

Welke instanties binnen de overheid vallen onder verlengd toezicht van de Inspectie?

Navraag bij de Inspectie Overheidsinformatie en Erfgoed heeft opgeleverd dat het Ministerie van Algemene Zaken en de dienst Toeslagen van de Belastingdienst vallen onder verlengd toezicht.

Vraag 3

Hoe waardeert u het dat uw ministerie onder verlengd toezicht staat?

Het verlengde toezicht draagt in zijn algemeenheid bij aan het op een goede wijze uitvoeren van de aanbevelingen van de Inspectie. De Inspectie Overheidsinformatie en Erfgoed is onafhankelijk in de uitoefening van haar taken. Het is niet aan mij om daar een oordeel over te hebben.

Vraag 4

De Inspectie geeft aan meer voortgang te hebben verwacht, onder meer op de invoering van het nieuwe Document Management Systeem (DMS) en ontwikkeling van een kwaliteitssysteem. Kunt u zich vinden in deze conclusie?

Het is helaas niet mogelijk gebleken om het nieuwe DMS-systeem conform planning in te voeren. Het Ministerie van Algemene Zaken zal het nieuwe DMS-systeem invoeren zodra dit verantwoord is met het oog op de uitvoering van haar taken. De Inspectie Overheidsinformatie en Erfgoed is onafhankelijk in de uitoefening van haar taken. Het is niet aan mij om een oordeel over hun conclusie te hebben.

Vraag 5

Kunt u per aanbeveling uit het oorspronkelijke rapport uit september 2022, «De archivering van chatberichten bij het Ministerie van Algemene Zaken» aangeven hoe die is opgevolgd en wat de huidige stand van zaken is?

Zie hiervoor de bij deze brief gevoegde bijlage.

Vraag 6

Kunt u, na meer dan twee jaar debat en ondertoezichtstelling van het ministerie, nu aangeven hoe de berichten van de Minister-President systematisch, toetsbaar en doorzoekbaar worden gearchiveerd?

De Inspectie voor Overheidsinformatie en Erfgoed heeft onderzoek gedaan naar de archivering bij het Ministerie van Algemene Zaken. Dit onderzoek is aangeboden aan het Ministerie van Algemene Zaken op 28 september 2022, en, met reactie, op 3 oktober 2022 aan de Kamer verzonden.2 Zoals ik heb gemeld in deze reactie op het Inspectierapport verwijder ik sinds eind mei 2022 geen chatberichten meer en worden deze bewaard ten behoeve van veiligstelling en archivering. De chatberichten van de Minister-President worden per oktober 2023 ook opgeslagen in het bestaande document management systeem. Voor de goede orde zij vermeld dat voordien berichten werden gearchiveerd conform de toen geldende richtlijn inzake het bewaren van chatberichten.3
Het Ministerie van Algemene Zaken volgt voorts het rijksbrede beleid ten aanzien van archivering van chatberichten van bewindspersonen. Zie hiervoor onder andere de brief van de Minister van Binnenlandse Zaken en Koninkrijksrelaties van 6 april 20234, het antwoord op vragen van de vaste Kamercommissie van 23 mei 20235 en de brief van 15 september 2023 inzake een tijdelijke instructie voor bewindspersonen chatberichten archivering.6 Ik wijs er voorts op dat op dit moment een voorstel tot wijziging van de Archiefwet bij de Tweede Kamer aanhangig is, waarin de vraag naar het archiveren van chatberichten ook aan de orde is gekomen.7

Vraag 7

Indien de parlementaire enquêtecommissie Corona de berichten van de Minister-President zou vorderen, die betrekking hebben op de aanpak van de coronacrisis, krijgt de commissie dan binnen twee weken geordend alle berichten, inclusief de berichten met sleutelfiguren in deze (zoals dhr. Van Dissel, Minister De Jonge, de vicepremiers, de relevante raadsadviseurs), vanaf het begin van de crisis?

Uiteraard zal aan een vordering van een parlementaire enquêtecommissie, waar nodig na overleg en voor zover mogelijk, worden voldaan.

Vraag 8

Kunt u uw antwoord toelichten?

Zie antwoord vraag 7.

Vraag 9

Kunt u het toegezegde gehanteerde afbakeningsdocument (met de instructies die concreet opgevolgd zijn) in de periode maart 2020 tot 30 september 2021 aan de Kamer doen toekomen?

Aangenomen wordt dat hier niet is bedoeld op het afbakeningsdocument met betrekking tot de hotspot archivering rond corona dat immers de Kamer reeds is verstrekt (TK 2022–2023, 25 295 nr. 1986), maar dat is gedoeld op de werkinstructie van het Ministerie van Algemene Zaken van 10 juli 2020 (zie «De archivering van chatberichten bij het Ministerie van algemene zaken», Inspectie overheidsinformatie en erfgoed, p 39). In de bijlage vindt u de instructie die hiertoe op 10 juli 2020 door de secretaris-generaal is verspreid.

Vraag 10

Vindt de archivering van de berichten van de Minister-President nu conform de Archiefwet plaats?

Zie het antwoord op vraag 6.

Vraag 11

Kunt u dit antwoord uitgebreid toelichten en daarin ook ingaan op de tijdelijke instructie voor alle bewindspersonen voor het archiveren van chatberichten?

Zie het antwoord op vraag 6.

Vraag 12

Het nieuwe DMS met de naam DIAZ heeft als doel ¨dat na de invoering van DIAZ de medewerkers van de afdelingen meer zelf moeten opslaan». Deelt u de visie dat medewerkers niet belast zouden moeten worden met extra administratieve taken?

Van medewerkers van Algemene Zaken wordt verwacht dat zij conform de Archiefwet de relevante informatie in beheer brengen door deze in het DMS te plaatsen. Het nieuwe DMS is gebruiksvriendelijker, waardoor de kwaliteit van het onder beheer brengen van informatie op een natuurlijke manier hoger wordt. De geciteerde zin heeft betrekking op de benodigde ondersteuning bij het uitvoeren van deze handelingen en impliceert geen verdere belasting van medewerkers met extra administratieve taken.

Vraag 13

Wat betreft de aanbevelingen voor de archivering van chatberichten is het Ministerie van Algemene Zaken nog afwachtend aldus de Inspectie. Hoe verklaart u deze afwachtende houding, afgezien van het wachten op een Rijksbrede invulling?

Zie het antwoord op vraag 6.

Vraag 14

In het verslag zoals vastgesteld op 24 mei 20232 geeft u bij vraag 39 aan dat «de uitdagingen tweeledig zijn». In hoeverre vind u het een uitdaging om de privacy van burgers en medewerkers te beschermen? Hoe gaat u deze uitdagingen aan?

De uitdaging in de uitvoering van het informatiebeheer zit, op basis van navraag bij het Nationaal Archief, vooral in het gebruik van chatapps. Zie hiervoor ook de brief van 15 september 2023 inzake een tijdelijke instructie voor bewindspersonen chatberichten archivering.9 In chatapps loopt zakelijke, privé en partijpolitieke communicatie regelmatig door elkaar heen. Dit zorgt voor vraagstukken rond een goede uitvoering van informatiebeheer rekening houdend met de eisen uit o.a. de Archiefwet, de Wet open overheid (Woo) en de Algemene verordening gegevensbescherming (AVG). Privé en partijpolitieke chatconversaties vallen niet onder de Archiefwet en horen dus niet thuis in het archief van de organisatie.
Voor een goede uitvoerbaarheid van het informatiebeheer is het noodzakelijk dat het uitgangspunt om privé, partijpolitieke en zakelijke conversaties aan de voorkant zoveel mogelijk te scheiden op termijn wordt gerealiseerd. Hiermee wordt voorkomen dat privé en partijpolitieke conversaties met onder andere burgers en medewerkers in het archief van de organisatie worden opgenomen.

Vraag 15

U geeft in hetzelfde verslag aan dat het Nationaal Archief contact heeft met andere landen over de toepassing van de sleutelfunctiemethodiek. Waarom is Nederland (in navolging van België) nog steeds niet over gegaan tot invoering van de sleutelfunctiemethodiek?

De sleutelfunctiemethodiek is, op basis van navraag bij het Nationaal Archief, in de Verenigde Staten ontwikkeld en daar een tiental jaar geleden voor e-mail ingevoerd. Sinds kort wordt deze methodiek er ook toegepast op chatberichten. Europese landen die deze methodiek willen overnemen moeten echter rekening houden met de verhoudingsgewijs strengere Europese en nationale privacywetgeving en dus passende technische en organisatorische maatregelen nemen om persoonsgegevens te beschermen. Dat omvat in Nederland onder andere het uittekenen van procedures, het ontwikkelen van aangepaste technische voorzieningen en het betrekken van de medezeggenschap. Dat is een complexe opgave, die veel tijd en capaciteit vraagt. Nederland is Europees niettemin één van de voorlopers, zowel voor e-mail als chat: andere Europese landen volgen de Nederlandse aanpak met interesse of wisselen ervaringen met het Nationaal Archief uit. Dat geldt ook voor België, dat op dit moment de invoering van de sleutelfunctiemethodiek voor e-mail onderzoekt en geleidelijk zal uitrollen. Meer informatie is te vinden op de website van het Rijksarchief in België: https://arch.arch.be/index.php?l=nl&m=ambtenaar&r=termen-en-thema-s&sr=e-mailarchivering.
In Nederland is de sleutelfunctie methodiek voor gebruik bij e-mail in 2018 vastgesteld door de Interdepartementale Commissie Bedrijfsvoering Rijksdienst (ICBR). Daarbij is een modelselectielijst voor e-mail ontwikkeld voor gebruik bij de verschillende organisaties. Voor e-mail zijn vervolgens de eerste selectielijsten in 2023 vastgesteld. Voor publicatie van deze lijsten wordt gewacht tot ook de technische voorziening gereed is. Zonder de passende technische en organisatorische maatregelen, zoals eerder vermeld kan deze methodiek niet daadwerkelijk worden toegepast.
Voor de archivering van chatberichten ontwikkelt het Nationaal Archief momenteel een modelselectielijst. De modelselectielijst wordt binnenkort met de Tweede Kamer gedeeld. Ook hier geldt dat op basis van de modelselectielijst verantwoordelijke overheidsorganen een eigen selectielijst zullen opstellen. Naast de selectielijst moeten ook hier de passende technische en organisatorische maatregelen genomen worden. Hier wordt vanuit het Programma Open Overheid van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties aan gewerkt. Het Nationaal Archief is hierbij nauw betrokken.

Vraag 16

Er is sprake van een innovatielab bij het Nationaal Archief, waar gekeken wordt naar het verbeteren van technieken en naar verschil tussen applicaties in eigen beheer en extern (niet in eigen) beheer waar een marktverkenning naar wordt gedaan. Welke oplossingen worden voor welk probleem precies gezocht in een marktverkenning?

Er lopen, op basis van navraag bij het Nationaal Archief, twee trajecten door elkaar. Het Nationaal Archief heeft zich in een innovatielab geconcentreerd op de duurzame toegankelijkheid van tekstberichten. Hier zijn een aantal prototypes bedacht, ontwikkeld en voorgelegd aan een begeleidingscommissie. In een volgende fase worden deze prototypes verder uitgewerkt. Meer informatie hierover is hier vinden: https://kia.pleio.nl/groups/view/7f52406f-53bf-4c10-a1d3-0d2f5b16c1c7/innovatielab-informatiehuishouding/blog/view/cdcaf361-fe27-4ad5-8d60-1e7dc1753a7b/beoordelingscommissie-prototypes-team-tekstberichten.
Het innovatielab heeft geen onderzoek en marktverkenning gedaan naar applicaties in eigen beheer en extern.
Het onderzoek en de markverkenning zijn uitgevoerd door een projectgroep van het Rijksprogramma voor Duurzame digitale Informatiehuishouding (RDDI) (https://www.informatiehuishouding.nl/projecten/voorziening-chatarchivering). Het Nationaal Archief maakt deel uit van deze projectgroep. In de marktverkenning zijn methodieken verkend voor het veiligstellen van chatberichten. Deze markverkenning is afgerond en het resultaat en de aspecten die zijn meegenomen vindt u hier: https://www.informatiehuishouding.nl/projecten/voorziening-chatarchivering/documenten/verslagen/2023/12/18/verslag-verkenning-van-methodieken-voor-veiligstellen-chatberichten

Vraag 17

Op welke termijn worden resultaten van deze marktverkenning verwacht?

Zie het antwoord op vraag 16.

Vraag 18

Zou u de Kamer uiterlijk twee dagen voor de vaststelling van de begrotingsstaat van het Ministerie van Algemene Zaken (naar verwachting 18 januari 2024) de beantwoording van deze vragen willen doen toekomen?

Dit is mijn streven geweest.

Vraag 1

Kunt u in algemene zin een toelichting geven op de beoogde Nederlandse deelname aan de IPCEI-regeling voor cloudtechnologie?1 2

Het kabinet heeft op 21 september 2021 (Prinsjesdag) uw Kamer geïnformeerd over de voorgenomen Nederlandse deelname aan het Important Project of Common European Interest Next Generation Cloud Infrastructure and Services (IPCEI CIS) en de beslissing hiervoor 70 miljoen euro ten behoeve van Nederlandse projecten beschikbaar te stellen. Het kabinet vindt Europese innovatie op dit terrein van groot belang voor het bedrijfsleven en met name de maakindustrie die, ook in Nederland, voor processen en productie een steeds grotere behoefte heeft aan nieuwe, concurrerende en veilige Europese cloudtoepassingen.
Een IPCEI is een geïntegreerd Europees project dat bestaat uit meerdere nationale projecten van bedrijven en/of onderzoeksinstellingen uit deelnemende lidstaten, dat beoogt een belangrijke Europese waardeketen te realiseren of in stand te houden. Hierdoor wordt de Europese autonomie verstevigd. De IPCEI CIS is het eerste belangrijke project van gemeenschappelijk Europees belang op het gebied van cloud- en edge-computing. Het betreft de ontwikkeling van het eerste interoperabele en vrij toegankelijke Europese ecosysteem voor gegevensverwerking.
Het project moet zorgen voor de Europese ontwikkeling van gegevensverwerkingscapaciteit, software en instrumenten voor het delen van gegevens waarmee onderling verbonden, energie-efficiënte en betrouwbare cloud- en edge-technologie en samenhangende diensten voor het verwerken van gedistribueerde gegevens kunnen worden ontwikkeld. De innovatie in het kader van IPCEI CIS zal een nieuw spectrum van mogelijkheden voor Europese bedrijven en burgers bieden en zo de digitale en groene transitie in Europa bevorderen.
Hiermee past onze inzet binnen de IPCEI CIS bij bestaand beleid, zoals de kabinetsvisie op datadelen tussen bedrijven3, de Europese datastrategie4 de Strategie Digitale Economie5 en de Europese verklaring voor een nieuwe generatie edge en cloud6. Ook wordt met de IPCEI CIS een aantal marktfalens geadresseerd. Deze economische problematiek is onder andere door de Autoriteit Consument en Markt (ACM) onderzocht en beschreven in een uitgebreide marktstudie7. De Nederlandse IPCEI CIS-projecten worden inhoudelijk in de Kamerbrief die gelijktijdig met deze beantwoording wordt verzonden verder beschreven.
Op basis van een rangschikking zijn drie Nederlandse projecten in aanmerking voor subsidie gekomen. De Nederlandse projecten maken deel uit van het IPCEI CIS ecosysteem8. Hier is ook door de Europese Commissie over gecommuniceerd bij de aankondiging van de goedkeuringsbesluiten voor steun aan bedrijven op basis van het IPCEI-steunkader. Dit is een proces geweest waar door de deelnemende bedrijven, de Nederlandse overheid en de Europese Commissie zorgvuldig gedurende een periode van twee jaar aan is gewerkt. Deze subsidie is inmiddels door EZK verstrekt.

Vraag 2

Kunt u een overzicht geven van de waardeketen voor cloudtechnologie van datacenters, inclusief toeleveranciers, via clouddienstverleners, tot aan gebruikers hiervan?

Het gaat bij cloudtechnologie om IT-diensten die via het internet worden aangeboden waarbij de gebruiker geen hardware en software aanschaft, maar betaalt voor het daadwerkelijke gebruik van één of meerdere diensten die op de infrastructuur van een cloudaanbieder draaien. Deze infrastructuur is in de regel in een datacenter gehuisvest. Door deze opzet kan de gebruiker zijn of haar gebruik makkelijk op- en afschalen.
Clouddiensten worden grofweg in drie categorieën verdeeld: (1) Infrastructuur as a Service (IaaS), (2) Platform as a service (PaaS) en (3) Software as a Service (SaaS), waarbij de scheidslijnen tussen die drie niet altijd even scherp te trekken zijn. Onderstaande afbeelding geeft schematisch weer hoe deze algemene waardeketen van clouddiensten eruit ziet en wat de verschillende categorieën inhouden. Het is niet mogelijk een uitputtende beschrijving te geven van de waardeketen van cloud in Nederland.
Figuur 1: Een schematische weergave van de verschillende lagen in cloudtechnologie. Bron: ACM

Vraag 3

Wat zijn de grootste bedrijven in deze keten in Nederland, Europa en wereldwijd?

Clouddiensten worden aangeboden door een aantal van de grootste bedrijven ter wereld, zoals Amazon, Microsoft en Google. Andere actieve spelers op de Europese en Nederlandse markt voor clouddiensten zijn bijvoorbeeld IBM, Oracle, VMware, OVHcloud, Scaleway en het Nederlandse Leaseweb. De grootste cloudaanbieders zijn actief op zowel de IaaS-, PaaS- en SaaS-laag, en zijn dus verticaal geïntegreerd. De ACM9 stelt vast dat de clouddiensten van de twee grootste partijen, Microsoft Azure en Amazon Web Services (AWS), in zowel Nederland als Europa, op de IaaS- en PaaS-laag over een groot marktaandeel beschikken (beide 35 à 40 procent). Google is de sterke derde speler op de Nederlandse en Europese markt. Er is sprake van een hoge mate van concentratie op de markt voor clouddiensten. Daarbij leveren Nederlandse bedrijven vaak diensten gebaseerd op infrastructuur die door derden worden geleverd.

Vraag 4

Op welke control points in de keten heeft Nederland een goede concurrentiepositie en op welke zouden we die kunnen ontwikkelen?

Over het algemeen hebben Nederlandse cloudbedrijven een klein marktaandeel in alle lagen van de waardeketen, hoewel Nederlandse bedrijven op het gebied van IaaS een relatief sterkere positie hebben. Daarmee zijn de strategische controlepunten in de waardeketen van cloudbedrijven, voor zover die er zijn, niet direct de basis voor de Nederlandse concurrentiepositie. De IPCEI CIS is gericht op het stimuleren van een nieuwe generatie innovatie edge- en cloudoplossingen, waarbij beoogd wordt dat de concurrentiepositie van deelnemende Europese bedrijven verbetert. Zo kunnen deze bedrijven op het gebied van bijvoorbeeld federatieve cloudoplossingen, dus het kunnen verbinden van clouddiensten van verschillende aanbieders met elkaar, en nieuwe edge-technologieën een sterkere marktpositie krijgen. Hierbij wordt niet direct een focus gelegd op het creëren van een sterke positie van specifiek Nederlandse bedrijven, maar wordt gewerkt aan het creëren van een sterke Europese waardeketen over de verschillende lagen heen. Europese integratie is ook een voorwaarde om staatssteun onder het IPCEI steunkader te mogen verlenen.

Vraag 5

Bent u voornemens om (een deel van) de door de Nederlandse regering gereserveerde € 70 miljoen in te zetten om een soevereine Nederlandse clouddienst te realiseren?

Digitale infrastructuur zoals cloud bestaat uit wereldwijde toepassingen en verbindingen waarin een uitsluitend Nederlandse (toonaangevende of soevereine) dienst op dit moment niet voor de hand ligt. Het gaat bij de IPCEI CIS om het behalen van Europese doelstellingen op het gebied van cloudinnovatie waarbij Nederlandse deelname op basis van kennis, innovatie en financiering geen vanzelfsprekendheid vooraf is. Het kabinet vindt Nederlandse deelname echter van groot belang vanuit innovatieoogpunt, maar ook voor het toekomstig gebruik van te ontwikkelen Europese clouddiensten door Nederlandse (maakindustrie)bedrijven. Daarom heeft mijn ministerie zich samen met betrokkenen uit de Nederlandse cloudsector, actief ingezet voor deelname en financiering gereserveerd.
De IPCEI CIS draagt rechtstreeks bij aan de verwezenlijking van verschillende doelstellingen op het gebied van een digitale, groenere, veiligere, veerkrachtigere en soevereine economie. De middelen worden ingezet om Nederlandse bedrijven en onderzoeksinstellingen een bijdrage te laten leveren aan een nieuwe generatie innovatieve cloudoplossingen, zoals ook beschreven staat in de IPCEI subsidieregeling10. Hiervan kunnen zowel Nederlandse bedrijven als overheden straks gebruik maken.

Vraag 6

Welke governance is van toepassing om te garanderen dat het publieke en private geld terecht komt bij de juiste bedrijven? Welke rol zullen de regionale ontwikkelmaatschappijen hierbij spelen?

De Nederlandse bedrijven en onderzoeksinstellingen die in de IPCEI CIS subsidie krijgen zijn geselecteerd op basis van de criteria uit de IPCEI subsidieregeling11. Steun aan individuele bedrijven blijft beperkt tot wat noodzakelijk en evenredig is en niet zorgt voor marktverstoring. De Europese Commissie heeft zich er van vergewist dat de staatssteun die bedrijven mogen ontvangen in het kader van het IPCEI steunkader in overeenstemming is met de subsidiabele kosten van de projecten in relatie tot de zogenoemde «financieringskloof». Dit zijn de niet rendabele kosten van een project. De monitoring van de met publieke middelen gefinancierde projecten wordt in Nederland uitgevoerd door de RVO, hier spelen de regionale ontwikkelmaatschappijen geen rol bij. Ook op Europees niveau zijn er voor de IPCEI CIS verschillende governance mechanismes ingericht om te waarborgen dat publieke middelen op een effectieve manier worden ingezet en het geheel aan Europese projecten goed op elkaar wordt afgestemd. Ook wordt op Europees niveau ingezet op een transparant, inclusief en sneller ontwerp van belangrijke projecten van gemeenschappelijk Europees belang.

Vraag 7

In welke mate heeft dit initiatief raakvlakken met andere initiatieven van het Ministerie van EZK, zoals de Agenda Digitale Open Strategische Autonomie en de Nationale Technologiestrategie?

De IPCEI CIS draagt rechtstreeks bij aan de verwezenlijking van verschillende doelstellingen op het gebied van een digitale, groenere, veiligere, veerkrachtigere en soevereine economie. Daarmee sluit het ook aan bij de agenda Digitale Open Strategische Autonomie (DOSA) en de Nationale Technologiestrategie. Europa is momenteel erg afhankelijk van cloudaanbieders uit derde landen, wat impact kan hebben op onze nationale veiligheid, ons verdienvermogen en andere maatschappelijke belangen. In het bijzonder is controle behouden over strategische en gevoelige gegevens een punt van toenemende aandacht. De doelstelling van het IPCEI-project van het verder ontwikkelen van Europese cloud- en edge-technologie kan bijdragen aan het verminderen van onze afhankelijkheid.

Vraag 1

Zoals gebruikelijk weigert de Minister-President op vragen over het World Economic Forum (WEF) inhoudelijk te antwoorden1; kan de Minister-President uitleggen waarom zoveel geheimzinnigheid wordt betracht over contacten van de Nederlandse overheid (die tot transparantie aan het Nederlandse volk verplicht is) met een buitenlandse private organisatie die zelf een groot voorstander van transparantie beweert te zijn? Zo nee, waarom niet?

De meeste bijeenkomsten tijdens het WEF worden via een live-stream uitgezonden. Daarnaast ben ik transparant over de bedrijven en regeringsleiders die ik spreek, voor zover de belangen van de staat zich daar niet tegen verzetten.

Vraag 2

Indien de Minister-President een zwijgplicht heeft ten aanzien van wat hij bespreekt met Klaus Schwab, kan hij dan wellicht Klaus Schwab uit het oogpunt van transparantie en om het vertrouwen in de Nederlandse instituties te herstellen verzoeken om een toelichting dienaangaande te komen geven in een vergadering van de Tweede Kamer? Zo nee, waarom niet?

Het is niet aan mij om mensen uit te nodigen in de Tweede Kamer, dat is aan de Tweede Kamer zelf.

Vraag 3

Waarom namen de Minister van Financiën (mevrouw Kaag), de heer Dusek, de heer Halberstadt (voormalig lid van de Bilderberg-steering committee) en de heer Sijbesma (biotechnoloog, lid van de toezichtsraad van het WEF, klimaatleider van de Wereldbank, met name gericht op CO2-beprijzing, en lid van de externe adviesraad van het Internationaal Monetair Fonds (IMF), speciaal afgevaardigde van de regering tijdens corona met betrekking tot het testen, en lid van de VN Scaling Up Nutrition Movement Group) deel aan dit gesprek over kunstmatige intelligentie? Gezien hun functies en expertises is dat immers toch niet zo voor de hand liggend? Of wel?

Het gesprek had een informeel karakter en was bedoeld om vrij met elkaar van gedachten te wisselen. De aanwezigen hebben een internationaal profiel en achtergrond en zijn regelmatige bezoekers van het WEF. Het onderwerp AI sluit tevens aan bij de thematiek van de 54e jaarlijkse bijeenkomst van het WEF in januari aanstaande. De bijeenkomst zal dan mede gaan over de kansen die worden geboden door dergelijke nieuwe technologieën.

Vraag 4

Betekent de deelname van de bovengenoemde personen dat het onderwerp kunstmatige intelligentie tijdens dit gesprek in verband is gebracht met de voorgenomen implementatie van de One Health filosofie? Zo nee waarom niet?

Tijdens dit gesprek is de One Health filosofie niet aan de orde geweest. Het betrof een informeel gesprek over de kansen en risico’s van het gebruik van Artificial Intelligence (AI).

Vraag 5

Of betekent het wellicht dat kunstmatige intelligente in verband is gebracht met de invoering van een Europese Digitale Identiteit? Zo nee waarom niet?

Tijdens dit gesprek is de Europese Digitale Identiteit niet aan de orde geweest. Het betrof een informeel gesprek over de kansen en risico’s van het gebruik van Artificial Intelligence (AI).

Vraag 6

Of betekent het dat kunstmatige intelligente in verband is gebracht met de invoering van biometrische identificatie op wereldniveau? Zo nee waarom niet?

Tijdens dit gesprek is biometrische identificatie niet aan de orde geweest. Het betrof een informeel gesprek over de kansen en risico’s van het gebruik van Artificial Intelligence (AI).

Vraag 7

Of betekent het misschien dat kunstmatige intelligente in verband is gebracht met de invoering van de Central Bank Digital Currency (CBDC)? Zo nee waarom niet?

Tijdens dit gesprek is CBDC is niet aan de orde geweest. Het betrof een informeel gesprek over de kansen en risico’s van het gebruik van Artificial Intelligence (AI).

Vraag 8

Of betekent het tot slotte dat kunstmatige intelligente in verband is gebracht met de controle op online-informatiestromen? Zo nee waarom niet?

Tijdens dit gesprek is niet gesproken over controle op online-informatiestromen. Het betrof een informeel gesprek over de kansen en risico’s van het gebruik van Artificial Intelligence (AI).

Vraag 9

Waarom weigeren de Minister-President en zijn regering stelselmatig ruimhartig informatie te delen over wat er inhoudelijk met het WEF en Bilderberg wordt gewisseld terwijl de Minister-President zelf heeft erkend dat de «rode lijnen» worden uitgezet in Davos en Washington?2

Zie de antwoorden op de overige vragen.

Vraag 10

Met die uitspraak van 20 januari 2023 erkende de Minister-President toch dat het WEF een belangrijke rol speelt in het uitzetten van de beleidsagenda in Nederland? Zo nee waarom niet? Zo ja, dan heeft het Nederlandse volk er toch recht op te weten wat de Minister-President en andere machtige leden van de wereldelite onderling bedisselen? Zo nee, waarom heeft het Nederlandse volk daar dan geen recht op?

Tijdens de persconferentie na afloop van de ministerraad van 20 januari 2023 sprak ik over onderwerpen die in die week of in de ministerraad aan de orde waren gekomen. In dat kader sprak ik over de term «gemeenschappelijke thema’s». Daarmee bedoelde ik dat een aantal onderwerpen op meerdere momenten in die week de revue waren gepasseerd.

Vraag 11

Kan de premier deze vragen afzonderlijk en voor de verandering inhoudelijk (dus zonder een beroep te doen op procedurele uitvluchten) beantwoorden?

Ja.

Vraag 12

Kan de Minister-President namens de vragensteller aan zijn ambtenaren laten weten dat de vragensteller zich er bewust van is dat de vaak bijzonder gebrekkige en zelden inhoudelijke beantwoording van Kamervragen door zijn ministerie, waarvan de ronduit onbeschofte beantwoording van Kamervragen over het hijsen van vlaggen voor publieke gebouwen van woensdag jongstleden het meest recente voorbeeld is, vanzelfsprekend uitsluitend, altijd en alleen de verantwoording van de premier is en blijft en dat de vragensteller meeleeft met de ambtenaren die deze nietszeggende antwoorden hebben moeten opschrijven?

Waarvan akte.

Vraag 1

Bent u bekend met het bericht «Experts sabelen overheid neer om belangrijke websites als DigiD: «Pas nu domeinnaam aan»»?1

Ja.

Vraag 2

Deelt u de mening dat het gebruik van topleveldomeinnamen, zoals ook gevraagd tijdens het commissiedebat Digitaliserende overheid d.d. 28 juni jl. een goed idee is en wat is de status hiervan2?

Zoals opgenomen in de Werkagenda Waardengedreven Digitaliseren3, heb ik onder de pijler 2: Iedereen kan de digitale wereld vertrouwen, opgenomen te komen tot de invoering van een second-level-domein (SLD) voor de overheid. Als voorbeeld is in de Werkagenda opgenomen de SLD overheid.nl, daarnaast wordt ook gov.nl overwogen.
Met de toename van domeinnamen van de overheid is de herkenbaarheid van overheidswebsites in het geding gekomen. Een eigen topleveldomeinnaam (TLD) zoals bijvoorbeeld .gov, .overheid of .nld is nu niet mogelijk. De TLD .gov is al in bezit van de Amerikaanse overheid en kan dus niet gebruikt worden door de Nederlandse overheid.
In 2012, tijdens de laatste uitbreiding van TLD’s heeft de Internet Corporation for Assigned Names and Numbers (ICANN), de organisatie waar je een TLD moet aanvragen, de regel gehandhaafd dat 3 letterige ISO country codes TLD (ccTLD) zoals .nld niet uitgegeven worden.4 Nederland gebruikt op dit moment de 2 letterige ccTLD .nl en het huidige .nl domein werkt goed [zie Kamerstuk 26 643, nr. 947]. ICANN zal de regel over niet toekennen van 3 letterige ccTLD zeer waarschijnlijk ook handhaven in de volgende uitbreidingsronde van TLD door ICANN. Verwacht wordt dat ICANN waarschijnlijk in 2026 de aanmelding voor een volgende uitbreidingsronde voor TLD’s opent. Tot die tijd zou Nederland geen aanvraag voor een TLD kunnen indienen.
Veel landen hanteren specifiek voor overheidswebsites de SLD extensie .gov zoals het Verenigd Koninkrijk (gov.uk), Tsjechië (gov.cz), Polen (gov.pl), Griekenland (gov.gr) en Portugal (gov.pt). Het is inmiddels een internationale standaard voor overheidswebsites én herkenbaar, korter en daardoor ook veiliger. Uit recent onderzoek5 van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) blijkt aantoonbaar dat een uniforme extensie burgers helpt te bepalen of een website van de overheid is of niet.
Momenteel wordt gewerkt aan een implementatie-aanpak voor één extensie. Over de gemaakte keuze en aanpak wil ik uw Kamer via de Voortgangsrapportage van de Werkagenda Waardengedreven Digitaliseren eind dit jaar nader informeren. Voor de daadwerkelijke implementatie zal er vervolgens enige tijd nodig zijn; dit zal nader toegelicht worden in de implementatie-aanpak.

Vraag 3

Zo ja, op welke termijn verwacht u dit door te kunnen voeren?

Zie antwoord vraag 2.

Vraag 4

Waarom hebben namen van websites als DigiD en andere websites van de overheid (nog) geen specifieke domeinnamen?

Overheden zijn nu vrij domeinnamen voor hun websites te kiezen. Voor Rijksoverheden wordt deze vrijheid begrensd door de afspraken die zijn vastgelegd in het Domeinnaambeleid Rijksoverheid.6 De afspraken bevatten onder meer criteria voor het gebruik van topleveldomeinen door de Rijksoverheid zoals .nl, .eu, .com, .aw-, .cw- en .sx. En verder zijn er afspraken dat overige TLD’s zoals bijvoorbeeld .nu, .org, .net, .gov, .info, .biz, .mil niet gebruikt worden voor Nederlandse Rijksoverheidsdoeleinden.

Vraag 5

Hoe beoordeelt u dat er wordt gesteld dat de overheid domeinnamen van de eigen websites zo snel mogelijk moet aanpassen naar .gov of .overheid om de opmars van cybercriminaliteit de pas af te snijden?

De invoering van een uniform domeinnaamachtervoegsel zal de herkenbaarheid van de overheid online vergroten, zoals ik ook vermeldde in de «Werkagenda Waardengedreven Digitaliseren» die ik eind 2022 met u deelde. Het is echter geen middel om cybercriminaliteit met online overheidsdiensten volledig te voorkomen.
Zoals toegelicht in vraag 2 is de invoering van een top-level domeinnaam (TLD) voor de overheid nu niet mogelijk. De second-level domeinnamen (SLD) overheid.nl en gov.nl zijn al in bezit van de Nederlandse overheid. Deze domeinnamen kunnen als uniform achtervoegsel (ook wel suffix of extensie genoemd) worden gebruikt voor domeinnamen van de overheid. Daaronder kunnen dan domeinnamen voor organisaties worden geregistreerd zoals bijv. minbzk.overheid.nl of minbzk.gov.nl. Verschillende andere landen hanteren al een vergelijkbare aanpak of werken aan de invoering ervan, zoals Groot-Brittannië (gov.uk), Tsjechië (gov.cz), Griekeland (gov.gr), Polen (gov.pl) en Portugal (gov.pt). Ik ben voorstander van het invoeren van een SLD-extensie en zal me daarvoor ook blijven inzetten, maar een volledige overstap zal tijd kosten.

Vraag 6

Deelt u de mening dat er spoedig specifieke domeinnamen moeten komen voor de hiervoor genoemde websites? Zo neen, waarom niet?

Ik vind het belangrijk dat de digitale overheid herkenbaar en veilig is voor burgers en uit recent burgeronderzoek7 is gebleken dat één uniforme domeinnaamextensie zoals bijvoorbeeld overheid.nl of gov.nl bijdraagt aan de herkenbaarheid van de overheid. Een dergelijk extensie kan, na invoering, ook worden toegepast op websites zoals DigiD.

Vraag 7

Bent u voornemens de domeinnamen spoedig te veranderen? Zo neen, waarom niet? Zo ja, wanneer zou dat gerealiseerd kunnen zijn?

Op dit moment werkt het Ministerie van BZK interdepartementaal de mogelijkheid uit om één uniforme domeinnaamextensie voor alle publieksgerichte websites van de overheid in te voeren. Dat zal gebaseerd zijn op een SLD zoals overheid.nl of gov.nl. Ook is het Nationaal Cyber Security Centrum gevraagd een advies uit te brengen over welk extensiegebruik (gov.nl of overheid.nl) vanuit digitale veiligheid de voorkeur geniet.
Verder is begin oktober het Register van Overheidsorganisaties (ROO) uitgebreid met de bèta-versie van het Register Internetdomeinen Overheid (RIO).8 In het register staan alle publieke domeinen en -registraties van de Rijksoverheid opgenomen. Aan de hand van het register kunnen burgers nu al controleren of een domeinnaam die men bezoekt bij de overheidsorganisatie hoort die wordt verwacht. Vanaf begin 2024 worden ook de domeinen van andere overheden in het register vindbaar en zal meer bekendheid gegeven worden aan het RIO.

Vraag 8

Wanneer kan de voortgangsrapportage integrale aanpak onlinefraude worden verwacht, die zoals toegezegd tijdens het commissiedebat Cybercrime d.d. 30 maart jl.3, informatie bevat over de pilot gegevensuitwisseling, gezien banken, politie en het OM informatie hebben die helaas nog te weinig bij elkaar wordt gebracht, waardoor cybercriminelen vrij spel lijken te hebben?

De Minister van Justitie en Veiligheid zendt u uiterlijk begin 2024 de toegezegde voortgangsrapportage over 2023.

Vraag 9

In het debat Online veiligheid en cybersecurity van 29 juni 2023 is toegezegd4 om informatie over terugvalopties en de hele weerbaarheidsanalyse terug te laten komen in de update van de versterkte aanpak bescherming vitale infrastructuur: hoe staat het met de uitwerking van deze toezegging?

Uw Kamer wordt voor het einde van dit jaar door de Minister van Justitie en Veiligheid geïnformeerd over deze toezegging en over de motie Rajkowski en Van Raan over het in kaart brengen in hoeverre terugvalopties nodig zijn voor het versterken van de digitale weerbaarheid (26 643 nr. 1053).

Vraag 10

Bent u voornemens het onderzoek van Interpolis, waarnaar verwezen wordt in het artikel, mee te nemen in de aanpak tegen phishing en andere vormen van cybercriminaliteit? Zo ja, op welke manier zal dit terugkomen en wanneer verwacht het kabinet een update over de aanpak te kunnen geven? Zo nee, waarom niet?

De in het artikel genoemde noties over online weerbaarheid, en het herkennen en voorkomen van cybercriminaliteit zijn bekend. Dat wordt door de Minister van Justitie en Veiligheid meegenomen in de aanpak tegen cybercrime, en de aanpak tegen online fraude. Een voorbeeld hiervan is de campagne «Laat je niet interneppen», die op 10 oktober is gestart. Er wordt rekening gehouden met de verschillende (online) belevingswerelden van verschillende leeftijdsgroepen. Daarom is het eerste deel van de campagne met name gericht op jongeren tussen 15 en 23 jaar oud. Volgende delen zullen zich op andere doelgroepen richten.
In het voorjaar van 2024 zal de Minister van Justitie en Veiligheid een volgende update over de integrale aanpak cybercrime naar uw Kamer zenden.

Vraag 11

De drempel om te starten met cybercrime zoals phishing ligt steeds lager en daders worden steeds jonger. De Minister heeft eerder toegezegd programma’s als «Hack_Right» meer in te zetten om jongeren op het juiste pad te zetten: hoe staat het hiermee? Hoe vaak is een hack_right traject in 2023 tot dus ver opgelegd?

Er zijn verschillende interventies die door de politie en HALT worden ingezet om jongeren op het juiste te pad te houden of te zetten. Een voorbeeld hiervan is Re_B00tcmp, een terugkerend regionaal evenement voor jongeren met interesse in IT, en die de neiging hebben online grenzen op te zoeken. Tijdens het evenement leren zij middels verschillende presentaties van publieke en private partijen over online grenzen en positieve kansen van IT. Ook is er lesmateriaal ontwikkeld, dat ondersteuning biedt aan ouders, docenten en wijkagenten om jongeren met interesse in IT naar diverse positieve alternatieven te begeleiden. Ook is een aantal online interventies ontwikkeld, zoals de game Framed, en de inkoop van online advertenties om mensen die naar cybercriminele activiteiten (zoals DDoS) zoeken een advertentie van de politie te laten zien die informeert over de strafbaarheid en mogelijke consequenties. In 2023 zijn er tot dusver twee Hack_Right-trajecten opgelegd. Daarnaast is Hack_Right twee keer geadviseerd, eenmaal door de Raad van de Kinderbescherming, en eenmaal door de Reclassering. De rechter heeft daarover nog geen uitspraak gedaan.

Vraag 1

Kunt u bevestigen dat u op 27 september heeft gesproken met Klaus Schwab over «kunstmatige intelligentie in de mondiale economie»?1

Ja.

Vraag 2

Wie heeft dit gesprek geïnitieerd?

Het idee voor een gesprek is in gezamenlijkheid tot stand gekomen.

Vraag 3

Wat was de aanleiding voor dit gesprek?

Zie het antwoord op vraag 2. De keuze voor het onderwerp hangt samen met een van de thema’s voor de bijeenkomst in Davos van januari 2024.

Vraag 4

Waarom acht u het van belang om Klaus Schwab te spreken over dit onderwerp?

Zie het antwoord op vraag 3.

Vraag 5

Wie waren de andere deelnemers?

Aan het gesprek namen naast de heer Schwab ook de Minister van Financiën, de heer Dušek, de heer Halberstadt en de heer Sijbesma deel en ambtelijke ondersteuning.

Vraag 6

Wat was uw doel van het gesprek?

Het gesprek had geen specifiek doel of gewenste uitkomst. Het gesprek betrof een vrije gedachtenwisseling.

Vraag 7

Wat was de uitkomst van het gesprek?

Het gesprek had een informeel karakter en was bedoeld om vrij met elkaar van gedachten te wisselen. Het gesprek had niet tot doel om tot een uitkomst te leiden.

Vraag 8

Bent u bereid de notulen van het gesprek te delen? Zo nee, waarom niet?

Van het gesprek zijn geen notulen gemaakt. Het betrof een informeel gesprek.

Vraag 9

Zijn er naast dit gesprek nog andere activiteiten van overheidswege gepland, waar Klaus Schwab gedurende zijn verblijf in Nederland bij aanwezig is? Zo ja, kunt u de voorgaande vragen mutatis mutandis ook ten aanzien van die andere activiteiten beantwoorden?

Nee.

Vraag 1

Bent u bekend met het bericht «Minister gooit satellietbedrijf Inmarsat van 5G-frequentie»?1

Ja.

Vraag 2

Kunt u toelichten waarom de huidige wet- en regelgeving in Griekenland het niet toelaat om de duur van de vergunning voor Inmarsat te verlengen?

De Griekse overheid kan in de specifieke situatie van Inmarsat op basis van de Griekse wet- en regelgeving slechts vergunningen verlenen voor de duur van 5 jaar. Een vergunning voor een tweede 5-jaars termijn is daarbij mogelijk; dat is expliciet bepaald in deze vergunning. De aanvraag voor de tweede termijn kan al relatief vroeg worden ingediend en niet pas tegen het einde van de eerste 5-jaars termijn.

Vraag 3

Acht u de eis van Inmarsat om zekerheid voor minimaal tien jaar te krijgen realistisch en proportioneel?

Uit mijn antwoord op vraag 2 blijkt waarom de eis van Inmarsat om de duur van de door de Griekse autoriteiten verleende vergunning te verlengen niet realistisch is. Daarnaast acht ik deze eis ook niet proportioneel. Inmarsat heeft nu al voldoende zekerheid. De Griekse autoriteiten hebben Inmarsat immers al een vergunning verleend met een looptijd van 5 jaar en het uitgangspunt (van de Griekse autoriteiten) is dat zij ook een nieuwe vergunning zullen verlenen voor nogmaals een periode van 5 jaar. Dat uitgangspunt is expliciet opgenomen in de vergunning van Inmarsat. Er is slechts een uiterst kleine kans dat dit niet zal gebeuren of dat de Griekse autoriteiten een gewijzigde vergunning zouden verlenen (zie ook mijn antwoord op vraag 4). Dat leidt er dan niet toe dat de dienstverlening t.a.v. het nood-, spoed- en veiligheidsverkeer zou moeten worden beëindigd. In dat geval zou namelijk eerst naar (technische) aanpassingen worden gekeken om storing door mobiele telecommunicatienetwerken – die gebruik maken van de 3,5 GHz-band in Griekenland – op het grondstation van Inmarsat te voorkomen. Deze aanpassingen kunnen zien op technische maatregelen die genomen moeten worden aan de kant van mobiele telecommunicatienetwerken dan wel aan de kant van het grondstation van Inmarsat. EETT, de Griekse telecomtoezichthouder, heeft aangegeven zich actief op te stellen richting betrokken partijen in het geval zich storing zou voordoen. Gezien al deze waarborgen is het niet proportioneel om hiervoor de uitrol van 5G in Nederland langer uit te stellen of om hiervoor andere voorzieningen te treffen.

Vraag 4

Waaruit blijkt volgens u het door de Griekse autoriteiten getoonde commitment om de dienstverlening ten aanzien van nood-, spoed- en veiligheidsverkeer (NSV-verkeer) door Inmarsat te verwelkomen en te beschermen?

Ambtenaren van mijn ministerie hebben – deels in afstemming met Inmarsat – de afgelopen tijd verschillende overleggen gevoerd met het Griekse Ministerie van Digitale Zaken, EETT en het Ministerie van Transport. Uit de gevoerde gesprekken, waarin herhaaldelijk de verwelkoming van Inmarsat werd uitgesproken, blijkt dat het in de vergunning beschreven scenario waarin de licentie niet (ongewijzigd) zou worden verlengd, vooral ziet op de situatie dat Griekenland vanuit de Europese Unie wordt verplicht om met 5G-telecommunicatie zelfrijdende voertuigen voor goederentransport en personenvervoer op een nabijgelegen snelweg te faciliteren. Griekenland kan dit scenario niet uitsluiten, maar acht de kans op verwezenlijking daarvan binnen de relevante periode uiterst klein. Het door Inmarsat gevreesde risico wordt dan ook door EETT slechts als theoretisch beschouwd.

Vraag 5

Welke extra diplomatieke inspanning kunt u nog leveren richting de Griekse autoriteiten om extra waarborgen af te spreken die kunnen leiden tot een definitieve verhuizing?

Op 15 september jl. heb ik met de Griekse Minister van Digitale Zaken online overleg gevoerd over de verhuizing van Inmarsat. Het overleg verliep constructief.

Vraag 6

Was er in de onderhandelingen tussen u en Inmarsat al overeenstemming over een schadevergoeding of nadeelcompensatie voor Inmarsat?

Nee, er is met Inmarsat geen overeenstemming bereikt over schadevergoeding of nadeelcompensatie voor Inmarsat.

Vraag 7

Klopt het dat u in uw brief van 3 juli jl. heeft aangegeven dat in de situatie die nu is ontstaan de veilingprocedure op zijn vroegst in het eerste kwartaal van 2024 zal kunnen starten?2

Dat is inderdaad correct. De migratie naar Griekenland biedt in mijn ogen Inmarsat nu voldoende zekerheden om een wijziging van het Nationaal Frequentieplan 2014 (NFP) voor te bereiden waarin de bescherming van Inmarsat vanaf 1 februari 2024 wordt opgeheven. Ik vind dit nodig gelet op het belang voor Nederlandse bedrijven en consumenten van het zo snel mogelijk beschikbaar stellen van de 3,5 GHz-band voor mobiele communicatie ten behoeve van de uitrol van 5G. Zoals ik in mijn brief van 3 juli jl. uiteen heb gezet, zal voor deze wijziging de Uniforme Openbare Voorbereidingsprocedure conform de Algemene wet bestuursrecht moeten worden doorlopen waarbij een ontwerpbesluit zes weken in consultatie wordt gebracht. Na afloop van de consultatiefase worden de reacties verwerkt en zal ik het definitieve besluit nemen. Ook in dit scenario acht ik het verstandig de uitspraak van de rechter in de beroepszaak van eerste helft oktober af te wachten voor de start van de veilingprocedure. Dit gehele proces neemt op zijn minst een aantal maanden in beslag. Ik heb aangegeven te verwachten dat in dit scenario de veilingprocedure op zijn vroegst in het eerste kwartaal van 2024 zal kunnen starten.

Vraag 8

Bent u naar aanleiding hiervan voornemens om de 3,5Ghz-veilling uit te stellen naar 2024 en, zo ja, wat wordt het precieze nieuwe tijdpad?

De veiling van de 3,5 GHz-band zal inderdaad niet meer in 2023 plaatsvinden, maar in 2024. Het exacte tijdpad is echter afhankelijk van de uitkomst van de lopende gerechtelijke procedure tegen het NFP-wijzigingsbesluit m.b.t de 3,5 GHz-band. Ik kan om die reden op dit moment niet aangeven hoe het precieze tijdpad voor de veiling in 2024 er uit komt te zien.

Vraag 9

Is al duidelijk of de geplande zitting bij de rechtbank op 11 oktober a.s. wordt gehandhaafd of uitgesteld, zoals u in uw brief van 3 juli jl. suggereert?

De rechtbank Rotterdam heeft mij laten weten dat de geplande zitting op 11 oktober a.s. wordt gehandhaafd.

Vraag 10

Waarom heeft u ervoor gekozen om de deadline voor het vervallen van de vergunning van Inmarsat op 1 februari 2024 te stellen? Is deze deadline voldoende in lijn met een aangepaste tijdlijn voor de veiling?

Allereerst merk ik op dat Inmarsat in Nederland geen vergunning heeft, maar de bescherming van de verzorging van het NSV-verkeer ontleent aan het NFP. Deze bescherming komt per 1 februari 2024 te vervallen. Daarbij heeft Inmarsat voor de verzorging van het NSV-verkeer ten minste twee locaties nodig in Europa. Naast het grondstation in Burum, beschikte Inmarsat al over een tweede station in Fucino, Italië. De situatie in Italië is onveranderd; Inmarsat beschikt daar nog steeds over een grondstation. Inmarsat beschikt inmiddels ook over een grondstation in Griekenland. Na het uitkomen van het advies van de adviescommissie is door mijn ministerie ieder kwartaal overleg gevoerd met Inmarsat over de voortgang van de werkzaamheden die nodig waren voor verhuizing naar Griekenland. De afronding van de werkzaamheden voor de verhuizing naar Griekenland is concreet in zicht. De bouw van het satellietgrondstation is afgerond en op dit moment vinden in Griekenland de laatste configuratietesten plaats. Op basis van de laatste informatie zie ik geen beletsel voor Inmarsat om de migratie per 1 januari 2024 te kunnen afronden. Hoewel Inmarsat geacht wordt de migratie vóór 1 januari 2024 te voltooien, hanteer ik één maand speling tussen de migratie van het door Inmarsat verzorgde NSV-verkeer en de wijziging van het NFP. Dit betekent dat de (tijdelijke) bescherming die Inmarsat aan het huidige NFP kan ontlenen, per 1 februari 2024 vervalt. De continuïteit van de afwikkeling van het NSV-verkeer door Inmarsat is hiermee geborgd. Zo spoedig als mogelijk na 1 februari 2024 kan dan de veilingprocedure in gang worden gezet, waarbij ik voor het precieze tijdpad wel afhankelijk ben van de uitkomst van de gerechtelijke procedure zoals ik heb aangegeven in het antwoord op vraag 8.

Vraag 11

Hoe zorgt u ervoor dat de overheid als betrouwbare partner optreedt richting betrokken partijen zonder dat we nog verder achter gaan lopen in Europa door een trage uitrol van 5G?

Ik probeer zo transparant mogelijk te zijn in de stappen die nodig zijn om tot de daadwerkelijke ingebruikname van de 3,5 GHz-band over te kunnen gaan. Ik heb daarbij echter niet in de hand dat belanghebbende partijen juridische procedures aanspannen tegen de besluiten die ik neem. Er loopt nu een beroepsprocedure tegen het NFP-wijzigingsbesluit m.b.t. de 3,5 GHz-band uit 2023. De procedure en de uitkomst ervan kunnen effect hebben op de planning van de veiling van de 3,5 GHz-band en daarmee op de ingebruikname van deze frequentieband. Overigens kunnen voor de frequentieruimte die in de 3,5 GHz-band is bestemd voor perceelgebonden netten (de zgn. 2x50 MHz, lopend van 3400–3450 MHz en 3750–3800 MHz) vanaf 1 december 2023 vergunningen worden aangevraagd.

Vraag 1

Bent u bekend met het onderzoeksrapport «The Future of NATO’s European Land Forces: Plans, Challenges, Prospects»?1

Ja.

Vraag 2

Erkent u dat Duitsland slecht scoort op (digitale) interoperabiliteit, en de gebrekkige digitalisering partnerlanden dwingt hun eigen capaciteiten te «downgraden»?2

Nee. In de huidige landmachtsamenwerking met Duitsland is het in sommige gevallen niet mogelijk om onderling de maximale capaciteiten van Nederlandse systemen volledig te benutten. De systemen kunnen echter binnen de Nederlandse eenheden wel maximaal benut worden, zelfs wanneer geïntegreerd samengewerkt wordt met Duitsland. Er is daardoor geen sprake van «downgraden».

Vraag 3

Wat zijn de gevolgen hiervan voor de Nederlands-Duitse defensiesamenwerking? Heeft Nederland ook capaciteiten moeten «downgraden» om op één lijn te komen met de Duitsers?

In aanvulling op het antwoord op vraag 2 geldt dat Nederland en Duitsland doorlopend werken aan de verbetering van de digitale interoperabiliteit en standaardisatie. Defensie moderniseert binnen het vervangings- en moderniseringsprogramma Foxtrot haar grondgebonden mobiele militaire radio- en communicatieapparatuur (Kamerstukken 33 279, nr. 31 van 12 december 2019 en 27 830, nr. 316 van 2 oktober 2020). In een vergelijkbaar programma is de Duitse krijgsmacht in 2018 gestart met een groot moderniseringsprogramma om haar command & control middelen te moderniseren: D-LBO («Digitisation of Land-Based Operations», Kamerstuk 31 125, nr. 114 van 11 september 2020).

Vraag 4

Zijn er andere gebieden waarin de ontwikkeling en het opereren van onze landmacht wordt gehinderd door een gebrekkige inrichting van de Duitse landmacht? Zo ja, welke?

Nee, de ontwikkeling en het opereren van de Nederlandse landmacht wordt niet gehinderd door de inrichting van de Duitse landmacht.

Vraag 5

Deelt u de conclusie uit het rapport dat NAVO-lidstaten soms moeilijke keuzes moeten maken ten aanzien van de opbouw van hun landstrijdkrachten, zélfs als er voldoende budget is?

Ja. Niet alles kan. Keuzes moeten worden gemaakt. Hoewel het onderzoeksrapport van het International Institute for Strategic Studies (IISS) alleen ingaat op de landstrijdkrachten, geldt dit voor de gehele krijgsmacht en voor alle domeinen. Voor deze keuzes moeten onder andere bondgenootschappelijke verplichtingen worden afgewogen tegen nationale verplichtingen, zoals de inzet in het Caribisch deel van het Koninkrijk. Meerjarige zekerheid en financiële stabiliteit, gecombineerd met een duidelijke (strategische) visie maken dat er toekomstbestendige keuzes gemaakt kunnen worden die de krijgsmacht over de volle breedte versterkt.

Vraag 6

Voor welke moeilijke keuzes staat Duitsland, en bestaat het risico dat onze landmacht straks nog meer capaciteiten moet «downgraden» om maar te kunnen samenwerken met Duitsland?

Over de keuzes die in andere landen worden gemaakt, kan het kabinet geen uitspraken doen. Zoals aangegeven in de beantwoording van de vragen 2 en 3 is geen sprake van «downgraden».

Vraag 7

Wordt Duitsland diplomatiek bij de les gehouden en op scherp gezet om de in 2022 aangekondigde defensie-investeringen, in het belang van de NAVO, wel goed uit te voeren?

Elke bondgenoot rapporteert jaarlijks aan de NAVO over de verwachte ontwikkelingen van de defensie-uitgaven. De voortgang van de intensivering van de defensie-uitgaven worden ook besproken tijdens bijeenkomsten van NAVO-Ministers van Defensie en meest recent nog tijdens de afgelopen NAVO-top van 11 en 12 juli 2023 in Vilnius (zie ook: Kamerstuk 28 676, nr. 440 van 18 juli 2023). De ontwikkeling van de defensie-uitgaven wordt door NAVO gepubliceerd in het openbare burden sharing rapport.3

Vraag 8

Erkent u (met het oog op bovenstaande) de noodzaak om de Nederlandse krijgsmacht zo zelfstandig mogelijk te laten functioneren en dus niet samen te laten smelten met de Duitse krijgsmacht? Zo nee, waarom niet?

Nee. Door samenwerking wordt onze krijgsmacht sterker en Nederland veiliger. Over de landmachtsamenwerking met Duitsland is uw Kamer reeds geïnformeerd (Kamerstuk 33 279, nr. 37 van 23 februari 2023).

Vraag 1

Kent u het artikel «Dat zijn toch gewoon ál onze artikelen?»1

Ja.

Vraag 2

Kunt u bevestigen dat ChatGPT zijn taalmodel traint op basis van miljoenen onrechtmatig verkregen documenten van Docplayer.nl?

Ik beschik niet over informatie over de manier waarop ChatGPT gegevens verwerkt. Ik deel de zorg of gegevensverwerking door ChatGPT in overeenstemming met de regels van het gegevensbeschermingsrecht plaatsvindt. Ik vind het dan ook een goede zaak dat de Autoriteit Persoonsgegevens (AP), als toezichthouder op de naleving van de Algemene Verordening Gegevensbescherming (AVG), op 7 juni jl. bekend heeft gemaakt dat zij OpenAI per brief om opheldering heeft gevraagd over ChatGPT.2 De AP schrijft op haar website dat zij van OpenAI wil weten welke data worden gebruikt om het algoritme te trainen op welke manier dat gebeurt. Verder schrijft de AP zorgen te hebben omtrent informatie over mensen die GPT gebruikt. De gegenereerde inhoud kan onnauwkeurig zijn, verouderd, onjuist, ongepast, beledigend, of aanstootgevend en kan een eigen leven gaan leiden. Of en zo ja hoe OpenAI die gegevens kan rectificeren of verwijderen, vindt de AP nog onduidelijk, zo volgt uit haar bericht.

Vraag 3

Klopt het dat die documenten vol staan met onder andere BSN-nummers, persoonlijke belastingaangiftes, curricula vitae en andere persoonsgegevens?

Zie antwoord vraag 2.

Vraag 4

Deelt u de stelling uit het artikel: «De persoonlijke informatie van docplayer.nl was op de website zélf al in strijd met de wet, laat staan wanneer die ook nog eens in chatbots wordt verwerkt»? Zo nee, waarom niet?

Er is mij onvoldoende bekend over docplayer.nl om hierover stelling in te nemen. Dat is ook niet de taak van het kabinet; de toezichthouder op de verwerking van persoonsgegevens dient dat in de eerste plaats te beoordelen, of het Openbaar Ministerie indien wordt vermoed dat sprake is van strafbare feiten.

Vraag 5

Klopt het dat ChatGPT hiermee onrechtmatig en onwettig persoonsgegevens verwerkt?

Het kabinet deelt de zorgen van uw Kamer over de risico’s die generatieve AI-systemen, zoals ChatGPT, met zich mee kunnen brengen voor onder meer privacy, desinformatie en manipulatie. We zetten ons als kabinet vol in op het nemen van passende stappen op dit onderwerp.
Het kabinet werkt momenteel aan een visietraject over generatieve AI, zoals verzocht door uw Kamer middels de motie van de leden Dekker-Abdulaziz en Rajkowski. Deze visie wordt op een transparante wijze ontwikkeld en getoetst in diverse sectoren. U ontvangt deze visie voor het einde van het jaar. Over de voortgang is uw Kamer op 7 juli jl. al separaat geïnformeerd3. In deze visie formuleert het kabinet een standpunt over generatieve AI, waar ook een van de meest gebruikte generatieve AI-tools onder valt: ChatGPT. Ook wordt uiteengezet welk handelingsperspectief de Nederlandse overheid heeft om te waarborgen dat deze technologie op een verantwoorde manier in onze samenleving wordt ingebed.
Nederland speelt daarnaast een actieve rol in de onderhandelingen over zowel de AI-verordening van de EU als het AI-verdrag van de Raad van Europa. De AI-verordening stelt specifieke eisen aan de ontwikkelaars en gebruikers van hoog-risico AI-systemen, bijvoorbeeld als het gaat om transparantie en productveiligheid. Wij vinden het – net als het Europees Parlement – van belang dat er in deze wet speciale aandacht is voor foundation models en generatieve AI, zoals GPT en ChatGPT. Het kabinet zet zich ervoor in dat deze wet zo snel mogelijk wordt aangenomen.
De AP heeft mij geïnformeerd dat het samenwerkingsverband van Europese privacytoezichthouders (EDPB) op 13 april heeft besloten om, naar aanleiding van het Italiaanse optreden tegen OpenAI inzake ChatGPT, een taskforce in te stellen. Deze taskforce heeft tot doel de samenwerking en informatie-uitwisseling over mogelijke handhavingsmaatregelen te bevorderen. Alle Europese privacytoezichthouders zijn in dit samenwerkingsverband vertegenwoordigd, dus ook de AP. Generatieve AI, zoals het grote taalmodel artificiële intelligentie (AI) systeem ChatGPT, is een grensoverschrijdend fenomeen dat vraagt om een geharmoniseerde aanpak. Daarom hecht de AP grote waarde aan een effectief gezamenlijk optreden van de Europese privacytoezichthouders. Of ChatGPT rechtmatig persoonsgegevens verwerkt, is uiteindelijk ter beoordeling van de toezichthouders.

Vraag 6

Hoe oordeelt u daarover? Wat gaat u er aan doen?

Zie antwoord vraag 5.

Vraag 7

Klopt het dat ChatGPT voor zijn taalmodel ongeveer net zoveel geleerd heeft van de neonazistische website Stormfront als van de website van RTL Nieuws?2

Vraag 8

Hoe oordeelt u daarover? Wat gaat u er aan doen?

Vraag 9

Klopt het dat ChatGPT gebruik heeft gemaakt van onder andere 594.000 NRC artikelen en 162.000 Volkskrant artikelen?

Vraag 10

Deelt u de mening dat ChatGPT hiermee inbreuk maakt op het auteursrecht?

Dat valt niet op voorhand te zeggen. Op grond van artikel 25a, derde lid, van de Auteurswet wordt onder tekst- en datamining verstaan een geautomatiseerde analysetechniek die gericht is op de ontleding van tekst en gegevens in digitale vorm om informatie te genereren zoals, maar niet uitsluitend, patronen, trends en onderlinge verbanden. De definitie is ruim en omspant waarschijnlijk ook het trainen van generatieve artificiële intelligentie zoals ChatGPT. In principe is voor iedere reproductie van een werk van letterkunde, wetenschap of kunst voorafgaande toestemming van de maker of zijn rechtverkrijgende nodig. Zonder die toestemming wordt inbreuk op het auteursrecht gemaakt. Artikel 15o van de Auteurswet voorziet echter in een uitzondering op het reproductierecht voor tekst- en datamining. Aan de inroepbaarheid van die uitzondering zijn twee voorwaarden verbonden. In de eerste plaats moet de degene die zich op de uitzondering beroept rechtmatig toegang hebben tot het werk dat wordt gekopieerd om tekst- en datamining mogelijk te maken. Van rechtmatige toegang tot het werk is uiteraard sprake als het werk voor het publiek online vrijelijk beschikbaar is gesteld. In de tweede plaats moet de maker van het werk of zijn rechtverkrijgende het recht om een reproductie te maken ten behoeve van tekst- en datamining niet op passende wijze hebben voorbehouden. Of daarvan sprake is bij de artikelen waaruit ChatGPT put, is mij niet bekend. Een reproductie mag blijkens het bepaalde in artikel 15o, tweede lid, van de Auteurswet worden bewaard zolang dit nodig is voor tekst- en datamining. Daarna moet de reproductie worden verwijderd. Anders is sprake van inbreuk op het auteursrecht. De regeling is geënt op artikel 4 van richtlijn (EU) 2019/790 van het Europees Parlement en de Raad van 17 april 2019 inzake auteursrechten en naburige rechten in de digitale eengemaakte markt en tot wijziging van Richtlijnen 96/9/EG en 2001/29/EG (PbEU 2019, L130/92). Het geven van een interpretatie is daarmee uiteindelijk aan het Hof van Justitie van de Europese Unie voorbehouden.
In de kabinetsvisie generatieve AI wordt een nadere analyse uitgevoerd van auteursrechtelijke vraagstukken gerelateerd aan generatieve AI, zoals ChatGPT. Daarnaast onderzoekt het Rathenau Instituut – in opdracht van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties – hoe huidig beleid en de bestaande wet- en regelgeving zich verhouden tot generatieve AI. Hierbij zal ook aandacht uitgaan naar (juridische) auteursrechtelijke kwesties betreffende generatieve AI.

Vraag 11

Hoe oordeelt u daarover? Wat gaat u er aan doen?

Vraag 12

Klopt het dat het «kwaliteitsfilter» is gebaseerd op drie bronnen waarvan er twee (Wikipedia en Reddit) een zeer sterke oververtegenwoordiging van mannelijke input kennen?3

Vraag 13

Hoe oordeelt u daarover? Wat gaat u er aan doen?

Vraag 14

Deelt u de mening dat de Autoriteit Persoonsgegevens zo snel mogelijk met een spoedoordeel moet komen over ChatGPT en het blokkeren ervan geen taboe is? Kunt u de Autoriteit Persoonsgegevens daartoe aansporen?

Graag verwijs ik naar het antwoord op de vragen 2 en 3, waaruit volgt dat de AP zelf reeds een stap heeft gezet.

Vraag 15

Kunt u deze vragenset zo snel als mogelijk beantwoorden?

De vragen zijn zo spoedig mogelijk beantwoord.

Vraag 1

Bent u bekend met het artikel «Geplande slijtage bij je iPhone: Franse overheid ziet aanwijzingen»?1

Ja, daar ben ik mee bekend.

Vraag 2

Hoe beoordeelt u deze werkwijze van Apple (mits aangetoond)? Wat kan de Nederlandse overheid doen om de repareerbaarheid van producten zoals de iPhone af te dwingen en om geplande veroudering tegen te gaan?

In een circulaire economie moeten repareerbare producten de norm zijn en is voor geplande veroudering geen plaats. Uit het genoemde artikel blijkt dat de Franse autoriteiten onderzoeken in hoeverre Apple probeert te voorkomen dat hun producten gerepareerd kunnen worden door onafhankelijke reparateurs, doordat onderdelen niet door het product herkend worden in verband met een afwijkend serienummer.2 Het is van belang om onderscheid te maken tussen dergelijke praktijken en de praktijk van vroegtijdige (geplande) veroudering. Van dit laatste is sprake wanneer producten opzettelijk zo zijn ontworpen dat deze vroegtijdig gebreken gaan vertonen, terwijl de consument mocht verwachten dat het product langer zou meegaan.
Er kan sprake zijn van een oneerlijke handelspraktijk wanneer verkopers consumenten misleiden3 over de voornaamste kenmerken van het product, bijvoorbeeld met betrekking tot de te verwachten levensduur.4 De Autoriteit Consument & Markt (ACM) houdt toezicht op deze regelgeving. Het is echter belangrijk om op te merken dat het doorgaans de producent is en niet de verkoper die informatie heeft over de gebruikte ontwerptechnieken waardoor een product vroegtijdig veroudert. De ACM kan eventueel besluiten om, op basis van de Mededingingswet, een onderzoek te starten naar praktijken die het onafhankelijke reparateurs onmogelijk maken om producten te repareren. Het is hierbij van belang om te vermelden dat de ACM onafhankelijk is in haar toezicht en geen mededelingen doet over lopende of eventueel te starten onderzoeken.
Het verbeteren van de repareerbaarheid en daarmee de levensduur van producten is bij uitstek een Europese aangelegenheid, gezien de interne markt. Dit gebeurt via de Europese Ecodesign richtlijn. Zie ook de beantwoording van vraag 3.

Vraag 3

In hoeverre hebt u in beeld wat de omvang is van «geplande veroudering» van producten? In welke productgroepen komt deze handelwijze het meest voor en welke maatregelen zijn op nationaal en Europees gebied reeds genomen om deze praktijk tegen te gaan?

In de praktijk is het lastig vast te stellen dat veroudering bewust is gepland door producenten. Over de omvang van geplande veroudering is mede daardoor weinig informatie beschikbaar. Wel laat de effectbeoordeling bij het EU voorstel voor een «Grotere rol voor de consument bij de groene transitie» zien dat consumenten steeds vaker te maken krijgen met snellere veroudering en het onverwacht stukgaan van producten. In de bijbehorende publieksconsultatie gaf 76% van de respondenten aan te maken te hebben gehad met vroegtijdige veroudering in de voorgaande drie jaar. De respondenten gaven aan dat vooral ICT producten (47%), kleine huishoudelijke apparaten (20%), kleding en schoenen (19%), andere elektronische apparaten (18%), grote huishoudelijke apparaten (16%) en software programma’s (15%) onverwachts stuk gingen. De effectbeoordeling noemt daarnaast dat de levensduur van producten steeds korter wordt en dat technische mankementen de voornaamste reden zijn voor vervanging.
Onder de huidige Ecodesign-richtlijn wordt al aandacht besteed aan levensduur en repareerbaarheid van energiegerelateerde apparaten, door levensduureisen of duurzaamheidseisen aan producten te stellen. Bijvoorbeeld de minimumeisen die worden gesteld aan de levensduur van elektrische motoren in stofzuigers en stofzuigerslangen of aan de levensduur voor de batterij in smartphones en tablets. Op dit moment wordt er onderhandeld over de vervanging van de Ecodesign-richtlijn door een verordening.5
De Minister van Economische Zaken en Klimaat onderhandelt momenteel over het Europese voorstel voor een «Grotere rol voor de consument bij de groene transitie»6 dat onder andere tot doel heeft om consumenten in de aankoopfase beter te informeren over de (on)mogelijkheden tot reparatie. In dat EU-voorstel is onder meer de verplichting voor de softwareleverancier opgenomen om consumenten te informeren over de negatieve impact (verouderende werking) van een update op de werking van een product met een digitaal element. De Minister en ik werken in deze onderhandelingen nauw samen.

Vraag 4

Hoe kijkt u in het algemeen naar «geplande veroudering» van producten in het licht van de doelstellingen van een circulaire economie in 2050? Welke concrete oplossingen biedt het maart 2023 gepresenteerde voorstel van de Europese Commissie voor een «recht op reparatie» voor deze problematiek en in hoeverre zijn deze voldoende?

Ik vind dat er geen plaats is voor geplande veroudering in een circulaire economie, waarin het langer gebruiken van producten juist erg belangrijk is. In een circulaire economie produceren we producten van hoge kwaliteit en gebruiken we producten die lang meegaan en goed repareerbaar zijn.
Onlangs zijn de onderhandelingen over het Commissievoorstel voor een recht op reparatie gestart. De Minister van Economische Zaken en Klimaat voert die onderhandelingen vanuit het kabinet en ook hier werken onze ministeries nauw met elkaar samen. Dit voorstel moet het voor consumenten gemakkelijker maken om hun producten ook buiten de garantieperiode te (laten) repareren. Zo worden producenten verplicht om (tegen betaling) bepaalde producten7 buiten de garantieperiode te herstellen en consumenten over deze verplichting te informeren.8 Daarnaast moeten producenten ervoor zorgen dat onafhankelijke reparateurs toegang hebben tot specifieke reserveonderdelen voor een periode tot maximaal tien jaar nadat het laatste model op de markt is verschenen. Bovendien moeten onafhankelijke reparateurs toegang krijgen tot aan reparatie gerelateerde informatie.9 In de onderhandelingen over het voorstel zal om verduidelijking worden gevraagd of deze informatie ook betrekking heeft op de onverenigbaarheid van reserveonderdelen met het oorspronkelijke product, conform de praktijk die beschreven wordt in het door u aangehaalde artikel.

Vraag 5

Bent u bekend met de Franse «Repairability Index»?2 Gaat deze index ook onderdeel zijn van het Europese Ecodesign pakket? Gaan we in Nederland ook een dergelijke «Repairability Index» op producten zien? Hoe worden consumenten daarbij voorgelicht over de levensduur van producten?

Ja, ik ben bekend met de Franse «Repairability Index». Op basis van de huidige EU productregelgeving is het al mogelijk om een repareerbaarheidsindex op producten te verplichten. In de nog vast te stellen verordening voor smartphones en tablets onder de huidige Ecodesign-richtlijn is bijvoorbeeld een repareerbaarheidsindex opgenomen. Deze komt op het energielabel te staan. De Europese Commissie zal deze later dit jaar opstellen in het kader van de energielabelverordening voor smart phones en tablets. De energielabels, inclusief repareerbaarheidsindex, moeten dan 21 maanden later in de winkels, fysiek en online, bij de producten te zien zijn.
De verwachting is dat een dergelijke repareerbaarheidsindex in ieder geval voor steeds meer energiegerelateerde producten zal worden ingevoerd, zoals wasdrogers en wasmachines. Bovendien wordt momenteel onderhandeld over de herziening van de huidige Europese richtlijn naar een Kaderverordening Ecodesign voor duurzame producten. Daarmee kan het ook mogelijk worden om een repareerbaarheidsindex te ontwikkelen voor niet-energiegerelateerde producten.
Onder het voorstel voor een «Grotere rol voor de consument bij de groene transitie» moeten handelaren consumenten vervolgens informeren over de repareerbaarheid van producten wanneer zij die informatie hebben ontvangen van de producent. Bijvoorbeeld via een repareerbaarheidsscore, of door middel van andere relevante reparatie-informatie.11 Consumenten kunnen ook via particuliere initiatieven zoals reparatiedienst Ifixit informatie vinden over de mate van repareerbaarheid van smartphones, tablets en laptops.12

Vraag 1

Bent u bekend met het bericht «Eindhovense toeleverancier van Philips en ASML opent vestiging in China»?1

Ja.

Vraag 2

Klopt het dat een Nederlands bedrijf door een vestiging in China te openen Amerikaanse restricties op de Chinese chipsector kan omzeilen en, zo ja, welke maas in de Nederlandse, Europese of Amerikaanse regelgeving maakt dit mogelijk?

Nee. In algemene zin is productie op grondgebied van het ene land niet gebonden aan regelgeving van een ander land. Wel kan het in het eigen belang van een bedrijf zijn om regelgeving uit een ander land, in dit geval de VS, te volgen terwijl hier geen plicht toe is. Verder kan de export van goederen, technologie of kennis uit de EU, bijvoorbeeld ten bate van lokale productie wel vergunningplichtig zijn, wanneer het om dual use- of sanctiegoederen gaat.

Vraag 3

Vallen de goederen die het bedrijf KMWE in China wil gaan produceren onder (dual-use) exportrestricties wanneer deze vanuit Nederland uitgevoerd worden?

Het is de verantwoordelijkheid van bedrijven om vergunningen aan te vragen voor de export van goederen die onder exportcontrole vallen. Daar ziet de Douane in opdracht van de Minister voor Buitenlandse Handel en Ontwikkelingssamenwerking scherp op toe. Het kabinet doet geen uitspraken over individuele gevallen.

Vraag 4

Hoe verhoudt de verplaatsing van productie vanuit Nederland naar China zich tot de doelstelling van de EU Chips Act om Europees technologisch leiderschap juist te versterken en tot de kabinetsdoelstelling van het behoud van Nederlands technologisch leiderschap rond halfgeleidertechnologie? (Kamerstuk 22 054, nr. 384)

Zoals ook toegelicht in de Beantwoording Schriftelijk Overleg Raad voor Concurrentievermogen2 van 17 mei 2023 zetten de EU en Nederland met de Europese Chips Act in op het versterken van het Europees technologisch leiderschap op het gebied van halfgeleidertechnologie. De Europese Chips Act zorgt voor het stimuleren van innovatie, het aantrekken van investeringen en de voorbereiding van de EU op mogelijke verstoringen in de halfgeleiderwaardeketen. De Europese Chips Act heeft zo tot doel de Europese halfgeleiderindustrie te versterken. De Europese Chips Act bevat geen bepalingen die tegenhouden dat bedrijven niet-gecontroleerde technologie bedoeld voor de afzetmarkt in betreffende derde land, produceren. Daarbij valt op te merken dat het openhouden van wereldwijde waardeketens ook van groot belang is voor de financiering van (toekomstige) innovaties en daarmee ons technologisch leiderschap.

Vraag 5

Hoe verhoudt de verplaatsing van productie vanuit Nederland naar China zich tot de doelstelling van het kabinet om te «voorkomen dat Nederlandse goederen bijdragen aan ongewenst eindgebruik, zoals militaire inzet» (Kamerstuk 22 054, nr. 384)?

Zoals aangegeven in het antwoord op vraag 2 en 3 is de export van machines, technologie of kennis vanuit Nederland naar China vergunningplichtig, indien het om dual-usegoederen gaat. Er zal in dat geval een toetsing plaats vinden of er een risico is op ongewenst eindgebruik.

Vraag 6

Is het mogelijk dat productie door KMWE in China uiteindelijk bijdraagt aan de ontwikkelingen van capaciteiten in dat land, waarvan de VS en Nederland nu juist via uitvoerbeperkingen rond de chipsector proberen te voorkomen dat China hier de beschikking over krijgt?

De aanvullende Nederlandse exportcontrolemaatregelen richten zich op geavanceerde productie apparatuur voor halfgeleiders, omdat daar risico’s voor de (inter)nationale veiligheid bestaan. Deze maatregelen zijn heel gericht. De productie van KMWE valt heden niet binnen de scope van deze maatregelen.3 Indien het bedrijf zich op dit specifieke segment richt, zal het te maken krijgen met exportcontrole-maatregelen.

Vraag 7

Hoe verhoudt de investering van KMWE in China zich tot het criterium uit de EU Chips Act dat een ontvanger van eventuele subsidie een plan moet hebben om de diefstal van intellectueel eigendom te voorkomen, gezien de Chinese bereidheid om deze technologie langs alle mogelijke wegen te bemachtigen?

Ondernemingen die binnen de EU Chips Act staatssteun willen ontvangen voor de opzet van productiefaciliteiten zullen voor het voldoen aan de Geïntegreerde productiefaciliteitof Open EU Foundry-criteria, en zo voor het ontvangen van staatssteun door de lidstaat bij de Europese Commissie, moeten aantonen dat zij gedegen beleid hebben om intellectueel eigendom te beschermen. Het is in het kader van de EU Chips Act aan de Europese Commissie om te toetsen of een onderneming voldoet aan deze eis. Nederland heeft in aanvulling daarop eveneens wet- en regelgeving om intellectueel eigendom en octrooien te beschermen, bijv. via de Wet bescherming bedrijfsgeheimen.

Vraag 8

Welke mogelijkheden heeft het kabinet nu om de opening van productiefaciliteiten in China door KMWE te screenen en eventueel op gronden van nationale veiligheid of behoud van cruciale kennis te verhinderen?

Er is alleen sprake van screening van bedrijven die in Nederland willen investeren. Indien er geen regels worden overtreden bij de transactie, zijn er geen instrumenten om een opening van productiefaciliteit door een Nederlands bedrijf in het buitenland te verhinderen. De export van machines, technologie of kennis vanuit Nederland naar China, bijvoorbeeld ten bate van lokale productie kan wel vergunningplichtig zijn, indien het om dual-usegoederen gaat.

Vraag 9

Vindt u ook dat bovenstaande de noodzaak van een screening op uitgaande investeringen aantoont, als aanvulling op de screening van inkomende investeringen en exportcontroles? Hoe gaat u zich hiervoor inzetten?

Het kabinet heeft kennisgenomen van het voornemen van de Europese Commissie om de risico’s die mogelijk voortkomen uit uitgaande investeringen te gaan onderzoeken. De Europese Commissie heeft aangegeven op basis van de resultaten van deze analyse te bepalen of een aanvullend instrument voor uitgaande investeringen nodig is. Het kabinet wacht deze resultaten af.

Vraag 10

Welke andere instrumenten of drukmiddelen staan er tot de beschikking van Nederland, de EU en/of de VS om op basis van deze stap van KMWE de activiteiten of handel van KMWE in respectievelijk Nederland, de EU en/of de VS te beperken of sanctioneren?

Zoals aangegeven in het antwoord op vraag 3 is het de verantwoordelijkheid van het individuele bedrijf om eventuele vergunningen aan te vragen voor de export van dual-usegoederen of sanctiegoederen. Indien er geen sprake is van zulke vergunningplichtige goederen of technologie is er geen reden om de handel te beperken of te sanctioneren.

Vraag 11

Ziet u aanleiding om op basis van deze stap van KMWE de activiteiten of handel van KMWE in Nederland te beperken of te sanctioneren?

Zie antwoord vraag 10.

Vraag 12

Is de toename van activiteiten van de Nederlandse chipsector in China, en specifieker de stap van KMWE, besproken tijdens het bezoek van de Chinese vicepresident Han Zheng aan Nederland?

Nee, deze specifieke onderwerpen zijn niet besproken tijdens het bezoek van de Chinese Vice-President.

Vraag 1

Bent u bekend met het artikel van RTL Nieuws dat Twitter hun gebruikers tegen betaling de mogelijkheid gaat bieden om versleutelde privéberichten te sturen naar andere betalende gebruikers?1

Ja.

Vraag 2

Welk basisniveau bescherming acht u noodzakelijk voor gebruikers van sociale mediaplatforms, waaronder Twitter?

Sterke versleuteling is van groot belang om veilig online te communiceren. De Rijksoverheid schrijft geen specifiek basisniveau voor in de zin van specifieke maatregelen betreffende de beveiliging van Twitter (tegenwoordig X). Wel bestaat er wetgeving waar X aan moet voldoen en wordt er gewerkt aan een verdere aanscherping van wetgeving. Hieronder wordt daar nader op ingegaan.

Vraag 3

Hoe verhoudt de beveiliging van reguliere, niet-betalende twittergebruikers zich tot dit basisniveau?

Indien bij het gebruik van een sociale mediaplatform zoals X persoonsgegevens worden verwerkt, is daarop de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Een van de beginselen van de AVG is integriteit en vertrouwelijkheid. Dit beginsel houdt onder andere in dat de nodige technische en organisatorische maatregelen dienen te worden getroffen om een passende beveiliging van persoonsgegevens te borgen. Dit kan in de praktijk betekenen dat persoonsgegevens dienen te worden versleuteld (encryptie). Daarnaast kunnen andere aanvullende beveiligingsmaatregelen ook noodzakelijk zijn, zoals het beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen. Welk basisniveau in concrete gevallen is vereist, vraagt om een risicoanalyse waarin met alle relevante omstandigheden wordt rekening gehouden. Of in concrete gevallen is voldaan aan het vereiste niveau van beveiliging uit de AVG, is uiteindelijk aan de toezichthouder om te beoordelen. In Nederland is dat de Autoriteit Persoonsgegevens (AP), die onafhankelijk toeziet op de naleving van de AVG.
Daarnaast wordt op dit moment de herziene Europese netwerk- en informatiebeveiligingsrichtlijn1 (NIS2) geïmplementeerd. Deze richtlijn heeft als doel om de cyberbeveiliging van entiteiten in de EU naar een hoger niveau te tillen. Met de komst van de NIS2-richtlijn wordt het aantal sectoren dat onder de richtlijn valt uitgebreid; één van de nieuwe sectoren zijn aanbieders van platforms voor sociale netwerkdiensten, waaronder X. De zorgplicht voortkomend uit de NIS2 houdt in dat entiteiten passende en evenredige technische, operationele en organisatorische maatregelen moeten nemen om de risico’s voor de beveiliging van hun netwerk- en informatiesystemen te beheersen. De Rijksinspectie Digitale Infrastructuur (RDI) is in Nederland de beoogde toezichthouder op de sector digitale aanbieders, waar aanbieders van platforms voor sociale netwerkdiensten onder vallen.Lidstaten dienen de NIS2-richtlijn uiterlijk op 17 oktober 2024 in hun nationale wetgeving te hebben omgezet.
Deze huidige en toekomstige wettelijke kaders zijn van toepassing ongeacht of gebruikers betalen voor de dienst.

Vraag 4

Hoe verhoudt de nieuw voorgestelde mogelijkheid om tegen betaling versleutelde berichten te kunnen versturen en ontvangen zich tot dit basisniveau?

Zie antwoord vraag 3.

Vraag 5

Hoe verhoudt zowel de beveiliging van regulier als betaald gebruik van Twitter zich tot nationale en internationale grond- en mensenrechten? Waarin zitten op dit vlak de verschillen tussen reguliere en betalende gebruikers?

Zoals hierboven beschreven zijn er een aantal wettelijke kaders waar X zich aan moet houden, ongeacht of het gaat om betalende of niet betalende gebruikers. Het is aan de desbetreffende toezichthouder om in een concreet geval te bepalen of de getroffen maatregelen passend zijn.
Ook heeft iedereen recht op de bescherming van de persoonlijke levenssfeer en privécommunicatie. De grond- en mensenrechten schrijven niet voor hoe die bescherming moet plaatsvinden. Ook hier geldt dat de persoonlijke levenssfeer en de veiligheid van communicatie beschermd moeten worden, onafhankelijk van betaling.

Vraag 6

Heeft u indicaties dat privéberichten van niet-betalende gebruikers van Twitter onvoldoende beveiligd zijn, bijvoorbeeld doordat deze ingezien kunnen worden door partijen die daartoe niet bevoegd zijn? Kunt u uitsluiten dat dit gebeurt?

Zie antwoord vraag 5.

Vraag 7

Heeft u zicht op het gebruik van versleutelde communicatiekanalen, zoals dat voor betalende Twittergebruikers mogelijk wordt, door bewindspersonen? Hoe zou u een verbod daarop beoordelen, in het licht van een juiste naleving van de Wet Open Overheid?

Het gebruik van berichtenapps voor formeel zakelijke communicatie wordt zoveel mogelijk beperkt. Voor bestuurlijke aangelegenheden wordt het gebruik ontraden. Dit beleid is nog steeds van kracht. Het feit dat gegevensstromen tijdens gebruik versleuteld zijn, staat op geen enkele manier in de weg dat bestuursorganen invulling kunnen en moeten geven aan hun verplichtingen omtrent archivering en openbaarmaking.

Vraag 1

Bent u bekend met het bericht «Aantal getroffen websites met ernstig kindermisbruik in twee jaar tijd verdubbeld»?1

Ja.

Vraag 2

Bent u het eens met de stelling dat het buitengewoon schrikbarend is dat het aantal websites met de meest ernstige vormen van kindermisbruik in twee jaar tijd is verdubbeld, namelijk naar 51.369 websites?

Ja; deze wereldwijde trend baart mij zorgen. Ieder jaar presenteert de Internet Watch Foundation (IWF) jaarcijfers waarin veel aandacht wordt geschonken aan enerzijds meldingen vanuit het publiek en anderzijds het eigen onderzoek van IWF naar de aanwezigheid van kinderpornografisch materiaal op het openbare deel van het internet. De aantallen die worden genoemd zijn dus afhankelijk van factoren als het aantal meldingen bij IWF en hoe eenvoudig en openbaar de toegang tot het materiaal is.

Vraag 3

Wat is volgens u de oorzaak van deze verdubbeling?

Het is niet eenvoudig om een enkele oorzaak van de verdubbeling van het aantal websites met ernstige vormen van kindermisbruik aan te wijzen; zeker omdat het lijkt te gaan om een wereldwijde trend. Daarbij is duidelijk dat seksueel getint beeldmateriaal dat zelf door minderjarigen wordt gemaakt in opkomst is. Laat ik duidelijk stellen dat hierbij niet altijd hoeft te gaan om materiaal dat vrijwillig tot stand is gekomen: het is mogelijk dat minderjarigen hiervoor onder druk worden gezet of gechanteerd of ze zijn zich er niet van bewust dat ze gefilmd worden. Vanuit Nederlands perspectief zal ik me blijven inzetten voor preventie en voorlichting om minderjarigen en hun ouders en voogden meer weerbaar te maken tegen deze vorm van misbruik.

Vraag 4

Welke redenen maken het aantrekkelijk om bijna een derde van deze websites op Nederlandse servers te hebben?

Het valt niet met zekerheid te zeggen waarom Nederland zo aantrekkelijk lijkt te zijn. Nederland beschikt over een uitstekende digitale infrastructuur. Dat betekent dat er sprake is van snelle verbindingen en beschikbaarheid van voldoende servers en opslagruimte voor webhosting. Deze aspecten leveren de Nederlandse economie veel voordelen op, maar kunnen ook misbruikt worden door criminelen. Daartegen moet doelgericht en effectief worden opgetreden. Juist door deze belangrijke rol van Nederland als wereldwijd internetknooppunt, is de aanpak van online criminaliteitsvormen, waaronder die van online seksueel kindermisbruik, ook een prioriteit van dit kabinet.

Vraag 5

Bent u bereid om maatregelen te nemen om verspreiding via Nederlandse servers aan te pakken? En zo ja, welke concrete maatregelen gaat u nemen?

Ja, daar ben ik zeker toe bereid. De ambitie van het kabinet is er te allen tijde op gericht al het beeldmateriaal van online seksueel kindermisbruik van Nederlandse servers te weren. Het rapport bevestigt dat dit een omvangrijk, ernstig en lastig te bestrijden fenomeen is. Het belang van de opsporing en vervolging van dit materiaal is opgenomen in de Veiligheidsagenda 2023–2026.2
Het is echter niet eenvoudig om het opslaan of online plaatsen van illegale content aan te pakken. Het is middels de EU-Richtlijn Elektronische Handel verboden om aan internettussenpersonen een algehele monitoringsverplichting op te leggen. Veel Nederlandse datacentra verhuren opslagruimte en verzorgen de aansluiting daarvan op het internet. Hun klanten plaatsen daar hun netwerkapparatuur, servers en opslagruimte voor webhosting. Deze hostingdiensten worden vaak doorverhuurd aan tussenpersonen in andere landen (die de webhosting daar veelal onder een eigen merk leveren), die vervolgens weer webruimte verhuren aan privépersonen of organisaties. Datacentra hebben daarom niet altijd zicht op wie aan het eind van de keten precies gebruik maken van hun diensten en welke content wordt gehost.
De inzet bij de bestrijding van illegale content gaat voor een belangrijk deel uit van zelfregulering door de internetsector. De Nederlandse overheid werkt reeds jaren samen met de internetsector aan de bestrijding van illegale content online. Zo is al in 2008 een Notice-and-Takedown-gedragscode (NTD) overeengekomen tussen overheden, internetaanbieders, hostingbedrijven, en andere tussenpersonen.3 Daar is in 2018 een addendum op gekomen voor het verbeteren van de bestrijding van materiaal van online kindermisbruik. Materiaal dat door het in de NTD-gedragscode als «trusted flagger» aangewezen Expertisebureau Online Kindermisbruik (EOKM) als strafbaar wordt aangemerkt, wordt hierdoor in de meeste gevallen al binnen 24 uur na het ontvangen van een verzoek daartoe verwijderd door hostingpartijen. Aanvullend bevat de in 2021 geactualiseerde Gedragscode Abusebestrijding maatregelen die hostingproviders kunnen nemen tegen misbruik van hun diensten voor meerdere vormen van illegale activiteiten.
Zoals reeds bekend bij uw Kamer, heeft het kabinet de oprichting van een Autoriteit online Terroristisch en Kinderpornografisch Materiaal (ATKM) aangekondigd. Deze Autoriteit krijgt de wettelijke bevoegdheid aanbieders van hostingdiensten op bestuursrechtelijke basis te verplichten online kinderpornografisch en/of terroristisch materiaal op hun server ontoegankelijk te maken of te verwijderen danwel deze partijen op te dragen passende en evenredige maatregelen te treffen om de opslag en doorgifte van online kinderpornografisch en/of terroristisch materiaal via hun diensten te beperken. Hiermee krijgt de Autoriteit middelen om in te grijpen indien de zelfregulering hapert, bijvoorbeeld wanneer een hoster weigert gehoor te geven aan een verwijderverzoek van illegale content in het zelfreguleringskader. Het wetsvoorstel dat voorziet in de wettelijke grondslag van deze autoriteit voor de handhaving met betrekking tot kinderpornografisch materiaal, is begin juni bij de Tweede Kamer ingediend.

Vraag 6

Welke consequenties kunnen websites verwachten die online kindermisbruik op hun sites tonen, als het gaat om controle en sancties?

Om bestuursrechtelijk te kunnen handhaven heeft het kabinet de oprichting van een Autoriteit online Terroristisch en Kinderpornografisch Materiaal (ATKM) aangekondigd. Het wetsvoorstel is op 12 juni jl. naar uw Kamer verzonden.
Deze Autoriteit krijgt de wettelijke bevoegdheid aanbieders van hostingdiensten op bestuursrechtelijke basis te verplichten online kinderpornografisch en/of terroristisch materiaal op hun server ontoegankelijk te maken of te verwijderen danwel deze partijen op te dragen passende en evenredige maatregelen te treffen om de opslag en doorgifte van online kinderpornografisch en/of terroristisch materiaal via hun diensten te beperken. Doen ze dat niet, dan kunnen er boetes worden opgelegd. Hiermee krijgt de Autoriteit middelen om in te grijpen indien de zelfregulering hapert, bijvoorbeeld wanneer een hoster weigert gehoor te geven aan een verwijderverzoek van illegale content in het zelfreguleringskader.
In geval van verdenking van een misdrijf als omschreven in artikel 67, eerste lid, Sv kan de officier van justitie met een machtiging van de rechter-commissaris aan een aanbieder van een communicatiedienst bevelen om gegevens ontoegankelijk te maken als dit noodzakelijk is ter beëindiging van een strafbaar feit. Dit is geregeld in artikel 125p Sv. In artikel 54a Sr is vervolgens bepaald dat als een aanbieder voldoet aan dat bevel, de aanbieder niet wordt vervolgd. Mocht er toch geen uitvoering worden gegeven aan een dergelijk bevel dan is vervolging voor het niet opvolgen daarvan mogelijk. Dat is geregeld in artikel 184 Sr.
Indien een tussenpersoon bewust criminaliteit faciliteert, zoals beeldmateriaal van online seksueel kindermisbruik, kan deze strafrechtelijk aansprakelijk worden gehouden. Zo heeft het Gerechtshof in Den Haag bepaald dat een telecommunicatiedienstprovider die zich ervan bewust is dat zijn klanten crimineel gedrag vertonen en/of criminele content aanwezig hebben dan wel verspreiden, en deze klanten daarbij desalniettemin faciliteert, mogelijk strafrechtelijk aansprakelijk kan worden gehouden, ook als de officier van justitie niet vooraf een verwijderbevel heeft afgegeven.4 Of daar sprake van is, dient per geval te worden beoordeeld.

Vraag 7

Het jaarrapport van de Internet Watch Foundation (IWF) laat zien dat online kindermisbruik steeds zichtbaarder wordt en niet meer weggestopt is op hetdark web: is het voor de opsporingsdiensten dan juist niet makkelijker om online kindermisbruik offline te laten halen en de websites en dader(s) te sanctioneren? Zo nee, waarom niet?

De mogelijkheden voor handhaving die opsporingsdiensten hebben op het openbare internet lijken inderdaad groter omdat hostingdiensten beter bereikbaar zijn. Daartegenover staat dat veel van het beeldmateriaal wordt gedeeld via interpersoonlijke communicatiediensten, private chats of beveiligde fora die versleuteld zijn via end-to-end encryptie.5 Dat maakt de opsporing lastig.
Voor de afspraken in de Veiligheidsagenda is leidend dat opsporingscapaciteit wordt ingezet daar waar het maatschappelijk effect daarvan het grootst is. Dit is wanneer slachtoffers ontzet worden uit acute misbruiksituaties, zowel nationaal als internationaal. Dit kan door het opsporen en vervolgen van daders, het verstoren van de netwerken die seksueel kindermisbruik aanjagen of het tegengaan van het reizen van daders die voor het plegen van seksueel kindermisbruik naar het buitenland gaan. Daarom zal de komende jaren gefocust worden op opsporingsonderzoeken in categorie A (vervaardigers en misbruikers) en categorie B (keyplayers en netwerken).
De politie draagt bij aan de bereidheid van slachtoffers om zich te melden bij organisaties die hen kunnen helpen, bijvoorbeeld bij het offline halen van beeldmateriaal. De politie doet dit bijvoorbeeld door het ondersteunen van deze hulporganisaties of het uitvoeren van voorlichtingscampagnes.

Vraag 8

Hoeveel online kindermisbruik is dit jaar verwijderd en hoeveel websites zijn gesanctioneerd voor het vertonen van online kindermisbruik?

Onlangs heb ik uw Kamer een brief gestuurd waarin enkele aspecten rondom de bevoegdheden van de ATKM nader worden toegelicht en de resultaten van de jaarlijkse TU Delft Monitor over het hosten van materiaal van online seksueel kindermisbruik worden meegenomen.6 Ik herhaal dat het erop lijkt dat het totale volume van dergelijk materiaal dat aangetroffen is verlaagd is, maar dat er een teruggang lijkt te zijn in verwijderingssnelheid. Dat baart mij zorgen. Daarnaast is het landschap qua hostingbedrijven veranderd; bekende hostingbedrijven zetten zich meer in om materiaal van online seksueel kindermisbruik te verwijderen, maar nieuwe partijen lijken zich volgens de TU Delft monitor minder bewust van de regels en afspraken te zijn. Ook dat laat zien dat een doorlopende samenwerking en overleg met de sector van groot belang is.
Offlimits, voorheen bekend als het Expertisebureau Online Kindermisbruik, houdt een overzicht bij van ontvangen meldingen, de beoordeling daarvan en het aantal verzoeken tot verwijdering die vervolgens worden gedaan. Het meest recente overzicht is te vinden in het jaarverslag van 2021.7 In dat jaar zijn in totaal 236.743 meldingen binnen Nederland gedaan, waarbij het bij 212.556 van de meldingen inderdaad ging om illegale inhoud waarvoor een verwijderverzoek is gedaan.
In beginsel zijn platformen en websites niet aansprakelijk voor de inhoud die zij laten zien. Zij hebben volgens de EU-Richtlijn Elektronische handel onder voorwaarden een vrijstelling van aansprakelijkheid. De strafrechtelijke sanctionering ziet daarom met name op degenen die het materiaal van seksueel kindermisbruik online hebben gezet, niet op websites zelf. Over 2022 zijn geen cijfers bekend van het sanctioneren van websites.

Vraag 9

Hoe kunt u ervoor zorgen dat de makers en verspreiders van online kindermisbruik sneller en harder worden bestraft?

Zoals aangegeven in de beantwoording op de vragen 5 en 6 hierboven heeft de aanpak van online kindermisbruik hoge prioriteit. Deze aanpak is in de eerste plaats gericht op het effectief opsporen en vervolgen van daders via het strafrecht. Om te voorkomen dat eenmaal gepubliceerd strafbaar materiaal op het internet blijft staan of blijft rondgaan, wat voor slachtoffers eveneens zeer schadelijk is, richt mijn aanpak zich daarnaast op de snelle verwijdering ervan. Ik verwijs u in dit kader naar mijn beantwoording van vraag 5.

Vraag 10

In hoeverre kunnen de Digital Services Act en het voorstel voor nieuwe Europese wetgeving tegen online kindermisbruik voorkomen dat online kindermisbruik wordt verspreid en op het internet blijft circuleren?

De Digital Services Act zal de verplichtingen voor de sector met betrekking tot illegale activiteit of inhoud verscherpen. Zo moeten zeer grote onlineplatformen en zoekmachines bijvoorbeeld een risicoanalyse doen van hun systemen om te controleren in hoeverre zij vatbaar zijn voor criminele activiteiten. Vervolgens dienen ze daarop risicobeperkende maatregelen te nemen. Ook worden er minimumvereisten gesteld aan het afhandelen van meldingen over illegale content. Indien zij niet voldoen aan deze vereisten kan er op gehandhaafd worden: voor grote platformen en zoekmachines is dat de Europese Commissie; voor in Nederland gevestigde hostingbedrijven zal dat de nationale digitaledienstencoördinator worden.
Het voorstel van de Europese Commissie voor een verordening ter voorkoming en bestrijding van seksueel kindermisbruik is erop gericht om nadere regels vast te stellen voor de specifieke illegale content die beeldmateriaal van seksueel kindermisbruik is. De onderhandelingen hierover tussen de Europese Commissie en de Europese lidstaten lopen nog.

Vraag 11

In welke mate wordt versleutelde end-to-end-encryptie gebruikt om online beelden van kindermisbruik te delen?

Vanwege het wijdverbreide gebruik van end-to-end-encryptie voor berichtenverkeer is het lastig om een compleet beeld te hebben van de hoeveelheid materiaal dat via dergelijk berichtenverkeer wordt gedeeld. Wel is het duidelijk, zoals ook het rapport van de Internet Watch Foundation aangeeft, dat er steeds meer gebruik wordt gemaakt van dergelijke interpersoonlijke communicatiediensten voor het delen van beeldmateriaal. Daarom is het van belang dat er mogelijkheden zijn om onder bepaalde omstandigheden toegang tot dit berichtenverkeer te krijgen, onder passende voorwaarden en waarborgen.

Vraag 12

Welke mogelijkheden hebben de Nederlandse opsporingsdiensten nu om verspreiding via versleutelde end-to-end-encryptie een halt toe te roepen?

De opsporingsdiensten zijn, in de meeste gevallen, sterk afhankelijk van de wijze waarop versleutelde communicatiediensten de verspreiding van dergelijk materiaal zélf trachten te voorkomen op hun platform. Bepaalde communicatiediensten doen dit bijvoorbeeld door foto- en videomatching van niet-versleutelde informatie, zoals profiel- en groepsfoto’s of groepsinformatie of op basis van verdacht gedrag waarbij wordt gekeken naar metadata. Wanneer de communicatiedienst, op basis van deze technieken, een melding stuurt naar de Amerikaanse toezichthouder NCMEC (conform Amerikaanse wetgeving) en de toezichthouder deze zaak doorverwijst naar Nederland, dan kunnen Nederlandse opsporingsdiensten in bepaalde gevallen optreden tegen individuele daders.
Wanneer een vermoeden bestaat dat een persoon in bezit is van materiaal van seksueel kindermisbruik, is het voor de opsporingsdiensten in bepaalde gevallen mogelijk om toegang te krijgen tot dit materiaal – en zo de verspreiding daarvan te voorkomen. Meestal gaat het dan om toegang tot individuele apparaten, bijvoorbeeld middels een ontsleutelbevel of de bevoegdheid om binnen te dringen in een geautomatiseerd werk, zoals opgenomen in de Wet Computercriminaliteit III. Deze middelen zijn – gelet op de inbreuk die de inzet maakt op de grondrechten – alleen onder strenge voorwaarden inzetbaar, en de uitkomsten zijn afhankelijk van een (grote) set van externe factoren.