Vraag 1

Heeft u kennisgenomen van het bericht dat in toenemende mate verzekeringen worden aangeboden die bedoeld zijn om een «vangnet» te bieden voor potentiële slachtoffers van internetfraude?1 Kunt u deze ontwikkeling verklaren, en acht u deze wenselijk?

Ik heb kennis genomen van het bericht. Toenemend gebruik van internet brengt helaas ook een risico met zich mee van een toename van fraude via het internet. Als meer fraude plaatsvindt via het internet, kan daarmee ook meer vraag ontstaan naar het soort producten waar het Verbond naar verwijst. Of hiervoor een grote markt zal komen, kan ik op dit moment niet zeggen. In hoeverre verzekeraars hiervoor verzekeringsproducten willen aanbieden en internetgebruikers deze willen nemen, laat ik aan hen. Er bestaat voor consumenten of het bedrijfsleven geen verplichting om een verzekering tegen internetfraude af te sluiten.

Vraag 2

Deelt u de visie van het Verbond voor Verzekeraars dat er voor dit soort internetfraude-verzekeringen «een grote markt» gaat komen?

Zie antwoord vraag 1.

Vraag 3

Volgens het Verbond van Verzekeraars vult deze verzekering «een gat daar waar het bedrijfsleven niet meer aansprakelijk kan worden gesteld en de consument ook niet»; vindt u het logisch of verdedigbaar dat dáár waar het bedrijfsleven niet meer aansprakelijk kan worden gesteld en de consument ook niet, de consument een verzekering moet afsluiten ter bescherming van internetfraude? Kunt u uw antwoord motiveren?

In eerste instantie is het aan de consument om een inschatting te maken van de risico’s die hij loopt door gebruik van het internet en om eventuele schade op een bank of andersoortige digitale dienstverlener te verhalen via de burgerlijke rechter, als fouten worden gemaakt bij betaling of als een product niet of niet juist wordt geleverd. Indien een consument slachtoffer is geworden van internetfraude en vaststaat dat de bank of andersoortige digitale dienstverlener niet aansprakelijk kan worden gesteld voor door zijn klant geleden schade, zal de schade niet op de bank of de andersoortige digitale dienstverlener kunnen worden verhaald en zal de klant die schade zelf moeten dragen. Het staat verzekeraars vrij om hiervoor verzekeringsproducten aan te bieden.
Ter voorkoming van situaties waarin consumenten slachtoffer worden van internetfraude bestaat overigens specifieke voorlichting van de fraudehelpdesk (via fraudehelpdesk.nl) en de Autoriteit Consument en Markt (via Consuwijzer.nl). Daarnaast kunnen internetgebruikers zich via de website veiliginternetten.nl laten informeren over risico’s van internetgebruik en over de maatregelen die zij zelf kunnen treffen om zo veilig mogelijk online te kunnen winkelen of bankieren.

Vraag 4

Kunt u een beeld schetsen, hoe banken, internetwinkels en digitale dienstverleners op dit moment omgaan met slachtoffers van internetfraude en het opvangen en dekken van (financiële) schade? Bent u het er mee eens dat kosten alléén maar ten laste van de consument moeten komen als sprake is van aantoonbare roekeloosheid en nalatigheid van de consument?

Bij betalingsverkeer gelden de regels van de Europese Richtlijn Betaaldiensten (PSD).2 Bij een niet-geautoriseerde betaling van een rekening van een consument, die het gevolg is van verlies, diefstal of onrechtmatig gebruik van een betaalinstrument, is geregeld dat de schade die de consument hierdoor leidt, tot een bedrag van 150 euro voor zijn rekening komt. Boven dat bedrag geldt dat de betalingsdienstaanbieder van de betaler aan de betaler het bedrag van de niet-toegestane betalingstransactie moet terugbetalen. De inmiddels herziene Europese Richtlijn Betaaldiensten (PSD2)3, die door EU-lidstaten uiterlijk op 13 januari 2018 in de nationale wetgeving moet zijn geïmplementeerd, verlaagt dat eigen risico naar 50 euro.
Ook in geval een consument een aanschaf heeft gedaan bij een malafide webwinkel en hierdoor slachtoffer is geworden van fraude, kan hij in geval van betaling via creditcard of PayPal dikwijls bij de betrokken betalingsdienstaanbieder terecht voor teruggave van het betaalde bedrag.
Alleen als de consument zelf frauduleus heeft gehandeld, of opzettelijk of met grove nalatigheid de veiligheidsvoorwaarden, die door zijn bank zijn gesteld aan gebruik van het betaalinstrument, heeft geschonden, dient hij de volledige schade te dragen (art. 7:529 BW). Verder is relevant dat de voorwaarden die banken stellen aan hun klanten niet onredelijk bezwarend mogen zijn (artikel 6:233 BW).

Vraag 5

Is er een ontwikkeling waarneembaar waarbij banken, internetwinkels en andere dienstverleners die gebruik maken van het internet, (financiële) schade als gevolg van internetfraude in méér gevallen voor rekening van de consument te laten komen? Zo ja, vindt u deze ontwikkeling te billijken? Kunt u uw antwoord motiveren?

Ik neem een dergelijke ontwikkeling niet waar. Volgens artikel 7:529 BW zijn – en blijven – banken verantwoordelijk om aan te tonen dat de consument bij opgetreden fraudeschade opzettelijk of grof nalatig handelde. Malafide «internetwinkels» en andere malafide digitale «dienstverleners» zullen helaas altijd proberen consumenten financieel te duperen. Van overheidswege wordt op diverse manieren gewerkt aan maatregelen om fraude tegen te gaan.

Vraag 6

Banken, internetwinkels en overige dienstverleners die gebruik maken van het internet zijn uit kostenoogpunt gebaat met dienstverlening via het internet; deelt u de mening dat deze instellingen in principe (financiële) schade als gevolg van internetfraude moeten dekken en vergoeden aan de consument als evident géén sprake is van nalatigheid en roekeloosheid bij de consument?

Zie antwoord vraag 4.

Vraag 1

Heeft u kennisgenomen van het artikel «PGP-encrypted Blackberrys aren’t immune to being cracked?»1

Ja.

Vraag 2

Wat voor software gebruikt het Nederlands Forensisch Instituut (NFI) om de versleuteling te kraken?

Zoals bij de beantwoording van eerdere vragen aan uw Kamer is medegedeeld2, brengt het verstrekken van informatie over welke specifieke software de opsporingsdiensten gebruiken grote risico’s met zich mee voor de inzetbaarheid van die middelen. Ik kan daarover derhalve geen mededelingen doen. Ten aanzien van onbekende kwetsbaarheden verwijs ik naar hetgeen daarover is gezegd in het AO Cybersecurity op 20 januari jongstleden.

Vraag 3

Wat voor techniek gebruikt de software om de versleuteling te kraken? Gebruikt de software onbekende kwetsbaarheden in de versleutelingssoftware?

Zie antwoord vraag 2.

Vraag 4

In de brief over het kabinetsstandpunt inzake encryptie staat dat het «niet wenselijk is om beperkende wettelijke maatregelen te nemen ten aanzien van de ontwikkeling, de beschikbaarheid en het gebruik van encryptie binnen Nederland»; bent u het ermee eens dat het tevens niet wenselijk is om als overheid onbekende kwetsbaarheden in encryptiesoftware te misbruiken?

De brief met het kabinetsstandpunt gaat over het niet-instellen van wettelijk verplichte beperkingen rondom encryptie. Dat is te onderscheiden van het gebruiken van (onverplicht) bestaande kwetsbaarheden ten behoeve van de opsporing in een concreet geval. Ten aanzien van de omgang met onbekende kwetsbaarheden, ofwel zero-days, heb ik reeds toegezegd in een brief nader in te zullen gaan op de wijze waarop de overheid omgaat met deze kwetsbaarheden.

Vraag 1

Wat is uw reactie op het bericht politie-pc brandhout?1

De Telegraaf schetst in het bericht een te somber beeld van de ICT bij de politie. Ik herken dit beeld alleen uit de tijd van het onderzoek «ICT politie 2010» van de Algemene Rekenkamer. De politie heeft haar ICT sindsdien sterk verbeterd.
Naar aanleiding van het onderzoek van de Algemene Rekenkamer heeft mijn ambtsvoorganger het Aanvalsprogramma Informatievoorziening in 2013 gestart. De gelijknamige Review Board houdt toezicht op de uitvoering daarvan. Ik informeer de Kamer halfjaarlijks over de voortgang van de uitvoering van het Aanvalsprogramma. Dit is laatstelijk gebeurd op 31 augustus 20152.
Sinds de start heeft de politie onder andere de volgende belangrijke resultaten behaald:
In de laatste voortgangsrapportage politie heb ik de Kamer geïnformeerd dat de vernieuwing van de ICT langer zal duren, omdat ik binnen de beschikbare financiële middelen en menscapaciteit bij de eenheden, het Politie Diensten Centrum en de Staf korpsleiding, voorrang geef aan het op orde brengen van de basis van de Nationale Politie. De politieorganisatie heeft derhalve meer tijd nodig om de gewenste vernieuwing van de ICT goed te realiseren.
Politiemensen hebben onlangs de gebruikstevredenheid en de bruikbaarheid van de ICT met een 6+ beoordeeld. Het streefcijfer is een 7. De politie is er dus nog niet. De vernieuwing van de ICT zal hieraan een aanzienlijke bijdrage leveren.

Vraag 2

Wanneer was u op de hoogte van dit tekort bij de politie? Was u hiervan op de hoogte voor de behandeling van de begroting Veiligheid en Justitie?

De korpschef heeft mij op 2 november 2015, na de aanbieding van de begroting 2016 aan de Kamer op Prinsjesdag, gemeld dat hij de (concept) portfolio informatievoorziening (IV) 2016 niet kan realiseren binnen het financiële IV-kader van de politiebegroting 2016. Ik heb op 23 november 2015, voor de begrotingsbehandeling op 25/26 november 2015, de Kamer hierover geïnformeerd3.

Vraag 3

Wat gaat u doen, nu u weet hoe hoog het tekort op de ICT-voorzieningen is? Komt u nog voor de Voorjaarsnota met een voorstel geld hiervoor vrij te maken?

Het niet kunnen realiseren van de concept IV-portfolio binnen het beschikbare financiële IV-kader betreft vooralsnog 2016. In het tussenbericht over de herijking4 heb ik reeds aangegeven dat ik ten aanzien van de IV-portfolio 2016 en de herijking van het Aanvalsprogramma scherpe keuzes zal maken. Deze keuzes kunnen effect hebben op het tempo van eerdere toezeggingen aan de Kamer en de nog vast te stellen uitvoeringsplanning van de herijking. De (financiële) uitvoering van de IV-portfolio 2016 zal ik vervolgens strikt bewaken.
Zoals aangekondigd bij de begrotingsbehandeling laat ik momenteel een onderzoek uitvoeren naar de verhouding tussen het personele en materiële budget van de politie. In dat onderzoek worden ook de risico's van de financierbaarheid van de informatiseringsportefeuille van de Nationale Politie meegenomen. De uitkomst van dit onderzoek zal ik met uw Kamer delen en betrekken bij de Voorjaarsbesluitvorming 2016 van het Kabinet.
Daarnaast heb ik in de bovengenoemde brief aangekondigd dat de politie een zelfbeoordeling van de financiële sturing zal doen en dat ik een extern onderzoek daarnaar zal laten doen. Ik heb de Commissie van toezicht op het beheer politie gevraagd om het externe onderzoek voor haar rekening te nemen.

Vraag 4

Deelt u de mening dat goede ICT-voorzieningen belangrijk zijn voor politiepersoneel om het werk goed uit te kunnen voeren en zelfs gevaarlijke situaties kan opleveren wanneer informatie kwijtraakt?

Ja, ik deel de mening dat goede ICT-voorzieningen belangrijk zijn voor politiemensen om hun werk op het terrein van zowel operatiën als bedrijfsvoering goed te kunnen uitvoeren en dat informatie voor hen beschikbaar, beveiligd en betrouwbaar moet zijn.

Vraag 5

Deelt u de mening, zoals in het artikel naar voren komt, dat het huidige tekort alleen is voor het in stand houden van slecht werkende ICT-voorzieningen? Zo ja, wat is uw plan voor de vervanging van deze slecht werkende voorzieningen? Zo nee, waarom niet?

Nee, de korpschef heeft bij het opstellen van de concept IV-portfolio 2016 de hoogste prioriteit gegeven aan het in stand houden en het onderhouden van de bestaande ICT-voorzieningen en de continuïteit van het politiewerk. De vernieuwing van de bestaande ICT-voorzieningen zal zoals ook aangegeven in de herijking langer vergen, zie ook de beantwoording van vraag 1. Dit betekent niet dat de vernieuwing stil ligt. De uitrol van MEOS-smartphones en de nieuwe informatievoorzieningen voor de operationele processen briefing en executie & signalering worden bijvoorbeeld voortgezet.

Vraag 6

Deelt u de mening van de vakbond NPB dat er een onderzoek moet komen naar de aansturing van ICT-projecten bij de politie? Zo nee, waarom niet?

Nee, ik deel de mening van de vakbond NPB niet. In het verleden hebben reeds meerdere externe onderzoeken naar de ICT plaatsgevonden, waaronder de governance van ICT-projecten. De politie is mede naar aanleiding van deze onderzoeken gericht bezig met het verder professionaliseren van het ICT-projectportfoliomanagement, zowel op het terrein van de sturing als de beheersing van de ICT-projectportfolio. Daarnaast zal de Review Board, conform de Kaderwet adviescolleges, medio 2016 een evaluatieverslag opstellen. Voorts wacht ik af of en zo ja wanneer, de Algemene Rekenkamer onderzoek naar de ICT bij de politie zal doen als vervolg op het onderzoek in 2010.

Vraag 7

Kunt u deze vragen beantwoorden vóór het Algemeen overleg politie op 14 januari?

Ik zal ervoor zorgdragen dat de Kamer de beantwoording van de vragen van het lid Kooiman ontvangt voor het Algemeen Overleg Politie dat op 20 januari 2016 voorzien is.

Vraag 1

Herinnert u zich het ronkende persbericht van uw Ministerie van 27 november 2015 met de titel «Antiterrorismewetgeving naar de Tweede Kamer», waarin u na twee jaar consultatie opnieuw de wet computercriminaliteit III aankondigt als onderdeel van een reeks anti terrorisme maatregelen?1

Op 27 november 2015 heeft mijn ministerie een persbericht verstuurd waarin feitelijke informatie werd verstrekt over de besluitvorming in de ministerraad over de uitvoering van het actieprogramma «Integrale aanpak Jihadisme».

Vraag 2

Wat vindt u zelf van de werkwijze om een persbericht te sturen over een wet, waarvan de consultatie twee jaar geleden al is afgerond, zonder dat het betreffende wetsvoorstel bij de Kamer is ingediend?

Ik acht het open en transparant communiceren over wetgevingsprocessen een belangrijk onderdeel van overheidsvoorlichting. Actieve communicatie vanuit de overheid is een belangrijk recht voor burgers. Dit sluit aan bij het rapport van de Commissie Wallage die de toekomst van de overheidscommunicatie onderzocht. Naar het oordeel van de commissie is het wenselijk dat er gedurende het wetgevingsproces ruimte is voor actieve voorlichting van overheidswege, ook als parlementaire goedkeuring nog niet is verkregen.2
Het betreffende persbericht markeert de besluitvorming in de ministerraad over de uitvoering van het actieprogramma «Integrale aanpak Jihadisme». Bovendien is de wetgeving als onderdeel van het actieprogramma uitvoerig aan de orde geweest tijdens het debat met uw Kamer op 19 november jl. over de aanslagen in Parijs. Dan ligt het voor de hand om melding te maken van het formele besluit om de vier wetsvoorstellen bij de Tweede Kamer in te dienen als volgende stap in het wetgevingsproces. Inmiddels zijn alle vier wetsvoorstellen bij de Tweede Kamer ingediend.

Vraag 3

Wanneer wordt het wetsvoorstel computercriminaliteit III bij de Tweede Kamer ingediend?

Zie antwoord vraag 2.

Vraag 4

Kunt u deze vragen per ommegaande beantwoorden?

Ja, ik heb mij ingespannen voor een zo spoedig mogelijke beantwoording van uw vragen.
De beantwoording heeft vanwege de feestdagen en de jaarwisseling meer tijd gekost dan was voorzien.

Vraag 1

Heeft u kennisgenomen van de berichten «Stichting Brein gaat meer illegale uploaders aanpakken» en «Filmdistributeurs klaar voor beboeten illegale downloads»?1 2

Ja.

Vraag 2

Bent u nog steeds van mening dat het onwenselijk is dat filmdistributeurs achter individuele downloaders aangaan?

Het Hof van Justitie van de Europese Unie heeft op 14 april 2014 in de ACI/Adam-zaak (zaak C-435/12) beslist dat downloaden uit illegale bron niet onder de uitzondering voor privékopiëren valt. Downloaden uit illegale bron is daarmee verboden in Nederland. Het Hof heeft verder geen voorwaarden verbonden aan de handhaving van dit verbod. Nu het auteursrecht primair civielrechtelijk wordt gehandhaafd, staat het rechthebbenden vrij downloaders uit illegale bron daarop aan te spreken binnen de kaders van de wet. Dit betekent dat rechthebbenden, binnen de kaders van de (privacy-)wetgeving, ook IP-adressen van overtreders van het downloadverbod mogen verzamelen. In de praktijk is de medewerking van internet service providers noodzakelijk om deze IP-adressen te koppelen aan de NAW-gegevens, die schuil gaan achter de IP-adressen waarmee illegaal wordt gedownload. Wanneer de internet service providers deze gegevens niet willen verschaffen, dan kunnen auteursrechthebbenden de rechter vragen hierover een uitspraak te doen. Daarvoor zal de rechter onder meer het belang van privacy afwegen tegen het belang van een effectieve handhaving van het auteursrecht.
Overigens begrijp ik van Stichting BREIN (Hierna: BREIN) dat haar aanpak nog steeds is gericht op tussenpersonen en op eerste en/of grote individuele uploaders en niet op de consument, die illegale kopiën downloadt en/of sporadisch uploadt. Individuele filmdistributeurs hebben in de media aangegeven zich wel op de individuele consument te willen gaan richten.

Vraag 3

Sinds wanneer bent u op de hoogte van het voornemen van filmdistributeurs om individuele downloaders aan te klagen? Sinds wanneer bent u op de hoogte van het voornemen van Stichting Brein om een database aan te leggen waarin het gedrag van uploaders wordt gemonitord?

Ik ben hiervan op de hoogte vanaf het moment dat hierover berichtgeving in de media is verschenen.

Vraag 4

Kunt u bevestigen of het systeem dat Stichting Brein gebruikt om uploaders te monitoren, hetzelfde systeem is dat de filmdistributeurs gebruiken om individuele downloaders te beboeten?

Ik begrijp van BREIN dat hun systeem erop is gericht om eerste en/of grote uploaders te identificeren die als bron fungeren voor ongeautoriseerd aanbod op bittorrent-sites. BREIN heeft haar voornemen om onderzoek hierna te doen aangemeld bij het College bescherming persoonsgegevens («Cbp») en gevraagd om een voorafgaand onderzoek naar de verwerking van strafrechtelijke persoonsgegevens door BREIN. BREIN heeft aangegeven dat haar systeem niet zal worden ingezet om individuele downloaders te beboeten. Ik begrijp van BREIN dat het systeem ook niet met derden zal worden gedeeld.
Uit de media heb ik daarnaast vernomen dat enkele individuele filmdistributeurs hebben aangekondigd via digitaal forensisch speurwerk IP-adressen te willen veiligstellen van illegale downloaders. Indien deze methode kwalificeert als de verwerking van strafrechtelijke persoonsgegevens, dan is een voorafgaand onderzoek van het Cbp vereist. Het Cbp heeft aangegeven thans nog geen aanvraag hiervoor te hebben ontvangen.
Ik kan dus niet bevestigen of filmdistributeurs de aangekondigde methode in de praktijk inzetten en welk systeem zij daarvoor gebruiken.

Vraag 5

Bent u bekend met de opbouw en de omvang van de database met gegevens van internetgebruikers van Stichting Brein en de filmdistributeurs? Heeft u inzicht in welke gegevens opgeslagen worden, hoeveel personen of organisaties daar toegang tot hebben en op welke wijze de informatie wordt gebruikt? Zo ja, kunt u de Kamer daarover informeren? Zo nee, waarom niet?

BREIN heeft aangegeven dat zij voornemens is om gericht onderzoek te doen naar de uitwisseling van illegale kopieën van auteursrechtelijk beschermde werken via bittorrent-indexeringswebsites. In een bittorrent-omgeving is een gebruiker te herkennen aan een gebruikersnaam (alias) en een IP-adres. Het systeem van BREIN zoekt in een zwerm van IP-adressen van tienduizenden uploadersdie een bepaalde illegale kopie aanbieden. In die zwerm zoekt BREIN naar Nederlandse IP-adressen van eerste en/of herhaaldelijke uploads van recent aangeboden illegale kopieën. BREIN heeft prioriteringscriteria vastgesteld om de groep uploaders waarnaar onderzoek gedaan wordt af te bakenen. Op deze manier worden enkele tientallen IP-adressen geïdentificeerd. Deze adressen worden opgeslagen om te beoordelen of men nader onderzoek naar deze bittorrent-gebruikers kan doen. BREIN heeft aangegeven dat IP-adressen van uploaders die niet binnen de prioriteringscriteria vallen, worden verwijderd. Deze IP-adressen zijn niet direct bruikbaar voor het in rechte betrekken van een persoon omdat ze nog gekoppeld moeten worden aan de NAW-gegevens van de bittorrent-accounthouder. Wanneer BREIN nader onderzoek wil doen naar een gebruiker vraagt BREIN de contactgegevens op bij de internet service provider. De internet service provider zal hier in de praktijk pas na tussenkomst van een rechter zijn medewerking aan verlenen.
Alleen medewerkers van BREIN hebben toegang tot dit systeem. Wanneer een inbreuk wordt vastgesteld, kunnen ter voorbereiding van een juridische procedure gegevens worden afgestaan aan de relevante rechthebbende die aangesloten is bij BREIN, zoals thans al gebruikelijk is voor juridische procedures die worden gevoerd op basis van gegevens die zonder tussenkomst van dit systeem zijn verkregen.

Vraag 6

Is het toegestaan databases te creëren waarin IP-adressen van internetgebruikers en online activiteiten opgeslagen worden en deze IP-adressen te monitoren zonder toestemming van de internetgebruiker?

Een IP-adres is in beginsel te herleiden tot een natuurlijk persoon en kwalificeert daarom volgens het Cbp als een persoonsgegeven. De verwerking van persoonsgegevens in een database is toegestaan wanneer dit gedaan wordt in overeenstemming met de Wet bescherming persoonsgegevens («Wbp»). Nu de gegevens zien op strafbare delicten zijn ze tevens te kwalificeren als bijzondere persoonsgegevens. Dit betekent dat een voorafgaand onderzoek van het Cbp vereist is alvorens deze gegevens mogen worden verwerkt.
Het Cbp kan in het voorafgaand onderzoek aan de gegevensverwerking eventueel nadere voorwaarden stellen. BREIN heeft de verwerking van deze gegevens aangemeld bij het Cbp. Naar aanleiding hiervan heeft het Cbp een onderzoek ingesteld. Het Cbp heeft aangegeven voornemens te zijn een rechtmatigheidsverklaring af te geven voor de verwerking van persoonsgegevens (Stcr. 2015, nr. 39328-n1). Zoals eerder aangegeven heeft het Cbp thans (nog) geen specifieke aanvraag voor een voorafgaand onderzoek ontvangen van individuele filmdistributeurs.

Vraag 7

Is het College bescherming persoonsgegevens (Cbp) bekend met de systemen van de filmdistributeurs en Stichting Brein? Wat is het oordeel van het college?

Zie antwoord vraag 6.

Vraag 8

Wat is uw oordeel over de databases met gegevens over internetgebruikers die de filmdistributeurs en Stichting Brein aanleggen? Ziet u risico’s met betrekking tot de privacy van internetgebruikers en internetvrijheid?

Het Cbp waakt over de verwerking van persoonsgegevens in dergelijke databases en stelt daar voorwaarden aan. De IP-adressen die worden verwerkt door BREIN kunnen alleen door internet service providers worden gekoppeld aan de NAW-gegevens van de houder van het IP-adres.
Artikel 8 sub f Wbp regelt de voorwaarden waaronder deze gegevens kunnen worden afgestaan door een internet service provider. Deze voorwaarden zijn nader ingevuld door de Hoge Raad in het arrest Lycos / Pessers arrest (HR 25 november 2005, ECLI:NL:HR:2005:AU4019).
Wanneer een internet service provider niet bereid is deze gegevens af te staan, dan kan een benadeelde partij een rechterlijk bevel vragen. De rechter zal daarbij de belangen van partijen afwegen. Bij deze belangenafweging wordt zowel het belang van de privacy van de betrokken internetgebruikers afgewogen als de belangen van de internet service provider, waaronder het behoud van de vrijheden zoals bedoeld in artikel 10 van het Europees Verdrag van de Rechten van de Mens.
Voor het verwerken van bijzondere persoonsgegevens in een database geldt dat daaraan inderdaad risico’s voor de persoonlijke levenssfeer van de betrokkenen kleven. Daarom stellen artikel 16 Wbp e.v. nadere, strenge, voorwaarden aan het verwerken van strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag.
Zoals aangegeven in de beantwoording van vraag 4, kan ik niet bevestigen of filmdistributeurs de aangekondigde methode in de praktijk inzetten en welk systeem zij daarvoor zullen gaan gebruiken.

Vraag 9

Moeten private organisaties per individueel IP-adres een gerechtelijk bevel hebben voordat internet service providers het adres van de internetgebruiker mogen overhandigen?

In principe moet een internet service providers zelf toetsen aan de voorwaarden uit de rechtspraak van de Hoge Raad. De benadeelde partij die afgifte vordert zal voldoende bewijs moeten overhandigen zodat de internet service provider redelijkerwijs kan concluderen dat aan die voorwaarden is voldaan. Wanneer een internet service provider twijfelt aan het overgelegde bewijs en het verzoek afwijst, kan een rechthebbende afgifte proberen te vorderen via een rechterlijk bevel. Indien een benadeelde partij afgifte van persoonsgegevens voor meerdere IP-adressen tegelijkertijd vordert, dan zal daarbij voor elk IP-adres het benodigde bewijs moeten worden geleverd dat aan de voorwaarden uit de rechtspraak van de Hoge Raad is voldaan.

Vraag 10

Wat is uw mening over de praktijk van het grootschalig opsturen van schikkingsvoorstellen naar individuele downloaders?

Het uitgangspunt blijft dat auteursrecht in beginsel civielrechtelijk moet worden gehandhaafd, en dat het aan de rechthebbende zelf is hoe hij deze handhaving vorm wil geven. Het staat rechthebbenden vrij om een schikkingsvoorstel te doen, maar een individuele downloader hoeft dit voorstel niet te accepteren. Er staat altijd de weg naar de rechter open.

Vraag 11

Hoe kijkt u naar de bewijslast van een IP-adres gekoppeld aan downloadgedrag? Is de eigenaar van een wifi-netwerk verantwoordelijk voor het up- of downloadgedrag op dat netwerk? Geldt dat voor zowel open wifi-netwerken als beveiligde netwerken?

Het is aan de rechter om in een voorkomend geval te toetsen of er voldoende kan worden aangetoond dat een ongeautoriseerde down- of upload is uitgevoerd door de houder van het IP-adres. Daarbij kan de rechter eveneens afwegen of er een zekere zorgplicht bestaat voor accounthouders die hun IP-adres ter beschikking stellen aan derden of gezinsleden, al dan niet via open of beveiligde netwerken.

Vraag 12

Bent u bereid gezien het urgente karakter van de situatie deze vragen voor het kerstreces van de Kamer te beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht «Russen op de loer in de Noordzee»?1

Ja.

Vraag 2

Klopt het dat de Nederlandse speciaal ambassadeur voor cyberkwesties onderhandelt over een digitaal niet-aanvalsverdrag tussen Europa en China?

Nee. De Speciaal Gezant voor internationaal cyberbeleid, Dr. Uri Rosenthal, is aangesteld om de resultaten van de Global Conference on Cyberspace uit te dragen en de Nederlandse visie van een vrij, open en veilig internet te bevorderen.
In die hoedanigheid heeft de Speciaal Gezant op 26 en 27 oktober jl. deelgenomen aan een informele dialoog tussen vertegenwoordigers van Europese landen, denktanks en universiteiten en hun Chinese tegenhangers om tot een beter inzicht in de wederzijdse posities te komen. In dat licht is o.a. gesproken over internet governance, cyberspace en internationale veiligheid en de digitale economie.
Tijdens deze dialoog zijn ook de wederzijdse visies toegelicht op het recente rapport van een VN werkgroep over cyberspace en internationale veiligheid, waarin onder meer de gedragsnorm wordt neergelegd dat een Staat geen ICT-activiteit zou moeten uitvoeren of ondersteunen die leidt tot opzettelijke beschadiging van vitale infrastructuur. Dit is waar het citaat van de Speciaal Gezant in het bericht in de Telegraaf aan refereerde.
Het kabinet is, zoals onder andere aangegeven in de Kamerbrief over het Cyber Security Beeld Nederland van 14 oktober jl. (26 643, nr. 369), bezorgd over het feit dat geopolitieke spanningen zich steeds vaker manifesteren in (dreigende) inbreuken op digitale veiligheid. In dat opzicht ziet het kabinet het streven naar normen voor verantwoordelijk gedrag als een vorm van conflictpreventie en steunt de bereikte internationale consensus op dit gebied. Het kabinet draagt ook actief bij aan de totstandkoming en implementatie van zulke gedragsnormen, maar tijdens de informele dialoog op 26 en 27 oktober jl. is niet onderhandeld over soortgelijke afspraken tussen China en Europa.

Vraag 3

Met welke redenen wordt onderhandeld over een digitaal niet-aanvalsverdrag tussen Europa en China?

Vraag 4

Op welke termijn zou er sprake (moeten) zijn van een digitaal niet-aanvalsverdrag tussen Europa en China?

Vraag 5

Kunt u de aard en inhoud van het digitaal niet-aanvalsverdrag tussen Europa en China toelichten?

Vraag 6

Wat voor soort aanvallen zouden vallen onder het digitaal niet-aanvalsverdrag?

Vraag 7

Waarom is er een speciaal gezant namens de regering die onderhandelt over een digitaal niet-aanvalsverdrag tussen Europa en China?

Vraag 8

Namens wie precies onderhandelt de Speciaal Vertegenwoordiger Cyber over een digitaal niet-aanvalsverdrag tussen Europa en China, en op basis van welk mandaat?

Vraag 9

Hebben andere landen ook speciaal vertegenwoordiger cyber, dan wel onderhandelaars, voor een digitaal niet-aanvalsverdrag tussen Europa en China?

Vraag 10

Welke landen in Europa zouden deelnemen aan het digitaal niet-aanvalsverdrag tussen Europa en China?

Vraag 11

Bent u bereid de Kamer regelmatig te informeren over de voortgang inzake de onderhandelingen over een digitaal niet-aanvalsverdrag tussen Europa en China?

Vraag 1

Heeft u kennisgenomen van het bericht «112 onvoldoende bereikbaar: levensgevaarlijke risico’s voor doven en zwaar slechthorenden» op de website van Signaal?1 Herinnert u zich uw eerdere antwoorden van 26 mei 2014 over open standaarden voor KPN Teletolk?2 Herinnert u zich uw brief van 26 juni 2015, met daarin informatie over de voorzieningen voor 112 voor doven en slechthorenden?3

Ja.

Vraag 2

Hoe verhoudt uw constatering dat «in de bereikbaarheid van 112 via deze voorziening problemen kunnen ontstaan» zich tot de conclusie in het artikel van Signaal «in meer dan de helft van de testsituaties ontvingen zij geen antwoord in tekst terug van de 112-centralisten»?

De 112-voorziening voor doven en slechthorenden zou zonder problemen moeten werken. Om die reden heeft de politie samen met de leverancier van de Signcall app in de afgelopen tijd prioriteit gegeven aan het oplossen van problemen in de 112-dienstverlening.
In mijn brief van 26 juni 2015 schreef ik dat «in de bereikbaarheid van 112 via deze voorziening [voor doven en slechthorenden] problemen kunnen ontstaan». Met «problemen» doelde ik destijds op problemen die binnen de gehele keten kunnen ontstaan. Hierbij spelen verschillende factoren een rol, die – net als bij een gewone 112-oproep – van invloed zijn op het slagen van een noodoproep, zoals dekking, type toestel en omliggende bebouwing. Ik heb toen aangegeven dat de bereikbaarheid van 112 via de apps voor doven en slechthorenden uitgebreid getest zou worden met de medewerking van belangenvereniging Signaal. De conclusie in het artikel van Signaal is gebaseerd op het resultaat van deze gezamenlijke ketentesten, die in augustus hebben plaatsgevonden.
Kort voor deze testen heeft een software-upgrade van de app door de leverancier plaatsgevonden. Uit technisch onderzoek is gebleken dat de problematiek die in het artikel aan de orde is gesteld ten aanzien van de beantwoording van meldingen, werd veroorzaakt door deze software-upgrade. De oplossing hiervoor was een nieuwe software-upgrade over de gehele keten. Om deze nieuwe software-upgrade met een positief resultaat te kunnen doorvoeren, heeft een uitgebreid proces van testen en accepteren door de leverancier en de politie plaatsgevonden. Op 23 oktober jongstleden is dit proces succesvol afgerond. Daarmee is de 112-dienstverlening voor doven en slechthorenden hersteld en werkt deze, behoudens de standaardfactoren die van invloed kunnen zijn op het slagen van een oproep, naar behoren. Omdat de voorziening relatief weinig wordt gebruikt, zullen op regelmatige basis tests worden uitgevoerd met vertegenwoordigers van de doelgroep.
Met het oog op het belang van een goede kwaliteit van de 112-voorziening heb ik besloten om een onafhankelijke partij (TNO) onderzoek te laten doen naar het stelsel en mogelijkheden om de bereikbaarheid van 112 voor doven en slechthorenden verder te verbeteren. De uitkomsten van dit onderzoek zullen naar verwachting eind november bekend worden.

Vraag 3

Deelt u de constatering dat het volstrekt ontoelaatbaar is dat in een groot aantal van de gesprekken van doven en slechthorenden met 112 de verbinding niet betrouwbaar is? Zo ja, waarom laat een oplossing dan al enige tijd op zich wachten?

Zie antwoord vraag 2.

Vraag 4

Is inmiddels duidelijk waardoor de problemen veroorzaakt worden in het bereiken van 112 door doven en slechthorenden? Zo nee, wat is de voortgang van het technisch onderzoek?

Zie antwoord vraag 2.

Vraag 5

Heeft u de aanbevelingen van het Europese REACH112-project volledig overgenomen? Zo nee, waarom niet en verwacht u dit nog in 2015 te gaan doen? Zo ja, waar blijkt dat uit?

De Europese pilot Reach 112 heeft tot inzichten en adviezen geleid voor de dienstverlening aan doven en slechthorenden. De adviezen zijn aangeboden aan de Europese Commissie en hebben geleid tot het instellen van de internationale Total Conversation standaard. De huidige voorzieningen voor doven en slechthorenden om 112 te bereiken is gebaseerd op deze standaard. In het hierboven genoemde onderzoek van TNO is mede onderzocht of er op basis van de bevindingen uit Reach 112 aanvullende verbeteringen voor de Nederlandse situatie mogelijk zijn.

Vraag 6

Bent u bereid de technische onderzoeken naar de bereikbaarheid en betrouwbaarheid van 112 voor doven en slechthorenden aan de Kamer te sturen?

Ik heb een selectie gemaakt van voor u relevante rapportages van de technische onderzoeken naar de bereikbaarheid en betrouwbaarheid van 112 voor doven en slechthorenden. Deze heb ik toegevoegd als bijlagen4 bij deze brief. Het gaat om door de leverancier opgestelde technische rapportages, waarin de gevonden knelpunten en doorgevoerde oplossingen worden genoemd.

Vraag 7

Kunt u toezeggen dat 112 binnen drie maanden betrouwbaar bereikbaar is voor doven en slechthorenden? Zo nee, op welke termijn kunt u wel toezeggen dat doven en slechthorenden betrouwbaar het noodnummer kunnen bellen? Welke adviezen heeft u voor doven en slechthorenden als ze in de tussentijd een hulpdienst moeten bereiken?

Zie antwoord vraag 2.

Vraag 1

Waaruit blijkt dat de waarde van de leveringsovereenkomst voor RADAR met Capgemini in totaal 1.585.812,– euro (incl. BTW) bedroeg?

De waarde van de leveringsovereenkomst kan worden onderbouwd met drie vertrouwelijke stukken, die ik aanvullend op de eerdere stukken vertrouwelijk voor u ter inzage zal leggen:
In de Specificatie ziet u dat CapGemini niet één fixed price voor de bouw heeft geoffreerd. Capgemini heeft een fixed price geoffreerd voor de bouw én beheer én onderhoud in een «keuzemenu». Dienst Justis heeft echter niet voor dit complete menu gekozen. Een aantal onderdelen van de offerte heeft Dienst Justis niet bij Capgemini afgenomen, bijvoorbeeld licenties die Dienst Justis zelf heeft aangeschaft. De waarde van de leveringsovereenkomst is daardoor een berekening achteraf van de wél afgenomen onderdelen voor de bouw.
Bij het beantwoorden van uw vraag heb ik geconstateerd dat in mijn brief van 27 augustus 2015 (Kamerstuk 29 911, nr. 116) in het antwoord op vraag 4 van de SP-fractie twee fouten zijn gemaakt. Ik betreur deze fouten zeer en wil deze herstellen.
In een bijlage treft u het nieuwe antwoord op vraag 4 aan. Hoewel de cijfers zijn aangepast, is de inhoudelijke strekking van het antwoord ongewijzigd.

Vraag 2

Is er in de periode tussen de leveringsovereenkomst ter waarde van 1.585.812,– euro en de meerwerkafrekening bij de beëindiging van de overeenkomst (via een vaststellingsovereenkomst ter waarde van 1.849.365,– euro) verder meerwerk aan Capgemini betaald? Zo ja, kunt u dit meerwerk en de waarde daarvan toelichten?

In mijn brief van 27 augustus 2015 heb ik in het antwoord op vraag 4 aangegeven welke bedragen gemoeid waren met de inzet van Capgemini voor de ontwikkeling van RADAR en welk bedrag voor meerwerk daaraan was verbonden, te weten: € 1.849.365 (incl. BTW). Daarbij heb ik aangegeven dat het hier gaat om het deel meerwerk dat betrekking had op de interface met de Kamer van Koophandel (KvK) aan de Dienst Justis-zijde, zoals uitgelegd in de antwoorden op de vragen 36 en 37 van het CDA.
Los daarvan is meerwerk aan Capgemini betaald voor de ondersteuning door Capgemini aan de zijde van de KvK, zodat een maatwerkkoppeling naar Dienst Justis ontwikkeld kon worden. Dit staat in het antwoord op vraag 10 vermeld. Mijn inschatting is dat dit meerwerk rond de € 350.000 incl. BTW heeft gekost. Omdat dit meerwerk is gecontracteerd in een pakket waar ook ander meerwerk in zat, zou voor precisering van dit bedrag een uitsplitsing van facturen moeten plaatsvinden.

Vraag 3

Welke kosten zijn er totaal gemaakt voor de externe inhuur voor de ontwikkeling van specifiek RADAR als onderdeel van het Programma Herziening Toezicht op Rechtspersonen?

In mijn brief van 27 augustus 2015 heb ik in het antwoord op vraag 9 en 10 van de SP en vraag 18 van het CDA aangegeven dat voor het Programma Herziening Toezicht op Rechtspersonen (HTR), waar het project RADAR onderdeel van was, tientallen externen zijn ingezet voor onder andere project- en programmamanagement, procesaudits, functiepuntentellingen en juridisch advies.
Op het Rijks ICT Dashboard is destijds gepubliceerd dat de externe inhuur voor de ontwikkeling van RADAR als onderdeel van het programma HTR € 7,8 miljoen heeft gekost. Bij controle van het dashboard is mij gebleken dat de in 2013 aangeleverde gegevens op dit moment niet worden getoond. Ik zal dit laten herstellen. Het bestand met de betreffende gegevens is tevens bijgevoegd.

Vraag 4

Kunt u deze kosten uitsplitsen en specificeren per ingehuurde persoon, functie, termijn van inhuur en uurtarief? Zo nee, waarom niet?

In mijn brief van 27 augustus 2015 heb ik in het antwoord op vraag 32 van het CDA aangegeven dat een overzicht van gehanteerde uurtarieven beschikbaar is vanuit de contracten met Capgemini en Sogeti, deze contracten heb ik vertrouwelijk ter inzage laten leggen.
De door u gevraagde uitsplitsing en specificatie per ingehuurde persoon, functie, termijn van inhuur en uurtarief kan ik alleen leveren na een aanzienlijke inspanning. De administratieve bescheiden uit de betreffende periode zouden opnieuw handmatig moeten worden doorgelopen voor alle ingehuurde personen. De administratie van het Programma Herziening Toezicht op Rechtspersonen is destijds niet ingericht op het eenvoudig genereren van de door u gevraagde informatie, de gegevens zijn bijvoorbeeld verspreid over meerdere informatiesystemen. Ik geef u daarom in overweging mee, met het oog op administratieve lastendruk, af te zien van deze inspanning. Indien u aangeeft uw vraag te handhaven, dan zal ik u een planning doen toekomen, met een streefdatum van beantwoording in de eerste helft van 2016.

Vraag 5

Kunt u aangeven waar precies in het Rijks-ICT Dashboard transparant is gerapporteerd over de totale kosten van externe inhuur voor ICT voor Herziening Toezicht Rechtspersonen?

Zie antwoord vraag 3.

Vraag 6

Waarom kon de dienst Justis na de contractbreuk met Capgemini in de overgangsperiode de medewerkers van Capgemini wel aansturen, terwijl dat in de jaren daarvoor niet het geval was ondanks de miljoenen euro’s die toen aan projectmanagers zijn uitgegeven?

In mijn brief van 27 augustus heb ik in het antwoord op vraag 4 van de SP en vraag 7 van het CDA aangegeven dat Dienst Justis in de overbruggingsperiode naar een nieuwe leverancier de medewerkers van Capgemini rechtstreeks aanstuurde. Daarmee was sprake van een fundamenteel andere werkwijze dan daarvoor, toen Capgemini zelf haar eigen medewerkers aanstuurde, omdat Capgemini verantwoordelijk was voor het opleveren van RADAR volgens fixed price en fixed date principe. De rechtstreekse aansturing door Dienst Justis van de medewerkers van Capgemini bood meer ruimte om adequaat in te spelen op gewijzigde inzichten.
Er is overigens geen sprake geweest van contractbreuk zoals uw vraagstelling stelt. Dienst Justis en Capgemini hebben een vaststellingsovereenkomst getekend, die duidelijke afspraken bevatte over hoe de leveringsovereenkomst werd beëindigd, maar ook duidelijke afspraken bevatte naar de toekomst.

Vraag 1

Hebt u kennis genomen van het bericht «PinkRoccade en Centric «misbruiken marktmacht»»1? Hebt u tevens kennis genomen van het onderliggende onderzoek?

Ja. In het bedoelde artikel staat dat het gebaseerd is op «gezamenlijk onderzoek van NRC Handelsblad en Reporter Radio naar de gemeentelijke ICT- markt». Ik beschik niet over nadere informatie met betrekking tot dit onderzoek.

Vraag 2

Herkent u het beeld dat er een duopolie is ontstaan in de levering van centrale software aan gemeenten? Zo nee, waarom niet? Zo ja, hoe beoordeelt u deze situatie?

Dat beeld herken ik deels.
Zoals in het NRC artikel is genoemd zijn er op deze markt twee partijen dominant aanwezig. Echter, op een toenemend aantal deelterreinen, bijvoorbeeld burgerzaken en financiën, zijn meer dan twee leveranciers actief. Hoewel vanuit het perspectief van mededinging een markt met vele partijen aantrekkelijk kan zijn, is het goed om te realiseren dat de gemeentelijke markt op dit moment slechts 393 afnemers telt en dat aantal neemt nog steeds af. Dat is een beperkte markt voor specifieke gemeentelijke software. Om de ontwikkelkosten te kunnen terugverdienen is een zekere schaal noodzakelijk. Het is daardoor niet waarschijnlijk dat er een situatie zal ontstaan waarin veel leveranciers zullen opereren als het gaat om de grote, complexe systemen waar gemeenten mee werken.
Uiteraard moeten klanten de vrijheid hebben om te kiezen uit het aanbod van de partijen. Er mag dus geen sprake zijn van een «vendor lock in», waardoor het voor de klant zeer moeilijk is om de producten van diverse leveranciers in technische zin te integreren. Dit beperkt de mededinging. Dit probleem is alleen op te lossen door het hanteren van standaarden en het organiseren van een goede sturing van de leveranciers door een goed opdrachtgeverschap, op lokaal en landelijk niveau.
De overweging dat standaardisatie en opdrachtgeverschap verbetering behoefde vormde in 2003 mede de aanleiding tot de start van het gezamenlijke BZK/VNG-programma EGEM. De taken van EGEM zijn overgedragen aan het in 2009 opgerichte Kwaliteitsinstituut Nederlandse Gemeenten (KING).
VNG/KING is enkele jaren geleden gestart met het sluiten van convenanten met leveranciers. Door ondertekening van het convenant verklaren de leveranciers zich te houden aan de standaarden die nodig zijn voor interoperabiliteit. Inmiddels zijn met meer dan 170 leveranciers convenanten afgesloten. Met KING zijn de gemeenten naar mijn mening voldoende toegerust om invulling te geven aan het opdrachtgeverschap richting leveranciers.

Vraag 3

Welke prijsontwikkeling hebben de softwarepakketten van PinkRoccade en Centric de afgelopen vijf jaren doorgemaakt? Zijn deze prijsstijgingen voor u reden om aan te nemen dat de markt faalt? Zo nee, waarom niet?

Het Ministerie van BZK verricht geen onderzoek naar de prijsontwikkeling op de gemeentelijke softwaremarkt. Ik kan hierover daarom geen uitsluitsel geven.

Vraag 4

Kunt u de bewering van PinkRoccade plaatsen dat de ontwikkeling van nieuwe functionaliteiten die door wetgeving later of niet ingevoerd is tot hoge kosten geleid heeft? Zo ja, vindt u dat deze kosten horen tot het ondernemersrisico of dat ze aan afnemers doorberekend kunnen worden?

Nee, ik weet niet op welke wetgeving die later of niet zou zijn ingevoerd hier wordt gedoeld.
De vraag gaat er overigens van uit dat er bepaalde normen gelden met betrekking tot de vraag welke kosten een ondernemer wel of niet in zijn kostprijs zou mogen doorberekenden. Deze prijsvorming is echter geheel vrij.

Vraag 5

Bent u op de hoogte van signalen dat de koppelingen tussen softwarepakketten van verschillende leveranciers moeizaam werken, onder andere doordat open standaarden niet goed toegepast worden? Zo nee, wilt u bij de VNG en het Kwaliteitsinstituut Nederlandse Gemeenten (KING) navraag doen naar deze problemen? Zo ja, deelt u de analyse dat leveranciers hiermee hun markt afschermen en de prijs op kunnen drijven?

In gemeentelijke kring worden dergelijke signalen inderdaad met enige regelmaat geuit. Ik kan niet beoordelen of leveranciers hiermee hun markt afschermen en hun prijs kunnen verhogen. Het is overigens een taak van de gemeenten zelf om, met behulp van VNG/KING, door standaardisatie en goed opdrachtgeverschap te voorkomen dat leveranciers hiertoe in staat zijn. Het is mij bekend dat VNG/KING inzet op het strenger controleren of software aan de standaarden voldoet.

Vraag 6

Wilt u onderzoeken of de centrale software voor de gemeentelijke dienstverlening goedkoper aangeboden kan worden? Ziet u hierin mogelijkheden om gemeenten en rijksoverheid meer samen te laten werken in efficiëntere aanbesteding van deze software of een certificering van pakketten waardoor de samenwerking tussen verschillende pakketten gewaarborgd wordt en gemeenten niet afhankelijk worden van een aanbieder?

Ik beschouw een onderzoek naar de vraag of gemeentelijke software goedkoper zou kunnen worden aangeboden primair als een zaak voor de gemeenten. Het initiatief voor een dergelijk onderzoek zou daarom van gemeentelijke zijde moeten uitgaan.
De software waar het in het artikel om gaat is specifieke bestemd voor gemeentelijke taken en is daarom niet bruikbaar voor de rijksoverheid. Ik zie daarom geen mogelijkheden voor samenwerking bij de aanbesteding of certificering daarvan.

Vraag 7

Wilt u in overleg gaan met VNG en KING om mogelijkheden voor goedkopere gemeentesoftware te onderzoeken en de Kamer hier voor 1 januari 2016 over berichten?

Indien VNG en KING het initiatief nemen tot een dergelijk onderzoek en mij daarbij zouden willen betrekken, wil ik graag bezien of ik daarbij eventueel behulpzaam zou kunnen zijn.

Vraag 1

Herinnert u zich uw toezeggingen, gedaan in het Algemeen overleg van 20 mei jl., om de (evaluatie)criteria voor de e-ID pilots nog aan te scherpen en voorafgaand aan de start van de pilots met de Kamer te bespreken?1

Ja, dat herinner ik mij.

Vraag 2

Kunt u toezeggen de beloofde SMART-uitwerking (= Specifiek, Meetbaar, Acceptabel, Realistisch, Tijdgebonden) van de (evaluatie)criteria zo spoedig mogelijk aan de Kamer te sturen, zodat zij voldoende tijd heeft om deze te analyseren voorafgaand aan het Algemeen overleg hierover? Zo neen, waarom niet? Zo ja, binnen welke termijn?

U ontvangt de criteria tijdig voor het Algemeen Overleg van 25 november aanstaande. Opgemerkt dient te worden dat de evaluatiecriteria in samenspraak met de evaluatiecommissie nog verder uitgewerkt zullen worden.2
Deze commissie bestaat uit wetenschappers en experts uit alle betrokken disciplines (privacy, beveiliging, communicatie, gebruikersperspectief, techniek) die zowel adviseert over de opzet van het evaluatieonderzoek als over de conclusies en aanbevelingen.3
De evaluatieonderzoeken worden uitgevoerd door onafhankelijke onderzoeksbureaus. Daarbij wordt zowel kwantitatief als kwalitatief onderzoek uitgevoerd waarbij ingegaan wordt op:
Feitelijk gebruik van het middel in de pilots;
Ervaringen van burgers, dienstaanbieders en leveranciers;
De technische werking van publiek eID middel en Stelsel Idensys;
Privacy en beveiliging van publiek eID middel en Stelsel Idensys.
De onderzoeken richten zich onder andere op de criteria betrouwbaarheid, veiligheid, privacy. Ook richten de onderzoeken zich op de criteria gebruiksvriendelijkheid en toegankelijkheid vanuit het oogpunt van de leveranciers en dienstaanbieders.

Vraag 3

Gaat u de evaluatiecriteria koppelen aan de toetredingsvoorwaarden voor de pilots, zoals gevraagd in het Algemeen overleg van 20 mei jl., aangezien een evaluatie juist een toets is op het al dan niet voldoen aan de eisen die vooraf zijn gesteld? Zo neen, waarom niet?

Zie voor beantwoording vraag 4.

Vraag 4

Gaat u ook de toetredingsvoorwaarden, zoals in uw brief van 30 juni 2015 genoemd, nog verder uitwerken en SMART maken, zodat deze voorwaarden gekoppeld kunnen worden aan de evaluatiecriteria? Zo neen, waarom niet?2

De toetredingsvoorwaarden en de evaluatiecriteria zijn twee verschillende onderdelen.
Private partijen die middelen willen uitgeven onder het merk Idensys moeten voldoen aan alle technische, organisatorische en juridische eisen die zijn vastgelegd in het afsprakenstelsel elektronische toegangsdiensten voordat zij überhaupt kunnen toetreden. Om de naam Idensys te mogen voeren is het verplicht om te voldoen aan de afspraken zoals die zijn vastgelegd in het afsprakenstelsel. De Minister van EZ is verantwoordelijk voor het toezicht op het afsprakenstelsel.
De pilots die in het stelsel worden uitgevoerd worden na afloop geëvalueerd met behulp van onderzoeksvragen die betrekking hebben op alle technische organisatorische en juridische eisen uit het afsprakenstelsel. De pilots worden beoordeeld met behulp van evaluatiecriteria. De evaluatiecriteria vormen de meetlat waarlangs de pilots na afloop worden gelegd. Het zijn de normen waarmee het succes, het falen of het verloop van de pilots wordt beoordeeld.
Op basis daarvan kan de Kamer een gefundeerde afweging maken.

Vraag 5

Wat is de stand van zaken met betrekking tot de pilots? In welke fase bevinden zich de voorbereidende handelingen voor de pilots? Wanneer denkt u daadwerkelijk de pilots te kunnen starten, nadat de criteria voor de pilots met de Kamer zijn besproken?

Aan de ene kant zijn de dienstverleners bezig om hun systemen gereed te maken voor deelname aan de pilots, onder andere door middel van het implementeren van de Idensys-knop op hun website/portal. Daarnaast stellen zij hun doelgroep samen.
Aan de andere kant zijn de eID leveranciers aan het toetreden tot het afsprakenstelsel elektronische toegangsdiensten met als doel om eind december / begin januari te kunnen starten met de pilots Idensys.
Het juridische kader dat nodig is om de pilots te kunnen laten draaien is vastgesteld. Dit bestaat uit wijziging van het Afsprakenstelsel elektronische toegangsdiensten (via de Publiek-Private Samenwerking), realisering van een wettelijke basis in de Wet Elektronisch Berichtenverkeer (Financiën – BZK) en op basis daarvan geformuleerde uitvoeringsregelgeving.
Momenteel doorlopen 14 eID leveranciers (makelaars5 en authenticatiediensten) het toetredingsproces. Deze fase is eind december afgerond. Daarna gaan de pilots van start.
Zoals gecommuniceerd in mijn brief van 30 juni jongstleden6 zal ik u in het najaar bij brief informeren over de criteria. De brief wordt binnenkort verzonden.

Vraag 6

Hoeveel private partijen hebben zich inmiddels gemeld voor deelname aan de pilots?

Partijen die deelnemen aan de pilots zijn onder te verdelen in authenticatiediensten, makelaars, private dienstaanbieders en dienstaanbieders in het BSN-domein.
Momenteel doorlopen 14 eID leveranciers (authenticatiediensten en makelaars) het toetredingsproces tot het Idensys stelsel.
Daarnaast bereiden 10 private dienstaanbieders en 15 dienstaanbieders in het BSN-domein zich voor op de pilots.

Vraag 1

Bent u bekend met het bericht «Tweet van raadslid LEF Nissewaard zorgt voor ophef»?1

Ja.

Vraag 2

Wat vindt u van de uitspraak? Wat voor signaal gaat er naar uw mening uit naar de leerlingen van de school van de betrokkene, door haar uitspraken?

Ook gebruikers van internet en social media hebben, binnen de grenzen van de wet, recht op vrijheid van meningsuiting. Docenten hebben echter ook een voorbeeldfunctie voor hun leerlingen. Uitspraken waarin het omkomen van mensen lijkt te worden gezien als een soort verdiende straf («Karma is a bitch»), passen daar niet bij. De school heeft afstand genomen van deze kwetsende uitspraken en de betrokken docent ontheven van haar lessen. De school beraadt zich thans op de ontstane situatie.

Vraag 3

Zijn de uitspraken van de betrokkene naar uw mening ook symptomatisch voor het feit dat discriminatie op internet een groot probleem en rijzende is?

We worden in ons land geconfronteerd met een beeld van toenemende onverdraagzaamheid. Dat uit zich niet alleen op internet, maar het internet is door de grote toegankelijkheid en laagdrempeligheid ervan wel een terrein waar discriminerende uitingen sterk naar voren komen. De cijfers die u noemt bevestigen dat beeld.

Vraag 4

Wat vindt u ervan dat uit cijfers van het meldpunt voor internetdiscriminatie blijkt, dat het aantal meldingen van internetdiscriminatie vorig jaar met 22% is gestegen?2

Zie antwoord vraag 3.

Vraag 5

Kunt u ons van de meest recente cijfers voorzien met betrekking tot het voorkomen van internetdiscriminatie? Kunt u dit specificeren naar grond? Is er wederom sprake van een stijging?

Onderstaande tabellen bevatten de meest recente cijfers van het Meldpunt Internetdiscriminatie (MiND), uitgesplitst naar gronden van discriminatie. Er is over de eerste negen maanden van 2015 wederom sprake van een stijging.
2015
2014
2013
t/m september
302
183
108
Totaal
n.n.b.
305
251
20151
2014
2013
Ras
144
159
129
Anders
38
34
42
Antisemitisme
21
31
14
Leeftijd
21
29
20
Godsdienst2
44
27
12
Persoonlijke discriminatie
27
16
15
Seksuele voorkeur
4
7
18
Handicap
3
2
1
tot en met 30 september 2015
43 van de 44 meldingen in 2015 waren islam gerelateerd

Vraag 6

Wanneer wordt de Kamer geïnformeerd over de uitkomsten van het overleg dat de regering, via de persoon van de Minister van Sociale Zaken en Werkgelegenheid, met experts en vertegenwoordigers van Facebook en Twitter zal hebben over het voorkomen van discriminatie op internet?3

Zoals ik heb aangegeven in de tweede termijn van het Algemeen Overleg discriminatie op 9 september jl., zal ik uw Kamer voor de begrotingsbehandeling SZW informeren over de uitkomsten van het overleg dat op mijn Ministerie zal plaatsvinden.

Vraag 7

Wat is de inzet van de regering in deze gesprekken? Wat zal de regering doen als Facebook en Twitter niet bereid zijn mee te werken?

Voor de expertmeeting worden diverse stakeholders uitgenodigd: internet- en social media bedrijven, organisaties waarbij internetdiscriminatie gemeld kan worden als ook organisaties die zich richten op verantwoord internetgebruik. De inzet van de expertmeeting is om informatie en ideeën uit te wisselen. De verschillende stakeholders zal daarbij gevraagd worden om aan te geven welke rol zij voor zichzelf zien in het tegengaan van discriminatie op internet, waar zij tegenaan lopen en welke mogelijkheden tot verbetering zij zien. Hierbij ligt de nadruk op het verkrijgen van nader inzicht in de knelpunten en mogelijke oplossingsrichtingen en de bijdrage die partijen daar zelf aan kunnen leveren.
Op basis van de uitkomsten hiervan zal het vervolg nader worden bepaald.

Vraag 8

Met welke andere stakeholders overlegt de regering ten aanzien van internetdiscriminatie? Is de regering bereid een bredere conventie in te lassen met bijvoorbeeld providers, Google en Youtube om het punt van internetdiscriminatie onder de aandacht te brengen?

Zie antwoord vraag 7.

Vraag 9

Wat voor maatregelen gaat de regering nemen om discriminatie op internet aan te pakken?

Voor discriminatie op internet bestaat de mogelijkheid aangifte van strafbare uitingen te doen bij de politie of de uiting voor te leggen aan het landelijk Meldpunt Internetdiscriminatie (MiND). De inzet voor de expertmeeting is in eerste instantie om te bekijken wat de stakeholders zelf kunnen doen of verbeteren om discriminatie op internet aan te pakken.

Vraag 10

Is de regering nu wel bereid om een racismeregister in te voeren, waarin de namen en uitspraken, zoals die van de betrokkene, worden geregistreerd en waarbij een registratie in het racismeregister een baan bij de overheid en het onderwijs onmogelijk maakt? Zo ja, op welke termijn? Zo nee, waarom niet?

Het doen van racistische uitingen verhoudt zich niet tot hetgeen van overheidspersoneel verwacht mag worden. In het verleden geplaatste racistische opmerkingen op internet zijn in zijn algemeenheid echter geen reden om iemand de toegang tot een baan bij de overheid of binnen het onderwijs te ontzeggen, tenzij een dergelijke opmerking heeft geleid tot een strafrechtelijke veroordeling. Dan kan deze veroordeling een voor een bepaalde functie noodzakelijk goed gedrag in de weg staan. Binnen de overheid bestaat hiervoor de procedure om – indien de aard van de functie en het risico dat aan de werkzaamheden is verbonden hierom vragen – van de sollicitant een zogenaamde Verklaring omtrent gedrag (VOG) te vragen. Ik ben geen voorstander van een apart racismeregister zoals dat wordt voorgestaan door de leden Kuzu en Öztürk, naast de justitiële en politiegegevens die al geraadpleegd worden bij een VOG-procedure.

Vraag 11

Is de regering nu wel bereid om een educatieve maatregel discriminatie in te voeren, vergelijkbaar met de educatieve maatregel alcohol, waarbij mensen die discrimineren corrigerend worden bijgeschoold en ervan doordrongen raken dat discriminatie echt niet kan? Zo ja, op welke termijn? Zo nee, waarom niet?

Nee. Het ontwerpen van een educatieve maatregel of leerstraf vergelijkbaar met de educatieve maatregel alcohol is een arbeidsintensief traject: er zal veel geïnvesteerd moeten worden in het inrichten van de maatregel/straf. Het Landelijk Expertise Centrum Discriminatie van het Openbaar Ministerie geeft aan dat de recidive van personen die bestraft worden voor een discriminatiefeit vrijwel nihil is. Het invoeren van een maatregel met als doel speciale preventie lijkt dan ook niet nodig. Overigens bestaat voor de rechter bij vaststelling van strafbare discriminatie reeds de mogelijkheid tot het opleggen van een taakstraf. De taakstraf kan ook een leerstraf inhouden, welke kan worden ingevuld als een leertraject tegen discriminatie. Rechters maken hier in beperkte mate gebruik van.

Vraag 12

Is de regering bereid om de bekendheid en de rol van het meldpunt internetdiscriminatie te vergroten? Zo ja, wat gaat de regering ondernemen en hoe gaat de regering de gang van social media naar het meldpunt internetdiscriminatie beter faciliteren? Zo nee, waarom niet?

MiND heeft een aantal communicatieactiviteiten die structureel terug komen. Dit omvat onder meer een succesvolle Facebook campagne in 2014 die in het najaar van 2015 wordt herhaald, het inzetten van jongerenambassadeurs, deelnemen aan de Gay Pride in Amsterdam en investeren in de vindbaarheid van MiND op internet. Daarnaast worden mensen in de landelijke campagne tegen discriminatie via de website discriminatie.nl doorverwezen naar MiND als er specifiek sprake is van internetdiscriminatie. De samenwerking van MiND met Facebook en Twitter zal in de expertmeeting aan de orde komen.

Vraag 13

Is de regering bereid een betere gang van social media naar het meldpunt internetdiscriminatie mede inzet van de gesprekken met Facebook en Twitter te maken? Moet er bij een rapportage van ongewenste content op social media niet direct kunnen worden doorgelinkt naar het meldpunt internetdiscriminatie? Zo nee, waarom niet?

Zie antwoord vraag 12.

Vraag 14

Welke aan een ministerie of aan de overheid gelieerde antidiscriminatie bureaus bestaan er op dit moment? Welke zijn er tijdens deze kabinetsperiode ontbonden?

Op grond van de Wet gemeentelijke antidiscriminatievoorzieningen (Wga) dient elk gemeentebestuur burgers toegang te bieden tot een antidiscriminatievoorziening (ADV). Deze voorzieningen dienen onafhankelijke bijstand te bieden bij klachten over discriminatie en deze klachten te registreren. Het is, binnen de wettelijke kaders, een lokale keuze en verantwoordelijkheid hoe een ADV wordt ingericht. Er zijn 23 onafhankelijk antidiscriminatiebureaus die voor een groot aantal gemeenten de taken uit de Wga uitvoeren. Er zijn daarnaast gemeenten die ervoor kiezen om de wettelijke taken op andere wijze vorm te geven, zoals bijvoorbeeld het onderbrengen van de taak bij een welzijnsorganisatie.
De Minister van Binnenlandse Zaken en Koninkrijksrelaties zal onderzoeken hoe gemeenten de taken van de Wga uitvoeren. De resultaten van dit onderzoek worden in de eerste helft van 2016 verwacht. Hoewel er in deze kabinetsperiode veranderingen in de gemeentelijke uitvoering van de Wga zullen zijn geweest, zijn er mij op dit moment geen gevallen bekend waarin een antidiscriminatiebureau is ontbonden. Ook dit zal in het bovengenoemde onderzoek nader in kaart worden gebracht.

Vraag 15

Wat voor output hebben de aan een ministerie of aan de overheid gelieerde antidiscriminatie bureaus de afgelopen jaren geleverd?

Uit de wettelijke taakomschrijving van ADV’s vloeit voort dat zij de klachten en meldingen die jaarlijks binnenkomen, registreren en daarover rapporteren. Op deze manier leveren ze een belangrijke bijdrage bij het in kaart brengen van de discriminatieproblematiek op lokaal niveau. Naast het verzorgen van bijstand aan burgers, geven veel ADV’s ook voorlichting en advies. Een overzicht van alle output die antidiscriminatiebureaus en andere voorzieningen in de afgelopen jaren hebben geleverd is niet eenvoudig te geven. Uit het in vraag 14 genoemde onderzoek naar de uitvoering van de Wga zal wel een inzichtelijk beeld naar voren komen over de werkzaamheden en resultaten van de verschillende voorzieningen in alle Nederlandse gemeenten.

Vraag 1

Bent u op de hoogte van de geldende Europese wet- en regelgeving omtrent cookietoestemming?1

Ja.

Vraag 2

Is het waar dat de uitgevers van digitale content bezoekers van hun sites en apps moeten informeren over het gebruik van cookies en andere vormen van lokale opslag?

Ja. Zodra er sprake is van lokale opslag, dus opslag op het randapparaat van de gebruiker, is er op grond van artikel 11.7a van de Telecommunicatiewet de verplichting de gebruiker adequaat te informeren over de opslag.

Vraag 3

Is het waar dat hiervoor, op basis van deze wet- en regelgeving, in veel gevallen ook toestemming vereist is?

Ja. Naast de informatieplicht geldt op grond van artikel 11.7a dat de opslag alleen mag plaatsvinden nadat de toestemming daarvoor van de gebruiker is verkregen, tenzij een van de in het derde lid van artikel 11.7a van de Telecommunicatiewet genoemde uitzonderingen van toepassing is.

Vraag 4

Waarom wijst de Autoriteit Consument en Markt (ACM) websiteaanbieders aan als normadressaat, en niet de uitgevers van digitale content, zoals de Europese wet- en regelgeving vereist?

Website-aanbieders zijn het eerste aanspreekpunt voor ACM. Een derde partij die cookies plaatst via een website van een website-aanbieder, kan dit alleen doen wanneer de website-aanbieder hem deze mogelijkheid heeft geboden. De derde partij en de website-aanbieder spreken daarbij af wie de toestemming regelt. Vanuit praktische overwegingen is het vaak de website-aanbieder die toestemming vraagt. Wanneer namelijk iedere derde partij zelf om toestemming zou vragen dan zou hij dit binnen de beperkte, door de website-aanbieder aangeboden ruimte, bijvoorbeeld de advertentieruimte, moeten doen. Dit is echter in de regel niet goed werkbaar omdat dan elke van een derde partij afkomstige advertentie eerst een toestemmingspop-up zou moeten bevatten voordat deze kan worden ingeladen. Doordat de website-aanbieder toestemming voor het plaatsen van cookies vraagt, kan de gebruiker nu in één keer toestemming geven voor cookies van verschillende partijen.
Ten aanzien van in het buitenland gevestigde uitgevers merk ik op dat artikel 11.7a van de Telecommunicatiewet van toepassing is op een ieder; dit kan een Nederlandse uitgever zijn, een Duitse adverteerder of een Ierse technologiepartij. De norm geldt niet alleen voor Nederlandse websites maar ook voor alle andere websites die zich (mede) op Nederlandse gebruikers richten. Of dit laatste het geval is, kan worden afgeleid uit de aard van de aangeboden informatie, de mogelijkheid om producten in Nederland te laten bezorgen of uit de omstandigheid dat een website in de Nederlandse taal wordt aangeboden.

Vraag 5

Heeft dit ermee te maken dat deze uitgevers zich deels in het buitenland bevinden, wat de handhaving bemoeilijkt?

Zie antwoord vraag 4.

Vraag 6

Heeft de ACM hiervoor samenwerkingsverbanden afgesloten met buitenlandse privacy- en consumententoezichthouders? Zo nee, waarom niet?

ACM heeft mij kenbaar gemaakt als toezichthouder deel te nemen aan diverse samenwerkingsverbanden op dit gebied. ACM schuift aan bij de privacytoezichthouders in de Artikel 29-werkgroep wanneer zij spreken over de Europese equivalent van artikel 11.7a van de Telecommunicatiewet. ACM heeft op deze manier een bijdrage geleverd aan diverse adviezen van de Artikel 29-werkgroep over dit onderwerp. ACM heeft in dat kader ook meegewerkt aan een gezamenlijke sweep van websites: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2015/wp229_en.pdf.
Daarnaast overlegt ACM in een apart samenwerkingsverband met buitenlandse toezichthoudende autoriteiten op het gebied van telecommunicatie die zich ook bezighouden met het handhaven van hun equivalent van artikel 11.7a van de Telecommunicatiewet.
Ik heb van ACM begrepen dat binnen Europa ACM voorop lijkt te lopen ten aanzien van de kennis over en handhaving van artikel 11.7a van de Telecommunicatiewet.

Vraag 7

Wie is volgens het CBP de juiste normadressaat, de websiteaanbieder of de werkelijke plaatser/uitlezer van digitale content?

Het CBP ziet toe op de verwerking van persoonsgegevens overeenkomstig het bij en krachtens de wet bepaalde, waaronder de Wet bescherming persoonsgegevens (Wbp). In de Wbp zijn de voornaamste normadressaten de verantwoordelijke, dat wil zeggen de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt, en de bewerker, dat wil zeggen degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.
Op grond van de Wbp zijn, aldus het CBP, websitehouders met derde partijen gezamenlijk verantwoordelijk voor de verwerking van persoonsgegevens die voortvloeit uit het plaatsen en lezen van zogenaamde third party cookies/pixels/andere trackers die worden uitgelezen via hun website of app. Dit omdat zij als websitehouders/app-eigenaren derde partijen technisch in staat stellen om (via een code die zij bewust op hun website/in hun app plaatsen) persoonsgegevens over de websitebezoekers te verzamelen.

Vraag 8

Is deze situatie te vergelijken met een wegenbouwer die een boete krijgt voor de snelheidsovertreding van de Ferrari-eigenaar die op tijd de Europese Unie heeft weten te verlaten?

Nee, een wegenbouwer bepaalt niet wie er op de weg mag rijden, een aanbieder van een website doet dat wel voor het digitale verkeer.

Vraag 9

Waarom worden volgens de cookiewetgeving de individuele adverteerders eigenlijk niet aangesproken? Welke rol spelen hierin de advertentienetwerken en retargetingbureau’s?

ACM is een onafhankelijke toezichthouder. Het is aan ACM om te bepalen hoe zij toezicht houdt op artikel 11.7a van de Telecommunicatiewet. Het is mij bekend dat ACM talrijke partijen uit de advertentieketen heeft aangesproken en/of gaat aanspreken.

Vraag 10

Kunt u in overleg treden met de ACM, teneinde de balans van de regeldruk, tussen websiteaanbieders en achterliggende uitgevers van digitale content, op te helderen?

ACM is, zoals gezegd, een onafhankelijke toezichthouder. Mij is bekend dat ACM reeds voor de invoering van de wet in 2012 een continue dialoog heeft gevoerd met alle relevante stakeholders op dit gebied en hen ook regelmatig consulteert.
ACM heeft op haar website een document met veelgestelde vragen gepubliceerd, waar partijen veel informatie in kunnen vinden over de naleving van de wet. Naar aanleiding van de haar gestelde vragen en ontwikkelingen in de markt publiceert ACM ook regelmatig een update. Dit document geeft naar mijn mening een goede beschrijving over hoe partijen de wet kunnen naleven.
ACM kijkt ook mee naar het branchebrede initiatief, getrokken door mijn ministerie en het Electronic Commerce Platform Nederland (ECP), om te komen tot een uniforme branchebrede cookiestandaard. Ook dit document zal eventuele vragen over het naleven van de cookieverplichting beantwoorden en het voor iedereen gemakkelijker maken om geïnformeerd te worden en toestemming te geven.

Vraag 11

Kunt u de ACM er vervolgens toe brengen om deze opgehelderde verdeling van cookieverplichtingen op de website van de ACM op een heldere manier te communiceren?

Zie antwoord vraag 10.

Vraag 1

Kent u het bericht «Windows 7 en 8.1 gaan meer data van gebruikers verzamelen»?1

Ja, ik heb kennis genomen van deze berichten.

Vraag 2

Is het waar dat via updates van Windows 7 en 8.1 en standaardinstellingen van Windows 10 trackingsoftware wordt toegevoegd waarmee Windows meer gebruikersgegevens kan achterhalen? Zo ja, wat is de aard van die gegevens? Zo nee, wat is er dan niet waar?

Het is bevestigd door Microsoft dat de versies 7 en 8 (na een update) en 10 van Microsoft Windows software bevatten waarmee meer gegevens over de werking van het besturingssysteem en andere applicaties met haar servers uitwisselt dan eerdere versies van dit besturingssysteem. Volgens Microsoft gaat het om diagnostische gegevens over de werking van het besturingssysteem.

Vraag 3

Hoe verhoudt deze trackingsoftware en het feit dat die pas achteraf – deels – uit te schakelen is zich tot de Nederlandse wet- en regelgeving ten aanzien van de bescherming van de persoonlijke levenssfeer en cookies? Indien hier strijd tussen bestaat, wat gaat u dan doen om dit op te lossen?

Besturingssystemen die voornamelijk bestemd zijn voor consumenten bieden steeds meer voorzieningen om gebruiksgemak en veiligheid voor de gebruiker te verbeteren. Deze voorzieningen maken in veel gevallen gebruik van gegevens die bij gebruikers van de systemen worden verzameld, of wisselen gegevens uit met diensten die via het internet ter beschikking worden gesteld.
Wanneer dit inhoudt dat informatie van het randapparaat van een gebruiker wordt gelezen dan dient op grond van artikel 11.7a van de Telecommunicatiewet de gebruiker vooraf geïnformeerd te worden. Bovendien is er vooraf toestemming van de gebruiker nodig. Hierop zijn echter uitzonderingen. Of die van toepassing zijn is in eerste instantie ter beoordeling van Microsoft zelf. Het toezicht op de naleving van artikel 11.7a van de Telecommunicatiewet berust bij Autoriteit Consument en Markt.
Wanneer het aanbieden van dergelijke voorzieningen de maker van het besturingssysteem in staat stelt om persoonsgegevens van de gebruiker te verzamelen, dan stellen daarnaast de Wet Bescherming Persoonsgegevens en de Telecomwet strenge randvoorwaarden aan de gegevensverzameling en het beheer daarvan. In algemeenheid heeft het bedrijf dat persoonsgegevens verwerkt een informatieplicht: zij moet de personen op wie de gegevens betrekking hebben laten weten wat zij met hun gegevens gaan doen. Daarnaast moet het bedrijf beschikken over een rechtsgeldige verwerkingsgrondslag. Dat laatste leidt er toe dat in veel gevallen ondubbelzinnige toestemming voor de verwerking van de persoonsgegevens vereist is.
Onderzoek naar de wijze waarop ten aanzien van de verwerking van persoonsgegevens toepassing wordt gegeven aan het bepaalde bij of krachtens de wet en de handhaving daarvan is een taak van het College Bescherming Persoonsgegevens (CBP). De zorg die uit uw vragen naar voren komt is gedeeld met het CBP. Het CBP, dat haar taak in onafhankelijkheid vervult, bepaalt of zij onderzoek gaat doen.

Vraag 4

Deelt u de mening dat het de voorkeur zou hebben als gebruikers van Windows op basis van goede informatie vooraf zelf zouden kunnen kiezen over het al dan niet installeren van de genoemde trackingsoftware in plaats van het pas achteraf kunnen uitschakelen van deze trackingsoftware of het terugdraaien van updates? Zo ja, waarom? Zo nee, waarom niet?

Ik wil ook hier verwijzen naar het regelgevend kader. Als de in artikel 11.7a, derde lid, van de Telecommunicatiewet genoemde uitzonderingen niet van toepassing zijn dan is, zoals hiervoor reeds aangegeven, voor het lezen van informatie van het randapparaat van een gebruiker toestemming van de gebruiker nodig. Als er daarnaast ook sprake is van de verwerking van persoonsgegevens dan moet ook daarover worden geïnformeerd en is er een rechtsgeldige verwerkingsgrondslag vereist. Dat betekent, bijvoorbeeld, dat er sprake zal moeten zijn van ondubbelzinnige toestemming, of dat de gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de gebruiker partij is.

Vraag 1

Kent u het bericht «Ziggo verwacht nog meer cyberaanvallen»?1

Ja.

Vraag 2

In hoeverre wordt door storingen bij grote internetbedrijven zoals Ziggo de publieke dienstverlening geraakt bijvoorbeeld omdat publieke dienstverleners waaronder de Belastingdienst, de Dienst Uitvoering Onderwijs, het Uitvoeringsinstituut Werknemersverzekeringen of gemeentelijke diensten voor miljoenen personen niet meer bereikbaar zijn?

De storingen bij Ziggo werden veroorzaakt door een Distributed Denial of Service (DDoS) aanval op de zogenaamde DNS-servers van Ziggo. DNS is het systeem dat op het internet gebruikt wordt om domeinnamen naar IP-adressen te vertalen en omgekeerd. Als dit niet werkt, zijn websites niet langer bereikbaar voor gebruikers van deze DNS-server. Hierdoor was het voor een groot aantal Ziggo-klanten niet mogelijk om gebruik te maken van het internet, dit laat onverlet dat alternatieven wel beschikbaar waren. Dergelijke storingen door digitale verkeersopstoppingen zijn nu en in de toekomst niet geheel te voorkomen.
De storingen hebben geen gevolgen gehad voor de beschikbaarheid van de digitale publieke dienstverlening. Desalniettemin zorgde deze digitale verkeersopstopping er wel voor dat de getroffen klanten van Ziggo tijdelijk niet in staat waren om gebruik te maken van digitale diensten, waaronder digitale publieke diensten.
Partijen zijn, zowel binnen als buiten de overheid, zelf primair verantwoordelijk voor de beveiliging van de eigen netwerken en systemen. Voorts is er in de Telecommunicatiewet een zorg- en meldplicht opgenomen. De zorgplicht houdt in dat telecommunicatieaanbieders passende technische en organisatorische maatregelen nemen om risico’s voor de veiligheid en integriteit van hun netwerken en diensten te beheersen. De meldplicht houdt in dat aanbieders inbreuken op de veiligheid en integriteit melden bij het Loket meldplicht van Agentschap Telecom. Ziggo heeft dit ook in onderhavig geval gedaan. De initiële melding wordt gevolgd door een analyse van het incident door Ziggo. Ziggo zal de analyse bij Agentschap Telecom aanleveren. Als deze analyse daartoe aanleiding geeft, zal Agentschap Telecom dit incident verder onderzoeken.
Het Ministerie van Veiligheid en Justitie draagt bij aan de bescherming van de digitale infrastructuur middels een algehele verhoging van de digitale weerbaarheid aan de hand van acties uit de tweede Nationale Cybersecurity Strategie.

Vraag 3

Deelt u de mening dat vanwege die dienstverlening storingen bij particuliere internetbedrijven ook het publieke belang raken? Zo ja, op welke wijze draagt u bij aan het voorkomen en oplossen van genoemde problemen en het beschermen van de digitale infrastructuur? Zo nee, waarom niet?

Zie antwoord vraag 2.

Vraag 4

In hoeverre neemt vanwege uw ambitie om uiterlijk vanaf 2017 bedrijven en burgers de mogelijkheid te bieden zaken met de overheid digitaal af te handelen, het belang van het voorkomen van DDos-aanvallen toe? Wat zegt dat over uw rol in het voorkomen van dergelijke aanvallen?

Zoals eerder door de Minister van Binnenlandse Zaken en Koninkrijksrelaties in de Visiebrief digitale overheid 2017 d.d. 23 mei 2013 is aangegeven, dienen het beveiligen van informatie en de beschikbaarheid van digitale dienstverlening urgent en blijvend op de agenda te staan.2 In mijn brief aan de Tweede Kamer d.d. 14 mei 2013 is ingegaan op de het fenomeen van DDoS-aanvallen.3 Hierin is aangegeven dat DDoS-aanvallen geen nieuw fenomeen zijn en helaas een wereldwijd probleem vormen dat op grote schaal plaatsvindt. Daarnaast kan dit type aanval iedere partij treffen die diensten aanbiedt op of via het internet.
Een storing van de bereikbaarheid van websites of het internet als geheel heeft een zichtbare impact, zoals de storingen bij Ziggo wederom laten zien. Daarbij is elektronische dienstverlening niet meer weg te denken uit onze informatiesamenleving en vergt dus constant aandacht. Zoals reeds is aangegeven bij de beantwoording van de vragen van de leden Dijkhoff (VVD), Oosenbrug (PvdA) en Verhoeven (D66) op 5 maart 2015 (kenmerk 2015Z02555/2658/2763) neemt het kabinet verschillende maatregelen om de weerbaarheid tegen DDoS-aanvallen te verhogen. Zo is er onder andere in publiek-private samenwerking sprake van een geïntensiveerde aanpak van botnets. Daarnaast deelt het NCSC beschikbare informatie over cyberaanvallen met overheidsorganisaties, zodat hier lering uit getrokken kan worden en bezien kan worden of (nieuwe) extra maatregelen moeten worden genomen.

Vraag 5

Kent u particuliere initiatieven voor de beveiliging tegen DDos-aanvallen zoals De Nationale anti-DDoS Wasstraat (NaWas)2? Acht u het wenselijk om met dergelijke particuliere initiatieven te overleggen over op welke manier u kunt bijdragen aan het beveiligen tegen DDos-aanvallen? Zo ja, op welke termijn gaat dit overleg plaatsvinden? Zo nee, waarom niet?

Ja, zowel marktpartijen als ik zijn bekend met particuliere initiatieven die zich richten op de beveiliging tegen DDoS-aanvallen. Er bestaan diverse en uiteenlopende initiatieven. Het NCSC staat daarbij reeds in contact met de partijen achter de diverse initiatieven Zoals reeds aangegeven is bij brief d.d. 24 november 2014, neemt het NCSC, daar waar private initiatieven bijdragen aan de beveiliging tegen digitale aanvallen, waar mogelijk en noodzakelijk, een faciliterende rol op zich.5

Vraag 6

Heeft het Nationaal Cyber Security Centrum (NCSC) een concrete taak in het beveiligen van internetbedrijven tegen DDos-aanvallen? Zo ja, welke taak? Zo nee, waarom niet?

Zoals reeds aangegeven in mijn beantwoording van de vragen 2 en 3 zijn partijen zelf primair verantwoordelijk voor de beveiliging van de eigen netwerken en systemen. Het NCSC is dan ook niet verantwoordelijk voor het beveiligen van de digitale systemen en infrastructuren van internetserviceproviders, zoals Ziggo. Wel levert het NCSC als informatieknooppunt en expertisecentrum voor cyber security, ondersteuning en advies aan getroffen partijen.

Vraag 1

Kent u het bericht «Vodafone gebruikt omstreden supercookies die app- en surfgedrag doorgeven»?1

Ja.

Vraag 2

Welke wet- of regelgeving geldt er in Nederland ten aanzien van het gebruiken van de in het bericht genoemde «supercookies»?

Allereerst is het belangrijk te weten dat het aangehaalde bericht betrekking heeft op het meesturen van zogenaamde ASID-headers door de netwerkaanbieder.
De term «supercookie» is verwarrend, aangezien er geen informatie op het randapparaat van de eindgebruiker wordt geplaatst of gelezen, zoals bij cookies wel het geval is. ASID staat voor Anonymous Subscriber Identification. Bij het gebruik van ASID-headers stuurt de aanbieder van de internettoegangsdienst een identificerende code mee met de data die een eindgebruiker verstuurt bij het bezoeken van een internetadres. Als ASID-headers worden gebruikt om eindgebruikers te identificeren, is er sprake van verwerking van persoonsgegevens. Hierop is de Wet bescherming persoonsgegevens (hierna: Wbp) van toepassing. Aangezien er bij het meesturen van ASID-headers geen informatie op het randapparaat van de eindgebruiker wordt geplaatst of gelezen is artikel 11.7a van de Telecommunicatiewet hierop niet van toepassing. Dit neemt niet weg dat ik de ontwikkelingen ten aanzien van het gebruik van ASID-headers ook zal volgen vanuit mijn verantwoordelijkheid vanuit de Telecommunicatiewet.

Vraag 3

Is het gebruik van «supercookies» in Nederland toegestaan? Zo ja, waarom? Zo nee, waarom niet?

Op grond van de Wbp moet de betrokkene worden geïnformeerd over de verwerking van persoonsgegevens door middel van het meesturen van ASID-headers aan het uitgaand verkeer van een gebruiker van mobiel internet.
Voor het verwerken van persoonsgegevens is bovendien een van de in artikel 8 Wbp genoemde verwerkingsgrondslagen vereist. Een ASID-header kan bijvoorbeeld gebruikt worden om veilig internetbankieren via een mobiel netwerk mogelijk te maken. Het is dan denkbaar dat het meesturen van een ASID-header noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is. Als er geen noodzaak is een ASID-header mee te sturen voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, dan zal er meestal ondubbelzinnige toestemming van de betrokkene vereist zijn.

Vraag 4

Waarom worden in de Verenigde Staten supercookies niet meer gebruikt? En wat zegt dat over het toestaan van het gebruik van «supercookies» in Nederland?

Dat is mij niet bekend. Wel leid ik uit het in vraag 1 genoemde krantenartikel af dat men in de Verenigde Staten met het gebruik is gestopt onder politieke druk. Dat men in de Verenigde Staten geen ASID-headers meer gebruikt zegt mijns inziens niets over het toestaan van dergelijke praktijken in Nederland.

Vraag 5

Indien het gebruik van «supercookies» in Nederland is toegestaan, welke beperkingen gelden daarvoor en wie houdt toezicht op het naleven daarvan?

Zie het antwoord op vraag 3. Het College bescherming persoonsgegevens houdt toezicht op de naleving van de Wbp.

Vraag 6

In hoeverre kunnen telecomaanbieders die «supercookies» gebruiken daarmee informatie vergaren waarmee de privacy van hun klanten kan worden geschonden? En hoe kunnen klanten voorkomen dat er sprake is van dergelijke privacyschendingen?

Dat kan binnen de hiervoor in het antwoord op vraag 3 geschetste grenzen. Dit betekent veelal dat (ondubbelzinnige) toestemming vereist is voor het verwerken van de (persoons)gegevens. Een internetgebruiker kan een eventuele schending van de wettelijke verplichtingen door de aanbieder niet voorkomen. Wel kan een internetgebruiker in voorkomend geval een klacht indienen bij de toezichthouder indien hij vermoedt dat de wettelijke regels zijn overtreden.

Vraag 7

Is het waar dat programma’s waarmee gebruikers zich tegen ongewenste inbreuken op hun privacy of surfgedrag willen beschermen, in het geval van supercookies niet werken? Zo nee, wat is er dan niet waar?

Het is juist dat bedoelde programma’s niet gebruikt kunnen worden om het volgen van een internetgebruiker door middel van ASID-headers te voorkomen.

Vraag 8

Deelt u de mening dat het niet aan een telecomaanbieder is om te bepalen of de inzet van «supercookies» «functioneel» is maar dat de klant dat moet kunnen bepalen en dat de klant moet kunnen bepalen of hij supercookies wenst te aanvaarden? Zo ja, wat gaat u doen om dit te bewerkstelligen? Zo nee, waarom niet?

Nee. Zoals hiervoor aangegeven moet de internetgebruiker over het gebruik van ASID-headers worden geïnformeerd en zal vaak toestemming van de internetgebruiker nodig zijn. Hierop zijn, zoals ook hiervoor is aangegeven, echter uitzonderingen. Het is primair de verantwoordelijkheid van de aanbieder te beoordelen of hij toestemming moet vragen of een beroep kan doen op een andere grondslag voor de verwerking van persoonsgegevens. Maakt hij daarbij een verkeerde beoordeling dan kan door de toezichthouder daartegen worden opgetreden. Het lijkt niet zinvol een systeem in te voeren waarbij de internetter ook om toestemming wordt gevraagd in situaties waarbij daar geen enkele reden toe is.

Vraag 1

Acht u het wenselijk dat door gebrekkig internet straks 900.000 leerlingen op de basisschool verstoken zijn van modern onderwijs?1 2

Nee, dat acht ik niet wenselijk. Ik ga ervan uit dat dit ook niet gaat gebeuren met de hieronder genoemde maatregelen die in het kader van het Doorbraakproject Onderwijs en ICT worden genomen en de initiatieven die gemeenten, provincies en het bedrijfsleven ondernemen.

Vraag 2

Bent u van mening dat digitaal lesmateriaal probleemloos toegankelijk zou moeten zijn voor alle leerlingen en docenten op basisscholen? Zo ja, welke maatregelen gaat u nemen om ervoor te zorgen dat alle basisschoolleerlingen in de nabije toekomst beschikking hebben over een goede internetverbinding en daarmee modern onderwijs?

Voor scholen is het van belang dat zij voldoende snel en betaalbaar internet kunnen krijgen, passend bij de door hun gewenste inzet van technologie bij het leren. Met het toenemende gebruik van digitale leermiddelen en educatieve technologie zal het belang van snel internet voor scholen toenemen. De behoefte zal per school verschillen, afhankelijk van de grootte van de school en de (didactische) keuzes die de school maakt ten aanzien van de (gelijktijdige) inzet van technologie. Binnen het Doorbraakproject Onderwijs en ICT streef ik er, samen met de PO-Raad, VO-raad en het Ministerie van Economische Zaken, naar dat iedere school in 2017 in staat is om de voor hem best werkende oplossing te realiseren.

Vraag 3

Bent u van mening dat de overheid randvoorwaarden moet scheppen zodat elke basisschool haar onderwijs optimaal in kan richten? Zo ja, acht u een snelle en betrouwbare internetverbinding één van deze randvoorwaarden? Kunt u dit toelichten?

Een snelle en betrouwbare internetverbinding is voor scholen een belangrijke randvoorwaarde voor modern onderwijs, net zoals kwalitatief goed leermateriaal en kwalitatief goede leraren. Het realiseren van snel internet is voor een belangrijk deel een kwestie van vraag en aanbod tussen regionale marktpartijen. Mijn collega van Economische Zaken heeft recent het platform Samensnelinternet.nl gelanceerd. Dit platform biedt ondersteuning aan startende en lopende breedbandinitiatieven. Regionale initiatiefnemers worden voorzien van kennis, ervaringen en praktisch toepasbare middelen die hen tijdwinst opleveren en die de slagingskans van projecten vergroot.
Ik onderzoek in het Doorbraakproject hoe de sectorale randvoorwaarden, waaronder het verbeteren van de internetverbindingen en professionalisering van de inkoop, optimaal georganiseerd kunnen worden, zodat de onderwijsinhoudelijke doelstellingen gerealiseerd kunnen worden. Dat betekent echter niet dat de rijksoverheid snel internet voor alle basisscholen gaat financieren.

Vraag 4

Acht u het wenselijk dat scholen die afhankelijk zijn van een internetverbinding via een telefoonlijn per direct geholpen moeten worden aan een snellere verbinding? Zo ja, welke maatregelen gaat u nemen om deze basisscholen daarbij te helpen?

In het Doorbraakproject Onderwijs en ICT wordt op dit moment een kennisfunctie ingericht om schoolbesturen te ondersteunen bij hun inkoopprocessen van ICT-gerelateerde producten, zodat ze gemakkelijker en effectiever leermiddelen, software, devices, ICT-netwerkinfrastructuur en connectiviteit kunnen inkopen tegen scherpe voorwaarden. In dit kader wordt in samenwerking met private partijen gezocht naar een oplossing om scholen op korte termijn toegang te geven tot voldoende snel internet waar dat nu niet het geval is. Als eerste stap wordt in kaart gebracht om welke scholen het precies gaat en welke oplossingen effectief zijn. Ook kunnen scholen hun problemen melden bij de helpdesk die de PO-Raad samen met Kennisnet heeft ingericht.

Vraag 5

Kunt u de vorderingen van het Doorbraakproject Onderwijs en ICT toelichten? Is uw indruk nog steeds dat scholen op dit moment toekunnen met de internetsnelheden die de markt biedt?3 4

Naast de in het antwoord bij vraag 4 al genoemde kennisfunctie en inkoopondersteuning komt er voor alle scholen een breedbandwijzer beschikbaar die scholen helpt om te bepalen welke minimale bandbreedte zij nodig hebben, gebaseerd op het aantal leerlingen, het aantal werkplekken en het aantal laptops en/of tablets dat de school inzet.
Het Doorbraakproject stelt een actieplan op om een aanpak te creëren die alle scholen ondersteunt bij het realiseren van snel internet. Waar onvoldoende aanbod is, kan bijvoorbeeld gedacht worden aan vraagbundeling of het regionaal/lokaal met gemeenten en provincies zoeken naar een oplossing. De onderzoeksresultaten en de vervolgactiviteiten zullen beschikbaar komen op de website van het Doorbraakproject: www.doorbraakonderwijsenict.nl.
Op basis van het onderzoek dat in het kader van het Doorbraakproject is gedaan blijkt dat de meeste scholen op dit moment toekunnen met de internetsnelheden die de markt biedt. Glasvezel is niet altijd de enige oplossing. Ook kabeltechnologie kan geavanceerd genoeg zijn om te voorzien in de behoefte van scholen. En ook zijn in delen van Nederland steeds hogere snelheden mogelijk over het telefoonnetwerk (VDSL). In veel gevallen is zowel kabel, VDSL als glasvezel op dit moment toereikend. Of dat in de toekomst zo is, hangt af van de mate waarin scholen meer ICT gaan gebruiken en of de capaciteit van de kabel en het telefoonnetwerk voldoende meegroeit.

Vraag 6

Verwacht u problemen met de in 2018 verplichte digitale eindtoets doordat basisscholen afhankelijk zijn van een gebrekkige internetverbinding? Welke maatregelen heeft u getroffen om te voorkomen dat basisscholen bij de afname van de verplichte digitale eindtoets tegen internetproblemen aanlopen?

Ik heb het College voor Toetsen en Examens (CvTE) opdracht gegeven om een digitaal af te nemen Adaptieve Centrale Eindtoets (ACET) te ontwikkelen, waarvoor scholen per 2018 kunnen kiezen. Voor de goede orde: het gaat daarbij niet om een verplichting voor de scholen. Ook in 2018 en volgende jaren kunnen scholen kiezen uit meerdere eindtoetsen van verschillende aanbieders. Het kan daarbij ook gaan om toetsen die niet digitaal worden afgenomen.
Bij de ontwikkeling van de ACET wordt geanticipeerd op ICT-technische en infrastructurele vraagstukken door middel van de volgende acties:
In de loop van oktober 2015 zal ik uw Kamer meer in detail informeren over de voortgang met betrekking tot de ontwikkeling van de ACET. Dit als onderdeel van de toegezegde brief waarin wordt ingegaan op de eerste ervaringen afgelopen voorjaar met de afname van de verplichte eindtoetsing.

Vraag 7

Zijn de beschikbaar gestelde financiële middelen via het «Doorbraakproject Onderwijs en ICT» voldoende om de gestelde doelstelling te behalen, zodat in 2018 alle basisscholen een snelle internetverbinding hebben?

De middelen in het Doorbraakproject Onderwijs en ICT zijn niet bestemd voor de aanleg van snel internet voor alle scholen. Scholen hebben met het Bestuursakkoord Primair Onderwijs extra financiële middelen gekregen, onder meer voor de inzet van digitale leermiddelen en de bijbehorende investeringen in ICT, bovenop de middelen die in de reguliere lumpsum zijn opgenomen voor ICT.
Daarnaast kunnen scholen ondersteuning krijgen van de PO-Raad om ICT in het onderwijs te integreren, meer op maat te gaan werken en de ICT-infrastructuur daarop aan te passen.

Vraag 1

Hoe reageert u op de lezerscolumn en het interview van mevrouw P. in Metro?1 2

Ik heb de column van mevrouw P. met belangstelling gelezen en bewonder haar openhartigheid. Ik realiseer me dat een psychische aandoening niet alleen voor de betreffende patiënt een belasting is. Ook voor de omgeving is het soms moeilijk om te leven met iemand – een kind, ouder, familielid, vriend(in) of buurman/-vrouw – die een psychische aandoening heeft. Of het nu gaat om het verlenen van (mantel)zorg, je zorgen maken over iemand of gewoon omdat je ziet dat iemand lijdt, maar daar weinig of niets aan kunt doen.

Vraag 2

Herkent u de klacht van deze moeder van een schizofrene vrouw dat de ggz-instelling waar zij verblijft te weinig oog heeft voor de gevaren die gebruik van sociale media kan hebben voor mensen die niet of maar deels beseffen waartoe hun online handelen in de reële wereld kan leiden? Kunt u uw antwoord toelichten?

Mij zijn geen andere soortgelijke signalen bekend over de risico’s van het gebruik van sociale media binnen de ggz. De reacties onder de lezerscolumn maken evenwel duidelijk dat meer mensen zich zorgen maken over dit thema.
Het zelfbeschikkingsrecht van individuen is in ons land een groot goed. Toegang tot het internet en gebruik van sociale media vallen onder die vrijheid. Opname of behandeling in een zorginstelling leiden niet automatisch tot het beperken van het zelfbeschikkingsrecht. De mogelijkheden om iemand tegen zichzelf of zijn omgeving te beschermen worden per individu bepaald. Hierbij is van belang of iemand vrijwillig of gedwongen is opgenomen.
Is een patiënt vrijwillig opgenomen, dan kan (beperking van) het gebruik van sociale media alleen met instemming van de patiënt opgenomen worden in het behandelplan.
Is een patiënt gedwongen opgenomen, dan kunnen zorgaanbieders vrijheidsbeperkingen opleggen aan patiënten. Deze individuele beperkingen zijn echter alleen toegestaan op grond van de voorwaarden in de Wet Bijzondere opnemingen in psychiatrische ziekenhuizen (Bopz). De bescherming van de gezondheid van de patiënt vormt daarbij het criterium. Dit betekent dat in individuele gevallen, vanuit veiligheidsoverwegingen en met het oog op de stoornis van een patiënt, een instelling kan besluiten dat het gebruik van sociale media een risico vormt voor de betreffende patiënt en dat een beperking van het gebruik in het behandelplan moet worden opgenomen.

Vraag 3

Op welke wijze gaat de ggz-sector om met het gebruik van sociale media door (kwetsbare) patiënten? Is dit gebruik standaard onderdeel van behandelplannen?

Zie antwoord vraag 2.

Vraag 4

Zijn er juridische beperkingen of mogelijkheden om iemand die in een (ggz-)zorginstelling woont tegen zichzelf te beschermen als het gaat om grensoverschrijdend gedrag op sociale media? Zo ja, welke?

Zie antwoord vraag 2.

Vraag 5

Welke praktische bezwaren of mogelijkheden – bijvoorbeeld internetinstellingen of het hebben van toegang tot een computer/smartphone – zijn er om (meer) oog te hebben voor het online risicogedrag van iemand?

Het is aan de instelling, de behandelaar en de patiënt om in het behandelplan overeen te komen wat de beste manier is. Dit kan leiden tot het ontzeggen van de toegang tot computer en/of telefoon etc., tot het laten meekijken van een behandelaar of tot controle achteraf.

Vraag 6

Hoe reageert u op het verwijt van de moeder, maar ook de herkenning van lezers van de column, dat zij onvoldoende wordt betrokken bij de behandeling van haar dochter? Is dit een «individueel» geval, volgens u, of is er breder een klemmend beroep door naaste familie om meer betrokken te zijn bij de zorg, behandel- en herstelplannen van mensen in de psychiatrie? Kunt u uw antwoord toelichten?

Zowel de wens om betrokken te worden bij de behandeling van een naaste, als de teleurstelling als dat niet gebeurt, kan ik mij goed voorstellen. De roep om bij de behandeling betrokken te worden is niet nieuw. Het betrekken van familie en naastbetrokkenen draagt bij aan het resultaat van de behandeling en het herstel van de cliënt. Het belang van familiebeleid wordt inmiddels dan ook door de hele sector onderkend. In het familiebeleid regelt de instelling hoe wordt omgegaan met familie en naastbetrokkenen van cliënten en de manier waarop zij worden benaderd en betrokken. Het is wel van belang dat aanbieders alert zijn op het doorvertalen van het beleid naar de werkvloer. Ik vind dat ook zorgverzekeraars daar alert op dienen te zijn bij de inkoop- en contractafspraken. Het in de Tweede Kamer aanhangige Wetsvoorstel verplichte ggz versterkt de rechtspositie van de familie op verschillende punten.
Twee ontwikkelingen zullen zorgaanbieders naar mijn idee helpen om familiebeleid verder te implementeren in de dagelijkse praktijk. Ten eerste deelt het Landelijk Platform GGz (LPGGz) sterren voor familiebeleid uit, aan zorgaanbieders die naar oordeel van het LPGGz excelleren op het gebied van organisatie en uitvoering van familiebeleid binnen een instelling. Een lijst met sinds 2012 toegekende sterren is staat online3. Instellingen met één of meer sterren kunnen zo als voorbeelden dienen voor andere instellingen. Voor patiënten en voor zorgverzekeraars ontstaat ook keuzeondersteunende informatie. Ten tweede wordt er een generieke module Ondersteuning familiesysteem en mantelzorg ontwikkeld in opdracht van het Netwerk Kwaliteitsontwikkeling ggz. Met deze module wordt de positie van familie verstevigt, krijgen zorgverleners onder andere aanbevelingen over hoe familie en mantelzorgers een positieve bijdrage kunnen leveren aan herstel van de cliënt en worden aanwijzingen gegeven voor samenwerking met familieleden en mantelzorgers. De module zal naar verwachting begin 2016 gereed zijn.
Desondanks kunnen er in uitzonderingssituaties gegronde redenen zijn om de familie (tijdelijk) niet te betrekken bij de behandeling. In de situatie dat de patiënt écht niet wil dat er contact is of wordt gelegd met diens familie, moet de hulpverlener de wens van zijn patiënt immers respecteren. Ook hier geldt dat het zelfbeschikkingsrecht van een (meerderjarige) patiënt voorop staat. Wanneer een behandelaar de betrokkenheid van de familie toch wenselijk vindt, zal deze daarover met zijn patiënt in gesprek gaan en proberen het contact tussen patiënt en familie te herstellen.

Vraag 1

Bent u bekend met het artikel «Hacker Cracks Satellite Communications Network»?1

Ja.

Vraag 2

Maakt Defensie gebruik van het betrekkelijk eenvoudig te hacken Globalstar-satellietsysteem? Zo ja, gaat u maatregelen nemen om onze krijgsmacht te beschermen tegen het hoge risico op het hacken van dit systeem?

Nee, Defensie maakt geen gebruik van het Globalstar-satellietsysteem.

Vraag 3

In welke mate bent u op dit moment nog afhankelijk van commerciële satellietcommunicatie, en hoe ontwikkelt die afhankelijkheid zich de komende jaren?

Defensie maakt zowel bij missies als bij het opleiden en trainen van de eenheden gebruik van satellietcommunicatie. In verband met risicospreiding heeft Defensie gekozen om missies te ondersteunen met militaire en commerciële satellietcapaciteit. Voor de militaire satellietcapaciteit maakt Defensie gebruik van Wideband Global Satcom (WGS). Zeven van de negen satellieten die binnen dit internationale initiatief zijn gepland, zijn inmiddels gelanceerd. De Nederlandse militaire satellietcapaciteit stijgt als nieuwe WGS satellieten beschikbaar komen. De laatste satelliet wordt naar verwachting in 2018 gelanceerd. Voor de commerciële satellietcapaciteit heeft Defensie een flexibel contract met de provider SES, waarmee de benodigde capaciteit per half jaar kan worden bijgesteld.
De afweging van voortzettingsvermogen, communicatiebeveiliging, informatiebeveiliging, wereldwijde beschikbaarheid en kosten zal vanaf 2016 leiden tot een optimale verhouding van 60% militaire- en 40% commerciële satellietcommunicatie. Het gebruik van commerciële satellietcommunicatie zal daarmee afnemen. In 2016 zal in het satelliet ankerstation te Zoutkamp een uitbreiding van de militaire capaciteit worden gerealiseerd door ingebruikname van een nieuwe satelliet grondterminal.
Defensie heeft geen tekort aan satellietcapaciteit om de missies en oefeningen te kunnen ondersteunen. De militaire satellietcapaciteit is voldoende om de huidige missies door de krijgsmacht te laten uitvoeren.

Vraag 4

Heeft u recent nog te kampen gehad met een tekort aan satellietcommunicatiecapaciteit? Zo ja, heeft dit tekort invloed gehad op de missies die onze krijgsmacht op dit moment uitvoert?

Zie antwoord vraag 3.

Vraag 5

Welke invloed hebben beveiligingsaspecten gehad op uw voornemen om de krijgsmacht minder afhankelijk te maken van commerciële satellietcommunicatie.2

De afweging bij de keuze voor militaire of commerciële satellietcommunicatie wordt gemaakt op basis van meer dan alleen beveiligingsaspecten. Communicatie- en informatiebeveiliging, voortzettingsvermogen, de wereldwijde beschikbaarheid en kosten worden hierbij ook beschouwd. Wel is het voor Defensie van essentieel belang dat het kan beschikken over voldoende eigen militaire capaciteit, zodat operaties in missiegebieden altijd en onder alle omstandigheden ondersteund kunnen worden. WGS draagt hier aan bij.

Vraag 1

Heeft u kennisgenomen van het bericht «IP-adressen ministerie gekaapt door Bulgaren»?1

Ja.

Vraag 2

Deelt u de mening dat het bij digitale communicatie met de overheid van zeer groot belang is dat vertrouwd kan worden op de integriteit van de netwerken van de overheid?

Zie antwoord vraag 1.

Vraag 3

Is onderzocht op welke wijze de criminelen de controle over de bewuste IP-adressen hebben kunnen overnemen, hoe lang deze situatie geduurd heeft en op welke wijze die adressen in de bewuste periode misbruikt zijn? Zo ja, wat is daarvan de uitkomst? Zo nee, waarom is dit niet diepgaander onderzocht?

Onderzoek heeft uitgewezen, dat een set IP-adressen van BZ door onbekenden tijdelijk is «gekaapt». Daarbij is gebruik gemaakt van een methode, die BGP hijacking wordt genoemd, een vorm van adresvervalsing. Het betrof IP-adressen, die BZ op dat moment niet actief gebruikte. De kaping vond tussen 19 en 27 november 2014 plaats op het internet. Nadat op 27 november de kapingsmelding van het Nationaal Cyber Security Centrum (NCSC) is ontvangen door de interne ICT-dienstverlener van BZ is geconstateerd dat er geen dreiging heeft bestaan voor het interne BZ-netwerk en dat de kaping definitief voorbij was.
Het is onbekend of en in hoeverre de gekaapte IP-adressen in de bewuste periode daadwerkelijk zijn misbruikt. Het verrichten van sluitend onderzoek daarnaar is vanwege het wereldwijde karakter van het internet niet realistisch. Er is contact geweest met de in de Volkskrant genoemde bron, het bedrijf Spamhaus. Deze organisatie heeft de desbetreffende IP-adressen op de zwarte lijst gezet, omdat de IP-adressen waren geannonceerd uit een Bulgaars netwerk. Of er daadwerkelijk spam verstuurd is vanuit deze IP-adressen kan ook Spamhaus niet met zekerheid zeggen.

Vraag 4

Op welke basis kunt u met zekerheid zeggen dat de gekaapte adressen niet misbruikt zijn? Weet u bijvoorbeeld zeker dat er geen verkeer naar deze adressen is omgeleid, waarbij mensen dachten met de Nederlandse overheid te communiceren en mogelijk informatie is gedeeld?

Zie antwoord vraag 3.

Vraag 5

Wat zijn de mogelijke vormen van misbruik die voor kunnen komen bij een inbreuk als deze?

Bij deze vorm van IP-hijacking worden de IP-adressen voornamelijk gebruikt voor het verzenden van spam. Daarbij worden gekaapte IP-adressen vaak tijdelijk gebruikt als afzender om opsporing te bemoeilijken.

Vraag 6

Klopt het dat de inbreuk ontdekt is naar aanleiding van een melding door Spamhaus? Zo ja, welke activiteit hebben zij vanaf de gekaapte IP-adressen waargenomen?

Nee. Het Nationaal Cyber Security Centrum (NCSC) heeft op 27 november 2014 de melding ontvangen uit het operationele CERT-netwerk en deze doorgezet naar de interne ICT-dienstverlener van BZ. De melding betrof een ongebruikelijke routering van de bewuste IP-adressen.
Zie verder het antwoord op vraag 4.

Vraag 7

Op welke wijze wordt de integriteit van de netwerken van de overheid gecontroleerd en gewaarborgd? Welke wijzigingen zijn daarin gemaakt naar aanleiding van deze inbreuk op de beveiliging?

De beheerorganisaties van de rijksoverheid en hun leveranciers monitoren hun netwerkonderdelen continu op aanvallen. Bij dit incident is geen sprake geweest van een aanval of inbreuk op netwerken van de rijksoverheid.
Daarom heeft dit incident niet geleid tot wijzigingen in het beheer.

Vraag 8

Hoe zorgt u ervoor dat bij de beveiliging van overheidsnetwerken de best beschikbare technieken toegepast worden. Deelt u de conclusie dat daar in dit geval geen sprake van geweest is? Zo nee, waarom niet? Zo ja, tot welke maatregelen heeft deze conclusie geleid?

De mogelijkheden en daaraan onlosmakelijk verbonden dreigingen in het digitale domein zijn continu in beweging. De middelen, ook de technische, die de rijksoverheid inzet om haar netwerken te beveiligen worden daar doorlopend op aangepast via processen van kwaliteitsbeheer op basis van rijksnormenkaders voor informatiebeveiliging. Dit is onder andere aan de orde bij aanbestedingen voor ICT-diensten, teneinde voor de rijksoverheid ICT-diensten te verwerven die op de laatste stand der techniek zijn ingericht.
Er is geen relatie tussen het incident en de voor de beveiliging van rijksoverheidsnetwerken gebruikte technieken. Er zijn derhalve geen nieuwe technische maatregelen genomen.

Vraag 9

Is het beheer van de internet-infrastructuur van de rijksoverheid verspreid over de verschillende ministeries en meerdere internetbedrijven? Zo ja, leidt deze versnippering in uw ogen tot sub-optimale kennis en maatregelen? Zo nee, hoe is het beheer dan geregeld?

Ja, het beheer is verspreid, met dien verstande dat het aantal interne aanbieders van ICT-diensten binnen de rijksoverheid in de afgelopen jaren fors is teruggebracht.
Er is echter geen sprake van suboptimale kennis en maatregelen aangezien deze interne leveranciers hun krachten bundelen en samenwerken in interdepartementale overlegorganen. Dit bevordert tevens de standaardisering. Op de onderliggende niveaus wordt veel kennis tussen deze organisaties gedeeld via de reguliere overlegstructuren en kennisuitwisselingsinitiatieven.

Vraag 10

Hoe wordt in de beveiliging van de informatiesystemen gebruik gemaakt van de gezamenlijke kennis die binnen de rijksoverheid en het Nationaal Cyber Security Centrum (NCSC) aanwezig is? Ziet u hierin mogelijkheden voor standaardisering en verbetering?

Zie ook het antwoord op vraag 9 voor de kennisdeling en standaardisering binnen de rijksoverheid. Het NCSC deelt op zowel bestuurlijk als operationeel niveau kennis met partners in het binnen- en buitenland.

Vraag 1

Kent u het artikel «Bellen met een fake-nummer is fluitje van een cent»?1

Ja.

Vraag 2

Hoe beoordeelt u het feit dat het legaal is om te bellen met andermans nummer?

Wanneer de bellende partij ervoor zorgt dat de gebelde partij gefingeerde afzenderinformatie ziet, dan heet dat spoofing. De persoon die gebeld wordt, ziet dus een ander telefoonnummer dan het echte nummer waarvan de beller vandaan belt.
Zoals ook in het artikel wordt vermeld, zijn er legitieme toepassingen voor gebruik van spoofing. Zo gebruiken bijvoorbeeld medewerkers van bedrijven spoofing om het algemene nummer van het bedrijf als afzender te geven in plaats van het eigen privénummer. Het is om die reden niet wenselijk om spoofing – en de software en diensten die spoofing mogelijk maken – te verbieden.
Indien gebruik wordt gemaakt van spoofing om strafbare feiten te plegen, kan strafrechtelijke vervolging worden ingesteld. Het misbruiken van andermans identificerende persoonsgegevens om de eigen identiteit te verhelen en om derden te doen geloven dat zij te maken hebben met de persoon van wie de identiteit ten onrechte is aangenomen, is strafbaar gesteld in artikel 231b van het Wetboek van Strafrecht.

Vraag 3

Vindt u ook dat dit soort applicaties de persoonsgegevens in gevaar brengen? Zo nee, waarom niet?

Het betreft hier een applicatie voor legitieme doeleinden die wordt misbruikt door kwaadwillenden. Fraudeurs kunnen gebruik maken van vele middelen om gedupeerden om de tuin te leiden, bijvoorbeeld het bouwen van een nep-website, het verzenden van nep-mails namens bedrijven en ook spoofing met telefoonnummers. Het is belangrijk dat een ieder zich hier bewust van is. Men is zelf ook verantwoordelijk voor het voorkomen van fraude en moet daarom steeds alert zijn op mogelijk bedrog. Het is daarbij van belang dat de fraudeur wordt aangepakt en niet het middel dat door de fraudeur wordt gebruikt om het doel te bereiken.

Vraag 4

Deelt u de constatering dat dergelijke applicaties zowel particulier als zakelijk voor veel schade kunnen zorgen? Zo nee, waarom niet?

Zie antwoord vraag 3.

Vraag 5

Bent u het er mee eens dat dit soort applicaties het werk van fraudeurs en oplichters eenvoudiger maakt? Zo ja, wat gaat u hieraan doen? Zo nee, waarom niet?

Zie antwoord vraag 3.

Vraag 6

Wat vindt u van het feit dat bedrijven door dit soort applicaties voor 300.000 euro zijn opgelicht?

Oplichting vind ik zeer kwalijk. Indien bedrijven ten onrechte geld hebben overgemaakt, kunnen zij via hun bank of de burgerlijke rechter proberen dit bedrag terug te krijgen. Daarnaast kunnen gedupeerden aangifte doen bij de politie. De aanpak van horizontale fraude – fraude tegen burgers en bedrijven – is in het kader van de Veiligheidsagenda tot één van de zes prioriteiten benoemd. Dit betekent onder meer dat tussen politie en Openbaar Ministerie de afspraak is gemaakt dat er in 2015 door de regionale eenheden van de politie 1.500 van zulke zaken worden opgepakt. Dit aantal zaken groeit naar 2.300 zaken in 2018.

Vraag 7

Deelt u de mening dat het advies van de fraudehelpdesk een laks advies is? Zo nee, waarom niet?

Deze mening deel ik niet. Indien een bericht of een gesprekspartner niet betrouwbaar lijkt, adviseer ik evenals de Fraudehelpdesk te controleren of de beller ook daadwerkelijk degene is die deze zegt te zijn. Voordat geld wordt overgemaakt naar aanleiding van een telefoontje is het raadzaam bij de relevante instantie te controleren of er nog een bedrag verschuldigd is en in de eigen administratie na te gaan of dit klopt.

Vraag 8

Bent u bereid om een bewustwordingscampagne te houden om de Nederlandse bevolking meer bewust te maken van de risico’s die zij lopen op dit vlak? Zo nee, waarom niet?

De risico’s die men loopt, spelen niet alleen op dit vlak maar bij elke vorm van verstrekking van persoonlijke gegevens of betaling naar aanleiding van een telefonisch of digitaal verzoek. De Fraudehelpdesk geeft voorlichting over allerlei vormen van fraude en oplichting teneinde burgers en ondernemers weerbaarder te maken en te voorkomen dat er (meer) slachtoffers ontstaan. Ik ben niet voornemens een aparte bewustwordingscampagne op te zetten.

Vraag 9

Bent u het er mee eens dat het gebruikmaken van deze applicaties tot fraude en inbreuk op privacy kan leiden? Zo ja, bent u bereid onderzoek te doen naar de wenselijkheid van dergelijke applicaties?

Ik verwijs naar mijn antwoord op de vragen 3, 4 en 5. Ik acht een onderzoek naar de wenselijkheid van dergelijke applicaties niet nodig.