Vraag 1

Bent u bekend met het volgende bericht van de heer Musk?1

Ja, ik heb kennisgenomen van dit bericht.

Vraag 2

Bent u bekend met het vijf dagen eerder verschenen artikel «Het rommelt bij OpenAI, de maker van ChatGPT: kritiek op veilig gebruik van artificial intelligence komt van binnen en buiten» gepubliceerd door Business Insiders Nederland op 5 juni 2024?2

Ja, ik heb kennisgenomen van dit bericht.

Vraag 3

Deelt u de opvatting van de heer Musk dat de integratie van OpenAI op OS-niveau van Apple producten, zoals verkondigd door Apple op de WWDC (Worldwide Developers Conference), een potentieel veiligheidsrisico kan vormen voor deze apparaten? Zo nee, waarom niet?

Het integreren van producten van derde partijen in Apple producten, maar ook producten van vergelijkbare partijen, is een veel voorkomend proces. Dit integratieproces kan veiligheidsrisico's met zich mee brengen, waarbij de potentiële kwetsbaarheden over het algemeen toenemen naarmate de integratie diepgaander wordt. In het specifieke geval van AI-integratie binnen een besturingssysteem, zoals de integratie van OpenAI op OS-niveau, worden deze risico's verder geïntensiveerd. Deze vorm van integratie vereist namelijk toegang tot gevoelige gegevens en kerncomponenten van het OS, wat verder gaat dan conventionele integraties. Apple heeft aangegeven in openbare berichtgeving dat er in dit proces data wordt uitgewisseld met externe partijen. Ook heeft Apple in openbare berichtgeving aangegeven maatregelen te hebben getroffen om de cybersecurity en dataprivacy te borgen. Daar zijn geen technische details over openbaar gemaakt. Uiteraard moeten dergelijke integraties voldoen aan de relevante wet- en regelgeving, zoals verder staat toegelicht in de beantwoording van vragen 7 en 8.
Apple heeft overigens de uitrol van de integratie van ChatGTP van OpenAI binnen de EU uitgesteld (zie hiervoor ook de beantwoording van vraag 6, 7 en 8).

Vraag 4

Deelt u de mening dat de scheidingslijn tussen «lokaal opgeslagen» en «opgehaald/gedeeld middels geautoriseerde apps» geen heldere barrière kent en derhalve flinterdun genoemd mag worden? Graag een onderbouwing van uw beantwoording.

De scheidingslijn tussen lokaal opgeslagen gegevens en gedeelde gegevens is technisch gezien duidelijk, namelijk dat lokaal opgeslagen gegevens zich bevinden op het apparaat van de gebruiker, terwijl gedeelde gegevens worden overgedragen naar externe servers. Tegelijkertijd is voor gebruikers niet altijd duidelijk wat er wel of niet gebeurt met hun gegevens. Dit komt door de complexiteit van moderne besturingssystemen en de voortdurende balans tussen gebruiksgemak en beveiliging. Hierdoor kan lokale informatie op verschillende manieren, zowel actief (aangevinkt door de gebruiker) als automatisch (bijvoorbeeld via virusscans, en spellingcheckers), met externen worden gedeeld zonder dat de gebruiker zich hiervan bewust is.

Vraag 5

Vindt u dat dergelijk potentieel veiligheidsrisico voor een overheidsorgaan onwenselijk is? Zo nee, waarom niet?

In algemene zin kunnen veiligheidsrisico’s die ontstaan door integraties van producten van derde partijen in een besturingssysteem onwenselijk zijn voor de overheid. Zo is een risico van oneigenlijk delen en verwerken van gegevens van smartphonegebruikers onwenselijk. Tegelijkertijd zijn er maatregelen mogelijk om deze risico’s te mitigeren. Ook moeten dergelijke integraties voldoen aan de relevante wet- en regelgeving, zoals verder staat toegelicht in de beantwoording van vragen 7 en 8. Apple geeft aan te werken aan uitgebreide bescherming van persoonsgegevens voor hun AI-toepassingen, bijvoorbeeld middels «Private Cloud Compute (PCC)»3. De PCC ontvangt gegevens van het toestel van de gebruiker voor het uitvoeren van een AI-toepassing wanneer deze niet op het toestel zelf kunnen worden uitgevoerd. Na ontvangst worden de gegevens gebruikt voor het uitvoeren en worden deze na gebruik gelijk verwijderd. Gegevens in de PCC worden volgens Apple niet gedeeld met derden en zouden ook niet door Apple verder worden verwerkt.

Vraag 6

Wat bent u voornemens te gaan doen om hieraan gerelateerde potentiële veiligheidsrisico’s in kaart te brengen en tevens in te perken?

Voor het inzetten van AI-toepassing binnen de Rijksoverheid gelden verschillende risico mitigerende maatregelen. Deze maatregelen zijn verwerkt in zowel (EU) wet- en regelgeving alsook de inkoopvoorwaarden voor ICT. Dit betekent enerzijds dat Apple zelf verantwoordelijk is voor het naleven van de inkoopvoorwaarden en anderzijds zij op wet- en regelgeving getoetst en gecontroleerd worden door Rijksoverheidsorganisaties en toezichthouders.
Voor het gebruik van generatieve AI-toepassingen, zoals die van Apple, geldt nog steeds het voorlopige standpunt generatieve AI over het gebruik door Rijksorganisaties van generatieve AI.4 Hierin staat dat voor het inzetten van een AI-toepassing, deze onderworpen moet worden aan een Impact Assessment Mensenrechten Algoritme (IAMA) en een Data Protection Impact Assessment (DPIA). De uitkomsten van de DPIA en IAMA dienen voor inzet van de toepassing ter advies aan de (departementale) Chief Information Officer (CIO) en de Functionaris Gegevensbescherming (FG) te worden voorgelegd. Door middel van deze maatregelen worden potentiële veiligheidsrisico’s op tijd gesignaleerd en kan er doelmatig ingegrepen worden.
Leveranciers hebben ook een eigen verantwoordelijkheid om te voldoen aan wetgeving en inkoopvoorwaarden. Zoals in antwoord op vraag 3 benoemd, heeft Apple vooralsnog de uitrol van de AI integratie binnen de EU uitgesteld.

Vraag 7

In hoeverre past een integratie van AI op OS-niveau binnen de kaders van de DMA, DSA, AI-Act en andere relevante wetten, regels en verordeningen?

Het is aan de toezichthouders en uiteindelijk aan de rechters op Europees en nationaal niveau om te bepalen in hoeverre een integratie van AI op OS-niveau binnen de bestaande kaders van relevante wet- en regelgeving past. In de Digital Markets Act (DMA) en de AI-verordening staan bepalingen die ingaan op onder andere interoperabiliteitsverplichtingen en de verantwoordelijkheden binnen de waardeketen van AI. Besturingssystemen vallen niet binnen de reikwijdte van de Digital Services Act (DSA).
Apple is door de Europese Commissie aangewezen als poortwachter onder de DMA voor verschillende kernplatformdiensten. De iOS-diensten van Apple vallen onder het toepassingsgebied van de DMA en zijn door de Commissie aangewezen als kernplatformdienst in de categorie besturingssysteem (artikel 2, tweede lid, onder f). Dit betekent dat Apple moet zorgen voor effectieve naleving van de maatregelen in de DMA die van toepassing zijn op besturingssystemen, zoals het verbod op het combineren van data of de interoperabiliteitsverplichtingen. Op basis van artikel 5, tweede lid, van de DMA mag Apple bijvoorbeeld niet zonder toestemming persoonsgegevens gebruiken in andere diensten die Apple afzonderlijk aanbiedt.
Onder de DMA zijn diensten die gebruikmaken van AI niet opgenomen als afzonderlijke kernplatformdienst. Uit overweging 14 van de DMA volgt echter dat de definitie van kernplatformdiensten voor de toepassing van deze verordening technologieneutraal is en ook diensten omvat die langs verschillende wegen worden aangeboden. De onderliggende technologie waar het besturingssysteem op leunt, kan op deze wijze dus ook onder het toepassingsgebied van de DMA komen te vallen. Dat betekent echter niet dat de DMA zich verzet tegen een integratie van AI op OS-niveau, mits Apple zich voor haar iOS-diensten houdt aan de verplichtingen en verboden die volgen uit de DMA.
Onder de AI-verordening zijn aanbieders van AI-modellen voor algemene doeleinden met ingang van 2 augustus 2025 verplicht om informatie en documentatie op te stellen, up-to-date te houden en beschikbaar te stellen voor toezichthouders en aanbieders die dat AI-model in hun AI-systemen willen integreren. De bedoeling is dat deze informatie en documentatie inzicht geeft in de capaciteiten en beperkingen van het AI-model voor algemene doeleinden en daarmee aanbieders verderop in de waardeketen die met dit model verder bouwen aan specifiekere AI-modellen of -systemen in staat stelt aan hun verplichtingen uit de AI-verordening te voldoen.
Als AI-modellen voor algemene doeleinden voor systeemrisico’s kunnen zorgen, dan moeten ze volgens de AI-verordening aan extra eisen voldoen. Dit kan het geval zijn als er zeer veel computerkracht gebruikt is bij het trainen van het model, maar ook het aantal eindgebruikers kan een relevante factor zijn bij de beoordeling of een AI-model voor systeemrisico’s kan zorgen. Modellen met systeemrisico’s moeten onder andere modelevaluaties uitvoeren, risico’s beoordelen en beperken en zorgen voor een passend niveau van cybersecurity. Ook moeten incidenten zo snel mogelijk gemeld worden bij het Europese AI-bureau, dat toezicht houdt op deze modellen.

Vraag 8

Wat gaat u doen om de privacy van onze burgers te borgen?

De privacy van burgers binnen het digitale domein wordt op verschillende manieren geborgd. Binnen de EU wordt het grondrecht op gegevensbescherming wettelijk beschermd via de Algemene Verordening Gegevensbescherming (AVG). Toezicht en handhaving op de rechtmatigheid van gegevensverwerking in de publiek en private sector wordt in Nederland gedaan door de Autoriteit Persoonsgegevens (AP).
De AP is een onafhankelijke toezichthouder en heeft ruim mandaat en uitgebreide bevoegdheden om te onderzoeken of partijen voldoen aan hun verplichtingen uit de AVG. Zo heeft de AP als toezichthoudend autoriteit de bevoegdheid om organisaties te gelasten alle informatie voor hun onderzoek te verstrekken (art. 58, AVG). Ook is de AP bevoegd om sancties op te leggen als een organisatie de privacywetgeving overtreedt. Sancties die de AP kan opleggen zijn: waarschuwingen, berispingen, last onder dwangsom, boetes (maximaal 20 miljoen of 4% van de wereldwijde jaaromzet) of een verwerkingsverbod.
In de casus van Apple wordt het toezicht niet door de AP opgepakt, maar door de Ierse privacyautoriteit. Het Europese hoofdkantoor van Apple is namelijk gevestigd in Cork, Ierland. Dit houdt in dat, aangezien de hoofdvestiging zich in Ierland bevindt, de leidende toezichthoudende autoriteit conform artikel 56 uit de AVG de Ierse toezichthouder is. De Ierse toezichthouder heeft eenzelfde mandaat en bevoegdheden als de Nederlandse AP en zij werken bij grensoverschrijdende gegevensverwerkingen nauw samen. Deze samenwerking vindt plaats middels de European Data Protection Board (EDPB).

Vraag 1

Klopt de berichtgeving van Nieuwsuur dat de kwetsbaarheid in Cisco Webex bestond door de voorspelbaarheid van URLs?1 2 Wordt binnen de Rijksoverheid bij de implementatie van systemen standaard een controle uitgevoerd op de afwezigheid van dergelijke basale configuratiefouten?

Ja. Dit betrof geen configuratiefout van de Rijksvideodienst (Belastingdienst). De inrichting is gecheckt in samenwerking met CIO Rijk en de AIVD/NBV. Hiervoor is onder andere een BSPA3 en DPIA4 uitgevoerd. Wel kon er via enumeratie5, door een voorspelbare logische volgordelijkheid in de unieke internetadressen van websites (URL’s genoemd), metadata van andere vergaderingen worden ingezien door ongeautoriseerde gebruikers. Volgens Cisco was dit mogelijk door kwetsbaarheden in specifiek de Cloud-applicaties van Cisco Webex meetings. De Rijksoverheid heeft aanbevolen veiligheidsinstellingen en werkt veelal niet met de cloud versie, maar met de client versie van Webex.

Vraag 2

Klopt de berichtgeving van de Volkskrant dat het in het verleden mogelijk was om telefonisch in te bellen op de Webex-omgeving van de Rijksoverheid? Zo ja, zouden buitenlandse inlichtingendiensten daardoor ongemerkt vertrouwelijke Nederlandse videovergaderingen kunnen hebben bijgewoond?3

Het is mogelijk gebleken dat ongeautoriseerde gebruikers onder bepaalde voorwaarden vertrouwelijke videovergaderingen hebben kunnen bijwonen. Cisco ondersteunt namelijk de mogelijkheid in te bellen via het Public Switched Telephone Network op Cisco Webex Meetings.
Binnen Nederland zijn echter geen gevallen bekend waarbij ongeautoriseerde gebruikers vertrouwelijke videovergaderingen van de Rijksoverheid hebben bijgewoond. Uit zowel onderzoek van Cisco als uit eigen onderzoek van het Nationaal Cyber Security Centrum (NCSC) is geen indicatie van misbruik naar voren gekomen. Dit komt mede door de standaardtoepassingen van beveiligingsmaatregelen bij het gebruik van Cisco Webex binnen de Rijksoverheid.

Vraag 3

Wilt u nader toelichten wat het concreet betekent dat Cisco Webex «niet gebruikt [mag] worden voor overleggen die als zeer vertrouwelijk zijn aangemerkt of waar staatsgeheime informatie wordt besproken»? Waar legt het kabinet de lat voor «zeer vertrouwelijk»?

Webex kan, net als bijvoorbeeld regulier telefonisch contact, gebruikt worden voor informatie tot en met «Departementaal VERTROUWELIJK (Dep.V.)» gerubriceerd, anders niet.
Informatie wordt als Dep.V. gerubriceerd indien kennisname door niet geautoriseerden schade kan toebrengen aan de belangen van één of meerdere ministeries. Informatie wordt als Staatsgeheim CONFIDENTIEEL/GEHEIM/ZEER GEHEIM gerubriceerd indien kennisname door niet geautoriseerden respectievelijk schade/ernstige schade/zeer ernstige schade kan toebrengen aan een van de vitale belangen van de staat of zijn bondgenoten. «Zeer vertrouwelijk» valt onder de eigen beoordelingsruimte van de medewerker.

Vraag 4

Mogen er Departementaal Vertrouwelijk (Dep.V)-gerubriceerde gesprekken gevoerd worden via Cisco Webex? Zo ja, heeft het kabinet ook na dit incident nog voldoende vertrouwen in het beveiligingsniveau van Cisco Webex als product en het beveiligingsbewustzijn van Cisco als fabrikant om gesprekken op dit rubriceringsniveau te laten plaatsvinden?

Webex kan, net als bijvoorbeeld regulier telefonisch contact, gebruikt worden voor informatie tot en met «Departementaal VERTROUWELIJK (Dep.V.)» gerubriceerd, anders niet.
Door ontwikkeling van de techniek kunnen systemen die aanvankelijk veilig werden bevonden, nieuwe kwetsbaarheden bevatten. Daarnaast worden er continu nieuwe aanvalstechnieken ontwikkeld. Door het mitigeren van de kwetsbaarheden en nemen van aanvullende maatregelen wordt een systeem weer veilig. Dit is een regulier, normaal proces waar alle IT aan onderhavig is. Het probleem in deze casus was ook niet zozeer dat er een kwetsbaarheid ontdekt was, maar dat deze niet per direct aan de Rijksoverheid gemeld werd, omdat Cisco geen verdachte activiteiten waargenomen heeft op de Rijksoverheid tenant. Hierover zijn gesprekken met Cisco gevoerd, naar aanleiding waarvan Cisco hun meldingsproces gaat herinrichten om een dergelijke kwestie in de toekomst te voorkomen. CIO Rijk is betrokken bij deze herinrichting.

Vraag 5

Zijn bewindspersonen en ambtenaren in de praktijk voldoende geëquipeerd om videogesprekken op het juiste rubriceringsniveau te voeren? Hoe wordt hierop toegezien?

Cisco Webex is geschikt voor het voeren van videogesprekken tot en met het niveau Departementaal Vertrouwelijk. Dit is ook duidelijk uitgelegd in de handleiding van Webex voor rijksambtenaren. Voor mobiele telefoongesprekken tot en met het niveau Staatsgeheim Geheim is de Sectra Tiger/S telefoon goedgekeurd door de AIVD.

Vraag 6

Kunt u illustreren wat voor soort gevoelige gesprekken wel via Cisco Webex gevoerd mogen worden, maar niet als «zeer vertrouwelijk» worden beschouwd of Stg-gerubriceerd zijn?

Een voorbeeld hiervan zouden personeels- en/of functioneringsgesprekken kunnen zijn.

Vraag 7

Mogen er via Cisco Webex gesprekken gevoerd worden waarin militair gevoelige informatie besproken wordt?

Indien de informatie tot en met «Departementaal VERTROUWELIJK (Dep.V.)» gerubriceerd is wel, anders niet.
Informatie wordt als Dep.V. gerubriceerd indien kennisname door niet geautoriseerden schade kan toebrengen aan de belangen van één of meerdere ministeries. Informatie wordt als Staatsgeheim CONFIDENTIEEL/GEHEIM/ZEER GEHEIM gerubriceerd indien kennisname door niet geautoriseerden respectievelijk schade/ernstige schade/zeer ernstige schade kan toebrengen aan een van de vitale belangen van de staat of zijn bondgenoten.

Vraag 8

Mogen er via Cisco Webex gesprekken gevoerd worden waarin internationaal gevoelige informatie besproken wordt, zoals diplomatieke terugkoppelingen?

Zie antwoord vraag 7.

Vraag 9

Mogen er via Cisco Webex gesprekken gevoerd worden die, indien ze zouden uitlekken, de Nederlandse economische positie of economische veiligheid kunnen schaden, zoals aankomende investeringen, fusies en overnames of bedrijfsgevoelige informatie?

Zie antwoord vraag 7.

Vraag 10

Mogen er via Cisco Webex gesprekken gevoerd worden die, indien ze zouden uitlekken, de nationale veiligheid, de veiligheid van individuen of de openbare orde zouden kunnen schaden?

Zie antwoord vraag 7.

Vraag 11

Bestaat er een risico dat de vertrouwelijke identiteit van ambtenaren, waaronder medewerkers van de AIVD en MIVD, gelekt is via deze kwetsbaarheid?

Medewerkers van de Rijksoverheid maken gebruik van Webex. Bij het gebruik maken van een communicatiesysteem via het publieke internet hoort een bepaald beveiligingsniveau. Gekoppeld daaraan worden beslissingen genomen over vertrouwelijkheid.
Over de operationele werkwijzen van de inlichtingen- en veiligheidsdiensten worden in het openbaar geen uitspraken gedaan. In algemene zin houden de AIVD en MIVD altijd rekening met het beveiligingsniveau van een publieke communicatie-infrastructuur.

Vraag 12

Wat zijn de in de SLA (service level agreement) opgenomen afspraken met Cisco inzake dergelijke kwetsbaarheden en de opvolging hiervan, waaronder communicatie en afgesproken termijn voor reparatie?

Er is geen SLA met Cisco afgesloten, maar met BIS. Hierin zijn geen afspraken opgenomen omtrent kwetsbaarheden en de opvolging daarvan. Naar aanleiding van het incident wordt op korte termijn overleg met Cisco ingepland om Cisco’s beleid en processen t.a.v. mogelijke toekomstig geconstateerde kwetsbaarheden/incidenten aan te passen.

Vraag 13

Hoe beoordeelt het kabinet het «coordinated vulnerability disclosure»-beleid (voor het melden van onbekende kwetsbaarheden) van Cisco en de uitvoering daarvan in de praktijk?

Het betrof kwetsbaarheden in specifiek de Cloud-applicaties van Cisco Webex meetings, waardoor het doorvoeren van updates van kwetsbare software door afnemers niet mogelijk was. Deze software is namelijk in beheer in de Cloud-omgeving van Cisco. Cisco heeft ervoor gekozen om in dit geval een andere procedure dan de coordinated vulnerability disclosure (CVD) procedure te volgen en geen kenmerken toe te kennen aan de kwetsbaarheden.
Naar aanleiding van het incident wordt op korte termijn overleg met Cisco gevoerd om Cisco’s beleid en processen t.a.v. mogelijke toekomstig geconstateerde kwetsbaarheden/incidenten aan te passen.

Vraag 14

Bent u het met ons eens dat het «coordinated vulnerability disclosure»-beleid van producenten en de uitvoering daarvan in de praktijk een belangrijke afweging zou moeten zijn bij inkopen en aanbestedingen door de overheid? Hoe en in welke mate wordt dit nu door departementen meegewogen?

Het beschikken over een CVD-beleid is een concrete maatregel. In de Algemene Rijksinkoopvoorwaarden bij IT-opdrachten (ARBIT) is in art. 19 opgenomen dat wederpartij zorg draagt voor een niveau van Informatiebeveiliging dat van een redelijk handelend en bekwame IT-leverancier mag worden verwacht. Tevens moeten eventuele inbreuken zo spoedig mogelijk gemeld worden.
In Nederland is het CVD-beleid van het NCSC breed gecommuniceerd. Op de website van het Nationaal Cyber Security Centrum (NCSC) is veel informatie te vinden over Coordinated Vulnerability Disclosures (CVD). Dit betreft onder meer informatie over hoe personen een CVD-melding kunnen doen om technische kwetsbaarheden te melden bij het Nationaal Cyber Security Centrum (NCSC). Binnen de community van onderzoekers en ethische hackers is het CVD-beleid van het Nationaal Cyber Security Centrum (NCSC) over het algemeen goed bekend. In het buitenland zijn vergelijkbare standaarden van toepassing.

Vraag 15

Bent u het met ons eens dat dit incident, in combinatie met eerdere incidenten gerelateerd aan deze fabrikant, de noodzaak benadrukt voor een hogere mate van Nederlandse digitale autonomie op het gebied van het voeren van vertrouwelijke videogesprekken? Is hier specifiek aandacht voor binnen de Nationale Cryptostrategie (NCS)?

Binnen de Nationale Cryptostrategie (NCS) worden de behoeftes van de Rijksoverheid voor informatiebeveiligingsproducten voor gerubriceerde informatie, met een focus op staatsgeheimen, besproken. Deze behoeftelijst is gerubriceerd en derhalve kunnen wij geen uitspraak doen over de inhoud hiervan.

Vraag 16

Bent u bereid om een open source alternatief voor Webex te overwegen? Zo nee, waarom niet?

De selectie van een leverancier voor het rijksbreed videoconferencing platform heeft middels een openbare aanbesteding plaatsgevonden. Geen van de inschrijvende partijen had een open source oplossing aangeboden. Uiteraard houden wij ons graag op de hoogte van de ontwikkelingen in de markt, maar we zien dat wat betreft de schaalgrootte en de complexiteit van de organisatie van de Rijksoverheid er op dit moment geen gelijkwaardige alternatieven beschikbaar zijn.

Vraag 1

Bent u bekend met het bericht dat werknemers in een brief stellen dat OpenAI roekeloos is en dat het ontbreekt aan toezicht?1 Herkent u de zorgen zoals geuit in de brief van huidig en voormalig werknemers van OpenAI? Zo ja, hoe ziet de Minister het mogelijke gevaar van het versterken van ongelijkheid en het verspreiden van desinformatie door AI (in Nederland)? Welke gevaren ziet de Minister nog meer?

Ja, hier ben ik mee bekend. Ik herken de risico’s die worden genoemd in de brief en de bezorgdheid over het effect dat artificiële intelligentie (AI) kan hebben op het creëren en verspreiden van mis- en desinformatie.
Generatieve AI zoals de producten van OpenAI maken het in potentie makkelijker om mis- en desinformatie te creëren. Om deze risico’s te beperken zijn regels opgesteld in de AI-verordening. Zo moeten aanbieders van AI-systemen die synthetische content2 genereren ervoor zorgen dat de output van het AI-systeem wordt gemarkeerd in een machineleesbaar formaat en detecteerbaar zijn als kunstmatig gegenereerd of gemanipuleerd. Dit maakt het makkelijker voor grote online platforms om systeemrisico’s die kunnen voortvloeien uit de verspreiding van kunstmatig gegenereerde of gemanipuleerde content te identificeren en te beperken. Verder geldt dat AI-systemen die bedoeld zijn om te worden gebruikt voor het beïnvloeden van de uitslag van een verkiezing of referendum, of van het stemgedrag bij verkiezingen of referenda als hoog-risico worden geclassificeerd vanuit de AI-verordening. Aanbieders van deze systemen moeten dan ook voldoen aan de eisen en verplichtingen voor AI-systemen met een hoog risico, zoals het identificeren en voorkomen van risico’s. OpenAI verbiedt dan ook het gebruik van hun producten voor politieke beïnvloeding.
Het kabinet wil dat deze risico’s van generatieve AI worden ingeperkt en aangepakt, maar ook de kansen van generatieve AI benutten voor het tegengaan van desinformatie. In de Voortgangsbrief Rijksbrede strategie voor de effectieve aanpak van desinformatie3, die onlangs vanuit mijn ambtsvoorgangers, aan uw Kamer is verzonden, wordt dieper ingegaan op de impact van generatieve AI en het verspreiden van desinformatie.
Het kabinet erkent ook het risico dat AI kan hebben op groeiende ongelijkheid en de sociaaleconomische implicaties. Daarom steunt zij ook het eerder aangevraagd advies van het vorige kabinet hierover aan de Sociaal Economische Raad4, zodat het kabinet samen met werkgevers en werknemers actie kan ondernemen om de impact van AI op de samenleving op een verantwoorde manier een vervolg te geven. De AI-verordening heeft als doel om risico’s van AI-systemen aan te pakken, waaronder het risico op discriminatie wat ongelijkheid veroorzaakt en kan vergroten. De AI-verordening bepaalt dat onder meer risico’s op aantasting van fundamentele rechten zoals het recht op non-discriminatie moeten worden aangepakt bij de ontwikkeling van AI-systemen en bij de inzet van AI-systemen door overheidsinstanties.

Vraag 2

Hoe ziet u in algemene zin het spanningsveld tussen het feit dat de AI Act pas in haar volledige vorm over enkele jaren in werking treedt en dat het op dit moment wenselijk kan zijn om toezicht te houden en daar waar nodig in te grijpen bij organisatie die maatschappij veranderende technieken uitbrengen, zoals kunstmatige intelligentie en large language models?

Als het gaat om het reguleren van AI als product binnen de EU en in Nederland, vormt de AI-verordening hiervoor het juridisch fundament. De AI-verordening is in werking getreden op 1 augustus jl. en wordt stapsgewijs van toepassing. Zo zijn bepaalde AI-praktijken al na 6 maanden verboden. De eisen voor AI-modellen voor algemene doeleinden (waar Large Language Models zoals GPT van OpenAI naar verwachting ook onder vallen) zijn al na 12 maanden van toepassing. Hieronder vallen ook de zwaardere eisen wanneer deze modellen ook voor systeemrisico’s kunnen zorgen. Voor de eisen aan hoog-risico AI-toepassingseisen gelden termijnen van 24 en 36 maanden. Het is belangrijk dat ontwikkelaars en gebruiksverantwoordelijken van deze AI-modellen en systemen voldoende tijd hebben om zich goed te kunnen voorbereiden op het van toepassing worden van de eisen.
Het kabinet neemt nu al stappen om risico’s van (generatieve) AI te adresseren. Daarom wordt in Nederland al hard gewerkt aan het versterken van het toezicht op AI, mede in voorbereiding op de AI-verordening. Zo is onder de Autoriteit Persoonsgegevens (AP) de Directie Coördinatie Algoritmes (DCA) opgericht om het toezicht op algoritmes en AI in Nederland te versterken. Dit doet zij door risico’s van algoritmes en AI te signaleren en analyseren, samenwerking tussen toezichthouders te versterken en guidance te bevorderen. Daarnaast hebben de Rijksinspectie Digitale Infrastructuur (RDI) en de DCA in 2024 samen 3,1 miljoen euro ontvangen van het Ministerie van Economische Zaken om Nederland te kunnen voorbereiden op het inrichten van toezicht op de AI-verordening. De RDI en DCA bieden in de loop van dit jaar een definitief advies aan over de inrichting van het toezicht op de AI-verordening aan de bewindspersonen van Economische Zaken, Binnenlandse Zaken en Koninkrijksrelaties en Justitie en Veiligheid. Daarna wordt de voorgenomen inrichting van het toezicht opgenomen in de uitvoeringswet die aan het parlement wordt voorgelegd via de gebruikelijke wegen.
Onder de AI-verordening zijn aanbieders van AI-modellen voor algemene doeleinden met ingang van 1 augustus 2025 verplicht om informatie en documentatie op te stellen, up-to-date te houden en beschikbaar te stellen voor toezichthouders en aanbieders die dat AI-model in hun AI-systemen willen integreren. De bedoeling is dat deze informatie en documentatie inzicht geeft in de capaciteiten en beperkingen van het AI-model voor algemene doeleinden en daarmee aanbieders verderop in de waardeketen die met dit model verder bouwen aan specifiekere AI-modellen of -systemen in staat stellen aan hun verplichtingen uit de AI-verordening te voldoen.
Als AI-modellen voor algemene doeleinden voor systeemrisico’s kunnen zorgen, dan moeten ze volgens de AI-verordening aan extra eisen voldoen. Dit kan het geval zijn als er zeer veel computerkracht gebruikt is bij het trainen van het model, maar ook het aantal eindgebruikers kan een relevante factor zijn bij de beoordeling of een AI-model voor systeemrisico’s kan zorgen. Modellen met systeemrisico’s moeten onder andere modelevaluaties uitvoeren, risico’s beoordelen en beperken en zorgen voor een passend niveau van cybersecurity. Ook moeten incidenten zo snel mogelijk gemeld worden bij het Europese AI-bureau, dat toezicht houdt op deze modellen.
Het AI-bureau («AI Office») van de Europese Commissie is bevoegd om toezicht te houden op AI-modellen voor algemene doeleinden. De eisen voor deze modellen treden 1 augustus 2025 in werking, waarna het AI-bureau kan gaan controleren of deze worden nageleefd.
Er wordt niet gewacht tot de AI-verordening van toepassing is om veilige ontwikkeling en gebruik van AI te bevorderen. Zo heeft de Europese Commissie recent het «AI Pact» gelanceerd. Dit AI Pact heeft als doel om organisaties vroegtijdig aan de AI-verordening te laten voldoen. Aan de ene kant door informatie en best practices tussen organisaties uit te wisselen, en aan de andere kant door organisaties te motiveren om toe te zeggen dat ze vroegtijdig aan de eisen zullen voldoen. Daarnaast ontwikkelt het AI-bureau al verschillende instrumenten die bijdragen aan een effectieve uitvoering van de AI-verordening, zoals richtsnoeren en lagere wetgeving die de AI-verordening verder duidelijk maken, praktijkcodes, benchmarks en het ondersteunen en bundelen van kennis uit de verschillende adviesorganen. Daarbij draagt de Commissie namens de Europese lidstaten bij aan internationale gedragscodes voor geavanceerde AI-systemen, zoals de Hiroshima gedragscode van de G7.5 Nederland volgt deze ontwikkelingen nauw en werkt tijdens de implementatie van de AI-verordening via verschillende adviesorganen nauw samen met het Europese AI-bureau.
Daarnaast bestaan er al verschillende wetten die niet specifiek over AI gaan, maar die wel normen bevatten waarmee de inzet van AI wordt gereguleerd. De Algemene Verordening Persoonsgegevens (AVG) biedt bijvoorbeeld juridische kaders bij geautomatiseerde besluitvorming met behulp van AI en bij het verwerken van persoonsgegevens voor het trainen of gebruik van AI. Op grond van de AVG hebben EU privacy toezichthouders ervoor gezorgd dat ChatGPT extra privacy waarborgen biedt. De Algemene wet bestuursrecht (Awb) stelt normen aan de kwaliteit van overheidsbesluiten en de motivering daarvan, ook als daar AI voor wordt gebruikt. De Algemene wet gelijke behandeling (Awgb) beschermt tegen discriminatie als AI-systemen worden gebruikt bij het aanbieden van bijvoorbeeld werk, goederen en diensten.
Tenslotte zijn er de afgelopen jaren verschillende (niet-regulerende) beleidsacties op nationaal niveau opgezet die ook bijdragen aan een verantwoorde inzet van AI. Voorbeelden hiervan zijn het algoritmeregister voor AI dat wordt gebruikt door de overheid6, de ELSA-labs7, het investeringsprogramma AiNed, het ROBUST programma en het impact assessment mensenrechten algoritmes (IAMA).

Vraag 3

Welke mogelijkheden zijn er in afwachting van de volledige inwerkingtreding van de AI-Act om de negatieve risico’s van AI op de samenleving te mitigeren? Zijn er mogelijkheden om op te treden tegen activiteiten en handelingen die nu formeel nog niet als illegaal bestempeld zijn onder de AI-Act, maar dat wel gaan zijn zodra de volledige AI-Act in werking zal treden?

Het is pas mogelijk om juridisch op te treden tegen activiteiten en handelingen op het moment dat zij illegaal zijn. Alhoewel de AI-verordening nog niet (volledig) van toepassing is, kunnen bepaalde activiteiten en handelingen op dit moment al wel illegaal zijn op grond van bestaande juridische kaders, zoals non-discriminatiewetgeving. Bijvoorbeeld als deze activiteiten en handelingen onrechtmatig zijn.
Overigens is het denkbaar dat activiteiten en handelingen illegaal zijn, terwijl het toezicht daarop en de handhaving daarvan op dat moment nog niet zijn gerealiseerd. Zo zijn de verboden in de AI-verordening van toepassing met ingang van 1 februari 2025, terwijl het toezicht op en de handhaving van de verboden pas 6 maanden later geregeld hoeft te zijn.8 Voor het inzetten van toezichtsbevoegdheden of handhavend optreden is een grondslag in de nationale (formele) wet noodzakelijk.9 Tot die tijd is een overtreding van de verboden wel onrechtmatig en kan een procedure gestart worden bij de civiele rechter. Tevens kan een toezichthouder, na de aanwijzing bij of krachtens formele wet, zo nodig met terugwerkende kracht handhaven.

Vraag 4

Wat kan er nu al gedaan worden om te voorkomen dat (de toepassing van) generatieve en specifieke AI gevaarlijk wordt? Deelt de Minister de mening dat het belangrijk is om niet te wachten op de AI-Act en nu al stappen te ondernemen, gezien de snelle ontwikkelingen als het gaat om (de toepassing van) verschillende soorten AI? Welke maatregelen neemt de Minister hiervoor? Zo nee, waarom niet?

Zie antwoord vraag 2.

Vraag 5

Deelt u de mening dat de AI-adviesraad, zoals om gevraagd in de motie-Rajkowski (Kamerstuk 21501-33-1041), er zo snel mogelijk moet komen om na te kunnen denken over mogelijke acties als het gaat om (de toepassing van) AI op het gebied van veiligheid, weerbaarheid, wenselijkheid, innovatie en strategische autonomie? Op welke termijn kunnen we een dergelijke raad verwachten? Welke maatregelen of besluiten moeten er nog genomen worden?

Genoemde motie vraagt de regering om te onderzoeken of een Nederlands adviserend orgaan van toegevoegde waarde kan zijn om de overheid op korte termijn te adviseren bij ontwikkelingen rondom kunstmatige intelligentie. Door het vorige kabinet is gemeld dat er een verkenning wordt gedaan naar het inrichten van een AI-adviesraad en de laatste stand van zaken van vóór de zomer10. Die verkenning continueert het huidig kabinet. Aan de nadere vormgeving van de adviesraad, inbegrepen haar bevoegdheden, wordt nog gewerkt. Hierbij wordt er ook juridisch bekeken welke mogelijkheden de Kaderwet Adviescolleges hiertoe biedt. Ik verwacht dit najaar de uitkomsten van dit onderzoek met uw Kamer te kunnen delen.

Vraag 6

Deelt u de mening dat het wenselijk is om in te zetten op Nederlandse/Europese ontwikkeling van kunstmatige intelligentie met de focus op publieke waarden met positieve maatschappelijke en economische effecten en dat een AI-fabriek hier een interessant instrument voor kan zijn? Deelt u de mening dat het wenselijk kan zijn om een AI-fabriek, eventueel in Europese samenwerking, te plaatsen in Nederland en het daarmee een mooie aanvulling kan zijn op ons digitale knooppunt en het versterken van onze digitale economie van de toekomst? Zo ja, op welke manier gaat u zich hiervoor inzetten in Europa? Zo nee, waarom niet?

Het AI-beleid in Nederland heeft zich sinds 2019 gericht op het versterken van het waardengedreven AI-ecosysteem waar onze publieke belangen, zoals fundamentele rechten, zijn geborgd en we de maatschappelijke en economische kansen verzilveren. Dit gebeurt onder meer via de publiek-private Nederlandse AI Coalitie (NLAIC), het AiNed investeringsprogramma (Nationaal Groeifonds) en de inzet voor de AI-verordening. Om het Europese AI-ecosysteem verder te versterken, heeft de Europese Commissie in januari 2024 het AI-innovatiepakket gelanceerd. In de BNC-fiches hierover is positief gereageerd op het voorstel van de Commissie om AI-fabrieken te ontwikkelen.11 Het voorstel voor amendering van de verordening omtrent de voortzetting van de gemeenschappelijke onderneming voor High Performance Computing (HPC) is 23 mei jl. goedgekeurd door de Raad van Concurrentievermogen.
In de Kamerbrief «Verkenning mogelijkheden AI-faciliteit»12 van 4 juni jl. is uw Kamer onlangs geïnformeerd over drie scenario’s die de Ministeries van OCW, BZK en EZ momenteel aan het verkennen zijn, namelijk: 1) bestaande middelen gebruiken, 2) meer investeringen in Europese AI-faciliteiten binnen EuroHPC, en 3) AI-faciliteit in Nederland, waarbij deze faciliteit onderdeel uitmaakt van het bredere Europese supercomputerecosysteem (gemeenschappelijke onderneming EuroHPC). Per scenario brengen de betrokken ministeries momenteel de meerwaarde en haalbaarheid in kaart. Hierin is onder meer aandacht voor de impact op maatschappelijke en economische belangen.
De scenario-aanpak is bedoeld om een zorgvuldige afweging te kunnen maken door het kabinet, omdat er aanzienlijke investeringen mee gemoeid kunnen zijn.

Vraag 7

Bent u bereid om, eventueel met Europese collega’s in gesprek te gaan met de Europese Commissie over hoe er op korte termijn gezorgd kan worden dat OpenAI openheid geeft over een aantal zaken zodat we het tegengaan van misbruik van kunstmatige intelligentie en andere onwenselijke effecten kunnen mitigeren? Zo nee, waarom niet?

Zoals ook aangegeven in het antwoord op vraag 2 tot en met 4, zal het AI-bureau van de Europese Commissie toezicht gaan houden op AI-modellen voor algemene doeleinden (waar Large Language Models zoals GPT van OpenAI ook onder vallen). Om ervoor te zorgen dat de aanbieders van deze modellen weten hoe ze aan de gestelde eisen moeten voldoen, worden er codes of practice opgesteld. Dit zijn praktische richtsnoeren die in samenwerking met de lidstaten en andere belanghebbenden worden opgesteld.
Hoewel de Commissie na een jaar bevoegdheden heeft om naleving van de regels te eisen, treedt zij in het kader van het opstellen van de codes of practice daarvoor al wel in dialoog met onder andere aanbieders en gebruikers van AI-modellen voor algemene doeleinden. Indien de Commissie signalen krijgt over de negatieve gevolgen van deze AI-modellen, kan hierover ook de dialoog aangegaan worden met de ontwikkelaars.
Via de recent opgerichte AI-Board is Nederland actief betrokken bij deze ontwikkelingen en staan we in nauw contact met de Europese Commissie over de bredere uitwerking van de AI-verordening.

Vraag 1

Klopt het dat in de door de informateurs gedeelde hoofdfiche Digitalisering1 een verwijzing wordt gemaakt naar in totaal 27 Fiches die betrekking hebben op Digitale Zaken?

Ja, dat klopt.

Vraag 2

Zijn er bij u meer Fiches bekend die betrekking hebben op Digitale Zaken?

Het hoofdfiche digitalisering is ten behoeve van de formatietafel opgesteld onder auspiciën van de Ambtelijke Commissie Digitalisering (ACD). Alle departementen zijn op hoog-ambtelijk niveau in deze commissie vertegenwoordigd.
De onderliggende fiches zijn gemaakt door verschillende departementen. Om een integraal beeld te bieden, hebben departementen aangegeven welke fiches zij hebben opgesteld die kunnen worden verbonden aan de opgaven op het gebied van digitalisering die in het hoofdfiche digitalisering worden genoemd. Deze onderliggende fiches zijn niet vastgesteld in de ACD. De verschillende departementen zijn zelf verantwoordelijk voor deze fiches en hebben dan ook zelf een afweging gemaakt om een bepaald fiche te verbinden aan het hoofdfiche digitalisering.
Ik ben niet bekend met eventuele andere fiches die raken aan digitale zaken dan de zeventwintig fiches die in het hoofdfiche zijn opgenomen.

Vraag 3

Kunt u alle onderliggende Fiches, waar naar verwezen wordt in de hoofdfiche Digitalisering en die anderzijds bekend bij u zijn, zo spoedig mogelijk openbaar maken en delen met de Tweede Kamer?

Uit artikel 5.4 van de Wet open overheid (Woo) volgt dat in beginsel geldt dat documenten die ten behoeve van de formatie zijn opgesteld – zoals de onderhavige fiches – uitgezonderd zijn van openbaarheid totdat de formatie is afgerond. Deze bepaling werkt ook door in de wijze waarop ik met het verzoek vanuit uw Kamer dien om te gaan.
Dit betekent dat alle fiches eventueel pas openbaar gemaakt kunnen worden als de formatie is afgerond. Hierbij geldt, als in antwoord op vraag 2 genoemd, dat het hier gaat om fiches van verschillende departementen. De afweging om de fiches nadien openbaar te maken is aan de dan verantwoordelijke bewindspersonen. Hierbij geldt als gedeeld uitgangspunt dat dergelijke stukken in beginsel openbaar kunnen worden gemaakt, met dien verstande dat er ook redenen kunnen zijn om dat niet te doen, dan wel om gedeeltelijk te verstrekken.

Vraag 1

Wat is de status van dit document? Is het daadwerkelijk ondertekend op 28 maart 2024 door de partijen? Wat zal er ter besluitvorming aan de kamer worden voorgelegd?

Het convenant maakt deel uit van een pakket aan afspraken. Rijk, regio en bedrijfsleven trekken tot en met 2030 in totaal 2,51 miljard euro uit voor dit pakket. Daarvan wordt 1,73 miljard euro bijgedragen door het Rijk en 778 miljoen euro door de regio en het bedrijfsleven. De afspraken in het convenant zijn voor het Rijk onder voorbehoud van instemming door de Staten-Generaal en voor de regio onder voorbehoud van instemming door provinciale staten van Noord-Brabant, goedkeuring door de 21 gemeenten in de Brainportregio (regio Zuidoost-Brabant) en de bijdrage door private partijen. De voorzitter van de Stichting Brainport handelt hierbij namens de samenwerkende overheden, kennisinstellingen en bedrijven in de Brainportregio. De rol van de voorzitter van de Stichting Brainport is om die instemming voorafgaand aan de ondertekening van het convenant te verkrijgen. Het proces voor deze instemming loopt. Hierbij worden geen bottlenecks verwacht. Naar verwachting kan het convenant binnen afzienbare tijd worden ondertekend.

Vraag 2

Kunt u toelichten wat de rol is van Stichting Brainport als vertegenwoordiger van de samenwerkende partijen? In hoeverre heeft Stichting Brainport de mogelijkheid om partijen in de regio te houden aan de afspraken?

Zie antwoord vraag 1.

Vraag 3

Waarom is ervoor gekozen om een vertegenwoordiging van het bedrijfsleven of grote bedrijven als ASML, NXP en Philips niet afzonderlijk te laten mee tekenen?

Het convenant beschrijft hoe het Rijk en de decentrale overheden zich verhouden tot de gemaakte afspraken om de groei van ASML en de hightech maakindustrie te kunnen accommoderen en wie daarbij welke financiële verplichtingen heeft. Het gaat hierbij om een intensivering op het oorspronkelijke pakket van 1,6 miljard euro uit 2022. Dit behoeft geen mede ondertekening door het bedrijfsleven. De Stichting Brainport vertegenwoordigt de samenwerkende overheden, kennisinstellingen en bedrijven in de Brainportregio.

Vraag 4

Waar bestond het oorspronkelijke pakket van 1,7 miljard euro uit? Kunt u de bedragen onderverdelen in talentontwikkeling, woningen en mobiliteit?

Uit de vraagstelling leiden we af dat u hiermee doelt op het oorspronkelijke pakket van 1,6 miljard euro uit 2022. Tijdens het BO-MIRT (Meerjarenprogramma Infrastructuur, Ruimte en Transport) van 9 november 2022 hebben Rijk en regio samen bekend gemaakt 1,6 miljard euro te investeren om de sterke groei van economische activiteiten in de Brainportregio te kunnen accommoderen. De financiering van dit pakket is gericht op bereikbaarheid van wonen en werken. Daarvoor zijn verschillende financieringsbronnen aan Rijks- en regiozijde ingezet. De grootste rijksbijdrage kwam uit de middelen voor Woningbouw en Mobiliteit voor de ontsluiting van de grootschalige woningbouwlocaties. Deze investeringen dragen bij aan de opgave van de realisatie van 50.000 nieuwe woningen tot en met 2030 (opgave 2022). Het maakt de verwachte reizigersgroei in het openbare vervoer mogelijk, aanpassingen van de weginfrastructuur onder meer voor de ontsluiting van de economische toplocaties en het verbeteren van bestaande spoorlijnen. Naast de middelen voor infrastructuur is een deel van de Rijksmiddelen (ad 23 miljoen euro) direct toe te wijzen aan de woningbouwimpuls. In het oorspronkelijke pakket zitten geen middelen voor talentontwikkeling.

Vraag 5

Hoe zal de structurele bijdrage van 80,5 miljoen euro aan talentontwikkeling worden gedekt?

De structurele kosten vanaf 2031 van het Nationaal versterkingsplan van microchip-talent worden voor de helft gedekt door het Ministerie van Onderwijs, Cultuur en Wetenschap (OCW) en voor de andere helft door het Ministerie van Economische Zaken en Klimaat (EZK). Het OCW-gedeelte wordt gedekt op de OCW-begroting. Hiervoor worden vanaf 2028 de resterende middelen van de maatregel afschaffing halvering van collegegeld ingezet (deze maatregel is stopgezet vanaf collegejaar 2024/2025). Ook worden van de Aanvullende Post de resterende middelen voor het fonds Onderzoek & Wetenschap in 2030 en 2031 hiervoor ingezet. Voor de resterende dekking wordt vanaf 2031 structureel omgebogen op de bekostiging van het mbo, hbo, wo en de onderzoeksbekostiging bij de Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO). Het EZK-gedeelte hiervan wordt gedekt op de EZK-begroting. De dekking vindt vanaf 2031 plaats en wordt vooralsnog bekostigd uit de post PPS-Innovatiemodule. De PPS-Innovatiemodule draagt bij aan publiek-private samenwerkingsprogramma’s onder meer voor de hightech systemen- en materialensector.

Vraag 6

Is al bekend wat de bijdrage zal zijn van private partijen in de genoemde bedragen? Kunt u deze bijdrage uitsplitsen naar talentontwikkeling, woningbouw, mobiliteit en netcongestie?

De private bijdrage is onderdeel van de regionale cofinanciering. In het convenant zijn geen afspraken gemaakt over de hoogte van de private bijdrage als onderdeel van de regionale cofinanciering. Voor wat betreft de opgave voor talentontwikkeling moet de bijdrage door private partijen volgen uit de dialoog die met partijen gevoerd zal worden voor het kunnen opstellen van het Nationaal versterkingsplan van microchip-talent. Zie hiervoor tevens het antwoord bij vraag 9. Voor wat betreft de ruimtelijke schaalsprong (mobiliteit en woningbouw) betrof de private bijdrage tijdens het oorspronkelijke pakket (2022) 1/3 deel van de regionale bijdrage. Het is aan de regio zelf om ook voor het nieuwe pakket hier samen met de private partijen tot overeenstemming te komen. Het convenant regelt geen afspraken over de private bijdrage voor netcongestie.

Vraag 7

Is hierbij uitgegaan van de verdeling van 1/3 van 1/3, zoals dat bij het voorgaande pakket de afspraak was? Waarom wel, of waarom niet?

Zie antwoord vraag 6.

Vraag 8

Deelt de u de mening dat, gezien de winstgevendheid van de chipsector en gezien precedentwerking voor eventueel toekomstige overeenkomsten, een significante bijdrage van de sector zelf een vereiste is?

Ja, het belang voor de chipsector zelf is evident. En dit belang zal ook terugkomen in de afspraken van de nadere uitwerking van het convenant.

Vraag 9

Kunt u de tekst «het zwaartepunt ligt in de regio» met betrekking tot talentontwikkeling nader toelichten? Wat zou de juiste verdeling zijn tussen de Brainport regio en andere regio’s (Twente, Delft, Groningen)?

Het doel van deze investeringen is meer talent voor de halfgeleiderindustrie. In de Brainportregio ligt het zwaartepunt van de halfgeleiderindustrie. Hieruit volgt dat er relatief meer investeringen en activiteiten in de Brainportregio neerslaan en daarom komt het zwaartepunt van de investeringen in de Brainportregio te liggen.
De precieze verdeling van de middelen moet nog worden bepaald en ook hoe dat in de andere regio’s kan neerslaan. Daarvoor geldt dat we zullen kijken naar waar de middelen de meeste impact hebben op de talentvraag van de halfgeleiderindustrie. Ik verwacht uw Kamer in het najaar te informeren over de verdeling van de middelen.

Vraag 10

Overwegende dat reistijden binnen Nederland relatief klein zijn en talent zich makkelijk verspreid over Nederland, deelt u de mening dat wat betreft talentontwikkeling het zwaartepunt niet noodzakelijkerwijs op de Brainport regio zou hoeven te liggen? Wat is de reden om dit wel te doen?

Onderdeel van het maatregelenpakket rond talentontwikkeling is een Nationaal versterkingsplan van microchip-talent gericht op het landelijk versterken van de gehele waaier, van om- en bijscholen en het opleiden van mbo, hbo en wo studenten. De bereidheid om te reizen en de bereidheid om te verhuizen varieert per opleidingsniveau. Praktisch opgeleiden hebben gemiddeld genomen een kleinere actieradius van en naar werk en zijn minder vaak bereid om te verhuizen voor werk en studie dan theoretisch opgeleiden. Voor theoretisch opgeleiden is de bereidheid tot reizen en te verhuizen voor werk en studie hoger.
Hans de Jong, speciaal gezant namens het kabinet, heeft de regio’s Brainport, Twente, Groningen en Delft gevraagd om hiertoe met onderbouwde plannen te komen. Ook is het mogelijk andere regio’s, buiten de genoemde regio’s, die een substantiële bijdrage kunnen leveren aan de opgave te betrekken. Deze partijen dienen zich dan aan te sluiten bij de plannen van één van deze vier genoemde regio’s. De deadline voor indiening is 1 juli 2024, waarna deze nog verwerkt en beoordeeld worden. Vanwege de kabinetswissel op 2 juli 2024 zal dit plaatsvinden na de beëdiging van de nieuwe bewindspersonen.

Vraag 11

Is het mogelijk om concrete en bindende afspraken te maken over de stay-rate van buitenlandse studenten? En indien ja, hoe kan dat het beste?

Buitenlandse studenten kunnen een belangrijke bijdrage leveren aan het helpen oplossen van het tekort aan talent. We kunnen buitenlandse studenten die in Nederland afstuderen niet verplichten om na hun studie in Nederland te gaan werken, maar we kunnen wel afspraken maken met instellingen en bedrijven om de kans dat zij blijven te vergroten. Om internationale studenten na hun studie succesvol te koppelen aan Nederlandse bedrijven is een integrale aanpak nodig van werving, matching, opleiding en begeleiding. Recent Nuffic onderzoek laat zien dat het hierbij ook gaat om het spreken van de taal en een thuis- of welkomstgevoel. Binnen de Wet internationalisering in balans, die op 13 mei jl. aan uw Kamer is aangeboden, wordt de zorgplicht van instellingen om de uitdrukkingsvaardigheid in het Nederlands te bevorderen verruimd zodat deze van toepassing wordt op internationale studenten. Daarbij wil de Minister van OCW samen met de instellingen bestuurlijke afspraken vastleggen hoe zij invulling geven aan deze zorgplicht. Door internationale studenten tijdens de studie de mogelijkheid te bieden te werken aan de taalvaardigheid in het Nederlands, zal het niet spreken van de taal in mindere mate een belemmering vormen om na de studie in Nederland te blijven. In de zelfregieplannen die hogescholen en universiteiten hebben opgesteld ten aanzien van de instroom van internationale studenten, wordt op verzoek van de Minister van OCW ook aandacht besteed aan de taalvaardigheid en aan binding van internationale studenten aan de Nederlandse samenleving en arbeidsmarkt. Zowel hogescholen als universiteiten gaan aan de slag met (regionale) werkgevers om studenten te begeleiden naar banen in Nederland; ze hebben landelijke werkgroepen ingesteld om succesvolle voorbeelden daarvan uit te wisselen.1 Nadere routes naast de Wet internationalisering in balans en mogelijkheden voor de samenwerking tussen de technische onderwijsinstellingen en de bedrijven zal ik uitwerken in het Nationaal versterkingsplan van microchip-talent.

Vraag 12

In de media is verschillende keren een inschatting gemaakt van de extra basis- en middelbare scholen die nodig zijn in de regio. Is daar ook extra investeringsgeld voor opgenomen in deze afspraken?

Als onderdeel van het convenant spreken Rijk en Regio af een verkenning te starten naar de sociaal-maatschappelijke opgaven in de gebiedsontwikkeling waaronder sociale cohesie, faciliteiten als onderwijshuisvesting, zorg, bibliotheken en andere culturele instellingen. De regio verwacht bijvoorbeeld voor onderwijshuisvesting een aanvullende investering te moeten doen van circa 150 miljoen euro. Deze verkenning heeft tot doel om in beeld te krijgen wat deze opgaven zowel fysiek als financieel betekenen en welke fasering mogelijk is. Het streven is om deze verkenning voor het einde van dit jaar (2024) af te ronden.
Bovendien wordt in de Regio Deal «Thuis in Brainport» ingezet op sociaal-maatschappelijke opgaven in de regio. In de aanvraag is te lezen dat uit de praktijk blijkt dat er knelpunten zijn op sociale samenhang, de ontwikkeling van competenties & basisvaardigheden, en leefbaarheid. Voor de Regio Deal «Thuis in Brainport» is vanuit het Rijk een bedrag van 20 miljoen euro gereserveerd. De regio investeert eenzelfde bedrag als cofinanciering. De aanvraag wordt de komende periode verder uitgewerkt door de regio. De regiodeal is geen onderdeel van het convenant.

Vraag 13

Is er tijdens de gesprekken ook gesproken over zorg en culturele voorzieningen? Hoe wordt voorzien in de benodigde groei op deze punten?

Zie antwoord vraag 12.

Vraag 14

Wat wordt onder mobiliteit bedoeld met «afspraken maken over risicoverdeling en omgang met risico’s»? Tussen welke partijen wordt er risico verdeeld en om welke risico gaat het?

Risico’s zijn inherent aan bouwprojecten. Vertrekpunt voor de gemaakte afspraken is dat de bijdragen taakstellend zijn en dat risico’s voor nationale projecten belegd worden bij het Rijk. De risico’s van regionale projecten worden belegd bij de regio. Echter, enkele infrastructuurprojecten hebben betrekking op zowel regionale als nationale netwerken. Voor deze projecten is maatwerk noodzakelijk. Het is in alle gevallen een gezamenlijk belang van Rijk en regio om de scope en taakstellend budget in evenwicht te houden. Daarvoor zullen de risico’s actief gemanaged moeten worden. Over de omgang met risico’s op deze projecten moeten Rijk en Regio nog afspraken maken. De afspraken uit het gezamenlijk ontwikkelde afsprakenkader van de Brainportdeal in 2022 zijn hierin vertrekpunt. De Kamer is hierover geïnformeerd via de MIRT brief van 2022 (Kamerstuk 36 200 A, nr. 9) en de brief over de Bestuurlijke Overleggen Leefomgeving van 2023 (Kamerstuk 34 682, nr. 173).

Vraag 15

Heeft u een beeld hoe de benodigde stikstofdeskundigheid die nodig is voor de infrastructuurprojecten kan worden vrijgemaakt?

Rijkswaterstaat (RWS) onderzoekt hoeveel capaciteit er nodig is voor de Rijksinfrastructuurprojecten uit het convenant, inclusief stikstofdeskundigheid. Voor de regionale projecten uit het convenant doorloopt de regio vergelijkbare stappen. Vervolgens worden afspraken gemaakt over wie deze stikstofdeskundigheid kan leveren (RWS, de regio of een marktpartij). Met die stikstofdeskundigheid kan de stikstofopgave in beeld worden gebracht. Vervolgens moeten maatregelen genomen worden en moeten vergunningen worden verleend. Per stap zal worden gekeken wat mogelijk is en wat dit betekent voor de prioritering van projecten.

Vraag 16

Kunt u meer inzicht geven in de bestemming van de 425 miljoen euro voor woningbouw? Gaat het hier over garanties, financieringen van onrendabele top of bouwdepots zelf? Hoeveel van deze investering verwachten we terug bij verkoop van de woningen?

Van de beschikbare 425 miljoen euro is 180 miljoen euro bestemd voor het treffen van gebiedsmaatregelen in de 2 grootschalige NOVEX-woningbouwlocaties (Knoop XL en HOV-4). Deze gebiedsmaatregelen leveren een bijdrage aan de leefbaarheid van de woningbouwlocaties o.a. door groen- en watermaatregelen. Rijk en regio maken afspraken over de nadere invulling van de gebiedsmaatregelen bij het BO Leefomgeving 2025. Het gaat hierbij om het afdekken van de onrendabele top van publieke maatregelen.
Voor het versnellen van de realisatie van 17.000 (extra) woningen en 2.280 aanvullende studenteneenheden tot en met 2030 is in totaal 245 miljoen euro beschikbaar. Beide partijen werken gezamenlijk uit hoe de beschikbare middelen optimaal kunnen worden ingezet teneinde deze opgave te realiseren. Er is geen sprake van een verplichte «return on investment» bij de verkoop van woningen. Het doel is om te komen tot versnelde realisatie van voldoende betaalbare woningen in de Brainport regio. Hierbij willen we een maximaal doelbereik realiseren met de beschikbare middelen en de publieke en private middelen doelmatig en doeltreffend inzetten voor de woningbouwopgave.

Vraag 17

Welk deel van de grond voor deze woning is in eigendom van de gemeente? Welk deel is daarnaast al beschikbaar en bestemd en welk deel moet nog worden gevonden?

De gronden waar de woningen op gebouwd worden zijn deels in publieke handen (gemeente, corporaties) en deels in private handen. Het is niet mogelijk om specifiek aan te geven welk deel van de grond voor de te bouwen woningen in eigendom is van de gemeente. Door Wet voorkeursrecht Gemeenten (WvG) te vestigen probeert de gemeente de gronden in eigen bezit uit te breiden. Een goed voorbeeld hiervoor is de gebiedsontwikkeling Fellenoord waar sprake is van voornamelijk privaat bezit maar de gemeente met actief grondbeleid haar bezit probeert te vergroten. De gemeente stuurt actief op het realiseren van woningbouw met zowel private als publieke partijen.

Vraag 18

Welk deel van de woningen zullen sociale huur zijn? Welk deel betaalbare huur?

Er zijn geen specifieke afspraken gemaakt in het convenant over het aandeel sociale huur of betaalbare huur van de woningen. Alle woningen worden echter onderdeel van de gemaakte afspraken in de woondeal. Doel van de Woondeal is om toe te werken naar meer balans in de woningvoorraad, met een streven naar 30% sociale huurwoningen in de bestaande voorraad op provinciaal niveau, regionaal niveau en lokaal niveau. Daarbij kunnen provincies rekening houden met specifieke situaties in regio’s waarbij het toegroeien naar 30% evident niet logisch of haalbaar is.

Vraag 19

Hoe verhoudt het woonfonds van private partijen in de regio waaronder ASML zich tot de investering?

Zoals aangegeven werken rijk en regio, waaronder publieke en private partijen, gezamenlijk uit hoe de beschikbare middelen optimaal kunnen worden ingezet teneinde deze opgave te realiseren. Het beoogde woonfonds van private partijen in de regio waaronder ASML is een voorbeeld welke meegenomen wordt in de nadere uitwerking. Het doel van de nadere uitwerking is om de beschikbare middelen zo optimaal mogelijk in te zetten om een maximaal resultaat te realiseren.

Vraag 20

Wat zal het effect zijn van de groei van het eco-systeem op de woningtekorten in andere regio’s, zoals Twente, waar veel toeleveranciers gevestigd zijn die mee moeten groeien?

De verwachting is dat een gebied zoals Twente door deze investeringen ook een economische impuls krijgt, omdat dit naar verwachting ook een effect heeft op de toeleverende keten. Het is echter lastig dit concreet en kwantitatief te maken, omdat de vraag naar woningen uit veel meer factoren bestaat dan enkel economische groei (denk aan leefbaarheid en culturele en/of familiare banden in de regio). Vanuit het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties worden op dit moment gesprekken gevoerd met de regio Twente om samen te gaan werken aan een verstedelijkingsstrategie. Daarin wordt ook het effect van de (groeiende) economie meegenomen om de verstedelijkingsbehoefte te bepalen. Op het BO Leefomgeving wordt naar verwachting een afspraak gemaakt om een gezamenlijke verstedelijkingsstrategie te maken.

Vraag 21

Zijn er afspraken gemaakt over een energie hub op het terrein van ASML? Is de Minister het Minister het met NSC eens dat dit een goede investering zou zijn die ASML zelf kan bijdragen?

In mijn brief van 21 november 20232 heb ik u er over geïnformeerd dat Brainport Development als gebiedsregisseur optreedt, om vanuit een multistakeholder-aanpak te kunnen samenwerken aan concrete casussen van bedrijven in de Brainportregio. Hierin worden netbeheerders, gemeenten en provincie maximaal gevraagd mee te denken in mogelijkheden, op het gebied van bijvoorbeeld contracten en vergunningen. Onderdeel van deze aanpak is ook de verbinding met het Nationaal Stimuleringsprogramma Energiehubs. Ik zie energiehubs als een schakel in een sterker energiesysteem. Hierdoor kunnen bedrijven lokaal samenwerken aan de gezamenlijke energiebehoefte, het verbruik onderling verdelen, opslaan of convergeren. ASML kan ook gebruik maken van deze aanpak.

Vraag 22

Deelt u de mening dat elektriciteitsaansluitingen van (nieuw te bouwen) huizen en publieke voorzieningen in de regio niet in gevaar moeten komen door prioriteitstelling via de MIEK? kunt u garanderen dat in dergelijke afspraken deze doelen voorrang hebben boven groei van het bedrijfsleven?

Het Meerjarenprogramma Infrastructuur Energie & Klimaat (MIEK) is gericht op tijdige realisatie van energie-infrastructuurprojecten die van groot maatschappelijk belang zijn voor de gebouwde omgeving, mobiliteit, landbouw en industrie én voor de opwek van duurzame energie. MIEK-projecten zijn hiermee gericht op brede ontwikkelingen in een bepaald gebied (waaronder mogelijk woningbouw) en zijn niet gericht op specifieke klantaansluitingen. MIEK-projecten kunnen het hiermee juist ook mogelijk maken dat huizen en publieke voorzieningen tijdig kunnen worden aangesloten, voor zover deze ontwikkelingen zijn opgenomen in een MIEK-project.
Naast bovenstaande prioritering van de uitbreidingsinvesteringen is er ook het prioriteringskader voor individuele aansluitingen. Dit kader is opgesteld door de toezichthouder Autoriteit Consument en Markt (ACM) en is op 18 april jl. gepubliceerd. Het is de exclusieve bevoegdheid van de toezichthouder om regels op te stellen voor het aansluiten van individuele partijen. Het kader van de ACM heeft als doel voorrang te geven aan individuele aansluitingen van hoog maatschappelijk belang. Het kader geeft voorrang aan congestieverzachters en aan veiligheidsfuncties en basisbehoeften zoals politie, ziekenhuizen en scholen. Het bedrijfsleven is geen specifieke categorie. Door voorrang te krijgen in de wachtrij kunnen deze partijen als eerste worden aangesloten zodra er ruimte op het net vrij komt door congestiemanagement of uitbreiding van het net. Hiermee wordt een uitzondering mogelijk gemaakt op het principe van «wie-het-eerst-komt-wie-het-eerst-maalt».

Vraag 23

Kunt u meer kwantitatieve duidelijkheid geven over de afspraken die zijn gemaakt over de middelen uit het klimaatfonds?

Op 16 april jl. is de Voorjaarsnota 2024 aan de Kamer aangeboden, waarin ook de Klimaatbesluitvorming voor 2025 en verder zijn beslag heeft gekregen.3 Voor maatregelen ter verbetering van de benutting van elektriciteitsnetten, waaronder de financiering van de opstartfase van energyhubs, is tijdens de Voorjaarsbesluitvorming Klimaat 2023 binnen het perceel Energie-infrastructuur 166 miljoen euro vrijgemaakt voor de periode 2024–2030.4 Over de implementatie van de maatregel en de beschikbaarstelling van de middelen aan partijen worden momenteel nog afspraken gemaakt.

Vraag 24

Kunt u deze vragen beantwoorden minimaal een week voor het door lid Sneller aangevraagde plenaire debat over het vestigingsklimaat van Nederland?

Er is nog geen datum bekend voor het aangevraagde plenaire debat over het vestigingsklimaat van Nederland.

Vraag 1

Bent u ervan op de hoogte dat Atos al jarenlang financiële problemen ervaart? Heeft u deze berichten meegenomen in de risicoanalyses in de derde voortgangsrapportage Grensverleggende IT (GrIT)?1

Defensie monitort de ontwikkelingen bij Atos nauwlettend, dit gebeurt onder de coördinatie van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Samen met de hoofdaannemer van het consortium Athena, Kyndryl, worden maatregelen voorbereid voor het geval Atos wegvalt. In de derde voortgangsrapportage bent u aan de hand van de op dat moment actuele informatie geïnformeerd over de situatie rondom Atos. In de vertrouwelijke bijlage van de vierde voortgangsrapportage (Kamerstuk 35 728, nr. 14) heb ik u op basis van de op dat moment beschikbare informatie geïnformeerd over de situatie rondom Atos.

Vraag 2

De, nu openbaar bekende, grote financiële problemen (waar ook naar is gevraagd tijdens de technische briefing GrIT op 7 maart jl.) betekent voor Atos dat ze moeten overleggen met banken over hoe om te gaan met een miljardenschuld; kunt u aangeven in hoeverre dit invloed heeft op het project GrIT?

Atos is een onderaannemer van het consortium. Kyndryl is de hoofdaannemer en daarmee verantwoordelijk voor de continuïteit van de dienstverlening van het consortium. Defensie bereidt samen met Kyndryl maatregelen voor om adequaat te kunnen reageren op de ontwikkelingen bij Atos. Deze voorbereidingen zijn in een vergevorderd stadium. Doordat deze voorbereidingen tijdig worden getroffen is het op dit moment niet nodig om de doelen van het programma GrIT te wijzigen.
Vanwege de commerciële vertrouwelijkheid kan ik op dit moment niet verder ingaan op de situatie rondom Atos of de maatregelen die worden voorbereid.

Vraag 3

Kunt u de mogelijke risico's meenemen in de vierde voortgangsrapportage GrIT?

De situatie rondom Atos en de risico’s voor het programma zijn behandeld in de vierde voortgangsrapportage dan wel de vertrouwelijke bijlage. De situatie rondom Atos wordt nauwgezet gevolgd door Defensie zodat er tijdig kan worden ingespeeld op relevante ontwikkelingen. In de komende voortgangsrapportages zal aandacht blijven voor de samenwerking met het consortium in het algemeen en de situatie rondom Atos in het bijzonder.

Vraag 4

In hoeverre beïnvloeden de financiële problemen bij Atos de kerndoelen van het GrIT-project en zijn er risico's groter geworden waardoor doelverschuiving noodzakelijk is?

Zie antwoord vraag 2.

Vraag 5

Wat zijn de mogelijke richtingen waarin het project GrIT zou moeten gaan om in deze gewijzigde situatie succesvol afgerond te kunnen worden?

Met de herijking van het programma worden maatregelen genomen zodat er snel resultaten behaald kunnen worden (Kamerstuk 35 728, nr. 13). Daarnaast bereidt Defensie, samen met de hoofdaannemer Kyndryl, maatregelen voor om adequaat te reageren op de situatie rondom Atos.

Vraag 6

Kunt u de vragen beantwoorden voorafgaand aan het publiceren van de vierde voortgangsrapportage GrIT?

In het kader van de zorgvuldige beantwoording van de gestelde vragen heb ik deze niet beantwoord voor het publiceren van de vierde voortgangsrapportage GrIT op 2 april.

Vraag 1

Bent u bekend met het bericht «Seven Hackers Associated with Chinese Government Charged with Computer Intrusions Targeting Perceived Critics of China and U.S. Businesses and Politicians»?1

Ja.

Vraag 2

Wat is uw reactie op de aantijgingen van de Verenigde Staten (VS) en het Verenigd Koninkrijk (VK) tegen deze zeven hackers, die volgens hen in opdracht van de Chinese Staat cyberaanvallen uitvoerden tegen journalisten, politici, activisten en bedrijven?

De verklaringen van de VS en het VK passen in het algemene beeld van de cyberdreiging die uitgaat van China, dat al langer wordt geschetst door de AIVD, de MIVD en de NCTV.2 Na publicatie van de Britse verklaring op 28 februari jl. heeft Nederland, zowel nationaal als via de Europese Unie (EU), solidariteit uitgesproken met het VK. De verklaringen van de VS en het VK onderstrepen de noodzaak om de groeiende cyberdreiging, samen met de EU, VS, VK en andere partners, strategischer en proactiever tegen te gaan, zoals ook beschreven in de Internationale Cyberstrategie 2023–2028.3

Vraag 3

Deelt u de grote zorgen over de gevolgen van mogelijke Chinese cyberaanvallen?

Wij delen de zorgen over de gevolgen van Chinese cyberaanvallen. Die zorgen zijn overgebracht door de Minister-President en de Minister voor Buitenlandse Handel en Ontwikkelingssamenwerking aan de Chinese autoriteiten tijdens hun gezamenlijke bezoek aan Beijing op 26 en 27 maart jl. Daarbij is specifiek verwezen naar de recente attributie door het kabinet van een Chinese cyberaanval op het Ministerie van Defensie.

Vraag 4

Is de hackgroep Advanced Persistent Threat Group 31 (APT31) bekend bij de Nederlandse inlichtingen-en veiligheidsdiensten? Wat kunt u delen over de werkwijze van deze groep en de dreiging daarvan voor Nederland?

Er wordt in het openbaar niet ingegaan op de werkwijze en het kennisniveau van de inlichtingen- en veiligheidsdiensten.
Zoals vermeld in het Cyber Security Beeld Nederland 2022, heeft de Chinese digitale spionage actor APT31 op grote schaal en langdurig politieke doelwitten in Europa en Noord-Amerika aangevallen. Ook in Nederland waren er doelwitten van aanvallen en verkenningsactiviteiten door deze actor.4 De interesse vanuit statelijke actoren in deze doelwitten illustreert het belang van goede beveiligingsmaatregelen en netwerkdetectiemogelijkheden voor Nederlandse overheidsnetwerken om aanvallen te detecteren, af te slaan en nader onderzoek te verrichten.

Vraag 5

Kunt u bevestigen dat deze groep wordt aangestuurd door het Chinese Ministerie van Staatsveiligheid?

Zie antwoord vraag 4.

Vraag 6

Kunt u bevestigen dat deze groep gerichte aanvallen uitvoert op journalisten, politici (o.a. van de Inter-Parliamentary Alliance on China), activisten en bedrijven? Zo ja, hoe lang gebeurt dat al?

Zie antwoord vraag 4.

Vraag 7

Klopt het voor zover bij u bekend dat APT31 zich ook richtte op Nederlandse Kamerleden? Zo ja, sinds wanneer en welke zijn dit?

Zie antwoord vraag 4.

Vraag 8

In hoeverre kan er via deze hackaanvallen staatsgeheime informatie zijn verkregen? Kunt u daarbij specifiek ingaan op informatie die eventueel van/via Nederlandse politici is verkregen?

Zie antwoord vraag 4.

Vraag 9

Bent u tevens bekend met het bericht «New Zealand accuses China of hacking parliament, condemns activity»?2

Ja.

Vraag 10

Is de hackgroep ATP40 bekend bij de Nederlandse inlichtingen- en veiligheidsdiensten? Wat kunt u delen over de werkwijze van deze groep en de gevolgen daarvan?

Zie beantwoording vraag 4 t/m 8.

Vraag 1

Vindt u het acceptabel dat Nederland achterloopt met het implementeren van de Uitvoeringswet digitaledienstenverordening, gezien de noodzaak voor het reguleren van verslavende en polariserende online diensten?

Uiteraard is het spijtig dat het wetsvoorstel voor de Uitvoeringswet digitaledienstenverordening op 17 februari jl. nog niet tot wet verheven en in werking getreden was. Er wordt al sinds de totstandkoming van de digitaledienstenverordening (in het Engels: de Digital Services Act, hierna «DSA») aan het ontwerpwetsvoorstel voor de uitvoeringswet gewerkt. De DSA heeft een complex karakter en een breed toepassingsbereik en heeft gevolgen voor bestaande wetgeving, onder meer het Burgerlijk Wetboek, het Wetboek van Strafvordering en de Algemene wet bestuursrecht. Het zorgvuldig opstellen van het wetsvoorstel en bijbehorende memorie van toelichting in afstemming met alle betrokken partijen en het doorlopen van alle stappen van het wetgevingsproces, waaronder verplichte raadplegingen en toetsen1, hebben ervoor gezorgd dat het niet mogelijk was om de uitvoeringswetgeving binnen de termijn die de DSA voorschrijft (15 maanden) tot stand te doen komen.
In dit verband zij opgemerkt dat een uitvoeringstermijn van 15 maanden erg kort is als de uitvoering op het niveau van een formele wet dient plaats te vinden, zoals bij de DSA het geval is. Niet voor niets heeft de Nederlandse regering tijdens de onderhandelingen gepleit voor een langere uitvoeringstermijn van ten minste 18, maar liever 24 maanden. Ook in 10 andere lidstaten is tijdige uitvoering niet gelukt (zie verder antwoord op vraag 12).
Dat neemt niet weg dat we uiteraard de urgentie voelen om de bevoegde autoriteiten in Nederland aan te wijzen en van de benodigde bevoegdheden te voorzien. Om die reden heeft de Minister van Economische Zaken en Klimaat op 11 februari jl., vooruitlopend op de verdere totstandkoming en inwerkingtreding van de Uitvoeringswet digitaledienstenverordening een ministerieel aanwijzingsbesluit genomen waarin de Autoriteit Consument & Markt («ACM») voorlopig wordt aangewezen als bevoegde autoriteit en digitaledienstencoördinator.2 Dit besluit stelt de ACM in staat om een aantal handelingen ter uitvoering van de DSA alvast te verrichten. Inmiddels is het advies van de Afdeling advisering van de Raad van State van 7 februari jl. verwerkt. Het ontwerpvoorstel voor de uitvoeringswet is gereed en wordt op korte termijn voorgelegd aan de ministerraad. Naar verwachting wordt het wetsvoorstel daardoor binnenkort bij uw Kamer ingediend.
We hechten er verder aan te benadrukken dat het niet zo is dat online (tussenhandel)diensten op dit moment niet gereguleerd zijn. De DSA is sinds 17 februari jl. volledig van toepassing. Tussenhandeldiensten moeten dus aan de daarin neergelegde regels voldoen en gebruikers kunnen hun rechten onder de DSA inroepen. Bovendien moeten aangewezen «zeer grote online platforms» en «zeer grote online zoekmachines» al sinds 25 augustus 2023 volledig aan de regels uit de DSA voldoen. Laatstgenoemde diensten vallen primair onder het toezicht van de Europese Commissie, die deze taak serieus neemt en voortvarend oppakt.3

Vraag 2

Ziet u met oog op de aankomende Europese verkiezingen de noodzaak voor het snel implementeren van de Uitvoeringswet om desinformatie zo goed mogelijk te kunnen bestrijden en de toegang tot betrouwbare informatie juist te versterken?

We zien sowieso de noodzaak om zo snel mogelijk goed en volledig uitvoering te geven aan de DSA. Het streven en de verwachting is dat het voorstel voor de uitvoeringswet op korte termijn kan worden aangeboden aan uw Kamer.
Voor wat betreft de bestrijding van desinformatie in relatie tot het Europese verkiezingsproces wordt opgemerkt dat de aanpak hiervan valt onder de DSA-regels gericht op het identificeren en beperken van systeemrisico’s door zogenaamde «zeer grote online platforms» en «zeer grote online zoekmachines», waarvan er thans 22 zijn aangewezen.4 Desinformatie kan zo’n systeemrisico vormen. Deze verplichtingen gelden uitsluitend voor de aangewezen zeer grote online platforms- en zoekmachines. Op grond van artikel 56, tweede lid, van de DSA houdt de Europese Commissie exclusief toezicht op de naleving van deze regels. Dat doet zij al sinds 25 augustus 2023. De lidstaten – en dus de op nationaal niveau aangewezen/aan te wijzen bevoegde autoriteiten – hebben geen bevoegdheid tot toezicht en handhaving ten aanzien van deze verplichtingen. Dat de nationale uitvoeringswet nog niet in werking is getreden heeft daarop geen invloed.
Waar het gaat om maatregelen voor het tegengaan van desinformatie en de toegang tot betrouwbare informatie zullen bij de Europese verkiezingen dezelfde maatregelen worden genomen als bij de Tweede Kamerverkiezingen van afgelopen november. Zie hierover de brief van de Minister van BZK over de weerbaarheid van het verkiezingsproces5.

Vraag 3

Heeft u zonder deze Uitvoeringswet voldoende gereedschap om online platforms te dwingen tot actie als er willens en wetens desinformatie en nepnieuws wordt gedeeld op hun kanalen? Welke bevoegdheden vanuit de digitaledienstenverordening zouden u hierbij helpen?

Zoals toegelicht in het antwoord op vraag 2, valt de aanpak van desinformatie (zoals nepnieuws) onder het bereik van de regels gericht op het voorkomen van systeemrisico’s door zeer grote online platforms en zeer grote online zoekmachines (artikelen 34 en 35 van de DSA). De Europese Commissie is exclusief bevoegd voor het toezicht op en de handhaving van de verplichtingen die uitsluitend gelden ten aanzien van aanbieders van zeer grote online platforms en zeer grote online zoekmachines, waaronder de verplichtingen ten aanzien van systeemrisico’s.
De eerste 19 aangewezen zeer grote online platforms – zoals Facebook, Instagram, TikTok, X en YouTube – moeten sinds 25 augustus 2023 al aan de DSA voldoen. Sindsdien kan het strijd met de verordening opleveren als zij niet-optreden tegen desinformatie die een systeemrisico vormt. De Commissie kan daarop handhaven. Daar is de Nederlandse uitvoeringswet niet voor nodig.

Vraag 4

Bent u het met de indieners eens dat het een zwaktebod is dat het Nederland niet is gelukt om de digitaledienstenverordening op tijd als nationale wet in te voeren, ondanks de regelmaat waarmee het kabinet verwijst naar deze verordening als voorbeeld van effectieve en noodzakelijke regulering van online diensten?

Het is spijtig dat de uitvoeringswet op 17 februari jl. nog niet tot wet verheven en in werking getreden was en de toezichthouders nog niet bevoegd zijn om toezicht te houden en te handhaven. Zoals toegelicht in het antwoord op vraag 1, was de uitvoeringstermijn echter te kort voor een zorgvuldig wetgevingsproces.
Dat de uitvoeringswet er nog niet is, betekent overigens niet dat online tussenhandeldiensten nu niet gereguleerd zijn. Vanaf 17 februari jl. moeten online diensten die onder de DSA vallen volledig aan de verplichtingen uit de verordening voldoen. De ACM en de Autoriteit persoonsgegevens (AP) kunnen, zodra de Uitvoeringswet er is, zo nodig met terugwerkende kracht optreden tegen aanbieders van tussenhandeldiensten die in Nederland gevestigd zijn of hier hun wettelijke vertegenwoordiger hebben aangewezen.
Ook wordt er opgemerkt dat een goede uitvoering van een verordening zoals de DSA meer behelst dan enkel het tot stand brengen van de uitvoeringswet. Zo wordt er sinds de adoptie van de DSA met onder meer de ACM en AP als beoogd toezichthouders samengewerkt, bijvoorbeeld om informatie over de DSA onder de aandacht te brengen van de bedrijven die er straks aan moeten voldoen en van de gebruikers en belanghebbenden die door de DSA nieuwe rechten krijgen. De ACM is bijvoorbeeld in contact gebracht met partijen die geïnteresseerd zijn in het verwerven van de status van «trusted flagger» of «erkend onderzoeker». Verder heeft de Minister van Economische Zaken en Klimaat in 2023 reeds middelen voor beide toezichthouders beschikbaar gesteld zodat zij zich kunnen voorbereiden op het moment dat de DSA volledig van toepassing wordt en zij toezicht kunnen gaan houden. Ook voor 2024 en verder zijn er inmiddels (structurele) middelen beschikbaar gesteld aan de toezichthouders. Verder heeft de Minister van Economische Zaken en Klimaat, vooruitlopend op de uitvoeringswet, het Besluit voorlopige aanwijzing ACM als bevoegde autoriteit en digitaledienstencoördinator digitaledienstenverordening genomen (zie het antwoord op vraag 1).

Vraag 5

Deelt u de mening dat het herhaaldelijk missen van deadlines voor de invoering van digitale wetgeving de rol van Nederland als koploper binnen Europa verzwakt?

Uiteraard streeft het kabinet ernaar om uitvoeringstermijnen te halen. In de praktijk blijken de termijnen die hiervoor worden gegeven in Europese regelgeving echter vaak te krap om nationaal de vereiste formele wet tot stand te brengen.
De uitvoering van wetgeving behelst, zoals in het antwoord op vraag 4 toegelicht, meer dan enkel het zorgvuldig tot stand brengen van uitvoeringswetgeving. Daar is veel op bereikt. Daarom denken we dat de beperkte vertraging die Nederland in dit geval oploopt geen substantieel negatief effect heeft op het vertrouwen in Nederland als onderdeel van de kopgroep in digitalisering.

Vraag 6

Kunt u toelichten wat de gevolgen zijn van het niet tijdig invoeren van de wet? Kunt u ook uitleggen waarom het niet is gelukt om de Uitvoeringswet vóór de formele inwerkstelling op 17 februari 2024 nationaal in te voeren?

Dat de Uitvoeringswet nog niet tot wet verheven is, betekent dat de ACM en de AP als beoogd toezichthouders op dit moment nog geen toezichtsbevoegdheden kunnen inzetten of handhavend kunnen optreden tegen overtredingen van de DSA door diensten die onder hun bevoegdheid vallen. De redenen voor het niet tijdig invoeren van de wet zijn beschreven in de antwoorden op vragen 1, 4, en 5. Zoals toegelicht bij het antwoord op vraag 9, kan de ACM op basis van het aanwijzingsbesluit bepaalde onderdelen van de verordening wel al uitvoeren.

Vraag 7

Wanneer verwacht u dat de invoeringswet wél is geïmplementeerd? Welke deadlines volgen er nog voor het invoeren van de digitaledienstenverordening en wat zijn de gevolgen als we deze missen?

Op 7 februari jl. heeft de Raad van State advies uitgebracht over het ontwerpwetsvoorstel. Dat advies is inmiddels verwerkt en het wetsvoorstel zal na akkoord van de ministerraad bij uw Kamer worden ingediend. Naar verwachting wordt het wetsvoorstel medio/eind maart 2024 aan uw Kamer aangeboden. De uiteindelijke datum van inwerkingtreding is afhankelijk van de behandeling door uw Kamer en de Eerste Kamer.
Er volgen verder geen deadlines meer. De DSA is sinds 17 februari jl. volledig van toepassing.

Vraag 8

Bent u gezien het verstrijken van de deadline in staat om het zeer recente advies van de Raad van State (14 februari 2024) op fatsoenlijke manier te verwerken en tevens genoeg tijd aan de Kamer te laten om de wet goed te controleren en zo nodig te amenderen?1

Ja. Het advies van de Raad van State is inmiddels verwerkt en het wetsvoorstel wordt op korte termijn bij uw Kamer ingediend. Het is daarna vanzelfsprekend aan uw Kamer, in haar rol als medewetgever, om te bepalen op welke wijze zij het wetsvoorstel wenst te behandelen. In dit verband hechten we er aan om op te merken dat het wetsvoorstel zich beperkt tot datgene wat noodzakelijk is voor de uitvoering van de DSA in Nederland. Daarbij gaat het om de aanwijzing van bevoegde autoriteiten en de digitaledienstencoördinator, het stellen van regels met betrekking tot hun bevoegdheden en samenwerking en de benodigde wijzigingen van andere wetten. Het wetsvoorstel zelf bevat geen nadere regels waar aanbieders van tussenhandeldiensten zich aan moeten houden. Dat zou ook niet mogelijk zijn omdat de DSA een verordening is, die rechtstreeks werkt en voorziet in maximumharmonisatie.

Vraag 9

Welke bevoegdheid heeft de Autoriteit Consument en Markt (ACM) precies om toezicht te houden op de digitaledienstenverordening, nu hun taak niet wettelijk is vastgelegd en zij slechts «beoogd toezichthouder» is?

Bij het Besluit voorlopige aanwijzing ACM als bevoegde autoriteit en digitaledienstencoördinator digitaledienstenverordening is de ACM, vooruitlopend op de verdere totstandkoming van voornoemde uitvoeringswet, aangewezen als bevoegde autoriteit en als digitaledienstencoördinator. De aanwijzing stelt de ACM in staat bepaalde onderdelen van de verordening die het karakter hebben van uitvoeringshandelingen alvast uit te voeren. Een voorbeeld is het ontvangen van contactgegevens van in Nederland gevestigde wettelijke vertegenwoordigers van buiten de Unie gevestigde aanbieders van tussenhandeldiensten (artikel 13, vierde lid, DSA). De ACM zal door de aanwijzing tevens fungeren als aanspreekpunt voor de digitaledienstencoördinatoren van andere lidstaten en de Europese Commissie in het kader van de wederzijdse bijstand (artikel 57 DSA) en in die hoedanigheid informatie kunnen uitwisselen die nodig is voor een goede uitvoering van de verordening. Daarnaast zal de ACM deel uitmaken van de digitaledienstenraad – de onafhankelijke adviesgroep van digitaledienstencoördinatoren – en kunnen deelnemen aan de besluitvorming daarin.
De ACM kan op basis van het besluit nog geen uitvoeringstaken uitvoeren die de uitoefening van openbaar gezag behelzen. Dit betekent dat de ACM nog geen toezichtsbevoegdheden kan inzetten of handhavend op kan treden. Ook is zij nog niet bevoegd om besluiten met rechtsgevolgen te nemen, zoals het certificeren van buitengerechtelijke geschilbeslechtingsorganen of het toekennen van de status van «betrouwbare flagger» of «erkende onderzoeker». Die taken kan de ACM pas uitvoeren op het moment dat de uitvoeringswet in werking is getreden.
Zoals toegelicht in het antwoord op vraag 4, beschikt de ACM wel al over financiële middelen waarmee zij al volop voorbereidingen treft om bovenstaande taken wel uit te kunnen voeren als de uitvoeringswet eenmaal tot wet verheven is. Zo heeft de ACM onder meer een meldingenloket ingericht en een leidraad opgesteld over de DSA.7
De reden dat tot dusver steeds is gesproken over «beoogd» toezichthouders, heeft te maken met het feit dat het ontwerpwetsvoorstel nog niet is aangenomen door de Tweede en Eerste Kamer. Pas als dat het geval is, is hun aanwijzing definitief.

Vraag 10

Is de ACM in staat om te handelen volgens haar conceptleidraad zonder implementatie van de Uitvoeringswet?2 Zijn de verplichtingen in deze leidraad afdwingbaar als online platforms deze niet naleven?

De verplichtingen vloeien rechtstreeks voort uit de verordening en tussenhandeldiensten moeten daar sinds 17 februari jl. volledig aan voldoen. Gebruikers kunnen de rechten die zij op grond van de DSA hebben jegens online diensten inroepen. De DSA is dus wel degelijk afdwingbaar. Zoals toegelicht in het antwoord op vraag 9, kan de ACM op dit moment echter nog niet handhavend optreden. De leidraad gaat in op de zorgvuldigheidsverplichtingen voor tussenhandeldiensten die zijn neergelegd in de DSA en hoe de ACM die interpreteert. Zij vormt een hulpbron voor tussenhandeldiensten die uitvoering moeten geven aan de verplichtingen uit de DSA.

Vraag 11

Hoe vaak heeft u contact met de ACM om vast te leggen wat precies haar bevoegdheden zijn? Is de Uitvoeringswet hiervoor noodzakelijk?

De ACM is intensief betrokken bij de totstandkoming van het ontwerpwetsvoorstel. Ook heeft zij een Uitvoerbaarheids- en handhaafbaarheidstoets verricht op het ontwerpwetsvoorstel.
De uitvoeringswet is noodzakelijk om de ACM als beoogd toezichthouder te voorzien van de bevoegdheden die zij op grond van (artikel 50 van) de DSA moet hebben.

Vraag 12

Zijn er andere landen die de wet niet tijdig hebben ingevoerd? Welke landen zijn dit?

Ja. De Europese Commissie houdt een website bij met daarop een overzicht van de aangewezen digitaledienstencoördinatoren.9 Uit dit overzicht blijkt dat België, Estland, Frankrijk, Duitsland, Griekenland, Letland, Litouwen, Malta, Polen, Slowakije, überhaupt nog geen digitaledienstencoördinator hebben aangewezen. Een aantal landen heeft, net als Nederland, (voorlopig) een digitaledienstencoördinator aangewezen, vooruitlopend op uitvoeringswetgeving die nog niet is aangenomen. Voor hoeveel landen dit geldt is niet bekend.

Vraag 13

Kunt u een overzicht geven van de wetten die betrekking hebben op digitale zaken, die momenteel niet zijn ingevoerd ondanks de verstreken deadline? Wat zijn de financiële gevolgen geweest voor het missen van de deadlines?

Verordening
Deadline1
Stand van zaken
Gevolgen2
Platform to Business Verordening (P2B) – 2019/1150/EU
Geen, verordening is sinds juli 2020 van toepassing.
Wetsvoorstel om ACM als toezichthouder aan te wijzen is in december 2022 aangeboden aan uw Kamer.3
De verordening verplicht lidstaten om te voorzien in een adequate en doeltreffende handhaving van de verordening, maar schrijft niet voor hoe dat vormgegeven moet worden. Sinds de inwerkingtreding vindt in Nederland privaatrechtelijke handhaving van de P2B door de rechter plaats. Nadien is ervoor gekozen om ook de ACM te belasten met de handhaving van de P2B-verordening. Hiertoe is een wetsvoorstel bij uw Kamer ingediend. De ACM heeft zich al voorbereid op haar toekomstige taak, onder andere door het opstellen van een leidraad waarmee zij de regels uit de verordening verder verduidelijkt. Zolang het wetsvoorstel niet is aangenomen en in werking treedt, kan de ACM niet handhavend optreden. De Europese Commissie is van oordeel dat Nederland had moeten voorzien in specifieke nationale uitvoeringsbepalingen ter handhaving van de verordening en heeft Nederland daarom in gebreke gesteld. Het wetsvoorstel neemt de bezwaren van de Commissie weg.
Data Governance Verordening (DGA) – 2022/868/EU
24 september 2023
Het voorstel uitvoeringswet DGA is in oktober 2023 aangeboden aan uw Kamer.4 De nota n.a.v. het verslag wordt op korte termijn aan uw Kamer verstuurd.
Als onderdeel van de DGA geldt een registratieverplichting voor databemiddelingsdiensten, data-altruïstische organisaties kunnen zich vrijwillig registreren. Daarnaast kunnen zij een EU-label aanvragen om het vertrouwen in hun dienst te vergroten. Zo wordt voor iedereen zichtbaar welke partijen betrouwbaar met data omgaan. Een registratie of een EU-label aanvraag is pas mogelijk vanaf het moment dat de ACM met de inwerkingtreding van de uitvoeringswet formeel wordt aangewezen als toezichthouder. Aanbieders kunnen vanaf nu wel al een pre-notificatie van registratie en EU-label indienen bij de ACM. Dit zorgt ervoor dat het registratieproces efficiënt doorlopen kan worden zodra de ACM formeel is aangewezen als toezichthouder. Ook is er nog geen bevoegd orgaan aangewezen om overheidsorganisaties bij te staan in het kader van het tweede hoofdstuk van de verordening. Daarnaast kan de ACM nog niet formeel als toezichthouder deelnemen aan het Europees Comité voor Gegevensinnovatie.
Digitale Markten Verordening (DMA) – 2022/1925/EU
Geen.
Het voorstel uitvoeringswet DMA is in januari 2024 aan uw Kamer aangeboden.5
De Commissie is als enige bevoegd tot handhaving van de DMA. Voor lidstaten is er geen verplichting om nationale toezichthouders aanvullende onderzoeksbevoegdheden te geven, maar de verordening biedt wel die mogelijkheid. In het wetsvoorstel wordt voorgesteld om de ACM deze aanvullende onderzoeksbevoegdheden te geven.
Digitale Diensten Verordening (DSA) – 2022/2065/EU
17 februari 2024
Het voorstel uitvoeringswet wordt binnen enkele weken aangeboden aan uw Kamer.
Zie het antwoord op vraag 6.
Die de verordening stelt voor de uitvoeringswetgeving.
Er zijn vooralsnog geen financiele gevolgen voorzien.
Kamerstuk 36285.
Kamerstuk 36451.
Kamerstuk 36495.

Vraag 14

Hoe gaat u ervoor zorgen dat digitale wetgeving voortaan tijdig en degelijk wordt ingevoerd, zodat de Kamer deze ook grondig kan behandelen en tijd heeft om deze nog te amenderen?

Vanzelfsprekend streeft het kabinet altijd naar tijdige implementatie of uitvoering van Europese (digitale) wetgeving. Dat lukt echter alleen met een realistische implementatie- of uitvoeringstermijn die ruimte laat voor de vereiste nationale afstemming en wetgevingsprocedures van alle lidstaten. Daar maakt het kabinet zich hard voor tijdens het Europese wetgevingsproces en dat zal zij ook in de toekomst blijven doen. Die pogingen zijn soms succesvol en soms niet.
Dat één of meerdere implementatie/uitvoeringswetten op of na de betreffende termijn bij de Kamer worden ingediend, doet overigens niet af aan de rol en bevoegdheden van de Kamer als medewetgever.

Vraag 15

Bent u het met de indieners eens dat het niet op tijd voorleggen van wetgeving de controlerende en medewetgevende taak van de Kamer verslechtert?

Het aan de Kamer voorleggen van wetsvoorstellen na het verstrijken van de uitvoerings- of implementatietermijn neemt naar de mening van het kabinet niet weg dat de Kamer haar controlerende en medewetgevende taak voldoende kan verrichten. Ten overvloede zij opgemerkt dat de Kamer ook tijdens de onderhandelingen over de DSA is geïnformeerd.

Vraag 16

Deelt u de mening dat regulering van het digitale domein noodzakelijk is en we hier in het verleden te veel steken hebben laten vallen?

Regulering van het digitale domein is inderdaad wenselijk en het kabinet heeft zich daarom ook proactief opgesteld bij de totstandkoming van diverse wetgeving in het digitale domein op Europees niveau.

Vraag 17

Kunt u deze vragen zo spoedig mogelijk en apart van elkaar beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht van Stichting Internet Domeinregistratie Nederland (SIDN) dat zij van plan is om in de komende twee jaar haar volledige ICT-omgeving, waarbinnen het.nl-domein beheerd wordt, over te dragen aan Amazon Web Services (AWS)?1

Ja, ik heb hier kennis van genomen.

Vraag 2

Heeft u contact gehad met het SIDN over dit besluit? Zo ja, welk standpunt heeft u richting de organisatie uitgedragen?

Het Ministerie van Economische Zaken en Klimaat (EZK) is door Stichting Internet Domeinregistratie Nederland (SIDN) niet schriftelijk geïnformeerd over of geraadpleegd bij de besluitvorming. Het onderzoek heeft SIDN in het najaar van 2023 kort ter sprake gebracht in een breder overleg tussen SIDN en EZK. SIDN heeft toen aangegeven dat zij toekomstige (cloud)oplossingen voor haar domeinregistratiedienst heeft onderzocht. Op basis van dit onderzoek heeft SIDN een voorkeur voor Amazon Web Services (AWS). SIDN gaf aan dit een lastige keuze te vinden, maar alles overwegende op deze voorkeur uit te komen. Na deze mondelinge toelichting is mijn ministerie niet nader geïnformeerd door SIDN.
Na de plaatsing van het bericht eind januari hebben EZK en SIDN frequent contact gehad, zowel op ambtelijk als politiek niveau. Zo heb ik zelf, samen met de Staatssecretaris Koninkrijksrelaties en Digitalisering, een gesprek gevoerd met de bestuurders van SIDN, waarin ik mijn zorgen geuit heb over dit voorgenomen besluit en het gebrek aan draagvlak onder de stakeholders. Ik heb SIDN daarbij gewezen op het convenant2 tussen SIDN en EZK, waarin mijn ministerie afspraken heeft gemaakt met SIDN over borging van de continuïteit van de dienstverlening, de binding met Nederland en het belang van goede betrokkenheid van de stakeholders van SIDN.
Op basis van de gesprekken met en informatie van SIDN constateer ik dat van een daadwerkelijke verhuizing nog geen sprake is, maar dat SIDN toewerkt naar een situatie waarin deze verhuizing in 2025 mogelijk is. Afgesproken is dat SIDN op dit moment geen onomkeerbare stappen zal zetten. De verhuizing is dus nog geen voldongen feit. Vanuit die context heb ik SIDN gevraagd om haar belanghebbenden uit de internetgemeenschap, waaronder de Rijksoverheid, veel nauwer te betrekken in de overwegingen die achter dit voorgenomen besluit liggen en inzage te geven waarom er naar het oordeel van SIDN binnen Nederland of de EU geen vergelijkbare alternatieven beschikbaar zijn. Dit alles maakt dat ik op dit moment nog geen definitief standpunt kan innemen over de voorgenomen verhuizing. Ik zal in Q2 de Tweede Kamer nader informeren als diverse onderzoeken en nadere gesprekken over deze casus hebben plaatsgevonden.
Voorts heb ik SIDN gewezen op het feit dat de activiteiten van SIDN onder diverse wetten en regels vallen, waaronder de Wet beveiliging netwerk- en informatiesystemen (Wbni) en de Algemene Verordening Gegevensbescherming (AVG). Op basis van de Wbni zal Rijksinspectie Digitale Infrastructuur (RDI) als toezichthouder beoordelen of de verhuizing risico’s oplevert voor de veiligheid, integriteit en continuïteit van het .nl domein, en in hoeverre deze risico’s door SIDN (kunnen) worden gemitigeerd door bestaande of aanvullende maatregelen.
Op grond van de AVG geldt dat SIDN een Data Protection Impact Assessment (DPIA) en Data Transfer Impact Assessment (DTIA) moet laten uitvoeren voorafgaand aan de voorgenomen migratie naar AWS. Hiermee zullen ook alle risico's en mitigerende maatregelen voor de privacy in kaart gebracht moeten worden. De verhuizing kan slechts plaatsvinden nadat deze processen zijn afgerond en SIDN ook op dit gebied voldoet aan haar zorgplicht. SIDN heeft aangegeven dit traject in voorbereiding te hebben.
Daarnaast ben ik met SIDN overeengekomen dat ik met betrokkenheid van de internetgemeenschap, een quickscan zal uitvoeren. Het doel is een beter beeld te krijgen of er geen Nederlands of Europees alternatief beschikbaar is dat kan voldoen aan de eisen van SIDN voor haar domeinregistratiesysteem, en wat het zou vergen om deze lacune te vullen. De quickscan zal daarmee niet exclusief op SIDN gericht zijn, maar we nemen deze casus wel nadrukkelijk mee, juist omdat ik, vanuit de eisen die partijen zoals SIDN stellen, wil weten wat het aanbod in Nederland en de EU is in vergelijking met de Amerikaanse partijen.

Vraag 3

Deelt u de mening dat het.nl-domein een essentieel onderdeel is van de digitale infrastructuur van Nederland?

Ja, de dienstverlening van SIDN vormt een essentieel onderdeel van de digitale infrastructuur van Nederland. Er zijn meerdere instrumenten die gericht zijn op het borgen van de beschikbaarheid en veiligheid van de dienstverlening van SIDN. Ten eerste is SIDN als aanbieder van Domain Name Server (DNS)-diensten en register van topleveldomeinnamen, een aanbieder van een essentiële dienst als bedoeld in de Wbni. Daarom zijn de in die wet opgenomen verplichtingen en het daarin ook geregelde toezicht op de naleving daarvan op SIDN van toepassing. De Wbni strekt in hoofdzaak tot implementatie van de Europese Netwerk- en Informatiebeveiligingsrichtlijn (NIB-richtlijn). De verplichtingen op grond van de Wbni betreffen onder meer het nemen van passende en evenredige technische en organisatorische maatregelen om de risico’s voor de beveiliging van netwerk- en informatiesystemen te beheersen. SIDN heeft op basis van de Wbni een zorgplicht. De RDI toetst als toezichthouder doorlopend op de naleving van de zorgplicht en kan, als dat niet gebeurt, ook handhavend optreden. Uiteraard zal SIDN ook tijdens en na de eventuele verhuizing moeten blijven voldoen aan de Wbni. Ten tweede is SIDN op grond van het nationale vitaalbeleid als aanbieder van DNS-diensten en beheerder van een register van topleveldomeinnamen aangemerkt als vitale aanbieder. Ten derde heeft EZK met SIDN een convenant afgesloten dat de relatie met Nederland waarborgt en voorziet in afspraken over continuïteit.
Overigens heeft SIDN aangegeven niet het voornemen te hebben om het gehele .nl-domein in de cloud te plaatsen, maar alleen het domeinregistratiesysteem. Registratie van een .nl-domein beslaat twee systemen: Het domeinregistratiesysteem en het domeinnaamsysteem.
Het domeinregistratiesysteem is de administratie van wie welke domeinnaam heeft. Dit domeinregistratiesysteem bevat de volgende gegevens: van wie welke domeinnaam is, welke service provider verantwoordelijk is en naar welke name servers verwezen moet worden. De name server zorgt voor de koppeling van de domeinnaam aan de IP-adressen. Het domeinnaamsysteem vertaalt de domeinnamen, die we dagelijks gebruiken, zoals overheid.nl, naar de IP-adressen van de internetdiensten (het telefoonboek van het internet).
SIDN heeft aangegeven dat het domeinnaamsysteem geen onderdeel is van de migratie naar AWS. Eventuele uitval van het domeinregistratiesysteem heeft niet direct gevolgen voor de bereikbaarheid van bestaande .nl domeinnamen en de daaraan verbonden diensten.

Vraag 4

Deelt u de mening dat de verhuizing van het.nl-domein zorgt voor een onwenselijke afhankelijkheid van de Verenigde Staten?

Verhuizing van het domeinregistratiesysteem van SIDN zou een bepaalde afhankelijkheid van AWS creëren. Het kabinet wil zogenaamde risicovolle strategische afhankelijkheden mitigeren. Niet iedere afhankelijkheid is een risico; zo vormen wederzijdse afhankelijkheden de hoeksteen van het mondiale handelssysteem, waardoor specialisatie kan optreden, innovatie wordt gestimuleerd, producten toegankelijk blijven, wetenschappelijke kennis circuleert en onze welvaart en koopkracht toeneemt.3
Voor de specifieke casus van de voorgenomen verhuizing van het domeinregistratiesysteem van SIDN wordt door het kabinet nader bezien in hoeverre de voorgenomen verhuizing risico’s oplevert voor onze digitale open strategische autonomie. SIDN zal vanuit haar zorgplicht moeten documenteren en beoordelen in hoeverre de verhuizing risico’s oplevert voor onze publieke belangen zoals veiligheid van gegevens en de continuïteit van de dienstverlening van SIDN. En zo ja, in hoeverre deze risico’s (kunnen) worden gemitigeerd door bestaande of aanvullende maatregelen en wat dit betekent voor de voorgenomen verhuizing. Toezichthouders waaronder de RDI, zullen toetsen of aan alle wet- en regelgeving is voldaan. Ik vind het daarnaast van belang dat SIDN meeweegt welke Nederlandse (of Europese) alternatieven voorhanden zijn. Zie ook het antwoord op vraag 2.

Vraag 5

Hebben de hostingprovider en de Amerikaanse overheid toegang tot de gegevens in de AWS-cloud? Onder welke voorwaarden hebben zij toegang?

SIDN heeft aangegeven dat de servers die zij voornemens zijn te gebruiken van AWS gevestigd zijn binnen de EU en dat de Europese wet- en regelgeving onverkort van toepassing zal zijn. Daarnaast heeft SIDN gemeld dat de data versleuteld verwerkt, getransporteerd en opgeslagen zal worden. Versleuteling is een voorbeeld van een technische maatregel waar de RDI naar kijkt bij aanbieders van essentiële diensten, in haar rol als toezichthouder. SIDN gaf daarnaast aan dat zowel de hostingprovider als de Amerikaanse overheid geen toegang hebben tot gegevens die in het registratiesysteem worden verwerkt of opgeslagen.
Wel kunnen de data op basis van de US Cloud Act, Amerikaanse wetgeving met extraterritoriale werking, opgeëist worden. Deze wetgeving maakt het onder andere mogelijk dat Amerikaanse federale rechtshandhaving bij uitzondering, na goedkeuring via een huiszoekingsbevel van een Amerikaanse rechter, toegang kunnen eisen tot gegevens indien die zijn opgeslagen of worden verwerkt bij Amerikaanse bedrijven of Europese leveranciers onder Amerikaanse jurisdictie. Er zijn meer landen die dergelijke wetgeving en bijbehorende verplichtingen hebben.
De DPIA, die nog moet worden afgerond, zal de risico's en mitigerende maatregelen in kaart moeten brengen. Dit is een voorwaarde om de verhuizing te laten plaatsvinden. De Autoriteit Persoonsgegevens houdt toezicht op naleving van de AVG, daaronder valt ook het goed uitvoeren van een DPIA. Primair ligt de verantwoordelijkheid bij de organisatie zelf, in deze casus SIDN, om een DPIA en DTIA uit te voeren. AP ziet uiteindelijk er op toe dat de SIDN de DPIA en DTIA goed uitvoert. Als uit deze DPIA en DTIA blijkt dat er hoge restrisico’s zijn, dan moet de SIDN naar de AP gaan voor verdere bespreking over die risico’s.

Vraag 6

Is het voldoende mogelijk om toezicht te houden en zo nodig aanpassingen ten goede van de veiligheid door te voeren als het.nl-domeinbeheer bij een Amerikaans bedrijf ligt?

Zowel de activiteiten van SIDN als die van AWS vallen onder de Europese wetgeving en het daarin geregelde toezicht.
Net als voor elke andere aanbieder van een essentiële dienst geldt vanuit de Wbni voor SIDN de wettelijke verplichting om evenredige technische en organisatorische maatregelen te nemen om de risico’s voor de beveiliging van hun netwerk- en informatiesystemen te beheersen, de zogenaamde zorgplicht. De maatregelen moeten zorgen voor een niveau van beveiliging dat is afgestemd op de risico’s die zich voordoen. Ook moeten aanbieders van essentiële diensten, passende maatregelen nemen om incidenten die de beveiliging van de netwerk- en informatiesystemen aantasten, te voorkomen en gevolgen te beperken teneinde de continuïteit van de dienst te waarborgen.
De RDI houdt toezicht op de naleving van de zorgplicht door SIDN en heeft, zo nodig, verschillende instrumenten tot zijn beschikking om naleving van de zorgplicht af te dwingen, zoals het vorderen van informatie, opleggen van een verplichting tot een beveiligingsaudit en het opleggen van bestuurlijke boetes.
Op basis van de Wbni zijn genoemde verplichtingen én toezicht op de naleving daarvan door de RDI ook van toepassing op digitale dienstverleners, zoals verleners van cloudcomputingdiensten. Zij hebben dus ook een zorgplicht in bovenbedoelde zin met betrekking tot de beveiliging van hun netwerk- en informatiesystemen. Wel is het zo dat de Wbni alleen van toepassing is op digitale dienstverleners die gelet op de NIB-richtlijn onder de jurisdictie van Nederland vallen. Op basis van de NIB-richtlijn wordt een verlener van cloudcomputerdiensten geacht te vallen onder de jurisdictie van de lidstaat waar hij zijn hoofdvestiging heeft. De rechtspersoon van AWS in de Europese Unie is in Luxemburg gevestigd en valt daarmee onder het (toezicht)regime van Luxemburg. Toezichthouders als bedoeld in de NIB-richtlijn in de EU kunnen elkaar bijstand verlenen en samenwerken.

Vraag 7

Kunt u met volle zekerheid zeggen dat alle registratiegegevens en.nl-domeinen, van nationale websites tot emailadressen, afgeschermd en veilig zijn bij een Amerikaans bedrijf? Hoe komt u tot die conclusie? Welke risico’s ziet u?

Nee, volle zekerheid kan nooit worden gegeven, ongeacht welke leverancier gebruikt wordt en waar deze vandaan komt. De risico’s moeten beheersbaar zijn. Op dit moment heeft de RDI, mede gegeven de fase waarin het voornemen tot verhuizing zit, van SIDN nog te weinig informatie verkregen om te kunnen concluderen over de risico’s voor de systemen als gevolg van het voorgenomen besluit. Zie hiervoor ook de beantwoording van vraag 6. Voor wat betreft vragen rond privacyaspecten geldt dat de genoemde DPIA en DTIA nog moeten worden afgerond alvorens hierover een oordeel kan worden gegeven. Zie ook het antwoord op vraag 2.

Vraag 8

Vindt u het acceptabel dat SIDN, die sinds 2018 geldt als een «aanbieder van essentiële diensten»2, haar systeembeheer naar een Amerikaanse aanbieder verplaatst?

Zoals eerder aangegeven ben ik verrast over het voorgenomen besluit en baart deze stap mij ook zorgen. De verhuizing is echter nog geen voldongen feit. Ik heb deze zorgen in een gesprek met de bestuurders van SIDN ook kenbaar gemaakt en heb aangegeven dat SIDN eerst nog diverse stappen in het proces moet doorlopen voordat gezegd kan worden of dit besluit gerechtvaardigd is. Zie verder het antwoord op vraag 2. Overigens zoals in vraag 3 heeft SIDN aangegeven niet het voornemen te hebben om het gehele .nl-domein in de cloud te plaatsen, maar alleen het domeinregistratiesysteem.

Vraag 9

Past het overhevelen van het.nl-domeinbeheer naar een Amerikaanse cloud binnen het Nederlandse en Europese beleid rondom strategische autonomie?

Op 17 oktober 2023 is de Tweede Kamer geïnformeerd over de agenda digitale open strategische autonomie (DOSA)5. Deze agenda bouwt voort op het bredere kabinetsbeleid rond open strategische autonomie6 en de aanpak strategische afhankelijkheden7.
Het kabinet hecht grote waarde aan een internationale rechtsorde waarin handel en investeringen vrijelijk hun weg vinden. Wederzijdse afhankelijkheden vormen de ruggengraat van het open handelssysteem en de internationale samenwerking waar Nederland en de EU veel profijt van hebben en die ons een sterkere geopolitieke positie opleveren. Tegelijkertijd kan een vorm van overheidsingrijpen nodig zijn, bijvoorbeeld indien strategische afhankelijkheden hoge risico’s met zich meebrengen.
In de agenda DOSA staat de probleemanalyse en beleidsinzet (zie antwoord bij vraag 13) op de beleidsprioriteit cloud geschetst. Zoals staat aangegeven in deze agenda wordt de Europese markt gedomineerd door enkele Amerikaanse partijen.
In algemene zin is het overhevelen van activiteiten naar een cloudleverancier van buiten de EU niet strijdig met het beleid rond (digitale) open strategische autonomie. Tegelijkertijd is het belangrijk om te kijken naar in hoeverre dit risico’s oplevert, in hoeverre deze risico’s (kunnen) worden gemitigeerd door huidig instrumentarium of aanvullend instrumentarium en wat de mogelijkheid tot substitutie is.
In aanvulling hierop is in de Agenda DOSA al een breder onderzoek voorzien waarin mitigerende maatregelen voor de vermindering van cloudafhankelijkheid van Nederland worden verkend.

Vraag 10

Wat zijn de gevolgen voor Nederland en al haar belangrijke digitale diensten die in het.nl-domein staan als het register gecompromitteerd raakt? Wat betekent dit in het slechtste geval voor Nederland en welke regie houden de overheid en internetdiensten over hun eigen.nl-adres?

SIDN heeft aangegeven dat het domeinregistratiesysteem in beheer blijft van de stichting. Onbevoegde wijzigingen in het domeinregistratiesysteem kunnen, zowel nu als in de toekomst, grote gevolgen hebben voor de aan de domeinnaam verbonden diensten. Om het risico op dergelijke wijzigingen te mitigeren worden maatregelen genomen. SIDN geeft aan dat de veelheid aan mitigerende maatregelen die AWS treft juist een van de redenen is om voor die partij te kiezen. Wat de gevolgen van de migratie zijn voor privacy moet o.a. nog blijken uit de nog uit te voeren DPIA.

Vraag 11

Heeft het Agentschap Telecom als verantwoordelijk toezichthouder gereageerd op de ICT-strategie waarin de verhuizing naar AWS besloten is? Zo ja, kunt u deze reactie of zienswijze delen?

Omdat de RDI (voorheen Agentschap Telecom) niet vooraf geïnformeerd is over het voorgenomen besluit van SIDN om te migreren naar AWS en nog meer informatie van SIDN nodig heeft over deze voorgenomen migratie, heeft de RDI op dit moment geen inhoudelijke reactie of zienswijze en kan ik die daarom niet delen. Zoals beschreven in vraag 6 toetst RDI binnen de kaders van de Wbni de veiligheid van het huidige domeinregistratiesysteem alsook toekomstige systemen zoals gebruik van AWS.

Vraag 12

Hoe reageert u op de bewering van SIDN dat zij overstapt naar een Amerikaanse cloud omdat «er nog geen volwaardig Europees alternatief bestaat»?

In algemene zin kan gesteld worden dat er verschillende Nederlandse en Europese aanbieders van ICT- en clouddiensten zijn, die als «alternatief» zouden kunnen dienen. Of deze aanbieders een volledig en/of concurrerend aanbod voor de gevraagde dienstverlening kunnen leveren aan SIDN is iets waar het kabinet meer inzicht in wil krijgen middels een quickscan.
SIDN heeft aangegeven te werken aan een exit-strategie. Deze strategie is tweeledig. Het heeft zowel betrekking op het snel kunnen verhuizen in het geval van problemen of calamiteiten, als het kunnen migreren naar een Europese of Nederlandse cloudprovider als deze mogelijkheid zich aandient.

Vraag 13

Welke maatregelen neemt Nederland om zo snel mogelijk te komen tot een betrouwbaar en publiek Europees cloudsysteem? Indien deze in ontwikkeling is, wanneer verwacht u dat deze in gebruik is?

Nederland zet in op Europese ontwikkeling van innovatieve clouddiensten en regulering van de markt. Op 15 oktober 2020 hebben de lidstaten van de Europese Unie een verklaring8 ondertekend om samen te werken aan de uitrol van veerkrachtige en concurrerende cloudinfrastructuur en -diensten in heel Europa.
Het «Important Project of Common European Interest on the next generation Cloud Infrastructure and Services» (IPCEI CIS) is een van de manieren waarop hier gevolg aan is gegeven, door het subsidiëren van een nieuwe generatie innovatieve, duurzame en veilige Europese cloudoplossingen. De Tweede Kamer is op 21 december 2023 over de IPCEI CIS geïnformeerd middels de beantwoording van vragen van de Kamer9 en een Kamerbrief10. De looptijd van deze projecten, inclusief de uitrolfase, is tot met 2028 en de totale subsidie bedraagt ruim 71 mln euro.
Daarnaast neemt Nederland deel aan de European Alliance for Industrial Data, Edge and Cloud, waarin overheden en bedrijven op Europees niveau samenwerken om de ontwikkeling en uitrol van nieuwe oplossingen te simuleren.11
Ook loopt het Gaia-X initiatief12, dat erop gericht is om een alternatief te ontwikkelen voor de deels gesloten ecosystemen van bestaande grote cloudspelers. Diverse Nederlandse bedrijven en organisaties zijn hierachter de drijvende kracht. Het kabinet steunt de ontwikkeling via een Nederlandse GAIA-X hub bij TNO en is vertegenwoordigd in de Governmental Advisory Board van het initiatief.
Naast de reeds bestaande Europese clouddiensten zullen deze initiatieven naar verwachting het cloudaanbod aanzienlijk vergroten.
Verder is er inmiddels wetgeving gericht op het beter laten functioneren van de digitale interne markt. Hierbij zijn de Dataverordening13 en Digital Markets Act belangrijke kaders waarmee economische afhankelijkheid (en lock-in) van cloudaanbieders worden verminderd.
Volgens het kabinet dragen deze initiatieven samen bij aan het ontwikkelen van een Europees cloudsysteem met als ambitie om tot een volwaardig Europees aanbod te komen. Het is belangrijk om nader te bezien of deze acties zorgen voor het benodigde aanbod van clouddiensten voor toepassingen zoals het domeinregistratiesysteem van SIDN. De quickscan zal naar verwachting meer inzicht geven (zie antwoord vraag 2).

Vraag 14

Op welke manier bent u betrokken bij dit besluit van SIDN en haar werkzaamheden? Welke rol neemt u als Minister om deze essentiële digitale infrastructuur te onderhouden?

Sinds 1996 beheert en registreert de onafhankelijke stichting SIDN de domeinnamen binnen het .nl-domein. EZK heeft voor het eerst met SIDN een convenant afgesloten dat dateert uit 2008. Het convenant is in 2015 en 2022 geëvalueerd en herzien en met de Tweede Kamer gedeeld14. Doel van het convenant is om waarborgen te krijgen op de stabiliteit en continuïteit van het .nl-domein. SIDN heeft tot nu toe gezorgd voor 100% beschikbaarheid van het .nl domein.
In het convenant is onder andere afgesproken dat SIDN en het .nl-domein verbonden blijven met Nederland, waarbij SIDN zich ten doel blijft stellen het .nl-domein voor gebruikers in Nederland beschikbaar te houden. Daarnaast staat in het convenant dat SIDN haar belanghebbenden adequaat betrekt bij besluiten. Dit laatste is onvoldoende gebeurd, omdat bijvoorbeeld zorgen van de Vereniging van Registrars nog niet geadresseerd waren voordat SIDN het besluit over de migratie naar AWS kenbaar maakte. Ik heb aan SIDN gevraagd zich aan het convenant te houden, door onder andere met de belanghebbenden dit voorgenomen besluit te bespreken en ben zoals hiervoor aangegeven zelf ook in overleg met SIDN.
De RDI houdt toezicht op de naleving van in de Wbni geregelde verplichtingen (zorgplicht, etc.) rustend op aanbieders van essentiële diensten in de sectoren energie en digitale infrastructuur waaronder digital dienstverleners, inclusief SIDN.

Vraag 15

Wat is de rol van de coördinerend Staatssecretaris voor Digitale Zaken bij het bewaken van de autonomie van het.nl-domein? Is deze rol voldoende om de autonomie te waarborgen? Zo niet, bent u alsnog bereid deze coördinerende rol te pakken?

Zoals eerder aangegeven hebben de Minister van EZK en de Staatssecretaris Koninkrijksrelaties en Digitalisering gezamenlijk met de bestuurders van SIDN gesproken. De Staatssecretaris Koninkrijksrelaties en Digitalisering heeft net als de Minister van EZK aangegeven dat het voorgenomen besluit van SIDN nader onderzoek en een open discussie vereist zoals aangegeven in deze brief. In haar rol als coördinerend Staatssecretaris voor Digitale Zaken staat de Staatssecretaris in deze casus in contact met de Minister van EZK en brengt zij richting en expertise in over waardengedreven digitalisering, onder meer in relatie tot het Rijkscloudbeleid. In haar rol draagt zij bij aan het bewaken van publieke waarden, waar digitale open strategische autonomie een basis vormt van een verantwoorde digitale transitie. De digitale overheid vereist continuïteit en voor de overheid is het essentieel dat het .nl-domein voor de dienstverlening voor de Nederlandse maatschappij altijd beschikbaar is. De Minister van Economische Zaken en Klimaat en de Staatssecretaris Koninkrijksrelaties en digitalisering zullen in gesprek gaan met een brede groep belangenbehartigers zoals bijvoorbeeld wetenschappers en inhoudelijke experts over de manier waarop digitale open strategische autonomie het beste kan worden geborgd voor vraagstukken rond o.a. cloudinfrastructuur en -diensten.

Vraag 16

Welke alternatieve Nederlandse of Europese private cloudproviders zijn er en zou het.nl-domein ook bij deze ondergebracht kunnen worden?

Zoals aangegeven in het antwoord op vraag 2, ben ik met SIDN overeengekomen dat we met betrokkenheid van stakeholders een quickscan zullen uitvoeren om een beter beeld te krijgen of er geen vergelijkbaar Nederlands of Europees alternatief beschikbaar is die voldoet aan de eisen van SIDN voor haar domeinregistratiesysteem, en wat het zou vergen om deze lacune te vullen. De quickscan zal daarmee niet exclusief op SIDN gericht zijn, maar we nemen deze casus wel nadrukkelijk mee, juist omdat ik, vanuit de eisen die partijen zoals SIDN stellen, wil weten wat het aanbod in Nederland en de EU is in vergelijking met de Amerikaanse partijen.

Vraag 17

Hoe kan het dat dé beheerder van het.nl-domein niet voldoende personeel aan kan trekken om haar systeem veilig binnen Nederland te beheren?

Waarom SIDN niet voldoende personeel kan aantrekken is bij EZK niet exact bekend. SIDN geeft aan dat het niet kunnen aantrekken van nieuw personeel is gerelateerd aan diverse factoren. Zo dateert het domeinregistratiesysteem dat nu nog in eigen beheer is, uit 2010 en geven opleidingen niet of nauwelijks meer scholing in het beheer van dergelijke systemen. De gevraagde kennis is zeer specifiek en niet eenvoudig vervangbaar bij ziekte, uitval of vertrek. SIDN is van mening dat dit risico’s met zich meebrengt voor de continuïteit van de bedrijfsvoering. SIDN verwacht door meer gestandaardiseerde systemen te gebruiken en een deel van het systeem in de cloud te plaatsen, uit een grotere pool van IT-professionals te kunnen werven.
In algemene zin wordt de hele samenleving geraakt door tekorten op de arbeidsmarkt. Tekorten in de ICT spelen al decennia en zijn van toenemende en structurele aard. De grote vraag blijkt uit toenemende aantal vacatures in de ICT. In 2021 had 71% van de bedrijven in Nederland moeite om specialistische ICT-vacatures te vervullen. Met het huidige groeitempo van bijna 7% per jaar, is in 2030 één op de tien van de beroepsbevolking IT’er. Dat betekent dat de Nederlandse arbeidsmarkt moet toewerken naar 1 miljoen digitaal geschoolden in 2030.

Vraag 18

Onder welke voorwaarden is het voor SIDN mogelijk om haar diensten in Nederland in beheer te houden? Welke maatregelen kunt u nemen om aan deze voorwaarden te voldoen?

SIDN heeft aangegeven dat zij te allen tijde haar diensten in Nederland in beheer houdt. Zie het antwoord op de vragen 2 en 3.

Vraag 19

Welke instrumenten heeft u als Minister om bij te sturen op de tarieven van de SIDN?

SIDN is een onafhankelijke stichting die zelf de basisprijzen stelt voor een .nl-domein. In 2024 vraagt SIDN voor een domeinnaam € 4,15 per jaar. Dit is het bedrag dat registrars betalen aan SIDN voor haar dienstverlening. Ik heb geen bevoegdheid om bij te sturen op de tarieven.

Vraag 20

Bent u bereid om als eindverantwoordelijke voor de digitale infrastructuur in Nederland in te grijpen en tot een plan te komen om het.nl-domein binnen Nederland te houden?

De verhuizing is nog geen voldongen feit en SIDN heeft toegezegd nu nog geen onomkeerbare stappen te zetten. Ik heb, i.s.m. de Staatssecretaris Koninkrijksrelaties en Digitalisering diverse acties uitgezet om meer zicht te krijgen op de keuze van SIDN. Hieronder vat ik ze kort samen:
EZK is in het licht van het convenant in gesprek met SIDN over voorgenomen migratie van het domeinregistratiesysteem naar AWS. Daarin is vastgelegd dat dat SIDN duurzaam verbonden moet blijven met Nederland en SIDN haar stakeholders moet betrekken. In dat kader heb ik SIDN ook gevraagd om haar belanghebbenden uit de internetgemeenschap, waaronder de Rijksoverheid, veel nauwer te betrekken in de overwegingen achter dit voorgenomen besluit.
Ik ben met SIDN overeengekomen dat EZK met betrokkenheid van stakeholders een quickscan zal uitvoeren om een beter beeld te krijgen of er geen vergelijkbaar Nederlands of Europees alternatief beschikbaar is die voldoet aan de eisen van SIDN voor haar domeinregistratiesysteem, en wat het zou vergen om deze lacune te vullen. De quickscan zal daarmee niet exclusief op SIDN gericht zijn, maar we nemen deze casus wel nadrukkelijk mee, juist omdat ik, vanuit de eisen die partijen zoals SIDN stellen, wil weten wat het aanbod in Nederland en de EU is in vergelijking met de Amerikaanse partijen. Waar nodig zal ik nader bezien welke risico’s er bestaan en welke mogelijkheden vervolgstappen er zijn om de digitale open strategische autonomie te bevorderen, en de continuïteit, integriteit en veiligheid van de dienstverlening te garanderen.
De RDI toetst op basis van de Wbni de beveiliging en continuïteit van de netwerk- en informatiesystemen van SIDN, zowel het huidige domeinregistratiesysteem als ook een toekomstig gebruik van AWS.
SIDN zal op basis van de AVG een Data Privacy Impact Assessment (DPIA) en Data Transfer Impact Assessment (DTIA) uitvoeren.
Ik zal samen met de Staatssecretaris Koninkrijksrelaties en Digitalisering in gesprek gaan met een brede groep belangenbehartigers zoals bijvoorbeeld wetenschappers en inhoudelijke experts over de manier waarop digitale open strategische autonomie het beste kan worden geborgd voor vraagstukken rond o.a. cloudinfrastructuur en -diensten.
Al met al zijn er diverse acties genomen om het voorgenomen besluit van SIDN tegen het licht te houden en ik bekijk op basis daarvan wat nodig is. Het belang van een zorgvuldige afweging betekent dat het op dit moment te vroeg is om al conclusies te trekken. Op basis van de uitkomsten van deze acties zal ik de Kamer nader informeren, naar verwachting is dit in Q2.

Vraag 21

Kunt u zo snel mogelijk met een eerste reactie komen, zo nodig apart van de volledige beantwoording van deze vragen?

Ja.

Vraag 22

Wilt u deze vragen apart van elkaar beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht «Miljoenen drugsadvertenties op Telegram, platform laat handel ongemoeid»?1 2

Ja, daar ben ik bekend mee.

Vraag 2

Wat vindt u ervan dat drugscriminelen in openbare Telegram-groepen ongestoord kunnen handelen in drugs, zowel softdrugs als harddrugs en designerdrugs?

Het is schokkend om te zien hoeveel van dit soort berichten rondgaan op Telegram. Het is in de eerste plaats de verantwoordelijkheid van Telegram om dit te modereren. Dit soort zelfreinigend vermogen wordt ook door andere sociale media platforms toegepast. Daar zet ik ook op in bij Telegram. We zijn daar helaas nog niet in geslaagd, omdat het moeilijk is om met Telegram in contact te komen en afspraken te maken.
De politie mag en kan, gelet op het grote aantal berichten en de schaarste in de capaciteit, niet het hele internet monitoren op berichten waarin drugs wordt aangeboden. Wel gaat de politie daar waar mogelijk over tot handhaving. De opsporing richt zich op het opsporen van de grote drugsaanbieders.
Momenteel worden samen met betrokken partijen, zoals het Openbaar Ministerie (OM) en politie, verkennende gesprekken gevoerd met als doel het opstellen van een plan van aanpak voor handhaving op de online verkoop van verboden middelen. De handhaving van de online verkoop van drugs kent uitdagingen die niet zijn voorbehouden aan de verkoop van drugs, maar breder gelden voor de online verkoop van verboden middelen. De aanpak hiervan is complex en de totstandkoming van een goed en gedragen plan hierop vergt tijd. Ik zal uw Kamer in een volgende voortgangsbrief nader informeren over de concrete voorstellen om beter te kunnen handhaven op de verkoop van drugs via online kanalen.

Vraag 3

Herkent u het beeld dat Telegram vooral wordt gebruikt als advertentieplatform en dat dealers na het opbouwen van een vertrouwensband overstappen op andere communicatiemiddelen? Welke andere apps kent u met vergelijkbare praktijken?

Telegram voorziet behalve in groepen en kanalen ook in de mogelijkheid om één-op-één te communiceren over bijvoorbeeld betaling en aflevering. Bij frequenter contact kan inderdaad een vertrouwensband ontstaan waarna andere communicatiewijzen kunnen worden gedeeld, zoals alternatieve berichtendiensten die voorzien in interpersoonlijke privécommunicatie.

Vraag 4

Bent u het met de stelling eens dat drugsdealers die op Telegram hun criminele praktijken uitvoeren, zoveel mogelijk opgespoord en bestraft moeten worden met medewerking van Telegram? Zo nee, waarom niet?

De criminaliteit die via Telegram plaatsvindt, moet worden bestreden. De verwachting is dat nieuwe Europese wetgeving – zoals de Digital Services Act (DSA)3 – de internetsector tot meer actie dwingt met de verplichtingen die daarin geregeld zijn. In het geval van Telegram lijkt in een adequaat moderatiebeleid voor openbare groepen4 de grootste winst te behalen. De Nederlandse strafrechtelijke aanpak heeft een beperkt effect aangezien het hier om een internationale online dienst gaat met een groot aantal gebruikers. Omdat de capaciteit binnen onze strafrechtketen beperkt is, moeten bovendien altijd keuzes gemaakt worden. Een meewerkende houding van Telegram is in alle gevallen van groot belang.

Vraag 5

Wanneer is voor u de maat vol voor Telegram, gezien de aanhoudende berichten over online haat, bedreiging, expose-groepen, criminele praktijken en oplichting via dit platform en het feit dat Telegram hier zelf helemaal niets aan doet?

De aanwezigheid van illegale inhoud en illegale activiteiten op Telegram vind ik problematisch. Temeer omdat Telegram weinig bereidheid tot medewerking toont in het kader van zelfregulering en opsporingsonderzoeken. In de beantwoording van eerdere Kamervragen van de leden Kuik en Slootweg (CDA)5 over Telegram heb ik daarom aangegeven dat het kabinet de inspanningen verhoogt om partijen als Telegram en X op hun verantwoordelijkheden te wijzen, deels met behulp van nieuwe wetgevende instrumenten, zoals de Verordening Terroristische Online Inhoud6 en de eerdergenoemde DSA. Over de ontwerp Verordening ter voorkoming en bestrijding van seksueel kindermisbruik wordt nog onderhandeld. Deze drie verordeningen leggen aan tussenhandeldiensten meer (zorgvuldigheids)verplichtingen op, onder meer in relatie tot illegale online inhoud. Ze spelen daarom een belangrijke rol in het aanpakken van de soorten inhoud en praktijken die u noemt. Daarnaast ben ik in constante dialoog met verschillende soorten aanbieders in de internetsector, zoals via de «publiek-private samenwerking online content moderatie». Juist vanwege de constructieve samenwerking met de aldaar aanwezige platforms (zoals Meta, TikTok en Snapchat) is de afwezigheid van partijen als Telegram en X te betreuren.

Vraag 6

Zijn de claims van Telegram dat zij wel degelijk proactief modereren op schadelijke content te verifiëren?

De gemaakte claims door Telegram zijn momenteel lastig onafhankelijk te verifiëren door een gebrek aan transparantie. De handhavingspraktijk en onderzoeken zoals die van de NOS geven een beeld van de verschillende vormen en omvang van illegale inhoud op Telegram, wat zich moeilijk verhoudt tot de gemaakte claims. De DSA brengt naar verwachting verandering in deze situatie zoals toegelicht in het antwoord op vraag 7.

Vraag 7

Wilt u Telegram vragen bewijs te leveren van hun proactieve moderatie op schadelijke content in Nederland of Nederlandse groepen en wilt u dit onafhankelijk laten toetsen?

Zoals aangegeven spant het kabinet zich in om partijen op hun verantwoordelijkheden te wijzen. Telegram zal op grond van de DSA, die vanaf 17 februari 2024 van toepassing is op alle tussenhandeldiensten, in ieder geval jaarlijks moeten gaan rapporteren over (onder meer) inhoudsmoderatie die zij op eigen initiatief toepast, de ontvangen bevelen van lidstatelijke autoriteiten, en de omgang met meldingen van illegale inhoud van gebruikers en zogeheten betrouwbare flaggers7. Hierdoor wordt meer inzicht afgedwongen in hetgeen Telegram doet op het gebied van online content moderatie. Het is aan de toezichthouder in België – waar Telegram met de inwerkingtreding van de DSA een wettelijke vertegenwoordiger heeft aangewezen8 – om toezicht te houden op de naleving van deze eisen.

Vraag 8

Herinnert u zich dat u in antwoord op eerdere vragen van de leden Kuik en Slootweg3 over Telegram-exposegroepen heeft aangegeven dat Telegram niet reageert op vorderingen of bevelen in het kader van opsporingsonderzoeken?

Ja, mijn beantwoording daarop is mij bekend.

Vraag 9

Wat zijn gevolgen van het niet voldoen aan een vordering of bevel door de politie of de officier van justitie in het kader van een opsporingsonderzoek? Welke afwegingen worden daarbij gemaakt?

Wanneer Telegram niet meewerkt aan rechtshulpverzoeken en niet voldoet aan strafvorderlijke vorderingen en/of bevelen, dan is het gevolg daarvan dat onderzoek naar (een vermoeden van) strafbare feiten wordt belemmerd. In algemene zin geldt dat afhankelijk van de context en de grondslag van een vordering of bevel het niet meewerken daaraan strafrechtelijke, civielrechtelijke of bestuursrechtelijke gevolgen kan hebben.

Vraag 10

In hoeverre zijn er mogelijkheden om medewerking van Telegram aan vorderingen of bevelen van de politie of officier van justitie af te dwingen?

In sommige gevallen zou bij niet-naleving van een vordering of bevel vanuit de politie of officier van justitie kunnen worden overgegaan op dwangmiddelen, zoals inbeslagname of strafvervolging. De eventuele inzet hiervan wordt onder andere beïnvloed door de grondslag van de vordering of het bevel, de ernst van de overtreding en ook de vestigingslocatie van een bedrijf. Van Telegram is bekend dat deze momenteel geen Nederlandse of andere Europese vestiging heeft. Wel is bekend dat Telegram met de inwerkingtreding van de DSA inmiddels een wettelijke vertegenwoordiger in België heeft aangewezen.

Vraag 11

Klopt het dat de officier van justitie op basis van artikel 125p van het Wetboek van Strafvordering na toestemming van de rechter-commissaris, een aanbieder van een communicatiedienst kan bevelen om content ontoegankelijk te maken, en dat dit in de praktijk het blokkeren van een Telegramkanaal kan zijn, openbaar of besloten?

Ja, dat klopt.

Vraag 12

Zo ja, kunt u aangeven waarom het blokkeren van een Telegramkanaal blijkens uw antwoord op vraag 6 van de leden Slootweg en Kuiken slechts in uitzonderlijke gevallen mogelijk is en dan alleen via de telefoon van de verdachte?

De casus waarin via de telefoon van verdachte gegevens in drie Telegram-groepen ontoegankelijk werden gemaakt, werd in de beantwoording uitzonderlijk genoemd, omdat de politie niet vaak in de positie is dat zij een Telegram-gebruiker heeft kunnen identificeren en directe toegang heeft tot diens telefoon. Dit maakte het op grond van artikel 125p Sv jo 181 Sv mogelijk om de Telegram-groepen af te sluiten zonder medewerking van Telegram.

Vraag 13

Waarom is de politie volgens uw antwoord in vraag 6 vaak niet in de positie om een Telegramkanaal te blokkeren?

Zie antwoord vraag 12.

Vraag 14

Wat vindt u ervan dat het blokkeren van een Telegramkanaal blijkbaar afhankelijk is van de medewerking van Telegram zelf?

In de casus waar u naar refereert in vraag 12 konden gegevens dus ontoegankelijk worden gemaakt zonder medewerking van Telegram, omdat er toegang was tot de telefoon van verdachte. Dat neemt niet weg dat een meewerkende houding van online aanbieders gewenst is, zodat bevelen die op grond van 125p Sv direct aan hen zijn gericht ook daadwerkelijk worden opgevolgd en er niet een strafbaar feit ontstaat of blijft voortbestaan door niet-naleving.

Vraag 15

Welke mogelijkheden zijn er om de politie meer handvatten te geven om Telegramkanalen sneller te blokkeren? Vraagt de politie ook om extra mogelijkheden of bevoegdheden en zo ja, welke?

De wet voorziet in mogelijkheden voor politie en OM om online aanbieders ertoe te bewegen om strafbare inhoud ontoegankelijk te maken en personen achter accounts op te sporen. Zoals toegelicht in het antwoord op vraag 10 wordt de effectiviteit van deze middelen belemmerd wanneer een bedrijf niet op Nederlands grondgebied is gevestigd. In het geval van buitenlandse online aanbieders dient dan gebruik te worden gemaakt van een rechtshulpverzoek. Dit is vaak een tijdrovende exercitie en de uitkomst ervan is afhankelijk van de medewerking van het land waaraan het verzoek is gericht.
Verder verwijs ik naar mijn antwoord op vraag 2 over de gesprekken die gevoerd worden met onder andere politie en OM om te komen tot een plan van aanpak voor handhaving op de online verkoop van verboden middelen.

Vraag 16

Vindt u het gerechtvaardigd om in uitzonderlijke gevallen en bij grove en herhaaldelijke schendingen op het gebied van illegale content de mogelijkheid te hebben om een app als Telegram als geheel voor een bepaalde periode uit de lucht te halen in Nederland? Kunt u uitgebreid toelichten wat de technische en juridische implicaties hiervan zouden zijn?

Het volledig verbieden of ontoegankelijk maken van een app is zeer ingrijpend. In het geval van Telegram zou hieruit een inperking van de vrijheid van meningsuiting volgen. De noodzaak hiervan moet dan in verhouding staan tot de ernst van de overtredingen waarbij de vraag speelt of lichtere middelen niet al voldoende soelaas bieden. De DSA biedt een kader waarin toezicht en sanctionering zijn geregeld en in een opbouw van handhavingsmogelijkheden is voorzien. De verordening laat in een uiterst geval en onder voorwaarden ruimte voor de toezichthouder om de rechter te verzoeken de toegang tot een dienst tijdelijk te beperken10. Doordat Telegram in België haar wettelijke vertegenwoordiger voor de DSA heeft aangewezen is de Belgische onafhankelijk toezichthouder voor de DSA hiertoe exclusief bevoegd.

Vraag 17

Wat vindt u van het feit dat Telegram in Duitsland een boete heeft gekregen van ruim vijf miljoen euro, omdat Telegram geen aanspreekpunt in Duitsland heeft waar mensen schadelijke en criminele content kunnen melden?

Het Bundesamt für Justiz (BfJ) heeft in 2022 haar bevoegdheden als autoriteit onder de NetzDG, de Duitse netwerkhandhavingswet, gebruikt om twee boetes van in totaal € 5,125 mln aan Telegram op te leggen. De NetzDG maakt plaats voor de DSA. De DSA is namelijk maximumharmonisatie voor wat betreft de verplichtingen voor tussenhandeldiensten door de EU, waardoor dergelijke nationale wetgeving niet langer is toegestaan. De actie van het BfJ laat zien dat partijen als Telegram zich niet kunnen onttrekken aan verplichtingen die hen zijn opgelegd. Dit maakt mij hoopvol over de toepassing van de DSA die in meerdere opzichten gelijkenissen kent met de NetzDG.

Vraag 18

Op welke manier reageren andere Europese landen op Telegram wanneer schadelijke content niet verwijderd wordt en geen opvolging wordt gegeven aan vorderingen van politie en justitie?

Het kabinet is niet op de hoogte van de praktijk in de verschillende lidstaten.

Vraag 19

Verwacht u, gezien de trackrecord van Telegram, dat de invoering van de Digital Services Act (DSA) zal leiden tot verbetering van het gedrag van Telegram?

Het laat zich moeilijk voorspellen hoe het handelen van een partij als Telegram zich gaat ontwikkelen met de inwerkingtreding van de DSA. Tegelijkertijd is Telegram een voorbeeld dat de noodzaak voor regulering aantoont. De DSA en de eerdergenoemde wetgevingsinstrumenten in mijn antwoord op vraag 5 versterken de mogelijkheden om op te kunnen treden. Uit de praktijk zal moeten blijken welke resultaten dit oplevert. In dit kader is relevant dat de positie van Telegram onder de DSA nog niet geheel duidelijk is. Het is waarschijnlijk dat de openbare chatgroepen op Telegram voldoen aan de definitie van online platform onder de DSA, terwijl besloten (groeps)gesprekken er buiten vallen, maar de praktijk moet dit uitwijzen. Ondertussen staat wel vast dat de DSA voor meer transparantie en dus verbetering van het gedrag door Telegram zou moeten leiden. Zie het ook het antwoord op vraag 7.

Vraag 20

Verwacht u dat de huidige sancties onder de DSA hard genoeg zijn om online platformen zoals Telegram te dwingen verantwoordelijkheid te nemen over de activiteiten op hun platform?

Zie antwoord vraag 19.

Vraag 21

Bent u bereid om de Kamer een brief te sturen waarin u uitgebreid toelicht aan welke bepalingen die volgen uit de DSA Telegram zich op dit moment volgens u niet houdt of waar er een risico zit?

Zoals aangegeven moet de positie van Telegram onder de DSA zich nog uitkristalliseren. Bovendien is de DSA gestoeld op het land-van-oorsprongsbeginsel voor het bepalen van bevoegdheid. Het is aan de onafhankelijke toezichthouder die is aangewezen in België, de lidstaat waar Telegram een wettelijk vertegenwoordiger heeft aangewezen, om een oordeel te vormen over de naleving van bepalingen uit de DSA door tussenhandeldiensten die onder haar bevoegdheid vallen. Het is niet aan mij om verder te oordelen of de DSA op (onderdelen van) Telegram van toepassing is, of welke onderdelen van de DSA mogelijk worden overtreden. Dat is aan de onafhankelijk toezichthouder en uiteindelijk aan de rechter en het Hof van Justitie.

Vraag 22

Wanneer verwacht u de uitvoeringswet van de DSA naar de Kamer te sturen?

De Minister van Economische Zaken en Klimaat werkt al geruime tijd aan het ontwerpwetsvoorstel voor de Uitvoeringswet Digitaledienstenverordening. Op 7 februari jl. heeft de Raad van State advies uitgebracht over het ontwerpwetsvoorstel. Dat wordt momenteel verwerkt. De Minister van Economische Zaken en Klimaat streeft ernaar het ontwerpwetsvoorstel daarna zo spoedig mogelijk bij de Kamer in te dienen en zal Uw Kamer daar apart over informeren.

Vraag 1

Bent u bekend met het risico dat quantumcomputing encryptie zal doorbreken en daarmee toegang wordt verkregen tot een schat aan gevoelige informatie?

Ja, het is mij bekend dat krachtige quantumcomputers bepaalde versleuteling (of cryptografie) sterk kunnen verzwakken of doorbreken. Dit veroorzaakt risico’s voor de Rijksoverheid en ook voor burgers, ondernemingen en andere overheden die tijdig beheerst moeten worden.
Cryptografie zorgt voor veilige en vertrouwelijke digitale communicatie. Cryptografie houdt zich o.a. bezig met technieken om informatie op te slaan en over te dragen zodanig dat deze alleen leesbaar zijn door partijen die de juiste sleutel bezitten (vertrouwelijkheid). Daarnaast wordt het ingezet om gegevens te beschermen tegen wijzigingen (integriteit), zekerheid te verkrijgen van verzenden en ontvangen van informatie (onweerlegbaarheid) en bevestiging van identiteiten van zender en ontvanger te bewerkstelligen (authenticatie). Daarvoor zijn in ons dagelijks leven zeer veel toepassingen en cryptografie wordt om die reden overal gebruikt. Door cryptografie zijn bijvoorbeeld onze identiteitsgegevens (paspoorten) beschermd, kunnen we veilig verkeerslichten en bruggen aansturen, mailen en appen we met elkaar, betalen we met onze telefoon en we gebruiken het om vertrouwelijke informatie te versleutelen, zoals bedrijfsgeheimen of staatsgeheimen. Cryptografie vormt dan ook een onmisbaar instrument om de vertrouwelijkheid, integriteit en beschikbaarheid van processen en data te beschermen.
Met de komst van een krachtige quantumcomputer is de meeste cryptografie echter niet meer (voldoende) veilig: bestaande encryptiemethodes zullen onze digitale gegevens niet meer voldoende kunnen beschermen.
De overgang van kwetsbare cryptografie naar quantumveilige cryptografie is een technologisch ingrijpende wijziging die nog niet eerder op deze schaal is voorgekomen. Daarom moeten er nu voorbereidende acties worden ondernomen, zie ook de beantwoording bij vraag 5.

Vraag 2

Welke kansen en risico´s ziet u op het gebied van quantum?

Er zijn met betrekking tot quantum in relatie tot quantumproof encryptie zowel kansen als risico's.
In mijn brief van 7 november 20231 heb ik u geïnformeerd over een aantal belangrijke knelpunten in de transitie naar quantumveilige cryptografie en een aantal kansen die dit biedt.
Daarnaast zijn er risico’s zoals onvoldoende bewustzijn en kennis. Voor dat laatste ontwikkel ik samen met de private sector een cryptografie opleiding om alle typen IT- beheer bij te scholen. Deze komt naar verwachting in de loop van 2024 beschikbaar.

Vraag 3

Bent u bekend met het gegeven dat de Amerikaanse president Biden reeds een wet heeft getekend die overheidsorganisaties verplicht om te migreren naar IT-systemen die quantum-proof zijn?1

Het kabinet volgt de internationale ontwikkelingen en heeft kennis genomen van de genoemde Amerikaanse wetgeving3. Deze wetgeving geeft de verplichting aan federale overheidsinstanties om te migreren naar quantumveilige cryptografie: het adopteren van de standaarden die door het Amerikaanse National Institute of Standards and Technology dit jaar gepubliceerd worden om weerbaar te zijn tegen de dreiging van quantumtechnologie. Deze migratie en beschreven aanpak hiervoor worden ook binnen de Rijksoverheid gezien als de belangrijkste instrumenten om deze dreiging het hoofd te bieden.
De aanpak van de Rijksoverheid past bij de generieke, risicogerichte aanpak voor digitale weerbaarheid. Deze aanpak geeft ruimte om ook andere maatregelen te nemen om de hiervoor genoemde risico’s te beheersen, indien bijvoorbeeld bepaalde systemen niet kunnen migreren naar quantumveilige cryptografie.

Vraag 4

Kunt u toelichten in hoeverre er vergelijkbare wetgeving nodig is in Nederland en in hoeverre dit wordt voorbereid?

De Amerikaanse wetgeving oplossing verplicht federale overheidsinstanties om te migreren naar quantumveilige cryptografie: namelijk het adopteren van de nieuwe standaarden van National Institute of Standards and Technology (zie vraag 3). De huidige Europese, nationale en overheidsbrede wet- en regelgeving op het gebied van informatiebeveiliging c.q. cybersecurity heeft een andere werking maar biedt voldoende aanknopingspunten om in actie te moeten komen.
Zo geeft NIS24 (Network and Information Security Directive) aan dat «state of the art» beveiligingsmaatregelen waaronder «state of the art» encryptie moeten worden toegepast. Deze richtlijn schrijft verder voor dat organisaties die onder de richtlijn vallen moeten hebben: «beleid en procedures inzake het gebruik van cryptografie en, in voorkomend geval, encryptie».5 De gekozen maatregelen om de systemen te beveiligen volgt uit de risicoanalyse van de te beveiligen informatie. De Minister van Justitie en Veiligheid heeft de Kamer per brief op 31 januari geïnformeerd over de voortgang van de implementatie van de richtlijn.
Daarnaast vereisen de Baseline Informatiebeveiliging Overheid (BIO) en de voor de overheid verplichte ISO-standaarden6 dat nieuwe dreigingen en risico’s worden opgenomen in het risicomanagementproces. Deze standaarden bevatten normen ten aanzien van beleid en beheer van cryptografie. Ook andere eisen zorgen ervoor dat organisaties moeten starten met het beheersbaar maken van de dreiging van de quantumcomputer voor cryptografie – die daar kwetsbaar voor is. Een voorbeeld is de eis rondom het beheersen van kwetsbaarheden.

Vraag 5

Welke ondersteuning wordt er nu vanuit de Rijksoverheid geboden aan organisaties om zich voor te bereiden op de komst van quantumcomputers en de effecten op encryptie?

De benodigde veranderingen om gegevens en communicatie te beschermen tegen de capaciteiten van quantumcomputers zijn complex, omvangrijk en zullen vele jaren in beslag nemen. Nu beginnen met voorbereiden is dan ook noodzakelijk om risico’s, inspanning en kosten te kunnen spreiden. Daarom is een Rijksbreed samenwerkingsprogramma opgezet: quantumveilige Cryptografie (QvC-Rijk). Hierover heb ik u in mijn brief van afgelopen november geïnformeerd7

Vraag 6

Welke stappen kunnen organisaties nu al nemen om gegevens te beschermen tegen de komst van quantumcomputers?

Veel (overheids)organisaties en IT-leveranciers moeten zich nu al voorbereiden op risico’s die de komst van de quantumcomputer met zich meebrengen. Bijvoorbeeld organisaties die data verwerken, die over langere tijd nog vertrouwelijk moeten blijven zoals medische data of bedrijfsgeheime data. Of organisaties die systemen met een lange levensduur aanbieden, zoals bijvoorbeeld industriële automatisering8.
De volgende acties kunnen nu al door bedrijven en (overheids)instanties ondernomen worden:
De volgende maatregelen kunnen worden getroffen om wijzigingen voor te bereiden, die op een later moment noodzakelijk zullen zijn:

Vraag 7

In hoeverre wordt er internationaal of in Europees verband samengewerkt aan de voorbereiding van versterkte encryptie(-vereisten) voor de komst van quantumcomputers?

Een heel bekende samenwerking op dit vlak is de Amerikaanse National Institute of Standards and Technology competitie voor Post quantum cryptografie9. Nederland heeft ook een inzending gedaan, welke is geselecteerd (CRYSTALS-KYBER)10 om in de nieuwe wereldwijde standaarden op te nemen.
Daarnaast wordt door de wetenschap ook op dit onderwerp internationaal samengewerkt (zie vraag 8).
Met de Franse en Duitse nationale informatiebeveiligingsinstituten bestaan onder andere vanuit de Rijksoverheid al langer samenwerkingen generiek op cybersecurity en ook cryptografie. Momenteel wordt besproken op welke onderwerpen de samenwerking en kennisdeling op het gebied van de quantumdreiging geïntensiveerd kunnen worden.

Vraag 8

Welk onderzoek wordt er nu verricht naar quantumcomputing, en meer specifiek naar de gevolgen voor encryptie?

Departementen hebben gezamenlijk geld beschikbaar gesteld voor het oplossen van een aantal vraagstukken over cybersecurity. Dit heeft geleid tot een programma: Cybersecurity – naar een veilig en betrouwbaar digitaal domein11.
Binnen dit programma lopen 2 onderzoeken op het vlak van cryptografie:
Doel van dit onderzoek is om quantumveilige PKI-systemen te ontwikkelen en sector-gebaseerde groeipaden te leveren die organisaties zullen helpen hun systemen naar een quantumveilige toekomst te migreren. Dit gebeurt in samenwerking met koplopers in de telecommunicatie, financiële dienstverlening, zorg en publieke sector.
Doel van dit onderzoek is het ontwerpen van nieuwe algoritmen en siliciumchips met inherente bescherming tegen fysieke aanvallen, en het ontwikkelen van nieuwe simulatie- en evaluatietechnieken voor fysieke beveiliging. PROACT zal daarom bijdragen aan een verhoogde beveiliging van onze persoonlijke en bedrijfsgevoelige gegevens.
Op veel meer plekken wordt op dit vlak onderzoek gedaan, zowel door onderzoek en wetenschap, maar ook door private partijen. Tijdens congressen wordt hierover kennis gedeeld. Een recent voorbeeld hiervan in Nederland is het congres van het PKI-consortium van afgelopen november. Het PKI-consortium heeft dit congres georganiseerd samen met de Rijksoverheid (Logius) en onderzoeksorganisaties (Centrum voor Wiskunde en Informatica- CWI- en TNO)12.

Vraag 9

Welke maatregelen neemt de Staatssecretaris op korte termijn ter voorbereiding op de komst van quantumcomputers?

Onder regie van de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties wordt de migratie naar quantumveilige cryptografie binnen de Rijksoverheid voorbereid. Voor wat betreft het programma quantumveilige Cryptografie Rijk (QvC-Rijk): zie antwoord bij vraag 5.
De AIVD (Algemene Inlichtingen- en Veiligheidsdienst), het NCSC (Nationaal Cyber Security Centrum), CIO-Rijk (directie Chief Information Office- Rijk) en EZK (Ministerie van Economische Zaken en Klimaat) ontwikkelen hiervoor kennisproducten vanuit de taken die zij invullen. Dit gebeurt in onderlinge samenwerking en afstemming.
In brede zin maakt het voorbereiden op quantumveilige cryptografie deel uit van de Nederlandse Cybersecuritystrategie 2022–202813. Deze stelt onder andere dat, om de digitale veiligheid van Nederland nu en in de toekomst afdoende te kunnen beschermen, de ontwikkeling en toepassing van kennis en kunde op het gebied van cybersecurity continu worden versterkt. Intensieve en duurzame samenwerking tussen overheid, bedrijfsleven en kennisinstellingen is hiervoor essentieel. Het publiek-private samenwerkingsplatform dcypher, onder verantwoordelijkheid van EZK, speelt hier voor de overheid een centrale rol in, en legt de basis voor agendering en programmering van meerjarige onderzoeks- en innovatietrajecten met overheidspartijen, bedrijven en kennisinstellingen.

Vraag 1

Bent u op de hoogte van de brief van 22 november 2023 van de Inspectie Overheidsinformatie en Erfgoed over de «bevindingen opvolging aanbevelingen inspectie»? Dat gaat over de «De archivering van chatberichten bij het Ministerie van Algemene Zaken» en het onder verlengd toezicht plaatsen van het ministerie1

Ja.

Vraag 2

Welke instanties binnen de overheid vallen onder verlengd toezicht van de Inspectie?

Navraag bij de Inspectie Overheidsinformatie en Erfgoed heeft opgeleverd dat het Ministerie van Algemene Zaken en de dienst Toeslagen van de Belastingdienst vallen onder verlengd toezicht.

Vraag 3

Hoe waardeert u het dat uw ministerie onder verlengd toezicht staat?

Het verlengde toezicht draagt in zijn algemeenheid bij aan het op een goede wijze uitvoeren van de aanbevelingen van de Inspectie. De Inspectie Overheidsinformatie en Erfgoed is onafhankelijk in de uitoefening van haar taken. Het is niet aan mij om daar een oordeel over te hebben.

Vraag 4

De Inspectie geeft aan meer voortgang te hebben verwacht, onder meer op de invoering van het nieuwe Document Management Systeem (DMS) en ontwikkeling van een kwaliteitssysteem. Kunt u zich vinden in deze conclusie?

Het is helaas niet mogelijk gebleken om het nieuwe DMS-systeem conform planning in te voeren. Het Ministerie van Algemene Zaken zal het nieuwe DMS-systeem invoeren zodra dit verantwoord is met het oog op de uitvoering van haar taken. De Inspectie Overheidsinformatie en Erfgoed is onafhankelijk in de uitoefening van haar taken. Het is niet aan mij om een oordeel over hun conclusie te hebben.

Vraag 5

Kunt u per aanbeveling uit het oorspronkelijke rapport uit september 2022, «De archivering van chatberichten bij het Ministerie van Algemene Zaken» aangeven hoe die is opgevolgd en wat de huidige stand van zaken is?

Zie hiervoor de bij deze brief gevoegde bijlage.

Vraag 6

Kunt u, na meer dan twee jaar debat en ondertoezichtstelling van het ministerie, nu aangeven hoe de berichten van de Minister-President systematisch, toetsbaar en doorzoekbaar worden gearchiveerd?

De Inspectie voor Overheidsinformatie en Erfgoed heeft onderzoek gedaan naar de archivering bij het Ministerie van Algemene Zaken. Dit onderzoek is aangeboden aan het Ministerie van Algemene Zaken op 28 september 2022, en, met reactie, op 3 oktober 2022 aan de Kamer verzonden.2 Zoals ik heb gemeld in deze reactie op het Inspectierapport verwijder ik sinds eind mei 2022 geen chatberichten meer en worden deze bewaard ten behoeve van veiligstelling en archivering. De chatberichten van de Minister-President worden per oktober 2023 ook opgeslagen in het bestaande document management systeem. Voor de goede orde zij vermeld dat voordien berichten werden gearchiveerd conform de toen geldende richtlijn inzake het bewaren van chatberichten.3
Het Ministerie van Algemene Zaken volgt voorts het rijksbrede beleid ten aanzien van archivering van chatberichten van bewindspersonen. Zie hiervoor onder andere de brief van de Minister van Binnenlandse Zaken en Koninkrijksrelaties van 6 april 20234, het antwoord op vragen van de vaste Kamercommissie van 23 mei 20235 en de brief van 15 september 2023 inzake een tijdelijke instructie voor bewindspersonen chatberichten archivering.6 Ik wijs er voorts op dat op dit moment een voorstel tot wijziging van de Archiefwet bij de Tweede Kamer aanhangig is, waarin de vraag naar het archiveren van chatberichten ook aan de orde is gekomen.7

Vraag 7

Indien de parlementaire enquêtecommissie Corona de berichten van de Minister-President zou vorderen, die betrekking hebben op de aanpak van de coronacrisis, krijgt de commissie dan binnen twee weken geordend alle berichten, inclusief de berichten met sleutelfiguren in deze (zoals dhr. Van Dissel, Minister De Jonge, de vicepremiers, de relevante raadsadviseurs), vanaf het begin van de crisis?

Uiteraard zal aan een vordering van een parlementaire enquêtecommissie, waar nodig na overleg en voor zover mogelijk, worden voldaan.

Vraag 8

Kunt u uw antwoord toelichten?

Zie antwoord vraag 7.

Vraag 9

Kunt u het toegezegde gehanteerde afbakeningsdocument (met de instructies die concreet opgevolgd zijn) in de periode maart 2020 tot 30 september 2021 aan de Kamer doen toekomen?

Aangenomen wordt dat hier niet is bedoeld op het afbakeningsdocument met betrekking tot de hotspot archivering rond corona dat immers de Kamer reeds is verstrekt (TK 2022–2023, 25 295 nr. 1986), maar dat is gedoeld op de werkinstructie van het Ministerie van Algemene Zaken van 10 juli 2020 (zie «De archivering van chatberichten bij het Ministerie van algemene zaken», Inspectie overheidsinformatie en erfgoed, p 39). In de bijlage vindt u de instructie die hiertoe op 10 juli 2020 door de secretaris-generaal is verspreid.

Vraag 10

Vindt de archivering van de berichten van de Minister-President nu conform de Archiefwet plaats?

Zie het antwoord op vraag 6.

Vraag 11

Kunt u dit antwoord uitgebreid toelichten en daarin ook ingaan op de tijdelijke instructie voor alle bewindspersonen voor het archiveren van chatberichten?

Zie het antwoord op vraag 6.

Vraag 12

Het nieuwe DMS met de naam DIAZ heeft als doel ¨dat na de invoering van DIAZ de medewerkers van de afdelingen meer zelf moeten opslaan». Deelt u de visie dat medewerkers niet belast zouden moeten worden met extra administratieve taken?

Van medewerkers van Algemene Zaken wordt verwacht dat zij conform de Archiefwet de relevante informatie in beheer brengen door deze in het DMS te plaatsen. Het nieuwe DMS is gebruiksvriendelijker, waardoor de kwaliteit van het onder beheer brengen van informatie op een natuurlijke manier hoger wordt. De geciteerde zin heeft betrekking op de benodigde ondersteuning bij het uitvoeren van deze handelingen en impliceert geen verdere belasting van medewerkers met extra administratieve taken.

Vraag 13

Wat betreft de aanbevelingen voor de archivering van chatberichten is het Ministerie van Algemene Zaken nog afwachtend aldus de Inspectie. Hoe verklaart u deze afwachtende houding, afgezien van het wachten op een Rijksbrede invulling?

Zie het antwoord op vraag 6.

Vraag 14

In het verslag zoals vastgesteld op 24 mei 20232 geeft u bij vraag 39 aan dat «de uitdagingen tweeledig zijn». In hoeverre vind u het een uitdaging om de privacy van burgers en medewerkers te beschermen? Hoe gaat u deze uitdagingen aan?

De uitdaging in de uitvoering van het informatiebeheer zit, op basis van navraag bij het Nationaal Archief, vooral in het gebruik van chatapps. Zie hiervoor ook de brief van 15 september 2023 inzake een tijdelijke instructie voor bewindspersonen chatberichten archivering.9 In chatapps loopt zakelijke, privé en partijpolitieke communicatie regelmatig door elkaar heen. Dit zorgt voor vraagstukken rond een goede uitvoering van informatiebeheer rekening houdend met de eisen uit o.a. de Archiefwet, de Wet open overheid (Woo) en de Algemene verordening gegevensbescherming (AVG). Privé en partijpolitieke chatconversaties vallen niet onder de Archiefwet en horen dus niet thuis in het archief van de organisatie.
Voor een goede uitvoerbaarheid van het informatiebeheer is het noodzakelijk dat het uitgangspunt om privé, partijpolitieke en zakelijke conversaties aan de voorkant zoveel mogelijk te scheiden op termijn wordt gerealiseerd. Hiermee wordt voorkomen dat privé en partijpolitieke conversaties met onder andere burgers en medewerkers in het archief van de organisatie worden opgenomen.

Vraag 15

U geeft in hetzelfde verslag aan dat het Nationaal Archief contact heeft met andere landen over de toepassing van de sleutelfunctiemethodiek. Waarom is Nederland (in navolging van België) nog steeds niet over gegaan tot invoering van de sleutelfunctiemethodiek?

De sleutelfunctiemethodiek is, op basis van navraag bij het Nationaal Archief, in de Verenigde Staten ontwikkeld en daar een tiental jaar geleden voor e-mail ingevoerd. Sinds kort wordt deze methodiek er ook toegepast op chatberichten. Europese landen die deze methodiek willen overnemen moeten echter rekening houden met de verhoudingsgewijs strengere Europese en nationale privacywetgeving en dus passende technische en organisatorische maatregelen nemen om persoonsgegevens te beschermen. Dat omvat in Nederland onder andere het uittekenen van procedures, het ontwikkelen van aangepaste technische voorzieningen en het betrekken van de medezeggenschap. Dat is een complexe opgave, die veel tijd en capaciteit vraagt. Nederland is Europees niettemin één van de voorlopers, zowel voor e-mail als chat: andere Europese landen volgen de Nederlandse aanpak met interesse of wisselen ervaringen met het Nationaal Archief uit. Dat geldt ook voor België, dat op dit moment de invoering van de sleutelfunctiemethodiek voor e-mail onderzoekt en geleidelijk zal uitrollen. Meer informatie is te vinden op de website van het Rijksarchief in België: https://arch.arch.be/index.php?l=nl&m=ambtenaar&r=termen-en-thema-s&sr=e-mailarchivering.
In Nederland is de sleutelfunctie methodiek voor gebruik bij e-mail in 2018 vastgesteld door de Interdepartementale Commissie Bedrijfsvoering Rijksdienst (ICBR). Daarbij is een modelselectielijst voor e-mail ontwikkeld voor gebruik bij de verschillende organisaties. Voor e-mail zijn vervolgens de eerste selectielijsten in 2023 vastgesteld. Voor publicatie van deze lijsten wordt gewacht tot ook de technische voorziening gereed is. Zonder de passende technische en organisatorische maatregelen, zoals eerder vermeld kan deze methodiek niet daadwerkelijk worden toegepast.
Voor de archivering van chatberichten ontwikkelt het Nationaal Archief momenteel een modelselectielijst. De modelselectielijst wordt binnenkort met de Tweede Kamer gedeeld. Ook hier geldt dat op basis van de modelselectielijst verantwoordelijke overheidsorganen een eigen selectielijst zullen opstellen. Naast de selectielijst moeten ook hier de passende technische en organisatorische maatregelen genomen worden. Hier wordt vanuit het Programma Open Overheid van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties aan gewerkt. Het Nationaal Archief is hierbij nauw betrokken.

Vraag 16

Er is sprake van een innovatielab bij het Nationaal Archief, waar gekeken wordt naar het verbeteren van technieken en naar verschil tussen applicaties in eigen beheer en extern (niet in eigen) beheer waar een marktverkenning naar wordt gedaan. Welke oplossingen worden voor welk probleem precies gezocht in een marktverkenning?

Er lopen, op basis van navraag bij het Nationaal Archief, twee trajecten door elkaar. Het Nationaal Archief heeft zich in een innovatielab geconcentreerd op de duurzame toegankelijkheid van tekstberichten. Hier zijn een aantal prototypes bedacht, ontwikkeld en voorgelegd aan een begeleidingscommissie. In een volgende fase worden deze prototypes verder uitgewerkt. Meer informatie hierover is hier vinden: https://kia.pleio.nl/groups/view/7f52406f-53bf-4c10-a1d3-0d2f5b16c1c7/innovatielab-informatiehuishouding/blog/view/cdcaf361-fe27-4ad5-8d60-1e7dc1753a7b/beoordelingscommissie-prototypes-team-tekstberichten.
Het innovatielab heeft geen onderzoek en marktverkenning gedaan naar applicaties in eigen beheer en extern.
Het onderzoek en de markverkenning zijn uitgevoerd door een projectgroep van het Rijksprogramma voor Duurzame digitale Informatiehuishouding (RDDI) (https://www.informatiehuishouding.nl/projecten/voorziening-chatarchivering). Het Nationaal Archief maakt deel uit van deze projectgroep. In de marktverkenning zijn methodieken verkend voor het veiligstellen van chatberichten. Deze markverkenning is afgerond en het resultaat en de aspecten die zijn meegenomen vindt u hier: https://www.informatiehuishouding.nl/projecten/voorziening-chatarchivering/documenten/verslagen/2023/12/18/verslag-verkenning-van-methodieken-voor-veiligstellen-chatberichten

Vraag 17

Op welke termijn worden resultaten van deze marktverkenning verwacht?

Zie het antwoord op vraag 16.

Vraag 18

Zou u de Kamer uiterlijk twee dagen voor de vaststelling van de begrotingsstaat van het Ministerie van Algemene Zaken (naar verwachting 18 januari 2024) de beantwoording van deze vragen willen doen toekomen?

Dit is mijn streven geweest.

Vraag 1

Kunt u in algemene zin een toelichting geven op de beoogde Nederlandse deelname aan de IPCEI-regeling voor cloudtechnologie?1 2

Het kabinet heeft op 21 september 2021 (Prinsjesdag) uw Kamer geïnformeerd over de voorgenomen Nederlandse deelname aan het Important Project of Common European Interest Next Generation Cloud Infrastructure and Services (IPCEI CIS) en de beslissing hiervoor 70 miljoen euro ten behoeve van Nederlandse projecten beschikbaar te stellen. Het kabinet vindt Europese innovatie op dit terrein van groot belang voor het bedrijfsleven en met name de maakindustrie die, ook in Nederland, voor processen en productie een steeds grotere behoefte heeft aan nieuwe, concurrerende en veilige Europese cloudtoepassingen.
Een IPCEI is een geïntegreerd Europees project dat bestaat uit meerdere nationale projecten van bedrijven en/of onderzoeksinstellingen uit deelnemende lidstaten, dat beoogt een belangrijke Europese waardeketen te realiseren of in stand te houden. Hierdoor wordt de Europese autonomie verstevigd. De IPCEI CIS is het eerste belangrijke project van gemeenschappelijk Europees belang op het gebied van cloud- en edge-computing. Het betreft de ontwikkeling van het eerste interoperabele en vrij toegankelijke Europese ecosysteem voor gegevensverwerking.
Het project moet zorgen voor de Europese ontwikkeling van gegevensverwerkingscapaciteit, software en instrumenten voor het delen van gegevens waarmee onderling verbonden, energie-efficiënte en betrouwbare cloud- en edge-technologie en samenhangende diensten voor het verwerken van gedistribueerde gegevens kunnen worden ontwikkeld. De innovatie in het kader van IPCEI CIS zal een nieuw spectrum van mogelijkheden voor Europese bedrijven en burgers bieden en zo de digitale en groene transitie in Europa bevorderen.
Hiermee past onze inzet binnen de IPCEI CIS bij bestaand beleid, zoals de kabinetsvisie op datadelen tussen bedrijven3, de Europese datastrategie4 de Strategie Digitale Economie5 en de Europese verklaring voor een nieuwe generatie edge en cloud6. Ook wordt met de IPCEI CIS een aantal marktfalens geadresseerd. Deze economische problematiek is onder andere door de Autoriteit Consument en Markt (ACM) onderzocht en beschreven in een uitgebreide marktstudie7. De Nederlandse IPCEI CIS-projecten worden inhoudelijk in de Kamerbrief die gelijktijdig met deze beantwoording wordt verzonden verder beschreven.
Op basis van een rangschikking zijn drie Nederlandse projecten in aanmerking voor subsidie gekomen. De Nederlandse projecten maken deel uit van het IPCEI CIS ecosysteem8. Hier is ook door de Europese Commissie over gecommuniceerd bij de aankondiging van de goedkeuringsbesluiten voor steun aan bedrijven op basis van het IPCEI-steunkader. Dit is een proces geweest waar door de deelnemende bedrijven, de Nederlandse overheid en de Europese Commissie zorgvuldig gedurende een periode van twee jaar aan is gewerkt. Deze subsidie is inmiddels door EZK verstrekt.

Vraag 2

Kunt u een overzicht geven van de waardeketen voor cloudtechnologie van datacenters, inclusief toeleveranciers, via clouddienstverleners, tot aan gebruikers hiervan?

Het gaat bij cloudtechnologie om IT-diensten die via het internet worden aangeboden waarbij de gebruiker geen hardware en software aanschaft, maar betaalt voor het daadwerkelijke gebruik van één of meerdere diensten die op de infrastructuur van een cloudaanbieder draaien. Deze infrastructuur is in de regel in een datacenter gehuisvest. Door deze opzet kan de gebruiker zijn of haar gebruik makkelijk op- en afschalen.
Clouddiensten worden grofweg in drie categorieën verdeeld: (1) Infrastructuur as a Service (IaaS), (2) Platform as a service (PaaS) en (3) Software as a Service (SaaS), waarbij de scheidslijnen tussen die drie niet altijd even scherp te trekken zijn. Onderstaande afbeelding geeft schematisch weer hoe deze algemene waardeketen van clouddiensten eruit ziet en wat de verschillende categorieën inhouden. Het is niet mogelijk een uitputtende beschrijving te geven van de waardeketen van cloud in Nederland.
Figuur 1: Een schematische weergave van de verschillende lagen in cloudtechnologie. Bron: ACM

Vraag 3

Wat zijn de grootste bedrijven in deze keten in Nederland, Europa en wereldwijd?

Clouddiensten worden aangeboden door een aantal van de grootste bedrijven ter wereld, zoals Amazon, Microsoft en Google. Andere actieve spelers op de Europese en Nederlandse markt voor clouddiensten zijn bijvoorbeeld IBM, Oracle, VMware, OVHcloud, Scaleway en het Nederlandse Leaseweb. De grootste cloudaanbieders zijn actief op zowel de IaaS-, PaaS- en SaaS-laag, en zijn dus verticaal geïntegreerd. De ACM9 stelt vast dat de clouddiensten van de twee grootste partijen, Microsoft Azure en Amazon Web Services (AWS), in zowel Nederland als Europa, op de IaaS- en PaaS-laag over een groot marktaandeel beschikken (beide 35 à 40 procent). Google is de sterke derde speler op de Nederlandse en Europese markt. Er is sprake van een hoge mate van concentratie op de markt voor clouddiensten. Daarbij leveren Nederlandse bedrijven vaak diensten gebaseerd op infrastructuur die door derden worden geleverd.

Vraag 4

Op welke control points in de keten heeft Nederland een goede concurrentiepositie en op welke zouden we die kunnen ontwikkelen?

Over het algemeen hebben Nederlandse cloudbedrijven een klein marktaandeel in alle lagen van de waardeketen, hoewel Nederlandse bedrijven op het gebied van IaaS een relatief sterkere positie hebben. Daarmee zijn de strategische controlepunten in de waardeketen van cloudbedrijven, voor zover die er zijn, niet direct de basis voor de Nederlandse concurrentiepositie. De IPCEI CIS is gericht op het stimuleren van een nieuwe generatie innovatie edge- en cloudoplossingen, waarbij beoogd wordt dat de concurrentiepositie van deelnemende Europese bedrijven verbetert. Zo kunnen deze bedrijven op het gebied van bijvoorbeeld federatieve cloudoplossingen, dus het kunnen verbinden van clouddiensten van verschillende aanbieders met elkaar, en nieuwe edge-technologieën een sterkere marktpositie krijgen. Hierbij wordt niet direct een focus gelegd op het creëren van een sterke positie van specifiek Nederlandse bedrijven, maar wordt gewerkt aan het creëren van een sterke Europese waardeketen over de verschillende lagen heen. Europese integratie is ook een voorwaarde om staatssteun onder het IPCEI steunkader te mogen verlenen.

Vraag 5

Bent u voornemens om (een deel van) de door de Nederlandse regering gereserveerde € 70 miljoen in te zetten om een soevereine Nederlandse clouddienst te realiseren?

Digitale infrastructuur zoals cloud bestaat uit wereldwijde toepassingen en verbindingen waarin een uitsluitend Nederlandse (toonaangevende of soevereine) dienst op dit moment niet voor de hand ligt. Het gaat bij de IPCEI CIS om het behalen van Europese doelstellingen op het gebied van cloudinnovatie waarbij Nederlandse deelname op basis van kennis, innovatie en financiering geen vanzelfsprekendheid vooraf is. Het kabinet vindt Nederlandse deelname echter van groot belang vanuit innovatieoogpunt, maar ook voor het toekomstig gebruik van te ontwikkelen Europese clouddiensten door Nederlandse (maakindustrie)bedrijven. Daarom heeft mijn ministerie zich samen met betrokkenen uit de Nederlandse cloudsector, actief ingezet voor deelname en financiering gereserveerd.
De IPCEI CIS draagt rechtstreeks bij aan de verwezenlijking van verschillende doelstellingen op het gebied van een digitale, groenere, veiligere, veerkrachtigere en soevereine economie. De middelen worden ingezet om Nederlandse bedrijven en onderzoeksinstellingen een bijdrage te laten leveren aan een nieuwe generatie innovatieve cloudoplossingen, zoals ook beschreven staat in de IPCEI subsidieregeling10. Hiervan kunnen zowel Nederlandse bedrijven als overheden straks gebruik maken.

Vraag 6

Welke governance is van toepassing om te garanderen dat het publieke en private geld terecht komt bij de juiste bedrijven? Welke rol zullen de regionale ontwikkelmaatschappijen hierbij spelen?

De Nederlandse bedrijven en onderzoeksinstellingen die in de IPCEI CIS subsidie krijgen zijn geselecteerd op basis van de criteria uit de IPCEI subsidieregeling11. Steun aan individuele bedrijven blijft beperkt tot wat noodzakelijk en evenredig is en niet zorgt voor marktverstoring. De Europese Commissie heeft zich er van vergewist dat de staatssteun die bedrijven mogen ontvangen in het kader van het IPCEI steunkader in overeenstemming is met de subsidiabele kosten van de projecten in relatie tot de zogenoemde «financieringskloof». Dit zijn de niet rendabele kosten van een project. De monitoring van de met publieke middelen gefinancierde projecten wordt in Nederland uitgevoerd door de RVO, hier spelen de regionale ontwikkelmaatschappijen geen rol bij. Ook op Europees niveau zijn er voor de IPCEI CIS verschillende governance mechanismes ingericht om te waarborgen dat publieke middelen op een effectieve manier worden ingezet en het geheel aan Europese projecten goed op elkaar wordt afgestemd. Ook wordt op Europees niveau ingezet op een transparant, inclusief en sneller ontwerp van belangrijke projecten van gemeenschappelijk Europees belang.

Vraag 7

In welke mate heeft dit initiatief raakvlakken met andere initiatieven van het Ministerie van EZK, zoals de Agenda Digitale Open Strategische Autonomie en de Nationale Technologiestrategie?

De IPCEI CIS draagt rechtstreeks bij aan de verwezenlijking van verschillende doelstellingen op het gebied van een digitale, groenere, veiligere, veerkrachtigere en soevereine economie. Daarmee sluit het ook aan bij de agenda Digitale Open Strategische Autonomie (DOSA) en de Nationale Technologiestrategie. Europa is momenteel erg afhankelijk van cloudaanbieders uit derde landen, wat impact kan hebben op onze nationale veiligheid, ons verdienvermogen en andere maatschappelijke belangen. In het bijzonder is controle behouden over strategische en gevoelige gegevens een punt van toenemende aandacht. De doelstelling van het IPCEI-project van het verder ontwikkelen van Europese cloud- en edge-technologie kan bijdragen aan het verminderen van onze afhankelijkheid.

Vraag 1

Zoals gebruikelijk weigert de Minister-President op vragen over het World Economic Forum (WEF) inhoudelijk te antwoorden1; kan de Minister-President uitleggen waarom zoveel geheimzinnigheid wordt betracht over contacten van de Nederlandse overheid (die tot transparantie aan het Nederlandse volk verplicht is) met een buitenlandse private organisatie die zelf een groot voorstander van transparantie beweert te zijn? Zo nee, waarom niet?

De meeste bijeenkomsten tijdens het WEF worden via een live-stream uitgezonden. Daarnaast ben ik transparant over de bedrijven en regeringsleiders die ik spreek, voor zover de belangen van de staat zich daar niet tegen verzetten.

Vraag 2

Indien de Minister-President een zwijgplicht heeft ten aanzien van wat hij bespreekt met Klaus Schwab, kan hij dan wellicht Klaus Schwab uit het oogpunt van transparantie en om het vertrouwen in de Nederlandse instituties te herstellen verzoeken om een toelichting dienaangaande te komen geven in een vergadering van de Tweede Kamer? Zo nee, waarom niet?

Het is niet aan mij om mensen uit te nodigen in de Tweede Kamer, dat is aan de Tweede Kamer zelf.

Vraag 3

Waarom namen de Minister van Financiën (mevrouw Kaag), de heer Dusek, de heer Halberstadt (voormalig lid van de Bilderberg-steering committee) en de heer Sijbesma (biotechnoloog, lid van de toezichtsraad van het WEF, klimaatleider van de Wereldbank, met name gericht op CO2-beprijzing, en lid van de externe adviesraad van het Internationaal Monetair Fonds (IMF), speciaal afgevaardigde van de regering tijdens corona met betrekking tot het testen, en lid van de VN Scaling Up Nutrition Movement Group) deel aan dit gesprek over kunstmatige intelligentie? Gezien hun functies en expertises is dat immers toch niet zo voor de hand liggend? Of wel?

Het gesprek had een informeel karakter en was bedoeld om vrij met elkaar van gedachten te wisselen. De aanwezigen hebben een internationaal profiel en achtergrond en zijn regelmatige bezoekers van het WEF. Het onderwerp AI sluit tevens aan bij de thematiek van de 54e jaarlijkse bijeenkomst van het WEF in januari aanstaande. De bijeenkomst zal dan mede gaan over de kansen die worden geboden door dergelijke nieuwe technologieën.

Vraag 4

Betekent de deelname van de bovengenoemde personen dat het onderwerp kunstmatige intelligentie tijdens dit gesprek in verband is gebracht met de voorgenomen implementatie van de One Health filosofie? Zo nee waarom niet?

Tijdens dit gesprek is de One Health filosofie niet aan de orde geweest. Het betrof een informeel gesprek over de kansen en risico’s van het gebruik van Artificial Intelligence (AI).

Vraag 5

Of betekent het wellicht dat kunstmatige intelligente in verband is gebracht met de invoering van een Europese Digitale Identiteit? Zo nee waarom niet?

Tijdens dit gesprek is de Europese Digitale Identiteit niet aan de orde geweest. Het betrof een informeel gesprek over de kansen en risico’s van het gebruik van Artificial Intelligence (AI).

Vraag 6

Of betekent het dat kunstmatige intelligente in verband is gebracht met de invoering van biometrische identificatie op wereldniveau? Zo nee waarom niet?

Tijdens dit gesprek is biometrische identificatie niet aan de orde geweest. Het betrof een informeel gesprek over de kansen en risico’s van het gebruik van Artificial Intelligence (AI).

Vraag 7

Of betekent het misschien dat kunstmatige intelligente in verband is gebracht met de invoering van de Central Bank Digital Currency (CBDC)? Zo nee waarom niet?

Tijdens dit gesprek is CBDC is niet aan de orde geweest. Het betrof een informeel gesprek over de kansen en risico’s van het gebruik van Artificial Intelligence (AI).

Vraag 8

Of betekent het tot slotte dat kunstmatige intelligente in verband is gebracht met de controle op online-informatiestromen? Zo nee waarom niet?

Tijdens dit gesprek is niet gesproken over controle op online-informatiestromen. Het betrof een informeel gesprek over de kansen en risico’s van het gebruik van Artificial Intelligence (AI).

Vraag 9

Waarom weigeren de Minister-President en zijn regering stelselmatig ruimhartig informatie te delen over wat er inhoudelijk met het WEF en Bilderberg wordt gewisseld terwijl de Minister-President zelf heeft erkend dat de «rode lijnen» worden uitgezet in Davos en Washington?2

Zie de antwoorden op de overige vragen.

Vraag 10

Met die uitspraak van 20 januari 2023 erkende de Minister-President toch dat het WEF een belangrijke rol speelt in het uitzetten van de beleidsagenda in Nederland? Zo nee waarom niet? Zo ja, dan heeft het Nederlandse volk er toch recht op te weten wat de Minister-President en andere machtige leden van de wereldelite onderling bedisselen? Zo nee, waarom heeft het Nederlandse volk daar dan geen recht op?

Tijdens de persconferentie na afloop van de ministerraad van 20 januari 2023 sprak ik over onderwerpen die in die week of in de ministerraad aan de orde waren gekomen. In dat kader sprak ik over de term «gemeenschappelijke thema’s». Daarmee bedoelde ik dat een aantal onderwerpen op meerdere momenten in die week de revue waren gepasseerd.

Vraag 11

Kan de premier deze vragen afzonderlijk en voor de verandering inhoudelijk (dus zonder een beroep te doen op procedurele uitvluchten) beantwoorden?

Ja.

Vraag 12

Kan de Minister-President namens de vragensteller aan zijn ambtenaren laten weten dat de vragensteller zich er bewust van is dat de vaak bijzonder gebrekkige en zelden inhoudelijke beantwoording van Kamervragen door zijn ministerie, waarvan de ronduit onbeschofte beantwoording van Kamervragen over het hijsen van vlaggen voor publieke gebouwen van woensdag jongstleden het meest recente voorbeeld is, vanzelfsprekend uitsluitend, altijd en alleen de verantwoording van de premier is en blijft en dat de vragensteller meeleeft met de ambtenaren die deze nietszeggende antwoorden hebben moeten opschrijven?

Waarvan akte.

Vraag 1

Bent u bekend met het bericht «Experts sabelen overheid neer om belangrijke websites als DigiD: «Pas nu domeinnaam aan»»?1

Ja.

Vraag 2

Deelt u de mening dat het gebruik van topleveldomeinnamen, zoals ook gevraagd tijdens het commissiedebat Digitaliserende overheid d.d. 28 juni jl. een goed idee is en wat is de status hiervan2?

Zoals opgenomen in de Werkagenda Waardengedreven Digitaliseren3, heb ik onder de pijler 2: Iedereen kan de digitale wereld vertrouwen, opgenomen te komen tot de invoering van een second-level-domein (SLD) voor de overheid. Als voorbeeld is in de Werkagenda opgenomen de SLD overheid.nl, daarnaast wordt ook gov.nl overwogen.
Met de toename van domeinnamen van de overheid is de herkenbaarheid van overheidswebsites in het geding gekomen. Een eigen topleveldomeinnaam (TLD) zoals bijvoorbeeld .gov, .overheid of .nld is nu niet mogelijk. De TLD .gov is al in bezit van de Amerikaanse overheid en kan dus niet gebruikt worden door de Nederlandse overheid.
In 2012, tijdens de laatste uitbreiding van TLD’s heeft de Internet Corporation for Assigned Names and Numbers (ICANN), de organisatie waar je een TLD moet aanvragen, de regel gehandhaafd dat 3 letterige ISO country codes TLD (ccTLD) zoals .nld niet uitgegeven worden.4 Nederland gebruikt op dit moment de 2 letterige ccTLD .nl en het huidige .nl domein werkt goed [zie Kamerstuk 26 643, nr. 947]. ICANN zal de regel over niet toekennen van 3 letterige ccTLD zeer waarschijnlijk ook handhaven in de volgende uitbreidingsronde van TLD door ICANN. Verwacht wordt dat ICANN waarschijnlijk in 2026 de aanmelding voor een volgende uitbreidingsronde voor TLD’s opent. Tot die tijd zou Nederland geen aanvraag voor een TLD kunnen indienen.
Veel landen hanteren specifiek voor overheidswebsites de SLD extensie .gov zoals het Verenigd Koninkrijk (gov.uk), Tsjechië (gov.cz), Polen (gov.pl), Griekenland (gov.gr) en Portugal (gov.pt). Het is inmiddels een internationale standaard voor overheidswebsites én herkenbaar, korter en daardoor ook veiliger. Uit recent onderzoek5 van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) blijkt aantoonbaar dat een uniforme extensie burgers helpt te bepalen of een website van de overheid is of niet.
Momenteel wordt gewerkt aan een implementatie-aanpak voor één extensie. Over de gemaakte keuze en aanpak wil ik uw Kamer via de Voortgangsrapportage van de Werkagenda Waardengedreven Digitaliseren eind dit jaar nader informeren. Voor de daadwerkelijke implementatie zal er vervolgens enige tijd nodig zijn; dit zal nader toegelicht worden in de implementatie-aanpak.

Vraag 3

Zo ja, op welke termijn verwacht u dit door te kunnen voeren?

Zie antwoord vraag 2.

Vraag 4

Waarom hebben namen van websites als DigiD en andere websites van de overheid (nog) geen specifieke domeinnamen?

Overheden zijn nu vrij domeinnamen voor hun websites te kiezen. Voor Rijksoverheden wordt deze vrijheid begrensd door de afspraken die zijn vastgelegd in het Domeinnaambeleid Rijksoverheid.6 De afspraken bevatten onder meer criteria voor het gebruik van topleveldomeinen door de Rijksoverheid zoals .nl, .eu, .com, .aw-, .cw- en .sx. En verder zijn er afspraken dat overige TLD’s zoals bijvoorbeeld .nu, .org, .net, .gov, .info, .biz, .mil niet gebruikt worden voor Nederlandse Rijksoverheidsdoeleinden.

Vraag 5

Hoe beoordeelt u dat er wordt gesteld dat de overheid domeinnamen van de eigen websites zo snel mogelijk moet aanpassen naar .gov of .overheid om de opmars van cybercriminaliteit de pas af te snijden?

De invoering van een uniform domeinnaamachtervoegsel zal de herkenbaarheid van de overheid online vergroten, zoals ik ook vermeldde in de «Werkagenda Waardengedreven Digitaliseren» die ik eind 2022 met u deelde. Het is echter geen middel om cybercriminaliteit met online overheidsdiensten volledig te voorkomen.
Zoals toegelicht in vraag 2 is de invoering van een top-level domeinnaam (TLD) voor de overheid nu niet mogelijk. De second-level domeinnamen (SLD) overheid.nl en gov.nl zijn al in bezit van de Nederlandse overheid. Deze domeinnamen kunnen als uniform achtervoegsel (ook wel suffix of extensie genoemd) worden gebruikt voor domeinnamen van de overheid. Daaronder kunnen dan domeinnamen voor organisaties worden geregistreerd zoals bijv. minbzk.overheid.nl of minbzk.gov.nl. Verschillende andere landen hanteren al een vergelijkbare aanpak of werken aan de invoering ervan, zoals Groot-Brittannië (gov.uk), Tsjechië (gov.cz), Griekeland (gov.gr), Polen (gov.pl) en Portugal (gov.pt). Ik ben voorstander van het invoeren van een SLD-extensie en zal me daarvoor ook blijven inzetten, maar een volledige overstap zal tijd kosten.

Vraag 6

Deelt u de mening dat er spoedig specifieke domeinnamen moeten komen voor de hiervoor genoemde websites? Zo neen, waarom niet?

Ik vind het belangrijk dat de digitale overheid herkenbaar en veilig is voor burgers en uit recent burgeronderzoek7 is gebleken dat één uniforme domeinnaamextensie zoals bijvoorbeeld overheid.nl of gov.nl bijdraagt aan de herkenbaarheid van de overheid. Een dergelijk extensie kan, na invoering, ook worden toegepast op websites zoals DigiD.

Vraag 7

Bent u voornemens de domeinnamen spoedig te veranderen? Zo neen, waarom niet? Zo ja, wanneer zou dat gerealiseerd kunnen zijn?

Op dit moment werkt het Ministerie van BZK interdepartementaal de mogelijkheid uit om één uniforme domeinnaamextensie voor alle publieksgerichte websites van de overheid in te voeren. Dat zal gebaseerd zijn op een SLD zoals overheid.nl of gov.nl. Ook is het Nationaal Cyber Security Centrum gevraagd een advies uit te brengen over welk extensiegebruik (gov.nl of overheid.nl) vanuit digitale veiligheid de voorkeur geniet.
Verder is begin oktober het Register van Overheidsorganisaties (ROO) uitgebreid met de bèta-versie van het Register Internetdomeinen Overheid (RIO).8 In het register staan alle publieke domeinen en -registraties van de Rijksoverheid opgenomen. Aan de hand van het register kunnen burgers nu al controleren of een domeinnaam die men bezoekt bij de overheidsorganisatie hoort die wordt verwacht. Vanaf begin 2024 worden ook de domeinen van andere overheden in het register vindbaar en zal meer bekendheid gegeven worden aan het RIO.

Vraag 8

Wanneer kan de voortgangsrapportage integrale aanpak onlinefraude worden verwacht, die zoals toegezegd tijdens het commissiedebat Cybercrime d.d. 30 maart jl.3, informatie bevat over de pilot gegevensuitwisseling, gezien banken, politie en het OM informatie hebben die helaas nog te weinig bij elkaar wordt gebracht, waardoor cybercriminelen vrij spel lijken te hebben?

De Minister van Justitie en Veiligheid zendt u uiterlijk begin 2024 de toegezegde voortgangsrapportage over 2023.

Vraag 9

In het debat Online veiligheid en cybersecurity van 29 juni 2023 is toegezegd4 om informatie over terugvalopties en de hele weerbaarheidsanalyse terug te laten komen in de update van de versterkte aanpak bescherming vitale infrastructuur: hoe staat het met de uitwerking van deze toezegging?

Uw Kamer wordt voor het einde van dit jaar door de Minister van Justitie en Veiligheid geïnformeerd over deze toezegging en over de motie Rajkowski en Van Raan over het in kaart brengen in hoeverre terugvalopties nodig zijn voor het versterken van de digitale weerbaarheid (26 643 nr. 1053).

Vraag 10

Bent u voornemens het onderzoek van Interpolis, waarnaar verwezen wordt in het artikel, mee te nemen in de aanpak tegen phishing en andere vormen van cybercriminaliteit? Zo ja, op welke manier zal dit terugkomen en wanneer verwacht het kabinet een update over de aanpak te kunnen geven? Zo nee, waarom niet?

De in het artikel genoemde noties over online weerbaarheid, en het herkennen en voorkomen van cybercriminaliteit zijn bekend. Dat wordt door de Minister van Justitie en Veiligheid meegenomen in de aanpak tegen cybercrime, en de aanpak tegen online fraude. Een voorbeeld hiervan is de campagne «Laat je niet interneppen», die op 10 oktober is gestart. Er wordt rekening gehouden met de verschillende (online) belevingswerelden van verschillende leeftijdsgroepen. Daarom is het eerste deel van de campagne met name gericht op jongeren tussen 15 en 23 jaar oud. Volgende delen zullen zich op andere doelgroepen richten.
In het voorjaar van 2024 zal de Minister van Justitie en Veiligheid een volgende update over de integrale aanpak cybercrime naar uw Kamer zenden.

Vraag 11

De drempel om te starten met cybercrime zoals phishing ligt steeds lager en daders worden steeds jonger. De Minister heeft eerder toegezegd programma’s als «Hack_Right» meer in te zetten om jongeren op het juiste pad te zetten: hoe staat het hiermee? Hoe vaak is een hack_right traject in 2023 tot dus ver opgelegd?

Er zijn verschillende interventies die door de politie en HALT worden ingezet om jongeren op het juiste te pad te houden of te zetten. Een voorbeeld hiervan is Re_B00tcmp, een terugkerend regionaal evenement voor jongeren met interesse in IT, en die de neiging hebben online grenzen op te zoeken. Tijdens het evenement leren zij middels verschillende presentaties van publieke en private partijen over online grenzen en positieve kansen van IT. Ook is er lesmateriaal ontwikkeld, dat ondersteuning biedt aan ouders, docenten en wijkagenten om jongeren met interesse in IT naar diverse positieve alternatieven te begeleiden. Ook is een aantal online interventies ontwikkeld, zoals de game Framed, en de inkoop van online advertenties om mensen die naar cybercriminele activiteiten (zoals DDoS) zoeken een advertentie van de politie te laten zien die informeert over de strafbaarheid en mogelijke consequenties. In 2023 zijn er tot dusver twee Hack_Right-trajecten opgelegd. Daarnaast is Hack_Right twee keer geadviseerd, eenmaal door de Raad van de Kinderbescherming, en eenmaal door de Reclassering. De rechter heeft daarover nog geen uitspraak gedaan.

Vraag 1

Kunt u bevestigen dat u op 27 september heeft gesproken met Klaus Schwab over «kunstmatige intelligentie in de mondiale economie»?1

Ja.

Vraag 2

Wie heeft dit gesprek geïnitieerd?

Het idee voor een gesprek is in gezamenlijkheid tot stand gekomen.

Vraag 3

Wat was de aanleiding voor dit gesprek?

Zie het antwoord op vraag 2. De keuze voor het onderwerp hangt samen met een van de thema’s voor de bijeenkomst in Davos van januari 2024.

Vraag 4

Waarom acht u het van belang om Klaus Schwab te spreken over dit onderwerp?

Zie het antwoord op vraag 3.

Vraag 5

Wie waren de andere deelnemers?

Aan het gesprek namen naast de heer Schwab ook de Minister van Financiën, de heer Dušek, de heer Halberstadt en de heer Sijbesma deel en ambtelijke ondersteuning.

Vraag 6

Wat was uw doel van het gesprek?

Het gesprek had geen specifiek doel of gewenste uitkomst. Het gesprek betrof een vrije gedachtenwisseling.

Vraag 7

Wat was de uitkomst van het gesprek?

Het gesprek had een informeel karakter en was bedoeld om vrij met elkaar van gedachten te wisselen. Het gesprek had niet tot doel om tot een uitkomst te leiden.

Vraag 8

Bent u bereid de notulen van het gesprek te delen? Zo nee, waarom niet?

Van het gesprek zijn geen notulen gemaakt. Het betrof een informeel gesprek.

Vraag 9

Zijn er naast dit gesprek nog andere activiteiten van overheidswege gepland, waar Klaus Schwab gedurende zijn verblijf in Nederland bij aanwezig is? Zo ja, kunt u de voorgaande vragen mutatis mutandis ook ten aanzien van die andere activiteiten beantwoorden?

Nee.

Vraag 1

Bent u bekend met het bericht «Minister gooit satellietbedrijf Inmarsat van 5G-frequentie»?1

Ja.

Vraag 2

Kunt u toelichten waarom de huidige wet- en regelgeving in Griekenland het niet toelaat om de duur van de vergunning voor Inmarsat te verlengen?

De Griekse overheid kan in de specifieke situatie van Inmarsat op basis van de Griekse wet- en regelgeving slechts vergunningen verlenen voor de duur van 5 jaar. Een vergunning voor een tweede 5-jaars termijn is daarbij mogelijk; dat is expliciet bepaald in deze vergunning. De aanvraag voor de tweede termijn kan al relatief vroeg worden ingediend en niet pas tegen het einde van de eerste 5-jaars termijn.

Vraag 3

Acht u de eis van Inmarsat om zekerheid voor minimaal tien jaar te krijgen realistisch en proportioneel?

Uit mijn antwoord op vraag 2 blijkt waarom de eis van Inmarsat om de duur van de door de Griekse autoriteiten verleende vergunning te verlengen niet realistisch is. Daarnaast acht ik deze eis ook niet proportioneel. Inmarsat heeft nu al voldoende zekerheid. De Griekse autoriteiten hebben Inmarsat immers al een vergunning verleend met een looptijd van 5 jaar en het uitgangspunt (van de Griekse autoriteiten) is dat zij ook een nieuwe vergunning zullen verlenen voor nogmaals een periode van 5 jaar. Dat uitgangspunt is expliciet opgenomen in de vergunning van Inmarsat. Er is slechts een uiterst kleine kans dat dit niet zal gebeuren of dat de Griekse autoriteiten een gewijzigde vergunning zouden verlenen (zie ook mijn antwoord op vraag 4). Dat leidt er dan niet toe dat de dienstverlening t.a.v. het nood-, spoed- en veiligheidsverkeer zou moeten worden beëindigd. In dat geval zou namelijk eerst naar (technische) aanpassingen worden gekeken om storing door mobiele telecommunicatienetwerken – die gebruik maken van de 3,5 GHz-band in Griekenland – op het grondstation van Inmarsat te voorkomen. Deze aanpassingen kunnen zien op technische maatregelen die genomen moeten worden aan de kant van mobiele telecommunicatienetwerken dan wel aan de kant van het grondstation van Inmarsat. EETT, de Griekse telecomtoezichthouder, heeft aangegeven zich actief op te stellen richting betrokken partijen in het geval zich storing zou voordoen. Gezien al deze waarborgen is het niet proportioneel om hiervoor de uitrol van 5G in Nederland langer uit te stellen of om hiervoor andere voorzieningen te treffen.

Vraag 4

Waaruit blijkt volgens u het door de Griekse autoriteiten getoonde commitment om de dienstverlening ten aanzien van nood-, spoed- en veiligheidsverkeer (NSV-verkeer) door Inmarsat te verwelkomen en te beschermen?

Ambtenaren van mijn ministerie hebben – deels in afstemming met Inmarsat – de afgelopen tijd verschillende overleggen gevoerd met het Griekse Ministerie van Digitale Zaken, EETT en het Ministerie van Transport. Uit de gevoerde gesprekken, waarin herhaaldelijk de verwelkoming van Inmarsat werd uitgesproken, blijkt dat het in de vergunning beschreven scenario waarin de licentie niet (ongewijzigd) zou worden verlengd, vooral ziet op de situatie dat Griekenland vanuit de Europese Unie wordt verplicht om met 5G-telecommunicatie zelfrijdende voertuigen voor goederentransport en personenvervoer op een nabijgelegen snelweg te faciliteren. Griekenland kan dit scenario niet uitsluiten, maar acht de kans op verwezenlijking daarvan binnen de relevante periode uiterst klein. Het door Inmarsat gevreesde risico wordt dan ook door EETT slechts als theoretisch beschouwd.

Vraag 5

Welke extra diplomatieke inspanning kunt u nog leveren richting de Griekse autoriteiten om extra waarborgen af te spreken die kunnen leiden tot een definitieve verhuizing?

Op 15 september jl. heb ik met de Griekse Minister van Digitale Zaken online overleg gevoerd over de verhuizing van Inmarsat. Het overleg verliep constructief.

Vraag 6

Was er in de onderhandelingen tussen u en Inmarsat al overeenstemming over een schadevergoeding of nadeelcompensatie voor Inmarsat?

Nee, er is met Inmarsat geen overeenstemming bereikt over schadevergoeding of nadeelcompensatie voor Inmarsat.

Vraag 7

Klopt het dat u in uw brief van 3 juli jl. heeft aangegeven dat in de situatie die nu is ontstaan de veilingprocedure op zijn vroegst in het eerste kwartaal van 2024 zal kunnen starten?2

Dat is inderdaad correct. De migratie naar Griekenland biedt in mijn ogen Inmarsat nu voldoende zekerheden om een wijziging van het Nationaal Frequentieplan 2014 (NFP) voor te bereiden waarin de bescherming van Inmarsat vanaf 1 februari 2024 wordt opgeheven. Ik vind dit nodig gelet op het belang voor Nederlandse bedrijven en consumenten van het zo snel mogelijk beschikbaar stellen van de 3,5 GHz-band voor mobiele communicatie ten behoeve van de uitrol van 5G. Zoals ik in mijn brief van 3 juli jl. uiteen heb gezet, zal voor deze wijziging de Uniforme Openbare Voorbereidingsprocedure conform de Algemene wet bestuursrecht moeten worden doorlopen waarbij een ontwerpbesluit zes weken in consultatie wordt gebracht. Na afloop van de consultatiefase worden de reacties verwerkt en zal ik het definitieve besluit nemen. Ook in dit scenario acht ik het verstandig de uitspraak van de rechter in de beroepszaak van eerste helft oktober af te wachten voor de start van de veilingprocedure. Dit gehele proces neemt op zijn minst een aantal maanden in beslag. Ik heb aangegeven te verwachten dat in dit scenario de veilingprocedure op zijn vroegst in het eerste kwartaal van 2024 zal kunnen starten.

Vraag 8

Bent u naar aanleiding hiervan voornemens om de 3,5Ghz-veilling uit te stellen naar 2024 en, zo ja, wat wordt het precieze nieuwe tijdpad?

De veiling van de 3,5 GHz-band zal inderdaad niet meer in 2023 plaatsvinden, maar in 2024. Het exacte tijdpad is echter afhankelijk van de uitkomst van de lopende gerechtelijke procedure tegen het NFP-wijzigingsbesluit m.b.t de 3,5 GHz-band. Ik kan om die reden op dit moment niet aangeven hoe het precieze tijdpad voor de veiling in 2024 er uit komt te zien.

Vraag 9

Is al duidelijk of de geplande zitting bij de rechtbank op 11 oktober a.s. wordt gehandhaafd of uitgesteld, zoals u in uw brief van 3 juli jl. suggereert?

De rechtbank Rotterdam heeft mij laten weten dat de geplande zitting op 11 oktober a.s. wordt gehandhaafd.

Vraag 10

Waarom heeft u ervoor gekozen om de deadline voor het vervallen van de vergunning van Inmarsat op 1 februari 2024 te stellen? Is deze deadline voldoende in lijn met een aangepaste tijdlijn voor de veiling?

Allereerst merk ik op dat Inmarsat in Nederland geen vergunning heeft, maar de bescherming van de verzorging van het NSV-verkeer ontleent aan het NFP. Deze bescherming komt per 1 februari 2024 te vervallen. Daarbij heeft Inmarsat voor de verzorging van het NSV-verkeer ten minste twee locaties nodig in Europa. Naast het grondstation in Burum, beschikte Inmarsat al over een tweede station in Fucino, Italië. De situatie in Italië is onveranderd; Inmarsat beschikt daar nog steeds over een grondstation. Inmarsat beschikt inmiddels ook over een grondstation in Griekenland. Na het uitkomen van het advies van de adviescommissie is door mijn ministerie ieder kwartaal overleg gevoerd met Inmarsat over de voortgang van de werkzaamheden die nodig waren voor verhuizing naar Griekenland. De afronding van de werkzaamheden voor de verhuizing naar Griekenland is concreet in zicht. De bouw van het satellietgrondstation is afgerond en op dit moment vinden in Griekenland de laatste configuratietesten plaats. Op basis van de laatste informatie zie ik geen beletsel voor Inmarsat om de migratie per 1 januari 2024 te kunnen afronden. Hoewel Inmarsat geacht wordt de migratie vóór 1 januari 2024 te voltooien, hanteer ik één maand speling tussen de migratie van het door Inmarsat verzorgde NSV-verkeer en de wijziging van het NFP. Dit betekent dat de (tijdelijke) bescherming die Inmarsat aan het huidige NFP kan ontlenen, per 1 februari 2024 vervalt. De continuïteit van de afwikkeling van het NSV-verkeer door Inmarsat is hiermee geborgd. Zo spoedig als mogelijk na 1 februari 2024 kan dan de veilingprocedure in gang worden gezet, waarbij ik voor het precieze tijdpad wel afhankelijk ben van de uitkomst van de gerechtelijke procedure zoals ik heb aangegeven in het antwoord op vraag 8.

Vraag 11

Hoe zorgt u ervoor dat de overheid als betrouwbare partner optreedt richting betrokken partijen zonder dat we nog verder achter gaan lopen in Europa door een trage uitrol van 5G?

Ik probeer zo transparant mogelijk te zijn in de stappen die nodig zijn om tot de daadwerkelijke ingebruikname van de 3,5 GHz-band over te kunnen gaan. Ik heb daarbij echter niet in de hand dat belanghebbende partijen juridische procedures aanspannen tegen de besluiten die ik neem. Er loopt nu een beroepsprocedure tegen het NFP-wijzigingsbesluit m.b.t. de 3,5 GHz-band uit 2023. De procedure en de uitkomst ervan kunnen effect hebben op de planning van de veiling van de 3,5 GHz-band en daarmee op de ingebruikname van deze frequentieband. Overigens kunnen voor de frequentieruimte die in de 3,5 GHz-band is bestemd voor perceelgebonden netten (de zgn. 2x50 MHz, lopend van 3400–3450 MHz en 3750–3800 MHz) vanaf 1 december 2023 vergunningen worden aangevraagd.

Vraag 1

Bent u bekend met het onderzoeksrapport «The Future of NATO’s European Land Forces: Plans, Challenges, Prospects»?1

Ja.

Vraag 2

Erkent u dat Duitsland slecht scoort op (digitale) interoperabiliteit, en de gebrekkige digitalisering partnerlanden dwingt hun eigen capaciteiten te «downgraden»?2

Nee. In de huidige landmachtsamenwerking met Duitsland is het in sommige gevallen niet mogelijk om onderling de maximale capaciteiten van Nederlandse systemen volledig te benutten. De systemen kunnen echter binnen de Nederlandse eenheden wel maximaal benut worden, zelfs wanneer geïntegreerd samengewerkt wordt met Duitsland. Er is daardoor geen sprake van «downgraden».

Vraag 3

Wat zijn de gevolgen hiervan voor de Nederlands-Duitse defensiesamenwerking? Heeft Nederland ook capaciteiten moeten «downgraden» om op één lijn te komen met de Duitsers?

In aanvulling op het antwoord op vraag 2 geldt dat Nederland en Duitsland doorlopend werken aan de verbetering van de digitale interoperabiliteit en standaardisatie. Defensie moderniseert binnen het vervangings- en moderniseringsprogramma Foxtrot haar grondgebonden mobiele militaire radio- en communicatieapparatuur (Kamerstukken 33 279, nr. 31 van 12 december 2019 en 27 830, nr. 316 van 2 oktober 2020). In een vergelijkbaar programma is de Duitse krijgsmacht in 2018 gestart met een groot moderniseringsprogramma om haar command & control middelen te moderniseren: D-LBO («Digitisation of Land-Based Operations», Kamerstuk 31 125, nr. 114 van 11 september 2020).

Vraag 4

Zijn er andere gebieden waarin de ontwikkeling en het opereren van onze landmacht wordt gehinderd door een gebrekkige inrichting van de Duitse landmacht? Zo ja, welke?

Nee, de ontwikkeling en het opereren van de Nederlandse landmacht wordt niet gehinderd door de inrichting van de Duitse landmacht.

Vraag 5

Deelt u de conclusie uit het rapport dat NAVO-lidstaten soms moeilijke keuzes moeten maken ten aanzien van de opbouw van hun landstrijdkrachten, zélfs als er voldoende budget is?

Ja. Niet alles kan. Keuzes moeten worden gemaakt. Hoewel het onderzoeksrapport van het International Institute for Strategic Studies (IISS) alleen ingaat op de landstrijdkrachten, geldt dit voor de gehele krijgsmacht en voor alle domeinen. Voor deze keuzes moeten onder andere bondgenootschappelijke verplichtingen worden afgewogen tegen nationale verplichtingen, zoals de inzet in het Caribisch deel van het Koninkrijk. Meerjarige zekerheid en financiële stabiliteit, gecombineerd met een duidelijke (strategische) visie maken dat er toekomstbestendige keuzes gemaakt kunnen worden die de krijgsmacht over de volle breedte versterkt.

Vraag 6

Voor welke moeilijke keuzes staat Duitsland, en bestaat het risico dat onze landmacht straks nog meer capaciteiten moet «downgraden» om maar te kunnen samenwerken met Duitsland?

Over de keuzes die in andere landen worden gemaakt, kan het kabinet geen uitspraken doen. Zoals aangegeven in de beantwoording van de vragen 2 en 3 is geen sprake van «downgraden».

Vraag 7

Wordt Duitsland diplomatiek bij de les gehouden en op scherp gezet om de in 2022 aangekondigde defensie-investeringen, in het belang van de NAVO, wel goed uit te voeren?

Elke bondgenoot rapporteert jaarlijks aan de NAVO over de verwachte ontwikkelingen van de defensie-uitgaven. De voortgang van de intensivering van de defensie-uitgaven worden ook besproken tijdens bijeenkomsten van NAVO-Ministers van Defensie en meest recent nog tijdens de afgelopen NAVO-top van 11 en 12 juli 2023 in Vilnius (zie ook: Kamerstuk 28 676, nr. 440 van 18 juli 2023). De ontwikkeling van de defensie-uitgaven wordt door NAVO gepubliceerd in het openbare burden sharing rapport.3

Vraag 8

Erkent u (met het oog op bovenstaande) de noodzaak om de Nederlandse krijgsmacht zo zelfstandig mogelijk te laten functioneren en dus niet samen te laten smelten met de Duitse krijgsmacht? Zo nee, waarom niet?

Nee. Door samenwerking wordt onze krijgsmacht sterker en Nederland veiliger. Over de landmachtsamenwerking met Duitsland is uw Kamer reeds geïnformeerd (Kamerstuk 33 279, nr. 37 van 23 februari 2023).

Vraag 1

Kent u het artikel «Dat zijn toch gewoon ál onze artikelen?»1

Ja.

Vraag 2

Kunt u bevestigen dat ChatGPT zijn taalmodel traint op basis van miljoenen onrechtmatig verkregen documenten van Docplayer.nl?

Ik beschik niet over informatie over de manier waarop ChatGPT gegevens verwerkt. Ik deel de zorg of gegevensverwerking door ChatGPT in overeenstemming met de regels van het gegevensbeschermingsrecht plaatsvindt. Ik vind het dan ook een goede zaak dat de Autoriteit Persoonsgegevens (AP), als toezichthouder op de naleving van de Algemene Verordening Gegevensbescherming (AVG), op 7 juni jl. bekend heeft gemaakt dat zij OpenAI per brief om opheldering heeft gevraagd over ChatGPT.2 De AP schrijft op haar website dat zij van OpenAI wil weten welke data worden gebruikt om het algoritme te trainen op welke manier dat gebeurt. Verder schrijft de AP zorgen te hebben omtrent informatie over mensen die GPT gebruikt. De gegenereerde inhoud kan onnauwkeurig zijn, verouderd, onjuist, ongepast, beledigend, of aanstootgevend en kan een eigen leven gaan leiden. Of en zo ja hoe OpenAI die gegevens kan rectificeren of verwijderen, vindt de AP nog onduidelijk, zo volgt uit haar bericht.

Vraag 3

Klopt het dat die documenten vol staan met onder andere BSN-nummers, persoonlijke belastingaangiftes, curricula vitae en andere persoonsgegevens?

Zie antwoord vraag 2.

Vraag 4

Deelt u de stelling uit het artikel: «De persoonlijke informatie van docplayer.nl was op de website zélf al in strijd met de wet, laat staan wanneer die ook nog eens in chatbots wordt verwerkt»? Zo nee, waarom niet?

Er is mij onvoldoende bekend over docplayer.nl om hierover stelling in te nemen. Dat is ook niet de taak van het kabinet; de toezichthouder op de verwerking van persoonsgegevens dient dat in de eerste plaats te beoordelen, of het Openbaar Ministerie indien wordt vermoed dat sprake is van strafbare feiten.

Vraag 5

Klopt het dat ChatGPT hiermee onrechtmatig en onwettig persoonsgegevens verwerkt?

Het kabinet deelt de zorgen van uw Kamer over de risico’s die generatieve AI-systemen, zoals ChatGPT, met zich mee kunnen brengen voor onder meer privacy, desinformatie en manipulatie. We zetten ons als kabinet vol in op het nemen van passende stappen op dit onderwerp.
Het kabinet werkt momenteel aan een visietraject over generatieve AI, zoals verzocht door uw Kamer middels de motie van de leden Dekker-Abdulaziz en Rajkowski. Deze visie wordt op een transparante wijze ontwikkeld en getoetst in diverse sectoren. U ontvangt deze visie voor het einde van het jaar. Over de voortgang is uw Kamer op 7 juli jl. al separaat geïnformeerd3. In deze visie formuleert het kabinet een standpunt over generatieve AI, waar ook een van de meest gebruikte generatieve AI-tools onder valt: ChatGPT. Ook wordt uiteengezet welk handelingsperspectief de Nederlandse overheid heeft om te waarborgen dat deze technologie op een verantwoorde manier in onze samenleving wordt ingebed.
Nederland speelt daarnaast een actieve rol in de onderhandelingen over zowel de AI-verordening van de EU als het AI-verdrag van de Raad van Europa. De AI-verordening stelt specifieke eisen aan de ontwikkelaars en gebruikers van hoog-risico AI-systemen, bijvoorbeeld als het gaat om transparantie en productveiligheid. Wij vinden het – net als het Europees Parlement – van belang dat er in deze wet speciale aandacht is voor foundation models en generatieve AI, zoals GPT en ChatGPT. Het kabinet zet zich ervoor in dat deze wet zo snel mogelijk wordt aangenomen.
De AP heeft mij geïnformeerd dat het samenwerkingsverband van Europese privacytoezichthouders (EDPB) op 13 april heeft besloten om, naar aanleiding van het Italiaanse optreden tegen OpenAI inzake ChatGPT, een taskforce in te stellen. Deze taskforce heeft tot doel de samenwerking en informatie-uitwisseling over mogelijke handhavingsmaatregelen te bevorderen. Alle Europese privacytoezichthouders zijn in dit samenwerkingsverband vertegenwoordigd, dus ook de AP. Generatieve AI, zoals het grote taalmodel artificiële intelligentie (AI) systeem ChatGPT, is een grensoverschrijdend fenomeen dat vraagt om een geharmoniseerde aanpak. Daarom hecht de AP grote waarde aan een effectief gezamenlijk optreden van de Europese privacytoezichthouders. Of ChatGPT rechtmatig persoonsgegevens verwerkt, is uiteindelijk ter beoordeling van de toezichthouders.

Vraag 6

Hoe oordeelt u daarover? Wat gaat u er aan doen?

Zie antwoord vraag 5.

Vraag 7

Klopt het dat ChatGPT voor zijn taalmodel ongeveer net zoveel geleerd heeft van de neonazistische website Stormfront als van de website van RTL Nieuws?2

Vraag 8

Hoe oordeelt u daarover? Wat gaat u er aan doen?

Vraag 9

Klopt het dat ChatGPT gebruik heeft gemaakt van onder andere 594.000 NRC artikelen en 162.000 Volkskrant artikelen?

Vraag 10

Deelt u de mening dat ChatGPT hiermee inbreuk maakt op het auteursrecht?

Dat valt niet op voorhand te zeggen. Op grond van artikel 25a, derde lid, van de Auteurswet wordt onder tekst- en datamining verstaan een geautomatiseerde analysetechniek die gericht is op de ontleding van tekst en gegevens in digitale vorm om informatie te genereren zoals, maar niet uitsluitend, patronen, trends en onderlinge verbanden. De definitie is ruim en omspant waarschijnlijk ook het trainen van generatieve artificiële intelligentie zoals ChatGPT. In principe is voor iedere reproductie van een werk van letterkunde, wetenschap of kunst voorafgaande toestemming van de maker of zijn rechtverkrijgende nodig. Zonder die toestemming wordt inbreuk op het auteursrecht gemaakt. Artikel 15o van de Auteurswet voorziet echter in een uitzondering op het reproductierecht voor tekst- en datamining. Aan de inroepbaarheid van die uitzondering zijn twee voorwaarden verbonden. In de eerste plaats moet de degene die zich op de uitzondering beroept rechtmatig toegang hebben tot het werk dat wordt gekopieerd om tekst- en datamining mogelijk te maken. Van rechtmatige toegang tot het werk is uiteraard sprake als het werk voor het publiek online vrijelijk beschikbaar is gesteld. In de tweede plaats moet de maker van het werk of zijn rechtverkrijgende het recht om een reproductie te maken ten behoeve van tekst- en datamining niet op passende wijze hebben voorbehouden. Of daarvan sprake is bij de artikelen waaruit ChatGPT put, is mij niet bekend. Een reproductie mag blijkens het bepaalde in artikel 15o, tweede lid, van de Auteurswet worden bewaard zolang dit nodig is voor tekst- en datamining. Daarna moet de reproductie worden verwijderd. Anders is sprake van inbreuk op het auteursrecht. De regeling is geënt op artikel 4 van richtlijn (EU) 2019/790 van het Europees Parlement en de Raad van 17 april 2019 inzake auteursrechten en naburige rechten in de digitale eengemaakte markt en tot wijziging van Richtlijnen 96/9/EG en 2001/29/EG (PbEU 2019, L130/92). Het geven van een interpretatie is daarmee uiteindelijk aan het Hof van Justitie van de Europese Unie voorbehouden.
In de kabinetsvisie generatieve AI wordt een nadere analyse uitgevoerd van auteursrechtelijke vraagstukken gerelateerd aan generatieve AI, zoals ChatGPT. Daarnaast onderzoekt het Rathenau Instituut – in opdracht van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties – hoe huidig beleid en de bestaande wet- en regelgeving zich verhouden tot generatieve AI. Hierbij zal ook aandacht uitgaan naar (juridische) auteursrechtelijke kwesties betreffende generatieve AI.

Vraag 11

Hoe oordeelt u daarover? Wat gaat u er aan doen?

Vraag 12

Klopt het dat het «kwaliteitsfilter» is gebaseerd op drie bronnen waarvan er twee (Wikipedia en Reddit) een zeer sterke oververtegenwoordiging van mannelijke input kennen?3

Vraag 13

Hoe oordeelt u daarover? Wat gaat u er aan doen?

Vraag 14

Deelt u de mening dat de Autoriteit Persoonsgegevens zo snel mogelijk met een spoedoordeel moet komen over ChatGPT en het blokkeren ervan geen taboe is? Kunt u de Autoriteit Persoonsgegevens daartoe aansporen?

Graag verwijs ik naar het antwoord op de vragen 2 en 3, waaruit volgt dat de AP zelf reeds een stap heeft gezet.

Vraag 15

Kunt u deze vragenset zo snel als mogelijk beantwoorden?

De vragen zijn zo spoedig mogelijk beantwoord.

Vraag 1

Bent u bekend met het artikel «Geplande slijtage bij je iPhone: Franse overheid ziet aanwijzingen»?1

Ja, daar ben ik mee bekend.

Vraag 2

Hoe beoordeelt u deze werkwijze van Apple (mits aangetoond)? Wat kan de Nederlandse overheid doen om de repareerbaarheid van producten zoals de iPhone af te dwingen en om geplande veroudering tegen te gaan?

In een circulaire economie moeten repareerbare producten de norm zijn en is voor geplande veroudering geen plaats. Uit het genoemde artikel blijkt dat de Franse autoriteiten onderzoeken in hoeverre Apple probeert te voorkomen dat hun producten gerepareerd kunnen worden door onafhankelijke reparateurs, doordat onderdelen niet door het product herkend worden in verband met een afwijkend serienummer.2 Het is van belang om onderscheid te maken tussen dergelijke praktijken en de praktijk van vroegtijdige (geplande) veroudering. Van dit laatste is sprake wanneer producten opzettelijk zo zijn ontworpen dat deze vroegtijdig gebreken gaan vertonen, terwijl de consument mocht verwachten dat het product langer zou meegaan.
Er kan sprake zijn van een oneerlijke handelspraktijk wanneer verkopers consumenten misleiden3 over de voornaamste kenmerken van het product, bijvoorbeeld met betrekking tot de te verwachten levensduur.4 De Autoriteit Consument & Markt (ACM) houdt toezicht op deze regelgeving. Het is echter belangrijk om op te merken dat het doorgaans de producent is en niet de verkoper die informatie heeft over de gebruikte ontwerptechnieken waardoor een product vroegtijdig veroudert. De ACM kan eventueel besluiten om, op basis van de Mededingingswet, een onderzoek te starten naar praktijken die het onafhankelijke reparateurs onmogelijk maken om producten te repareren. Het is hierbij van belang om te vermelden dat de ACM onafhankelijk is in haar toezicht en geen mededelingen doet over lopende of eventueel te starten onderzoeken.
Het verbeteren van de repareerbaarheid en daarmee de levensduur van producten is bij uitstek een Europese aangelegenheid, gezien de interne markt. Dit gebeurt via de Europese Ecodesign richtlijn. Zie ook de beantwoording van vraag 3.

Vraag 3

In hoeverre hebt u in beeld wat de omvang is van «geplande veroudering» van producten? In welke productgroepen komt deze handelwijze het meest voor en welke maatregelen zijn op nationaal en Europees gebied reeds genomen om deze praktijk tegen te gaan?

In de praktijk is het lastig vast te stellen dat veroudering bewust is gepland door producenten. Over de omvang van geplande veroudering is mede daardoor weinig informatie beschikbaar. Wel laat de effectbeoordeling bij het EU voorstel voor een «Grotere rol voor de consument bij de groene transitie» zien dat consumenten steeds vaker te maken krijgen met snellere veroudering en het onverwacht stukgaan van producten. In de bijbehorende publieksconsultatie gaf 76% van de respondenten aan te maken te hebben gehad met vroegtijdige veroudering in de voorgaande drie jaar. De respondenten gaven aan dat vooral ICT producten (47%), kleine huishoudelijke apparaten (20%), kleding en schoenen (19%), andere elektronische apparaten (18%), grote huishoudelijke apparaten (16%) en software programma’s (15%) onverwachts stuk gingen. De effectbeoordeling noemt daarnaast dat de levensduur van producten steeds korter wordt en dat technische mankementen de voornaamste reden zijn voor vervanging.
Onder de huidige Ecodesign-richtlijn wordt al aandacht besteed aan levensduur en repareerbaarheid van energiegerelateerde apparaten, door levensduureisen of duurzaamheidseisen aan producten te stellen. Bijvoorbeeld de minimumeisen die worden gesteld aan de levensduur van elektrische motoren in stofzuigers en stofzuigerslangen of aan de levensduur voor de batterij in smartphones en tablets. Op dit moment wordt er onderhandeld over de vervanging van de Ecodesign-richtlijn door een verordening.5
De Minister van Economische Zaken en Klimaat onderhandelt momenteel over het Europese voorstel voor een «Grotere rol voor de consument bij de groene transitie»6 dat onder andere tot doel heeft om consumenten in de aankoopfase beter te informeren over de (on)mogelijkheden tot reparatie. In dat EU-voorstel is onder meer de verplichting voor de softwareleverancier opgenomen om consumenten te informeren over de negatieve impact (verouderende werking) van een update op de werking van een product met een digitaal element. De Minister en ik werken in deze onderhandelingen nauw samen.

Vraag 4

Hoe kijkt u in het algemeen naar «geplande veroudering» van producten in het licht van de doelstellingen van een circulaire economie in 2050? Welke concrete oplossingen biedt het maart 2023 gepresenteerde voorstel van de Europese Commissie voor een «recht op reparatie» voor deze problematiek en in hoeverre zijn deze voldoende?

Ik vind dat er geen plaats is voor geplande veroudering in een circulaire economie, waarin het langer gebruiken van producten juist erg belangrijk is. In een circulaire economie produceren we producten van hoge kwaliteit en gebruiken we producten die lang meegaan en goed repareerbaar zijn.
Onlangs zijn de onderhandelingen over het Commissievoorstel voor een recht op reparatie gestart. De Minister van Economische Zaken en Klimaat voert die onderhandelingen vanuit het kabinet en ook hier werken onze ministeries nauw met elkaar samen. Dit voorstel moet het voor consumenten gemakkelijker maken om hun producten ook buiten de garantieperiode te (laten) repareren. Zo worden producenten verplicht om (tegen betaling) bepaalde producten7 buiten de garantieperiode te herstellen en consumenten over deze verplichting te informeren.8 Daarnaast moeten producenten ervoor zorgen dat onafhankelijke reparateurs toegang hebben tot specifieke reserveonderdelen voor een periode tot maximaal tien jaar nadat het laatste model op de markt is verschenen. Bovendien moeten onafhankelijke reparateurs toegang krijgen tot aan reparatie gerelateerde informatie.9 In de onderhandelingen over het voorstel zal om verduidelijking worden gevraagd of deze informatie ook betrekking heeft op de onverenigbaarheid van reserveonderdelen met het oorspronkelijke product, conform de praktijk die beschreven wordt in het door u aangehaalde artikel.

Vraag 5

Bent u bekend met de Franse «Repairability Index»?2 Gaat deze index ook onderdeel zijn van het Europese Ecodesign pakket? Gaan we in Nederland ook een dergelijke «Repairability Index» op producten zien? Hoe worden consumenten daarbij voorgelicht over de levensduur van producten?

Ja, ik ben bekend met de Franse «Repairability Index». Op basis van de huidige EU productregelgeving is het al mogelijk om een repareerbaarheidsindex op producten te verplichten. In de nog vast te stellen verordening voor smartphones en tablets onder de huidige Ecodesign-richtlijn is bijvoorbeeld een repareerbaarheidsindex opgenomen. Deze komt op het energielabel te staan. De Europese Commissie zal deze later dit jaar opstellen in het kader van de energielabelverordening voor smart phones en tablets. De energielabels, inclusief repareerbaarheidsindex, moeten dan 21 maanden later in de winkels, fysiek en online, bij de producten te zien zijn.
De verwachting is dat een dergelijke repareerbaarheidsindex in ieder geval voor steeds meer energiegerelateerde producten zal worden ingevoerd, zoals wasdrogers en wasmachines. Bovendien wordt momenteel onderhandeld over de herziening van de huidige Europese richtlijn naar een Kaderverordening Ecodesign voor duurzame producten. Daarmee kan het ook mogelijk worden om een repareerbaarheidsindex te ontwikkelen voor niet-energiegerelateerde producten.
Onder het voorstel voor een «Grotere rol voor de consument bij de groene transitie» moeten handelaren consumenten vervolgens informeren over de repareerbaarheid van producten wanneer zij die informatie hebben ontvangen van de producent. Bijvoorbeeld via een repareerbaarheidsscore, of door middel van andere relevante reparatie-informatie.11 Consumenten kunnen ook via particuliere initiatieven zoals reparatiedienst Ifixit informatie vinden over de mate van repareerbaarheid van smartphones, tablets en laptops.12