Kamervragen

Alle

19 mei 2021 - 5 juli 2021

47 dagen

Het bericht 'Miljoenen liters diesel liggen bij de ’groene’ datacenters van Microsoft en Google in Hollands Kroon'
	Gijs van Dijk (PvdA)
	Bas van 't Wout (VVD)

Bronnen

1. Noord Hollands Dagblad, 17 mei 2021 «Miljoenen liters diesel liggen b…

Vraag 1

Bent u bekend met het artikel «Miljoenen liters diesel liggen bij de «groene» datacenters van Microsoft en Google in Hollands Kroon»?1

Ja.
Vraag 2

Klopt het dat er miljoenen liters diesel in Hollands Kroon zijn opgeslagen en dat dit mogelijk nog met miljoenen liters gaat toenemen?

Een mogelijke aanvraag voor het opslaan van meer diesel zal door het bevoegd gezag beoordeeld moeten worden. Het bevoegd gezag is aan zet om te toetsen aan wet- en regelgeving en hier eisen aan te stellen in de vergunning. Ik ben geen bevoegd gezag voor de vergunningverlening, en ken dus ook de inhoudelijke specificaties van dergelijke gevallen niet. Op 21 mei jl. heeft het college van de gemeente Hollands Kroon schriftelijke vragen van de Raad beantwoord die ingaan op deze berichtgeving en de dieselopslag. Ik verwijs u graag door naar deze antwoorden (zie afschrift in bijlage 1)2.
Vraag 3

Wie is verantwoordelijk voor de besluitvorming over het neerzetten van deze tientallen dieselaggregaten?

Het bevoegd gezag gaat over besluitvorming ten aanzien van een aanvraag. Hierbij toetst het bevoegd gezag aan wet- en regelgeving en neemt het een besluit over het wel of niet verlenen van een vergunning. Het college van gedeputeerde staten van de provincie Noord-Holland (GS) stelt zich op het standpunt dat zij bevoegd gezag is. De provincie Noord-Holland en de gemeente Hollands Kroon zijn hierover in overleg.
Vraag 4

Vindt u het ook opmerkelijk dat het college Hollands Kroon opnieuw besluitvorming neemt waartoe zij niet bevoegd is?

De aanwijzing van het bevoegd gezag is geregeld in het Besluit omgevingsrecht. Het is niet aan mij te beoordelen of besluitvorming door het college van burgemeester en wethouders van Hollands Kroon terecht is of niet. Het heeft altijd de voorkeur dat overheden in goed onderling overleg tot een gezamenlijk inzicht komen, bij een conflict is het uiteindelijk aan de rechter om er een oordeel over te vellen.
Vraag 5

Vindt u het ook onwenselijk dat de dieselaggregaten van deze datacenters eens per maand staan te ronken, waardoor stinkende dieselrook de lucht ingaat?

Bij het verstrekken van een vergunning zal in alle gevallen moeten worden voldaan aan relevante wet- en regelgeving. Het Ministerie van Infrastructuur en Waterstaat is stelselverantwoordelijke voor de milieuwetgeving, waaronder geur. Het is aan het bevoegd gezag om een integrale afweging te maken ten aanzien van de te vergunnen activiteit en om de vergunning al dan niet te verlenen. Bij deze afweging is geur één van de onderdelen die wordt meegenomen. De te ondernemen activiteiten moeten vervolgens passen binnen de verleende vergunning.
Vraag 6

Vindt u ook dat Google en Microsoft maatregelen dienen te nemen om deze vieze dieselrook voor omwonenden te verminderen?

Zie het antwoord bij vraag 5.
Vraag 7

Vindt u ook dat de claim van Google en Microsoft dat zij klimaatpositief wensen te worden niet strookt met het feit dat Google en Microsoft nu tussen grootvervuilers staan en bovendien een enorme CO2-uitstoot hebben?

De mogelijk bestaande wens van bedrijven om als klimaatpositief gezien te willen worden is een bedrijfsmatige afweging. Het is niet aan mij om hierover te oordelen.
Vraag 8

Hoe kan het zo zijn dat de brandweer nauwelijks informatie heeft over de machines en de opslagtanks? Vindt u het ook niet zorgwekkend dat de brandweer nauwelijks informatie over deze dieselaggregaten heeft en bovendien de Veiligheidsregio Noord-Holland Noord weinig risico’s ziet, terwijl diesel een zeer gevaarlijke stof met ontploffingsgevaar is?

Ik kan niet beoordelen over welke informatie de brandweer beschikt of zou moeten beschikken. Het is aan de veiligheidsregio om dat te beoordelen, die bovendien deskundig is op dit gebied. In beginsel moet de activiteit passen binnen de verleende vergunning. Bij het verlenen van een vergunning wordt een integrale afweging gemaakt waarin (externe) veiligheid wordt meegenomen.
Ik verwijs u door naar de eerder genoemde antwoorden op raadsvragen van het college van Hollands Kroon (zie mijn antwoord bij vraag 2). Deze stellen o.a. dat de brandweer en de veiligheidsregio goed op de hoogte zijn van de situatie, dat de berichtgeving onjuiste informatie bevatte en dat er geen onverantwoorde risico’s zijn. Daarbij is ook een factsheet bijgevoegd van de Veiligheidsregio Noord-Holland Noord die hier aanvullend op ingaat (zie afschrift in bijlage 2)3.
Vraag 9

In hoeverre is deze opslag van diesel een gevaar voor de bewoners van Wieringenmeer?

De specifieke afweging omtrent externe veiligheid in dit geval is mij niet bekend. Bij het verlenen van een dergelijke vergunning wordt door het bevoegd gezag hiervoor een afweging gemaakt waarin (externe) veiligheid wordt meegenomen. In algemene zin moeten activiteiten zoals de opslag van diesel passen binnen de verleende vergunningen en de relevante wet- en regelgeving. Zie verder ook het antwoord onder vraag 8.
Vraag 10

Vindt u met de enorme stroombehoeften, chemicaliën in het water en het enorme ruimtebeslag op het landschap het überhaupt wenselijk dat dit soort datacenters zich vestigen in Nederland?

In de Nationale Omgevingsvisie (NOVI) is opgenomen dat in beginsel decentrale overheden keuzes maken over de vestiging van bedrijven, waaronder datacenters. Het Rijk wil, gezien de impact op o.a. ruimte en energie, samen met decentrale overheden mede zorgdragen voor zorgvuldige vestigingslocaties van datacenters. De NOVI bevat daarvoor een aantal voorkeursrichtingen en zet daarbij in op selectieve groei aan de randen van Nederland. Onder coördinatie van de Minister van Binnenlandse Zaken en Koninkrijksrelaties worden daarover afspraken gemaakt met decentrale overheden in landsdelige bestuurlijke overleggen. De voortgangsbrief over de NOVI van begin juni 2021 gaat hier verder op in (Kamerstuk 34 682, nr. 83).
Vraag 11

Bent u daarom ook van mening dat er scherpere vestigingseisen, op het gebied van duurzaamheid, waterverbruik, beperking overlast, inpassing in het landschap en veiligheid moet worden gesteld aan deze techgiganten bij het bouwen van datacenters? Welke maatregelen gaat u daartoe nemen?

Er gelden voor de vestiging van datacenters diverse wettelijke milieuvereisten, onder andere op het gebied van waterverbruik, geur, luchtkwaliteit en externe veiligheid. Ook bestaat er op dit terrein beleid en regelgeving van decentrale overheden. Daarnaast is het, in lijn met de afspraken uit de NOVI, in beginsel aan het bevoegd gezag om een afweging te maken ten aanzien van de vestigingseisen. Verder verwijs ik hierbij naar de eerder genoemde afspraken voor zorgvuldige vestiging van datacenters die onder de NOVI worden gemaakt met decentrale overheden.

7 mei 2021 - 3 juni 2021

27 dagen

Het bericht dat (een gedeelte) van de Belgische overheid plat lag door een DDOS aanval
	Barbara Kathmann (PvdA)
	Kajsa Ollongren (viceminister-president , minister binnenlandse zaken en koninkrijksrelaties) (D66)

Bronnen

1. https://www.rtlnieuws.nl/tech/artikel/5228981/netwerk-belgische-overh…

Vraag 1

Kent u het artikel «Belgische overheden getroffen door grote cyberaanval»?1

Ja.
Vraag 2

Hoe vaak is de Nederlandse overheid doelwit geweest van een cyberaanval, zoals een DDOS aanval?

Er is geen volledig beeld van het aantal aanvallen waarvan de Nederlandse overheid doelwit is geweest. In algemene zin is bekend dat Nederlandse instellingen, waaronder overheden, te kampen hebben met digitale aanvallen. Het jaarlijks gepubliceerde Cybersecuritybeeld Nederland (CSBN) geeft inzicht in de digitale dreiging in Nederland, waaronder tegen de overheid, en de belangen die daardoor kunnen worden aangetast.2
De meest gestructureerde statistieken die beschikbaar zijn over DDoS-aanvallen zijn afkomstig van de Nationale Beheersorganisatie voor Internet Providers (NBIP). NBIP rapporteert jaarlijks over de DDoS-aanvallen die gemeten zijn door de Nationale DDoS Wasstraat (NaWas).3 Ik verwijs u voor meer informatie hierover door naar de beantwoording van eerdere Kamervragen over DDoS gericht aan de Staatssecretaris van EZK.4
Vraag 3

Is Nederland voldoende weerbaar tegen cyberaanvallen, waaronder DDOS-aanvallen? Zo ja, waaruit blijkt dat? Zo nee, hoe verbeteren we de Nederlandse weerbaarheid tegen cyberaanvallen?

Het CSBN 2020 laat zien dat de weerbaarheid tegen digitale dreigingen nog niet overal op orde is.5 Cyberincidenten hebben de potentie om grote schade aan te richten en in uiterste gevallen maatschappelijke ontwrichting te veroorzaken.
De afgelopen jaren is daarom ingezet op het versterken van cybersecurity. De kabinetsbrede aanpak van cybersecurity is vastgelegd in de Nationale Cybersecurity Agenda (NCSA).6 De uitvoering daarvan wordt ondersteund met investeringen door het kabinet die oplopen tot 95 miljoen euro structureel. Om in te kunnen spelen op technologische en maatschappelijke ontwikkelingen, en actuele dreigingen en risico’s zijn de maatregelen uit de NCSA in de loop van de tijd verder uitgewerkt en versterkt. Dit is sinds de verschijning van de NCSA meerdere keren gebeurd.7, 8, 9, 10 De zeven ambities uit de NCSA blijven hierbij het uitgangspunt en over de voortgang op deze ambities wordt jaarlijks gerapporteerd aan uw Kamer. De NCSA is opgesteld onder leiding van en uitgevoerd onder coördinatie van het Ministerie van Justitie en Veiligheid en met de vakdepartementen vanuit hun eigen specifieke beleidsverantwoordelijkheden. De Minister van Justitie en Veiligheid is de coördinerend bewindspersoon op het gebied van cybersecurity.
Over het niveau van de digitale weerbaarheid in Nederland en de maatregelen die in dat kader zijn genomen, verwijs ik graag naar het CSBN 2021 en de begeleidende beleidsbrief die de Minister van Justitie en Veiligheid op korte termijn aan uw Kamer zal aanbieden.
Specifiek voor de overheid geldt de Baseline Informatiebeveiliging Overheid
(BIO) sinds eind 2018 als basisnormenkader voor informatiebeveiliging waaraan alle overheden zich moeten houden.11 Door implementatie van de BIO hebben overheidsorganisaties de basisbeveiliging op orde. Dit levert een bijdrage aan de weerbaarheid tegen cyberaanvallen, bijvoorbeeld door het verplicht minimaal jaarlijks testen op feitelijke veiligheid. Een voorbeeld hiervan is het uitvoeren van penetratietesten. Een penetratietest is een beveiligingscontrole die gericht is op een deel van het systeem. Bij een penetratietest wordt gekeken of het mogelijk is om kwetsbaarheden en risico's ook daadwerkelijk te gebruiken om de beveiliging op deze systemen te omzeilen, in te breken of te doorbreken.
Vraag 4

Is de Nederlandse overheid proactief op zoek naar kwetsbaarheden in de beveiliging? Zo nee, waarom niet?

Alle overheden hanteren de overheidsbrede BIO als basis voor de inrichting van hun digitale veiligheid. De baseline is erop gericht om de weerbaarheid van overheidsorganisaties ten aanzien van cyberdreigingen en incidenten te vergroten. Het proactief monitoren op kwetsbaarheden en waar nodig verhelpen van deze kwetsbaarheden is een van de relevante maatregelen daarbij. Zoals ik op 18 maart jl. aan uw Kamer heb gemeld in mijn voortgangsbrief over informatieveiligheid bij de overheid12, testen steeds meer overheden hun feitelijke veiligheid op verschillende manieren. Het overheidsbrede ondersteuningsprogramma BIO van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK), dat overheden sinds 2019 helpt met de implementatie van de BIO, besteedt ook aandacht aan het belang van testen. Eveneens vinden er bij de overheid ook verschillende cyberoefeningen plaats, die kwetsbaarheden in de beveiliging kunnen aantonen. De Nederlandse overheid is dus inderdaad proactief op zoek naar kwetsbaarheden in de beveiliging.
Specifiek voor het Rijk is geïnventariseerd bij de departementen op welke wijze het geautomatiseerd zoeken naar kwetsbaarheden gestalte krijgt. Uit deze inventarisatie blijkt dat dit breed wordt toegepast. In het kader van kennisdeling heeft het Ministerie van BZK in samenwerking met een groep experts binnen de rijksoverheid en de departementen een handreiking opgesteld en vastgesteld voor het inrichten van een doorlopende kwetsbaarhedenscan bij rijksoverheidsorganisaties. Daarnaast worden er door departementen diverse middelen ingezet om proactief naar kwetsbaarheden te zoeken, waaronder penetratietesten en red teaming oefeningen, en voert de Auditdienst Rijk in opdracht van de departementen en het Ministerie van BZK onderzoeken uit naar de feitelijke veiligheid van systemen en netwerken.
Een belangrijk uitgangspunt is dat iedere private en publieke organisatie primair zelf verantwoordelijk is voor zijn eigen digitale beveiliging.
De computercrisisteams (CSIRTS)13 van de overheden spelen een belangrijke rol om overheidsorganisaties te ondersteunen bij het voorkomen en verhelpen van digitale incidenten. Wel geldt voor organisaties die deel uitmaken van de rijksoverheid (en vitale aanbieders) dat het Nationaal Cybersecurity Centrum (NCSC) krachtens de Wet beveiliging netwerk- en informatiesystemen (Wbni) tot taak heeft om hen bijstand te verlenen om hun digitale weerbaarheid te waarborgen en te versterken. Daarnaast deelt het NCSC in algemene zin informatie over kwetsbaarheden en daarbij behorende beveiligingsadviezen op zijn website.
Vraag 5

Is er een noodprotocol om de overheid te laten functioneren als de overheid te maken krijgt met een cyberaanval? Zo nee, vindt u het zinvol om een noodprotocol te ontwikkelen? Wilt u uw antwoord motiveren?

Alle overheden kennen herstel- en continuïteitsplannen voor wanneer er sprake is van digitale verstoring. Ook worden er diverse maatregelen getroffen om de continuïteit van de digitale overheid te kunnen waarborgen. Zo verplicht de BIO dat overheidsorganisaties hun informatiebeveiligingscontinuïteit plannen, implementeren, verifiëren, beoordelen en evalueren.14 Voor bedrijfskritische onderdelen in de bedrijfsvoering geldt de eis van herstel binnen een week. Op die manier voorzien overheden in de continuïteit van processen en systemen van de digitale overheid.
Voor situaties waarvan sprake is van maatschappelijke ontwrichting kan in het uiterste geval de nationale crisisstructuur in werking treden. Deze is door het kabinet vastgelegd in het Instellingsbesluit Ministeriële Commissie Crisisbeheersing en het Nationaal Handboek Crisisbesluitvorming. Het Nationaal Crisisplan Digitaal (NCP-Digitaal) is een specifieke uitwerking voor de aanpak van een crisis veroorzaakt in het digitale domein.15
Ten slotte wordt er ook geoefend bij de overheid. Omdat de ketenafhankelijkheid een gegeven is op de digitale snelweg, wordt er jaarlijks sinds 2019 geoefend met gesimuleerde hackaanvallen op processen en systemen van de overheid. Deze jaarlijkse Overheidsbrede Cyberoefening16 wordt georganiseerd door het Ministerie van BZK. Met alle overheden wordt het oefenscenario zo realistisch mogelijk uitgewerkt waarbij een digitale verstoring merkbaar zichtbaar is bij meerdere overheidslagen. Juist door ketens heen, interbestuurlijk en met een brede doelgroep (van IT-professional tot aan de bestuurder van een overheidsorganisatie).
Vraag 6

Heeft u contact gehad met uw Belgische ambtgenoot over de DDOS-aanval? Zo ja, wat is er besproken en wat heeft het gesprek opgeleverd?

Internationaal wordt op continue basis met partners op operationeel niveau zoveel als mogelijk informatie over dreigingen en incidenten uitgewisseld. Het NCSC heeft op dinsdag 4 mei en donderdag 6 mei jl. contact opgenomen met het Belgische Collectief Computer Security Incident Response Team (CSIRT), CERT-BE, voor het opvragen van technische details van de DDoS-aanval.
In EU-verband en bilateraal werkt Nederland overigens ook goed samen met België aan de versterking van cyberweerbaarheid. De Nederlandse ambassade in België heeft op dinsdag 4 mei jl. contact gehad met de Belgische federale overheid over de DDoS-aanval en de maatschappelijke impact hiervan. De ontvangen informatie is direct gedeeld met het Ministerie van Buitenlandse Zaken en de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV).
Vraag 7

Welke lessen zijn er te leren aan de hand van de cyberaanvallen in België?

Digitale incidenten zijn niet gebonden aan landsgrenzen. Incidenten of dreiging daarvan in andere landen kunnen ook op organisaties in Nederland effect hebben. Internationale samenwerking is daarom van groot belang. Door snelle informatie-uitwisseling wordt bijvoorbeeld het NCSC in de gelegenheid gesteld organisaties binnen de doelgroep tijdig te waarschuwen en te informeren.
In Nederland wordt snelle informatie-uitwisseling over DDoS-aanvallen ook bevorderd door de Anti-DDoS-Coalitie.17 Dit is een samenwerkingsverband van publieke, private en wetenschappelijke partijen waarbinnen informatie en kennis over DDoS-aanvallen gedeeld kan worden om de weerbaarheid tegen aanvallen te verhogen.
In algemene zin tonen de cyberaanvallen in België wederom het belang van het op orde hebben van de digitale weerbaarheid aan.

20 april 2021 - 12 mei 2021

22 dagen

Het ILT Onderzoeksrapport Stichting Waternet
	Lisa van Ginneken (D66), Tjeerd de Groot (D66)
	Cora van Nieuwenhuizen (minister infrastructuur en waterstaat) (VVD)

Vraag 1

Hoe beoordeelt de Minister de conclusie van de Inspectie Leefomgeving en Transport (ILT) dat er een verhoogd – maar moeilijk te kwantificeren – risico aanwezig is op een cyberincident met mogelijke gevolgen voor de kwaliteit en/of de continuïteit van drinkwater?

Ik ga uit van het oordeel dat de ILT in het inspectierapport over de cyberweerbaarheid bij Waternet heeft gegeven. Er wordt op het gebied van cybersecurity niet voldaan aan de Wet beveiliging netwerk- en informatiesystemen (Wbni) en de Drinkwaterwet. Waternet staat daarom onder verscherpt toezicht. Het is de eerste keer in Nederland dat een drinkwaterbedrijf door de ILT onder verscherpt toezicht wordt geplaatst omdat de grip op de cyberweerbaarheid niet op orde is. Voor Waternet is het nu de opgave om er met prioriteit voor te zorgen dat de cyberverdediging weer op orde is. Hiertoe heeft Waternet op 29 april jl. een verbeterplan bij de ILT ingediend. Het is nu aan de ILT om in het kader van het verscherpt toezicht de uitvoering van het verbeterplan actief te bewaken.
Vraag 2

Taxeert de Minister dat dit risico aanvaardbaar is, hangende het verscherpte toezicht? En zo nee, wat gaat de Minister doen om de risico’s beter in beeld te krijgen en te beheersen?

Op dit moment doen zich voor zover mij bekend geen acute risico’s voor bij Waternet ten aanzien van de veiligstelling van de openbare drinkwatervoorziening die aanleiding zouden kunnen zijn tot verdere interventies. De ILT heeft tot op heden geen incidentmeldingen ingevolge de Wbni of Drinkwaterwet met betrekking tot de levering en kwaliteit van drinkwater ontvangen die kunnen worden gerelateerd aan het geconstateerde verhoogde risico voor cyberincidenten. In mijn Kamerbrief van 4 november 20201 heb ik toegelicht dat de eindverantwoordelijkheid voor cybersecurity bij Waternet (drinkwaterrelevante deel) primair bij het bestuur van de gemeente Amsterdam ligt. De ILT constateert dat het risicomanagement bij Waternet onvoldoende op orde is. Het is daarom in de eerste plaats aan het Stichtingsbestuur van Waternet en de gemeente Amsterdam om invulling te geven aan de bestuurlijke taxatie van de risicoacceptatie van de digitale beveiliging in relatie tot de bedrijfscontinuïteit. Dit overeenkomstig de bepalingen omtrent de risicogebaseerde aanpak in de bijlage bij artikel 3a, eerste lid, van het Besluit beveiliging netwerk- en informatiesystemen (Bbni).2
Waternet heeft op basis van de gesignaleerde tekortkomingen in het ILT-rapport een verbeterplan ingediend. De ILT zal beoordelen of de onderbouwing van de risicoacceptatie en daarbij gehanteerde systematiek (en prioriteit van te nemen risicobeheersingsmaatregelen) van Waternet voldoende is. Vervolgens moet Waternet de noodzakelijke risicobeheersingsmaatregelen treffen om de cybersecurity in voldoende mate op orde te krijgen. Daar kan ik nu niet op vooruit lopen.
Vraag 3

Wat is de Minister voornemens te doen om het tempo te verhogen van het implementeren van de door de ILT voorgestelde oplossingen?

In het verbeterplan dat door Waternet aan de ILT is aangeboden is voor alle in het ILT-rapport vermelde tekortkomingen aangegeven hoe en wanneer deze zijn opgelost, inclusief de stappen op weg daarnaartoe. Het is aan de ILT om te beoordelen of de planning en uitvoering van de voorgestelde maatregelen voldoet en de voortgang daarvan gedurende het verscherpte toezicht te bewaken.
Vraag 4

Wordt er in het verscherpte toezicht ook nader gekeken naar de organisatiestructuur en de besturing van de organisatie, en de bijdrage die dat volgens het ILT-onderzoek levert aan de tekortkomingen in de cybersecurity? Zo ja, op welke manier? Zo nee, waarom niet?

Ja. Het oplossen van de tekortkomingen in de besturing, zoals in het onderzoek aangegeven, maakt onderdeel uit van het verbeterplan van Waternet. Waternet pakt zaken op die op korte termijn verbeterd kunnen worden en evalueert de zaken waarvoor een meer structurele verandering noodzakelijk is die meer voorbereiding vraagt. Gedurende het onderzoek heeft Waternet al stappen gezet die bijdragen aan de verbetering van de cybersecurity, bijvoorbeeld door de aanstelling van een CIO (Chief Information Officer). Bij het verscherpt toezicht onderhoudt de ILT intensief contact met Waternet over de voortgang van de verbeteringen.
Vraag 5

Zijn er naast het verscherpte toezicht nog andere stappen die door u of de ILT worden gezet om te zorgen dat de cybersecurity bij Waternet structureel verbetert? Welke stappen worden er door de organisatie van Waternet zelf precies gezet en dragen die naar uw mening voldoende bij aan het voorkomen van cyberincidenten?

De ILT beoordeelt eerst het verbeterplan dat door Waternet is opgesteld. Waternet is nu aan zet om de gesignaleerde tekortkomingen te verbeteren. De ILT monitort de voortgang daarvan.
Voor wat betreft de andere stappen heb ik u in mijn brief van 2 april 20213 toegezegd om u ten behoeve van de commissievergadering Water en Wadden van 10 juni as. schriftelijk te informeren over de vervolgacties in het kader van het versterken van cybersecurity in watersector. De instrumenten die in het kader van dit programma worden ontwikkeld, zijn ook bedoeld voor de structurele verbetering van de cyberweerbaarheid van Waternet. Hierbij gaat het onder andere om de Ministeriële Regeling beveiliging netwerk- en informatiesystemen die voor alle AED’s van IenW per 1 juli as. in werking treedt en om de ontwikkeling van een brede cyberstandaard/handreiking voor de procesautomatisering als aanvulling op deze regeling en de Baseline Informatiebeveiliging Overheid (BIO). Daarnaast wordt specifiek voor de drinkwatersector een haalbaarheidsstudie gestart naar de samenwerkingsopties voor een security operations centre (SOC) en is een serious game op het gebied van cybersecurity, crisismanagement en operationele technologie ontwikkeld. Verder wordt een Red Team Blue Team training voor professionals in de watersector aangeboden, waaraan ook Waternet deelneemt.
Vraag 6

Kunt u deze vragen elk afzonderlijk beantwoorden?

Ja.

19 april 2021 - 29 juni 2021

71 dagen

Mobiele bereikbaarheid en overal in Nederland 112 kunnen bellen.
	Inge van Dijk (CDA)
	Mona Keijzer (staatssecretaris economische zaken) (CDA)

Bronnen

1. Aanhangsel Handelingen, vergaderjaar 2017–2018, nr. 395
2. Aanhangsel Handelingen, vergaderjaar 2020–2021, nr. 810
3. Aanhangsel Handelingen, vergaderjaar 2020–2021, nr. 2035
4. Omroep Gelderland, 18 maart 2021 «Mijn dochtertje stikte bijna en ik …
5. Provinciale staten van Gelderland, 6 april 2021 «Statenvragen over mo…

Vraag 1

Kunt u zich herinneren dat het CDA in de afgelopen jaren herhaaldelijk aandacht heeft gevraagd voor plaatsen in Nederland waar de mobiele bereikbaarheid onvoldoende was en alarmnummer 112 slecht bereikbaar, zoals Olland in Brabant1 Termunten/Termunterzijl in Groningen2 en Vilsteren/Hoge Hexel in Overijssel3?

Ja.
Vraag 2

Bent u bekend met de berichtgeving over de problemen rond de mobiele bereikbaarheid van alarmnummer 112 in delen van Gelderland4 en de schriftelijke vragen die de Provinciale Statenfractie van CDA Gelderland hierover onlangs heeft gesteld?5

Ja.
Vraag 3

Deelt u de mening dat het van levensbelang is dat de mobiele bereikbaarheid in het algemeen en die van alarmnummer 112 in het bijzonder overal in Nederland optimaal is?

Ja. Zoals in de Nota Mobiele Communicatie is beschreven is mobiele communicatie in het algemeen een onmisbare grondstof voor de Nederlandse economie en voor mensen in toenemende mate essentieel voor sociale verbinding en economische kansen.6 De bereikbaarheid van het alarmnummer 112 is daarenboven nog eens van levensbelang. Daarom zijn er voor de bereikbaarheid van 112 extra maatregelen getroffen. Zo kan 112 worden gebeld zonder SIM-kaart of abonnement en kun je naar 112 bellen over elk mobiel netwerk. Je bent voor de bereikbaarheid van 112 dus niet afhankelijk van de netwerkdekking van je eigen aanbieder. Daardoor is de mobiele bereikbaarheid van 112 beter dan de dekking van de drie afzonderlijke mobiele netwerken. Bovendien kun je 112 ook bellen via buitenlandse netwerken, waardoor de dekking in de grensstreken ook optimaal is. Tot slot zijn aanbieders verplicht om per 1 juli ook het bellen van 112 via WiFi-netwerken mogelijk te maken. Daardoor verbetert de bereikbaarheid van 112 binnenshuis.
In de Nota Mobiele Communicatie is ook toegelicht dat er echter (natuurkundige) beperkingen zijn waardoor 100% dekking in de praktijk onmogelijk is. Juist omdat de bereikbaarheid van het alarmnummer 112 van levensbelang is heeft de Minister van Justitie en Veiligheid daarom diverse tips op de website van de rijksoverheid gepubliceerd voor mensen die ondanks alle maatregelen die hiervoor zijn beschreven toch nog problemen ervaren met de bereikbaarheid van 112 via een mobiel netwerk.7
Vraag 4

Kunt u voor ons visualiseren hoe het thans gesteld is met de mobiele bereikbaarheid van alarmnummer 112 in Nederland? Kunnen wij een dekkingskaart ontvangen met «vlekken» waaruit kan worden afgeleid in welke gebieden de mobiele bereikbaarheid slecht/onvoldoende is en dus actie is gewenst?

Mobiele netwerkdekking is afhankelijk van natuurkundige wetten. De dekking is mede daarom niet constant en kan van moment tot moment veranderen. Bijvoorbeeld door seizoensinvloeden, zoals bladeren aan de bomen in de zomer, of weersomstandigheden. Ook de apparatuur die iemand gebruikt bepaalt de mate van dekking die zij of hij ervaart. Een dekkingskaart kan daarom enkel inzichtelijk maken hoe waarschijnlijk het is dat er ergens dekking wordt ervaren. Bovendien is het praktisch onmogelijk om met zekerheid te voorspellen of er ook binnenshuis dekking wordt ervaren. De isolatie van een huis of pand en de gebruikte bouwmaterialen zijn ook allemaal van invloed op de mate van dekking.
In 2015 heeft Agentschap Telecom onderzoek gedaan om te bepalen op welke plekken de waarschijnlijkheid waarmee 112 kan worden bereikt kleiner is dan 99%. Die kaart kunt u terugvinden in het jaarverslag van Agentschap Telecom.8 Op basis van dit complexe en omvangrijke onderzoek9 heeft toenmalig de Minister van Economische Zaken geconcludeerd dat de dekking ten behoeve van mobiele bereikbaarheid van 112 in Nederland op orde is.10 Het is aannemelijk dat de mobiele bereikbaarheid van 112 sindsdien verder is verbeterd. Zo zijn er sinds 2015 gemiddeld genomen elk jaar antenne-opstelpunten bij gekomen om de netwerkdekking te verbeteren, zorgen technologische innovaties ervoor dat de netwerkdekking beter wordt, zijn er met de 700 MHz-band aanvullende frequenties bij gekomen die nog verder reiken en minder last hebben van obstakels, en is het bellen naar 112 via WiFi bij sommige aanbieders al mogelijk.
Er wordt momenteel gewerkt aan het creëren van een kaart die de gezamenlijke buitenhuisdekking van de mobiele netwerken inzichtelijk maakt. De kaart biedt inzicht in de gezamenlijke dekking van de drie mobiele netwerken. Die dekking is een sterke indicatie voor de dekking van 112. De verwachting is dat deze kaart begin 2022 beschikbaar is. Op dat moment zal ik uw Kamer informeren over eventuele mogelijkheden voor het verbeteren van de mobiele dekking.
Vraag 5

Wat zijn de oorzaken van de slechte mobiele bereikbaarheid van 112 in bepaalde delen van Nederland? Betreft het onvoldoende netwerkdekking door onvoldoende masten of spelen ook andere oorzaken als isolatie en weeromstandigheden een rol? In welke mate zorgen juridische procedures tegen het afgeven van een (omgevings)vergunning voor het plaatsen van nieuwe masten voor vertraging?

De dekking van alle drie de mobiele netwerken in Nederland behoort stuk voor stuk tot de absolute wereldtop. Dit blijkt elk jaar weer uit onafhankelijke metingen.11 Voor zover de mobiele bereikbaarheid van 112 in Nederland nog tekort schiet kan dat tal van oorzaken hebben. Zoals in de vraag reeds wordt benoemd spelen de isolatie van woningen of (bedrijfs)panden, weersomstandigheden, maar ook weerstand van burgers tegen de plaatsing van mobiele antennes inderdaad allemaal een rol. Maar ook het toestel dat iemand gebruikt12, de wijze waarop die apparatuur wordt gebruikt13, en seizoeninvloeden zoals wel/geen bladeren aan de bomen kunnen ook allemaal een rol spelen. Waarom er op specifieke locaties (soms) geen of verminderde mobiele bereikbaarheid van 112 is, is dus afhankelijk van de concrete casus en vergt telkens een grondige analyse van alle omstandigheden en mogelijke oorzaken. Dit is ook waarom de kaart uit het antwoord op vraag 4 melding slechts indicaties kan bieden voor de dekking van 112, en geen definitief uitsluitsel.
Vraag 6

Acht u het mogelijk dat met de dekkingsverplichting van 98 procent voor telecomproviders, voortkomend uit de veiling van de 700Mhz-band in 2020, alsnog 100 procent mobiele dekking van alarmnummer 112 kan worden gerealiseerd? Indien niet, hoe kan dan de veiligheid van inwoners in plaatsen met onvoldoende mobiele dekking worden gegarandeerd?

Het doel van de mobiele dekkingsverplichting is om ervoor te zorgen dat de mobiele netwerkdekking van de verschillende vergunninghouders zo veel als mogelijk beschikbaar is en een bepaalde minimumkwaliteit biedt. De verplichting is dan ook niet primair gericht op het verbeteren van de mobiele bereikbaarheid van 112. Niettemin is het waarschijnlijk dat naleving van de verplichting gaat leiden tot een verbetering van de mobiele bereikbaarheid van 112. Zoals in de beantwoording van de vragen 3 en 5 is uitgelegd is 100% mobiele bereikbaarheid van 112 in de praktijk echter onmogelijk. Het aanvullend behouden of nemen van een abonnement met een vaste lijn is daarom altijd verstandig om de bereikbaarheid thuis te vergroten.
Vraag 7

Bent u bereid om het bovenstaande met branchevereniging Monet (waarin telecomproviders verenigd zijn), Agentschap Telecom, gemeenten in de Vereniging van Nederlandse Gemeenten (VNG) en provincies in het Interprovinciaal Overleg (IPO) te bespreken en te verkennen met welke aanvullende acties de mobiele bereikbaarheid van alarmnummer 112 kan worden verbeterd en onveilige situaties voorkomen?

Ik ben doorlopend in gesprek met partijen zoals de branchevereniging Monet, gemeenten, de VNG, en het Agentschap Telecom over tal van onderwerpen. Het verbeteren van de mobiele netwerkdekking is daar ook een onderdeel van. Indirect draagt het verbeteren van de mobiele netwerkdekking ook bij aan de bereikbaarheid van 112 omdat daarvoor de gecombineerde dekking van de drie mobiele netwerken van belang is. Voor de mobiele bereikbaarheid van het alarmnummer 112 is de mogelijkheid om daar naar te bellen via WiFi een belangrijke ontwikkeling. Het lijkt er namelijk op dat vooral de ervaren dekking binnenshuis beter kan. De ACM heeft daarvoor een beleidsregel over opgesteld. Op grond daarvan zijn de drie mobiele netwerkaanbieder verplicht om er per 1 juli 2021 voor te zorgen dat mensen 112 kunnen bellen via een WiFi-netwerk. Men moet dan wel een (relatief moderne) smartphone hebben die bellen over WiFi ondersteunt, geschikt is voor het netwerk van de aanbieder, en mogelijk wat in de instellingen van hun toestel aanpassen. Dat kan men nakijken op de website van deze aanbieders.14 Hierdoor wordt de mobiele bereikbaarheid van 112 binnenshuis naar verwachting aanzienlijk verbeterd.
Vraag 8

Kunt u bij het Agentschap Telecom en/of de VNG nagaan in hoeverre gemeentes bekend zijn met en gebruik maken van de «Handreiking mobiele bereikbaarheid gemeenten», waarmee lokaal de mobiele bereikbaarheid kan worden verbeterd? Wat is hiervan uw eigen indruk?

Agentschap Telecom heeft gemeld dat zij de handreiking al geregeld aan gemeenten heeft verstrekt. Tegelijkertijd heb ik van de VNG en Monet begrepen dat de bekendheid van de handreiking onder gemeenten beter kan. Zij helpen daarbij door gemeenten er op te wijzen.
De handreiking is een nuttig instrument dat gemeentes kan helpen om vat te krijgen op het uiterst complexe en veelzijdige vraagstuk dat mobiele bereikbaarheid inhoudt. In hoeverre gemeentes hier daadwerkelijk gebruik van maken kan ik niet met zekerheid stellen.
Vraag 9

Kunt u deze vragen in ieder geval voor het eerstvolgende commissiedebat Telecommunicatie op 20 mei 2021 beantwoorden?

De beantwoording van deze vragen is bij mededeling van 10 mei uitgesteld.15
Op 1 juni 2021 heeft de vragensteller samen met het lid Rajkowski (VVD) een motie ingediend in vervolg op deze vragen.16 Die motie is inmiddels met algemene stemmen aangenomen. In de motie wordt de regering opgeroepen om «voor 1 januari 2022 met voorstellen te komen om de «witte gebieden» in Nederland te ontsluiten, zodat voldaan kan worden aan de ondergrens van mobiele bereikbaarheid, namelijk 112 te kunnen bellen». Teneinde uitvoering te geven aan deze motie zal allereerst de mobiele dekkingskaart uit de beantwoording van vraag 4 worden opgesteld. Die kaart zal objectieve indicaties geven van plekken waar de dekking van 112 buitenhuis mogelijk nog tekort schiet. Wat de motie «witte gebieden» noemt. Op grond van die informatie zal ik uw Kamer informeren over eventuele mogelijkheden voor het verbeteren van de mobiele dekking.

14 april 2021 - 28 mei 2021

44 dagen

Voedselvoorziening als vitale infrastructuur
	Barbara Kathmann (PvdA)
	Ferdinand Grapperhaus (minister justitie en veiligheid) (CDA)

Bronnen

1. NOS, 12 april 2021, «Oproep na kaashack: bestempel voedselvoorziening…

Vraag 1

Bent u bekend met het artikel «Oproep na kaashack: bestempel voedselvoorziening als vitale infrastructuur»?1

Ja.
Vraag 2

Wat zijn de voor- en nadelen van de voedselvoorziening als vitale infrastructuur te benoemen?

Bij het identificeren van vitale infrastructuur gaat het niet om een afweging waarbij voor- en nadelen leidend zijn. Dit gebeurt aan de hand van vooraf vastgestelde criteria (zie hiervoor het antwoord op vraag 4) op basis waarvan processen al dan niet als vitaal worden aangemerkt middels een vitaliteitsbeoordeling. Uitgangspunt is hierbij dat uitval of verstoring van het proces tot ernstige maatschappelijke ontwrichting kan leiden. Binnen een als vitaal aangemerkt proces kunnen aanbieders die een belangrijke rol vervullen als vitale aanbieders worden aangemerkt. Rechten en plichten voor deze vitale aanbieders volgen bijvoorbeeld uit de Wet beveiliging netwerk- en informatiesystemen (Wbni) of uit sectorale wetgeving.
Vraag 3

Wat voor hulp biedt het Nationaal Cyber Security Centrum (NCSC) aan bedrijven die als vitale infrastructuur worden gezien?

Het Nationaal Cyber Security Centrum (NCSC) heeft krachtens de Wbni primair tot taak om vitale aanbieders en andere aanbieders die deel uitmaken van de rijksoverheid te informeren en adviseren over dreigingen en incidenten met betrekking tot hun netwerk- en informatiesystemen, waar nodig op andere wijze bijstand te verlenen bij het treffen van maatregelen om de continuïteit van hun diensten te waarborgen of te herstellen, en ten behoeve daarvan analyses en technisch onderzoek te verrichten.
Het NCSC werkt hiertoe voortdurend aan de eigen informatiepositie. Dit gebeurt onder meer door het bevorderen van meldingen van organisaties uit bovengenoemde doelgroep van het NCSC (Rijk en vitaal) en het aangaan van samenwerkingsrelaties met andere organisaties.
Vraag 4

Wat zijn de criteria om een bedrijf te kenmerken als vitale infrastructuur?

De Nederlandse vitale infrastructuur wordt gevormd door processen die zo vitaal zijn voor het functioneren van onze samenleving, dat verstoring ervan grote gevolgen voor onze samenleving heeft.2 De verantwoordelijke vakdepartementen beoordelen of en welke processen vitaal zijn. Dit gebeurt in elk geval om de 4 jaar, maar ook wanneer maatschappelijke ontwikkelingen, zoals veranderende dreigingen of risico´s, daar aanleiding toe geven. Bij deze vitaliteitsbeoordelingen worden vooraf centraal opgestelde impactcriteria gehanteerd. Op hoofdlijnen is bepalend dat uitval of verstoring van het proces tot ernstige maatschappelijke ontwrichting kan leiden. Meer concreet wordt getoetst op basis van criteria als grootschalige economische schade, fysieke gevolgen en cascade effecten. Deze criteria zijn ontwikkeld aan de hand van Europese richtlijnen en een nationale beoordelingssystematiek.
Vraag 5

Wat vindt u van de oproep om de voedselvoorziening toe te voegen aan de lijst met bedrijven die worden gezien als vitale infrastructuur?

Ik begrijp die oproep, want voedselvoorziening is vanzelfsprekend heel belangrijk voor onze samenleving. Een objectieve vitaliteitsbeoordeling bepaalt, zoals hierboven vermeld, of een proces wordt aangemerkt als vitaal proces en daarmee deel uitmaakt van de vitale infrastructuur. Elke vier jaar wordt de vitaliteitbeoordeling van processen in elk geval opnieuw doorlopen, zodat nieuwe ontwikkelingen in sectoren of in dreigingen kunnen worden meegenomen. Een dergelijke vitaliteitsbeoordeling van de voedselvoorziening vindt in het kader hiervan later dit jaar plaats door het verantwoordelijke Ministerie (Landbouw, Natuur en Voedselkwaliteit). Hierbij moet wel opgemerkt worden dat hoewel voedselvoorziening heel belangrijk is, een proces pas vitaal is als de uitval van een individuele aanbieder leidt tot grootschalige gevolgen.
Vraag 6

Deelt u de verwachting van IT-beveiligingsexperts, dat hackaanvallen op de voedselvoorziening vaker voor zullen komen? Zo nee, waarom niet?

In het Cybersecuritybeeld Nederland (CSBN 2020)3 wordt geconstateerd dat de digitale dreiging inmiddels een permanent karakter heeft gekregen. Afpersing via ransomware, waar volgens het artikel van de NOS in dit geval sprake van is, is bijvoorbeeld nog altijd een aantrekkelijk verdienmodel voor criminele actoren, en kan leiden tot financiële maar ook maatschappelijke schade. Daarbij richten ze zich op organisaties waarvan zij verwachten dat die de mogelijkheid hebben om grotere geldbedragen te betalen of waarvoor bedrijfscontinuïteit en een belangrijke rol speelt. In de voedselvoorziening kan dit het geval zijn.
Op dit moment is mij geen beeld van de digitale veiligheid van specifiek de voedselvoorziening bekend. In algemene zin constateert het CSBN 2020 wel dat de weerbaarheid tegen digitale dreigingen nog niet overal op orde is. Bij veruit de meeste digitale aanvallen wordt nog steeds gebruik gemaakt van eenvoudige methoden. Het nemen van basismaatregelen kan helpen om barrières op te werpen of schade te beperken.
Vraag 7

Kunt u reflecteren op het bericht dat ethische hackers aangeven dat de digitale veiligheid van de voedselvoorziening niet op orde is?

Zie antwoord vraag 6.
Vraag 8

Wat vindt u van de uitspraak dat de pakkans bij hacken laag is? Wat is de reden van de lage pakkans?

Uit voorlopige cijfers blijkt dat het aantal geregistreerde gevallen van computervredebreuk stijgt4. Al eerder heb ik uw Kamer geïnformeerd over de uitdagingen bij opsporing in het digitale domein5. Het internet is inherent grensoverschrijdend en biedt veel schaalvoordelen. Daders kunnen gemakkelijk in verschillende landen veel slachtoffers maken. Verder zijn online de mogelijkheden tot anonimisering groot, wat het moeilijker maakt de identiteit van verdachten te achterhalen. Het Team High Tech Crime van de Politie en het Landelijk Parket signaleren een toename in de (technische) complexiteit van opsporingsonderzoeken. Dit beïnvloedt de duur en benodigde capaciteit voor opsporingsonderzoeken.
Aangezien het opsporen en vervolgen van cybercrimedelicten complex is zetten de politie en het OM in op een bredere bestrijding. Hieronder vallen ook alternatieve interventies, gericht op preventie en verstoring.
Vraag 9

Moet de overheid meer doen om de pakkans bij hacken te vergroten? Zo ja, wat voor maatregelen heeft u in gedachten? Zo nee, waarom niet?

De afgelopen jaren is er geïnvesteerd in de aanpak van cybercrime bij politie en OM. Zo is de politie met 145 fte uitgebreid, waarmee o.a. de regionale cybercrimeteams zijn versterkt. Vanwege de complexiteit van de opsporing vraagt cybercrime een bredere bestrijding. Daarnaast blijft het van belang dat burgers en organisaties voldoende weerbaar zijn tegen cybercrime.
Er worden ook internationaal maatregelen genomen. Nederland neemt actief deel aan de Europese gesprekken over de E-Evidence-verordening en de gesprekken over een tweede protocol bij het Cybercrimeverdrag, ter bevordering van de grensoverschrijdende opsporing, zowel binnen als buiten de EU. Het is belangrijk om te blijven inzetten op de aanpak van cybercrime, zodat het internet geen vrijplaats wordt voor criminelen.

13 april 2021 - 26 mei 2021

43 dagen

Het bericht ‘ICT-adviseur corporaties had financiële banden met ICT-leveranciers waarover het adviseert’
	Daniel Koerhuis (VVD)
	Kajsa Ollongren (viceminister-president , minister binnenlandse zaken en koninkrijksrelaties) (D66)

Bronnen

1. NRC, 23 maart 2021, Ict-adviseur woningcorporaties had financiële banden met ict-leveranciers waarover het adviseert – NRC

Vraag 1

Kent u het bericht «ICT-adviseur corporaties had financiële banden met ICT-leveranciers waarover het adviseert»?1

Ja.
Vraag 2

Hoe kijkt u aan tegen de wisselwerking tussen advies- en implementatierollen voor ICT binnen de corporatiesector?

Voor de ICT sector geldt – net als voor andere sectoren – dat een wisselwerking tussen advies- en implementatierollen een ongewenste (schijn van) belangenverstrengeling kan opleveren. Een ICT-aanbieder moet hierover, op zijn minst, transparant zijn. Dit geldt wanneer hij in opdracht werkt voor de corporatiesector, net zo goed als bij welke andere sector dan ook.
Uit het krantenartikel blijkt dat er hier mogelijk sprake is geweest van vermenging van rollen bij een ICT-aanbieder die door woningcorporaties werd ingehuurd. Mogelijke vermenging van rollen is primair de verantwoordelijkheid van de ondernemer, en niet in die van de afnemer. De ondernemer is immers op de hoogte van de mogelijke vermenging van rollen, de afnemer is dat in de regel niet. Wel is het aan woningcorporaties om goed beleid te voeren voor inhuur en aanbesteding, en hierbij kritisch te zijn. Zo kan de corporatiesector bijvoorbeeld van de ondernemer in de (pre)contractuele fase eisen om eventuele mogelijke vermengingen van rollen te melden. Corporaties moeten conform de «Governancecode woningcorporaties» ook alert zijn en vragen stellen bij de inhuur van diensten van een derde partij. Verder hanteren veel corporaties het «Model algemene inkoopvoorwaarden levering diensten en werken» van Aedes. In dit model is een bepaling opgenomen waarin wordt uitgesloten dat een in te huren partij betrokken is bij afspraken met andere ondernemingen waardoor ongewenste prijsvorming kan ontstaan, afstemming van offerten of verdeling van werkzaamheden. Daarnaast heeft Aedes verschillende tools beschikbaar voor de corporaties om professioneel opdrachtgeverschap in inkoop te ondersteunen en vorm te geven.
Vraag 3

Hoe zorgt u ervoor dat advies- en implementatierollen voor bijvoorbeeld ICT, (financieel) management en accountancy binnen de corporatiesector niet door elkaar heen lopen?

De ICT-sector, (financieel) management en accountancy-sector hebben tot taak om ongewenste samenloop van belangen in die sectoren te voorkomen of op zijn minst daar transparant over te zijn richting hun afnemers. NL Digital heeft, als branchevertegenwoordiger van de ICT-sector, een Gedragscode opgesteld voor haar leden. In deze code is onder meer aangegeven het belang te erkennen van integer en transparant handelen voor het vertrouwen in de ICT-branche. Ook is bepaald dat de ondernemer die lid is van NL Digital op integere wijze omgaat met zijn zakenpartners en steeds zorgvuldig de belangen van eenieder afweegt.
Daarnaast besteedt de Autoriteit woningcorporaties (Aw) risicogericht aandacht aan het onderwerp aanbesteding, in het toezicht op de governance van corporaties, en aan de integriteit van beleid en beheer van corporaties. Verder is de Aw bezig vorm te geven aan een nieuwe versie van het hoofdstuk governance van het beoordelingskader voor woningcorporaties, waarbij het onderwerp aanbesteding een expliciet onderdeel wordt van het onderwerp integriteit. Ik ondersteun de inzet van de Aw hierop.
Vraag 4

Hoe kijkt u aan tegen Europese aanbestedingsregels voor corporaties? Bent u bereid om corporaties toch deze regels te laten volgen om dit soort belangenverstrengeling tegen te gaan?

In mijn antwoorden op het Verslag Schriftelijk Overleg over de brief van 8 december 2017 houdende informatie over het besluit van de Europese Commissie om een inbreukprocedure tegen Nederland te starten (Kamerstuk 29 453, nr. 468) heb ik uiteengezet waarom woningcorporaties niet kwalificeren als een aanbestedende dienst in de zin van de Europese aanbestedingsregelgeving. Kortgezegd komt het erop neer dat woningcorporaties kunnen kwalificeren als een instelling die werkt in het algemeen belang maar waar geen sprake is van «toezicht op het beheer», een voorwaarde om als publiekrechtelijke instelling te kwalificeren en daarmee als aanbestedende dienst. Om van «toezicht op het beheer» te spreken moet er sprake zijn van een overheid die actief toezicht uitoefent op het beheer van de instelling. Dit toezicht moet verder gaan dan louter controle achteraf en een dusdanig karakter hebben dat de overheid de mogelijkheid heeft de beslissingen van de betrokken instelling inzake overheidsopdrachten te beïnvloeden. Dat was in het Nederlandse stelsel in 2018 niet het geval en is dat nu nog steeds niet.
Het toepassen van de Europese aanbestedingsregels op woningcorporaties voorkomt de (schijn van) belangenverstrengeling niet zoals aan de orde is in het artikel waar deze vragen op zien. Bepalingen in de Aanbestedingswet 2012 zien op belangenconflicten aan de zijde van de aanbestedende dienst of over de consequenties van een belangenconflict aan de zijde van de ondernemer voor de aanbestedende dienst. Met toepassing van deze regelgeving kan niet meer worden bereikt dan nu met interne regelgeving al kan. Zoals in mijn antwoord op vraag 2 is aangegeven kunnen corporaties dat ook nu al in hun eigen inkooptraject als voorwaarde stellen.
Vraag 5

Hoe gaat u ervoor zorgen dat er meer initiatieven uit de corporatiesector zelf komen, om dit soort belangenverstrengeling tegen te gaan?

Het is niet aan de corporatiesector om op dit vlak verdere initiatieven te ontplooien, bovenop de in antwoord op vraag 2 genoemde governance-code, inkoopvoorwaarden en de beschikbaarheid van verschillende tools. Zoals hierboven omschreven ligt er primair een rol voor ondernemers, in dit geval de ICT-sector. Verder dienen corporaties bij inhuur alert te zijn.
Vraag 6

Welke rol ziet u voor de ACM (Autoriteit Consument & Markt) om dit soort belangenverstrengelingen tegen te gaan?

Het is van belang dat de afnemer op de hoogte is van de mogelijke verschillende rollen die een ondernemer vervult. Het niet-melden van een dergelijke mogelijke belangenverstrengeling is een privaatrechtelijke aangelegenheid waar het publiekrechtelijke toezicht van de ACM niet op past. Het is aan private partijen zelf om hier op een zorgvuldige manier mee om te gaan. Om deze reden hebben Aedes en NL Digital hier ook richtlijnen voor op gesteld. Als een ondernemer zich niet houdt aan de inkoopprocedure van de woningcorporaties, en daarmee een belangenverstrengeling die gemeld had moeten worden bewust verzwijgt, is het aan partijen, al dan niet met tussenkomst van de rechter, om daar een oplossing voor te vinden.
Vraag 7

Deelt u de mening dat de corporatiesector dezelfde strenge normen moet hanteren die ook al gelden voor andere sectoren, zoals voor advies- en implementatierollen binnen de bankensector? Zo nee, waarom niet?

In het aangehaalde artikel gaat het om een mogelijke belangenverstrengeling aan de kant van een ingehuurde derde, niet in het kader van de primaire dienstverlening door de woningcorporaties zelf. De normen die voor de financiële sector gelden om belangenverstrengeling tegen te gaan, zien op belangenverstrengeling in de primaire dienstverlening door de sector zelf.2 Het zou ongewenst zijn om de corporatiesector op te leggen dat zij toezien op integriteitsrisico’s bij in te huren partijen en daarmee verantwoordelijk worden voor interne aangelegenheden bij alle ondernemers van wiens diensten zij afnemer zijn. Dit ligt niet in de lijn van hun primaire taak en corporaties zijn hiervoor niet toegerust.
De accountant en de Aw houden toezicht op het risicomanagement van corporaties. Voor corporaties met meer dan 5000 woningen vloeit dit voort uit de OOB-status. Deze corporaties zijn wettelijk verplicht de interne beheersing te versterken en de accountant inzicht te geven in de beheersing van risico’s waaronder integriteitsrisico’s.
Vraag 8

Hoe kijkt u aan tegen een governance code voor corporaties? Bent u bereid om corporaties een governance code te laten ontwikkelen om dit soort belangenverstrengeling tegen te gaan?

De sector kent een governancecode, zoals in antwoord op vraag 2 ook vermeld. Deze «Governancecode woningcorporaties» is in 2020 vernieuwd. Corporaties dienen volgens deze code zorg te dragen voor een visie op opdrachtgeverschap en het beleid van aanbestedingen. In principe 5.3 van de governancecode is opgenomen dat het bestuur een aanbestedingsbeleid dient op te stellen. Dit beleid onderschrijft de beginselen van gelijke behandeling, objectiviteit, transparantie en proportionaliteit
Vraag 9

Deelt u de mening dat de corporatiesector een statement moet maken om afstand te nemen van de huidige wisselwerking tussen advies- en implementatierollen voor ICT?

Zie mijn antwoord op vraag 5.

1 april 2021 - 22 april 2021

21 dagen

Watergebruik in datacenters
	Lammert van Raan (PvdD), Eva van Esch (PvdD)
	Bas van 't Wout (minister economische zaken) (VVD), Cora van Nieuwenhuizen (minister infrastructuur en waterstaat) (VVD)

Bronnen

1. Dijkverhoging dreigt door datacenters: kosten voor burger | Binnenland | Telegraaf.nl
2. Zeewolde wil onrust over datacenter te lijf met digitale informatieavond | Zeewolde | destentor.nl
3. Minister van Nieuwenhuizen wil opheldering over watergebruik... – Noordhollands Dagblad
4. Gemeente en provincie in de clinch over nieuw datacenter Microsoft | RTL Nieuws

Vraag 1

Kent u de berichten «Dijkverhoging dreigt door datacenters: kosten voor burger» en «Zeewolde wil onrust over datacenter te lijf met digitale informatieavond»?1 2

Ja.
Vraag 2

Klopt het dat de dijken in de kop van Noord-Holland door de komst van het datacenter opgehoogd moeten worden? Zo ja, wat is de reden hiervoor?

Nee. De Wieringermeerdijk hoeft niet versterkt te worden omdat deze aan de wettelijke norm voldoet. Dit blijkt uit de wettelijke beoordeling die het waterschap heeft uitgevoerd.3
De komst van het datacenter zorgt voor toename van de economische waarde achter de dijk (bepaalt mede de hoogte van de norm) maar blijft binnen de verwachte economische groei tot 2050, waar rekening mee is gehouden bij het bepalen van de norm voor de Wieringermeerdijk.
Ten algemene geldt dat als een dijk niet aan de norm voldoet deze versterkt zal worden, zoals in de Waterwet vastgelegd. Het waterschap is verantwoordelijk voor de realisatie van een versterking. De kosten voor het versterken worden door het Rijk en de waterschappen gezamenlijk betaald.
Vraag 3

Hoeveel kost dit en wie is hiervoor verantwoordelijk?

Zie antwoord vraag 2.
Vraag 4

Acht u het bij dergelijk grote projecten, zoals de bouw van een datacenter, wenselijk dat burgerinspraak vorm krijgt voordat de vergunningverlening plaatsvindt? Zo ja, hoe wilt u dit vormgeven? Zo niet, waarom niet?

Ja, dit acht ik wenselijk en dit is al het geval. Inspraak door burgers en andere belanghebbenden is mogelijk op zowel het ontwerpbestemmingsplan, waarmee een gemeente in een gebied ruimte reserveert voor een datacenter, als op de milieueffectrapportage die daarmee gepaard kan gaan. Ook bij het opstellen van datacenterstrategieën door de regio’s, zoals in de Haarlemmermeer, is inspraak in het verleden mogelijk geweest.4
Vraag 5

Hoeveel datacenters hebben we in Nederland en hoeveel worden er verwacht?

In uitvoering van de motie Beckerman en Mulder (Kamerstuk 32 813, nr. 590) is op 24 maart 2021 een Kamerbrief verstuurd door de Minister van Economische Zaken en Klimaat (Kamerstuk 32 813, nr. 675) waarin in de bijlage een overzicht wordt gegeven van het aantal datacenters in Nederland. In de bijlage wordt tevens ingegaan op de verwachte groei van datacenters. Hieronder volgen de hoofdlijnen uit deze bijlage:
Volgens de Dutch Datacenter Association waren er in 2020 189 commerciële grote multi-tenant datacenters in Nederland. Verder zijn er volgens die vereniging 5.772 organisaties die een eigen datacenter hebben. In Nederland zijn er momenteel twee locaties met hyperscale datacenters (Eemshaven en Middenmeer), en is er sprake van de mogelijke vestiging van een derde in de regio Zeewolde. Een sluitend inzicht in datacenters die in ontwikkeling zijn is landelijk niet voorhanden; deze gegevens zijn ook vaak bedrijfsvertrouwelijk.
Vraag 6

Wat zijn volgens u de belangrijkste redenen dat grote datatechbedrijven zich zo graag in Nederlands vestigen?

Per bedrijf kan het verschillen welke factoren zij meenemen in de keuze van vestigingslocatie en hoe zwaar zij deze factoren ten opzichte van elkaar wegen. Dit is meestal zeer bedrijfsspecifiek. Op basis van gesprekken met bedrijven en signalen uit de praktijk komt wel naar voren dat bedrijven Nederland als een aantrekkelijke locatie zien voor datacenter activiteiten. Factoren die hierbij een rol spelen zijn het beschikken over een betrouwbare overheid, goede digitale connectiviteit, een hoogopgeleide beroepsbevolking en betrouwbare elektriciteitsvoorzieningen. Voor colocatie datacenters, datacenters waarvan de ruimte wordt gedeeld tussen meerdere partijen (multi-tenant), heeft Nederland in het bijzonder een zeer gunstig vestigingsklimaat vanwege de hyperconnectiviteitsclusters rond Amsterdam; de Amsterdam Internet Exchange (AMS-IX). Voor hyperscale datacenters, grootschalige datacenters die worden beheerd door één partij (single-tenant), is deze hyperconnectiviteit minder relevant. Dit komt omdat hyperscale datacenters voor hun diensten geen gebruik maken van hyperconnectiviteit.
Vraag 7

Wordt er vanuit de Nederlandse overheid gestimuleerd dat grote datatechbedrijven zich hier vestigen?

Grootschalige datacenters worden ook wel hyperscale datacenters genoemd. Het actief aantrekken van hyperscale datacenters wordt op dit moment niet door het Rijk gestimuleerd. Dit geldt ook voor andere soorten datacenters. Als een partij zich meldt bij de Netherlands Foreign Investment Agency (NFIA), de uitvoeringsorganisatie van het Ministerie van EZK die op landelijk niveau verantwoordelijk is voor het aantrekken van buitenlandse bedrijven, wordt deze doorverwezen naar regionale overheden. In beginsel zijn gemeenten en provincies aan zet om deze afweging te maken. Daarbij gelden de kaders zoals die zijn vastgesteld in de Nationale Omgevingsvisie (NOVI).
Vraag 8

Wie is nu het bevoegd gezag voor het verlenen van de omgevingsvergunning bij datacenters, aangezien de Minister van Infrastructuur en Waterstaat (IenW) ervan uitgaat dat dit de provincie Noord-Holland is3, terwijl de vergunningen door de gemeente Hollands Kroon verleend worden en de provincie Noord-Holland stelt dat deze niet geldig zijn omdat de provincie bevoegd gezag is?4 Wat gaat u doen aan deze bestuurlijke onduidelijkheid en chaos?

Mijn uitspraak in het Noordhollands Dagblad ging specifiek over eerdere berichtgeving in het Noordhollands Dagblad7 over het grote drinkwaterverbruik van datacenters. Om helderheid over deze zaak te krijgen heb ik navraag gedaan bij zowel de provincie Noord-Holland als het drinkwaterbedrijf PWN, en hierover bericht in antwoord op eerdere Kamervragen van het lid van Dijk (PvdA, met kenmerk IENW/BSK-2021/91034).
De berichtgeving op RTL Nieuws ging over de omgevingsvergunning. Deze is in eerste instantie afgegeven door de gemeente Hollands Kroon die zichzelf als bevoegd gezag zag. Dit werd vanwege de grootte van een noodstroominstallatie betwist door de provincie Noord-Holland. Het betreft hier een technische-juridische kwestie. Recent is gebleken dat de gemeente op basis van advies van de landsadvocaat Pels Rijcken, het aangepaste standpunt van Infomil en de praktijk in andere provincies en bij de Omgevingsdienst Noordzeekanaalgebied tot een ander inzicht is gekomen over de bevoegdheid tot het verstekken van een vergunning.8
Vraag 9

Klopt het dat watergebruik en lozing geen criteria zijn in de beoordeling van een omgevingsvergunning voor een datacenter? Zo ja, vindt u dit wenselijk? En welke wet- en regelgeving is van toepassing op het waterverbruik en lozingen van datacenters en wie controleert dit?

Het watergebruik en lozing van een datacenter worden in het traject van planvorming tot realisatie op verschillende momenten beoordeeld.
Als een gemeente de realisatie van een datacenter mogelijk wil maken zal het een bestemmingsplan moeten opstellen of wijzigen. Afhankelijk van de grootte van het datacenter en de activiteiten die gepaard zullen gaan met de aanleg, is een mer dan vereist. In een mer moet onder andere aandacht worden besteed aan waterverbruik en lozing en kunnen verschillende opties worden vergeleken, zodat een goede keuze gemaakt kan worden.
Als oppervlaktewater wordt gebruikt moet bij het waterschap of Rijkswaterstaat een vergunning in het kader van de Waterwet worden aangevraagd. Als grondwater wordt gebruikt moet een vergunning in het kader van de Waterwet worden aangevraagd bij het waterschap of provincie. Voor kleinere onttrekkingen kan soms volstaan worden met een melding. Indien gebruik van drinkwater wordt voorzien, zal het waterbedrijf moeten oordelen of de gevraagde aansluiting qua capaciteit past. Hierbij wordt opgemerkt dat het waterbedrijf vanuit de Drinkwaterwet een verantwoordelijkheid heeft die primair gericht is op de levering van drinkwater aan consumenten (dus niet op levering van koelwater aan bedrijven). Een waterbedrijf kan hierbij de gevraagde aansluiting of levering weigeren op basis van zijn algemene voorwaarden.
Voor wat betreft de regelgeving voor lozingen wordt verwezen naar het antwoord op vragen 10, 11 en 12.
Vraag 10

Welke chemicaliën worden gebruikt in het (koel)water van datacenters, hoeveel chemicaliën en voor welke redenen?

Als datacenters afvalwater willen lozen, vragen ze een vergunning aan of doen een melding bij het bevoegd gezag. Voor lozen op oppervlaktewater is dit het waterschap of Rijkswaterstaat. Voor lozen op een riool is dit de Omgevingsdienst namens de gemeente of Provincie. Er is geen landelijk centraal overzicht van alle chemicaliën die worden gebruikt, de hoeveelheden en redenen. In zijn algemeenheid geldt dat het bevoegd gezag alleen een vergunning afgeeft als de waterkwaliteit van het ontvangende water niet verslechtert. Dus mogelijke negatieve effecten van een lozing worden onderzocht en meegenomen in de vergunningaanvraag.
Specifiek over de vraag over welke chemicaliën in koelwater zitten, heb ik eerder navraag gedaan bij het Hoogheemraadschap Hollands Noorderkwartier (HHNK). Dit naar aanleiding van eerdergenoemde Kamervragen van het lid van Dijk (met kenmerk IENW/BSK-2021/91034). HHNK is bevoegd gezag voor de lozing van water voor de twee actieve datacenters in de Wieringermeer: Bij één datacenter wordt niets toegevoegd aan het drinkwater dat voor koeling wordt gebruikt. Bij het andere datacenter wordt zout toegevoegd om het water te ontharden.
Het gebruik van additieven in koelwater voor datacenters verschilt per situatie. Het is afhankelijk van het soort koeling en de bron van water. In oppervlaktewater zitten over het algemeen meer voedingsstoffen voor micro-organismen, die in een koelinstallatie voor aangroei en verstopping kunnen zorgen. Wanneer drinkwater wordt gebruikt is dat veel minder het geval en kan zonder additieven worden gekoeld.
Vraag 11

Klopt het dat het afvalwater met chemicaliën geloosd mag worden in het oppervlaktewater?

Zie antwoord vraag 10.
Vraag 12

Zijn de mogelijke negatieve effecten van de geloosde chemicaliën op het watersysteem onderzocht? Zo ja, wat waren de uitkomsten? Zo nee, waarom niet?

Zie antwoord vraag 10.
Vraag 13

Wat zijn de toegestane lozingsconcentraten en in welke regelgeving zijn deze vastgelegd?

Ik neem aan dat hiermee concentraties van stoffen in afvalwater bedoeld worden. Het bevoegd gezag beoordeelt de lozing op basis van de te verwachte effecten in het ontvangende water. Dit geldt zowel voor de te lozen stoffen als het effect van de warmtelozingen. Er mag geen achteruitgang zijn in waterkwaliteit of de functie van het oppervlaktewater. Hierbij speelt een aantal zaken een rol zoals de grootte en duur van de lozing, de concentraties van stoffen, de temperatuur van het te lozen water. Daarnaast zijn ook eigenschappen van het water waarin geloosd wordt belangrijk, zoals achtergrondconcentraties, aanwezige natuurwaarden, grootte en doorstroming. Om al deze aspecten integraal mee te kunnen nemen in een beoordeling, is de emissie-immissie toets ontwikkeld.9 De warmtevracht wordt beoordeeld met de beoordelingssystematiek warmtelozingen.10 Deze zijn beide opgenomen in de beoordeling-systematiek voor koelwaterlozingen welke te vinden is op de Helpdesk Water.11
De regelgeving voor lozingen is vastgelegd in het Activiteitenbesluit milieubeheer voor lozingen binnen een inrichting, en het «Besluit lozen buiten inrichtingen».
Vraag 14

Wie controleert of datacenters zich houden aan de toegestane lozingsconcentraten?

Voor lozen op oppervlaktewater is dit het waterschap of Rijkswaterstaat. Voor lozen op een riool is dit de Omgevingsdienst namens de gemeente of Provincie.
Vraag 15

Zijn de lozingsconcentraten anders voor warme dagen wanneer de kwaliteit van het oppervlaktewater al vaak in een kritieke toestand verkeerd en wordt hiermee rekening gehouden in de vergunning? Zo nee, waarom niet? Zo ja, wat zijn de toegestane lozingsconcentraten voor warme dagen?

De invloed van lozingen op de waterkwaliteit in het ontvangende water zal inderdaad afhangen van het weer en de mate van doorstroming in oppervlaktewater. Hier wordt bij de beoordeling van de emissie ten behoeve van vergunningverlening rekening mee gehouden. De meest beperkende situatie is daarbij bepalend voor de emissiegrenswaarden.
Vraag 16

Wordt in de vergunning rekening gehouden waar het water wordt gedumpt en of dat waterlichaam gebruikt wordt voor irrigatie van gewassen? Zo nee, waarom niet? Zo ja, wat zijn de toegestane lozingsconcentraten?

Ja, zie vraag 13.
Vraag 17

Klopt het dat er een enorme variatie in koelwaterverbruik is bij datacenters? Zo ja, waarom is er geen maximum gesteld aan het gebruik van koelwater in wet- en regelgeving?

Ja het klopt dat er variatie is in het koelwaterverbruik. Het verbruik van koelwater is sterk afhankelijk van het soort koelsysteem dat wordt gebruikt en het proces wat gekoeld wordt. Het is aan het bevoegd gezag om een afweging te maken of er gebruik wordt gemaakt van de Best Beschikbare Technieken (BBT). Zaken die hier een rol spelen zijn onder andere energieverbruik, waterverbruik, techniekkeuze en koelmedium. Europees zijn voor bedrijven die vallen onder de Richtlijn industriële emissies (2010/75/EU) afspraken gemaakt in de BREF koelsystemen. BREF staat hierbij voor «referentiedocument betreffende de beste beschikbare technieken voor industriële koelsystemen». Dit document is beschikbaar als onderdeel van de eerder genoemde beoordeling-systematiek voor koelwaterlozingen genoemd bij het antwoord op vraag 13. Er wordt dus geen maximum gesteld aan het gebruik van koelwater, maar er wordt een integrale beoordeling gemaakt van de milieuprestaties van een koelsysteem binnen een productieproces.
Vraag 18

Hoeveel koelwater gebruikten de datacenters in Noord-Holland in 2020? Hoeveel zou een groot datacenter, zoals gebouwd wordt in Zeewolde gebruiken in 2020?

Er is geen informatie beschikbaar over gebruik van koelwater voor specifieke datacenters in Noord-Holland. Wel heb ik, in antwoord op eerdere Kamervragen van het lid van Dijk (PvdA, met kenmerk IENW/BSK-2021/91034), laten weten dat uit gegevens van het waterbedrijf PWN blijkt dat 0,6% (650,000 m3 in 2020) van het door hen geleverde drinkwater wordt gebruikt als koeling door verschillende bedrijven (waaronder datacenters).
De gemeente Zeewolde heeft op haar website informatie gepubliceerd over het waterverbruik van het geplande datacenter.12
Het datacenter koelt voornamelijk met lucht. Alleen als het warm is of de lucht erg droog wordt er oppervlaktewater gebruikt. De gemeente geeft aan dat de maximale capaciteit nodig is als de temperatuur boven 26ºC komt en de luchtvochtigheid onder de 60% ligt. Dit zal naar verwachting 4 tot 5 dagen per jaar het geval zijn. Het datacenter neemt op die dagen maximaal 270 m3/uur in, waarvan 216 m3/uur weer wordt geloosd. Het netto-verbruik tijdens die piekmomenten is dus 54 m3/uur.
Vraag 19

Klopt het dat datacenters juist op warme dagen, wanneer de temperatuur boven de 25 graden Celsius komt, drinkwater gebruiken om te koelen? Klopt het dat in droge zomermaanden het verbruik van drinkwater door datacenters twee en een half keer zo groot is als het gemiddelde gebruik van een datacenter?

Ja. De koelbehoefte is het grootst op warme dagen. De verhouding tussen piek en gemiddeld verbruik zal afhankelijk zijn van de gekozen koeltechniek en het weer. Het waterbedrijf PWN heeft aangegeven dat zij bij datacenters een vrij constante afname zien met een verhoging in de zomermaanden. Bij één datacenter zien zij een piek in de zomermaanden die twee keer zo groot is als het gemiddeld maandverbruik.
Vraag 20

Vindt u het wenselijk dat datacenters drinkwater gebruiken om te koelen? Zo ja, vindt u het wenselijk dat datacenters meer drinkwater gebruiken in droge tijden, gezien de droogte problematiek van de afgelopen drie jaar?

Nee. Ik vind het over het algemeen niet wenselijk dat datacenters drinkwater geleverd door een waterbedrijf gebruiken om te koelen. Zeker niet gezien de droogte in de afgelopen jaren.
De afweging of een datacenter aangesloten moet worden op het drinkwaternet ligt uiteindelijk bij het waterbedrijf. Hierbij wordt opgemerkt dat het waterbedrijf vanuit de Drinkwaterwet een verantwoordelijkheid heeft die primair gericht is op de levering van drinkwater aan consumenten (dus niet op levering van koelwater aan bedrijven). Een waterbedrijf kan hierbij de gevraagde aansluiting of levering weigeren op basis van zijn algemene voorwaarden.
Vraag 21

Zijn er mogelijkheden om datacenters af te koppelen van drinkwater, indien nodig, terwijl het datacenter doordraait?

Ja, er zijn mogelijkheden om datacenters af te koppelen. Als in droge tijden water moet worden verdeeld wordt de zogenaamde «verdringingsreeks» toegepast. Dit is wettelijk verankerd in de Waterwet. De verdringingsreeks heeft vier categorieën van heel belangrijk naar minder urgent. Voorbeelden in afnemende volgorde van belang: zorgen dat dijken stabiel blijven (categorie 1), drinkwater/en elektriciteitsvoorziening (categorie 2), hoogwaardig proceswater (categorie 3), en als laatste grootschalige irrigatie/koeling (categorie 4). Koelwater wordt dus als eerste afgekoppeld. PWN geeft aan dat de bedrijven die drinkwater voor koeling gebruiken op de hoogte zijn van mogelijk afkoppelen tijdens droogte.
De brancheorganisatie Dutch Data Center Association geeft aan goed op de hoogte te zijn van de verdringingsreeks. Ze heeft hier ook over gepubliceerd op haar website.13 Moderne datacenters gebruiken vaak een combinatie van vrije koeling (alleen met lucht) en adiabatische koeling (lucht en water). Andere moderne datacenters kiezen voor een combinatie van WKO (warmte/koude opslag) en vrije koeling, waardoor er geen of amper water wordt verbruikt voor de koeling. Alle professionele datacenters kunnen, in het geval dat er geen water beschikbaar is, operationeel blijven en met lucht koelen, ook als het warmer dan 20 graden is. Dit kost dan wel meer stroom, maar daar wordt in het ontwerp rekening mee gehouden.
Sommige datacenters hebben ook een eigen waterbuffer. Dit geldt voor zowel het datacenter van Microsoft in de Wieringermeer als bij het beoogde datacenter in Zeewolde.
Vraag 22

Bent u bereid om te onderzoeken welk ander water, zoals industriewater of grijs water, gebruikt kan worden om datacenters te koelen? Zo nee, waarom niet? Zo ja, per wanneer?

Hoewel ik niet voornemens ben om specifiek voor datacenters onderzoek te laten uitvoeren, lopen er verschillende beleidstrajecten, die ervoor kunnen zorgen dat (toekomstige) datacenters ander water gaan gebruiken.
Zoals bij de vorige vraag aangegeven, zijn waterbedrijven beleid aan het ontwikkelen om te zorgen dat er geen drinkwater meer wordt afgenomen als dat voor het gebruik niet nodig is. Dit betekent dat waterbedrijven een aansluiting kunnen weigeren. Daarnaast is de branche ervan op de hoogte dat koelwater bij waterschaarste als eerste wordt afgekoppeld. De initiatiefnemer zal dus afhankelijk van de lokale situatie op zoek moeten gaan naar een alternatief en/of back-up. Dit kan industriewater, grijswater, of vaak nog beter hemelwater zijn.
De keuze voor de bron van water moet meegenomen worden in de locatiekeuze van een datacenter. Omdat hierbij ook andere zaken een rol spelen (ruimte, beschikbaarheid van energie, internetkabels) is dit een lokale afweging. Verschillende regionale overheden hebben of ontwikkelen beleid dat meer duidelijkheid moet verschaffen over de vestigingsvoorwaarden voor datacenters. Voorbeelden zijn de Metropoolregio Amsterdam, de provincie Noord-Holland, en de gemeente Haarlemmermeer.14 15 16
Met het Deltaprogramma Zoetwater investeer ik samen met de regio’s veel extra geld in uitvoeringsmaatregelen om ons land weerbaarder te maken tegen watertekorten door zuiniger te zijn met water, water beter vast te houden en slimmer te verdelen. Hierbij kijken we ook naar mogelijkheden voor hergebruik van grijswater. Dit water kan voor verschillende toepassingen worden gebruikt – waaronder datacenters.
Vraag 23

Bent u bereid om te onderzoeken of het mogelijk is voor datacenters om op het riool te lozen? Zo nee, waarom niet? Zo ja, per wanneer?

Nee. De keuze tussen lozing op riool of oppervlaktewater hangt af van de verontreinigingsvracht, het volume aan afvalwater, en het soort stoffen. In de datacenters van de Wieringermeer is het afvalwater vooral zouter. Zout wordt niet verwijderd in een rioolwaterzuivering, dus voor de waterkwaliteit heeft dit geen effect. In de Wieringermeer wordt geloosd op een vaart die uitkomt op een gemaal dat loost op de Waddenzee. Er is in dat specifieke geval geen nadelig effect door het relatief zoute lozingswater. Voor het beoogde datacenter in Zeewolde, wordt een zuiveringsinstallatie voorzien in het ontwerp. Dit zorgt ervoor dat de zuivering is afgestemd op de kwaliteit van het koelwater en eisen die vanuit het ontvangende water worden gesteld. Daarnaast voorkomt dit een extra belasting van de communale zuivering.
Vraag 24

Bent u het eens dat er voorwaarden aan de komst van datacenters moeten worden gesteld, zoals een circulair koelsysteem? Zo nee, waarom niet?

In de huidige situatie worden er voor verschillende activiteiten die gepaard gaan met datacenters in vergunningverlening voorwaarden gesteld. Het gaat dan om zowel waterverbruik (zie het antwoord op vraag 9), als koelwaterlozingen (zie het antwoord op vraag 17).
Ik ben het eens dat aanvullende sturing en voorwaarden nodig zijn in die regio’s waar in de toekomst veel nieuwe datacenters zijn te verwachten. Zoals in het antwoord op vraag 22 beschreven zijn de Metropoolregio Amsterdam, de provincie Noord-Holland en de gemeente Haarlemmermeer hier al mee bezig.17 18 19 In dit regionale beleid worden vestigingsvoorwaarden bepaald voor datacenters rond onder meer water, ruimte en hergebruik van restwarmte.
Met het begrip «circulair koelsysteem» neem ik aan dat gedoeld wordt op hergebruik van restwarmte. Dit is één van de aspecten waar in regionaal beleid voorwaarden voor kunnen worden gesteld. Dit zal vooral kansen bieden in gebieden waar de warmte gebruikt kan worden, bijvoorbeeld in stedelijk gebied. Dit wordt al op verschillende locaties in Nederland toegepast, bijvoorbeeld in Hengelo, Heerlen en Eindhoven.20
Vraag 25

Bent u bereid tot ontwikkeling van landelijke wetgeving met betrekking tot het gebruik van drinkwater voor koeling en het lozen van koelwater van datacenters? Zo nee, waarom niet?

Voor wat betreft het gebruik van drinkwater verwijs ik naar de antwoorden op vragen 20 en 21. Daarnaast gaat Het Rijk samen met de partners (provincies, waterschappen, drinkwaterbedrijven en industrie via VEMW) een verkenning uitvoeren naar het juiste water voor het juiste gebruik. Dit is een actie die zal worden opgenomen in de nieuwe Beleidsnota drinkwater, die ik binnenkort naar de Kamer stuur. Dit is niet specifiek voor datacenters. De Drinkwaterwet geeft aan waterbedrijven de mogelijkheid om een gevraagde aansluiting of levering te weigeren, op basis van zijn algemene voorwaarden. Dit betekent dus dat er geen aanvullende wetgeving nodig is om aansluiting bedoeld voor koeling te weigeren.
Voor wat betreft de lozing van koelwater, is er een robuust stelsel zoals beschreven in de antwoorden op vragen 10 tot en met 17. Ik acht aanvullende wetgeving specifiek voor de datacenters momenteel niet nodig.

30 maart 2021 - 19 mei 2021

50 dagen

Het bericht dat Huawei toegang had tot gegevens van miljoenen Telfort-klanten.
	Kathalijne Buitenweg (GL)
	Mona Keijzer (staatssecretaris economische zaken) (CDA), Ferdinand Grapperhaus (minister justitie en veiligheid) (CDA)

Bronnen

1. Volkskrant, 29 maart 2021, «Huawei had onbeperkt toegang tot gegevens…

Vraag 1

Bent u bekend met het artikel «Huawei had toegang tot gegevens miljoenen Telfort-klanten»?1

Ja, ik ben met het artikel bekend.
Vraag 2

Wat is uw reactie op deze berichtgeving, die erop wijst dat Huawei toegang had tot de klant- en facturatiegegevens van miljoenen Telfort abonnees?

Aanleiding van het artikel is een intern audit-rapport van KPN uit 2011 waarin KPN een reguliere audit doet naar de beveiliging van een destijds nieuw systeem van Telfort, toen onderdeel van KPN, waarop klant- en facturatiegegevens (zoals persoons- en verkeersgegevens) werden bewaard. KPN heeft ons gemeld dat het Amerikaanse bedrijf HP hoofdaannemer was voor de realisatie van het systeem en diverse onderaannemers gebruikte, waaronder Huawei, voor de bouw en het beheer. Uit dat rapport zou blijken dat beveiligingsmaatregelen niet op orde waren, zoals logging en monitoring van wie toegang heeft tot het systeem en wie wat met de gegevens doet. Uit het rapport kwam een groot aantal verbeterpunten waarvan de meeste waren gericht aan HP als hoofdaannemer. Volgens KPN zijn alle verbetermaatregelen in de jaren erna opgevolgd. Huawei had als leverancier toegang tot het systeem voor reguliere beheer- en onderhoudsactiviteiten. Ons is niet bekend of via deze beheertoegang klantgegevens zijn ontvreemd. Navraag bij KPN leert dat dit KPN niet is gebleken. Het systeem is in het voorjaar van 2018 vervangen.
Vraag 3

Klopt het dat uit het aangehaalde KPN-rapport blijkt dat Huawei geregeld bestanden uit de klantomgeving van Telfort haalde? Zo ja, wat is uw reactie op de verklaring van hetzelfde bedrijf dat er geen enkele aanleiding is om te veronderstellen dat er gegevens van Telfort-klanten waren ontvreemd, door wie dan ook? Bent u bereid om hier bij KPN opheldering over te vragen?

Zie antwoord vraag 2.
Vraag 4

Kunt u helder uiteenzetten tot welke specifieke datavariabelen Huawei precies toegang had?

Zie antwoord vraag 2.
Vraag 5

Is het denkbaar dat de Chinese autoriteiten op deze manier, via Huawei, de Oeigoerse diaspora of andere specifieke groepen in beeld konden brengen of konden volgen?

Het is ons niet bekend of, voor zover sprake is geweest van ontvreemding van klantgegevens, Chinese autoriteiten op deze manier Oeigoerse diaspora of andere groepen in beeld konden brengen of konden volgen. In algemene zin is bekend dat statelijke actoren zich richten op het vergaren van (onder meer) persoonsgegevens voor het monitoren en profileren van doelwitten. Daarbij is bekend dat de inlichtingen- en beïnvloedingsactiviteiten van China zich mede op zijn diaspora richten. Ongewenste buitenlandse beïnvloeding en inmenging hebben de aandacht van het kabinet en de inlichtingen- en veiligheidsdiensten in het bijzonder. Op het moment dat concrete activiteiten in dat verband worden waargenomen, wordt bezien of passende maatregelen nodig en mogelijk zijn.
Vraag 6

Welke acties zijn ondernomen in 2019 toen medewerkers van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en specialisten van KPN een verborgen toegangspad naar klantgegevens ontdekten waar alleen Huawei bij kon?

Het kabinet doet in het openbaar geen uitspraken over het kennisniveau of de activiteiten van de Nederlandse inlichtingen- en veiligheidsdiensten.
In het algemeen kan gesteld worden dat de Telecommunicatiewet sinds 2012 een zorgplicht kent die ertoe strekt dat aanbieders van openbare telecommunicatienetwerken en -diensten passende technische en organisatorische maatregelen dienen te nemen om de risico’s voor de veiligheid en de integriteit van hun netwerken en diensten te beheersen. In het kader van die zorgplicht past het niet dat er toegangspaden tot een netwerk en diensten bestaan die niet zijn geautoriseerd of gecontroleerd door de desbetreffende aanbieder van openbare telecommunicatienetwerken en -diensten. Het ongeautoriseerd aanbrengen van geheime toegangspaden kan daarnaast een verdenking opleveren van een misdrijf als bedoeld in de artikelen 350c Sr en/of 138ab Sr.
Vraag 7

Is het bestaan van dat toegangspad destijds gemeld bij de Autoriteit Persoonsgegevens? Zo nee, waarom niet?

Zie antwoord vraag 6.
Vraag 8

Is destijds bij Huawei om opheldering gevraagd over het ontdekte toegangspad? Zo ja, door wie, en wat was de reactie? Zo nee, waarom niet? Op welke wijze is het toegangspad gesloten? In hoeverre is het aanbrengen van geheime toegangspaden in strijd met de wet?

Zie antwoord vraag 6.
Vraag 9

Klopt het dat het bewuste klantsysteem momenteel niet meer in gebruik is? Tot wanneer was het systeem wel in gebruik?

Het klopt dat dit bewuste klantsysteem, uit het audit rapport van 2011, momenteel niet meer in gebruik is. Het betreft hier een oud klantsysteem van Telfort. Het systeem was in gebruik tot voorjaar 2018.
Vraag 10

Kunt u uitsluiten dat Huawei op dit moment dergelijke toegang heeft tot klantgegevens van Nederlandse burgers? Hoe wordt voorkomen dat dit weer kan gebeuren? In hoeverre is de logging van toegang tot klantgegevens van telecombedrijven nu verplicht?

Wij kunnen aan de hand van een intern KPN-rapport uit 2011 geen conclusies verbinden over hoe Huawei in het algemeen producten aanlevert. Het kabinet neemt actief maatregelen om de weerbaarheid van telecommunicatienetwerken te verhogen en misbruik via leveranciers van producten en diensten tegen te gaan. In 2019 heeft de Taskforce Economisch Veiligheid (TFEV), met medewerking van de drie mobiele netwerk operators (KPN, T-Mobile en VodafoneZiggo) een risicoanalyse naar de kwetsbaarheid van de netwerken voor dergelijk misbruik uitgevoerd. Uw Kamer is op 1 juli 2019 geïnformeerd over de uitkomsten hiervan. Op basis van deze analyse heeft het kabinet besloten tot het nemen van de volgende drie maatregelen:
Voor de eerste twee genoemde maatregelen is een grondslag gecreëerd in het Besluit veiligheid en integriteit telecommunicatie, met daarin nadere regels met betrekking tot de in het antwoord op vraag 6–8 genoemde zorgplicht voor telecomaanbieders krachtens de Telecommunicatiewet. De derde maatregel is essentieel om de telecomnetwerken ook in de toekomst veilig te houden.
De standaarden op het gebied van veiligheid die in de praktijk in het kader van deze zorgplicht worden gehanteerd door telecomaanbieders, en worden getoetst door de toezichthouder (Agentschap Telecom), zijn er mede op gericht te voorkomen dat onbevoegden in systemen kunnen komen. Specifieke eisen aan toegang tot systemen, zoals autorisatie, monitoring en logging, ongeacht de leverancier, zijn daar onderdeel van.
Vraag 11

Deelt u de mening van hoogleraar Bas Jacobs, tevens lid van de Cyber Security Raad, dat het interne KPN-rapport ook iets zegt over de wijze waarop Huawei in het algemeen haar producten aanlevert, dat het bedrijf zichzelf een plek diep in de geleverde systemen verschaft? Zo ja, is het dan verantwoord om Huawei een rol te laten spelen in het aanleggen van 5G-netwerken? Zo nee, waarom niet?

Zie antwoord vraag 10.
Vraag 12

Was u al op de hoogte van dit rapport, of is deze informatie nieuw voor u? In hoeverre waren de bevindingen van het rapport al meegenomen in het structurele proces ten aanzien van de risicobeoordeling van kwetsbaarheden van de netwerken van telecomaanbieders?

Wij waren niet op de hoogte van dit rapport. Van belang is om te realiseren dat het hier gaat om een bedrijfsintern rapport uit 2011. Het feit dat KPN dit type audits liet uitvoeren geeft inzage in de wijze waarop KPN invulling geeft aan de toetsing van haar eigen systemen. In de eerder benoemde risicoanalyse van de TFEV is het risico op ongeautoriseerde toegang tot systemen en data en hoe misbruik daarvan te voorkomen meegenomen.
Vraag 13

Deelt u de mening dat dit interne KPN-rapport laat zien dat het onverstandig is om gebruik te maken van andere dan volledig betrouwbare leveranciers in het telecomnetwerk, niet alleen in de kritieke delen van het netwerk, maar ook in het radio- en antennenetwerk? Zo nee, waarom niet?

Op basis van de eerdergenoemde risicoanalyse van de TFEV is besloten om mobiele netwerk operators bij beschikking te verplichten om in kritieke onderdelen van hun netwerken enkel gebruik te maken van vertrouwde leveranciers. Het kabinet doet geen openbare uitspraken welke onderdelen als kritiek zijn aangemerkt. Er is op dit moment geen noodzaak om eenzelfde verplichting op te leggen voor het gehele netwerk. Eén van de maatregelen die het kabinet heeft genomen naar aanleiding van de eerder genoemde risicoanalyse van de TFEV in 2019 is het inrichten van een structureel proces, waarin nieuwe informatie over dreiging en technologie wordt beoordeeld door overheid en de telecomsector samen. Als daar aanleiding toe is, kunnen er op basis van dit structurele proces aanvullende veiligheidsmaatregelen genomen worden.

15 maart 2021 - 1 juni 2021

78 dagen

Het bericht 'Hoe het CBS en T-Mobile de privacy schonden'
	Joba van den Berg-Jansen (CDA)
	Mona Keijzer (staatssecretaris economische zaken) (CDA)

Bronnen

1. NRC, 11 maart 2021, 'Hoe het CBS de privacy schond», https://www.nrc.…
2. Kamerstuk 35 300-XIII, nr. 95

Vraag 1

Bent u bekend met het bericht «Hoe het CBS en T-Mobile de privacy schonden»?1

Ja.
Vraag 2

Wat is uw eerste reactie op deze berichtgeving?

Het Agentschap Telecom en de Autoriteit Persoonsgegevens doen op dit moment als toezichthouders samen onderzoek naar aanleiding van het NRC-artikel. In dit onderzoek wordt bekeken wat er precies gebeurd is en of daarbij privacyregels zijn geschonden. De resultaten van dit onderzoek zullen moeten worden afgewacht alvorens hierop een reactie kan worden gegeven.
Vraag 3

Vanaf welk moment bent u op de hoogte van deze kwestie? Welke acties hebt u tot dusver ondernomen?

Als Minister van Economische Zaken en Klimaat ben ik politiek verantwoordelijk voor de wetgeving omtrent het CBS en het budget. Het CBS is een zelfstandig bestuursorgaan en derhalve niet hiërarchisch ondergeschikt aan de Minister. Dit brengt met zich mee dat ik geen aanwijzingen aan het CBS kan geven op dossierniveau en dat ik ook niet van alle individuele contracten die het CBS sluit op de hoogte word gesteld. Hierdoor ligt het dus niet voor de hand dat ik van tevoren op de hoogte word gesteld van een dergelijke samenwerking tussen T-Mobile en het CBS. Naar aanleiding van het NRC-artikel ben ik geïnformeerd over deze kwestie. Het publicatiebeleid en de methoden waarmee de statistieken gemaakt worden, vallen onder de eigen verantwoordelijkheid van de DG CBS. Directe politieke invloed op de onderzoeksmethoden en de wijze van publicatie van de resultaten van statistieken zou de geloofwaardigheid en de betrouwbaarheid van de onderzoeken ter discussie kunnen stellen.
Vraag 4

Klopt het dat het verkrijgen van toegang tot de data van telecomproviders hoog op de agenda van staat van de Europese statistiekbureaus en het Nederlandse Centraal Bureau voor de Statistiek (CBS), zoals naar voren komt uit de correspondentie bij vernoemd nieuwsbericht?

Dat is juist. Het gebruik van mobiele data voor statistiek komt in diverse Europese landen voor. Zo heeft de Europese Commissie op 8 april 2020 een aanbeveling uitgebracht over het gebruik van o.a. geanonimiseerde mobiliteitsgegevens bij de bestrijding van Covid-192. Ook voor andere statistieken gebruiken diverse landen telecomdata. Zo gebruikt Destatis (het Duitse federale statistiekbureau) mobiele telefoniedata voor informatie over mobiliteit3 en voor bevolkingsstatistieken4, en gebruikt het Belgische statistiekbureau dergelijke data voor woon-werkverkeer5.
Vraag 5

Welke afspraken hebben het CBS en T-Mobile gemaakt over het uitwisselen van datasets? Kunt u de Kamer, desnoods vertrouwelijk, inzage geven in de documenten waarin deze afspraken en bijbehorende voorwaarden zijn vastgelegd?

De overeenkomst tussen het CBS en T-Mobile waarin de voorwaarden voor samenwerking zijn opgenomen, is openbaar gemaakt6.
Vraag 6

Van hoeveel mobiele klanten van T-Mobile, en eventuele andere telecomproviders, zijn gegevens uitgewisseld? Is het juist dat deze klanten hiervan niet op de hoogte zijn? In hoeverre is dit toegestaan?

Volgens het CBS heeft het geen toegang gehad tot individuele klantgegevens van personen. Het CBS en T-Mobile hebben aangegeven dat het CBS inzicht heeft gehad in gegevens die niet herleidbaar zijn tot klanten en dat de gegevens waar het om gaat geen exacte plaatsbepaling aangeven. Dit neemt niet weg dat er toch vragen zijn gerezen over het verstrekken van gegevens van T-Mobile aan het CBS. Daarom is er een onderzoek ingesteld door het Agentschap Telecom daarin bijgestaan door de Autoriteit Persoonsgegevens.
Vraag 7

Kunt u uitleggen waarom voor een dergelijke uitwisseling van gegevens in het kader van een «pilot-project», zoals een woordvoerder van het CBS omschrijft, geen toestemming nodig zou zijn, terwijl voor een vergelijkbaar initiatief in het kader van coronabestrijding parlementaire goedkeuring gevraagd zou worden?

De Telecommunicatiewet maakt het de aanbieders van telecommunicatiediensten mogelijk om zonder toestemming van de gebruikers locatiegegevens te verwerken onder de voorwaarde dat deze gegevens zijn geanonimiseerd. Na de anonimisering mogen de gegevens, als de aanbieders van telecommunicatiediensten dat zouden willen, ook met derden worden gedeeld. Het CBS geeft aan dat het in de pilot ging om vrijwillig door de aanbieder ter beschikking gestelde geanonimiseerde gegevens. Voor wat betreft het gebruik van telecommunicatiedata voor de bestrijding van Covid-19 hebben diverse aanbieders verklaard hieraan alleen te willen meewerken als zij daartoe wettelijk verplicht worden. In de Tijdelijke wet informatieverstrekking RIVM in verband met de bestrijding van Covid-19 is een dergelijke verplichting voor aanbieders opgenomen. Daarnaast zijn in het wetsvoorstel regels opgenomen over de wijze waarop de telecommunicatie-aanbieders de gegevens aan het CBS moeten leveren.
Vraag 8

Kunt u aangeven of er sprake is van een uitwisseling van geanonimiseerde, niet tot individuele personen herleidbare gegevens en/of gepseudonomiseerde data dan wel van data van niet-anonieme bellers?

Zie antwoord op vraag 6. Het is aan de toezichthouders het Agentschap Telecom en de Autoriteit Persoonsgegevens om dit te beoordelen.
Vraag 9

Kunt u duiden hoezeer de ontwikkeling van een algoritme ten behoeve van het leveren van mobiliteitsinformatie aan overheden, bekostigd met overheidsgeld en in gebruik door commerciële partijen, en het verrijken van databestanden ten behoeve van het in kaart brengen van financiële relaties binnen huishoudens binnen de nieuwe beleidsregels voor het CBS vallen?

Voor deze pilot uit 2017 waren de nieuwe beleidsregels (Beleidsregel taakuitoefening CBS) van 1 juli 2020 niet van toepassing, bovendien betrof de pilot ook geen aanvullende statistische dienst waar de beleidsregels betrekking op hebben. Over het algemeen geldt dat het antwoord op de vraag of de Beleidsregel op een bepaalde activiteit van toepassing is, afhankelijk is van het soort activiteit. Op aanvullende statistische diensten is de Beleidsregel taakuitoefening CBS van toepassing, op activiteiten die worden bekostigd uit de algemene (lumpsum)bijdrage van de Minister van Economische Zaken en Klimaat niet.
Vraag 10

Bent u bereid de Autoriteit Persoonsgegevens om een oordeel te vragen over deze activiteiten en de werkwijze van het CBS?

De Autoriteit Persoonsgegevens en het Agentschap Telecom doen reeds onderzoek naar de pilot van het CBS met T-Mobile.
Vraag 11

Hoe zijn de verschillende onderdelen van de motie-Van den Berg/Wiersma over het tegengaan van oneerlijke concurrentie door het CBS uitgevoerd?2

Graag verwijs ik u hiervoor naar de Kamerbrief die ik 1 juli 2020 heb verstuurd naar de Tweede Kamer over de Consultatieverslagen Beleidsregel taakuitoefening CBS en Regeling werkzaamheden derden CBS en moties Van den Berg en Wiersma8. Hierin informeer ik over het uitvoeren van de motie Van den Berg/Wiersma door het CBS. In het kort komt het erop neer dat het CBS het gevraagde onafhankelijke toezicht op naleving van de beleidsregels in de motie heeft uitgevoerd door het aanstellen van een Competitive Neutrality Officer. Deze functionaris weegt de belangen van marktpartijen mee, heeft kennis van mededingingsvraagstukken en adviseert op onafhankelijke wijze over de toepassing van de Beleidsregel taakuitoefening CBS en de Regeling werkzaamheden derden CBS. Deze functionaris moet minimaal een keer per jaar schriftelijk verslag uitbrengen aan de directeur-generaal van het CBS. Ik heb in de Kamerbrief toegezegd om de Kamer over dit verslag jaarlijks te rapporten. Dit zal ik aankomende zomer doen. Daarnaast heeft de directeur-generaal van het CBS een onafhankelijke klachtencommissie ingesteld met als voorzitter Michaël van Straalen waar marktpartijen klachten kunnen indienen over gedragingen van het CBS met betrekking tot de toepassing van de Beleidsregel taakuitoefening CBS of de Regeling werkzaamheden derden CBS. Ook is in de Raad van Advies van het CBS Henk Don benoemd als extra lid met een achtergrond in mededingingsvraagstukken. De Raad van Advies kijkt met de blik van een externe toezichthouder naar het CBS.
Vraag 12

Is uw indruk dat sinds de inwerkingtreding van de nieuwe beleidsregels het gedrag van het CBS op de markt voor statistiekonderzoek ten goede is veranderd? Waar blijkt dit uit?

De interne werkprocessen bij het CBS en de externe communicatie zijn in 2020 in lijn gebracht met de Beleidsregel taakuitoefening CBS en de Regeling werkzaamheden derden CBS. Zo registreert het CBS alle verzoeken voor aanvullende statistische diensten centraal en is er een stroomschema en afwegingskader opgesteld ter ondersteuning bij het maken van afwegingen om een verzoek wel of niet te honoreren. Mijn vorige antwoord op vraag 11 beschrijft hoe het verdere toezicht is geregeld. Aankomende zomer zal ik de Kamer informeren over het verslag van de Competitive Neutrality Officer over de uitvoering van de Regeling werkzaamheden derden CBS en de Beleidsregel taakuitoefening CBS. Conform de toezegging aan uw Kamer zullen de regelingen twee jaar na inwerkingtreding worden geëvalueerd (in 2022).
Vraag 13

Hebt u sinds de inwerkingtreding van de nieuwe beleidsregels nog klachten van commerciële statistiekbureaus of andere partijen ontvangen over oneerlijke concurrentie door het CBS? Zo ja, wat hebt u met deze klachten gedaan?

Er zijn tot heden geen formele klachten ingediend bij de ingestelde klachtencommissie van het CBS. Wel loopt er momenteel een rechtszaak over de Beleidsregel taakuitoefening CBS en de Regeling werkzaamheden derden CBS. Deze rechtszaak is aangespannen door een brancheorganisatie voor marktonderzoek. Deze organisatie vordert onder meer een verklaring voor recht dat de Regeling werkzaamheden derden CBS onverbindend is, omdat volgens deze regeling onder het begrip derden enkel private partijen moeten worden verstaan.
Vraag 14

Wanneer is het onderzoek door het Agentschap Telecom naar mogelijke privacyschendingen afgerond? Zal dit met de Kamer worden gedeeld?

Het formele onderzoek naar mogelijke overtredingen van de wet- en regelgeving bij het verstrekken van (toegang tot) telecommunicatiegegevens van T-Mobile aan het CBS is begin maart door het Agentschap Telecom gestart. De Autoriteit Persoonsgegevens draagt aan het onderzoek bij, met expertise op het gebied van persoonsgegevens. Een einddatum is nog niet bekend, die hangt mede af van de feiten die uit dit onderzoek naar voren komen. De uitkomst van het onderzoek zal met de Kamer gedeeld worden.
Vraag 15

Bent u bereid om hangende het onderzoek door de Autoriteit Persoonsgegevens het CBS te verzoeken alle voornoemde en verwante activiteiten te staken, totdat er duidelijkheid is over de privacy, gevolgde procedures en werkwijze, aard van uitgewisselde data en toegang van CBS-medewerkers tot die data?

Het CBS heeft aangegeven dat het op dit moment geen activiteiten onderneemt waarbij mobiele telefoniedata worden gebruikt om statistieken te produceren.
Vraag 16

Deelt u de mening van het CBS dat «de data zo privacygevoelig zijn dat als er één partij vertrouwd kan worden om dit te analyseren dat het CBS is»?

Ik heb vooralsnog geen reden om daar aan te twijfelen. Van belang in dit verband is dat jaarlijks audits door externe auditors worden uitgevoerd, waaronder op het gebied van privacy. Het CBS heeft onlangs opnieuw het privacy certificaat «Privacy Audit Proof», dat gebaseerd is op het Privacy Control Framework, ontvangen9. Dit neemt niet weg dat ik niet vooruit wil lopen op de resultaten van het onderzoek van het Agentschap Telecom en de Autoriteit Persoonsgegevens.

12 maart 2021 - 1 juni 2021

81 dagen

Het bericht ‘Hoe het CBS en T-Mobile de privacy schonden’
	Kees Verhoeven (D66)
	Mona Keijzer (staatssecretaris economische zaken) (CDA)

Bronnen

1. NRC, 10 maart 2021 «Hoe het CBS en T-Mobile de privacy schonden» (htt…
2. Tweede Kamer der Staten-Generaal, 15 januari 2021 «Grootschalige en o…

Vraag 1

Bent u bekend met het bericht «Hoe het CBS en T-Mobile de privacy schonden»?1

Ja.
Vraag 2

Bent u bekend met de nog niet beantwoorde Kamervragen over het niet naleven van de wet en het grootschalig en onrechtmatig verzamelen van persoonsgegevens door overheidsinstanties zoals de Belastingdienst, het Centraal Orgaan opvang asielzoekers (COA), de politie, Defensie, inlichtingendiensten en het Uitvoeringsinstituut Werknemersverzekeringen (UWV?2

Deze vragen zijn bekend en inmiddels beantwoord door de Minister voor Rechtsbescherming, mede namens de Minister van Justitie en Veiligheid, de Minister van Defensie en de Minister van Sociale Zaken en Werkgelegenheid.
Vraag 3

Wist u van het grote datacontract tussen het Centraal Bureau voor de Statistiek (CBS) en T-Mobile uit 2017? Zo ja, sinds wanneer wist u dit en waarom is de Kamer niet geïnformeerd? Zo nee, hoe is het mogelijk dat u hier niets van afwist?

Voor de volledigheid, het ging om een pilot waarvan de resultaten door het CBS bekend zijn gemaakt op hun website3. Als Minister van Economische Zaken en Klimaat ben ik politiek verantwoordelijk voor de wetgeving omtrent het CBS en het budget. Het CBS is een zelfstandig bestuursorgaan en derhalve niet hiërarchisch ondergeschikt aan de Minister. Dit brengt met zich mee dat ik geen aanwijzingen aan het CBS kan geven op dossierniveau en dat ik ook niet van alle individuele contracten die het CBS sluit op de hoogte word gesteld. Hierdoor ligt het dus niet voor de hand dat ik van tevoren op de hoogte word gesteld van een dergelijke samenwerking tussen T-Mobile en het CBS. Het publicatiebeleid en de methoden waarmee de statistieken gemaakt worden, vallen onder de eigen verantwoordelijkheid van de DG CBS. Directe politieke invloed op de onderzoeksmethoden en de wijze van publicatie van de resultaten van statistieken zou de geloofwaardigheid en de betrouwbaarheid van de onderzoeken ter discussie kunnen stellen.
Vraag 4

Wist u dat het CBS op grote schaal werkte met direct en indirect herleidbare locatiegegevens van miljoenen burgers? Wat heeft u gedaan met signalen en zorgen dat het verzamelen van data via T-Mobile strijdig was met privacywetgeving? Wanneer zijn de eerste stappen ondernomen?

Het CBS heeft naar eigen zeggen geen toegang gehad tot individuele klantgegevens van personen. De onderzoeksgegevens zouden, aldus het CBS, niet direct of indirect herleidbaar zijn naar personen en het betroffen evenmin direct of indirect herleidbare locatiegegevens van personen. In het artikel van NRC wordt gesteld dat de CBS-medewerkers mogelijk toegang hebben gehad tot verkeersgegevens van klanten van T-Mobile. Het Agentschap Telecom heeft besloten naar aanleiding hiervan een onderzoek in te stellen, bijgestaan door de Autoriteit Persoonsgegevens. Over het onderzoek kunnen op dit moment geen uitlatingen worden gedaan. Het is aan het oordeel van de toezichthouders het Agentschap Telecom en de Autoriteit Persoonsgegevens of deze pilot voldeed aan de wettelijke privacy-eisen.
Vraag 5

Wat vindt u van de opportunistische handelwijze van T-Mobile, inclusief het verzwijgen van activiteiten en het openlijk bepleiten van terughoudendheid met commercieel datagebruik?

Met deze vraag doelt de heer Verhoeven vermoedelijk op de door hem vermeende tegenstelling in de houding van T-Mobile over de CBS-pilot en de kritische houding van T-Mobile over de Tijdelijke wet informatieverstrekking RIVM. Ik vind het echter niet aan mij om hier namens de regering een uitspraak over te doen.
Vraag 6

Wat is de stand van zaken van de Tijdelijke wet informatieverstrekking RIVM in verband met COVID-19 (Kamerstuk 35 479)? Klopt het dat het kabinet deze wet heeft stilgelegd dan wel ingetrokken na brede kritiek binnen en buiten de Kamer over de negatieve gevolgen voor de privacy van miljoenen mensen?

De behandeling van het wetsvoorstel ligt momenteel stil omdat de Tweede Kamer het wetsvoorstel controversieel heeft verklaard (zie Besluitenlijst extra-procedurevergadering commissie EZK groslijst controversieel verklaren) op 26 januari 2021.
Vraag 7

Deelt u de zorgen van de voorzitter van de Autoriteit Persoonsgegevens (AP) dat met zulke zeer grote datasets het risico bestaat dat met het combineren van de locatiegegevens achterhaald kan worden wie bij welke locatiegegevens hoort en het risico bestaat dat we een surveillancemaatschappij optuigen?

Ik deel de constatering van de voorzitter van de Autoriteit Persoonsgegevens dat het gebruik van grote datasets risico’s met zich meebrengt en dat het van evident belang is nut, noodzaak en risico’s van gebruik te wegen en risico’s met adequate maatregelen te adresseren.
Vraag 8

Welke andere CBS-proefprojecten met grootschalige dataverzameling lopen er?

Zoals aangegeven bij het antwoord op vraag 3 ben ik niet op de hoogte van alle individuele contracten die het CBS sluit, waaronder alle proefprojecten met grootschalige dataverzameling. Op de website van het CBS zijn het meerjarenprogramma en jaarplan van het CBS te vinden. Zoals aangegeven bij het antwoord op vraag 3 ben ik niet op de hoogte van alle individuele contracten die het CBS sluit, waaronder alle proefprojecten met grootschalige dataverzameling. Op de website van het CBS zijn het meerjarenprogramma en jaarplan van het CBS te vinden4, en een overzicht van de omschrijvingen van de onderzoeken die het CBS verricht5, en een overzicht van de omschrijvingen van de onderzoeken die het CBS verricht.
Vraag 9

Zijn alle CBS-proefprojecten met grote dataverzamelingen inmiddels geheel stopgezet?

Zoals aangegeven bij het antwoord op vraag 8 ben ik niet op de hoogte van alle individuele contracten die het CBS sluit, waaronder alle proefprojecten met grootschalige dataverzameling.
Vraag 10

Welke persoonsgegevens verzamelt, koppelt of verwerkt het CBS momenteel allemaal?

Het CBS koppelt en verwerkt persoonsgegevens uit alle beschikbare overheidsregistraties. Het gaat onder meer om informatie van de Belastingdienst, het UWV en de BRP (bevolkingsadministratie). Dit gebeurt allemaal conform de CBS-wet en met inachtneming van de AVG en andere wettelijke voorschriften. Voor zover noodzakelijk vraagt het CBS daarnaast gegevens direct uit bij bedrijven en burgers via enquêtes. Een overzicht van bronnen en gegevens is te vinden in de algemene bronnencatalogus6.
Vraag 11

Welke overige informatie verzamelt het CBS momenteel allemaal?

Op de website van het CBS zijn de bronnen waarmee het CBS informatie verzamelt, weergegegeven. De website van het CBS biedt beschrijvingen van de onderzoeken die het CBS verricht en de statistische methoden die het CBS daarbij gebruikt7.
Vraag 12

Is het CBS wel de «veilige haven» voor data die het zegt te zijn? Voldoet het CBS aan alle eisen van de Algemene verordening gegevensbescherming (AVG)?

Daar ga ik in beginsel vanuit. De CBS-wet bevat waarborgen voor de gegevensbescherming en het CBS voldoet naar eigen zeggen ook aan de AVG. Bovendien worden jaarlijks audits door externe auditors uitgevoerd naar de taakuitoefening door het CBS, waaronder op het gebied van privacy. HetCBS heeft onlangs opnieuw het privacy certificaat «Privacy Audit Proof», dat gebaseerd is op het Privacy Control Framework, ontvangen8.Dit neemt niet weg dat er vragen zijn gerezen over het verstrekken van telecommunicatiegegevens van T-Mobile aan het CBS. Daarom is er een onderzoek ingesteld door het Agentschap Telecom daarin bijgestaan door de Autoriteit Persoonsgegevens.
Vraag 13

Hoe beoordeelt u het verzwijgen van het datacontract door CBS en T-Mobile tegenover het Agentschap Telecom?

Het CBS heeft aangegeven dat het proactief met het Agentschap Telecom in contact is getreden. Op 21 mei 2019 is volgens het CBS met het Agentschap Telecom gesproken over de pilot. Daarnaast heeft het CBS aangegeven de Autoriteit Persoonsgegevens medio 2020 te hebben geïnformeerd over de pilot.
Vraag 14

Hoe beoordeelt u het gegeven dat met overheidsgeld een lucratief algoritme zou worden ontwikkeld dat ook een private contractpartner kon gaan gebruiken?

Het CBS ontwikkelt, in sommige gevallen samen met private partners, algoritmen die het nodig heeft voor de uitoefening van zijn wettelijke taak en stelt deze vervolgens publiekelijk beschikbaar, zoals het CBS dat altijd doet met alle producten die het ontwikkelt. Het staat alle partijen, dus ook private partijen, vrij gebruik te maken van deze producten.
Vraag 15

Welke stappen onderneemt u tegen de oneerlijke concurrentie met het publiek gefinancierde CBS dat ten koste gaat van bedrijven als Mezuro?

Overheidspartijen kunnen voor statistische informatie die ze nodig hebben bij de uitvoering van hun publieke taak bij het CBS terecht. Aangezien het CBS en marktpartijen elkaar steeds vaker tegenkomen op de markt voor statistische diensten, zijn sinds 1 juli 2020 de Beleidsregel taakuitoefening CBS en de Regeling werkzaamheden derden CBS in werking getreden. Deze regels beogen meer duidelijkheid te scheppen over de rolverdeling tussen private statistische dienstverleners en het CBS, alsmede een relatieverbetering tussen het CBS en een aantal marktpartijen en brancheverenigingen te faciliteren, zodat meer kansen voor productieve samenwerking benut worden. Het CBS richt zich daarvoor zichtbaarder op zijn kerntaken en heeft bij het leveren van aanvullende diensten of het uitvoeren van innovatieve projecten permanent aandacht voor de belangen van marktpartijen. Deze regelingen zullen twee jaar na inwerkingtreding (in 2022) worden geëvalueerd.
Vraag 16

Kunt u de vragen beantwoorden voor dinsdag 16 maart 2021?

Het is niet gelukt om de beantwoording voor 16 maart naar de Tweede Kamer te versturen.

12 maart 2021 - 1 juni 2021

81 dagen

Het bericht dat het CBS toegang kreeg tot privacygevoelige locatiedata van klanten van T-Mobile
	Kathalijne Buitenweg (GL)
	Sander Dekker (minister zonder portefeuille justitie en veiligheid) (VVD), Bas van 't Wout (VVD), Mona Keijzer (staatssecretaris economische zaken) (CDA)

Bronnen

1. NRC, 11 maart 2021, «Hoe het CBS en T-Mobile de privacy schonden», ht…

Vraag 1

Bent u bekend met het artikel «Hoe het CBS en T-Mobile de privacy schonden»?1

Ja.
Vraag 2

Wat is uw reactie op deze berichtgeving, die erop wijst dat het Centraal Bureau voor de Statistiek (CBS) jarenlang toegang had tot gevoelige locatiegegevens van klanten van T-Mobile?

Het Agentschap Telecom en de Autoriteit Persoonsgegevens doen op dit moment als toezichthouders samen onderzoek naar aanleiding van het NRC-artikel. In dit onderzoek wordt bekeken wat er precies gebeurd is en of daarbij privacyregels zijn geschonden. De resultaten van dit onderzoek zullen moeten worden afgewacht alvorens hierop een reactie kan worden gegeven.
Vraag 3

Klopt het dat medewerkers van het CBS toegang hadden tot verkeersgegevens voor facturering van T-Mobile klanten, waarmee kan worden achterhaald wie wanneer op welke locatie was en met wie men contact had?

Het is aan de toezichthouders het Agentschap Telecom en de Autoriteit Persoonsgegevens om dit te beoordelen. Volgens het CBS heeft het geen toegang gehad tot individuele klantgegevens van personen. Het CBS en T-Mobile hebben aangegeven dat het CBS inzicht heeft gehad in gegevens die niet herleidbaar zijn tot klanten en dat de gegevens waar het om gaat geen exacte plaatsbepaling aangeven. Dit neemt niet weg dat er toch vragen zijn gerezen over het verstrekken van gegevens van T-Mobile aan het CBS. Daarom is er een onderzoek ingesteld door het Agentschap Telecom daarin bijgestaan door de Autoriteit Persoonsgegevens.
Vraag 4

In hoeverre zijn dergelijke verkeers- en factureringsgegevens te beschouwen als anonieme datasets?

Verkeers- en factureringsgegevens zijn te beschouwen als persoonsgegevens en dus niet anoniem.
Vraag 5

Welke definitie hanteert u van gepseudonimiseerde persoonsgegevens in dit verband? Zijn gegevens van telecommunicatieverkeer waaruit enkel de unieke IMSI-nummers zijn verwijderd nog steeds persoonsgegevens, of niet?

De definitie die wordt gehanteerd is afkomstig uit artikel 4 lid 5 van de AVG: het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld.
Of de gegevens van het telecommunicatieverkeer na verwijdering van de IMSI-nummers nog zijn te beschouwen als persoonsgegevens hangt af van de inhoud van de resterende gegevens (maken die nog steeds herleiding tot persoon mogelijk) en kan dus niet zonder nader onderzoek beantwoord worden.
Vraag 6

Klopt het dat CBS-medewerkers zelfs toegang hadden tot direct herleidbare persoonsgegevens, met inbegrip van IMSI-nummers?

Het CBS heeft aangeven dat de CBS-medewerkers geen IMSI-nummers hebben gezien en ook geen toegang hebben gehad tot individueel herleidbare persoonsgegevens. Het is aan de toezichthouders om hier een oordeel over te vellen.
Vraag 7

Hoe verhoudt de samenwerking tussen het CBS en T-Mobile zich tot het voorstel voor de Tijdelijke wet informatieverstrekking RIVM in verband met COVID-19? Is de verstrekking van de data, zoals die heeft plaatsgevonden tussen het CBS en T-Mobile, enigszins vergelijkbaar met het voorstel om informatie door te geven via het CBS aan het Rijksinstituut voor Volksgezondheid en Milieu (RIVM)?

De Telecommunicatiewet maakt het de aanbieders van telecommunicatiediensten mogelijk om zonder toestemming van de gebruikers locatiegegevens te verwerken onder de voorwaarde dat deze gegevens zijn geanonimiseerd. Na de anonimisering mogen de gegevens, als de aanbieders van telecommunicatiediensten dat zouden willen, ook met derden worden gedeeld. Het CBS geeft aan dat het in de pilot ging om vrijwillig door de aanbieder ter beschikking gestelde geanonimiseerde gegevens. Voor wat betreft het gebruik van telecommunicatiedata voor de bestrijding van Covid-19 hebben diverse aanbieders verklaard hieraan alleen te willen meewerken als zij daartoe wettelijk verplicht worden. In de Tijdelijke wet informatieverstrekking RIVM in verband met de bestrijding van Covid-19 is een dergelijke verplichting voor aanbieders opgenomen. Daarnaast zijn in het wetsvoorstel regels opgenomen over de wijze waarop de telecommunicatie-aanbieders de gegevens aan het CBS moeten leveren.
Vraag 8

Hoe kijkt u nu naar het antwoord in de nota naar aanleiding van het verslag, waarin u schreef dat CBS-medewerkers op het kantoor van T-Mobile werkzaam waren in het kader van een pilot om te kunnen meekijken en overleggen, en dat gedurende de pilot enkel anonieme uitkomsten (tellingen) aan het CBS zijn geleverd? Deelt u de mening dat dit antwoord niet correct was? Zo ja, hoe verklaart u dit?

Nee. In de nota naar aanleiding van het verslag heeft de regering opgemerkt dat het op grond van de Telecommunicatiewet toegestaan is verkeersgegevens te verwerken als deze geanonimiseerd zijn. Voorts is melding gemaakt van het feit dat het CBS heeft aangegeven dat bij de samenwerking met T-Mobile sprake is geweest van verwerking van anonieme gegevens. Dit neemt niet weg dat er vragen zijn gerezen over het verstrekken van telecommunicatiegegevens van T-Mobile aan het CBS. Daarom is er een onderzoek ingesteld door het Agentschap Telecom daarin bijgestaan door de Autoriteit Persoonsgegevens.
Vraag 9

Klopt het dat het CBS in regulier overleg met de toezichthouders heeft verzwegen toegang te hebben gehad tot niet-geanonimiseerde locatiedata van T-Mobile klanten? Zo ja, wat vindt u hiervan?

Naar eigen zeggen heeft het CBS geen toegang gehad tot niet-geanonimiseerde locatiedata van T-Mobile klanten. Het Agentschap Telecom en de Autoriteit Persoonsgegevens doen op dit moment als toezichthouders samen onderzoek. In dit onderzoek wordt bekeken wat er precies gebeurd is en of daarbij privacyregels zijn geschonden. De resultaten van dit onderzoek zullen moeten worden afgewacht.
Vraag 10

Klopt het dat de Autoriteit Persoonsgegevens wegens tijdgebrek nog niet was toegekomen aan het bekijken van opgevraagde CBS-documenten? Deelt u de mening dat deze casus eens te meer aantoont dat een forse intensivering nodig is van de capaciteit van de Autoriteit Persoonsgegevens?

De Autoriteit Persoonsgegevens heeft besloten nadere vragen te stellen aangaande de situatie bij het CBS in relatie tot de pilot. Het CBS heeft aan de Autoriteit Persoonsgegevens documentatie over de pilot aangeleverd. Deze aangeleverde documentatie van CBS heeft de Autoriteit Persoonsgegevens eind 2020 behandeld. Zoals hierboven benoemd, doen het Agentschap Telecom en de Autoriteit Persoonsgegevens momenteel gezamenlijk onderzoek. Uit deze gang van zaken zijn geen conclusies te trekken over de noodzaak van een capaciteitsintensivering voor de Autoriteit Persoonsgegevens.
Vraag 11

Klopt het dat in het projectplan voor deze samenwerking staat vermeld dat medewerkers van het CBS volledige toegang zouden hebben tot gevoelige locatiedata, terwijl het contract enkel gaat over geaggregeerde gegevens?

De overeenkomst tussen het CBS en T-Mobile waarin de voorwaarden voor samenwerking zijn opgenomen, is openbaar gemaakt2. Het CBS heeft te kennen gegeven dat in het projectplan staat dat er, conform de overeenkomt, wordt gewerkt met geaggregeerde gegevens.
Vraag 12

Hoe is het mogelijk dat het CBS, als zelfstandig bestuursorgaan, deze samenwerking is aangegaan? Op welke manier wordt binnen de organisatie getoetst of projectplannen voldoen aan de privacy-wetgeving? Hoe is het mogelijk dat niemand hierover aan de bel heeft getrokken? Bent u bereid om een extern onderzoek te starten naar de wijze waarop het CBS omgaat met privacy-vraagstukken?

Het CBS heeft als wettelijke taak om van overheidswege statistieken te produceren en te publiceren. Nieuwe maatschappelijke en technologische ontwikkelingen hebben geleid tot meer vraag naar data. Samenwerking van het CBS met wetenschap en private partijen biedt voor het CBS mogelijkheden om voor het ontwikkelen van statistieken meer inzicht te krijgen in unieke data of methoden.
Volgens het CBS en T-Mobile hebben zij zich ervan vergewist dat dit onderzoek binnen de kaders van de Telecommunicatiewet en de AVG was toegestaan. Bovendien worden jaarlijks audits door externe auditors uitgevoerd naar de taakuitoefening door het CBS, waaronder op het gebied van privacy. HetCBS heeft onlangs opnieuw het privacy certificaat «Privacy Audit Proof», dat gebaseerd is op het Privacy Control Framework, ontvangen3. Zoals eerder aangegeven neemt dit niet weg dat er vragen zijn gerezen over het verstrekken van telecommunicatiegegevens van T-Mobile aan het CBS. Daarom is er een onderzoek ingesteld door het Agentschap Telecom daarin bijgestaan door de Autoriteit Persoonsgegevens.
Vraag 13

Hoe beoordeelt u het feit dat het CBS, een zelfstandig bestuursorgaan, bekostigd uit de rijksbegroting, opereert op basis van een business plan dat inzet op het combineren van datasets, waarmee tientallen miljoenen euro’s per jaar kunnen worden verdiend? Vindt u dit wenselijk?

Het CBS heeft als wettelijke taak om van overheidswege statistieken te produceren en te publiceren. Om dat op een doelmatige en veilige wijze te doen, worden ook onderzoeken gedaan naar de gebruiksmogelijkheden van nieuwe databronnen. Het doel is daarbij altijd het genereren van informatie die aansluit bij de maatschappelijke behoefte. Alle uitkomsten en methoden worden openbaar gemaakt.
Het CBS ontvangt ieder jaar een lumpsumbijdrage van het Ministerie van Economische Zaken en Klimaat voor de uitvoering van het werkprogramma, waaruit onder andere de verplichte Europese statistieken worden bekostigd. Hiernaast kunnen overheden, vanuit hun eigen begrotingen, het CBS verzoeken om aanvullende statistische dienstverlening. Hiervoor brengt het CBS de integrale kostprijs in rekening conform artikel 5 van de Beleidsregel taakuitoefening CBS. Het CBS heeft geen winstoogmerk, maar moet de kosten voor dienstverlening waar de bijdrage van het Ministerie van Economische Zaken en Klimaat niet in voorziet, wel in de vorm van een integrale kostprijs aan zijn opdrachtgevers doorberekenen om te voorkomen dat er sprake is van oneerlijke concurrentie met private statistische dienstverleners. Het is van belang dat het handelen van het CBS niet leidt tot marktverstorend gedrag. Om duidelijkheid te scheppen over de rolverdeling tussen private statistische dienstverleners en het CBS, zijn sinds 1 juli 2020 de Beleidsregel taakuitoefening CBS en de Regeling werkzaamheden derden CBS in werking getreden.
Vraag 14

Vindt u het wenselijk dat het CBS contracten aangaat met private bedrijven waar toegang tot gevoelige gegevens als het ware wordt uitgewisseld tegen het leveren van algoritmen waar die private bedrijven dan weer van kunnen profiteren? In hoeverre is dit verenigbaar met de publieke taak van het CBS?

De mogelijkheid van samenwerking met private bedrijven is wenselijk om het CBS in staat te kunnen stellen te voldoen aan zijn wettelijke taak om van overheidswege statistieken te produceren en te publiceren ten behoeve van praktijk, beleid en wetenschap. De algoritmen en andere kennis die uit dergelijke samenwerkingen voortvloeien, worden altijd publiekelijk beschikbaar gesteld, zodat ook anderen, zoals bedrijven, overheden of onderzoeksinstellingen daarvan gebruik kunnen maken. Op de website van het CBS is een overzicht van innovatieve projecten te vinden4.
Vraag 15

In hoeverre zijn de nationale statistiekbureaus in andere Europese landen op een vergelijkbare wijze ingericht, waarbij zij zich op de markt begeven als ontwikkelaar van algoritmen?

Het CBS begeeft zich niet op de markt voor algoritmen. Het CBS ontwikkelt algoritmen die het nodig heeft voor zijn wettelijke taak en stelt deze vervolgens publiekelijk beschikbaar.
Vraag 16

Deelt u de strekking van het artikel dat het CBS zich op de markt nadrukkelijk profileert als een betrouwbare partij, vanwege haar banden met de overheid, om zo marktvoordeel te behalen ten opzichte van concurrenten?

Overheidspartijen kunnen voor statistische informatie die ze nodig hebben bij de uitvoering van hun publieke taak bij het CBS terecht. Voor dergelijke werkzaamheden brengt het CBS de integrale kostprijs in rekening. Het CBS verricht daarnaast incidenteel werkzaamheden voor derden (private partijen). Tegen deze achtergrond, heeft het Ministerie van Economische Zaken en Klimaat signalen ontvangen dat marktpartijen en het CBS elkaar op de markt voor statistische diensten steeds vaker tegenkomen. Er is onduidelijkheid ontstaan of het CBS de aangewezen partij is om een statistische opdracht te leveren, of dat dit aan een marktpartij moet worden overgelaten. Hiertoe zijn sinds 1 juli 2020 de Beleidsregel taakuitoefening CBS en de Regeling werkzaamheden derden CBS in werking getreden. Deze regelgeving heeft tot doel meer duidelijkheid te scheppen over de rolverdeling tussen private statistische dienstverleners en het CBS. Het CBS richt zich daarvoor zichtbaarder op zijn kerntaken en heeft bij het leveren van aanvullende diensten of het uitvoeren van innovatieve projecten permanent aandacht voor de belangen van marktpartijen. In 2022 worden de effecten van de Beleidsregel taakuitoefening CBS en de Regeling werkzaamheden derden CBS geëvalueerd.
Vraag 17

Deelt u de strekking van het artikel dat zowel T-Mobile als het CBS misleidend zijn geweest in hun externe communicatie over dit samenwerkingsproject door te benadrukken dat het alleen zou gaan om anonieme geaggregeerde data, ook toen men al wist dat er ook met ruwe locatiedata was gewerkt?

Het Agentschap Telecom en de Autoriteit Persoonsgegevens doen op dit moment als toezichthouders samen onderzoek. In dit onderzoek wordt bekeken wat er precies gebeurd is en of daarbij privacyregels zijn geschonden. De resultaten van dit onderzoek zullen moeten worden afgewacht.
Vraag 18

Herkent u het beeld dat wordt geschetst van bedrijven en onderzoekers die pogen om de coronacrisis aan te wenden om toegang tot gegevens te verkrijgen op een manier die eerder niet mogelijk was? Zo ja, wat vindt u van deze trend?

Dergelijke signalen hebben het kabinet niet bereikt. Indien dit wel het geval zou zijn, is dat natuurlijk zorgwekkend. De coronacrisis mag niet worden misbruikt om op oneigenlijke wijze toegang tot eerder ontoegankelijke gegevens te verkrijgen.
Vraag 19

Kunt u een overzicht geven van alle vergelijkbare contracten die het CBS heeft met private bedrijven rond toegang tot klantgegevens en de ontwikkeling en levering van algoritmen?

Als Minister van Economische Zaken en Klimaat ben ik politiek verantwoordelijk voor de wetgeving omtrent het CBS en het budget. Het CBS is een zelfstandig bestuursorgaan en derhalve niet hiërarchisch ondergeschikt aan de Minister. Dit brengt met zich mee dat ik geen aanwijzingen aan het CBS kan geven op dossierniveau en dat ik ook niet van alle individuele contracten die het CBS sluit op de hoogte word gesteld. Op de website van het CBS staat een overzicht van innovatieve projecten en de resultaten daarvan, die zich soms in publiekelijk toegankelijke algoritmen vertalen5.

11 maart 2021 - 29 maart 2021

18 dagen

De Stand van zakenbrief digitale ondersteuning pandemiebestrijding
	Fleur Agema (PVV), Kees Verhoeven (D66)
	Hugo de Jonge (viceminister-president , minister volksgezondheid, welzijn en sport) (CDA)

Bronnen

1. Kamerstuk 27 529 nr. 258 (https://www.rijksoverheid.nl/documenten/kam…

Vraag 1

Herinnert u zich uw brief waarin schrijft dat de kwetsbaarheden in IT-systemen voor testen en traceren die blijken uit de risicoanalyse niet openbaar worden gemaakt?1 Deze kwetsbaarheden zijn inmiddels toch opgelost en vormen daardoor toch geen bedreiging meer?

Er zijn mitigerende maatregelen genomen waarmee eerder geconstateerde kwetsbaarheden tot het minimum zijn gereduceerd. Om alle kwetsbaarheden op te lossen zullen enkele applicaties – waaronder HP Zone – moeten worden vervangen. Hierover worden nu concrete afspraken gemaakt en acties in gang gezet tussen GGD, RIVM en VWS. Daarnaast vindt er actieve monitoring plaats op de IT systemen. Indien afwijkingen zich voordoen wordt hier 7 dagen per week direct actie op ondernomen.
Vraag 2

Bent u bereid de risico-analyses alsnog openbaar te maken zodat de Kamer op basis van zo volledig en transparant mogelijke informatie haar taak kan uitvoeren?

In mijn brief aan uw Kamer van 12 februari ben ik op dit verzoek ingegaan. Zowel de NCSC als het Red team heeft mij geadviseerd openbaarmaking op dit moment teveel risico’s kent. Zoals eerder toegezegd zal ik bij het opleveren van de audit heroverwegen of het mogelijk is deze analyse of delen van deze analyse openbaar te maken. Mijn inzet is om zo transparant mogelijk te zijn.
Vraag 3

Maakt het oefenen met cyberscenario's deel uit van het aanpakken van de kwetsbaarheden en wordt dit structureel ingezet? Zo nee, waarom niet?

Ja, er worden structureel cyberaanvallen testen ingezet. De resultaten daarvan worden gebruikt om kwetsbaarheden proactief te traceren en op te lossen.
Vraag 4

Wordt inmiddels wel «volcontinu» en «volautomatisch» gecontroleerd op misbruik van de GGD-systemen?

Ja, er wordt continu en grotendeels automatisch gemonitord op misbruik van de GGD systemen. Indien er afwijkingen worden geconstateerd, vindt hier direct een afgewogen actie op plaats.
Vraag 5

Wordt een scheiding gemaakt tussen persoonsgegevens en de andere gegevens of wordt dit nog steeds gecombineerd opgeslagen?

De gegevens worden gecombineerd opgeslagen, echter de functionaliteiten zijn dermate sterk gereduceerd dat de kans op frauduleuze handelingen zo veel mogelijk is verkleind.
Vraag 6

Ligt er bij alle GGD's een draaiboek klaar in het geval van een volgend datalek om onmiddellijk actie te ondernemen en het lek direct te dichten?

Het recent ingerichte en nu volledig operationele SOC (Security Operations Center) van GGD GHOR Nederland staat in nauw contact met alle GGD'en en onderneemt direct actie als er incidenten optreden. De te nemen maatregelen zijn afhankelijk van het incident.
Vraag 7

Hoe wordt beter gecommuniceerd dat burgers hun gegevens kunnen laten verwijderen uit de GGD IT-systemen? Er is teveel verwarring over de consequenties van de verwijdering ten aanzien van vaccinatie; kunt u ervoor zorgen dat verwijdering van testgegevens niet van invloed is op vaccinatie?

Als eerdere gegevens gewist zijn, kan er nog steeds een afspraak worden gemaakt om gevaccineerd te worden. Op de website van GGD GHOR Nederland is informatie beschikbaar over het verwijderen van persoonsgegevens bij de GGD'en: https://ggdghor.nl/actueel-bericht/informatie-over-verwijderen-persoonsgegevens-bij-de-ggden/. Ook op de websites van de regionale GGD'en is informatie beschikbaar. Bij vragen kan contact opgenomen worden met het landelijk informatienummer: 085-1308226 dat op werkdagen bereikbaar is van 9.00–17.00 uur.
Vraag 8

Kunt u deze vragen voor 17 maart 2021 beantwoorden?

We streven ernaar om de antwoorden sneller dan de reguliere procedure af te wikkelen maar vóór 17 maart 2021 is niet haalbaar.

8 maart 2021 - 9 maart 2021

1 dagen

Het verzwakken van encryptie door de minister van Justitie en Veiligheid
	Kees Verhoeven (D66)
	Ferdinand Grapperhaus (minister justitie en veiligheid) (CDA)

Bronnen

1. NOS, 4 maart 2021, «Overheid werkt aan plan voor afzwakken encryptie:…
2. Kamerstuk 27 529, nr. 240
3. o.a. Kamerstuk 21501-02, nr. 2232

Vraag 1

Bent u bekend met het bericht «Overheid werkt aan plan voor afzwakken encryptie: «taak voor nieuw kabinet»»?1

Ja.
Vraag 2

Klopt het dat het demissionair kabinet werkt aan het wijzigen van de Telecommunicatiewet teneinde het aftappen van Over-the-top (OTT) diensten – zoals iMessage, Messenger en WhatsApp – mogelijk te maken?

In mijn brief over internetcriminaliteit van 20 mei jl. heb ik aangegeven dat het kabinet de mogelijkheden voor toegang tot communicatie via OTT-diensten onderzoekt.2 Omdat een verplichting om de telecommunicatie aftapbaar te maken (een verplichting op grond van de Telecommunicatiewet) niet geldt voor OTT-diensten is het overwegen van een wetswijziging inherent aan dit onderzoek.
Vraag 3

Realiseert u zich dat het kabinet demissionair is, dat dit tegen het bestaande encryptiestandpunt van Nederland in gaat, dat het aantasten van encryptie zeer controversieel is en dat de Kamer zich herhaaldelijk tegen de verzwakking van encryptie heeft uitgesproken?

In mijn eerdergenoemde brief heb ik aangegeven dat het effectief invoeren van een dergelijke verplichting niet eenvoudig is, onder andere omdat meerdere OTT-diensten gebruik maken van end-to-end versleuteling.3 Ik ben mij bewust dat het onderwerp encryptie gevoelig is. Dit dilemma is verwoord in het kabinetsstandpunt encryptie van 2016, maar ook in de brief over de verklaring die de lidstaten van de Europese Unie hebben uitgebracht.4 Daarin staat dat de beschikbaarheid, het gebruik en de ontwikkeling van sterke encryptie blijvend moet worden aangemoedigd. Dit is belangrijk voor de systeem- en informatiebeveiliging van de maatschappij, bedrijven en overheid. Eveneens is dit belangrijk voor de bescherming van fundamentele rechten, zoals het recht op de persoonlijke levenssfeer en het communicatiegeheim. Tegelijkertijd kan het nadelige effect van versleuteling op de uitvoering van de wettelijke taak van opsporings- en inlichtingen en veiligheidsdiensten niet worden genegeerd.
Opsporings- en inlichtingen en veiligheidsdiensten moeten nu en in de toekomst gebruik kunnen maken van hun wettelijke bevoegdheden zodat zij de nationale veiligheid kunnen beschermen, criminaliteit bestrijden en slachtoffers genoegdoening kan worden gegeven. Het is dus zaak om de beschermende waarde van versleuteling hoog te houden, terwijl de negatieve effecten voor opsporings- en inlichtingen en veiligheidsdiensten worden verminderd. Technische oplossingen dienen adequaat en evenwichtig te zijn. Belangrijke componenten hierbij zijn de proportionaliteit en subsidiariteit van de oplossing en dat hierover goed overleg wordt gevoerd met het bedrijfsleven.
Zoals gemeld in eerdere Kamervragen van het lid Verhoeven (D66) streef ik naar oplossingen binnen de kaders van het kabinetsstandpunt die recht doen aan de belangen van de opsporing en de nationale veiligheid.5 In de brief over de raadsverklaring wordt uitgebreider ingegaan op de verhouding van de inventarisatie van oplossingen tot het kabinetsstandpunt.6
Ik heb er begrip voor dat uw Kamer de brief over de Raadsverklaring over rechtmatige toegang tot versleuteld bewijs controversieel heeft verklaard. Zoals aangegeven in het door uw Kamer aangehaalde artikel wordt het onderwerp pas na de verkiezingen behandeld. De uiteindelijke behandeling van een eventueel wetsvoorstel is aan de Tweede Kamer.
Vraag 4

Wilt u per direct stoppen met alle werkzaamheden die erop gericht zijn encryptie te verzwakken?

Zie antwoord vraag 3.
Vraag 5

Waarom weigert u enerzijds uitvoering te geven aan een aangenomen motie die oproept tot meer budget voor de Autoriteit Persoonsgegevens, maar werkt u anderzijds tegen aangenomen moties in, wel aan het verzwakken van encryptie?2 3

Het budget van de Autoriteit Persoonsgegevens is onderdeel van de portefeuille van de Minister voor Rechtsbescherming. Zie voor zijn reactie op deze motie de brief die op 1 maart 2021 naar uw Kamer is verzonden (kenmerk 25 268, nr. 197). Indien u verwijst naar de motie Baudet (FvD) die uw Kamer op 11 november jl. heeft aangenomen kan worden vastgesteld dat de motie de regering oproept zich tegen de ontwikkeling te verzetten om het versleutelen van digitale berichten te verbieden en niet akkoord te gaan met enig voorstel om versleuteling van berichtgeving te verbieden. Er is geen sprake van een voornemen om versleuteling te verbieden en het kabinet zal het verbieden van encryptie in de toekomst niet steunen.
Vraag 6

Wilt u deze vragen beantwoorden voor dinsdag 9 maart 2021?

Ik heb uw vragen op 9 maart beantwoord.

8 maart 2021 - 29 maart 2021

21 dagen

Het bericht ‘Justitie deelt kritieke informatie over hacks niet met bedrijven.’
	Dilan Yeşilgöz-Zegerius (VVD)
	Ferdinand Grapperhaus (minister justitie en veiligheid) (CDA)

Bronnen

1. Het Financieele Dagblad, 24 februari 2021, «Justitie deelt kritieke i…

Vraag 1

Bent u bekend met het bericht «Justitie deelt kritieke informatie over hacks niet met bedrijven»?1

Ja.
Vraag 2

Bent u bekend met de betreffende brief van de Cyber Security Raad? Zo ja, hoe beoordeelt u de zorgwekkende analyse van de Cyber Security Raad? Kunt u dit toelichten?

Ja, ik ben bekend met de adviesbrief van de Cyber Security Raad (CSR) inzake het versneld delen van incidentinformatie. Het Nationaal Cyber Security Centrum (NCSC) kan in het kader van analyses ten behoeve van de primaire taakuitoefening (informeren en adviseren van vitale aanbieders en organisaties die deel uitmaken van de rijksoverheid) ook gegevens over dreigingen en incidenten met betrekking tot de netwerk- en informatiesystemen van andere aanbieders verkrijgen. De CSR stelt terecht dat het voor het NCSC nog niet mogelijk is om deze gegevens telkens te doen toekomen aan die andere aanbieders. Zij zijn hierdoor niet altijd op de hoogte van deze dreigingen of incidenten. Ik deel de zorgen van de CSR hierover en ben van mening dat het zo veel als mogelijk delen van informatie over dreigingen en incidenten van groot belang is voor de Nederlandse digitale veiligheid en weerbaarheid. Ik werk daarom aan een wetsvoorstel om ervoor te zorgen dat meer van de hiervoor genoemde gegevens bij die andere aanbieders terecht kunnen komen.
Vraag 3

Klopt het dat nog veel dreigingsinformatie blijft hangen bij het National Cyber Security Centrum (NCSC) omdat de wettelijke basis voor het delen van deze informatie met betrokkenen nog niet op orde is? Zo ja, in hoeveel gevallen zijn bedrijven slachtoffer geworden van cyberaanvallen, terwijl het NCSC wel over relevante cruciale informatie beschikte en deze vervolgens niet kon delen?

In de Wet beveiliging netwerk- en informatiesystemen (Wbni) zijn de taken en bevoegdheden van het NCSC opgenomen. Op dit moment bestaat er nog niet in alle gevallen een wettelijke grondslag voor het NCSC om dreigings- en incidentinformatie over netwerk- en informatiesystemen van andere aanbieders dan die in de doelgroep van Rijk en vitaal, die is verkregen in het kader van de primaire taakuitoefening, aan of ten behoeve van deze aanbieders te verstrekken. Zoals ook aangeven in het antwoord op vraag 2, vind ik dit niet wenselijk en kom ik daarom met een wetsvoorstel om ervoor te zorgen dat deze aanbieders meer van de hiervoor genoemde informatie kunnen verkrijgen. Dit voorstel houdt in dat het NCSC ook aan organisaties die objectief kenbaar tot taak hebben om andere organisaties of het publiek te informeren (OKTT’s) vertrouwelijke herleidbare informatie over aanbieders kan verstrekken, zodat deze schakelorganisaties de niet-vitale aanbieders in hun doelgroep van relevante dreigings- en incidentinformatie kunnen voorzien (wijziging van artikel 20, tweede lid, van de Wbni). De verstrekking van deze gegevens is momenteel al mogelijk aan onder meer computercrisisteams.
Daarnaast houdt dit voorstel in dat het NCSC in bijzondere gevallen informatie kan verstrekken aan individuele organisaties die geen deel uitmaken van de doelgroep Rijk en vitaal (wijziging artikel 3, tweede lid, van de Wbni).
Het NCSC ontvangt dagelijks veel data uit verschillende (internationale) bronnen en analyseert deze in het kader van de uitoefening van de wettelijke taak ten behoeve van vitale aanbieders en organisaties die deel uitmaken van de rijksoverheid. Ik beschik niet over concrete cijfers over aantallen slachtoffers van cyberaanvallen buiten deze doelgroep.
Vraag 4

Wordt er bij het NCSC actief gezocht naar alternatieven om toch cruciale dreigingsinformatie te kunnen delen met betrokkenen? Zo ja, op welke alternatieven wordt ingezet en op welke schaal? Zo nee, waarom niet en wat is de huidige status van het landelijk dekkend stelsel? Welke niet-vitale sectoren kunnen nog steeds geen dreigingsinformatie ontvangen?

Het NCSC beziet voortdurend op welke manier zij het beste informatie en adviezen over digitale dreigingen en incidenten kan delen met de primaire doelgroep (vitale aanbieders, organisaties die deel uitmaken van de rijksoverheid) en andere organisaties in Nederland. Zo wordt er met inachtneming van de wettelijke kaders actief gewaarschuwd middels beveiligingsadviezen, nieuwsberichten op de website en berichten aan doelgroepen en andere partners.
Ten behoeve van een zo breed mogelijke uitwisseling en verstrekking van voor aanbieders relevante dreigings- en incidentinformatie zet het kabinet sinds 2018 in op de ontwikkeling van het Landelijk Dekkend Stelsel (LDS) van cybersecurity samenwerkingsverbanden. Binnen dit LDS wordt informatie over cybersecurity breder, efficiënter en effectiever gedeeld tussen publieke en private partijen. Dit moet leiden tot een netwerk van schakelorganisaties die organisaties binnen hun onderscheidenlijke doelgroepen zo goed mogelijk kunnen adviseren en ondersteunen op het gebied van digitale veiligheid. Zoals aangegeven in de Kamerbrief van 3 februari jl.2 wordt, gebaseerd ook op aanbevelingen van het WODC, nog steeds gebouwd aan dit stelsel zodat zo veel mogelijk sectoren bereikt kunnen worden.
Over de voortgang van het LDS zal uw Kamer worden geïnformeerd in de voortgangsrapportage over de Nederlandse Cybersecurity Agenda (NCSA).
Vraag 5

Heeft het Digital Trust Center (DTC) inmiddels een OKTT-status (objectief kenbaar tot taak) mogen ontvangen zodat zij niet-vitale bedrijven kunnen voorzien van dreigingsinformatie? Zo nee, wat is de status, waarom is dit nog steeds niet gebeurd en wat zorgt voor de vertraging? Bent u het met de mening eens dat er snelheid gebaat is bij het toekennen van de OKTT-status aan het DTC, gezien de enorme veiligheidsrisico’s die bedrijven nu lopen?

Het Digital Trust Center (DTC) van het Ministerie van EZK is op dit moment nog niet krachtens de Wbni als OKTT aangewezen. Door het Ministerie van EZK wordt momenteel gewerkt aan het laten voldoen van het DTC aan de voorwaarden voor die aanwijzing, waaronder het versterken van de juridische basis door middel van een wetsvoorstel. Na aanwijzing zal het DTC gaan beschikken over meer dreigings- en incidentinformatie die met het niet-vitale bedrijfsleven kan worden gedeeld.
Vraag 6

Gelet op deze veiligheidsrisico’s voor duizenden ondernemers, wat is er op korte termijn (wettelijk) nodig om niet-vitale bedrijven toch te kunnen voorzien van dreigingsinformatie?

De eigen digitale weerbaarheid is primair een eigen verantwoordelijkheid van bedrijven. Het DTC biedt informatie, advies en tools aan om niet vitale bedrijven in staat te stellen invulling te geven aan deze eigen verantwoordelijkheid. Voor de stappen die het DTC verder zet, verwijs ik u naar de brief van de Staatsecretaris van EZK aan uw kamer van 16 december jl.3.
Daarnaast kunnen niet vitale bedrijven ook kennisnemen van de algemene beveiligingsadviezen van het NCSC. Ook kunnen deze bedrijven ervoor kiezen om bijvoorbeeld een computercrisisteam in het leven te roepen, of zich bij een al bestaand computercrisisteam of andere schakelorganisatie aan te sluiten, die deze bedrijven voorziet van voor hen relevante dreigings- en incidentinformatie. Deze schakelorganisaties kunnen bijvoorbeeld ook krachtens de Wbni als computercrisisteam of OKTT worden aangewezen en daardoor informatie van het NCSC ontvangen. Het NCSC en het DTC werken bovendien nauw samen en zijn voortdurend, samen met de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV), telkens in gesprek over de mogelijkheden om binnen het LDS zo veel als mogelijk informatie te delen.
Voorts werk ik, zoals ook aangegeven bij de antwoorden op de vragen 2 en 3, aan een wetsvoorstel om ervoor te zorgen dat de bevoegdheid van het NCSC om dreigings- en incidentinformatie over de beveiliging- en informatiesystemen van niet-vitale aanbieders aan of ten behoeve van die aanbieders te verstrekken wordt uitgebreid en wordt, zoals in het antwoord op vraag 5 gegeven, gewerkt aan het door het DTC voldoen aan de voorwaarden voor een aanwijzing krachtens de Wbni als OKTT.
Vraag 7

Hoe staat het met de samenwerking tussen het NCSC en samenwerkingsverbanden met een OKTT-status zoals de Nationale Beheersorganisatie Internetproviders? In hoeveel gevallen heeft het NCSC al dreigingsinformatie gedeeld met bedrijven die onderdeel uitmaken van het Nationale Beheersorganisatie Internetproviders?

Het NCSC deelt met organisaties met een OKTT-status binnen de wettelijke kaders, zoals eerder beschreven, gegevens over dreigingen en incidenten, voor zover deze gegevens betrekking hebben op en relevant zijn voor netwerk- en informatiesystemen van organisaties in hun respectievelijke doelgroepen. Daarbij kan het in elk geval ook persoonsgegevens aangaande actoren betreffen, zodat organisaties aan de hand daarvan dreigingen beter kunnen detecteren in hun netwerken. Voor zover de te delen informatie, en in het bijzonder persoonsgegevens, vertrouwelijke herleidbare gegevens met betrekking tot een aanbieder betreffen, is verstrekking hiervan aan een OKTT zoals de Nationale Beheersorganisatie Internetproviders (NBIP) momenteel niet mogelijk zonder toestemming van de betrokken aanbieders. Gelet hierop heeft de NBIP in de afgelopen periode tot nu toe in een aantal gevallen informatie over dreigingen en incidenten ontvangen.
Vraag 8

Het bovenstaande overwegende, hoe beoordeelt u het huidige vermogen van de Nederlandse overheid om actief dreigingsinformatie te delen met Nederlandse bedrijven? Bent u het met de mening eens dat Nederland achterloopt op dit vlak wanneer wij kijken naar landen om ons heen zoals het Verenigd Koninkrijk?

Voor het goed functioneren van het Nederlandse cybersecuritystelsel is – zoals ik ook heb aangegeven in voornoemde Kamerbrief van 3 februari jl. – een optimale uitwisseling van informatie over digitale dreigingen, kwetsbaarheden en incidenten tussen de overheid, vitale organisaties en niet-vitale organisaties van groot belang. De in voorgaande antwoorden genoemde wetswijziging zal hieraan bijdragen. Daarbij kijk ik ook steeds naar de wijze waarop andere landen, zoals het VK, hun cybersecuritystelsels hebben ingericht, met als doel lessen daarvan te leren, en te kijken hoe die zouden passen in de Nederlandse bestuurlijke context. In het WODC-rapport over het Landelijk Dekkend Stelsel, dat ik in november 2020 aan uw Kamer heb aangeboden, is bijvoorbeeld een landenstudie opgenomen, waarin is gekeken hoe andere landen informatiedeling hebben vormgegeven, waaronder het Verenigd Koninkrijk.4 Veel landen hebben ook, net als Nederland, documenten als hun nationale cyberstrategie openbaar beschikbaar gemaakt. Naast bilaterale contacten ben ik permanent met Europese lidstaten in gesprek over versterking van de digitale weerbaarheid o.a. in het kader van de besprekingen over de voorgenomen herziening van de richtlijn inzake de beveiliging van netwerk- en informatiesystemen en de Europese cybersecurity strategie. Indien daar aanleiding toe is, zal ik uw Kamer informeren over de bevindingen naar aanleiding van deze contacten.
Vraag 9

Bent u het ook met de mening eens dat dit onacceptabel is gezien de serieuze veiligheidsrisico’s voor onze hoogontwikkelde kenniseconomie? Zo ja, bent u bereid om in gesprek te gaan met uw collega’s uit het Verenigd Koninkrijk? Zo ja, kunt u de Kamer op de hoogte houden van deze gesprekken?

Zie antwoord vraag 8.
Vraag 10

Bent u bereid om op de korte termijn, gezien de actuele en reële dreiging van cyberaanvallen, maatregelen te nemen die het delen van dreigingsinformatie tussen overheid en niet-vitale bedrijven mogelijk maakt? Zo nee, waarom niet? Zo ja, kunt u de Kamer zo spoedig mogelijk informeren over de te nemen stappen en het bijbehorende tijdspad? Zo nee, waarom niet?

Ik werk, zoals hierboven is vermeld, aan een wetsvoorstel tot wijziging van de Wbni, om ervoor te zorgen dat meer dreigings- en incidentinformatie met betrekking tot de netwerk- en informatiesystemen van andere aanbieders dan die in de doelgroep van Rijk en vitaal bij deze aanbieders terecht kan komen. Ik streef ernaar om dit voorstel rond de zomer in consultatie te brengen.

1 maart 2021 - 1 april 2021

31 dagen

Een explosieve toename hacks en datadiefstal
	Attje Kuiken (PvdA)
	Sander Dekker (minister zonder portefeuille justitie en veiligheid) (VVD)

Bronnen

1. Autoriteit Persoonsgegevens, 1 maart 2021, «AP luidt noodklok: explos…

Vraag 1

Kent u het bericht «AP luidt noodklok: explosieve toename hacks en datadiefstal»?1

Ja.
Vraag 2

Deelt u de mening dat het verontrustend is dat voor het tweede jaar op rij het aantal incidenten van hacking, phishing of malware om persoonsgegevens buit te maken sterk gestegen is? Zo nee, waarom niet?

Zoals onder meer gemeld in de Kamerbrief van 9 oktober jl. (Kamerstukken 2019–2020, 26 643, nr. 715) zijn geregistreerde cybercrime (waaronder hacken) en gedigitaliseerde criminaliteit (waaronder online fraude en babbeltrucs) de afgelopen jaren beide gestegen. Sinds het begin van de coronacrisis zijn deze vormen van criminaliteit verder toegenomen. Dat is zorgelijk. Het is niet bekend in hoeveel gevallen er persoonsgegevens zijn overgenomen.
Vraag 3

Heeft u een indicatie in hoeveel gevallen genoemde incidenten leiden tot misdrijven waaronder oplichting en identiteitsfraude?

Uit de cijfers van de politie, het OM, de Fraudehelpdesk en het Centraal Meldpunt Identiteitsfraude is niet te herleiden welke specifieke hack of datadiefstal ook heeft geleid tot fraude. Ook de AP beschikt niet over informatie over misdrijven die het gevolg zijn van datalekken. Er zijn namelijk verscheidene manieren om aan informatie en persoonsgegevens te komen, denk hierbij aan phishing, het onderscheppen van de post en online gedrag op social media. Bij het plegen van fraude wordt ook vaak gebruik gemaakt van combinaties van meerdere datasets. Bijvoorbeeld wordt een dataset die is gestolen via phishing gecombineerd met de dataset die is gestolen door middel van hacken. Ook kan er veel tijd zitten tussen het moment dat de gegevens worden gestolen en de mogelijke gevolgen, waardoor een direct verband moeilijk aan te tonen is. Daarnaast hebben slachtoffers vaak zelf geen zicht op hoe de fraudeur aan de gegevens is gekomen, waardoor het niet herleidbaar is.
Vraag 4

Deelt u de mening van de voorzitter van de Autoriteit Persoonsgegevens dat organisaties waar mensen hun persoonsgegevens aan toevertrouwen daar niet altijd zorgvuldig mee omgaan? Zo ja, hoe komt dat en hoe gaat u er aan bijdragen dat dat verbeterd gaat worden? Zo nee, waarom niet?

De AP rapporteert in haar datalekkenrapportage dat 2020 een toename met 30% kende van het aantal hacks dat gericht is op het buitmaken van persoonsgegevens. Die toename kan verschillende oorzaken hebben, waaronder onzorgvuldigheid. De AVG verplicht tot het nemen van technische en organisatorische maatregelen om persoonsgegevens te beveiligen en het verlies van persoonsgegevens te voorkomen. De verbetering hiervan is in belangrijke mate een kwestie van bewustwording. De voorlichtende rol met betrekking tot de AVG ligt primair bij de AP. Daarnaast is vergroting van het privacybewustzijn een van de voornemens uit de Agenda horizontale privacy, waarover ik uw Kamer bij brief van 5 februari jl. (Kamerstukken 2020–21, 34 926, nr. 11) informeerde.
Vraag 5

Bij hoeveel datalekken is de Autoriteit Persoonsgegevens bij gebrek aan capaciteit niet in de staat om daar actie tegen te ondernemen?

In 2020 ontving de AP 23.976 meldingen van datalekken. Uit de rapportage Datalekken 2020 van de AP blijkt dat de AP in 1.736 gevallen actie heeft ondernomen. Dit kan naar aanleiding van datalekmeldingen zijn, maar ook als de AP een datalek vermoedt door klachten, tips of andere datalekmeldingen.
Het is niet mogelijk om aan te geven of het niet oppakken van gemelde datalekken te wijten is aan capaciteitsgebrek. Het is immers niet zo dat elke melding automatisch om ingrijpen van de AP vraagt. De AP beoordeelt na binnenkomst van een melding of actie nodig is, waarbij de ernst van het datalek het zwaarstwegende criterium is.
Vraag 6

Deelt u de mening, zoals die mede verwoord is door de Kamer in het debat over het datalek bij de GGD, dat de Autoriteit Persoonsgegevens als de toezichthouder moet meegroeien met de toename van het aantal risico’s waardoor de bescherming van persoonsgegevens steeds meer onder druk komt te staan? Zo ja, hoe gaat u hier en op welke termijn concreet gevolg aan geven? Zo nee, waarom niet?

In de rapportage Datalekken 2020 van de AP wordt een toename van het aantal meldingen van hacking en malware gemeld van 271 meldingen. Het totaal aantal datalekmeldingen neemt echter af met 2.980 meldingen. Dit impliceert dat niet meer capaciteit nodig is, maar een herprioritering van de bestaande capaciteit. Het is aan de AP om haar capaciteit risico-gestuurd in te zetten.
Het vergroten van de opdracht aan de AP door toekenning van meer middelen op bijvoorbeeld dit specifieke punt of in totaliteit, zoals is verzocht in de motie van het lid Hijink c.s., vraagt om investeringen en fundamentele beleidskeuzes die aan een volgend kabinet zijn. Zoals ik per brief van 1 maart aan uw Kamer heb laten weten, is het gelet op de demissionaire status van dit kabinet thans niet mogelijk om toezeggingen te doen over de verhoging van het budget van de AP.

18 februari 2021 - 21 juli 2021

153 dagen

Het naleven van de Europese privacyregels van de Algemene verordening gegevensbescherming (AVG) bij (uitvoerings)instanties
	Kees Verhoeven (D66)
	Sander Dekker (minister zonder portefeuille justitie en veiligheid) (VVD), Kajsa Ollongren (viceminister-president , minister binnenlandse zaken en koninkrijksrelaties) (D66), Hugo de Jonge (viceminister-president , minister volksgezondheid, welzijn en sport) (CDA), Mona Keijzer (staatssecretaris economische zaken) (CDA), Wopke Hoekstra (minister financiën) (CDA), Ferdinand Grapperhaus (minister justitie en veiligheid) (CDA), Ank Bijleveld (minister defensie) (CDA), Wouter Koolmees (minister sociale zaken en werkgelegenheid, viceminister-president ) (D66), Stientje van Veldhoven (staatssecretaris infrastructuur en waterstaat) (D66), Ankie Broekers-Knol (staatssecretaris justitie en veiligheid) (VVD)

Bronnen

1. https://nos.nl/artikel/2368185-440-000-euro-boete-voor-olvg-vanwege-o…
2. https://www.tweedekamer.nl/kamerstukken/kamervragen/detail?id=2021Z00…

Vraag 1

Kent u het het bericht «440.000 euro boete voor OLVG vanwege onvoldoende beveiliging medische dossiers»?1

Ja.
Vraag 2

Bent u bekend met de nog niet beantwoorde schriftelijke vragen van het lid Verhoeven over het niet naleven van de wet en het grootschalig onrechtmatig verzamelen van persoonsgegevens door overheidsinstanties zoals de Belastingdienst, het Centraal Orgaan opvang Asielzoekers (COA), de politie, Defensie, de Inlichtingendiensten en het Uitvoeringsinstituut Werknemersverzekeringen (UWV)?2

Deze vragen zijn bij brief van 9 april 2021, met kenmerk 2021Z00730, beantwoord.
Vraag 3

Kunt u toelichten of (uitvoerings)instantie Dienst Uitvoering Onderwijs (DUO) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG)? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

De Dienst Uitvoering Onderwijs (DUO) voert diverse wettelijke taken uit. Voor de uitvoering van deze taken is het noodzakelijk om persoonsgegevens van met name onderwijsdeelnemers, inburgeraars en burgers met een uitstaande studielening te verwerken. De bescherming van die persoonsgegevens staat voor DUO buiten kijf. Met de opdrachtgevende beleidsdepartementen werkt DUO voortdurend samen om te zorgen dat de uitvoering van privacywet- en regelgeving wordt nageleefd. Eind 2016 is DUO gestart met een project om de organisatie per 25 mei 2018 in control te laten zijn ten aanzien van de AVG. Het project is eind 2018 afgerond en de resultaten zijn geïmplementeerd in de dagelijkse uitvoering. DUO is ten aanzien van de privacywetgeving in control op basis van een risicogerichte aanpak en weet wat er gebeuren moet om aan de regels te voldoen. Naleving van de AVG vraagt voortdurend aandacht en inspanning van zowel de eigen organisatie als de opdrachtgevende departementen. Een voorbeeld hiervan is de aanpassing van de wetgeving omtrent het register onderwijsdeelnemers.3
DUO verricht deze inspanning ook door de processen in de uitvoering regelmatig te herijken op basis van interne en externe signalen. DUO werkt daarbij constructief samen met externe toezichthouders zoals de Autoriteit Persoonsgegevens, de Algemene Rekenkamer en de Audit Dienst Rijk. Daarnaast heeft DUO de afgelopen jaren geïnvesteerd in mensen en middelen om de continue aandacht voor en de ontwikkeling van compliancy aan wet- en regelgeving te borgen. DUO heeft daartoe een privacyorganisatie ingericht en heeft invulling gegeven aan vereisten van de AVG zoals het in dienst hebben van een functionaris gegevensbescherming als interne toezichthouder, het bijhouden van een verwerkingsregister, het melden van datalekken, een Data Protection Impact Assessmentproces en het waarborgen van de rechten van betrokkenen.
Vraag 4

Kunt u toelichten of (uitvoerings)instantie het Centraal Bureau Rijvaardigheidsbewijzen (CBR) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Het Centraal Bureau Rijvaardigheidsbewijzen (CBR) handelt overeenkomstig de beginselen van de Algemene verordening gegevensbescherming (AVG). De taken, verantwoordelijkheden en bevoegdheden zijn formeel vastgelegd in het privacybeleid en in privacyprocessen. Het CBR heeft een functionaris gegevensbescherming die adviseert over en toezicht houdt op de toepassing en naleving van de AVG. Deze functionaris rapporteert rechtstreeks aan de directie. Daarnaast wordt de organisatie ondersteund door een privacyofficer en vijf informatiemanagers die adviseren over en uitvoering geven aan de processen rondom privacy.
In het privacystatement informeert het CBR de betrokkene over de gegevensverwerking. Een betrokkene kan een beroep doen op het recht van inzage, vernietiging en rectificatie. Verzoeken worden centraal afgehandeld en de betrokkene ontvangt een voor bezwaar en beroep vatbaar besluit. De verwerkingen zijn opgenomen in een register van verwerking. Om de compleetheid en actualiteit van het register te borgen zijn de benodigde processen ingericht. Het CBR heeft op alle verwerkingen die mogelijk een hoog privacyrisico opleveren voor de betrokkene een Data Protection Impact Assessment (DPIA) uitgevoerd. Om te borgen dat voor nieuwe verwerkingen die mogelijk een hoog privacyrisico opleveren een DPIA wordt uitgevoerd, zijn processen ingericht. Ook als de verwerking minder risicovol is, wordt deze getoetst aan de beginselen uit de AVG.
De privacyrisico’s worden opgenomen in een risicoregister en over de opvolging van maatregelen wordt periodiek aan de directie gerapporteerd. Ook bewustwording onder medewerkers heeft de continue aandacht. Door middel van e-learning, training en gerichte bewustwordingscampagnes wordt de aandacht voor de privacybescherming van klanten onder medewerkers levend gehouden.
Vraag 5

Kunt u toelichten of (uitvoerings)instantie de Sociale Verzekeringsbank (SVB) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

De Sociale Verzekeringsbank (SVB) verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). De SVB heeft binnen haar organisatie een privacystelsel met privacyofficers, een functionaris gegevensbescherming (FG) en privacybeleid ingesteld. Twee processen zijn nog in ontwikkeling en dit is aan uw Kamer gemeld in de stand van de uitvoering van juli 2018. Het betreft: 1) het «pseudonimiseren van testdata» en 2) «het bewaren en vernietigen van persoonsgegevens in data van applicaties en in ongestructureerde data». Het voorgaande heeft onder meer te maken met de implementatie van een nieuw Document Management Systeem en met de overgang van testfase naar het in productie nemen van vernietigingsfunctionaliteiten in de systemen van de primaire processen van de SVB.
De SVB voert op verzoek van het Ministerie van SZW enkele verwerkingen in het kader van dienstverlening uit op basis van de verwerkingsgrondslag toestemming. De SVB waarborgt in deze gevallen dat de toestemming kan worden beschouwd als een vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting. Daar waar twijfel kan ontstaan of de grondslag toestemming voldoende is, zal voor de SVB een wettelijke grondslag gecreëerd worden.
Vraag 6

Kunt u toelichten of (uitvoerings)instantie Stichting Inlichtingenbureau persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Het Inlichtingenbureau verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG).
Vraag 7

Kunt u toelichten of (uitvoerings)instantie Translink persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Translink verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). De reiziger wordt via het privacystatement geïnformeerd over welke gegevens worden opgeslagen en kunnen worden gedeeld met andere partijen. Conform de eisen van de AVG heeft Translink het privacystatement gepubliceerd op zijn website.
Translink heeft privacyfunctionarissen aangesteld die toezicht houden op de naleving van de AVG in de organisatie. Er is een verwerkingsregister opgesteld met daarin benoemd de verwerking van gegevens waar Translink verantwoordelijk voor is. Tevens is een protocol voor het melden van datalekken. Nieuwe ontwikkelingen waarbij persoonsgegevens worden verwerkt, worden onderworpen aan een Data Protection Impact Assessment. Het privacybeleid wordt daarnaast jaarlijks besproken met de directie.
Vraag 8

Kunt u toelichten of (uitvoerings)instantie Rijksdienst Wegverkeer (RDW) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

De Dienst Wegverkeer (RDW) verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). Er is binnen de RDW een goed functionerende privacyorganisatie ingericht, bestaande uit een team van privacyprofessionals, waaronder een functionaris gegevensbescherming. Samen dragen zij er zorg voor dat zorgvuldig wordt omgegaan met persoonsgegevens. Vast element in de werkwijze van de RDW is het periodiek onderwerpen van verwerkingen aan privacyquickscans en Data Protection Impact Assessments om ervoor te zorgen dat de AVG wordt nageleefd. Er is in de organisatie structureel aandacht voor privacy en transparantie. De rechten van burgers op inzage van eigen gegevens wordt gewaarborgd en gefaciliteerd door bijvoorbeeld het vergemakkelijken van het inzagerecht middels een burgerportaal.
De RDW laat jaarlijks een onderzoek uitvoeren door een onafhankelijke externe organisatie om vast te stellen of de RDW (nog steeds) voldoet aan de wettelijke privacyregelgeving. Deze externe organisatie heeft recent voor het Basiskentekenregister (BKR), het Centrale Rijbewijzen en Bromfietscertificatenregister (CRB) en het Nationaal Parkeer Register (NPR) geoordeeld dat de RDW opnieuw het keurmerk «Privacy-audit-proof» zal worden verstrekt.
Vraag 9

Kunt u toelichten of (uitvoerings)instantie Immigratie- en Naturalisatiedienst (IND) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

De Immigratie- en Naturalisatiedienst (IND) verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). Hiertoe heeft de IND de normen uit de AVG geïmplementeerd met een Privacy Compliance Programma (PCP). Resultaat van dit PCP is een ingericht Privacy Compliance Raamwerk om de normen uit de AVG structureel en in overeenstemming met de governance in de bedrijfsvoering van de IND te borgen. Daarbij is het voldoen aan de AVG, net zoals het voldoen aan veel andere verordeningen en wetten, een doorlopend proces waar de IND iedere dag mee bezig is. De IND is zich ervan bewust dat door de combinatie van reikwijdte van dit proces en menselijk handelen zich continu risico’s kunnen voordoen. De IND stelt echter alles in het werk om de risico’s daarop te beheersen, onder meer door daar via het Raamwerk zicht op te houden en adequate maatregelen te nemen.
Om ook binnen het primaire processysteem van de IND, INDiGO, te voldoen aan de eisen gesteld door de AVG, is een programma Toegang gestart. Dit programma is eind 2021 afgerond, waarna ook alle technische maatregelen zijn afgerond.
Vraag 10

Kunt u toelichten of (uitvoerings)instantie Dienst Justitiële Inrichtingen (DJI) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Voor de uitvoering van onze wettelijke taken en overeengekomen doelen verzamelt de Dienst Justitiële Inrichtingen (DJI) persoonsgegevens van in- en externe medewerkers, justitiabelen, bezoekers en personen die bijvoorbeeld incidentele werkzaamheden verrichten in de gebouwen van de DJI. De persoonsgegevens, behoudens die van justitiabelen, worden verzameld en verwerkt conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). Persoonsgegevens van justitiabelen worden verwerkt conform de Wet justitiële en strafvorderlijke gegevens.
Het borgen van privacy in een organisatie is een continu, cyclisch proces van signaleren, acteren en evalueren. Een organisatie is in control als deze wijze van privacyborging structureel is ingebed in een organisatie. Dat is ook wat de AVG van organisaties vraagt. Bij DJI is dat het geval. DJI is in control ten aanzien van de AVG en de andere vigerende privacywetten, omdat DJI risico's en tekortkomingen monitort en opneemt in een zogenaamde privacyroadmap. Met deze roadmap worden de relevante acties ten aanzien van privacy geprioriteerd en krijgen ze de juiste opvolging in de organisatie. In dat verband zijn bij DJI in de afgelopen jaren zo’n 670 Data Protection Impact Assessments verricht op bestaande en op nieuwe verwerkingen, waarbij vervolgens wordt bezien of en welke beheersmaatregelen getroffen moeten worden. Door middel van het ingerichte privacymanagementsysteem borgt DJI de continuïteit van het in control zijn. Privacyrisico's en -bedreigingen zullen er altijd zijn en in die zin is DJI nooit «klaar» met de AVG of andere privacywetgeving, maar de risico's en de bedreigingen worden door de gehanteerde werkwijze op structurele wijze beheerst en passend gemitigeerd. Op die wijze wordt voldaan aan de vigerende privacywetgeving.
Vraag 11

Kunt u toelichten of (uitvoerings)instantie de Rijksdienst voor Identiteitsgegevens (RvIG) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

De Rijksdienst voor Identiteitsgegevens (RvIG) verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). De RvIG verzamelt en verwerkt persoonsgegevens voor verschillende doeleinden waarvoor de juridische grondslag is verankerd in de Wet basisregistratie personen, de Wet algemene bepalingen burgerservicenummer, de Paspoortwet, de Wet basisadministratie persoonsgegevens BES en de AVG zelf.
Privacy is binnen de RvIG structureel geborgd middels een continue proces van implementatie, monitoring, evaluatie en bijsturing, Voor alle processen en/of systemen en applicaties zijn Data Protection Impact Assessments uitgevoerd als onderdeel van het risicomanagementproces. Dit proces is eveneens cyclisch ingericht.
Het incident dat aanleiding vormt voor de vraag gaat over informatiebeveiligingsbeleid. De RvIG volgt de verplichtingen die daarover vanuit de Baseline Informatiebeveiliging Overheid en de AVG worden gesteld.
Vraag 12

Kunt u toelichten of (uitvoerings)instantie Raad voor de Kinderbescherming persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

De Raad voor de Kinderbescherming (RvdK) heeft wettelijke taken en doelen en daartoe worden persoonsgegevens verwerkt. Het betreft persoonsgegevens van cliënten, informanten en medewerkers. De RvdK verzamelt en verwerkt deze gegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening privacygegevens (AVG).
De AVG vraagt om structurele borging van privacy in de organisatie. Dat is een continu proces van implementeren, monitoren, evalueren en bijsturen om compliant te zijn. In april 2021 is het beveiligd e-mailen (via Zivver) geïntroduceerd. Door de RvdK wordt een Data Protection Impact Assessments gedaan bij veranderingen in een werkproces, samenwerkingsverband of verandering van ICT-systeem waarbij persoonsgegevens verwerkt worden. Hiermee heeft de RvdK inzicht in de stand van zaken en de te nemen beheersmaatregelen en sluit hij waar nodig nieuwe verwerkingsovereenkomsten af.
Beheersmaatregelen zijn in een risicomatrix opgenomen en de opvolging daarvan wordt gemonitord in een interne stuurgroep Beveiliging, Integriteit en Privacy. Deze werkwijze zorgt ervoor dat privacyrisico’s in beeld zijn, en de juiste maatregelen getroffen en opgevolgd worden om aan de AVG te blijven voldoen.
Vraag 13

Kunt u toelichten of (uitvoerings)instantie Reclassering Nederland persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Reclassering Nederland verzamelt en verwerkt voor de uitvoering van haar taken persoonsgegevens van haar cliënten, medewerkers en van de personen met wie zij samenwerkt conform de Europese privacyregels zoals vastgelegd in de Algemene verordening privacyregels (AVG). Dit doet zij onder meer door het opstellen van Data Protection Impact Assessments (DPIA’s). Daar waar verbeteringen nodig blijken, worden deze opgepakt, zoals een herziening van het gegevensbeschermingsbeleid. Reclassering Nederland heeft hierbij te maken met een complexe uitvoeringspraktijk.
Reclassering Nederland vindt gegevensbescherming van haar cliënten van uitermate groot belang. In de uitvoering van haar taken voor een veiliger Nederland binnen de strafrechtketen wordt in toenemende mate een beroep op de reclassering gedaan om persoonsgegevens van haar cliënten met andere instanties te delen, al dan niet in samenwerkingsverbanden zoals in de Zorg- en Veiligheidshuizen. Er is wetgeving in voorbereiding die recht doet aan de bijzondere rol van Reclassering Nederland in de strafrechtketen en waardoor persoonsgegevens van cliënten niet meer onder werkingssfeer van de AVG zullen vallen, maar onder de werkingssfeer van de Europese Richtlijn gegevensbescherming politie en justitie.
Een belangrijke factor in de gegevensbescherming is het menselijk handelen. Reclassering Nederland heeft de afgelopen jaren daarom naast het treffen van technische en organisatorische maatregelen, onder meer geïnvesteerd in bewustwording en training van haar medewerkers.
Vraag 14

Kunt u toelichten of (uitvoerings)instantie Centraal Administratie Kantoor (CAK) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Het Centraal Administratie Kantoor (CAK) verzamelt en verwerkt persoonsgegevens grotendeels conform de Europese privacyregels zoals vastgelegd in de Algemene verordening privacyregels (AVG). De juiste toepassing van de AVG is ingebed in de bedrijfsvoering. Het CAK beschikt over een actueel register van verwerkingen, een PIA-register, een werkende datalekprocedure en verwerkingsovereenkomsten met leveranciers. Het CAK heeft verder organisatorische maatregelen getroffen, zoals de aanstelling van een (onafhankelijke) functionaris gegevensbescherming als interne toezichthouder, de aanstelling van een coördinerend Privacy Officer en de inrichting van een privacygilde. Op het gebied van accesmanagement (toegang tot data) voldoet het CAK nog niet volledig aan de AVG en kunnen verbeteringen worden doorgevoerd. Logging en monitoring zijn momenteel nog niet ingericht. De invulling van genoemde onderwerpen staat voor 2021 geagendeerd.
Vraag 15

Kunt u toelichten of het openbaar ministerie (OM) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Het openbaar ministerie (OM) verwerkt voor de uitvoering van zijn wettelijke taken een grote hoeveelheid gegevens. Het OM heeft daarbij naast de Algemene verordening gegevensbescherming (AVG) te maken met de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens. Binnen het OM zijn verscheidene processen en procedures ingericht waarmee uitvoering wordt gegeven aan de vereisten van deze privacywetgeving en om hierin inzicht te verkrijgen en behouden. Zo worden door het OM Data Privacy Impact Assessments (DPIA’s) uitgevoerd, waarmee vooraf risico’s van een gegevensverwerking in kaart zijn gebracht om risico’s in de systemen te mitigeren, en zijn organisatorische en technische vereisten opgesteld ten behoeve van de gegevensbescherming. Hier is bij het ontwerp uitgegaan van privacy by design en default, en deze uitgangspunten zijn vervolgens geïmplementeerd in de onderliggende ICT-systemen. Hoewel reeds een groot aantal veranderingen in werking is gesteld en er nieuwe processen en handvatten zijn ontwikkeld, is het een omvangrijke opgave om volledig inzicht te verkrijgen en te behouden. Het OM zet zich ervoor in dat daar continue aandacht voor blijft bestaan. Met name de grote hoeveelheid (gevoelige) gegevens die verwerkt wordt binnen het OM en die inherent is aan het primaire proces van de strafrechtspleging (en de andere toebedeelde wettelijke taken), maakt dat dit een voortdurend proces is.
Vraag 16

Kunt u toelichten of (uitvoerings)instantie Centraal Justitieel Incassobureau (CJIB) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

De Algemene verordening gegevensbescherming (AVG) is bij het Centraal Justitieel Incassobureau (CJIB) van toepassing op een klein deel van de verwerkingen, waarvoor het CJIB ook niet altijd zelf verwerkingsverantwoordelijk is. Alleen voor de bedrijfsvoeringsprocessen en de verwerkingen in het kader van de Wet administratiefrechtelijke handhaving verkeersvoorschriften is het CJIB zelf verantwoordelijk. Voor de overige verwerkingen treedt het CJIB slechts op als verwerker.
De verzameling en verwerking waarvoor het CJIB zelf verwerkingsverantwoordelijk is, geschiedt conform de Europese privacyregels zoals vastgelegd in de AVG. De grootste uitdaging op het gebied van privacy is het in kaart brengen en houden van de risico’s die verwerkingen met zich meebrengen. Op dit onderwerp is het CJIB in control doordat er doorlopend Data Privacy Impact Assessments (DPIA’s) worden uitgevoerd, zowel op nieuwe verwerkingen als op reeds bestaande verwerkingen. In het kader van nieuwe verwerkingen kent het CJIB een Privacy by Design proces. Dit is een bestaand proces dat ook onderhavig is aan doorontwikkeling op basis van geleerde lessen. De DPIA’s op bestaande verwerkingen zijn uitgevoerd en worden periodiek herijkt om de actuele risico’s in kaart te houden.
Voor de verwerkingen waarvoor het CJIB als verwerker is aan te merken, heeft het CJIB te voldoen aan de eisen die de verwerkingsverantwoordelijke stelt. Het CJIB voldoet aan de opdrachten die door de verwerkingsverantwoordelijke worden gegeven. Deze opdrachten moeten conform de Europese privacyregels zoals vastgelegd in de AVG worden gegeven.
Vraag 17

Kunt u toelichten of de (uitvoerings)instantie Fiscale Opsporingsdienst (FIOD) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

De werkzaamheden van de Fiscale inlichtingen- en opsporingsdienst (FIOD) als bijzondere opsporingsdienst vallen in beginsel onder de werking van de Wet politiegegevens. Slechts enkele werkzaamheden vallen onder de werking van de Algemene verordening gegevensbescherming (AVG).
De FIOD verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de AVG. Afgezien van verwerking vanwege een gerechtvaardigd belang (bijvoorbeeld in het kader van de bedrijfsvoering of in hoedanigheid als werkgever) gebeurt dat ter ondersteuning van de wettelijke taken van de Belastingdienst zoals het registreren van aanmeldingen van strafrechtelijke signalen, het verwerken van signalen van grensoverschrijdende btw-fraude, het verwerken van gegevens omtrent mogelijke integriteitsschendingen en de informatievoorziening ten behoeve van toezicht en opsporing.
De verwerkingen die binnen samenwerkingsverbanden worden uitgevoerd en die onder gezamenlijke verwerkingsverantwoordelijkheid plaatsvinden staan (nog) niet opgenomen in het AVG-register van de FIOD. Dit wordt op korte termijn aangepast.
Vraag 18

Kunt u toelichten of (uitvoerings)instantie Waternet persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Het verzamelen en verwerken van persoonsgegevens door Waternet en het toezien of deze organisatie voldoet aan de Algemene verordening gegevensbescherming (AVG) behoort niet tot de systeemverantwoordelijkheid of ministeriële verantwoordelijkheid van de Minister van Infrastructuur en Waterstaat in het kader van de Wet beveiliging netwerk en informatiesystemen (Wbni), de Drinkwaterwet of de Waterwet.
Vraag 19

Kunt u toelichten of (uitvoerings)instantie het Kadaster persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Het Kadaster verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). Het is een onderwerp dat continu de aandacht van het Kadaster heeft. De privacyorganisatie binnen het Kadaster bestaat naast de functionaris gegevensbescherming en privacyofficers ook uit AVG-ambassadeurs. Door de toenemende mate van het kennis- en bewustzijnsniveau onder de medewerkers van het Kadaster worden datalekken snel herkend en gemeld. Verzoeken van betrokkenen met betrekking tot hun rechten op grond van de AVG worden door de juridische afdeling behandeld.
De Data Protection Impact Assessments (DPIA’s), die in 2018 en 2019 op grond van artikel 35 AVG verplicht zijn opgesteld, zijn in 2020 en 2021 opnieuw uitgevoerd voor het Kadaster. Daarnaast worden alle nieuwe en huidige diensten/processen en systemen met persoonsgegevens verwerkingen binnen het Kadaster, standaard voorzien van een Quick scan DPIA en indien nodig een uitgebreide DPIA. Hierdoor kan tijdig Privacy by Design en Default worden toegepast en worden de persoonsgegevensverwerkingen beoordeeld op het in lijn zijn met de beginselen van de AVG.
De gegevens van de Quick scan DPIA en uitgebreide DPIA worden automatisch overgenomen in het Register van Verwerkingen zodat bij wijzigingen het Register wordt geactualiseerd. Alle risico’s die in de DPIA’s zijn geconstateerd worden opgenomen in het risicomanagementproces en zijn onderdeel van de rapportage- en monitoringcyclus.
Bij het verstrekken van persoonsgegevens aan derden wordt naast de relevante wetgeving, het verstrekkingsbeleid van het Kadaster gevolgd. Per aanvraag wordt getoetst of voldaan wordt aan de beginselen van de AVG, zoals grondslag, doelbinding en dataminimalisatie.
Vraag 20

Kunt u toelichten of (uitvoerings)instantie Raad voor Rechtsbijstand persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

De Raad voor Rechtsbijstand (RvR) verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). Zo verwerkt en verzamelt de RvR persoonsgegevens in het kader van de wettelijke taken die de RvR opgedragen heeft gekregen. De RvR houdt zich ook aan alle overige relevante wet- en regelgeving op het gebied van gegevensbescherming. De RvR werkt vanuit de visie «hart voor de burger», hetgeen naadloos aansluit bij de doelstelling van de AVG waarin de bescherming van de rechten van betrokkenen centraal staat.
In 2019 is bij het Ministerie van Justitie en Veiligheid gemeld dat de RvR het AVG-implementatietraject heeft afgerond en compliant is aan de AVG. Via de reguliere P&C-cyclus rapporteert de RvR het ministerie onder meer over de stand van zaken met betrekking tot de AVG. Meerdere onafhankelijke oordelen (extern door accountancy audit en intern door het jaarverslag van de functionaris gegevensbescherming) ondersteunen het beeld van het compliant zijn.
Omdat er continu ontwikkelingen zijn die privacyaspecten hebben, zijn er altijd verbeter- en ontwikkelmogelijkheden. Bij de RvR zijn de belangrijkste ontwikkelingen in het kader van de AVG met name gelegen op het gebied van gegevensuitwisselingen en het actueel houden van afspraken met ketenpartners, de ontwikkelingen met betrekking tot het snel veranderende digitale landschap en de beoogde veranderingen in het rechtsbijstandsstelsel.
Vraag 21

Kunt u toelichten of De Nederlandsche Bank (DNB) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

De Nederlandse Bank (DNB) verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). De verwerking van persoonsgegevens door DNB geschiedt dan ook met grote zorgvuldigheid. Dat betekent onder meer dat DNB niet meer persoonsgegevens verwerkt dan nodig voor het gestelde doel. Ook beveiligt DNB persoonsgegevens goed. Daartoe treft DNB fysieke maatregelen (bijvoorbeeld door documenten op te slaan in afgesloten kasten), logische maatregelen (bijvoorbeeld door de toegang tot persoonsgegevens te beperken), technische maatregelen (bijvoorbeeld versleuteling) en procedurele maatregelen (bijvoorbeeld door bewustwordingsprogramma’s voor medewerkers over zorgvuldige omgang met informatie).
DNB heeft daarnaast een functionaris gegevensbescherming aangesteld van wie de verantwoordelijkheden en bevoegdheden als onafhankelijke interne privacytoezichthouder in een statuut zijn vastgelegd en die eenmaal per kwartaal verslag uitbrengt aan de directie. Ook heeft DNB een privacybeleid gedocumenteerde processen voor het behandelen van datalekken en beantwoorden van onder andere inzageverzoeken. Tevens wordt er een register bijgehouden van de verwerkingsactiviteiten die onder de verantwoordelijkheid van DNB plaatsvinden.
Vraag 22

Kunt u toelichten of de (uitvoerings)instantie Kamer van Koophandel (KvK) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

De Kamer van Koophandel (KVK) beheert het handelsregister en is ten aanzien van de verwerkingen van persoonsgegevens ten behoeve van dit register verwerkingsverantwoordelijke.
De registratie, openbaarheid en verstrekking van gegevens zijn primair geregeld in de Handelsregisterwet en het Handelsregisterbesluit. Het beleid ten aanzien van registratie, openbaarheid en verstrekking van gegevens is om te beginnen een kwestie voor de nationale wetgever, maar wordt daarnaast sterk beïnvloed door Europese regelgeving zoals de Algemene verordening gegevensbescherming (AVG) maar ook door de Digitaliseringsrichtlijn, de Witwasrichtlijn en de Richtlijn inzake hergebruik van overheidsinformatie. De Europese regelgeving bevat steeds meer verplichtingen omtrent openbaarheid en ontsluiting van gegevens. De KVK wordt zodoende als uitvoeringsorganisatie geraakt door een veelheid aan regelgeving gerelateerd aan de diverse doelen die worden gediend met de in het Handelsregister geregistreerde gegevens en de verschillende belangen die worden gediend met beschikbaarheid of juist afscherming daarvan.
Voor de naleving van de wettelijke regels voor bescherming van persoonsgegevens valt de KVK onder het toezicht van de Autoriteit Persoonsgegevens (AP). KVK behandelt de persoonsgegevens die zij verwerkt met grote zorgvuldigheid en neemt daarbij de beginselen van de AVG in acht. Eind 2019 heeft de AP aangegeven een positieve indruk te hebben van het door KVK ingezette proces om de privacy van ingeschrevenen van het Handelsregister te waarborgen. Uw Kamer is destijds geïnformeerd over de uitkomsten van dit traject4 dat heeft geleid tot de sindsdien gevolgde bestendige werkwijze.
Vraag 23

Kunt u toelichten of de Koninklijke Marechaussee persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

De Koninklijke Marechaussee verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG) of de Wet Politiegegevens (Wpg). Welk wettelijk kader gevolgd dient te worden, is afhankelijk van de uit te voeren taak. Wanneer bij gegevensverwerkingen mogelijk sprake is van een hoog privacyrisico voor betrokkenen, voert de Koninklijke Marechaussee daarop Data Protection Impact Assessments (DPIA’s) uit. Dat laatste blijft een doorlopend proces.
Vraag 24

Kunt u toelichten of het Uitvoeringsinstituut werknemersverzekeringen persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

In de uitvoeringstoets Algemene verordening gegevensbescherming (AVG) van 15 september 2017 heeft het Uitvoeringsinstituut werknemersverzekeringen (UWV) aangegeven nog niet direct en volledig te kunnen voldoen aan de AVG bij invoering op 25 mei 2018. Dit is aan uw Kamer gemeld in de stand van de uitvoering van juli 2018. Vorig jaar is aan uw Kamer gemeld dat het systeem SONAR niet aan de AVG voldoet en vervangen moet worden. Het UWV werkt hard om aan de AVG te voldoen. De aanpassing en vervanging van systemen die niet privacy by design en privacy by default zijn, vergt echter de nodige tijd. Inzet op aanpassing van ICT-systemen volgens AVG-richtlijnen zal daarbij in samenhang moeten worden gezien met het implementeren van andere noodzakelijke maatregelen gericht op stabiliteit, continuïteit, vernieuwing en de implementatie van nieuwe of veranderde wet- en regelgeving.
Het UWV voert op verzoek van het Ministerie van SZW enkele verstrekkingen in het kader van dienstverlening uit op basis van de verwerkingsgrondslag toestemming. Deze toestemming moet volledig vrijelijk gegeven kunnen worden. Door de (gepercipieerde) machtsverhouding tussen overheid en burger is het gebruik van toestemming twijfelachtig en soms zelfs ontoereikend. Uw Kamer is hierover geïnformeerd via de Stand van de Uitvoering van juni 2020. Zodoende zal voor deze gevallen een wettelijke grondslag gecreëerd worden. In het belang van de continuïteit van de dienstverlening aan cliënten van het UWV zal het UWV de verstrekkingen op grond van toestemming blijven uitvoeren totdat een wettelijke grondslag gecreëerd is.
Vraag 25

Kunt u toelichten of woningcorporaties persoonsgegevens verzamelen en verwerken conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoen deze organisaties nog niet?

Woningcorporaties zijn zelfstandige, private organisaties die in het kader van hun wettelijke taken op grond van de Woningwet en ter uitvoering van huurovereenkomsten persoonsgegevens verwerken. Indien woningcorporaties persoonsgegevens verwerken of doen verwerken zijn zij als zelfstandige organisatie verwerkingsverantwoordelijke op grond van de Algemene verordening gegevensbescherming (AVG), zodat zij zelf moeten voldoen aan de normen die volgen uit de AVG en de UAVG. De Minister van Binnenlandse zaken en Koninkrijksrelaties houdt daarop geen toezicht, omdat het gaat om private organisaties. Dit toezicht is belegd bij de Autoriteit Persoonsgegevens.
Vraag 26

Kunt u toelichten of zorginstellingen persoonsgegevens verzamelen en verwerken conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoen deze organisaties nog niet?

Zorginstellingen zijn zelfstandig verwerkingsverantwoordelijk in de zin van de Algemene wet gegevensbescherming (AVG). Dit betekent dat het de verantwoordelijkheid van de zorginstelling is om ervoor te zorgen dat de verwerking van persoonsgegevens voldoet aan de AVG. De Autoriteit Persoonsgegevens is belast met het toezicht op de naleving van de privacywetgeving door de zorginstellingen.
Vraag 27

Kunt u toelichten of zorgverzekeraars persoonsgegevens verzamelen en verwerken conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoen deze organisaties nog niet?

Zorgverzekeraars zijn zelfstandig verwerkingsverantwoordelijk in de zin van de Algemene wet persoonsgegevens (AVG). Dit betekent dat het de verantwoordelijkheid van de zorgverzekeraar is om ervoor te zorgen dat de verwerking van persoonsgegevens voldoet aan de privacywetgeving. De Autoriteit persoonsgegevens is belast met het toezicht op de naleving van de privacywetgeving door zorgverzekeraars.
Vraag 28

Bent u het ermee eens dat de «Wet Gegevensverwerking Samenwerkingsverbanden» (WGS) tot doel heeft dat in de toekomst grote hoeveelheden persoonsgegevens worden verzameld en gedeeld tussen en met een groot aantal instanties in een viertal samenwerkingsverbanden (het Financieel Expertise Centrum (FEC), infobox voor Crimineel en Onverklaarbaar Vermogen (iCOV), de Regionaal Informatie en Expertise Centra (RIEC’s) en de ZVH’s), en dat dus alle betrokken organisaties vóór een eventuele inwerkingtreding van de Wet gemeentelijke schuldhulpverlening (WGS) eerst moeten voldoen aan de privacyregels van de AVG omdat één zwakke schakel de hele keten in gevaar brengt? Zo nee, waarom niet?

Elke gegevensverwerking door samenwerkingsverbanden onder de WGS moet voldoen aan de AVG. De waarborgen van de AVG, zoals rechtmatigheid, behoorlijkheid, transparantie, doelbinding, minimale gegevensverwerking, juistheid, opslagbeperking, integriteit en vertrouwelijkheid, zijn onverkort van toepassing. In aanvulling daarop bevat de WGS specifieke bepalingen (met name 1.8 e.v.) over waarborgen. Op grond hiervan kunnen bij AMvB nadere voorwaarden en beperkingen worden gesteld aan verwerkingen van gegevens. Bij die AMvB zullen aspecten als kwaliteit en betrouwbaarheid van de gegevens een plek krijgen. Overigens zijn onder het wetsvoorstel de deelnemers aan een samenwerkingsverband gezamenlijk verwerkingsverantwoordelijk, zodat elke deelnemer op grond van artikel 82 AVG aansprakelijkheid draagt wanneer een verwerking inbreuk zou maken op de AVG.

17 februari 2021 - 18 maart 2021

29 dagen

De telefonische bereikbaarheid in Overijssel.
	Joba van den Berg-Jansen (CDA), Hilde Palland (CDA)
	Mona Keijzer (staatssecretaris economische zaken) (CDA)

Bronnen

1. Aanhangsel Handelingen, vergaderjaar 2020–2021, nr. 810

Vraag 1

Deelt u de mening dat in heel Nederland, dus ook in de buitengebieden, de internetdekking en telefonische bereikbaarheid optimaal dienen te zijn?

Ja. In de Nota Mobiele Communicatie is dit ook benoemd, evenals de uitdagingen bij het realiseren van mobiele netwerkdekking.1
Vraag 2

Herinnert u nog dat de leden van de CDA-fractie in het algemeen overleg Telecommunicatie (11 juni 2020), het verslag van het algemeen overleg Telecommunicatie (29 oktober 2020) en in schriftelijke Kamervragen (15 oktober 2020)1 aandacht hebben gevraagd voor de telefonische bereikbaarheid in Overijssel, in het bijzonder in en om de dorpen Vilsteren en Hoge Hexel?

Ja.
Vraag 3

Wat is de stand van zaken omtrent de plaatsing van een opstelpunt met mast bij Hoge Hexel door KPN, waarvan u op vraag negen van voornoemde Kamervragen antwoordde dat hiervoor een vergunning is afgegeven en dat dit opstelpunt «naar verwachting ergens in de komende maanden zal worden geplaatst»?

Ik heb van KPN begrepen dat zij voornemens is om aan het einde van het tweede kwartaal van dit jaar het opstelpunt realiseren.
Vraag 4

Wat is de stand van zaken omtrent de situatie en ontwikkelingen in Vilsteren, waarvan u in antwoord op vraag negen van voornoemde Kamervragen aangaf dat u nog in afwachting was van respons van de gemeente Ommen?

Ik heb over de situatie in Vilsteren contact gehad met zowel mobiele netwerkaanbieders als de gemeente Ommen. Er wordt (h)erkend dat de dekking in Vilsteren niet optimaal is. Mogelijke oorzaken hiervan zijn het licht glooiende terrein rond Vilsteren en de aanwezige bebossing. Ik heb in mijn contact met de gemeente Ommen gewezen op de handleiding van Agentschap Telecom.3 Die is onder meer bedoeld om gemeenten handvatten te geven bij het verbeteren van mobiele netwerkdekking. Ik heb begrepen dat de gemeente Ommen met mobiele netwerkaanbieders een plaatsingsplangesprek heeft gevoerd zoals ook wordt genoemd in voornoemde handleiding van Agentschap Telecom en het Antenneconvenant.4 Het verbeteren van de dekking heeft de aandacht van mobiele operators. De plannen zijn vooralsnog echter niet zo concreet als met betrekking tot Hoge Hexel.

16 februari 2021 - 17 mei 2021

90 dagen

Snel internet voor iedereen.
	Joba van den Berg-Jansen (CDA)
	Mona Keijzer (staatssecretaris economische zaken) (CDA)

Bronnen

1. Aanhangsel Handelingen, vergaderjaar 2020–2021, nr. 810
2. Kamerstuk 24 095, nr. 434
3. Dialogic, 16 december 2019 «Notitie Outlook Digitale Infrastructuur N…

Vraag 1

Deelt u de mening dat het in de digitale toekomst belangrijk is dat iedereen digitaal mee kan doen, dat in heel Nederland de internetdekking optimaal en de digitale voorzieningen voor iedereen betaalbaar en bereikbaar moeten zijn?

Ja.
Vraag 2

Wanneer ontvangt de Kamer de actualisatie van de breedbandkaart, waarvan u in de beantwoording van eerdere Kamervragen1 aangaf dat dit «in het eerste kwartaal van 2021» of «eerder indien mogelijk» zou zijn?

De geactualiseerde breedbandkaart is inmiddels gepubliceerd en is te benaderen via de website overalsnelinternet.nl. De nieuwe kaart toont de beschikbaarheid van snel vast internet in Nederland in 2020. In een Kamerbrief die gelijktijdig met de beantwoording van deze vragen aan de Kamer is gestuurd, wordt nader ingegaan op de laatste stand van zaken aangaande de beschikbaarheid van snel vast internet.
Vraag 3

Acht u «nauwlettend monitoren», zoals u op vraag 8 van eerdergenoemde vragen antwoordt, voldoende om te bewerkstelligen dat conform de gewijzigde motie Van den Berg2 eind 2023 tenminste 99,5 procent maar uiteindelijk 100 procent van de adressen in Nederland kan beschikken over snel internet van ten minste 100 megabit per seconde (Mbps)?

Naast het nauwlettend monitoren van de voortgang van de uitrol van snel vast internet met een snelheid van ten minste 100 Mbps, faciliteer ik ook in de kennisuitwisseling tussen provincies en sta ik samen met het Ministerie van BZK en Europa Decentraal de lokale overheden bij in advies over de Europese staatssteunkaders. Ik ben in overleg getreden met provincies over de voortgang van de uitrol van snel internet in de verschillende buitengebieden. Daarbij zijn de resultaten uit de 2020 inventarisatie naar vaste breedbanddekking en de prognose richting 2023 besproken en zijn onderling kennis en ervaringen uitgewisseld. Met de provincies is afgesproken dat we tenminste op kwartaalbasis met elkaar in gesprek blijven. Daarbij zal ik waar nodig en wenselijk ondersteunen door middel van het inbrengen van specifieke kennis en advies.
Vraag 4

Zou in plaats van alleen «nauwlettend monitoren» een aanjagende houding niet wenselijker zijn om de doelstelling van snel internet voor daadwerkelijk iedereen op tijd te halen? Waarom wel of niet?

De inzet is om de connectiviteitsdoelstelling te behalen en iedereen van snel internet te voorzien. Onlangs informeerde ik uw Kamer in mijn brief van 6 mei jl.4 over de recente marktstudie van de ACM5 naar de uitrol van glasvezel in Nederland die laat zien dat in 2020 aanzienlijk meer glasvezel naar woningen is uitgerold dan in voorgaande jaren. In de afgelopen jaren is gebleken dat de markt in staat is om op basis van commerciële modellen grote delen van de buitengebieden in Nederland van snel vast internet te voorzien. Dit komt ook naar voren in de marktstudie van de ACM. De uitrol in het buitengebied door marktpartijen vindt momenteel nog steeds plaats, ook in (een deel van) de buitengebieden die door bureau Dialogic in haar prognose uit 2019 als uitdagend werden aangemerkt. Tegelijkertijd zijn er ook (delen van) buitengebieden waar de aanleg aanvankelijk was aangekondigd of gestart, maar waar de uitrol is gestaakt omdat ontsluiting van het gebied toch te kostbaar of ingewikkeld is gebleken. De uitrol door de markt bleek dus in de praktijk enerzijds gunstiger dan gedacht, maar anderzijds ook weerbarstiger. Deze combinatie van meevallers en tegenvallers maakt nog eens duidelijk dat het van belang is extra aandacht te blijven besteden aan de uitdagende buitengebieden en dat de ontsluiting daarvan veelal lokaal maatwerk vraagt.
Er lopen op dit moment bij diverse provincies acties om al dan niet met behulp van praktische dan wel financiële steun, de adressen in de moeilijke buitengebieden alsnog van snel internet te voorzien. Daar waar de markt de uitrol uiteindelijk niet oppakt, bestaat er de mogelijkheid voor lokale overheden om staatssteun te verlenen. Zoals benoemd, gaat het bij de ontsluiting van de overgebleven gebieden veelal om lokaal maatwerk, waarbij de geschikte oplossing onder meer afhankelijk is van de kosten van aanleg en de reeds aanwezige infrastructuur waar al dan niet op aangekoppeld kan worden. Dit was reeds in 2010 al door de Taskforce Next Generation Networks benoemd, alsmede het advies dat waar de markt het niet oppakt, er een rol ligt voor lokale overheden om de uitrol van snel internet te bevorderen.
Ik heb afgesproken met provincies om de voortgang en resultaten van die acties in de periodieke overleggen met elkaar te bespreken, om zo na te gaan welke aanpakken succesvol blijken en eventueel bruikbaar zijn in andere provincies. Daarbij merk ik wel op dat de brede toepasbaarheid van een bepaalde aanpak kan worden bemoeilijkt, vanwege lokale maatwerkaspecten, Waar nodig en wenselijk, zal ik provincies ondersteunen door middel van het inbrengen van specifieke kennis en advies.
Vraag 5

In hoeverre is en blijft het uiteindelijk de marktdynamiek die bepaalt waar en op welke termijn snel internet wordt aangelegd? Wat en hoe groot kan en mag de rol van de overheid in uw ogen zijn, zowel landelijk als lokaal?

Zie antwoord vraag 4.
Vraag 6

Denkt u dat de gebieden waarvan onderzoeks- en adviesbureau Dialogic eind 2019 aangaf dat deze lastig te ontsluiten zijn (circa 1.200 woonadressen in Zuid-Limburg, 7.000 woonadressen in Zeeland, 4.000 woonadressen op de Zuid-Hollandse eilanden en 1.300 woonadressen op de Hollandse kusten)3 alsnog gebaat zouden kunnen zijn bij overheidsinterventie wanneer uitrol van snel internet daar niet van de grond komt?

Zie antwoord vraag 4.
Vraag 7

Op welke manier(en) zouden gemeentes kunnen worden geholpen bij het creëren van de juiste randvoorwaarden tegen welke snel internet overal in een gemeente kan worden aangelegd, wetende dat Dialogic concludeerde dat «er specifieke lokale redenen zijn waarom uitrol in deze (moeilijker te ontsluiten) gebieden lastig is»? Gaat het hier voornamelijk om budget of bijvoorbeeld ook om kennis en kunde?

Er kunnen inderdaad specifieke lokale redenen zijn die de uitrol in de lastig te ontsluiten buitengebieden bemoeilijken. In haar prognose noemt Dialogic de aanwezigheid van bepaalde natuurlijke eigenschappen, zoals grondsoort of eilandenstructuur, die de aanleg van snel vast internet in die gebieden minder rendabel maken dan andere buitengebieden. In haar beleidsaanbevelingen noemen de onderzoekers dat lokale overheden de uitrol in deze gebieden kunnen bevorderen door bijvoorbeeld marktpartijen te faciliteren in de uitrol door het hanteren van kostendekkende en uniforme tarieven voor leges en graaf- en herstelwerkzaamheden en te bezien of slimme totaalafspraken kunnen worden gemaakt over graafdiepte, coördinatie van werkzaamheden en toezicht. De ACM noemt in haar glasvezelmarktstudie ook het belang van uniforme gemeentelijke voorwaarden, die ervoor zorgt dat marktpartijen hun uitrol beter kunnen plannen en uitbreiden. Via een werkgroep «vaste connectiviteit» wordt reeds samengewerkt tussen Rijk, gemeenten en marktpartijen aan concrete acties rond graafwerkzaamheden, ter bevordering van de soepele uitrol van telecomnetwerken op lokaal niveau. Mocht blijken dat de markt de uitrol in deze lastige gebieden niet door de markt worden opgepakt, dan bestaat er de mogelijkheid voor lokale overheden om staatssteun te verlenen, waarbij ik hen waar nodig en wenselijk van specifieke kennis en advies kan voorzien.
Vraag 8

Wanneer is dit onderwerp voor de laatste keer besproken met de Vereniging Nederlandse Gemeenten, het Interprovinciaal Overleg en/of markpartijen? Bent u bereid het op korte termijn opnieuw te agenderen gelet op het belang van snel internet voor bijvoorbeeld online (thuis)werken en online (thuis)onderwijs krijgen tijdens de coronacrisis?

Medio februari ben in overleg getreden met provincies over de voortgang van de uitrol van snel internet in de verschillende buitengebieden. Daarbij was, namens een groot deel van de marktpartijen, ook branchevereniging NLConnect aanwezig. Volgend op dat overleg heb ik begin maart in kleiner comité met een aantal provincies doorgepraat over de specifieke situatie in hun provincies. Verder staan er voor dit jaar nog 3 overleggen met provincies op de agenda, waarvan de eerstvolgende in juni zal plaatsvinden. Met de VNG ben ik, via diverse overlegstructuren, doorlopend in gesprek over de soepele uitrol van snel internet op lokaal niveau. Bijvoorbeeld via de werkgroep «vaste connectiviteit», zoals genoemd in het antwoord op de vorige vraag.

15 februari 2021 - 19 april 2021

63 dagen

Kwetsbaarheden in de cybersecurity van scanners in de Rotterdamse haven
	Kathalijne Buitenweg (GL)
	Ferdinand Grapperhaus (minister justitie en veiligheid) (CDA)

Bronnen

1. NRC Handelsblad, 12 februari 2021, «Scanners in Rotterdamse haven broos voor Chinese spionage»
2. Financieele Dagblad, 11 februari 2021, «Veiligheidsdiensten slaan alarm wegens Chinese cyberdreiging»

Vraag 1

Bent u bekend met het bericht «Scanners in Rotterdamse haven broos voor Chinese spionage»?1

Ja.
Vraag 2

Bent u voorts bekend met het bericht «Veiligheidsdiensten slaan alarm wegens Chinese cyberdreiging»?2

Ja.
Vraag 3

Wat is uw appreciatie van de gezamenlijke waarschuwing van de AIVD, MIVD en de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) in het FD artikel dat digitale spionage uit China een onmiddellijke dreiging vormt voor de Nederlandse economie en dat de vitale infrastructuur regelmatig doelwit is van cyberaanvallen? Deelt u deze zorgen?

Digitale spionage is een belangrijke dreiging voor de nationale veiligheid, zoals beschreven in het Dreigingsbeeld Statelijke Actoren (DBSA)3. Om de weerbaarheid tegen deze dreiging te vergroten werkt de Minister van Justitie en Veiligheid samen met partners binnen en buiten de overheid aan de aanpak statelijke dreigingen4. Onderdeel van deze aanpak is dat zowel op nationaal als op EU-niveau maatregelen worden genomen om de weerbaarheid van de vitale infrastructuur te versterken. In het Dreigingsbeeld Statelijke Actoren en de genoemde Kamerbrief komt deze dreiging, en de maatregelen die we hier tegen nemen, uitgebreid aan bod.
Vraag 4

Klopt het dat de helft van de grote scanners in de Rotterdamse haven zijn geleverd door het Chinese bedrijf Nuctech? Zo ja, hoe verhoudt dit gegeven zich tot uw antwoord op vraag 3?

Ja, in de Rotterdamse haven zijn zeven grote ladingscanners geïnstalleerd, waaronder vier van Nuctech. Douane Nederland (hierna: de Douane) besteedt structureel – ongeacht welke leverancier scan apparatuur levert – aandacht aan de bescherming en beveiliging van gegevens. Tevens laat de Douane een externe audit uitvoeren op de scan- en detectiesystemen en daaraan gerelateerde IT-inrichting, om te verzekeren dat de scan- en detectieprocessen zo veilig mogelijk zijn ingericht. De opdracht voor dit onderzoek is in september geïnitieerd nadat de Douane signalen ontving over de Nuctech scanners en het onderzoek zal in maart starten. Het doel van het onderzoek is om inzicht te verschaffen in het niveau van de informatiebeveiliging van de scan- en detectiesystemen en daaraan gerelateerde IT-inrichting. Ook wil de Douane geïnformeerd worden over mogelijke risico’s en advies over eventuele mitigerende maatregelen. Verwacht wordt dat de resultaten van het onderzoek in de zomer beschikbaar zijn. Daarnaast wordt in samenspraak met andere relevante overheidspartijen aanvullend onderzoek uitgevoerd, waarin de resultaten van deze externe audit worden meegenomen.
Vraag 5

Vindt u het wenselijk om in de vitale infrastructuur gebruik te maken van Chinese leveranciers? Zo ja, welke veiligheidswaarborgen zijn er om Chinese leveranciers te screenen?

Een open economie, een open wetenschappelijk klimaat en vrijhandel liggen sinds jaar en dag aan de basis van het Nederlandse verdienvermogen en onze sterke positie. Nederland profiteert van de kansen en mogelijkheden die dit biedt; hierdoor kan Nederland gebruik maken van hoogwaardige materialen, technologie en kennis die in het buitenland – waaronder in China – wordt ontwikkeld.
Ook voor de vitale infrastructuur is het wenselijk dat gebruik wordt gemaakt van kwalitatief hoogwaardige producten en diensten. Aangezien geen land beschikt over alle kennis en productiemiddelen om technologisch onafhankelijk te opereren, is een afhankelijkheid van buitenlandse technologie dan ook een gegeven. Naast de genoemde kansen, bestaat echter ook het risico dat met technologische toeleveringen de digitale spionage- en sabotagemogelijkheden toenemen5.
Om de weerbaarheid tegen deze dreiging te vergroten werkt de Minister van Justitie en Veiligheid samen met partners binnen en buiten de overheid aan de aanpak statelijke dreigingen, waarover uw Kamer op 3 februari j.l. de laatste stand van zaken heeft ontvangen6. Bij elke casus moet worden bezien hoe risico’s voor de nationale veiligheid beheersbaar kunnen worden gemaakt. Dit vergt een gedetailleerde analyse van de te beschermen belangen, de dreiging en de (huidige) weerbaarheid.
Met betrekking tot het door uw Kamer genoemde vraagstuk is specifiek het overheidsbeleid dat nationale veiligheidsoverwegingen worden meegewogen bij de inkoop en aanbesteding van producten en diensten relevant. Bij de aanschaf van gevoelige apparatuur zal volgens dit beleid bij aanschaf en implementatie rekening gehouden worden met zowel eventuele risico’s in relatie tot de leverancier, als met het concrete gebruik van de systemen, bijvoorbeeld waar het gaat om de toegang tot systemen door derden. Dit ten aanzien van nationale veiligheidsrisico’s verscherpt inkoop en aanbestedingsbeleid is eind 2018 geïmplementeerd voor de rijksoverheid.
Ter ondersteuning van dit beleid is instrumentarium ontwikkeld dat organisaties handvatten biedt bij het maken van een risicoanalyse en het nemen van mitigerende maatregelen. Behoeftestellende partijen zijn zelf verantwoordelijk voor de toepassing van dit instrumentarium en het meewegen van nationale veiligheidsrisico’s. Het instrumentarium is ter beschikking gesteld binnen de rijksoverheid en medeoverheden, alsmede aan organisaties die onderdeel zijn van de vitale processen.
Vraag 6

Wordt er, in navolging van het beleid rond het 5G-netwerk, ook in andere sectoren, zoals die van beveiligingsapparatuur, gewerkt met lijsten van onbetrouwbare leveranciers? Zo ja, op welke manier wordt dit vormgegeven? Zo nee, waarom niet?

Voor de telecomsector is een structureel proces ingericht waarin samen met relevante stakeholders bekeken wordt op welke manier de telecomnetwerken ook in de toekomst weerbaar kunnen blijven tegen veranderingen in het dreigingsbeeld en technologische ontwikkelingen. De focus ligt hierbij op het doen van risicoanalyses, het inzichtelijk maken van afhankelijkheden, en het in kaart brengen waar adaptieve maatregelen mogelijk zijn. De komende periode wordt in kaart gebracht wat er nodig is om deze structurele aanpak op telecom te verbreden naar andere vitale processen.
Bij de beoordeling van risico’s ten aanzien van spionage, beïnvloeding of sabotage door statelijke actoren of andere partijen bij (digitale) producten hanteert het kabinet de overwegingen die zowel bij c20007 als bij de veiligheid van de telecomnetwerken8 zijn gebruikt:
Deze risico’s worden op een zeer zorgvuldige en case-by-case-basis bezien.
Vraag 7

Hoe beoordeelt u de uitspraak van de directeur van de Nederlandse tak van Nuctech dat de Chinese overheid zich niet met Nuctech bemoeit? Vindt u dit geloofwaardig, ook gezien het feit dat het staatsbedrijf China National Nuclear Corporation (CNNC) een van de aandeelhouders is?

In algemene zin kan worden gesteld dat de Chinese overheid nauw betrokken is bij het Chinese bedrijfsleven, zowel via staatsbedrijven als private bedrijven, en dat er sprake is van nauwe verwevenheid tussen civiele en militaire sectoren in China. Dit wordt ook beschreven in de beleidsnotitie «Nederland-China: een nieuwe balans»9. Specifiek zien we dat het CNNC 21% aandeel heeft in de voornaamste aandeelhouder van Nuctech (Tongfang Co. Ltd., met een aandeel van 76%). Het CNCC heeft daarmee dus indirect 15,96% aan aandelen in Nuctech.
Vraag 8

Wat is uw reactie op klachten van concurrenten dat Nuctech onder de kostprijs levert dankzij Chinese staatssteun? Heeft u signalen die deze klachten ondersteunen? Hoe staat het in dit kader met het voorstel voor eenlevel playing field instrument dat het Nederlandse kabinet heeft ingebracht bij de Europese Commissie? Welke mogelijkheden zijn er momenteel voor aanbestedende diensten om mogelijk ongeoorloofde staatssteun mee te nemen in de aanbestedingsprocedure?

Zoals ook aangegeven in het antwoord op vraag 7, is het niet uit te sluiten dat er (indirecte) invloed is vanuit de Chinese overheid op dit bedrijf. In bredere zin zijn er al langere tijd zorgen over bedrijven die op de interne markt concurreren met staatssteun uit derde landen. Daarom heeft de Staatssecretaris van Economische Zaken in 2019 het voorstel voor een level playing field instrument gedaan, voor het realiseren van een gelijk speelveld op de interne markt om in te kunnen grijpen bij verstorende effecten van subsidies van derde landen. Mede op basis hiervan heeft de Europese Commissie in de zomer van 2020 een witboek gepresenteerd over het gelijktrekken van het speelveld op de interne markt in relatie tot overheidssubsidies uit derde landen. Zie in dit verband ook de kabinetsreactie op het Commissievoorstel COM (2020 253 – Witboek over buitenlandse subsidies op de interne markt)10. Een concreet wetgevend voorstel wordt verwacht in het tweede kwartaal van 2021.
De Europese aanbestedingsrichtlijnen bieden aanbestedende diensten mogelijkheden voor omgang met inschrijvingen met een abnormaal lage prijs. In Nederland zijn die richtlijnen omgezet in de Aanbestedingswet 2012. Aanbestedende diensten moeten op basis van artikel 2.116 van die wet bij een inschrijving die abnormaal laag lijkt, nader onderzoek doen door de betreffende onderneming te vragen om uitleg over hoe de prijs tot stand is gekomen. Wanneer een inschrijver het lage niveau van de voorgestelde prijs niet goed kan onderbouwen met bewijsmateriaal, kan de aanbestedende dienst deze inschrijving ter zijde leggen. Abnormaal lage inschrijvingen als gevolg van niet-naleving van verplichtingen op het gebied van milieu, sociaal en arbeidsrecht moeten zelfs door de aanbestedende dienst ter zijde worden gelegd. Dit geldt voor alle inschrijvingen, ongeacht het land van herkomst van de inschrijver. Dit draagt bij aan een gelijk speelveld voor ondernemers. De Europese richtlijnen bieden aanbestedende diensten momenteel geen mogelijkheden om ongeoorloofde staatssteun uit derde landen mee te nemen in de aanbestedingsprocedure. In het witboek stelt de Commissie een mogelijke toekomstig instrument voor, dat voorziet in een meldplicht voor ondernemingen die mogelijk overheidsondersteuning uit een derde land genieten wanneer zij op de interne markt inschrijven op een aanbesteding.
Vraag 9

Deelt u de mening van de experts waar NRC mee sprak dat, ondanks de toezegging van de douane dat de scans in eigen beheer worden geëxploiteerd op een gesloten datanetwerk, de beveiliging van de Nuctech scanners toch kwetsbaar is? Zo nee, waarom niet?

In algemene zin valt te zeggen, dat een maatregel zoals het afsluiten van het netwerk altijd onderdeel is van een breed pakket van beheersmaatregelen die zowel preventie, detectie als (incident) response omvatten.
Zoals bij vraag 4 is aangegeven, laat de Douane een externe audit uitvoeren op de scan- en detectiesystemen en daaraan gerelateerde IT-inrichting, om te verzekeren dat de scan- en detectieprocessen zo veilig mogelijk zijn ingericht. Het doel van het onderzoek is om inzicht te verschaffen in het niveau van de informatiebeveiliging van de scan- en detectiesystemen en daaraan gerelateerde IT-inrichting. Ook wil de Douane geïnformeerd worden over mogelijke risico’s en advies over eventuele mitigerende maatregelen. Daarnaast wordt in samenspraak met andere relevante overheidspartijen een aanvullend onderzoek uitgevoerd, waarin de resultaten van deze externe audit worden meegenomen.
Vraag 10

Klopt het dat monteurs van defecte scanners in principe een mobiele dataverbinding met het hoofdkantoor kunnen opzetten om zo de problemen snel te verhelpen? Zo ja, bent u bereid om de deze mogelijkheden stop te zetten?

In geval van software storingen wordt bij scanners die hierover beschikken gebruik gemaakt van een remote verbinding. Dit betreft ongeveer een derde van de storingen op deze scans. Monteurs kunnen hierbij een storing met behulp van een beveiligde verbinding op afstand oplossen om de storing zo snel mogelijk te verhelpen.
Zoals ook vermeld bij de beantwoording van vraag 4 en 9, laat de Douane een externe audit uitvoeren op de scan- en detectiesystemen en daaraan gerelateerde IT-inrichting, om te verzekeren dat de scan- en detectieprocessen zo veilig mogelijk zijn ingericht. Daarnaast wordt in samenspraak met andere relevante overheidspartijen een aanvullend onderzoek uitgevoerd, waarin de resultaten van deze externe audit worden meegenomen. De remote verbinding voor onderhoud wordt in afwachting van het extern onderzoek niet stilgezet, omdat het opheffen hiervan het risico met zich meebrengt dat scanapparatuur langdurig in storing blijft staan. Als dat gebeurt kent het scanproces geen voortgang en nemen de risico’s op de invoer van verdovende middelen toe.
Vraag 11

Deelt u de mening van de aangehaalde experts dat het feit dat de servers van verschillende scannerfabrikanten in één ruimte zijn gehuisvest een kwetsbaarheid met zich meebrengt? Zo ja, bent u bereid om de servers van elkaar te scheiden? Zo nee, waarom niet?

Deze mogelijke kwetsbaarheid is eerder gesignaleerd en daarom is het initiatief gestart om de beveiliging van deze servers te optimaliseren. In 2021 wordt de ruimte waarin de verschillende servers staan omgebouwd naar een computerruimte met alle bijbehorende aanvullende veiligheidsmaatregelen. Als het externe onderzoek van de Douane daartoe aanleiding geeft, zullen tevens aanvullende aanpassingen worden verricht.
Vraag 12

Hoe is het toegangsbeheer tot de scanners, zowel tot die van Nuctech als tot die van andere leveranciers, geregeld?

Monteurs hebben zelfstandig toegang tot de scanapparatuur. De monteur staat altijd geregistreerd bij de Douane bij onderhoud aan de scanners. Bij preventief (gepland) onderhoud zijn de bezoeken contractueel vastgelegd, in overleg met de Douane en de containerterminal. Als de monteur correctief (ongepland) onderhoud bij een storing moet uitvoeren, wordt er een werkvergunning bij de containerterminal aangevraagd. In beide gevallen vindt het onderhoud plaats in afstemming met medewerkers van Douane. Tevens zijn bij alle scans op de containerterminals camera’s geïnstalleerd waarmee de systeemoperator van de Douane zicht heeft op de scanapparatuur. In het geval dat de monteur in de serverruimte van het Douanekantoor Maasvlakte moet zijn, moet de monteur zich altijd melden bij de systeemoperator van Douane. Die verleent de monteur toegang aan de serverruimte.
Vraag 13

Klopt het dat een Verklaring Omtrent het Gedrag (VOG) volstaat om toegang te krijgen tot de scanners in de haven, terwijl de toegang tot gevoelige apparatuur op Schiphol een Verklaring van Geen Bezwaar (VGB) vereist? Zo ja, wat is de reden voor dit verschil?

Er zijn geen uniforme eisen aan de toegang tot apparatuur voor havens en luchthavens. Onder andere op basis van de locatie en de toepassing van apparatuur wordt aan de hand van het risico vastgesteld wat voor restricties er gelden voor fysieke toegang tot de apparatuur en wat er nodig is om informatie te beveiligen.
Vraag 14

Klopt het ook dat de aanbestedingseisen op het gebied van cybersecurity voor ict-apparatuur op de luchthavens strenger zijn dan die voor ict-apparatuur in de havens? Zo ja, wat is de reden voor dit verschil? Bent u bereid om de aanbestedingseisen voor de havens aan te scherpen?

Zoals genoemd in het antwoord op vraag 5 is het beleid van de rijksoverheid dat nationale veiligheidsoverwegingen worden meegewogen bij de inkoop en aanbesteding van producten en diensten relevant. Bij de aanschaf van gevoelige apparatuur zal volgens dit beleid bij aanschaf en implementatie rekening gehouden worden met zowel eventuele risico’s in relatie tot de leverancier, als met het concrete gebruik van de systemen, bijvoorbeeld waar het gaat om de toegang tot systemen door derden. Dit geldt zowel voor de apparatuur van de rijksoverheid op havens als op luchthavens.
Voor bedrijven worden geen specifieke eisen gesteld vanuit de overheid ten aanzien van de aanbesteding voor de aanschaf van ICT-apparatuur op havens en luchthavens. Het in het antwoord op vraag 5 genoemde instrumentarium dat organisaties ondersteunt in het meewegen van nationale veiligheidsrisico’s bij inkoop en aanbesteding is ter beschikking gesteld aan organisaties die onderdeel vormen van de vitale processen.
Vraag 15

Klopt het dat beveiligingsprotocollen met betrekking tot het testen van apparatuur en het valideren van updates voor apparatuur op de luchthavens verregaander zijn dan die voor apparatuur in de havens? Zo ja, wat is de reden voor dit verschil? Bent u bereid om de beveiligingsprotocollen voor apparatuur in de havens aan te scherpen?

Er is geen uniform protocol voor havens of luchthavens ten aanzien van de beveiliging van netwerk- en informatiesystemen. De inhoud van een beveiligingsprotocol hangt sterk af van de te beschermen bedrijfsprocessen en de specifieke risico’s die daarbij een rol spelen. Aanscherping van een beveiligingsprotocol in de havens vraagt om maatwerk van de bedrijven in havens zelf. De overheid controleert het proces waarmee havens en luchthavens risico’s in kaart brengen en maatregelen vaststellen om mogelijke risico’s te beheersen.

9 februari 2021 - 18 maart 2021

37 dagen

Berichten die bij de SP-fractie zijn binnengekomen over compensatie voor vergunninghouders radiofrequenties
	Frank Futselaar
	Mona Keijzer (staatssecretaris economische zaken) (CDA)

Bronnen

1. N.a.v. berichten die bij de SP-fractie zijn binnengekomen over compensatie voor vergunninghouders radiofrequenties, lijst met afzenders onderhands meegezonden

Vraag 1

Kunt u een overzicht geven van het onderzoek naar de mogelijkheid om voor vergunninghouders van landelijke, regionale en lokale FM-frequenties, ter compensatie van de coronacrisis, de vergunning te verlengen met tenminste twee jaar?1

In de motie Van den Berg c.s.2 wordt de regering verzocht om in overleg met de sector te komen tot een verlenging van de bestaande FM-licenties voor commerciële radiostations. In mijn brief aan uw Kamer van 11 november 20203 heb ik u laten weten dat in reactie op deze motie overga tot een tijdelijke (nood)verlenging van de bestaande commerciële radiovergunningen voor FM met een termijn van minimaal twee jaar tot 1 september 2024. Deze termijn kan oplopen tot drie jaar indien na onderzoek duidelijk wordt dat een dergelijke termijn proportioneel is in verhouding tot het gestelde doel.
Een van de elementen die voor de verlenging van de bestaande vergunningen noodzakelijk is, is de berekening van de verlengingsprijzen. Ik heb daartoe aan SEO Economisch Onderzoek te Amsterdam (SEO) opdracht verstrekt. De verwachting is dat in april, begin mei er meer duidelijkheid ontstaat over de hoogte van de verlengingsprijzen en de vergunningen voor welke deze prijzen moeten gaan gelden. Het gaat hierbij conform de motie om bestaande FM-vergunningen voor landelijk en regionaal gebruik met daaraan gekoppeld spectrum voor digitale radioomroep.
Vraag 2

Kunt u aangeven of het klopt dat deze compensatie geen tegemoetkoming biedt voor vergunninghouders met een vergunning voor Laagvermogen Middengolf (LM)? Zo nee, kunt u aangeven op welke wijze vergunninghouders met een LM-vergunning worden gecompenseerd? Zo ja, bent u bereid te onderzoeken op welke wijze deze vergunninghouders wel kunnen worden gecompenseerd?

De radiosector heeft zelf aangegeven dat zij in plaats van overheidssteun in de vorm van geld graag hun bestaande FM-vergunningen verlengd wilde hebben4. De sector heeft aangegeven dat het op deze wijze makkelijker wordt om additionele financiering rond te krijgen om daarmee de coronacrisis door te komen.
Zoals hierboven reeds aangegeven heb ik aan de wens van de sector en uw Kamer gehoor gegeven en wordt er uitvoering gegeven aan de motie Van den Berg c.s. teneinde tijdig de noodzakelijke verlengbaarheidsbesluiten te kunnen publiceren.
De vergunningen voor Laagvermogen Middengolf (LM) zijn op volgorde van binnenkomst uitgegeven voor een termijn van vijf jaar en worden normaliter op grond van artikel 3.17 van de Telecommunicatiewet na afloop van de vergunningstermijn van rechtswege met een periode van vijf jaar verlengd5. Aangezien voor deze vergunningen een ander wettelijk regime van toepassing is, is hiervoor geen afzonderlijk verlengbaarheidsbesluit noodzakelijk en zal er ook geen verlengingsprijs in rekening worden gebracht. Het onderzoek van SEO strekt zich dan ook niet uit tot deze vergunningen.
De vergunninghouders van LM kunnen dus van hun vergunningen gebruik blijven maken. Daarnaast kunnen alle radiopartijen -waaronder de vergunninghouders van LM – gebruik maken van het bestaande pakket aan steunmaatregelen. Het steun- en herstelpakket voor economie en arbeidsmarkt is op 21 januari 20216 verder verruimt om bedrijven zoveel mogelijk te ondersteunen in deze moeilijke tijden. Ik zie dan ook geen redenen om deze categorie vergunninghouders op een afzonderlijke wijze te compenseren.
Vraag 3

Kunt u aangeven of, en zo ja op welke wijze, ook lokale vergunninghouders van Digital Audio Broadcasting (DAB) worden meegenomen bij het onderzoek naar de mogelijkheid deze te compenseren voor de gevolgen van de coronacrisis?

Conform het advies van de Taskforce Radio is om vooruitlopend op de afronding van de internationale onderhandelingen een gedeelte van de digitale laag 6 tijdelijk uit te gegeven voor lokaal gebruik. Het uitgeven van laag 6 (of gedeeltes daarvan) vooruitlopend op de definitieve resultaten van de internationale frequentiecoördinatie heeft wel als consequentie dat het onzeker is of hetgeen tijdelijk aan frequentierechten wordt uitgegeven, overeenstemt met het uiteindelijke resultaat van de onderhandelingen. Er is daarom gekozen voor een tijdelijke uitgifte tot en met uiterlijk 31 augustus 2022. Na deze termijn zal de beschikbare frequentieruimte opnieuw worden uitgegeven onder nieuwe voorwaarden conform de resultaten van de internationale onderhandelingen. Dit betekent dat na 31 augustus 2022 de lokale commerciele digitale vergunningen niet verlengd kunnen worden. Deze vergunningen maken derhalve evenmin onderdeel uit van het door SEO uitgevoerde onderzoek naar de verleningsprijzen.
Vraag 4

Deelt u de mening dat ook kleine vergunninghouders (LM & DAB) worden getroffen door teruglopende inkomsten als gevolg van de coronacrisis? Zo nee, waarom niet?

De coronacrisis is inmiddels verworden tot ook een langlopende economische crisis, waarbij veel ondernemers en werkenden hard zijn getroffen, zo ook de kleine vergunninghouders (LM & DAB). Ook het kabinet blijft zich daarom in deze moeilijke fase in de bestrijding van het coronavirus onverminderd inspannen om baanbehoud en bedrijvigheid te ondersteunen. Het is om deze reden dat het kabinet besloten heeft het steunpakket voor banen en economie banen en economie fors uit te breiden7.
Vraag 5

Deelt u de mening dat, omdat de LM-vergunningen in principe al verlengd worden en een verlenging voor lokale DAB-frequenties wellicht onmogelijk is omdat het misschien in 2028 stopt, er een andere vorm van compensatie nodig is? Zo nee, waarom niet?

Op 5 oktober 20208 heeft het onafhankelijk Adviescollege «Toekomstbeleid Commerciële Radio» advies uitgebracht. De verschillende vraagstukken in het radiodossier, waaronder het toepasselijk verdeelinstrument, zijn in samenhang met elkaar door dit college onderzocht. Ook lag bij dit college de vraag voor wanneer afschakeling van frequentieruimte voor commerciële analoge radio aan de orde is. Het college constateert dat de toekomst van radiodistributie onmiskenbaar in het digitale domein lig. Conform het advies van de Taskforce Radio ben ik overgegaan tot de uitgifte van een extra landelijke digitale laag (laag 7) en zal in 2022 ook de digitale laag 6 – die beter geschikt is voor lokaal gebruik – definitief worden uitgegeven. Op deze wijze zal de transitie van analoge naar digitale radioomroep geleidelijk vorm worden gegeven. Belangstellenden voor een vergunning voor digitale radio met lokaal bereik kunnen bij de start van de aanvraagperiode in 2022 een aanvraag indienen en hebben op deze wijze de mogelijkheid om een vergunning voor een langere periode te verkrijgen. Bij de tijdelijke uitgifte van de lokale DAB frequenties tot 1 september 2022 is hierover duidelijk gecommuniceerd richting partijen. Het toekennen van compensatie – al dan niet op basis van de coronacrisis – is niet in lijn hiermee.
Vraag 6

Bent u bereid deze vergunninghouders een alternatieve vorm van compensatie te bieden, bijvoorbeeld door een tijdelijke vrijstelling van de kosten voor het Commissariaat voor de Media en het Agentschap Telecom? Zo nee, waarom niet?

Ook deze vergunninghouders kunnen gebruik maken van het bestaande pakket aan steunmaatregelen dat nog doorloopt tot het tweede kwartaal van 2021. Een tijdelijke vrijstelling van de (toezichts)kosten verschuldigd aan Agentschap Telecom is daarom niet aan de orde. Voor vrijstelling van de kosten voor het Commissariaat voor de Media moeten partijen zich wenden tot de Minister voor Basis- en Voortgezet Onderwijs en Media.

Titel

Status

Indiener (persoon)

Indiener (partij)

Onderwerpen

598 kamervragen gevonden

beantwoord onbeantwoord uitgesteld

Alle

19 mei 2021 - 5 juli 2021

47 dagen

Gijs van Dijk (PvdA)

Bas van 't Wout (VVD)

Bronnen

Vraag 1

Vraag 2

Vraag 3

Vraag 4

Vraag 5

Vraag 6

Vraag 7

Vraag 8

Vraag 9

Vraag 10

Vraag 11

7 mei 2021 - 3 juni 2021

27 dagen

Barbara Kathmann (PvdA)

Kajsa Ollongren (viceminister-president , minister binnenlandse zaken en koninkrijksrelaties) (D66)

Bronnen

Vraag 1

Vraag 2

Vraag 3

Vraag 4

Vraag 5

Vraag 6

Vraag 7

20 april 2021 - 12 mei 2021

22 dagen

Lisa van Ginneken (D66), Tjeerd de Groot (D66)

Cora van Nieuwenhuizen (minister infrastructuur en waterstaat) (VVD)

Vraag 1

Vraag 2

Vraag 3

Vraag 4

Vraag 5

Vraag 6

19 april 2021 - 29 juni 2021

71 dagen

Inge van Dijk (CDA)

Mona Keijzer (staatssecretaris economische zaken) (CDA)

Bronnen

Vraag 1

Vraag 2

Vraag 3

Vraag 4

Vraag 5

Vraag 6

Vraag 7

Vraag 8

Vraag 9

14 april 2021 - 28 mei 2021

44 dagen

Barbara Kathmann (PvdA)

Ferdinand Grapperhaus (minister justitie en veiligheid) (CDA)

Bronnen

Vraag 1

Vraag 2

Vraag 3

Vraag 4

Vraag 5

Vraag 6

Vraag 7

Vraag 8

Vraag 9

13 april 2021 - 26 mei 2021

43 dagen

Daniel Koerhuis (VVD)

Kajsa Ollongren (viceminister-president , minister binnenlandse zaken en koninkrijksrelaties) (D66)

Bronnen