Vraag 1

Bent u bekend met het bericht «Omstreden Chinese camera's hangen overal in Nederland, ook bij ministeries»?1

Ja

Vraag 2

Klopt het dat het gaat om camera’s van de Chinese merken Hikvision en Dahua en dat zij onder andere overheidsgebouwen in beeld brengen? Zo ja, om hoeveel camera’s gaat het? Waar staan deze camera’s? Staan deze camera’s ook voor overheidsgebouwen waarbij anonimiteit belangrijk kan zijn zoals bij defensie en de inlichtingendiensten?

De Nederlandse overheid maakt gebruik van Chinese camera’s. Het is niet bekend om hoeveel camera’s het specifiek gaat. Zoals in het antwoord op vragen 4 en 5 wordt geschetst, gelden er overheidsbreed kaders en beleid voor aanschaf en gebruik van (digitale) producten en diensten, zoals camera’s, waarbij ook rekening gehouden moet worden met (eventuele) risico’s voor nationale veiligheid. Over welke beveiligingsmaatregelen al dan niet worden getroffen bij de gebouwen van de inlichtingen- en veiligheidsdiensten en welke apparatuur daarvoor wordt gebruikt, worden in het openbaar geen uitspraken gedaan.

Vraag 3

De politie heeft inmiddels bevestigd dat er vorig jaar bijna 700 camera’s van Dahua zijn aangeschaft2; klopt dit? Zo ja, was de politie zich al bewust van de veiligheidsrisico’s bij de aanschaf van deze camera’s? Zo ja, waarom zijn dan toch deze camera’s aangeschaft? Zo nee, kunt u een tijdlijn schetsen van de aanschaf van Chinese camera’s door de politie van de afgelopen jaren? Zo nee, waarom niet?

De politie heeft bevestigd dat het klopt dat zij circa 700 camera’s van Dahua heeft aangeschaft, die over een periode van 7 jaar zullen worden afgenomen. In de aanbesteding zijn eisen met betrekking tot informatiebeveiliging en privacy opgenomen en de inzet van de camera’s zijn voornamelijk gericht op verkeerstoezicht. De politie heeft bij de aanbesteding van de camera’s en bij de toepassing daarvan geen risico’s voor de nationale veiligheid voorzien. Voor de gehele overheid geldt onder meer voor de aanschaf van digitale producten en diensten de Baseline Informatiebeveiliging Overheid (BIO). Mede gelet hierop worden hiervoor bij de inkoop en aanbesteding van digitale producten en diensten, waaronder genoemde camera’s, waarbij mogelijk veiligheidsrisico’s aan de orde zijn, eisen met betrekking tot informatiebeveiliging en privacy gesteld als voorwaarden aan de (mogelijke) opdrachtnemer. Alle merken en type camera’s die voldoen aan de gestelde eisen kunnen worden aangekocht. Op 8 juli 2020 is deze aanbesteding gepubliceerd op Tenderned. Op 27 november 2020 is deze opdracht gegund. In mei 2021 is gestart met de ingebruikneming van deze camera’s.

Vraag 4

In hoeverre lagen bepaalde productspecificaties zoals de prijs en de veiligheid ten grondslag aan het besluit om camera’s van Hikvision en Dahua aan te schaffen en te plaatsen bij overheidsgebouwen?

In relatie tot nationale veiligheidsrisico’s bestaat er overheidsbeleid dat voorschrijft dat nationale veiligheidsoverwegingen worden meegewogen bij de inkoop en aanbesteding van producten en diensten. Bij de aanschaf en implementatie van gevoelige apparatuur of programmatuur wordt volgens dit beleid rekening gehouden met zowel risico’s in relatie tot een leverancier, als met het concrete gebruik van de systemen, bijvoorbeeld als het gaat om de toegang tot systemen door derden. Bij elke casus wordt door de overheidsorganisatie bezien of en hoe risico’s beheersbaar kunnen worden gemaakt en of daartoe te nemen maatregelen proportioneel zijn. Afwegingen rondom de aanschaf en ingebruikname van ICT- producten en diensten zijn de eigen verantwoordelijk van de organisaties die tot aanschaf overgaan. Dat betekent dat overheidsorganisaties zelf risicoafwegingen uitvoeren voordat (digitale) producten en diensten van een leverancier, zoals beveiligingscamera’s, worden afgenomen en bepalen aan welke (beveiligings)eisen een leverancier moet voldoen om voor verlening van een opdracht in aanmerking te komen. Daarnaast geldt voor de gehele overheid voor de aanschaf van digitale producten en diensten de Baseline Informatiebeveiliging Overheid (BIO). De BIO kent een risicogebaseerde aanpak met een concrete set aan eisen als ondergrens. Uitgangspunt is onder meer ook de eigen verantwoordelijkheid van overheidsorganisaties.

Vraag 5

Aan welke eisen, die betrekking hebben op cyberspionage, wordt getoetst bij de aanschaf van camera’s bij overheidsgebouwen? Voldoen de camera’s van Hikvision en Dahua aan deze eisen?

Zie antwoord vraag 4.

Vraag 6

Was bij het moment van aankoop ook al bekend dat China eventueel een achterdeur in een camerasysteem van Hikvision of Dahua zou kunnen bouwen? Zo ja, welke maatregelen zijn hiertegen getroffen? Zo nee, op basis waarvan is de inschatting gemaakt dat het veilig was om deze camera’s aan te schaffen?

Het Ministerie van BZK zal in samenwerking met andere overheidspartijen onderzoek doen naar mogelijke nationale veiligheidsrisico’s bij het gebruik binnen de rijksoverheid van camera’s afkomstig van partijen uit landen met een offensief cyberprogramma richting Nederland. Doordat het onderzoek zich specifiek richt op het gebruik van camera’s binnen de rijksoverheid staat het los van de aanbesteding van de politie. De toepassing van de camera’s en bijvoorbeeld de manier waarop zij in de bredere infrastructuur zijn ingebed zal per geval verschillen. Zoals ook in het antwoord op vraag 4 en 5 wordt geschetst, bestaat er overheidsbeleid dat voorschrijft dat nationale veiligheidsoverwegingen worden meegewogen bij de inkoop en aanbesteding van producten en diensten. Of en hoe risico’s voor de nationale veiligheid beheersbaar zijn, zal dus per geval worden beoordeeld door de organisaties zelf, zoals de politie, die ook eventuele maatregelen zelf nemen.

Vraag 7

Is het technisch mogelijk voor China om mee te kijken, live of achteraf? Zo ja, hoe dan? Zo nee, is die mogelijkheid er helemaal niet of is hij sofwarematig dichtgezet?

Het Dreigingsbeeld Statelijke Actoren (DBSA)3 geeft een overzicht van de belangrijkste dreigingen vanuit China in relatie tot de vitale infrastructuur en de (rijks)overheid. Daarbij wordt ook ingegaan op het risico op digitale spionage- en sabotagemogelijkheden via technologische toeleveringen.
Zoals gesteld in het antwoord op vraag 6 zal het Ministerie van BZK in samenwerking met andere overheidspartijen onderzoek doen naar mogelijke nationale veiligheidsrisico’s vanwege het gebruik binnen de rijksoverheid van camera’s afkomstig van partijen uit landen met een offensief cyberprogramma richting Nederland. Bovenstaande vragen zullen bij dit onderzoek worden betrokken.
In het debat met uw Kamer op 22 maart 2022, heeft de Staatssecretaris voor Koninkrijksrelaties en Digitalisering verder toegezegd om onderzoek te doen naar inkoopeisen en -richtlijnen op het terrein van cyberveiligheid, in het bijzonder als het gaat om producten en diensten voornamelijk van partijen uit landen met een offensief cyberprogramma richting Nederland. Op 5 april 2022 is in aanvulling daarop door uw Kamer een motie aangenomen om bij dit onderzoek ook te kijken naar de vitale infrastructuur. Uw Kamer zal hierover na afronding van het onderzoek worden geïnformeerd. Op de uitkomsten van het onderzoek kan nu niet vooruit worden gelopen.

Vraag 8

Hoe groot acht de Minister de kans dat China meekijkt of mee heeft gekeken via deze camera’s? Op basis waarvan maakt de Minister deze inschatting?

Zie antwoord vraag 7.

Vraag 9

In de Verenigde Staten is de inzet van Hikvision- en Dahua-camera’s bij overheidsgebouwen verboden. Daarnaast heeft het Europees parlement eerder besloten om camera’s van Hikvision niet meer te gebruiken. Waarom heeft Nederland hier nog niet voor gekozen?

Elk land of internationale organisatie maakt hierin zijn eigen afweging. Voor Nederland geldt dat het staand beleid bij inkoop en aanbesteding is dat er per casus wordt bezien of er in relatie tot producten en diensten risico’s zijn voor de nationale veiligheid, en zo ja, of en hoe deze beheersbaar kunnen worden gemaakt. De mogelijke nationale veiligheidsrisico’s in verband met het gebruik van camera’s, die afkomstig zijn uit landen met een offensief cyberprogramma richting Nederland, binnen de rijksoverheid zullen, zoals hierboven aangegeven, worden onderzocht.

Vraag 10

Deelt u de mening dat bedrijven uit staten die een offensief cyberprogramma tegen Nederland uitvoeren niet geschikt zijn om camera’s te leveren die zijn opgesteld bij organisaties die een aantrekkelijk doelwit van een dergelijk offensief programma vormen?

Zie antwoord vraag 7.

Vraag 11

Zijn er Europese alternatieven in de markt? Zo, ja bent u het eens met het standpunt dat het verstandig kan zijn om die in te zetten? Zo nee, bent u het ermee eens dat het wenselijk is dat er Europese alternatieven zijn, ook op het gebied van technologie?

Voor Nederlandse organisaties is het wenselijk dat zij gebruik kunnen maken van kwalitatief hoogwaardige producten en diensten, ook van buitenlandse leveranciers. Nederlandse overheden blijven op verantwoorde wijze, met inachtneming van de nationale aanbestedingswetgeving, gebruik maken van de voordelen van de internationale markt voor veiligheidsapparatuur, door per situatie de risico’s voor de nationale veiligheid in kaart te brengen en dat te laten meewegen in de selectie van de betreffende aanbieder.
Desondanks kunnen er redenen zijn om bepaalde producten en technologieën in Nederland of in Europa te willen kunnen ontwikkelen en beschikbaar maken. Dit kan van belang zijn om de weerbaarheid van Nederland en de EU te vergroten, of om de EU het vereiste handelingsvermogen te geven om de eigen veiligheidsbelangen te beschermen. Dit kan via verschillende maatregelen: van handelsverdragen met gelijkgezinde landen, tot het direct stimuleren van de eigen industrie. Hierbij verwijzen wij dan ook graag naar de brief aan uw Kamer over onderzoek naar strategische afhankelijkheden en kwetsbaarheden in Nederland, waar dieper ingegaan wordt op de beleidsopties om onze weerbaarheid te versterken.4

Vraag 12

Bent u het ermee eens dat we de cyberdreiging vanuit China serieus moeten nemen en daarom kritisch moeten kijken naar de aanschaf en inzet van niet Europese hardware en software voor gevoelige zaken zoals het filmen van overheidsgebouwen? Zo ja, welke stappen gaat u ondernemen? Zo nee, waarom niet?

Ja, deze dreiging moet serieus worden genomen. De AIVD waarschuwt regelmatig voor de risico’s van het gebruik van hard- en software afkomstig uit landen met een offensief cyberprogramma gericht tegen Nederlandse belangen (zoals China) bij de uitwisseling van gevoelige informatie of in vitale infrastructuur. Het is van groot belang dat we ongewenste activiteiten van statelijke actoren tegengaan. Daarom werken we aan een aanpak om de weerbaarheid tegen statelijke dreigingen te verhogen. In het Dreigingsbeeld Statelijke Actoren en de kabinetsreactie hierop wordt nader ingegaan op deze dreiging en de maatregelen die we hiertegen nemen5. Verder verwijzen wij u naar het antwoord op vraag 4 en 5, waarin wordt ingegaan op de relevante kaders en beleid binnen de rijksoverheid als het gaat om aanschaf en gebruik van (digitale) producten en diensten.

Vraag 13

Hoe verhoudt het antwoord op de Kamervragen van het lid van Helvert (Aanhangsel Handelingen II, vergaderjaar 2020–2021, nr 2310), die de Kamer zijn toegezonden op 13 april 2021 (waarin staat dat het kabinet de Europese Commissie, de Europese Dienst voor Extern Optreden (EDEO) en het Europees parlement heeft gewezen op de kwetsbaarheid van het gebruik van Hikvision-camera’s) zich tot het gebruik van camera’s van dit bedrijf door Nederlandse ministeries zelf? Zou het kabinet deze waarschuwing niet ook aan zichzelf moeten richten?

In hoeverre er bij het gebruik van camera’s van bijvoorbeeld Hikvision en Dahua sprake is van nationale veiligheidsrisico’s die met concrete beheersmaatregelen gemitigeerd kunnen worden is onderwerp van het in het antwoord op vraag 6 genoemde onderzoek.

Vraag 14

Kunt u uitsluiten dat deze camera’s een veiligheidsdreiging vormen voor de Oeigoerse diaspora in Nederland? Welke veiligheidsmaatregelen heeft u hiertoe genomen of bent u voornemens te nemen?

Zoals aangegeven in de antwoorden op vragen van de leden Dekker-Abdulaziz en Van Ginneken, zijn voor zover ons bekend er momenteel geen aanwijzingen dat China deze camera’s gebruikt om bepaalde minderheidsgroepen in Nederland te monitoren. Mocht dit in de (nabije) toekomst wel het geval zijn, dan is er naar het oordeel van het kabinet sprake van ongewenste buitenlandse inmenging en heeft het kabinet verschillende instrumenten tot haar beschikking, zoals uiteengezet in de brief van 16 maart 2018 over de aanpak ongewenste buitenlandse inmenging6.

Vraag 15

Bent u bekend met het feit dat de Amerikaanse overheid heeft verboden te investeren in Hikvision vanwege de banden van het bedrijf met het Chinese leger? Heeft u hierover contact gehad met Amerika, met name in het kader van mogelijke veiligheidsdreigingen? Zo nee, bent u alsnog bereid dit te doen?

Het kabinet is bekend met het besluit van 9 oktober 2019 om Hikvision op de zgn. Entity List te plaatsen omdat Hikvision volgens de VS het mogelijk maakt dat er mensenrechtenschendingen plaatsvinden in Xinjiang. Als gevolg van deze listing zijn Amerikaanse toeleveranciers verplicht om vergunningen aan te vragen voordat ze handelen met Hikvision. Europese en Nederlandse sanctiewetgeving voorzien niet in de mogelijkheid van een Entity List. Nederland erkent de risico’s van het gebruik van cybersurveillance items in relatie tot schendingen van mensenrechten en het internationaal humanitair recht, blijkens ons exportcontrolebeleid, en werkt hierop nauw samen met de VS, zowel bilateraal als in EU-verband.

Vraag 16

Bent u bereid om met China in gesprek te treden over het belang van privacy- en veiligheidsstandaarden in technologie en dat toegang van de Chinese staat tot gevoelige data niet acceptabel is?

Nederland en de EU spreken in verschillende verbanden, waaronder binnen de VN, met China over dataveiligheid. Centraal hierbij staat de bescherming van privacy, zoals het voldoen aan eisen, zoals neergelegd in de AVG, bescherming van mensenrechten en het tegengaan van ongepaste toegang van overheden tot datagegevens. Zoals aangegeven in de Notitie «Nederland-China: Een nieuwe balans» (Kamerstuk 35 207, nr. 1) staat het kabinet achter striktere handhaving en sterker uitdragen van bestaande standaarden en normen, zoals de Europese regelgeving op het gebied van data, bescherming van persoonsgegevens en privacy en productveiligheid.

Vraag 1

Bent u bekend met bovenstaande berichtgeving?1

Ja.

Vraag 2

Bent u ervan op de hoogte dat Nederlandse servers worden misbruikt door Rusland om cyberaanvallen uit te voeren in Oekraïne? Hoe beoordeelt u dit?

Het is bekend dat Nederlandse servers en infrastructuur misbruikt worden door criminelen voor het plegen van strafbare feiten, zoals DDoS- en ransomware-aanvallen. Dit is onwenselijk. Nederland heeft in vergelijking met andere EU-landen een relatief grote hosting sector. Dit heeft te maken met de uitstekende digitale infrastructuur waarover Nederland beschikt: het internet is betrouwbaar en snel. Zowel nationaal als internationaal maken personen, bedrijven en organisaties gebruik van de Nederlandse infrastructuur. Naast legitieme klanten, kunnen criminelen en andere kwaadwillenden misbruik maken van de Nederlandse hostingsector. De hostingprovider is zich hier niet altijd van bewust. Daarnaast bestaan er zogenaamde «bulletproof» hosters, die hun klanten willens en wetens faciliteren bij hun strafbare gedrag. Verder ziet Nederland het zorgvuldigheidsbeginsel als een verplichting binnen het internationaal recht. Zie hiervoor verder de kamerbrief Tegenmaatregelen ransomware-aanvallen van de Minister van Buitenlandse Zaken.2

Vraag 3

Hoeveel Nederlandse servers zijn de afgelopen weken misbruikt vanuit Rusland om cyberaanvallen uit te voeren? Heeft u een beeld om welke servers het gaat? Zo ja, zijn er stappen genomen om deze servers uit de lucht te halen? Zo nee, waarom niet?

Dergelijke digitale aanvallen worden uitgevoerd vanuit command-and-control servers. Deze staan wereldwijd in datacenters, waaronder ook in Nederland. Voor datacenters is het vrijwel onmogelijk om te controleren welke servers voor dergelijke malafide doeleinden worden ingezet. Voor elke aanval zou specifiek technisch onderzoek nodig zijn om te achterhalen via welke servers een aanval is uitgevoerd. Dergelijk technisch onderzoek is niet bij elke aanval mogelijk, vanwege de capaciteit die dit kost en gezien het aantal (pogingen tot) aanvallen.

Vraag 4

Klopt het dat Rusland ongezien Nederlandse servers kon huren voor zijn activiteiten en zo ongestoord cyberaanvallen kon uitvoeren op Oekraïne? Zo ja, in hoeverre worden huurders gescreend bij hostingbedrijven door hostingbedrijven zelf? Zijn hostingbedrijven verplicht om huurders te screenen? Zo ja, gebeurt dit ook en hoe vindt de controle plaats dat dit ook gebeurt? Zo nee, waarom niet?

Wie precies de servers heeft gehuurd voor de genoemde activiteiten is niet bekend. Het screenen van klanten door hostingproviders is geen wettelijke verplichting. Het gaat hier om private bedrijven, waarop in Nederland contractvrijheid van toepassing is. Zij mogen in beginsel zelf bepalen wie hun klanten zijn. Door de hostingsector is samen met het Ministerie van EZK een gedragscode opgesteld, om misbruik van hun servers tegen te gaan. Op EU-niveau heeft Nederland in het kader van de gesprekken over de Digital Services Act (DSA) gepleit voor het hierin opnemen van regels voor hostingproviders om crimineel misbruik te bemoeilijken, waaronder het vergaren van informatie over klanten. Hiervoor was onvoldoende steun.

Vraag 5

Welke rol speelt de politie in het screenen van huurders van hostingbedrijven? Wanneer screent de politie huurders van hostingbedrijven? Zijn hostingbedrijven verplicht om servers offline te halen als de politie hier melding van maakt? Zo ja, is dit ook afgelopen weken gebeurd? Zo nee, waarom niet?

Zoals bij vraag 4 is aangegeven, zijn hosters niet wettelijk verplicht om hun klanten te screenen. De politie heeft geen wettelijke bevoegdheden om klanten van hostingproviders te screenen. Daarnaast is het screenen van klanten een toezichtstaak die niet bij de politie thuis hoort. Bij vermoedens van illegale activiteiten op een server kan bij een hostingprovider een verzoek worden gedaan voor een vrijwillige notice-and-takedown. Indien de hoster daar geen gehoor aan geeft, kan de officier van justitie ter beëindiging van een strafbaar feit of ter voorkoming van nieuwe strafbare feiten een dienstverlener bevelen gegevens ontoegankelijk te maken (artikel 125p Wetboek van Strafvordering (Sv)) sturen naar een hostingprovider. Wanneer cybercriminelen gebruik maken van servers gehuurd bij buitenlandse resellers kan het doen van vorderingen worden bemoeilijkt, en daarmee het opsporingsonderzoek en het beëindigen van strafbare feiten.
Indien de politie weet heeft van strafbare feiten die via Nederlandse servers gepleegd worden, kan een opsporingsonderzoek worden gestart. Dit zal zich in beginsel richten op de plegers van strafbare feiten, zoals de daders van een ransomware-aanval. Het opsporingsonderzoek kan zich ook richten op de hostingprovider of de reseller, mits zij worden verdacht van een strafbaar feit.

Vraag 6

Bent u het met de VVD-fractie eens dat het ongebreideld door kunnen verhuren van hostingruimte door resellers het wel erg makkelijk kan maken voor kwaadwillenden om een online rookgordijn te creëren? Zo ja, wat wilt u hieraan doen en welke mogelijkheden hebben hostingbedrijven en politie om gegevens over resellers op te vragen? Zo nee, waarom niet?

Het is onwenselijk dat kwaadwillenden Nederlandse servers misbruiken voor bijvoorbeeld het plegen van cyberaanvallen. De hostingsector heeft de gedragscode «abuse-bestrijding» ontwikkeld, die als doel heeft het schoon en veilig houden van het Nederlandse internet. Hierin is onder meer opgenomen dat hosters hun klanten kennen. Het blijft echter mogelijk dat klanten van hostingproviders deze serverruimte weer doorverhuren. Verder deelt het Clean Networks Initiatief3 onder deelnemers geautomatiseerd actuele informatie over kwetsbaarheden en misbruik in de systemen van alle deelnemers, geprioriteerd op basis van urgentie en impact. Daarnaast is in 2020 het Anti Abuse Netwerk (AAN) opgericht. Deze coalitie van publieke en private partijen zet zich in voor de bestrijding van misbruik van de technische infrastructuur.
Recentelijk heeft de politie een lijst opgesteld met resellers die vaak laten doorschemeren of openlijk toegeven dat zij diensten leveren aan criminelen. Deze lijst is gedeeld met de Dutch Cloud Community (DCC). Zie hiervoor ook de beantwoording van de Kamervragen van het lid Rajkowski.4 Naar aanleiding van deze beantwoording heeft DCC laten weten dat een aantal leden met bepaalde klanten geen zaken meer doet.5
Momenteel is in EU-verband de triloog-fase van de Digital Services Act begonnen. Deze verordening dient onder meer ter vernieuwing van de huidige E-Commerce richtlijn. In het voorstel worden hostingaanbieders onder andere verplicht een toegankelijk notificatiemechanisme in te stellen waarbij illegale inhoud gemeld kan worden en wordt verduidelijkt dat hostingproviders hun beperking van aansprakelijkheid kunnen verliezen wanneer zij na een melding van illegale inhoud deze niet prompt verwijderen of ontoegankelijk maken. Het kabinet steunt de invoering van deze maatregelen.

Vraag 7

Bent u het met de VVD-fractie eens dat het zeer zorgelijk is dat onze uitstekende digitale infrastructuur wordt misbruikt door landen als Rusland om cyberaanvallen uit te voeren op Oekraïne en dat Nederland daarmee onbewust en indirect de Russische aanval faciliteert? Zo ja, bent u bereid om hostingbedrijven strenger te controleren al dan niet via de politie? Zo nee, waarom niet?

Het is zeer onwenselijk dat Nederlandse infrastructuur wordt misbruikt voor het plegen van cyberaanvallen. Dit geldt ook in het geval van kwaadwillende cyberoperaties tegen Oekraïne. Zoals eerder is aangegeven zijn hostingbedrijven niet wettelijk verplicht om hun klanten te controleren. Het controleren van hostingbedrijven is bovendien geen taak van de politie. Bij het tegengaan van misbruik van Nederlandse netwerken blijft het belangrijk dat de samenwerking wordt gezocht tussen de hostingsector en de politie.

Vraag 1

Bent u bekend met het bericht «Chinese douanescanners Schiphol en Rotterdamse haven onder vuur: «Dit is onbegrijpelijk»»? Wat is hierop uw reactie?1

Ja, wij zijn bekend met dit bericht. Wij verwijzen u naar de antwoorden van 19 april 2021 van de Minister van Justitie en Veiligheid en de Staatsecretaris van Financiën op de Kamervragen die hierover op 3 februari 2021, 4 februari 2021 en 15 februari 2021 zijn gesteld door, respectievelijk, de leden Yesilgöz-Zegerius en Lodders (VVD), Kuiken (PvdA) en Buitenweg (GroenLinks).2

Vraag 2

Wat vindt u van de situatie dat 26 van de 27 EU-lidstaten apparaten hebben geïnstalleerd van het Chinese bedrijf Nuctech, waarmee zij data kunnen verzamelen en die onderdeel zijn van de grensbewaking van vrijwel de gehele EU? Bent u het ermee eens dat dit zorgwekkend is?

Elke lidstaat maakt hierin zijn eigen afweging. Voor Nederland geldt dat het staande inkoopbeleid is dat er per casus wordt bezien of er risico’s zijn voor de nationale veiligheid en zo ja, of en hoe deze beheersbaar kunnen worden gemaakt. De mogelijke veiligheidsrisico’s in verband met het gebruik van buitenlandse toeleveranciers in de scan- en detectieprocessen van de Douane zijn op dit moment onderwerp van onderzoek. In het antwoord op vraag 8 en 9 wordt daar nader op ingegaan. Inzichten uit andere landen worden waar relevant meegenomen in dit onderzoek.

Vraag 3

Aan welke nationale en Europese eisen voor producten en diensten op het gebied van veiligheid en/of informatiedeling moeten deze systemen voldoen en voldoet de Nuctech-apparatuur hieraan? Welke instantie doet de certificering en de controle?

Apparatuur wordt door Douane aangeschaft via wettelijk voorgeschreven inkoopprocedures op grond van nationale aanbestedingswetgeving. In dat verband wordt getoetst of op een inschrijver wettelijke uitsluitingsgronden van toepassing zijn. Onderdeel daarvan is dat de leverancier bij het Ministerie van JenV een Gedragsverklaring aanbesteden (GVA) aanvraagt waaruit blijkt dat er geen bezwaren bestaan tegen het gunnen van overheidsopdrachten aan de inschrijvende partij. De leverancier verstrekt die GVA vervolgens aan Douane. Daarnaast maakt Douane sinds 2021 bij aanbestedingen gebruik van het instrumentarium om – voorafgaand aan de aanbesteding – risico’s voor nationale veiligheid bij inkoop en aanbesteding te adresseren. Dit is toegepast in twee actuele aanbestedingstrajecten en heeft niet geleid tot het oordeel dat er sprake is van aan aanbesteding verbonden risico’s voor de nationale veiligheid. Dit instrumentarium wordt toegelicht in het antwoord op de vragen 8 en 9.
Ook kunnen er afhankelijk van het soort apparatuur andere voorschriften gelden waaraan moet worden voldaan. Zo moet voor alle scanapparatuur die Douane aanschaft een vergunning in het kader van de Kernenergiewet worden aangevraagd bij de Autoriteit Nucleaire Veiligheid en Stralingsbescherming. In de situatie waarin de apparatuur moet worden beschermd door een gebouw, dient een bouwvergunning te worden aangevraagd. Bij de aanschaf van voertuigen dient een keuring door de RDW te worden afgegeven. Als er niet aan de eisen (kan) wordt voldaan, of als vergunningen niet worden verleend, wordt niet overgegaan tot gunning van de opdracht. Deze procedure geldt in relatie tot alle leveranciers, dus ook voor Nuctech.

Vraag 4

Kunt u bevestigen dat Nuctech banden heeft met de Chinese overheid?

Zoals aangegeven in de antwoorden op Kamervragen van Buitenweg (GroenLinks)3 kan in algemene zin worden gesteld dat de Chinese overheid nauw betrokken is bij het Chinese bedrijfsleven, zowel via staatsbedrijven als private bedrijven, en dat er sprake is van nauwe verwevenheid tussen civiele en militaire sectoren in China. Dit wordt ook beschreven in de beleidsnotitie «Nederland-China: een nieuwe balans»4. Specifiek zien we dat het Chinese staatsbedrijf China National Nuclear Corporation (CNNC) een aandeel heeft van 21% in de voornaamste aandeelhouder van Nuctech (Tongfang Co. Ltd., met een aandeel van 76%). Het CNCC heeft daarmee dus indirect ca. 16% aan aandelen in Nuctech.

Vraag 5

Kunt u bevestigen dat Nuctech zich bij aanbestedingen bedient van lage biedingen, goedkope onderhoudscontracten en gunstige (staats)leningen?

Nee, dat kunnen wij niet bevestigen. Aanbestedingen van Douane worden binnen de kaders van nationale aanbestedingswetgeving gegund op basis van een combinatie van prijs en kwaliteit, waarbij sinds 2021 het instrumentarium om risico’s voor nationale veiligheid bij inkoop en aanbesteding te adresseren wordt toegepast (zie ook de toelichting in het antwoord op vraag 8 en 9). In aanbestedingstrajecten is Nuctech in de meeste gevallen de aanbieder die de beste kwaliteit levert voor de meest aantrekkelijke prijs. Douane heeft geen inzicht in de basis voor een prijsinschrijving. U wordt hiervoor ook verwezen naar het antwoord op vraag 6.
Momenteel vinden onderhandelingen plaats over het Europese voorstel voor de Verordening buitenlandse subsidies.5 Dit voorstel biedt mogelijkheden om in te grijpen indien er sprake is van overheidssteun uit derde landen die de concurrentie op de interne markt verstoort. Het voorziet onder meer in een meldplicht voor subsidies bij inschrijving op een aanbesteding, indien de geraamde waarde van de aanbesteding boven de nog vast te stellen meldingsdrempel uitkomt. Vervolgens kan deze subsidie vooraf door de Commissie onderzocht worden. Met deze verordening wordt het daarmee in de toekomst mogelijk om een verstorende subsidie bij inschrijving op een aanbesteding te signaleren en aan te pakken.

Vraag 6

Zijn de aanbiedingen van Nuctech bij aanbestedingen in Nederland getoetst op abnormaal lage aanbieding ex artikel 2.116 van de Aanbestedingswet? Indien ja, wat was de uitkomst daarbij? Indien nee, waarom was daar geen aanleiding toe? In hoeverre zijn hier strategische afwegingen gemaakt?

Bij inkomende aanbiedingen op aanbestedingen wordt bekeken of er aanleiding bestaat voor het oordeel dat het prijsdeel niet in verhouding staat tot de te verrichten werken, diensten of leveringen. Daarbij wordt vooral gekeken naar de verhouding tussen de uitvraag en de prijsinschrijving daarop. Wanneer bij een eerste beoordeling het vermoeden ontstaat dat voor de ingeschreven prijs het materiaal niet of nauwelijks geleverd kan worden of dat de prijsopbouw onduidelijk is, geldt de verplichting tot het doen van nader prijsonderzoek conform de procedure voor het afhandelen van abnormaal lage inschrijvingen, zoals bedoeld in artikel 2.116 van de Aanbestedingswet 2012. De prijsaanbiedingen van Nuctech hebben tot op heden geen aanleiding gegeven voor het oordeel dat die abnormaal laag zou zijn als bedoeld in de Aanbestedingswet 2012.

Vraag 7

Bent u bekend met het feit dat Nuctech in het verleden al eens door de Europese Commissie is bestraft voor dumping?2

Ja, het kabinet is bekend met de antidumpingmaatregelen die in de periode 2010 tot 2015 van toepassing waren.

Vraag 8

Onderkent u het risico dat, ondanks het feit dat Nuctech aangeeft dat de scanners die in Nederland worden gebruikt «negen van de tien keer» zelfstandig werkend opereren en geen onderdeel vormen van een netwerk, apparatuur – zeker naar de toekomst toe – kan worden aangepast, zeker met alle ontwikkelingen rondom artificiële intelligentie (AI) en het «Internet of Things»?

Het kabinet kan hier geen garanties over geven. Douane besteedt structureel, onafhankelijk welke leverancier scanapparatuur levert, aandacht aan de bescherming en beveiliging van gegevens. Zo zijn de centrale netwerken voor scan en detectie gescheiden van het netwerk in gebruik bij Douane. Er wordt geen informatie over de controle of de bevindingen aan de scanbeelden toegevoegd. Een scan genereert geen andere informatie dan enkel een scanbeeld van de inhoud van een te scannen object.
Zoals eerder is aangegeven in de bovenbedoelde beantwoording van Kamervragen over Nuctech, bestaat er overheidsbeleid dat voorschrijft dat nationale veiligheidsoverwegingen worden meegewogen bij de inkoop en aanbesteding van producten en diensten. Volgens dit beleid dient bij de aanschaf en implementatie van gevoelige apparatuur rekening gehouden te worden met zowel eventuele risico’s in relatie tot de leverancier, als met het concrete gebruik van de systemen, bijvoorbeeld waar het gaat om toegang tot systemen door derden. Ter ondersteuning van dit beleid is eind 2018 instrumentarium ontwikkeld (quick scan nationale veiligheid) dat organisaties bij inkoop en aanbesteding van diensten en producten handvatten biedt bij het maken van een risicoanalyse en het nemen van mitigerende maatregelen. Dit instrumentarium is ter beschikking gesteld binnen de rijksoverheid en medeoverheden, alsmede aan organisaties die onderdeel zijn van de vitale processen. Bij de aanbesteding van de huidige Nuctech scanners is het instrumentarium niet toegepast omdat het op dat moment nog niet geïmplementeerd was. Sinds 2021 past Douane dit instrumentarium in het kader van alle aanbestedingen echter wel toe.
Tevens heeft Douane een externe audit laten uitvoeren op de informatiebeveiliging rond scan- en detectiesystemen en daaraan gerelateerde IT-inrichting, om te verzekeren dat de scan- en detectieprocessen zo veilig mogelijk zijn ingericht. Het onderzoek is in september 2021 afgerond en in november 2021 – vertrouwelijk – aan uw Kamer aangeboden.7 Het onderzoek verschaft inzicht in het niveau van de informatiebeveiliging van de scan- en detectiesystemen en daaraan gerelateerde IT-inrichting. De aanbevelingen uit het onderzoek worden door de Douane opgepakt.
Daarnaast wordt op dit moment door een externe partij in samenspraak met andere relevante overheidspartijen aanvullend onderzoek uitgevoerd, waarin de resultaten van deze externe audit worden meegenomen. Dit vervolgonderzoek richt zich op de vraag welke onderdelen van de scan- en detectieinfrastructuur kwetsbaar zijn vanwege risico’s voor de nationale veiligheid. Daarbij wordt gekeken naar mogelijke dreigingen vanuit statelijke actoren. De toenmalig Staatssecretaris van Financiën heeft de onderzoekende partij verzocht om bij het lopende onderzoek naar genoemde risico’s de vraag te betrekken welke risico’s de Douane bij de scan- en detectieprocessen loopt bij mogelijk misbruik van scan- en detectiesystemen door niet-statelijke (criminele) actoren.

Vraag 9

Welke garanties kunt u (laten) afgeven dat de Chinese overheid geen enkele toegang heeft tot de Nederlandse scanners of tot de data van die scanners?

Zie antwoord vraag 8.

Vraag 10

Bent u ervan op de hoogte dat Canada heeft afgezien van de aankoop van scanners van Nuctech voor haar ambassades, na het laten uitvoeren van een veiligheidsscan, en dat ook de Verenigde Staten risico’s zien in samenwerking met Nuctech en bondgenoten oproept geen zaken met Nuctech te doen4? Waarom hebt u het voorbeeld c.q. de oproep van deze twee bondgenoten niet gevolgd?3 4

Daar zijn wij van op de hoogte. Zoals aangegeven in het antwoord op vraag 2, maakt Nederland een zelfstandige afweging. Afhankelijk van de uitkomsten van het hierboven genoemde vervolgonderzoek en de uitkomst van de toepassing van het nationale veiligheidsinstrumentarium bij nieuwe aanbestedingen kan worden besloten tot aanvullende maatregelen.

Vraag 11

Wat is uw reactie op cybersecurity expert Ronald Prins, die aangeeft dat de Chinese overheid geen toegang tot de apparatuur via «achterdeurtjes» nodig heeft en «ze zich helemaal wezenloos hacken»?

Digitale spionage is een belangrijke dreiging voor de nationale veiligheid, zoals onder andere beschreven in het Dreigingsbeeld Statelijke Actoren (DBSA)10. Uit onderzoeken blijkt dat staten als China, Rusland en Iran offensieve cyberprogramma’s hebben, gericht tegen Nederland. Daarbij beschrijft onder andere het Cybersecurity Beeld Nederland (CSBN)11 dat is geconstateerd dat een van de gebruikte technieken van statelijke actoren het misbruiken van producten van toeleveranciers is, waaronder het inbouwen van «achterdeurtjes» in software, als springplank naar doelwitten binnen de vitale infrastructuur. De AIVD heeft eerder gewezen op de risico’s verbonden aan onvoldoende beveiligingsmaatregelen met betrekking tot toeleveranciers12. Het is daarom van belang dat organisaties zich bewust zijn van deze risico’s en daar waar nodig maatregelen tegen nemen.
Veel spionageactiviteiten zijn momenteel al strafbaar volgens de Nederlandse wet. Maar ontwikkelingen, zoals de komst van nieuwe en steeds assertievere spelers op het wereldtoneel en de opkomst van digitale spionage, zijn aanleiding geweest om opnieuw te kijken naar de bestaande instrumenten om op te treden tegen spionage. Dit leidde ertoe dat op 28 februari jl. – als aanvulling op het bestaande instrumentarium – het wetsvoorstel uitbreiding strafbaarheid spionage in consultatie is gegaan die een nieuwe bepaling aan het Wetboek van Strafrecht toevoegt. Op grond van die bepaling wordt het verrichten van handelingen ten behoeve van een buitenlandse mogendheid strafbaar indien daardoor zwaarwegende Nederlandse belangen worden geschaad. Omdat spionageactiviteiten steeds vaker digitaal plaatsvinden, wordt met het wetsvoorstel eveneens de strafmaat van een aantal computerdelicten verhoogd wanneer deze zijn gepleegd ten behoeve van een buitenlandse mogendheid.

Vraag 12

Deel u onze mening dat we niet naïef moeten zijn in de mogelijkheden die we hiermee bieden voor onder andere dataverzameling door de Chinese overheid en voor bijvoorbeeld spionage?

Het is van groot belang dat we spionage- en beïnvloedingsactiviteiten van statelijke actoren tegengaan. Deze activiteiten kunnen onze nationale veiligheidsbelangen aantasten en daarmee impact hebben op het functioneren van de Nederlandse maatschappij. Daar moeten we inderdaad niet naïef in zijn. Om de weerbaarheid tegen deze dreiging te vergroten werken wij samen met partijen binnen en buiten de overheid aan de aanpak van statelijke dreigingen. Onderdeel van deze aanpak is dat zowel op nationaal als op EU-niveau maatregelen worden genomen om de weerbaarheid van de vitale infrastructuur te versterken. In het Dreigingsbeeld Statelijke Actoren en de kabinetsreactie hierop wordt ingegaan op deze dreiging en de maatregelen die we hiertegen nemen13.

Vraag 13

Wat zijn de juridische mogelijkheden om de deal met Nuctech te stoppen en/of terug te draaien? Kan Nederland dit zelf of moet dit via de Europese Commissie?

De apparatuur van Nuctech is reeds geleverd en wordt door Douane ingezet. Het opzeggen van de overeenkomst met Nuctech kan de overheid in principe eenzijdig doen. Het contract stelt daar nadere specifieke voorwaarden aan. Het eenzijdig opzeggen van de overeenkomst zonder een (in het contract genoemde) gegronde reden zal waarschijnlijk leiden tot onder meer een financiële claim van de opdrachtnemer wegens gederfde inkomsten of gedane investeringen.

Vraag 14

Vindt u ook wij dat veiligheidsapparatuur in belangrijke, vitale sectoren zoveel mogelijk zou moeten worden gemaakt door Europese bedrijven? Indien ja, welke acties kan/gaat Nederland ondernemen? Bent u bekend met het feit dat er ook Nederlandse bedrijven zijn, onder andere startups (bijvoorbeeld Dynaxion), die een scansysteem ontwikkelen dat veel nauwkeuriger zou zijn dan de huidige x-ray systemen en daarmee ook nog steviger kan bijdragen aan het tegengaan van drugs gerelateerde ondermijning? Hoe geeft u invulling aan het principe dat investeringen met belastinggeld bij voorkeur ten goede komen aan (kennisontwikkeling, innovatie en werkgelegenheid bij) bedrijven in Nederland of Europa?

Een open economie en vrijhandel dragen sterk bij aan het Nederlandse verdienvermogen. Nederland heeft veel baat bij de kansen en mogelijkheden die open markten bieden. Toegang tot internationale markten zorgt er bovendien voor dat Nederland gebruik kan maken van hoogwaardige materialen, technologie en kennis die in het buitenland – waaronder in China – wordt ontwikkeld. Ook voor de vitale infrastructuur is het wenselijk dat gebruik wordt gemaakt van kwalitatief hoogwaardige producten en diensten. Nederland blijft dan ook op verantwoorde wijze gebruik maken van de voordelen van de internationale markt voor veiligheidsapparatuur, door per situatie de risico’s voor de nationale veiligheid in kaart te brengen en dat te laten meewegen in de selectie van de betreffende aanbieder.
Desondanks kunnen er redenen zijn om bepaalde producten en technologieën in Nederland of in Europa te willen kunnen ontwikkelen en beschikbaar te maken. Dit kan van belang zijn om de weerbaarheid van Nederland en de EU te vergroten, of om de EU het vereiste handelingsvermogen te geven om de eigen veiligheidsbelangen te vrijwaren. Dit kan via verschillende maatregelen: van handelsverdragen met gelijkgezinde landen, tot het direct stimuleren van de eigen industrie. Hierbij verwijzen wij ook graag naar de brief aan uw Kamer over onderzoek naar strategische afhankelijkheden en kwetsbaarheden in Nederland, waar dieper ingegaan wordt op de beleidsopties om onze weerbaarheid te versterken.14
Dynaxion is bekend bij de Douane. Douane heeft in de aanbestedingsprocedure iedere geschikte partij in de gelegenheid gesteld mee te dingen naar de opdracht. Die werd gegund op basis van de procedure als beschreven in het antwoord op vraag 5.

Vraag 15

Op welke wijze wilt u bij dit soort aanbestedingen een gelijk speelveld borgen en hoezeer zijn instrumenten als het Europese «International Procurement Instrument» (IPI) daarvoor voldoende?

Het is van groot belang dat op de Europese interne markt eerlijke concurrentie kan plaatsvinden tussen bedrijven in het kader van aanbestedingen door overheidsdiensten. De Europese aanbestedingsrichtlijnen bieden thans al mogelijkheden om deze problematiek te adresseren. Deze richtlijnen zijn in Nederland geïmplementeerd in de Aanbestedingswet 2012. Op basis van artikel 2.116 van deze wet – hieraan wordt in vraag 6 al gerefereerd – moeten aanbestedende diensten bij een inschrijving die abnormaal laag lijkt, nader onderzoek doen door de betreffende onderneming te vragen om uitleg over hoe de prijs tot stand is gekomen. Wanneer een inschrijver het lage niveau van de voorgestelde prijs niet goed kan onderbouwen met bewijsmateriaal, kan de aanbestedende dienst deze inschrijving ter zijde leggen. Abnormaal lage inschrijvingen als gevolg van niet-naleving van verplichtingen op het gebied van milieu, sociaal- en arbeidsrecht moeten door de aanbestedende dienst ter zijde worden gelegd. Dit geldt voor alle inschrijvingen, ongeacht het land van herkomst van de inschrijver. Dit draagt bij aan een gelijk speelveld voor ondernemers. Een andere manier om voor een gelijker speelveld te zorgen, is door het stellen van kwalitatieve gunningscriteria, zoals milieucriteria. Bovendien zijn Nederlandse – en andere Europese – aanbestedende diensten niet verplicht inschrijvingen toe te laten uit landen die niet aangesloten zijn bij de Government Procurement Agreement (zogenaamde «non-GPA landen»).
Naast deze bestaande mogelijkheden, zijn er twee Europese wetsvoorstellen in ontwikkeling die zich richten op een gelijk speelveld, zodat zowel binnen de Europese interne markt als daarbuiten Europese en niet-Europese ondernemingen onder vergelijkbare voorwaarden met elkaar kunnen concurreren. Het Internationaal Aanbestedingsinstrument (IPI) heeft als doel om wederkerigheid op de markt voor overheidsopdrachten af te dwingen, zodat EU-bedrijven betere toegang krijgen tot aanbestedingen in derde landen. Momenteel vinden hierover triloogonderhandelingen plaats tussen de Raad, het Europees parlement en de Europese Commissie. De inzet van het Franse voorzitterschap is om onderhandelingen gedurende zijn EU-voorzitterschap af te ronden. Het voorstel voor de Verordening buitenlandse subsidies heeft tot doel om concurrentieverstoringen op de interne markt als gevolg van buitenlandse subsidies beter aan te pakken (zie ook het BNC-fiche, Kamerstuk 22 112, nr. 3133). Momenteel vinden de onderhandelingen plaats in de betreffende Raadswerkgroep. Het Franse voorzitterschap streeft ernaar om in juni in de Raad tot een gemeenschappelijk standpunt te komen, waarna de triloogonderhandelingen kunnen beginnen. Deze voorstellen vormen belangrijke instrumenten voor het creëren een mondiaal gelijker speelveld voor Europese bedrijven.

Vraag 1

Bent u bekend met het nieuwsitem van PowNed, waarin aan de orde wordt gesteld dat mensen gemakkelijk door de beveiligingspoortjes op Schiphol kunnen komen, met een namaak-boardingpass?1

Ja.

Vraag 2

Wat vindt u ervan dat mensen met een in elkaar geknutselde QR-code de beveiliging op Schiphol kunnen passeren en daarmee illegaal toegang kunnen krijgen tot het gedeelte van de luchthaven waar alleen passagiers zouden mogen komen?

Van vertrekkende passagiers wordt aan de hand van een QR-code het ticket gecontroleerd. Deze controle is erop gericht dat alleen passagiers het deel van de luchthaven kunnen betreden waar zij voor hun reis toegang toe moeten hebben.
Het is mij bekend dat met de controle van QR-codes op tickets niet geheel is uit te sluiten dat ook mensen die niet gaan vliegen door de automatische toegangscontroles komen. Dit heeft onder meer te maken met het gestandaardiseerde gebruik van QR-codes door luchtvaartmaatschappijen op vliegtickets wereldwijd en juridische beperkingen ten aanzien van het verwerken van persoonsgegevens.
Echter, het enkele feit dat iemand met een nagemaakte QR-code de luchthaven kan betreden, levert geen beveiligingslek op. Pas na deze toegangscontrole komen passagiers immers bij de beveiligingscontrole, waar wordt gecontroleerd of geen verboden voorwerpen zoals wapens en explosieven worden meegenomen. Deze controle wordt zorgvuldig en correct uitgevoerd, hetgeen ook goed is te zien in het item van Powned.

Vraag 3

Waren deze beveiligingsrisico’s reeds bekend bij u en/of bij Schiphol?

Zie antwoord vraag 2.

Vraag 4

Deelt u de mening dat beveiligingsmedewerkers en handhavingsdiensten erop moeten kunnen vertrouwen dat eenieder die de betreffende beveiligingspoorten passeert daar ook daadwerkelijk hoort te zijn?

Zie antwoord vraag 2.

Vraag 5

Deelt u de mening dat beveiligingslekken zoals deze een risico kunnen opleveren voor de veiligheid van passagiers en het personeel, omdat onbekende mensen delen van de luchthaven kunnen betreden waar zij niet mogen komen, temeer omdat beveiligers reeds te maken hebben met een zeer hoge werkdruk en zij daarom dit risico er niet bij kunnen hebben?

Nee. Zoals hiervoor aangegeven levert het enkele feit dat iemand met een nagemaakte QR-code de luchthaven kan betreden, geen beveiligingslek op. Het verkrijgen van toegang met een nagemaakte QR-code is onwenselijk, maar vormt geen risico voor de veiligheid van passagiers en personeel.

Vraag 6

Wie is er eindverantwoordelijk voor de plaatsing en het onderhoud van de betreffende beveiligingspoortjes? Hoe vaak worden de beveiligingssystemen van Nederlandse luchthavens getest op zaken als infiltratierisico’s, onder meer met valse toegangsbewijzen?

De luchthaven is verantwoordelijk voor de plaatsing en het onderhoud van de geautomatiseerde toegangscontrole. De Nederlandse luchthavens vallen nationaal onder het wettelijk toezichtskader van de KMar en op Europees niveau houdt de Europese Commissie toezicht. Vanwege veiligheidsreden kunnen er geen uitspraken worden gedaan over de vorm en frequentie van de testen van de toegangscontrolesystemen.

Vraag 7

Wat gaat u ondernemen om dit beveiligingslek aan te pakken?

Er is geen sprake van een beveiligingslek. Zie mijn antwoord op de vragen 2, 3 en 4.

Vraag 8

Hebben medewerkers van Schiphol de mogelijkheid om dit soort risico’s op hun werkplek op een veilige manier bespreekbaar te maken met hun werkgever? Zo ja, hoe is dit nu geregeld en waarom is dit lek niet eerder opgevallen en opgelost? Zo nee, hoe gaat u hiervoor zorgen?

Ja. Alle Schipholpashouders ontvangen een Security awareness training voor het verkrijgen van hun Schipholpas. In deze training wordt aandacht besteed aan onveilige en verdachte situaties, hoe hier mee om te gaan en melding van te maken. Zie verder mijn antwoord op de vragen 2, 3 en 4.

Vraag 1

Klopt het dat gedupeerde klanten van Booking.com, wiens gegevens zijn gestolen, op de hoogte gebracht hadden moeten worden van dit datalek?1

Of een datalek moet worden gemeld, hangt af van het wettelijke kader. Volgens de berichtgeving speelde het datalek zich af in 2016 en zou daarmee onder de Wet bescherming persoonsgegevens (hierna: Wbp) vallen.
Per 1 januari 2016 is de meldplicht datalekken, zoals volgt uit artikel 34a Wbp, van kracht geworden. Op grond van lid 2 van dit artikel is een verantwoordelijke verplicht om de betrokkenen bij een inbreuk op de beveiliging op de hoogte te brengen, wanneer de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor hun persoonlijke levenssfeer. Artikel 43 Wbp biedt een overzicht van de uitzonderingen op deze verplichting. De Wbp is op 25 mei 2018 komen te vervallen. Op deze datum is de Algemene verordening gegevensbescherming (AVG) in werking getreden.
De Autoriteit Persoonsgegevens (AP) heeft laten weten over dit specifieke geval geen verdere informatie te kunnen geven. Het is niet aan mij om over het in de vraag genoemde mogelijke datalek een oordeel te geven, nu dit bij uitstek toekomt aan de toezichthouder.

Vraag 2

Waarom heeft de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) de Autoriteit Persoonsgegevens niet op de hoogte gesteld, als zij hebben geholpen de hacker te vinden?

Ik kan in het openbaar niet ingaan op concrete vragen over het handelen van de AIVD.

Vraag 3

Hoe vaak hebben Amerikaanse autoriteiten geprobeerd om bedrijven te hacken die gevestigd zijn in Nederland?

De AIVD en de MIVD stellen een onderzoek in indien aanwijzingen bestaan dat Nederlandse of in Nederland gevestigde bedrijven zijn gehackt door statelijke actoren. Over het actuele kennisniveau van de inlichtingen- en veiligheidsdiensten kunnen in het openbaar geen mededelingen worden gedaan.

Vraag 4

Is de AIVD volgens u voldoende toegerust om dit soort spionage tegen te gaan?

De genoemde berichtgeving geeft onvoldoende duidelijkheid of in deze casus sprake is geweest van spionage. In het algemeen geldt dat de AIVD Nederland beschermt door (ongeziene) dreigingen tegen de nationale veiligheid te onderzoeken. Dat geldt onder meer voor digitale spionage. Als de AIVD dreigingen ontdekt binnen of buiten Nederland, waarschuwt de dienst (overheids-)partners die daartegen kunnen optreden.

Vraag 5

In hoeverre staat Booking.com onder verscherpt toezicht nu zij vaker datalekken niet hebben gemeld?

Desgevraagd heeft de AP laten weten op dit moment nog niets te kunnen zeggen over eventuele vervolgstappen met betrekking tot de veronderstelde inbreuk op de beveiliging bij Booking.com

Vraag 1

Hoe weet u zeker dat op de smartphones geen censuur wordt toegepast en dat deze software constant uit staat, aangezien u in de beantwoording aangeeft dat er op de in de Europese Unie verkochte smartphones geen censuur wordt toegepast, er voor Nederland op dit moment geen aanleiding is om een dergelijk zwaarwegend advies af te geven en dat u ziet dat het daadwerkelijk toepassen van dergelijke software inbreuk kan maken op de grondrechten van gebruikers?

Het Ministerie van Defensie van Litouwen heeft onderzoek gedaan naar telefoons van het merk Xiaomi. Daarbij is ook gekeken naar de functionaliteit die in deze vragen wordt aangeduid als censuursoftware. Uit het onderzoek blijkt dat deze functionaliteit is uitgeschakeld in de Europese Unie. Naar aanleiding van het Litouwse onderzoek heeft ook het Duitse Bundesambt für Sicherheit in der Informationstechnik (BSI) een eigen onderzoek ingesteld. Daarbij zijn geen bijzonderheden aangetroffen.1 In beide onderzoeken is vastgesteld dat de software in de praktijk niet wordt toegepast. Ik hecht eraan dat dit ook in de toekomst niet zal gebeuren.
Gebruikers van telefoons moeten immers met elkaar kunnen communiceren zonder dat er, zoals zou gebeuren als de bedoelde functionaliteit wordt geactiveerd, door derden inbreuk wordt gemaakt op de communicatie. Dit zogenoemde communicatiegeheim is onder meer vastgelegd in artikel 5 van richtlijn 2002/58/EG (de e-privacyrichtlijn) en ook in het voorstel voor een Europese e-privacyverordening die in de toekomst de e-privacyrichtlijn zal vervangen.
Zolang de e-privacyverordening nog niet van kracht is, is een complicerende factor dat artikel 11.2a van de Telecommunicatiewet waarin artikel 5 van de e-privacyrichtlijn is omgezet, zich alleen richt tot aanbieders van openbare elektronische communicatienetwerken en diensten en dus niet tot derden zoals de leverancier van de telefoon. Omdat de totstandkoming van de e-privacyverordening nog op zich laat wachten, zal ik nader bezien of het doelmatig is om de Telecommunicatiewet op dit punt aan te passen.
Naast de Telecommunicatiewet wordt het communicatiegeheim ook beschermd in het Wetboek van Strafrecht. Zo stelt artikel 139c het met een technisch hulpmiddel aftappen of opnemen van het telecommunicatieverkeer strafbaar. Betoogd zou kunnen worden dat het met software bekijken (aftappen) en vervolgens aanpassen (het er uit filteren van «ongewenste» zoekresultaten) van het telecommunicatieverkeer onder de werking van deze strafbepaling valt (vgl. Hoge Raad, 17 december 2019, ECLI:NL:HR:2019:1973). In dat geval zou het activeren van dergelijke software ertoe kunnen leiden dat sprake is van een strafbaar feit.
Waar apparaten bijvoorbeeld de zoekresultaten filteren, dan kan dit voorts een inbreuk vormen op de vrijheid van nieuwsgaring. Het is uiteindelijk aan de rechter om in voorkomende gevallen een uitspraak te doen over de rechtmatigheid van zo’n filter.

Vraag 2

In hoeverre worden er, in het kader van «Bring-Your-Own-Device», privé Xiaomi-telefoons gebruikt, waarvan in de beantwoording is aangegeven dat er sinds 2018 60 van zijn aangeschaft, en is dit wenselijk?

Voor «Bring-Your-Own-Device» binnen de rijksoverheid geldt als uitgangspunt dat ieder rijksonderdeel moet aangeven of en in welke gevallen het gebruik van eigen apparatuur is toegestaan op basis van een eigen risicoafweging.
De (on)wenselijkheid hiervan verschilt dus per rijksonderdeel. Mocht het gebruik van eigen toestellen toegestaan zijn dan geldt, net zoals voor overheidstoestellen, dat op basis van de risicoafweging de juiste maatregelen worden getroffen om de overheidsinformatie voldoende te beschermen, bijvoorbeeld door toepassing van cryptografische oplossingen die op het eigen apparaat gebruikt kunnen worden.
In antwoord op eerdere vragen is aangegeven dat er zover bekend bij het Ministerie van Binnenlandse Zaken sinds 2018 60 Xiaomi telefoons zijn aangeschaft binnen de rijksoverheid. Deze zijn aangeschaft om te worden gebruikt als onderwerp van technisch, forensisch of opsporingsonderzoek. Er is geen relatie tussen deze 60 telefoons en «Bring-Your-Own-Device»-beleid.

Vraag 3

In hoeverre biedt de Baseline Informatiebeveiliging Overheid voldoende handvatten om nieuwe informatie en potentiële risico’s zoals censuursoftware zoveel als mogelijk te voorkomen?

De Baseline Informatiebeveiliging Overheid (BIO) is een informatiebeveiligingskader voor de hele overheid en is gebaseerd op de internationale standaarden ISO27001 en ISO27002. De BIO kent een risicogebaseerde aanpak. Dat betekent dat overheidsorganisaties op basis van risicoafweging (nieuwe) dreigingen onderkennen en daarop passende en proportionele beveiligingsmaatregelen treffen. Zo ook deze casus.
De BIO kent (nog) geen specifieke maatregelen tegen dergelijke software. Dit jaar wordt de BIO geëvalueerd. Onderdeel van die evaluatie is de herijking van de dreigingen die richting geven aan de concrete overheidsmaatregelen in de BIO. Dit vraagstuk zal daarbij worden meegenomen.
In algemene zin geldt dat eind 2018 ten aanzien van nationale veiligheidsrisico’s een verscherpt inkoop- en aanbestedingsbeleid is geïmplementeerd voor de rijksoverheid. Hierin is opgenomen dat bij inkoop en aanbesteding mogelijke risico’s voor de nationale veiligheid per inkoopopdracht worden meegewogen. Bij de aanschaf en implementatie van gevoelige apparatuur of programmatuur wordt volgens dit beleid rekening gehouden met zowel risico’s in relatie tot een leverancier, als met het concrete gebruik van de systemen, bijvoorbeeld als het gaat om de toegang tot systemen door derden.
Ter ondersteuning van dit beleid is aanvullend instrumentarium ontwikkeld door de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) dat organisaties handvatten biedt bij het maken van een risicoanalyse en het nemen van mitigerende maatregelen. Behoeftestellende partijen zijn zelf verantwoordelijk voor de toepassing van dit instrumentarium en het meewegen van nationale veiligheidsrisico’s. Het instrumentarium is ter beschikking gesteld binnen de rijksoverheid en medeoverheden, alsmede aan organisaties die onderdeel zijn van de vitale processen.
In het Commissiedebat Digitale overheid, datagebruik en algoritmen, en digitale identiteit van 22 maart jl. heeft de Staatssecretaris voor Koninkrijksrelaties en Digitalisering verder toegezegd een onderzoek te gaan doen naar inkoopeisen en -richtlijnen over cyberveiligheid in het overheidsapparaat, dat voornamelijk zal gaan over landen met een offensief cyberprogramma. In het daaropvolgende tweeminutendebat van 29 maart is in aanvulling op de toezegging een motie ingediend door Kamerleden Rajkowski en Van Weerdenburg, om in dit onderzoek ook te kijken naar de vitale sector.2 De motie is op 5 april aangenomen; de Kamer zal over het vervolg geïnformeerd worden.

Vraag 4

Wat zou u ervan vinden als Rijksambtenaren Chinese censuursoftware zouden downloaden op hun apparaten?

In algemene zin is het onwenselijk als rijksambtenaren software zouden downloaden op hun werkapparaten als die een conflict zou opleveren met hun werkzaamheden.
Verder wil ik opmerken dat de werkomgeving van rijksambtenaren op mobiele apparaten zich bevindt op een afgeschermd deel dat niet toegankelijk is voor overige geïnstalleerde software.

Vraag 5

Onderkent u dat Xiaomi telefoons, in tegenstelling tot wat er in de beantwoording te lezen is, niet alleen via verschillende webwinkels verkocht worden, maar dat er sinds 2020 ook een fysieke «Mi-store» is geopend in Rotterdam, de eerste fysieke Xiaomi winkel in de Benelux?

In de eerdere beantwoording is aangegeven dat Xiaomi-toestellen in Nederland breed verkrijgbaar zijn. Het klopt dat er een fysieke Xiaomi-winkel in Rotterdam is.

Vraag 6

Hoe beoordeelt u het feit dat aanbieders van apparaten waar censuursoftware op staat winkels openen in Nederland en hun marktaandeel in Nederland groeiend is?

Het is belangrijk dat producten die hier op de markt worden gebracht voldoen aan de relevante regelgeving. Dat wordt des te belangrijker als het een wijdverspreid product is. Tegelijkertijd is het iedereen die zich aan de relevante Nederlandse en Europese wetgeving houdt toegestaan producten op de Nederlandse en Europese markt te brengen.

Vraag 7

Klopt het dat de censuursoftware op afstand kan worden geactiveerd vanuit China, zonder dat gebruikers dit doorhebben? Deelt u de mening dat deze functionaliteit een potentiële bedreiging vormt voor de vrijheid van meningsuiting en de vrije toegang tot informatie van Nederlandse gebruikers van Xiaomi-toestellen? Zo ja, hoe beoordeelt u dit? Zo nee, waarom niet?

Een fabrikant kan op afstand wijzigingen doorvoeren aan producten en diensten door software-updates uit te brengen. Op basis van artikel 11.7a van de Telecommunicatiewet moet de fabrikant daarover de eindgebruiker informeren en bovendien diens toestemming verkrijgen voor de wijziging.
De vrije nieuwsgaring wordt onder meer beschermd door artikel 10 van het Europees Verdrag voor de Rechten van de Mens. Hiervoor is het van belang dat mensen degelijke toegang hebben tot informatie zonder hierin te worden gehinderd. De gigantische hoeveelheid informatie die in de moderne wereld voorhanden is maakt het echter noodzakelijk dat technische hulpmiddelen zoals zoekmachines deze informatie filteren voordat het aan gebruikers wordt voorgelegd. Voor vrije nieuwsgaring is het van belang dat deze filtering waardenvrij plaatsvindt.
Het is onwenselijk voor gebruikers om heimelijk af te worden gehouden van specifieke onderwerpen. Uit zowel het Litouwse als Duitse onderzoek blijkt echter dat dit in de Europese Unie op Xiaomi telefoons ook niet wordt gedaan. Het is in het algemeen belangrijk dat gebruikers de beperkingen van hun apparatuur kennen en begrijpen en indien zij dat wensen kunnen kiezen uit alternatieve browsers en zoekmachines om te voorzien in hun informatiebehoefte.

Vraag 8

Hoe beoordeelt u het feit dat ook de data van Nederlandse gebruikers die Xiaomi-toestellen gebruiken wordt doorgestuurd naar Xiaomi-servers in China, waar conform de geldende Chinese cyberveiligheidswet, ook de Chinese overheid toegang heeft tot de data van Nederlandse gebruikers?

Nederland en de EU spreken in verschillende verbanden, waaronder binnen de VN, met China over dataveiligheid. Centraal hierbij staat de bescherming van privacy, zoals de naleving van de Algemene verordening gegevensbescherming (AVG), bescherming van mensenrechten en het tegengaan van ongepaste toegang van overheden tot datagegevens. Zoals aangegeven in de Notitie «Nederland-China: Een nieuwe balans» (Kamerstuk 35 207, nr. 1) staat het kabinet achter striktere handhaving en sterker uitdragen van bestaande standaarden en normen, zoals de Europese regelgeving op het gebied van data, bescherming van persoonsgegevens en privacy en productveiligheid.
Partijen moeten, wanneer zij in de EU producten of diensten aanbieden, voldoen aan de vereisten die conform het gegevensbeschermingsrecht op hen rusten. In dit geval zijn deze vereisten primair neergelegd in het algemene kader dat de AVG biedt voor de verwerking van persoonsgegevens en de speciale regels uit de Telecommunicatiewet. De AVG kent een ruim toepassingsbereik. Artikel 3, tweede lid, onder a AVG bepaalt dat verwerkingsverantwoordelijken die goederen of diensten aanbieden aan betrokkenen in de EU binnen het toepassingsbereik vallen. De AVG bepaalt onder meer dat er een «rechtsgrondslag» moet zijn om persoonsgegevens te verwerken (bijvoorbeeld toestemming), dat betrokkenen geïnformeerd moeten worden over de verwerking van hun gegevens en dat zij in staat worden gesteld om de rechten uit te oefenen die zij over hun gegevens hebben.
Voor zover het gaat om gegevens die worden afgelezen van het randapparaat van de eindgebruiker (ook als dit geen persoonsgegevens zijn) is artikel 11.7a van de Telecommunicatiewet van toepassing. Dit ook bij vraag 7 genoemde artikel bepaalt dat voor het plaatsen en aflezen van informatie op een randapparaat de toestemming van de eindgebruiker noodzakelijk is. Voor een rechtsgeldige toestemming is van belang dat de eindgebruiker adequaat is geïnformeerd over de doeleinden van de gegevensverzameling en verwerking. Op deze bepaling wordt toezicht gehouden door Autoriteit Consument en Markt (ACM).
In algemene zin geldt dat, wanneer persoonsgegevens naar een land buiten de Europese Unie worden doorgegeven, er additionele voorwaarden gelden. Doorgifte is namelijk slechts toegestaan op grond van een van de wettelijke bepalingen uit hoofdstuk V van de AVG. Aangezien voor China geen door de Europese Commissie genomen adequaatheidsbesluit bestaat, waarin wordt besloten dat dit land een passend beschermingsniveau waarborgt, kan structurele doorgifte van persoonsgegevens alleen plaatsvinden voor zover er door de verwerkingsverantwoordelijke «passende waarborgen» worden geboden.
Het is aan de Autoriteit Persoonsgegevens (AP), de toezichthouder op de AVG, om erop toe te zien dat er passende waarborgen zijn getroffen. Als dit niet het geval is heeft de AP onder meer de bevoegdheid om boetes op te leggen, maar ook om de verwerking te verbieden.

Vraag 9

Klopt het dat de Belgische Staatsveiligheidsdienst al eerder publiekelijk heeft gewaarschuwd voor spionage via Chinese spionage, waaronder die van Xiaomi? Zo ja, hoe beoordeelt u dit en deelt u de mening dat deze waarschuwing zeer zorgelijk is?

Het klopt dat de Belgische Staatsveiligheid heeft gewaarschuwd voor potentiële Chinese spionagedreiging. Zoals ook staat beschreven in het Dreigingsbeeld Statelijke Actoren (DBSA)3 en de jaarverslagen van de inlichtingen- en veiligheidsdiensten is toenemende afhankelijkheid van buitenlandse technologie een gegeven. Hierdoor bestaat het risico dat met technologische toeleveringen de digitale spionage- en sabotagemogelijkheden toenemen. Waar dit de nationale veiligheid raakt, wordt per geval afgewogen welke maatregelen proportioneel zijn om dit risico te beheersen. Risico’s voor de nationale veiligheid kunnen met name ontstaan wanneer technologie de Nederlandse vitale infrastructuur of gevoelige kennis en informatie raakt.

Vraag 10

In hoeverre is de huidige aangewezen toezichthouder in staat om te controleren of er censuursoftware op mobiele telefoons aanwezig is en of deze software daadwerkelijk actief is?

De toekomstige e-privacy verordening bevat regels over (de verwerking van persoonsgegevens bij) elektronische communicatie om te zorgen dat de persoonlijke levenssfeer wordt beschermd. Daarin wordt het controleren van de communicatie, ook door leveranciers van telefoons, verboden. Als de verordening van kracht wordt of voorafgaand daaraan de Telecommunicatiewet wordt aangepast conform het gestelde onder vraag 1, is er pas een aangewezen toezichthouder op dit punt.
Voor zover de vraag gaat over het in staat zijn om te controleren of er een betreffende functionaliteit op mobiele telefoons aanwezig is en of deze actief is, komt uit de genoemde onderzoeken bij vraag 1 naar voren dat dit het geval is. Uit die onderzoeken bleek dat de functionaliteit in de praktijk niet wordt toegepast.

Vraag 11

Hoe beoordeelt u de aanwezigheid van censuursoftware op Xiaomi-toestellen in het kader van een eerdere uitspraak, gedaan door de Algemene Inlichtingen- en Veiligheidsdienst, dat er sprake is van een «wereldwijde grootschalige vergaring van persoonsgegevens door Chinese actoren om profielen te maken van medewerkers van bedrijven en instellingen waar het land digitaal wil inbreken»?

De betreffende functionaliteit ziet op het detecteren en blokkeren van bepaalde termen. Deze functionaliteit heeft geen verband met grootschalige vergaring van persoonsgegevens. Zie het antwoord op vraag 1 ten aanzien van deze functionaliteit en het antwoord op vraag 8 ten aanzien van dataveiligheid.

Vraag 12

Deelt u de mening dat het zeer onwenselijk is dat ook de telefoons van Nederlandse gebruikers deze software kunnen bevatten en dat er een mogelijkheid is dat de censuursoftware wordt geactiveerd? Zo ja, bent u bereid een onafhankelijk onderzoek te laten uitvoeren door bijvoorbeeld het Agentschap Telecom en de Nationaal Coördinator Terrorismebestrijding en Veiligheid naar de mogelijke aanwezigheid van deze censuursoftware op Xiaomi-toestellen die in Nederland worden verkocht? Zo nee, waarom niet?

Ik zie geen noodzaak tot het doen van een aanvullend onderzoek naar de in het artikel genoemde software op Xiaomi-toestellen. Wel zal ik nader bezien of het doelmatig is om de Telecommunicatiewet op dit punt aan te passen. Zie hiervoor het antwoord op vraag 1.
Daarnaast is, zoals ook in de hoofdlijnenbrief digitalisering van 8 maart jl. aangegeven, digitaal bewustzijn noodzakelijk. We investeren samen met de ministeries van Justitie en Veiligheid en Binnenlandse Zaken en Koninkrijksrelaties in het vergroten van kennis onder burgers over digitale veiligheid en over technologische ontwikkelingen, zodat zij zich bewust zijn van de mogelijkheden, beperkingen, kansen en risico’s van technologie. Op de website veiliginternetten.nl wordt voorlichting en handelingsperspectief gegeven over het veilig gebruik van een apparaat.

Vraag 1

Bent u bekend met het bericht «FBI raids ZPMC delivery vessel»?1

Ja.

Vraag 2

Bent u bekend met de verdenkingen van spionage door het Chinese staatsbedrijf Shanghai Zhenhua Heavy Industries Company Limited (ZPMC)? Hoe beoordeelt u deze? Heeft u hierover contact gehad met de Amerikaanse autoriteiten? Zo ja, wat was de uitkomst hiervan? Zo nee, bent u bereid alsnog navraag te doen?

Over het kennisniveau van de inlichtingen- en veiligheidsdiensten worden in het openbaar geen uitspraken gedaan. In algemene zin kan wel worden gesteld – zoals ook naar voren komt uit de jaarverslagen van de AIVD en de MIVD – dat Nederland over een hoogwaardige (defensie-)industrie beschikt waarbinnen zich het soort kennis bevindt waar China naar op zoek is.
Veel prioritaire technologieën, van belang voor zowel de economische als de nationale veiligheid, worden mede binnen de Nederlandse (defensie-)industrie ontwikkeld.
In het algemeen geldt dat er met regelmaat overleg wordt gevoerd met gelijkgezinde landen, inclusief de Amerikaanse autoriteiten, over veiligheidskwesties. Over de inhoud van deze overleggen wordt wegens vertrouwelijkheid geen uitspraken gedaan.

Vraag 3

Zijn er aanwijzingen dat ZPMC ook in Nederland inlichtingen verzamelt?

Zie antwoord vraag 2.

Vraag 4

Heeft u diplomatiek contact gehad met China over de verdenking van spionage door het Chinese staatsbedrijf ZPMC? Zo ja, wat was hiervan de uitkomst?

Nederland spreekt met China in diplomatieke contacten met regelmaat over Nederlandse zorgen met betrekking tot veiligheidskwesties, maar doet wegens de vertrouwelijkheid hiervan geen uitspraken over individuele gevallen.

Vraag 5

Hoeveel medewerkers van ZPMC hebben in Nederland sinds 2015 een verblijfsvergunning voor werk ontvangen, waarbij ZPMC optrad als erkend referent?

Sinds 2015 hebben minder dan 5 vreemdelingen een verblijfsvergunning regulier voor bepaalde tijd ontvangen voor het verrichten van arbeid bij ZPMC Netherlands BV, het bedrijf dat bij de IND bekend is als erkend referent.2

Vraag 6

Zijn er sinds 2015 verblijfsvergunningen bij ZPMC-medewerkers ingetrokken? Zo ja, hoeveel en om welke reden?

Nee.

Vraag 7

Waarin verschillen de vergunningprocedures en veiligheidchecks voor individuen die hun verblijfsvergunning via de route van een erkend referent ontvangen van individuen die hun verblijfsvergunning voor werk via een andere procedure ontvangen?

Een erkend referent heeft toegang tot de versnelde procedure voor vergunningverlening, waarbij deze – in tegenstelling tot de niet-erkende referent – in beginsel controleert of een vreemdeling aan de toelatingsvoorwaarden voldoet. De IND handelt de aanvragen van een erkend referent af op basis van de eigen verklaring van de referent, met uitzondering van het paspoortvereiste en de toets op openbare orde en nationale veiligheid. Dat laat onverlet dat de IND alsnog alle bewijsstukken kan opvragen als dit nodig wordt geacht voor de behandeling van de aanvraag of ter controle nadat de aanvraag is afgehandeld. Een erkend referent heeft daarentegen een zorgplicht, informatieplicht en administratieplicht. Zo moet een erkend referent zorgdragen voor een zorgvuldige werving en selectie van de vreemdeling. Het is belangrijk dat een referent bij de werving en selectie ook aandacht heeft voor statelijke dreigingen tegen Nederlandse nationale veiligheidsbelangen. Hier heeft de IND dan ook aandacht voor gevraagd in de Nieuwsbrief Zakelijk, gericht aan alle erkend referenten arbeid, van 1 oktober 2021. Zoals nader toegelicht in de brief aan uw Kamer d.d. 24 september jl. verricht de IND bij alle vreemdelingen eenzelfde toets op openbare orde en nationale veiligheid.3

Vraag 8

Welke rol spelen informatie of analyses van de inlichtingendiensten, vervat in ambtsberichten of anderszins, bij het al dan niet toekennen van de status van erkend referent aan een buitenlands bedrijf of instelling?

In het algemeen geldt dat bij ontvangst van een ambtsbericht van de inlichtingen- en veiligheidsdiensten over een referent die een aanvraag om erkenning heeft ingediend of al erkend is, de IND de inhoud daarvan zal meewegen in de besluitvorming.
De IND dient dan te toetsen of de informatie in het ambtsbericht voldoende concreet, feitelijk en inzichtelijk is om op basis van het ambtsbericht de status van erkend referent te kunnen weigeren.

Vraag 9

Met welke andere departementen of overheidsorganisaties overlegt de Immigratie en Naturalisatie Dienst (IND) voordat een organisatie de status van erkend referent ontvangt? Worden de Nationaal Coordinator Terrorismebestrijdiong en Veilighied (NCTV) en de inlichtingendiensten hierbij betrokken?

De IND doet bij iedere aanvraag om erkenning navraag bij de Belastingdienst en de Inspectie SZW of er boetes aan de organisatie zijn opgelegd en of er een verplichting is opgelegd tot het doen van een eerstedagsmelding. Daarnaast worden alle rechtspersonen en natuurlijke personen die als bestuurder bij de organisatie zijn betrokken bij de Justitiële Informatiedienst bevraagd op justitiële antecedenten. Indien sprake is van een of meer strafrechtelijke antecedenten vraagt de IND om een Verklaring Omtrent Gedrag (VOG). Daarnaast vraagt de IND in voorkomende gevallen advies aan de Rijksdienst voor Ondernemend Nederland (RVO) of de continuïteit en solvabiliteit van de organisatie voldoende is gewaarborgd. De NCTV en de inlichtingendiensten worden niet standaard betrokken alvorens tot erkenning wordt overgegaan. Dit gebeurt enkel op basis van signalen.

Vraag 10

Welke rol spelen buitenlandse onderzoeken of veroordelingen wegens spionage bij het verstrekken van de status van erkend referent?

In algemene zin geldt dat informatie van buitenlandse inlichtingen- en veiligheidsdiensten onderdeel kán zijn van de onderbouwing van een ambtsbericht van de AIVD of MIVD (zie ook het antwoord op vraag 8). Hierbij gelden de kaders van de Wet op de Inlichtingen- en Veiligheidsdiensten.
Strafrechtelijke veroordelingen kunnen blijken uit (Europese) signaleringen of door een verklaring van de persoon zelf.

Vraag 11

Hebben andere landen een vergelijkbare procedure als de Nederlandse verstrekking van de status van erkend referent? Zo ja, hoe gaan landen als Duitsland, Frankrijk, het Verenigd Koninkrijk, de Verenigde Staten en Australië om met Chinese staatsbedrijven?

In Duitsland en Frankrijk kent men geen vergelijkbare systematiek (met erkend referenten) zoals Nederland deze kent. In deze landen wordt de aanvraag voor een kennismigrantenvergunning doorgaans ingediend door de kennismigrant zelf. Daarentegen bestaat er, evenals in Nederland, in Duitsland en Frankrijk de mogelijkheid tot een versnelde procedure voor vergunningverlening; in Duitsland dient de werkgever een voorafgaande goedkeuring aan te vragen en in Frankrijk kan de versnelde procedure plaatsvinden indien de werkgever bekend staat om het ontvangen van «high potentials». In de Verenigde Staten is eveneens geen sprake van een vergelijkbaar stelsel. Het VK stelt voor een aantal toelatingsprocedures voor arbeids-/kennismigranten ook een erkend referentschap (licensed sponsor) verplicht. De procedure om licensed sponsor te worden is vergelijkbaar met die in Nederland (o.a. test op betrouwbaarheid). Het is niet bekend of daarbij specifieke aandacht aan Chinese staatsbedrijven wordt gegeven en of het erkend referentschap van deze bedrijven is ingetrokken.
Over het Australische model is op dit moment geen informatie bekend.

Vraag 12

Is er uit de bovengenoemde vijf landen sprake van landen die een procedure vergelijkbaar met de status van erkend referent hebben, en die deze status in de afgelopen drie jaar hebben ingetrokken bij Chinese staatsbedrijven?

Zie antwoord vraag 11.

Vraag 13

Herinnert u zich de met algemene stemmen aangenomen motie Wiersma (nr. 35 680, nr. 17), waarin wordt verzocht misbruik van werkvergunningen en referentschap door statelijke actoren tegen te gaan? Welke acties heeft u sindsdien ondernomen om de motie uit te voeren?

Zoals aangegeven in de brief aan uw Kamer naar aanleiding van deze motie d.d. 24 september jl., kijkt het Kabinet op basis van het inmiddels beschikbare vertrouwelijke dreigingsbeeld van verblijfsregelingen en het erkend referentschap kritisch naar de invulling en het gebruik van deze regelingen en zet het Kabinet in op verbetering.4 Hierbij wordt rekening gehouden met de verschillen tussen de IND en de inlichtingen- en veiligheidsdiensten als het gaat om expertise, informatiepositie, middelen en (juridische) bevoegdheden bij het onderkennen en vaststellen van een gevaar voor de nationale veiligheid. Over de voortgang wordt uw Kamer op een later tijdstip nader geïnformeerd.

Vraag 14

Welke veiligheidscontroles worden uitgevoerd op vergunningontvangers van door de IND erkende referenten uit de drie landen, China, Rusland en Iran, die in het Dreigingsbeeld Statelijke Actoren van februari 2021 worden genoemd als dreigingen tegen de economische veiligheid van Nederland?

Zie antwoord vraag 7.

Vraag 15

Vinden er additionele veiligheidscontroles plaats, voordat een organisatie uit China, Rusland of Iran aanspraak kan maken op de status van erkend referent?

Nee, op dit moment is dat niet het geval.

Vraag 16

Hoe rijmt u de mogelijkheid voor een Chinees staatsbedrijf om erkend referent te zijn met de analyse uit het Dreigingsbeeld dat China mede door het gebruik van spionage de grootste dreiging voor de economische veiligheid van Nederland vormt?

Zie antwoord vraag 13.

Vraag 17

Bent u bereid de toekenning van de status als erkend referent opnieuw tegen het licht te houden voor staatsbedrijven uit China, Rusland en Iran?

Zie antwoord vraag 13.

Vraag 1

Klopt het dat er al voor het debat op 15 juni 2021 op het ministerie juridische adviezen lagen waaruit bleek dat de NCTV wel degelijk onrechtmatig heeft gehandeld?1

In het mondelinge vragenuur op 13 april 2021 heb ik uw Kamer gemeld dat ik op 15 maart 2021 over de uitkomsten van het project Taken en Grondslagen ben geïnformeerd. Zoals uit de inmiddels openbare documenten blijkt, maakten op dat moment twee juridische adviezen onderdeel uit van het project Taken en Grondslagen: het eindverslag van dat project, uitgevoerd door de juristen van de NCTV, en een advies van de centrale directie Wetgeving en Juridische Zaken (DWJZ) van mijn ministerie. Geconcludeerd werd dat de analyse- en coördinatiewerkzaamheden als «juridisch kwetsbaar» moeten worden bestempeld en het Organisatiebesluit JenV «onvoldoende grondslag biedt» voor de verwerking van persoonsgegevens. De algehele conclusie luidde dat de grondslag voor de verwerking van persoonsgegevens bij bepaalde analyse- en coördinatiewerkzaamheden juridische versteviging nodig heeft.
Op grond van deze conclusies heb ik besloten bepaalde specifieke werkzaamheden per 31 maart 2021 op te schorten, in te zetten op versteviging van de grondslag met het oog op de toekomst en in de tussentijd zeer terughoudend te zijn met de verwerking van persoonsgegevens. Hierover heb ik uw Kamer in mijn brief van 12 april 20212 geïnformeerd. Vervolgens heb ik, daarin gesterkt door de aangenomen motie van het lid Michon-Derkzen tijdens het debat van 15 juni 2021 om met spoed met een bijzondere wettelijke grondslag te komen voor de NCTV om persoonsgegevens te verwerken voor de uitvoering van zijn bestaande analyse- en coördinatietaken, de hoogste prioriteit gegeven aan het aangekondigde voorstel voor een Wet verwerking persoonsgegevens coördinatie en analyse terrorismebestrijding en nationale veiligheid.

Vraag 2

Waren deze adviezen ook al uitgebracht voor de beantwoording van mondelinge vragen op 20 mei 2021?

Zie antwoord vraag 1.

Vraag 3

Hoe rijmen de juridische adviezen met uw uitspraken in het debat van 15 juni 2021 waarbij u antwoordde op vragen of de NCTV de wet heeft overtreden: «Maar ik heb niet gezegd dat er geen sprake was van een wettelijke grondslag.» en: «Ik heb gezegd: naar mijn stellige oordeel is dat niet het geval.» en: « Het is dus niet zo dat we hier nu staan en dat ik zeg dat er naar mijn oordeel jarenlang in strijd met wet- en regelgeving is gehandeld.» Hoe oordeelt u daar nu over?

In mijn brief van 12 april is toegelicht, en dat heb ik tijdens het debat met uw Kamer op 15 juni 2021 herhaald, dat binnen de NCTV vaker discussie is geweest over de juridische grondslag van internetmonitoring, maar dat de heersende opvatting steeds is geweest dat er een algemene rechtsgrondslag voor deze activiteit was, ook al was die niet vastgelegd in een formele wet. Internetmonitoring door de NCTV is een werkwijze waarover uw Kamer door de jaren heen meermaals is geïnformeerd3, waarover in het verleden transparantie is betracht door het aan te melden voor het openbare verwerkingenregister onder het destijds geldende regiem van de Wet bescherming persoonsgegevens en waarover niet door een rechter of toezichthouder was geoordeeld dat de juridische grondslag ontbrak. Door het project Taken en Grondslagen kwam de NCTV echter zelf tot het inzicht dat die algemene rechtsgrondslag gezien de rechtsontwikkeling naar huidige maatstaven als juridisch kwetsbaar moet worden bestempeld en dat de tot dan toe gehanteerde juridische grondslag, verstevigd zou moeten worden door de introductie van een grondslag in een formele wet.

Vraag 4

Is de NCTV, ondanks het ontbreken van een wettelijke grondslag, doorgegaan met de taken waarvoor deze grondslag ontbrak? Zo ja, welke taken zijn dit?

In de kamerbrief van 12 april is toegelicht dat de uitkomsten van het project Taken en Grondslagen er in de eerste plaats toe hebben geleid dat specifieke werkzaamheden waarbij de verwerking van persoonsgegevens het meest verstrekkend werd geacht per 31 maart 2021 werden opgeschort en op dit moment ook niet meer worden uitgeoefend: het verstrekken van duidingen over individuele personen ten behoeve van zowel de Taskforce Problematisch Gedrag en Ongewenste Buitenlandse Financiering, alsmede op verzoek van lokale overheden.
Zoals ook gemeld in de Kamerbrief die uw Kamer gelijktijdig met de beantwoording van deze vragen ontvangt over de werkzaamheden van de NCTV is op grond van correspondentie met de Autoriteit Persoonsgegevens (AP) over deze materie in juli van dit jaar besloten om voorlopig nog meer werkzaamheden van de NCTV op te schorten in afwachting van de inwerkingtreding van de Wet verwerking persoonsgegevens coördinatie en analyse terrorismebestrijding en nationale veiligheid.
Die verdere opschorting van werkzaamheden betekent concreet dat de NCTV voorlopig geen online openbare uitingen meer duidt om te beoordelen of deze passen binnen een bepaalde trend of fenomeen die in potentie de stabiliteit van Nederland kan ontwrichten en of er in dat kader maatregelen ter verhoging van de weerbaarheid moeten worden bevorderd. Het moge ook duidelijk zijn dat dit het belang van de nationale veiligheid niet ten goede komt. Om die reden hecht ik veel waarde aan de voortgang van het voorstel voor een Wet verwerking persoonsgegevens coördinatie en analyse terrorismebestrijding en nationale veiligheid.

Vraag 5

Waarom is er niet ingegrepen in 2018, toen er ook werd aangegeven dat er niet voldoende basis was voor alle werkzaamheden van de NCTV?

In verband met de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) op 25 mei 2018 is binnen de NCTV in 2018 het project «Implementatie AVG» gestart. In dat proces zijn ook de kwetsbaarheden ten aanzien van de juridische grondslag voor de verwerking van persoonsgegevens in kaart gebracht. Daarnaast zijn aandachtspunten opgeleverd om de werkprocessen in lijn met de vereisten uit de AVG te brengen. Dat laatste heeft ertoe geleid dat er binnen de NCTV een doorlopend NCTV-privacyproject is opgezet gericht op naleving van de AVG. Zoals ik in de kamerbrief van 12 april heb gemeld, is daarnaast de betrokkenheid van de NCTV bij de aanwijzing in 2019 door de Minister van Onderwijs, Cultuur en Wetenschappen om het schoolbestuur van het Cornelius Haga Lyceum te vervangen en de vernietiging daarvan door de Rechtbank Amsterdam, aanleiding geweest voor de NCTV om in februari 2020 het project Taken en Grondslagen te starten. Doel was om scherp in beeld te krijgen bij welke NCTV-activiteiten de juridische grondslag, met name in relatie tot de verwerking van persoonsgegevens, een knelpunt zou kunnen vormen en waar juridische versteviging nodig is. Ten gevolge van de Covid19-pandemie en de inzet van het juridisch cluster ten behoeve van de NCTV-crisisorganisatie heeft dit project direct na de start in februari 2020 tot in oktober 2020 stilgelegen.

Vraag 6

Hoeveel juridische adviezen zijn er sinds 2013 afgegeven over de werkwijze van de NCTV? Hoeveel daarvan zijn niet opgevolgd? Kunt u een lijst van deze onderzoeken sturen?

Daar is geen lijst van bijgehouden. In het algemeen geldt dat juristen actief bij beleidsdossiers worden betrokken vanwege de centrale adviesfunctie die zij vervullen binnen de NCTV, zodat zij mij op die manier kunnen wijzen op eventuele juridische risico’s indien zich juridische dilemma’s voordoen. Deze worden vervolgens betrokken in de weging van alle invalshoeken die plaatsvindt bij beleidsbeslissingen.

Vraag 7

Waarom kan er geen openbaarheid worden gegeven over welke taken de NCTV uitvoert? Waarom zijn deze passages zwartgelakt in het WOB-verzoek van de NRC?

Van een aantal passages is op grond van de Wob geoordeeld deze niet openbaar te maken. Dit kan onder meer samenhangen met informatie die betrekking heeft op een rechtszaak of partnerorganisaties. Eveneens heb ik persoonlijke waarderingen van een enkele ambtenaar met betrekking tot de keuze van een of meer voorbeelden niet openbaar gemaakt, omdat dit zonder kennis van andere situaties een vertekend beeld zou geven. Die voorbeelden zijn selectief en missen daarmee context. In het bijbehorend besluit is per document toegelicht waarom bepaalde passages niet openbaar zijn gemaakt op grond van de Wob.

Vraag 8

Waarom heeft het zo lang geduurd voordat de gevraagde stukken naar de indieners van het WOB-verzoek zijn gestuurd?

Het Wob-verzoek dat is ingediend beslaat een lange periode en eventuele relevante informatie kan bij veel verschillende medewerkers binnen de NCTV aanwezig zijn. Het traceren van de informatie is hierdoor een bewerkelijk en arbeidsintensief traject en vraagt veel (schaarse) capaciteit van medewerkers. Ook kan het gebruik van informatie- en communicatiemiddelen zeer uiteenlopen waardoor het gericht zoeken over de jaren heen sterk bemoeilijkt wordt. Vervolgens dient die informatie nog beoordeeld te worden aan de hand van de gronden in de artikelen 10 en 11 van de Wob. Gelet op de voorziene lange duur van dit traject is daarom besloten om een eerste deelbesluit uit te brengen met een belangrijk deel van de relevante gevraagde informatie.

Vraag 9

Bent u het ermee eens dat, nu dit nieuws naar buiten is gekomen, de behandeling van het ingediende wetsvoorstel over de grondslagen voor de NCTV in ieder geval gestaakt moet worden totdat de Kamer over deze kwestie volledig geïnformeerd is? Zo nee, waarom niet?

Het kabinet is juist voorstander van een spoedige behandeling van het wetsvoorstel. Doel van het wetsvoorstel is immers de juridische grondslag voor de verwerking van persoonsgegevens te verstevigen en te voorzien van een formeelwettelijke basis. Het staken van de behandeling van dat wetsvoorstel zou in dat licht juist averechts werken. Zie ook het antwoord op vraag 4. In de Kamerbrieven van 12 april en 21 mei 20214 heb ik uitgebreid uiteengezet welke belangrijke bijdrage de NCTV als organisatie heeft geleverd en nog steeds levert aan de veiligheid van Nederland. In het belang van de nationale veiligheid hecht ik dan ook veel waarde aan de voortgang van het wetsvoorstel Wet verwerking persoonsgegevens coördinatie en analyse terrorismebestrijding en nationale veiligheid zodat deze werkzaamheden zo spoedig mogelijk hervat kunnen worden. Het advies van de Afdeling advisering van de Raad van State heb ik onlangs ontvangen en ik verwacht het wetsvoorstel op zeer korte termijn naar uw Kamer te kunnen sturen. De behandeling van het wetsvoorstel betekent ook dat ik met uw Kamer daarover in alle openheid het debat kan voeren.

Vraag 10

Bent u bereid mensen die ongeoorloofd onderwerp waren van een onderzoek door de NCTV omdat hier geen wettelijke basis was, te informeren? Zo nee, waarom niet?

De analysetaak van de NCTV is gericht op trends en fenomenen in het kader van terrorismebestrijding en het versterken van de nationale veiligheid. Voor het maken van fenomeenanalyses zoals het DTN kwam het voor dat persoonsgegevens door de NCTV werden verwerkt voor de duiding van de dreiging. Sommige van deze dreigingen zijn nauw verbonden met bepaalde personen; dit kunnen zowel personen waar een dreiging vanuit kan gaan zijn als personen die bedreigd kunnen worden. De verwerking van persoonsgegevens is dan ook noodzakelijk voor de uitoefening van deze taak, ook al is die taak gericht op de duiding van het fenomeen en niet op die van personen en organisaties. Zoals ook gemeld bij vraag 4 zijn specifieke werkzaamheden waarbij de verwerking van persoonsgegevens het meest verstrekkend werd geacht opgeschort en is op grond van correspondentie met de Autoriteit Persoonsgegevens (AP) over deze materie in juli van dit jaar besloten om voorlopig nog meer werkzaamheden van de NCTV op te schorten in afwachting van de inwerkingtreding van de Wet verwerking persoonsgegevens coördinatie en analyse terrorismebestrijding en nationale veiligheid.
Sinds het verschijnen van de Kamerbrieven van 12 april en 21 mei en het Kamerdebat van 15 juni heeft de NCTV reeds een groot aantal inzageverzoeken op grond van de AVG ontvangen. Mensen die willen weten of hun gegevens door de NCTV zijn verwerkt, kunnen bij het ministerie terecht. Elk van deze verzoeken wordt zorgvuldig afgehandeld en mondt uit in een aan de verzoeker gericht besluit op zijn verzoek.
De hierboven geschetste ontwikkelingen zullen, gegeven de omstandigheden van elk afzonderlijk geval, worden meegewogen bij een beoordeling van alle lopende verzoeken.
Op basis van een inzageverzoek vindt een zoekslag plaats om te kijken of en zo ja welke persoonsgegevens bij de NCTV berusten. Zodoende wordt de beschikbare informatie voor het opstellen van het besluit eerst bijeengebracht. Ook dit is een bewerkelijk en arbeidsintensief traject. Er bestaan geen lijsten of overzichten van namen welke personen in het kader van een fenomeen zijn meegenomen in een duiding en of analyse.

Vraag 11

Kunt u een inschatting geven van de juridische risico’s voor de NCTV, nu duidelijk wordt dat er geen basis voor alle werkzaamheden was?

In verband met het belang dat ik hecht aan naleving van de AVG en rechtsstatelijke normen en om eventuele juridische risico’s te mitigeren heb ik diverse werkzaamheden van de NCTV opgeschort in afwachting van een steviger wettelijke grondslag, ook met het oog op de beperking van juridische risico’s. De NCTV is met de start van het project Taken en Grondslagen in februari 2020 een weg ingeslagen die ik nog steeds onderschrijf: de organisatie toekomstbestendig maken en de taken en grondslagen juridisch beter verankeren en versterken.

Vraag 1

Kunt u een nadere duiding geven van de waarschuwing dat «De aanwezigheid van Russische onderzeeërs in de Noordzee is reden tot zorg. Soms vertonen zij verdacht gedrag, wat erop kan duiden dat mogelijk datakabels worden afgetapt met vitale informatie over onze economie en veiligheid»?1

De opbouw van het Russisch militair vermogen oefent druk uit op het NAVO-bondgenootschap. Een specifieke dreiging gaat uit tegen onderzeese infrastructuur (bijvoorbeeld onderzeekabels). Russische entiteiten brengen deze infrastructuur in kaart en ondernemen activiteiten die mogelijk duiden op spionage en op voorbereidingshandelingen voor verstoring en sabotage.2

Vraag 2

Kunt u aangeven hoeveel datakabels en data er Nederland in- en uitstromen via de zee in vergelijking met andere relevante landen, en daarbij tenminste ingaan op Frankrijk, Groot-Brittannië, België, Denemarken, Noorwegen en Zweden? Kunt u hierbij ook aangeven in hoeverre het gaat om data van Nederlandse instellingen, dan wel data van buitenlandse entiteiten die via Nederland wordt doorgeleid?

Landen worden onderling met elkaar verbonden door glasvezelverbindingen over land en door de zee. Verbindingen door de zee zijn daarbij essentieel om continenten met elkaar te verbinden en om lange afstanden af te leggen. Er landen in Nederland op dit moment elf kabels aan waarvan zeven kabels Nederland met de oostkust van Groot-Brittannië verbinden, één kabel met het zuiden van Groot-Brittannië, twee kabels met Denemarken en één kabel met België. Groot-Brittannië is vervolgens met meerdere zeekabels verbonden met Noord-Amerika, Frankrijk, Spanje, België Ierland, IJsland, Denemarken en Noorwegen. Groot-Brittannië heeft een groot aantal kabels omdat het immers voor een groot deel afhankelijk is van connectiviteit via zeekabels. België is over zee enkel verbonden met Nederland en Groot-Brittannië. Zoals eerder vermeld is Denemarken verbonden met Nederland, verder heeft zij zeekabelverbindingen naar Noorwegen, Zweden, Duitsland, IJsland en Groot-Brittannië. Noorwegen heeft verder nog een zeekabelverbinding met Ierland. Zweden heeft gezien haar ligging alleen verbindingen via de Oostzee waardoor zij een zeekabelverbinding heeft met Estland, Letland, Litouwen, Polen en Finland. Een actueel overzicht van alle zeekabels is online te raadplegen3.
Een enkele kabel kan tientallen terabits/s zo niet honderden terabits/s verzenden. Het is niet te zeggen hoeveel data daarvan data betreft van Nederlandse instellingen of bedrijven dan wel buitenlandse entiteiten. Wel kan gesteld worden dat verkeer over (Trans-Atlantische)zeekabels internationaal verkeer is en dat veel data dat al dan niet via Nederland gestuurd wordt, ook onderweg is naar andere landen.

Vraag 3

Deelt u de mening dat het zorgen voor de integriteit van deze data een vitaal nationaal belang is, ook op het moment dat deze data zich in een kabel bevinden die buiten de Nederlandse territoriale wateren ligt?

Zoals vermeld in het antwoord op vraag 1 vormen statelijke dreigingen een risico voor de veiligheid van zeekabels4. Zeekabels die data transporteren vormen een belangrijk onderdeel van de mondiale digitale ruimte. Zoals aangegeven in het Cybersecuritybeeld Nederland 2021 zijn al onze digitale processen, waaronder vitale processen, sterk verweven en afhankelijk van deze mondiale digitale ruimte. Wanneer statelijke actoren op grote schaal onderzeese kabels aftappen voor inlichtingenvergaring of – ten tijde van conflicten – die kabels saboteren schendt dat de integriteit en exclusiviteit van data met mogelijk grote gevolgen voor het functioneren van digitale processen waaronder vitale processen5. Wanneer vitale processen worden aangetast kan dat gevolgen hebben voor de Nederlandse nationale veiligheid. Om die reden vindt het Kabinet, zoals aangegeven in de brief Veiligheid van zeekabels van 2 juli 2021, het belangrijk dat zeekabels veilig zijn en volgt de ontwikkelingen rond de veiligheid van zeekabels, zowel binnen als buiten de territoriale wateren, nauwlettend. In dat kader staat de veiligheid van zeekabels ook internationaal op de agenda bij de NAVO en de EU6.

Vraag 4

Welke risico’s zijn er voor de positie van Nederland als Europese data hub indien Nederland de integriteit van deze data niet kan beschermen?

De bescherming van data is geen uitdaging die zich beperkt tot Nederland en ook zeker niet tot zeekabels. Datastromen gaan via kabels over land door internet exchanges, datacenters en zeekabels en kunnen hiermee ook andere landen en continenten doorkruisen. Op het gebied van regulering van data gaat er de komende tijd met de uitwerking van de Digital Governance Act (DGA) en de Data Act (DA) in Europa veel veranderen juist ook om op het gebied van integriteit meer waarborgen te hebben. Deze regulering is namelijk gericht op het versterken van de governance van de interne markt voor data, op het beter delen en beschikbaar maken van data, en op het creëren van waarborgen voor beschermde data in de internationale context.

Vraag 5

Betekent de inschatting dat «mogelijk datakabels worden afgetapt» dat er geen goed zicht is op de vraag of dit daadwerkelijk gebeurt?

Om operationele redenen kunnen we hierop geen nadere toelichting geven.

Vraag 6

Maken verdachte scheepsbewegingen in de regel onderdeel uit van diepzeewater onderzoeksinstituut GUGI of gebeurt het ook buiten dat verband?

Verdachte scheepsbewegingen gebeuren ook buiten dit verband.

Vraag 7

Welke maatregelen vinden er op dit moment plaats om datakabels te beschermen?

Zoals de Minister van Defensie eerder aan uw Kamer tijdens het Commissiedebat over de NAVO-top op 7 juni jl. heeft aangegeven, houdt ook de Noord-Atlantische Verdragsorganisatie (NAVO) de ontwikkelingen rond de veiligheid van zeekabels in de gaten. Ook in het onderwaterdomein geldt dat het versterken van de bondgenootschappelijke afschrikking en verdediging van belang is. Daarnaast is er onlangs in VN-verband door de United Nations Group of Governmental Experts (UNGGE) bij consensus de aanbeveling vastgesteld dat staten geen actie mogen ondernemen die opzettelijk kritieke infrastructuur beschadigt of anderszins het gebruik van kritieke infrastructuur schaadt, zoals infrastructuur tussen verschillende staten die essentieel is voor de algemene beschikbaarheid of integriteit van het internet.
Zeekabels die zijn aan te merken als onderdeel van openbare elektronische communicatienetwerken en -diensten moeten voldoen aan de gestelde zorgplichten in de Telecommunicatiewet (Tw).7
Gezien het grensoverschrijdende karakter van de zeekabels en de data die erover getransporteerd wordt, is Europese en internationale samenwerking essentieel.

Vraag 8

Zijn er afspraken gemaakt met de eigenaren van de kabels om elke storing te melden?

Aanbieders van openbare elektronische communicatienetwerken en -diensten op grond van artikel 11a.2, eerste lid Tw een meldplicht van incidenten. Dat betekent dat zij incidenten waarbij er sprake is van een inbreuk op de veiligheid of een verlies van integriteit, waardoor de continuïteit van openbare elektronische communicatienetwerken en openbare elektronische communicatiediensten in belangrijke mate worden onderbroken, moeten melden bij toezichthouder Agentschap Telecom. Andere Europese lidstaten kennen een soortgelijke meldplicht.

Vraag 9

Wordt elke melding van een storing onderzocht en geattribueerd?

Agentschap Telecom beoordeelt meldingen die binnen komen op basis van de hiervoor genoemde Tw. Bij voldoende aanleiding kan een melding leiden tot de start van een onderzoek. In Nederland zijn geen incidenten met zeekabels gemeld.

Vraag 10

Welke instanties hebben mogelijk een rol bij het onderzoeken van incidenten? Spelen ook civiele elementen zoals de kustwacht, Nationaal Cyber Security Centrum (NCSC) of andere diensten een rol?

Vraag 11

Zijn bedrijven die eigenaar of beheerder zijn van de datakabels verplicht het te melden als zij een onregelmatigheid detecteren die kan wijzen op onderzees aftappen door een buitenlandse mogendheid? Kunt u hiernaast ook aangeven in hoeverre dergelijke meldingen al dan niet plaatsvinden?

Zoals eerder genoemd zijn hebben aanbieders van openbare elektronische communicatienetwerken en -diensten op grond van artikel 11a.2, eerste lid Tw een meldplicht van incidenten. Dat betekent dat zij incidenten waarbij er sprake is van een inbreuk op de veiligheid of een verlies van integriteit waardoor de continuïteit van openbare elektronische communicatienetwerken en openbare elektronische communicatiediensten in belangrijke mate worden onderbroken moeten melden bij toezichthouder Agentschap Telecom. In Nederland zijn geen incidenten gemeld bij het Agentschap Telecom op dit vlak.
Ook dienen aanbieders op grond van artikel 11.3 Tw technische en organisatorische maatregelen te treffen ten behoeve van de veiligheid en beveiliging van de door hen aangeboden netwerken en diensten in het belang van de bescherming van de persoonsgegevens en de bescherming van de persoonlijke levenssfeer van abonnees en gebruikers. Indien een inbreuk op die beveiliging zich voordoet heeft de aanbieder van een openbare elektronische communicatiedienst op grond van artikel 11.3a Tw de verplichting die inbreuk, onverwijld nadat hij die inbreuk heeft geconstateerd, te melden bij de Autoriteit Persoonsgegevens. Bij de Autoriteit Persoonsgegevens zijn geen meldingen bekend op dit vlak.

Vraag 12

Zijn bedrijven die eigenaar of beheerder zijn van de datakabels verplicht om detectiesystemen te hebben die het kunnen signaleren als een derde partij onder zee aan hun kabel zit?

Een aanbieder van openbare elektronische communicatienetwerken en -diensten moeten op basis van artikel 11a.1 van de Tw passende technische en organisatorische maatregelen nemen voor het beheersen van de risico’s voor de veiligheid en integriteit van hun netwerken en diensten. Detectie kan daar een onderdeel van zijn, net zoals andere maatregelen zoals sterke encryptie.

Vraag 13

Als de verplichtingen uit bovenstaande vragen niet bestaan, kunt u dan aangeven of er landen binnen de NAVO of de EU zijn die een dergelijke verplichting wel hebben?

Zie antwoord vraag 12.

Vraag 14

Welke capaciteiten heeft de Nederlandse marine om Nederlandse datakabels te monitoren en te beschermen, en in hoeverre worden deze capaciteiten daarvoor ingezet?

De Koninklijke Marine heeft op dit moment geen capaciteiten om Nederlands datakabels te monitoren en te beschermen. De Koninklijke Marine beschikt wel over capaciteiten (als fregatten, onderzeeboten en NH90 helikopters) voor indirecte datakabel bescherming en kan daarmee oppervlakte eenheden en onderzeeboten detecteren, volgen en eventueel neutraliseren.

Vraag 15

Welke meerwaarde bieden onderzeeboten bij het beschermen van datakabels?

Datakabels, of in bredere zin onderzeese infrastructuur, kunnen worden bedreigd door onderzeeboten die speciaal zijn toegerust voor dit doel. Op deze manier kan een potentiele tegenstander die over zulke onderzeeboten beschikt, onopgemerkt en dus ongehinderd zijn doel bereiken. Deze heimelijke wijze van het bedrijven van offensieve seabed warfare vormt een actuele en reële dreiging. Een effectief middel voor het bestrijden van onderzeeboten, zijn eigen onderzeeboten. Dit is een kerntaak van de huidige en toekomstige onderzeeboten van de Koninklijke Marine. De meerwaarde van onze eigen onderzeeboten is onder andere het kunnen detecteren, monitoren en eventueel neutraliseren van onderzeeboten gericht op seabed warfare. De wetenschap alleen al van mogelijke inzet van onderzeeboten dwingt de opponent zijn eigen eenheden te beschermen, waardoor hij zijn heimelijke capaciteiten minder makkelijk kan inzetten.

Vraag 16

Welke meerwaarde biedt een gespecialiseerd monitoringsschip zoals de Britse marine gaat kopen als aangekondigd in de Britse defensievisie «Defence in a Competitive Age»?

Over de concrete meerwaarde van het genoemde monitoringsschip kan ik u op dit moment niets toelichten omdat ik geen zicht heb op de volledige capaciteit hiervan.

Vraag 17

In hoeverre zijn Nederlandse datakabels straks minder beveiligd dan de Britse als Nederland niet over een dergelijk schip beschikt?

Hierop kan ik u geen concreet antwoord geven omdat ik op dit moment geen volledig zicht heb op de capaciteit van de Britten op dit vlak. Wel kan ik aangeven dat de beveiliging van de fysieke zeekabels en de data die hierover getransporteerd wordt altijd een internationale aangelegenheid zal zijn. We zijn hierover in gesprek binnen het bondgenootschap.

Vraag 18

Welk risico’s voor sabotage van de kabels zijn er? Kunt u hierbij ook ingaan op de mogelijkheid dat verdachte Russische activiteiten niet alleen dienen voor het aftappen van gegevens, maar ook dienen als verkenning voor mogelijke latere sabotage, of dienen om apparatuur te plaatsen die eventueel in een later stadium de kabels kan saboteren?

Er is een dreiging tegen onderzeese kabels en andere zeebodem-gebonden infrastructuur. Over de precieze aard van deze potentiele dreiging kunnen we om operationele redenen niet in gaan.

Vraag 19

Welke risico’s en kwetsbaarheden brengen bovengenoemde mogelijke Russische voorbereidingshandelingen met zich mee voor de geopolitieke en militaire positie van Nederland en de NAVO in het geval van een gewapend conflict of een escalatie van spanningen door middel van hybride middelen?

In de huidige gemondialiseerde samenleving, waarin het economische en maatschappelijke belang van met name internetverkeer steeds verder toeneemt, is het essentieel dat de veiligheid van zeekabels gegarandeerd blijft. De NAVO houdt de ontwikkelingen rond de veiligheid van zeekabels in de gaten. Zeekabels spelen thans ook een rol bij de civiele en militaire communicatie tussen NAVO-bondgenoten. De bondgenootschappelijke afschrikking en verdediging is daarom ook in het onderwaterdomein van groot belang. Sinds 2014 heeft de NAVO de bondgenootschappelijke afschrikking en verdediging versterkt. De NAVO heeft in dit kader de beschikking over zowel militaire als niet-militaire capaciteiten en middelen om uitdagingen en dreigingen te adresseren in de vijf operationele domeinen van het bondgenootschap, die naast zee ook land, lucht, de ruimte en cyber betreffen.

Vraag 20

Kunt u bovenstaande vragen afzonderlijk beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht «Vrees voor Chinese spionage via douanescanners in haven Rotterdam»?1

Ja.

Vraag 2

Klopt het dat bij de Nederlandse douane in de Rotterdamse haven, op vliegvelden en bij distributiecentra scanners worden gebruikt van het Chinese bedrijf Nuctech voor het controleren van goederen? Zo ja, voor welke taken worden deze scanners precies ingezet? Worden alle scanners als «standalone» gebruikt? Zo nee, hoeveel niet?

De Nederlandse Douane (hierna: de Douane) zet in de Rotterdamse haven, op de vliegvelden en bij distributiecentra scanners in, waaronder scanners van Nuctech. De scanners worden ingezet voor controle van goederen die de EU binnenkomen en uitgaan in o.a. containers, reizigersbagage, post- en koerierspakketten. Met de X-Ray scans wordt een scanbeeld gemaakt van de inhoud van containers. In de Rotterdamse haven zijn zeven grote ladingscanners geïnstalleerd, waaronder vier van Nuctech. Deze scanners zijn door middel van een gesloten glasvezel netwerk verbonden met het douanekantoor Maasvlakte. Alle overige scanners in gebruik bij de Douane worden «standalone» gebruikt.

Vraag 3

Op welke Nederlandse vliegvelden en bij welke Nederlandse distributiecentra wordt gebruik gemaakt van Nuctech scanners? Zijn er nog andere Nederlandse instellingen/sectoren waar gebruik wordt gemaakt van Nuctech scanners? Zo ja, welke?

Nuctech maakt scanners voor uiteenlopende doeleinden. De overheid houdt geen totaaloverzicht bij van scanapparatuur die wordt gebruikt door de instellingen en sectoren.
Specifiek voor de Douane geldt dat de Douane Nuctech scanners inzet op de luchthavens Schiphol en Maastricht Aachen Airport voor vracht en reizigersbagage. Op Rotterdam The Hague Airport zet de Douane de scanners in voor reizigersbagage. Tevens zet de Douane scanners van Nuctech in bij distributiecentra, zoals de postsorteercentra.

Vraag 4

Is er een risico- en veiligheidsanalyse vooraf gegaan aan het besluit om de scanners van Nuctech aan te schaffen in onze mainports? Zo ja, is hierbij advies ingewonnen van (digitale) veiligheidsexperts over bijvoorbeeld het inbouwen van achterdeurtjes en het hanteren van een mogelijkekill switch? Zo nee, waarom niet?

De Douane besteedt structureel – onafhankelijk welke leverancier scan apparatuur levert – aandacht aan de bescherming en beveiliging van gegevens. Scan-apparatuur wordt door de Douane aangeschaft via wettelijk voorgeschreven inkoopprocedures op grond van de Aanbestedingswet. In een aanbesteding wordt getoetst of op een inschrijver de wettelijke uitsluitingsgronden uit de Aanbestedingswet van toepassing zijn.
Daarnaast maakt de Douane bij nieuwe aanbestedingen gebruik van het instrumentarium om risico’s voor de nationale veiligheid bij inkoop en aanbesteding te adresseren. Dit instrumentarium is eind 2018 ontwikkeld ter ondersteuning van het ten aanzien van nationale veiligheidsrisico’s verscherpt inkoop- en aanbestedingsbeleid voor de rijksoverheid. Bij de aanbesteding van de Nuctech scanners is het instrumentarium niet toegepast, omdat de quickscan op dat moment nog niet geïmplementeerd was. Bij toekomstige scan- en detectie aanbestedingen wordt het instrumentarium wel toegepast. Een nadere toelichting op dit beleid en instrumentarium wordt gegeven bij de beantwoording van vraag 5.
Tevens laat de Douane een externe audit uitvoeren op de scan- en detectiesystemen en daaraan gerelateerde IT-inrichting, om te verzekeren dat de scan- en detectieprocessen zo veilig mogelijk zijn ingericht. De opdracht voor dit onderzoek is in september geïnitieerd nadat de Douane signalen ontving over de Nuctech scanners en het onderzoek zal in maart starten. Het doel van het onderzoek is om inzicht te verschaffen in het niveau van de informatiebeveiliging van de scan- en detectiesystemen en daaraan gerelateerde IT-inrichting. Ook wil de Douane geïnformeerd worden over mogelijke risico’s en advies over eventuele mitigerende maatregelen. Verwacht wordt dat de resultaten van het onderzoek in de zomer beschikbaar zijn. Daarnaast wordt in samenspraak met andere relevante overheidspartijen aanvullend onderzoek uitgevoerd, waarin de resultaten van deze externe audit worden meegenomen.

Vraag 5

Hoe beoordeelt u het grootschalige Nederlandse gebruik van Nuctech scanners in onze mainports met het oog op de constatering van onze inlichtingendiensten dat China een «offensief cyberprogramma heeft tegen Nederlandse belangen" en dat het daarom «onwenselijk is voor de uitwisseling van gevoelige informatie/of vitale processen afhankelijk te zijn van IT-producten of diensten uit een land als China»?2

Zoals in het Dreigingsbeeld Statelijke Actoren (DBSA)3 beschreven, is een toenemende afhankelijkheid van buitenlandse technologie een gegeven, aangezien geen land beschikt over alle kennis en productiemiddelen om technologisch onafhankelijk te opereren. Wel bestaat het risico dat met technologische toeleveringen de digitale spionage- en sabotagemogelijkheden toenemen.
Risico’s voor de nationale veiligheid kunnen met name ontstaan wanneer deze technologie de Nederlandse vitale infrastructuur raakt, of wanneer deze technologie raakt aan gevoelige kennis en informatie. Een aanvullend risico kan ontstaan als er betrokkenheid is van leveranciers uit bepaalde landen die via nationale wet- en regelgeving gedwongen kunnen worden tot medewerking aan inlichtingenactiviteiten. De risico’s voor de nationale veiligheid worden verder vergroot als het landen betreft die een offensief cyberprogramma voeren tegen de Nederlandse belangen en wanneer (technische) mogelijkheden om risico’s te adresseren niet voorhanden zijn.
Om de weerbaarheid tegen deze dreiging te vergroten werkt de Minister van Justitie en Veiligheid samen met partners binnen en buiten de overheid aan de aanpak statelijke dreigingen, waarover uw Kamer op 3 februari j.l. de laatste stand van zaken heeft ontvangen4. Bij elke casus moet worden bezien hoe risico’s voor de nationale veiligheid beheersbaar kunnen worden gemaakt. Uitgangspunt is dat maatregelen die hiertoe genomen worden proportioneel zijn. Dit vergt een gedetailleerde analyse van de te beschermen belangen, de dreiging en de (huidige) weerbaarheid.
Met betrekking tot het door uw Kamer genoemde vraagstuk is specifiek het overheidsbeleid dat nationale veiligheidsoverwegingen worden meegewogen bij de inkoop en aanbesteding van producten en diensten relevant. Bij de aanschaf van gevoelige apparatuur zal volgens dit beleid bij aanschaf en implementatie rekening gehouden worden met zowel eventuele risico’s in relatie tot de leverancier, als met het concrete gebruik van de systemen, bijvoorbeeld waar het gaat om de toegang tot systemen door derden. Dit ten aanzien van nationale veiligheidsrisico’s verscherpt inkoop en aanbestedingsbeleid is eind 2018 geïmplementeerd voor de rijksoverheid.
Ter ondersteuning van dit beleid is instrumentarium ontwikkeld dat organisaties handvatten biedt bij het maken van een risicoanalyse en het nemen van mitigerende maatregelen. Behoeftestellende partijen zijn zelf verantwoordelijk voor de toepassing van dit instrumentarium en het meewegen van nationale veiligheidsrisico’s. Het instrumentarium is ter beschikking gesteld binnen de rijksoverheid en medeoverheden, alsmede aan organisaties die onderdeel zijn van de vitale processen. De Douane past dit instrumentarium toe bij nieuwe aanbestedingen.

Vraag 6

Hoe beoordeelt u het besluit van Litouwen, Canada en de Verenigde Staten om de Nuctech scanners te weren vanwege het risico op spionage en misbruik van data door de Chinese overheid? Hoe beoordeelt u de constatering van de Amerikaanse Senaat dat Nuctech indirect is verbonden met het Chinese leger? Hoe beschouwt u bovenstaande in het licht van het Nederlandse gebruik van de Nuctech scanners en bijbehorende veiligheidsrisico’s voor Nederland en in hoeverre bent u van mening dat aanschaf van Nuctech scanners nadere overweging verdient?

Het kabinet heeft aandacht voor ontwikkelingen in technologieën en kwetsbaarheden daarin. Ook de internationale (beleids)ontwikkelingen worden door het kabinet gevolgd.
Nederland maakt altijd een eigenstandige afweging. De Nederlandse overheid beziet de risico’s die verbonden zijn aan producten en bedrijven op een zorgvuldige «case by case» basis.
Bij de beoordeling van risico’s ten aanzien van spionage, beïnvloeding of sabotage door statelijke actoren of andere partijen bij (digitale) producten hanteert het kabinet de overwegingen die zowel bij c20005 als bij de veiligheid van de telecomnetwerken6 zijn gebruikt:
Deze overwegingen worden meegenomen is het in ons antwoord op vraag 4 genoemde aanvullende onderzoek, dat in samenspraak met andere relevante overheidspartijen wordt uitgevoerd.
In algemene zin kan worden gesteld dat de Chinese overheid nauw betrokken is bij het Chinese bedrijfsleven, zowel via staatsbedrijven als private bedrijven, en dat er sprake is van nauwe verwevenheid tussen civiele en militaire sectoren in China. Dit wordt ook beschreven in de beleidsnotitie «Nederland-China: een nieuwe balans»7. Over het kennisniveau van de Inlichtingen- en Veiligheidsdiensten worden in het openbaar geen uitspraken gedaan.

Vraag 7

Deelt u de mening dat het uit veiligheidsoogpunt zeer onwenselijk is dat een Chinees staatsgecontroleerd bedrijf nauw is betrokken bij strategische plekken in onze grensbewaking? Zo ja, bent u bereid om preventieve maatregelen te nemen die risico’s op Chinese spionage beperken? Bent u bereid hiervoor onderzoek te laten doen naar het Nederlands gebruik van Nuctech scanners? Zo nee, waarom niet?

Zoals ook in de beantwoording van vraag 5 omschreven, bestaat het risico dat met technologische toeleveringen digitale spionage- en sabotagemogelijkheden toenemen.
Risico’s voor de nationale veiligheid kunnen met name ontstaan wanneer deze technologie de Nederlandse vitale infrastructuur raakt, of wanneer deze technologie raakt aan gevoelige kennis en informatie. Een aanvullend risico kan ontstaan als er betrokkenheid is van leveranciers uit bepaalde landen die via nationale wet- en regelgeving gedwongen kunnen worden tot medewerking aan inlichtingenactiviteiten. De risico’s voor de nationale veiligheid worden verder vergroot als het landen betreft die een offensief cyberprogramma voeren tegen de Nederlandse belangen en wanneer (technische) mogelijkheden om risico’s te adresseren niet voorhanden zijn.
Bij elke casus moet worden bezien hoe eventuele risico’s voor de nationale veiligheid beheersbaar kunnen worden gemaakt. Uitgangspunt is dat maatregelen die hiertoe genomen worden proportioneel zijn. Dit vergt een gedetailleerde analyse van de te beschermen belangen, de dreiging en de (huidige) weerbaarheid.
Zoals ook vermeld bij de beantwoording van vraag 4, laat de Douane een externe audit uitvoeren op de scan- en detectiesystemen en daaraan gerelateerde IT-inrichting, om te verzekeren dat de scan- en detectieprocessen zo veilig mogelijk zijn ingericht. De opdracht voor dit onderzoek is in september geïnitieerd nadat de Douane signalen ontving over de Nuctech scanners. Daarnaast wordt in samenspraak met andere relevante overheidspartijen aanvullend onderzoek uitgevoerd, waarin de resultaten van deze externe audit worden meegenomen.

Vraag 1

Herinnert u zich uw antwoorden op de schriftelijke vragen van het lid Van Helvert over de beoogde bouw van VN-datacentra in China?1

Ja.

Vraag 2

Kunt u iets uitgebreider ingaan op de taken van het UN Geospatial and Innovation Center en het International Research Center of Big Data en uiteenzetten welke data zullen worden ondergebracht in deze VN-datacentra?

Het United Nations Global Geospatial Knowledge and Innovation Centre in de Chinese stad Deqing is bedoeld om te functioneren als een multilaterale kennis- en innovatiehub die ertoe dient om capaciteiten ten aanzien van ruimtelijke en geografische informatie te bevorderen, gezamenlijke kennis te ontwikkelen, en om ruimtelijke en geografische informatie op nationaal niveau te verbeteren om ontwikkelende landen te helpen bij het realiseren van de Duurzame Ontwikkelingsdoelstellingen (SDG’s). Het centrum valt onder het United Nations Department of Economic and Social Affairs (UNDESA).
Naast het United Nations Global Geospatial Knowledge and Innovation Centrein Deqing zijn op regionaal niveau drie regionale hubs opgericht, namelijk in China (Hangzhou), Rwanda en de Verenigde Arabische Emiraten. Een vierde regionale hub wordt opgericht in Rio de Janeiro. De regionale hubs ondersteunen het werk van het VNGlobal Platform, dat is opgericht door de VN Global Working Group on Big Data. Het hoofddoel van de regionale hub in China is het faciliteren van internationale samenwerking bij de ontwikkeling van officiële statistieken met behulp van nieuwe gegevensbronnen (big data) en innovatieve methoden om landen te helpen bij het meten van de SDG's. Naast het ontwikkelen en delen van kennis over nieuwe methodes, algoritmes en tools, wordt er ook geïnvesteerd in het geven van trainingen in het gebruik van big data voor de gemeenschap van statistici. De regionale hubs zijn gericht op de desbetreffende regio’s, de hub in Hangzhou richt zich met name op Zuidoost Azië en de Pacific.
Het gaat hierbij dus om technische samenwerking met activiteiten gericht op het gezamenlijk ontwikkelen van innovatieve statistische methodologie. Hierbij worden geen vertrouwelijke data (zoals persoonsgegevens) gedeeld. De data die mogelijk gebruikt worden bestaan uit vrij beschikbare gegevens, zoals bijvoorbeeld scheepvaart trackinggegevens (AIS) of geografische gegevens (OpenStreetMap).

Vraag 3

Welke Nederlandse data komen bij de VN-databases in China terecht?

Buiten het mogelijke gebruik van vrij beschikbare gegevens komen er geen vertrouwelijke Nederlandse data (zoals persoonsgegevens) bij de VN-databases in China terecht.

Vraag 4

Deelt u de mening dat de plaatsing van VN-datacentra in China, een systeemrivaal, het land aanzienlijk veel kennis geeft over alle sociale, economische en technologische activiteiten in de wereld en dat dit een absoluut onwenselijke situatie is?

Zoals aangegeven in de antwoorden op de vorige Kamervragen van het lid Van Helvert over dit onderwerp ondersteunt het kabinet het zorgvuldig gebruik van data en onderzoek dat kan bijdragen aan verbetering van het werk van de VN, de implementatie van de SDG’s en de samenwerking tussen VN-lidstaten. Tegelijkertijd brengt het concentreren van wereldwijde datastromen over topografie, infrastructuur en menselijk gedrag in een enkel land mogelijk kwetsbaarheden met zich mee. Technologische ontwikkelingen, bijvoorbeeld op het gebied van big data, spelen immers een rol in de machtsbalans tussen landen. In algemene zin acht het kabinet het van belang dat er duidelijke en controleerbare afspraken komen over de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens.
In het geval van de genoemde VN-datacentra in China ligt de focus op internationale samenwerking met als doel mogelijkheden te ontwikkelen die de doelstellingen van de VN ten goede komen. Het Centraal Bureau voor de Statistiek (CBS) en UNDESA hebben aangegeven dat de data die worden verzameld geen Nederlandse persoonsgegevens bevatten. Door de goede contacten met UNDESA en gelijkgezinde landen is het kabinet in staat om eventuele zorgpunten te signaleren en aan te kaarten, mocht daar in de toekomst sprake van zijn.

Vraag 5

Klopt het dat er intentieverklaringen zijn getekend tussen de Chinese overheid en de VN Department of Economic and Social Affairs, zonder dat er duidelijke en controleerbare afspraken zijn gemaakt over de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens? Deelt u de mening dat dit een vreemde gang van zaken is?

In april 2019 hebben UNDESA en de Chinese overheid een intentieverklaring getekend om de regelingen en modaliteiten voor de oprichting van het centrum in Deqing verder te ontwikkelen. Op dit moment wordt er nog gewerkt aan de verdere ontwikkeling van een memorandum van overeenstemming (MoU) en een gastlandovereenkomst (HCA) tussen de VN en de regering van China. Met betrekking tot de regionale hub in Hangzhou tekenden UNDESA en het Chinese Nationaal Bureau voor de Statistiek in juni 2019 een intentieverklaring, het MoU werd getekend op 7 december 2020.
Het kabinet erkent het belang van duidelijke en controleerbare afspraken over de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens. De bestaande intentieverklaringen tussen UNDESA en de Chinese overheid zijn algemene voorbereidende documenten, die een raamwerk bieden voor samenwerking, waarbij de noodzakelijke zorgvuldigheidsvereisten in acht worden genomen.

Vraag 6

Is het besluit om de datacentra in China te plaatsen definitief? Zo ja, hoe is de VN tot dit besluit gekomen? Zo nee, in hoeverre kunnen de VN-lidstaten nog voor een andere locatie kiezen?

Zoals aangegeven in de antwoorden op de vorige Kamervragen van het lid Van Helvert over dit onderwerp heeft de VN de besluiten bevestigd. Deze zijn m.b.t. het Geospatial Knowledge and Innovation Centre genomen door alle VN-lidstaten onder begeleiding van het VN Committee of Experts on Global Geospatial Information Management (UN-GGIM), dat valt onder ECOSOC en m.b.t. de regionale hub door de VN Global Working Group on Big Data, een intergouvernementele werkgroep waaraan 30 landen en 16 internationale organisaties aan deelnemen, waaronder Nederland. De VN Global Working Group on Big Data valt onder de auspiciën van de VN Statistical Commission, die op zijn beurt onder de ECOSOC valt.

Vraag 7

Herinnert u zich de beleidsnotitie Nederland-China: Een nieuwe balans, waarin u het volgende aangeeft: «In de samenwerking met China blijkt het lastig om bijvoorbeeld vrijheid van meningsuiting en respect voor eigendom en data overeind te houden. De Nederlandse overheid zal daarom beheersmaatregelen nemen, waar mogelijk in EU-kader of via multilaterale afspraken»? Hoe past de plaatsing van VN-datacentra in China binnen deze probleemstelling?2

Zoals aangegeven in het antwoord op de vorige Kamervragen van het lid Van Helvert acht het kabinet het van belang dat er duidelijke en controleerbare afspraken komen over de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens. Het CBS en UNDESA hebben aangegeven dat de data die worden verzameld geen Nederlandse persoonsgegevens bevatten. Door de goede contacten met UNDESA en gelijkgezinde landen is het kabinet in staat om eventuele zorgpunten te signaleren en aan te kaarten, mocht daar in de toekomst sprake van zijn.
Op dit moment voorziet het kabinet in dit verband geen problemen omdat er vooral sprake is van technische samenwerking, er geen vertrouwelijke Nederlandse data worden gebruikt en er nauw contact is met de betrokken partijen. Het kabinet blijft de ontwikkelingen uiteraard nauwgezet volgen.

Vraag 8

Heeft Nederland bij de VN, in het licht van bovenstaande uitspraak, geprobeerd de plaatsing van deze datacentra in China te voorkomen? Zo nee, waarom niet?

Nee. Het kabinet beschikt op dit moment niet over de indicatie dat er zwaarwegende redenen zijn om de plaatsing van deze centra in China te voorkomen.

Vraag 9

Welke andere beheersmaatregelen bent u bereid te nemen om te voorkomen dat Nederlandse (big-)data in China terechtkomt? Bent u bereid bij de VN aan te geven dat Nederland geen data zal delen met de VN indien de VN-datacentra in China worden neergezet?

Zoals aangegeven in het antwoord op vraag 3 komen er geen vertrouwelijke Nederlandse data bij de VN-databases in China terecht. Het kabinet hecht veel waarde aan bescherming van persoonsgegevens en privacybescherming en werkt nauw samen met EU-partners ter uitvoering van de Algemene verordening gegevensbescherming (AVG). Het Centraal Bureau voor Statistiek (CBS), dat in Nederland over deze data beschikt, levert nooit herkenbare gegevens aan derden, ook niet aan andere overheidsinstellingen. Ook in samenwerking met de VN en andere landen, waaronder China, waarborgt het deze standaard.

Vraag 10

Bent u bereid om bij de eerstvolgende Raad Buitenlandse Zaken en NAVO-bijeenkomst deze kwestie op de agenda te plaatsen en te pleiten voor een gemeenschappelijke stellingname tegen de plaatsing van de VN-datacentra in China?

Zoals aangegeven in het antwoord op vraag 7 beschikt het kabinet op dit moment niet over de indicatie dat er sprake is van vergaande problematische ontwikkelingen. Het kabinet blijft de ontwikkelingen echter nauwgezet volgen en zal in de toekomst de optie open houden dit onderwerp te agenderen mocht daarvoor een concrete aanleiding zijn.

Vraag 1

Bent u bekend met het bericht dat de Maltese ambassade in Brussel door China is gebruikt als «spy tower» om Europese instellingen mee te bespioneren?1 2

Ja, het kabinet is bekend met de aangehaalde berichtgeving.

Vraag 2

In hoeverre klopt het dat China heeft betaald voor de verbouwing van de Maltese ambassade die pal naast het gebouw van de Europese Commissie in Brussel ligt?

In een persbericht van de Maltese overheid van 15 mei jl. wordt gesteld dat de verbouwing in 2007 door Malta zelf is betaald. Wel is er volgens het persbericht meubilair gedoneerd door China, waarbij volgens geldende veiligheidsprocedures zou zijn gehandeld. Ook zou het gebouw zowel interne als externe veiligheidskeuringen hebben doorstaan.

Vraag 3

Beschikt u over informatie dat de ambassade inderdaad voor spionageactiviteiten is gebruikt en bent u bereid om de Belgische staat om opheldering te vragen?

In de jaarverslagen van de AIVD en MIVD wordt melding gemaakt van spionagedreiging vanuit statelijke actoren, welke inzicht proberen te krijgen in besluitvorming en deze proberen te beïnvloeden. Het kabinet acht het daarom van belang dat ook de EU waakzaam is op de aantasting van de integriteit en exclusiviteit van kennis en informatie.
Het kabinet doet in het openbaar geen uitspraken over casuïstiek die het actuele kennisniveau en de modus operandi van de Nederlandse inlichtingen- en veiligheidsdiensten raken.

Vraag 4

Zijn bij de Europese Commissie en andere Europese instellingen gevallen bekend van vermoedelijke Chinese spionage, al dan niet via ambassades van EU-lidstaten?

Zie antwoord vraag 3.

Vraag 5

Beschikt u over aanwijzingen dat de ambassade van Malta in Den Haag – die in de directe nabijheid van het Vredespaleis ligt – als «spy tower» wordt gebruikt om internationale instellingen in Nederland te bespioneren?

Het kabinet is alert op pogingen van statelijke actoren om op heimelijke of onwettige wijze inzicht te krijgen in besluitvorming en deze te beïnvloeden. Op basis van een integrale aanpak wordt voortdurend getoetst waar de nationale veiligheidsbelangen in het geding kunnen komen door statelijke actoren, en welke tegenmaatregelen noodzakelijk zijn.
Het kabinet doet in het openbaar geen uitspraken over casuïstiek die het actuele kennisniveau en de modus operandi van de Nederlandse inlichtingen- en veiligheidsdiensten raken.

Vraag 6

Wat doet Nederland om te voorkomen dat China spionagepraktijken via ambassadenetwerken van kleine en/of makkelijk beïnvloedbare staten zoals Malta, opzet en uitvoert op Nederlandse grondgebied?

Het kabinet hanteert een integrale aanpak ten aanzien van statelijke dreigingen die bijvoorbeeld raken aan democratische processen, digitalisering, economische veiligheid, internationale vrede en veiligheid, krijgsmacht en sociale stabiliteit. De inzet op deze thema’s wordt onder verantwoordelijkheid van verschillende bewindspersonen vormgegeven. Perspectieven worden bijeengebracht om voortdurend te toetsen waar de nationale veiligheidsbelangen in het geding kunnen komen door statelijke actoren, en welke tegenmaatregelen noodzakelijk zijn. Informatie hierover staat onder andere in de jaarverslagen van de AIVD en de MIVD, en in de Kamerbrief «Tegengaan statelijke dreigingen» van de Minister van Justitie en Veiligheid van 18 april 2019 (Kamerstuk 30 821, nr. 72).

Vraag 7

Deelt u onze toenemende bezorgdheid over de wijze waarop China probeert (internationale) instellingen te infiltreren, te bespioneren en besluitvormingsprocessen op dubieuze wijze probeert te beïnvloeden? Zo nee, waarom niet?

Het kabinet is alert op pogingen van statelijke actoren om op heimelijke of onwettige wijze inzicht te krijgen in besluitvorming en deze te beïnvloeden, en acht deze activiteiten volstrekt onwenselijk.

Vraag 1

Bent u bekend met de berichten dat Iran een militaire satelliet heeft gelanceerd die zich op 425 kilometer hoogte in een baan rond de aarde zou bevinden?1, 2

Ja.

Vraag 2

Kunt u op basis van eigen inlichtingen of die van bondgenoten bevestigen dat Iran een militaire satelliet in een baan rond de aarde heeft gebracht of dat heeft geprobeerd?

Op basis van openbare bronnen kan worden bevestigd dat Iran een militaire satelliet in een baan rond de aarde heeft gebracht.

Vraag 3

Wat is bij u bekend over het Iraanse ruimtevaartprogramma waar de lancering van de militaire satelliet «Noor» onderdeel van uitmaakt? In hoeverre is dit programma opgezet als dekmantel om (ballistische) raketten te ontwikkelen en testen?

Het ruimtevaartprogramma van de IRGC wordt door Nederland niet beschouwd als onderdeel van het reguliere ruimtevaartprogramma van Iran, waarbij civiele ruimtevaartorganisaties zijn betrokken. Voor zover het kabinet bekend is dit het eerste grote ruimtevaartproject van de IRGC sinds een aantal jaar. Tot op heden is de IRGC verantwoordelijk geweest voor de ontwikkeling van ballistische raketten.

Vraag 4

Bent u van mening dat de raketlancering waarmee de satelliet de ruimte in is gebracht een schending oplevert van de nucleaire deal met Iran, VN-resolutie 2231? Zo ja, welke gevolgen worden aan de schending verbonden? Zo nee, waarom niet?

In het Joint Comprehensive Plan of Action (JCPOA) zijn geen restricties opgenomen over ballistische raketten of raketlanceringen. In VN-Veiligheidsraad resolutie 2231, de resolutie waarmee het nucleaire akkoord is bekrachtigd, wordt Iran opgeroepen geen activiteiten te ondernemen met betrekking tot ballistische raketten die ontworpen zijn om kernwapens te kunnen vervoeren. De lancering van een militaire satelliet door Iran is daarmee geen schending naar de letter van het nucleaire akkoord noch van de resolutie waarmee het akkoord is bekrachtigd. De lancering is echter niet in lijn met de geest van resolutie 2231.

Vraag 5

Indien u geen schending vaststelt, deelt u dan de mening dat de nucleaire deal grandioos tekortschiet omdat de islamitische schurkenstaat Iran dan kennelijk zonder gevolgen raketten kan ontwikkelen waar kernkoppen op geplaatst kunnen worden?

Het kabinet maakt zich zorgen over het ballistische raketprogramma van Iran en spreekt met grote regelmaat in bilateraal en multilateraal verband deze zorgen uit. De recente Iraanse lancering van een militaire satelliet en de zorgen van het kabinet daarover staan los van de waarde die het kabinet hecht aan behoud van het nucleaire akkoord. Het JCPOA blijft effectief in het voorkomen dat Iran een nucleair wapen ontwikkelt, en blijft daarmee van waarde voor Nederlandse en Europese veiligheid.

Vraag 1

Sinds wanneer bent u op de hoogte van de betrokkenheid van ons land bij spionageoperatie «Rubicon»? Wanneer was uw ministerie hiervan op de hoogte? Wie heeft wanneer besloten tot deelname aan deze spionageoperatie? Is deze operatie nog steeds aan de gang?1

In het openbaar worden geen uitspraken gedaan over het kennisniveau en de werkwijze van de inlichtingen- en veiligheidsdiensten.
In algemene zin kunnen we zeggen dat samenwerking met buitenlandse diensten een belangrijk onderdeel is van het werk van de AIVD en de MIVD en noodzakelijk is voor de goede taakuitvoering. De Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) ziet toe op de rechtmatige uitvoering van deze bevoegdheid.

Vraag 2

Sinds wanneer bent u op de hoogte van onze betrokkenheid bij het afluistergenootschap «Maximator»? Wanneer was uw ministerie hiervan op de hoogte? Wie heeft wanneer besloten tot deelname aan dit afluistergenootschap? Is het waar dat dit verbond bestaat uit Nederland, Duitsland, Frankrijk, Zweden en Denemarken? Is dit afluistergenootschap nog altijd actief?

Zie antwoord vraag 1.

Vraag 3

Waarom is het actief afluisteren van buurlanden en bondgenoten zoals België en Italië volgens u gewenst? Waarom is het volgens u geoorloofd? Waarom mogen Nederlandse geheime diensten hier aan meewerken? Gebeurt dit nog altijd?

Zie antwoord vraag 1.

Vraag 4

Welke Nederlandse bedrijven zijn nu of in het verleden direct of indirect betrokken geweest bij «Operatie Rubicon»? Is het waar dat Philips bij deze operatie betrokken is geweest? Wisten deze bedrijven bij wat voor soort operatie zij betrokken waren? Wisten de bedrijven dat in deze operatie agenten en andere betrokkenen om het leven zijn gekomen? Hebben vertegenwoordigers van deze bedrijven zélf ooit gevaar gelopen?

In het openbaar worden geen uitspraken gedaan over het kennisniveau en de werkwijze van de inlichtingen- en veiligheidsdiensten.
In algemene zin geldt dat op grond van artikel 41 van de Wet op de inlichtingen- en veiligheidsdiensten 2017 de diensten bevoegd zijn tot de inzet van agenten. De CTIVD ziet toe op de rechtmatige uitvoering van deze bijzondere bevoegdheid.

Vraag 5

Is het geoorloofd dat vertegenwoordigers van bedrijven, zonder dat ze dit weten, door geheime diensten worden ingezet als agenten? Is het waar dat Crypto AG, maar ook Philips, mensen naar landen als Iran, Saoedi-Arabië, China en Turkije stuurde met afgezwakte apparaten, zonder dat die mensen wisten dat ze betrokken waren bij een operatie in het kader van «Rubicon»? Wanneer wist u dat vertegenwoordigers van bedrijven die, zonder het te weten, actief waren in het kader van «Rubicon», gevangen hebben gezeten en zelfs zijn vermoord in Iran, Pakistan en Saoedi-Arabië?

Zie antwoord vraag 4.

Vraag 6

Welke geheime diensten in ons land waren betrokken bij afluistergenootschap «Maximator»? Welke geheime diensten in ons land waren betrokken bij spionageoperatie «Rubicon»? Hebben bepaalde diensten wél en andere niet bepaalde gegevens gekregen? Wist bijvoorbeeld de Militaire Inlichtingendienst hoe de Binnenlandse Veiligheidsdienst (BVD) was betrokken? Kreeg het Technisch Informatie Verwerkingscentrum (TIVC), de afluisterdienst van de Marine, informatie over de afgezwakte Aroflex die, op verzoek van de National Security Agency (NSA) en met medewerking van het Nationaal Bureau Verbindingsbeveiliging (NBV), een afdeling van de BVD, aan Turkije werd geleverd?

Zie antwoord vraag 1.

Vraag 1

Bent u op de hoogte van de berichtgeving over de extreemrechtse organisatie Feuertag Division?1

Ja, ik heb kennis genomen van de berichtgeving over de extreemrechtse organisatie Feuerkrieg Division. De organisatie Feuertag Division is mij niet bekend.

Vraag 2

Klopt het dat het openbaar ministerie (OM) in Den Haag op de hoogte is van de berichten die de Nederlandse leden van Feuerkrieg Division op internet plaatsen?

Het OM doet geen mededelingen over al dan niet lopende zaken.

Vraag 3

Heeft het OM, de politie of de Algemene Inlichtingen- en Veiligheidsdienst u, al dan niet uitvoerig, op de hoogte gebracht van de activiteiten van Feuertag Division, al dan niet in relatie tot de gebeurtenissen in Hanau op 19 februari jl.?

Het OM, de Nationale Politie noch de Algemene Inlichtingen- en Veiligheidsdienst doet mededelingen over al dan niet lopende zaken. In algemene zin worden ontwikkelingen binnen het rechts-extremisme en de dreiging die daarvan uitgaat, scherp in de gaten gehouden.

Vraag 4

Was de moordenaar van Hanau, Tobias R., ook lid van Feuertag Division, of een andere extreemrechtse organisatie?

Zie antwoord vraag 3.

Vraag 5

Kunt u uitsluiten dat een dergelijke moordaanslag, waarbij negen mensen met een migratieachtergrond zijn omgekomen, ook in Nederland kan plaatsvinden?

Zoals uw Kamer eerder is geïnformeerd in het Dreigingsbeeld Terrorisme Nederland (DTN) nr. 522 en de Kamerbrief naar aanleiding van de aanslag in Hanau3 is de rechts-extremistische scene in Nederland klein, gefragmenteerd en tot nu toe vrijwel geweldloos. De geweldsdreiging in algemene zin is beperkt, maar het rechts-extremistische (online) landschap is aan verandering onderhevig en is daardoor onvoorspelbaarder dan voorheen. Daarbij is het (online) taalgebruik steeds agressiever en opruiender geworden. Ook heerst er in rechts-extremistische kringen een grote fascinatie voor vuurwapens. In Nederland bestaat het risico voornamelijk uit rechts-extremistisch georiënteerde eenlingen die online inspiratie opdoen of uit gewelddadige eenlingen die copy-cat gedrag vertonen naar aanleiding van aanslagen in het buitenland, zoals ook beschreven in het jaarverslag 2019 van de AIVD. Het gebruik van geweld door (snel radicaliserende) rechts-extremistische eenlingen of kleine groepen is een reëel risico volgens NCTV en AIVD.

Vraag 6

Welke acties onderneemt u om een dergelijke terroristische moordaanslag in Nederland te voorkomen?

Het kabinet zet zich in om de rechts-extremistische dreiging tegen te gaan en te voorkomen dat mensen radicaliseren. Zo wordt de lokale, persoonsgerichte aanpak ingezet wanneer er sprake is van radicalisering of rechts-extremistische uitingen door individuen, met als doel de dreiging die van een persoon uitgaat te onderkennen en daarop te interveniëren. Op landelijk niveau zet de overheid zich in om terroristische en extremistische uitingen, zowel online als offline, geen vat te laten krijgen op de samenleving. Wanneer er sprake is van extremistische gedragingen die een vermoeden van een strafbaar feit opleveren, kan het Openbaar Ministerie een strafrechtelijk onderzoek instellen en indien opportuun overgaan tot vervolging. Het Rijksopleidingsinstituut tegengaan Radicalisering (ROR) biedt trainingen aan voor professionals om rechts-extremisme te herkennen en handelingsvaardigheid te bevorderen. De NCTV en de Expertise unit Sociale Stabiliteit (SZW) ondersteunen gemeenten met advies over beleid en (lokale) aanpak. Indien daar aanleiding toe is kan de AIVD een onderzoek starten. Op de werkwijze van de Nederlandse inlichtingen- en veiligheidsdiensten kan ik niet ingaan.

Vraag 7

Wat gaat u ondernemen tegen de activiteiten van Feuertag Division in Nederland?

Indien er concrete aanwijzingen zijn voor een dreiging in Nederland of richting Nederlandse belangen zal daartegen worden opgetreden. Ook partnerlanden houden de dreiging nauwlettend in de gaten en acteren daarop wanneer nodig. In mijn antwoord op vraag 6 ga ik nader in op de aanpak van rechts-extremisme.
Ten aanzien van de Feuerkrieg Division en soortgelijke organisaties dient benadrukt te worden dat deze organisatie geen robuuste presentie heeft in de publieke ruimte in Nederland. Er is hier geen sprake van een traditionele organisatie. Het gaat om individuen die, verspreid over ruim 15 landen, verbinding zoeken op het internet via fluïde verbanden met gemeenschappelijk fascistisch en neonazistisch gedachtengoed.

Vraag 8

Klopt het dat deze organisatie mede wordt geleid vanuit Nederland?

Er is geen sprake van een traditionele organisatie met een duidelijke of formele leiding. De organisatie betreft een fluïde verband waarin personen zich als leider trachten te profileren.
In algemene zin kan ik stellen dat rechts-extremistische online verbanden de laatste jaren een sterk grensoverschrijdend karakter ontwikkeld hebben en zich richten op internationale onderwerpen, waardoor zij verschillende groepen pogen te verenigen en de versplintering binnen het rechts-extremisme proberen tegen te gaan. Eventuele Nederlandse presentie op dit soort fora wordt uiteraard serieus genomen.

Vraag 9

Welke rol speelt de persoon die volgens het artikel deze organisatie zou leiden hierin?

Ik kan geen uitspraken doen over individuele personen. In algemene zin kan ik u melden dat personen die een dreiging vormen voor de nationale veiligheid nauwlettend in de gaten worden gehouden. Het OM, politie, de inlichtingen- en veiligheidsdiensten en andere betrokken organisaties zijn alert. Wanneer er sprake is van extremistische gedragingen die een strafbaar feit opleveren, kan het Openbaar Ministerie onderzoek instellen en overgaan tot vervolging.

Vraag 10

Klopt het dat Feuertag Division een rassenoorlog wil ontketenen en daartoe aanslagen wil plegen? Wat gaat u doen om dit te voorkomen?

In algemene zin kan ik melden dat op veel online rechts-extremistische fora verering van het fascisme, Hitler en neonazisme voorkomt, waarin ook theorieën worden verspreid dat overheden bewust migranten toelaten om rassenvermenging te bespoedigen. In sommige gevallen komt online ook verering van geweld voor om de rassenvermenging tegen te gaan. Het is onacceptabel als personen buitenwettelijke (gewelds)-middelen inzetten tegen andere groepen. In mijn antwoord op vraag 6 ga ik nader in op de aanpak van rechts-extremisme.

Vraag 11

Klopt het dat deze organisatie een aanslag zou willen plegen op de Nederlandse politici Mark Rutte en Jesse Klaver? Wat gaat u doen om dit te voorkomen?

Ik kan geen uitspraken doen over concrete casuïstiek. In algemene zin geldt dat er op internetfora soms sprake is van het publiceren van (persoonlijke) gegevens van een individu, het zogenaamde «doxing». Dit wordt uitermate serieus genomen. In het stelsel Bewaken en Beveiligen werken OM, politie, inlichtingen- en veiligheidsdiensten en bestuurlijke organisaties samen. Binnen dit stelsel is geregeld hoe op basis van dreigings- en risico-informatie tot beveiligingsmaatregelen wordt besloten en wie verantwoordelijk is voor de uitvoering. Over eventuele beveiligingsmaatregelen wordt vanzelfsprekend geen mededeling gedaan.

Vraag 12

Klopt het dat de fietsroute die Mark Rutte aflegt tussen zijn woning en het Binnenhof, op Telegram is gezet?

Zie antwoord vraag 11.

Vraag 13

Klopt het dat deze organisatie het coronavirus wil verspreiden onder bepaalde bevolkingsgroepen?

Op verschillende internationale webfora als 4chan en 8kun worden rechts-extremisten opgeroepen COVID-19 te gebruiken als biologisch wapen tegen bijvoorbeeld moslims en joden. In Nederland is tot nu toe geen sprake van signalen van dergelijke acties of online oproepen daartoe. Ook in Europa is hier nauwelijks sprake van.

Vraag 14

Welke acties gaat u ondernemen om deze extreemrechtse organisatie op te sporen, uit te schakelen en zijn leden te vervolgen?

Zie antwoord 6.

Vraag 1

Kent u de berichtgeving over de gelekte klantenlijst van het Amerikaanse bedrijf Clearview AI waaruit blijkt dat Nederland gebruik heeft gemaakt van omstreden gezichtsherkenningssoftware?1

Ja.

Vraag 2

Bent u ervan op de hoogte dat de software van Clearview het mogelijk maakt om gezichten op camerabeelden van personen te herkennen en identificeren aan de hand van online foto’s en video’s? Vindt u het gebruik van deze technologie wenselijk in een democratische rechtsstaat en in Nederland in het bijzonder?

Ja, daar ben ik van op de hoogte. De berichtgeving over Clearview beschrijft het grootschalig verzamelen van foto’s en bijbehorende identificerende gegevens van het internet door een private partij, alsmede het beschikbaar maken van die gegevens aan betalende partijen. De focus van Clearview lijkt daarbij op opsporingsinstanties te liggen, die dan middels automatische gezichtsherkenning onbekende personen kunnen identificeren. In de Nederlandse verhoudingen vind ik het niet wenselijk om ongericht een dergelijke verzameling van online foto’s aan te leggen om vervolgens te dienen als vergelijkingsmateriaal voor opsporingsfoto’s.

Vraag 3

Welke Nederlandse publieke en/of semipublieke organisaties hebben gebruik gemaakt van de omstreden gezichtsherkenningssoftware? Was u hiervan op de hoogte, ook voorafgaand aan dit besluit? Zo ja, waarom voelde u zich niet genoodzaakt hierover de Kamer te informeren? Zijn ook andere bewindspersonen betrokken geweest bij de besluitvorming rondom Clearview?

Het is mij op dit moment niet bekend of er overheidsdiensten zijn die een product van Clearview in gebruik hebben of hiervan gebruik hebben gemaakt. De Minister van BZK heeft tijdens het AO Digitalisering van 11 maart jl. op vragen van het lid Verhoeven toegezegd breder bij de overheid te bezien of er gebruik wordt of is gemaakt van Clearview en uw Kamer hierover te informeren.
Ik heb mij reeds enkele weken geleden, toen op het internet de eerste melding werd gemaakt van Clearview in relatie tot de Nederlandse politie, laten informeren door de politie. Zij zijn niet centraal benaderd door Clearview, zijn niet op de hoogte van contacten met dat bedrijf, en hebben geen producten afgenomen.

Vraag 4

Welke afspraken, inclusief financiële afspraken, zijn er gemaakt tussen Nederlandse publieke en/of semipublieke organisaties en het bedrijf Clearview AI? Met welke doeleinden hebben Nederlandse publieke en/of semipublieke organisaties de gezichtsherkenningssoftware van Clearview toegepast? Op welke locaties en in welke periode vond dit plaats?

Zoals vermeld in mijn antwoord op vraag 3 ben ik op dit moment niet bekend met enige afspraak tussen een Nederlandse overheidsdienst en Clearview en zal de Minister van BZK hierover uw Kamer informeren.

Vraag 5

Is het toepassen van gezichtsherkenningssoftware conform de Algemene verordening gegevensbescherming (AVG)? Welke mensenrechten kunnen hiermee in het geding zijn, denkt u?

Het gebruiken van gezichtsherkenningssoftware is niet uitgesloten door de AVG. Wel zijn er strenge regels voor het gebruiken van biometrische gegevens, waar sprake van is bij het gebruiken van automatische gezichtsherkenning. Het hangt van de concrete toepassing af of dit in lijn is met de AVG.
Welke mensenrechten in het geding zijn bij het gebruik van gezichtsherkenningstechnologie is sterk afhankelijk van de wijze en context van toepassing. In elk geval kan het van invloed zijn op vrijheidsrechten en het recht op bescherming van de persoonlijke levenssfeer. De Minister voor Rechtsbescherming heeft een brief in voorbereiding over de feitelijke toepassing van gezichtsherkenningstechnologie in Nederland, alsmede het juridisch kader dat daarop van toepassing is. Tevens verschijnt er binnenkort een WODC-rapport over privacyaspecten rondom gezichtsherkenningstechnologie.

Vraag 6

Bent u ervan op de hoogte dat Twitter, Facebook en Google de praktijken van Clearview onwenselijk vinden en dat zij sommeren dat Clearview geen gebruik meer maakt van hun data voor de gezichtsherkenningssoftware?

Ja.

Vraag 7

Bent u bereid om bovenstaande vragen één voor één te beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht «Repatriëring van Nederlandse IS-verdachten uit Syrië op een zijspoor beland»?1

Ja

Vraag 2

Wat is ondernomen sinds de rechter in januari oordeelde dat de overheid alle moeite moet doen voor de terugkeer van een aantal IS-vrouwen naar Nederland, zodat ze hier berecht kunnen worden?

Ik verwijs u daarvoor graag naar de brieven van de Minister van Justitie en Veiligheid van 13 september en 24 juni jl. (Kamerstukken 29 754 nrs. 507 en 524).

Vraag 3

Kunt u stellen dat het uiterste is gedaan om de Nederlandse vrouwen en hun kinderen terug te halen? Zo ja, betekent dit dat er geen actie meer wordt ondernomen? Zo nee, welke vervolgstappen zullen worden gezet?

Ik verwijs u daarvoor graag naar de brieven van de Minister van Justitie en Veiligheid van 13 september en 24 juni jl. (Kamerstukken 29 754 nrs. 507 en 524). Op 13 september heeft de Minister van Justitie en Veiligheid geschreven dat de uitvoering van de bevelen gevangenneming op dit moment niet op een veilige en verantwoorde wijze gerealiseerd kan worden. Het onderzoek naar de mogelijkheid van de uitvoering van de bevelen gevangenneming van de rechtbank van Rotterdam duurt voort. In de brief van 24 juni jl. is bericht, dat het kabinet de steeds veranderende situatie en het geheel van bekende feiten en omstandigheden nauwlettend in ogenschouw neemt, in relatie tot de beschikkingen van de rechtbank. De unieke omstandigheden in deze casuïstiek nopen het kabinet daarbij tot een behoedzame aanpak. Op dit moment kan er nog geen inzicht worden gegeven in de door het kabinet te nemen stappen, anders dan dat het kabinet met Europese (Schengen) partners op zoek is naar oplossingen, waaronder berechting in de regio.

Vraag 4

Kent u het bericht «Irak vraagt om (honderden) miljoenen voor berechting Irak-gangers»?2

Ja

Vraag 5

Klopt het dat Irak per overgedragen buitenlandse strijder een bedrag van 10 miljoen euro vraagt, plus een jaarlijkse bijdrage van 2 miljoen dollar per verdachte per jaar? Kunt u uw antwoord toelichten?

Irak heeft aangegeven bereid te zijn om te spreken over berechting van buitenlandse strijders in Irak. Daarbij zijn ook bedragen genoemd. Met dit «openingsbod» heeft Irak duidelijk gemaakt dat berechting en detentie ook (hoge) kosten met zich meebrengen.

Vraag 6

Wat is de officiële Nederlandse reactie geweest op deze eis? Is Nederland bereid deze bedragen te betalen? Zo nee, welk bedrag is Nederland wel bereid om te betalen? Kunt u uw antwoord toelichten?

Nederland heeft begrip voor de lasten die de vervolging, berechting en detentie van ISIS-strijders met zich brengen en dat die zwaar drukken op een land dat zich probeert te stabiliseren na jaren van oorlog en de strijd tegen ISIS. Het is echter nog te vroeg om over compensatie te spreken, omdat daarvoor eerst overeenstemming nodig is over fair trial standaarden en het feit dat Nederland niet meewerkt aan toepassing van de doodstraf. Ook Irak heeft echter rode lijnen, onder meer ten aanzien van nationale wetgeving over de doodstraf.

Vraag 1

Bent u bekend met de onthullingen over Nederlandse betrokkenheid bij een cyberaanval op Iran, de zogenaamde Stuxnet aanval?1 Kunt u toelichten hoe deze betrokkenheid er precies uitzag? Zo nee, waarom niet?

Ja, ik heb kennisgenomen van de berichten. De publicaties zijn voor rekening van de betreffende journalist. De AIVD heeft in aanloop naar publicatie van het boek van dhr. Modderkolk beoordeeld of met publicatie van het boek eventuele staatsgeheimen zouden worden prijsgegeven en of personen door publicatie van het boek in gevaar zouden kunnen worden gebracht.
Gezien de aard van het werk en de werkwijze van de AIVD en vanwege de wettelijke plicht tot bescherming van bronnen, kan ik niet inhoudelijk reageren op vermeende betrokkenheid van Nederland. In voorkomende gevallen dat de Kamer geïnformeerd dient te worden, zal dit via de geëigende kanalen worden gedaan.

Vraag 2

Kunt u toelichten hoe de besluitvorming is verlopen die heeft geleid tot de Nederlandse betrokkenheid bij deze cyberaanval? Wanneer werd precies waartoe besloten?

Zie antwoord op vraag 1.

Vraag 3

Is de Nederlandse betrokkenheid op enig moment gemeld aan de Tweede Kamer? Zo ja, wanneer en hoe is dat gebeurd? Zo nee, waarom niet?

Zie antwoord op vraag 1.

Vraag 4

Waarom heeft Nederland de VS en Israël bij deze cyberaanval op Iran geholpen?

Zie antwoord op vraag 1.

Vraag 5

Kunt u een overzicht geven van de mate van controle van het Internationaal Atoomenergie Agentschap (IAEA) op het nucleaire programma van Iran ten tijde van de cyberaanval in 2007? Stond de faciliteit in Natanz, waar de aanval op is uitgevoerd, toen onder controle van de IAEA?

Het nucleaire programma van Iran stond in 2007 onder controle van het Internationaal Atoomenergie Agentschap (IAEA). In 2007 was het toezicht geregeld via het «Comprehensive Safeguards Agreement» (CSA). Met het CSA moest Iran aan het IAEA aangeven welke nucleair-gerelateerde activiteiten Iran uitvoerde en hoeveel nucleair materiaal in Iran aanwezig was. Vervolgens kon het IAEA middels inspecties en monitoring verifiëren of de door Iran aangeleverde informatie klopte. Daarmee stond de nucleaire faciliteit bij Natanz ook onder scherp toezicht van het Agentschap.

Vraag 6

Hoe verhoudt de Stuxnet aanval zich tot het internationaal recht? Klopt het dat deze cyberaanval waarschijnlijk haaks staat op de regels zoals vastgelegd in het zogenaamde Tallinn Manual, zoals de opstellers van dit handboek hebben geconstateerd?2 Kunt u uw antwoord toelichten?

Voor de visie van het kabinet op de manier waarop het internationaal recht wordt toegepast in het cyberdomein verwijs ik naar mijn brief aan uw Kamer van 5 juli jl. (Kamerstuk 33 694, nr. 47). De juridische kwalificatie van individuele incidenten of scenario’s vereist een zorgvuldige beoordeling van alle relevante omstandigheden van het geval. In dat licht en in het licht van de beantwoording van vraag 1, ziet het kabinet ervan af om een uitspraak te doen over de juridische kwalificatie van deze specifieke casus.

Vraag 7

Is (intern) juridisch advies aangevraagd vanwege deze cyberaanval op Iran? Zo nee, waarom niet? Zo ja, bent u bereid dit met de Kamer te delen?

Zie antwoord op vraag 1.

Vraag 8

Klopt het dat de Stuxnet aanval ook in landen buiten Iran veel schade heeft aangericht? Kan daarvan een beeld geschetst worden?

Zie antwoord op vraag 1.

Vraag 9

Hoe heeft Iran gereageerd op deze cyberaanval en op het bekend worden dat Nederland erbij betrokken was?

Het Iraanse Ministerie van Buitenlandse Zaken heeft Nederland mondeling vragen gesteld over de betreffende publicatie. Daarop is geantwoord dat de publicaties voor rekening komen van de betreffende journalist.

Vraag 10

Bent u het ermee eens dat de Stuxnet aanval door andere landen is opgevat als een soort vrijbrief om zelf ook cyberaanvallen uit te voeren?3 Kunt u uw antwoord toelichten?

Ik verwijs naar het antwoord op vraag 1.

Vraag 1

Herinnert u zich de motie Koopmans c.s. waarin het kabinet wordt verzocht om aanjager te zijn van «een zo breed gedragen en verstrekkend mogelijk verdrag of andere bindende internationale regelgeving ter beheersing van de productie, plaatsing, verspreiding en inzet van nieuw potentiële massavernietigingswapens» zoals drones en killer robots?1

Ja.

Vraag 2

Hoe geeft u in de Group of Governmental Experts (GGE) bij de Conventie voor Conventionele Wapens (CCW) opvolging aan de motie?

De motie-Koopmans c.s. constateert dat nieuwe technologische ontwikkelingen hebben geleid en zullen leiden tot het ontstaan en de verspreiding van nieuwe wapens die goedkoper en makkelijker te maken zijn, met de potentie om op ongekend grote schaal dood en verderf te zaaien, en derhalve als massavernietigingswapens kunnen worden beschouwd. Voorts roept de motie de regering op om aanjager te zijn van een zo breed gedragen en verstrekkend mogelijk verdrag of andere bindende internationale regelgeving ter beheersing van de productie, plaatsing, verspreiding en inzet van nieuwe potentiële massavernietigingswapens.
Zoals aan uw kamer is medegedeeld (Kamerstuk 33 694, nr. 45) is het kabinet terughoudend om nieuwe technologieën als (onderdeel van) wapensystemen categorisch te bestempelen als massavernietigingswapens2. Deze terughoudendheid wordt internationaal breed gedeeld, zoals zichtbaar is op de agenda van de Group of Governmental Experts on Lethal Autonomous Weapons Systems (GGE LAWS),waar door verdragspartijen bij de Conventie voor Conventionele Wapens (CCW) gesproken wordt over autonome wapensystemen. Binnen de GGE LAWS wordt zeer zorgvuldig nagedacht en gesproken over de mogelijke toepassingen van nieuwe technologieën op het gebied van autonomie in wapensystemen. Dit internationaal forum indachtig herkent het kabinet (en de internationale gemeenschap) zich niet altijd in het beeld dat juist deze wapensystemen per definitie in staat zullen zijn om op «ongekend grote schaal dood en verderf» te zaaien. De toepassing van autonomie in wapensystemen heeft namelijk ook positieve toepassingen, bijvoorbeeld op het gebied van rekenkracht, inlichtingenvergaring, data-analyse, snelheid van opereren en precisie. Daarmee kan het gebruik van deze systemen leiden tot een vermindering van burgerslachtoffers en nevenschade. Bovendien kan de toepassing van nieuwe technologieën in wapensystemen bijdragen aan het veilig houden van Nederland.
Dat gezegd hebbende, hecht het kabinet eraan te benadrukken dat technologische vooruitgang alleen kan en mag binnen de kaders van het bestaande internationaal recht. Nederland zet zich binnen de GGE daarom in voor de toepassing en naleving van het internationaal recht, dat voor Nederland onverminderd van toepassing is op autonome wapensystemen. Onderdeel van deze inzet is een nadere duiding van het concept «betekenisvolle menselijke controle» en het bereiken van internationale overeenstemming daarover. Het hoofddoel van het kabinet in dit forum is dat autonome wapensystemen te allen tijde onder betekenisvolle menselijke controle blijven staan en conform het internationaal recht worden ontwikkeld en ingezet. Ieder jaar biedt de GGE een eindrapport met conclusies en aanbevelingen aan de jaarlijkse vergadering van verdragspartijen bij de CCW aan, die besluiten (kunnen) nemen over de voortzetting van de werkzaamheden van de GGE. Nederland heeft zich tijdens de meest recente onderhandelingen van de GGE (augustus 2019) succesvol ingezet voor een stevig inhoudelijk rapport dat nadruk legt op de noodzaak tot verdere verduidelijking en ontwikkeling van het bestaande normatieve en operationele kader t.a.v. autonome wapensystemen.
Het kabinet wenst hierbij het onderscheid te benadrukken tussen autonome wapensystemen en volledig autonome wapensystemen. De Commissie van Advies inzake Volkenrechtelijke Vraagstukken en de Adviesraad Internationale Vraagstukken definieerden in hun advies «Autonome wapensystemen: de
noodzaak van betekenisvolle menselijke controle»3, een autonoom wapen als een systeem dat zelfstandig doelen, offensief of defensief, die voldoen aan voorgeprogrammeerde kenmerken, selecteert en aanvalt, nadat mensen hebben besloten het wapen in te zetten en waarbij de mens niet meer kan ingrijpen om de aanval te stoppen. Volledig autonome wapensystemen daarentegen – door sommigen ook wel aangeduid als «moordrobots» – zijn zodanig geprogrammeerd dat zij het gehele targeting proces zelfstandig uitvoeren, vanaf het formuleren van het militaire doel tot en met het bepalen van de plaats en tijd van inzet. Betekenisvolle menselijke controle over zulke systemen is niet mogelijk en daarmee zijn deze wapens in strijd met het internationaal recht. Het kabinet verwerpt op voorhand de ontwikkeling en het gebruik van volledigautonome wapensystemen.
Voor een uitgebreide toelichting van de Nederlandse inspanningen t.a.v. de opvolging van de motie-Koopmans c.s. – waaronder maar niet uitsluitend binnen de GGE LAWS – verwijst het kabinet naar de Kamerbrief inzake de motie-Koopmans c.s. over beheersing van de productie, plaatsing, verspreiding en inzet van nieuwe potentiële massavernietigingswapens die uw Kamer op 20 september 2019 is toegegaan. In die brief kondigt het kabinet aan dat Nederland het komend jaar een internationale conferentie zal organiseren, waarbij partnerlanden, bedrijfsleven, experts en NGO’s met elkaar zullen spreken over internationale standaarden voor de commerciële Unmanned Aerial Vehicle-industrie, ten behoeve van verantwoorde productie en gebruik.

Vraag 3

Ziet u mogelijkheden om samen te werken met buitenlandse partners om in te zetten op een internationaal verdrag of andere bindende regelgeving, en welke initiatieven heeft u daartoe sinds het aannemen van de motie genomen?

Nederland acht het bestaande internationaal recht onverminderd van toepassing op autonome wapensystemen en pleit in het internationale debat voor strikte naleving hiervan t.a.v. de ontwikkeling en het gebruik van dergelijke systemen. Daarom heeft het kabinet initiatieven genomen om meer richting te geven aan de interpretatie en toepassing van het bestaande internationaal recht t.a.v. autonome wapensystemen, zoals ook vermeld in het antwoord op vraag 2 en uitgebreider omschreven in de hierboven genoemde Kamerbrief inzake de motie-Koopmans c.s. Zo bevat het consensusrapport met conclusies en aanbevelingen van de GGE, dat in november aangeboden zal worden aan de verdragspartijen bij de CCW, elf overeengekomen Guiding Principles voor de ontwikkeling en het gebruik van autonome wapensystemen. Het kabinet zal zich tijdens de jaarlijkse bijeenkomst van de verdragspartijen bij de CCW inspannen voor omarming van het rapport van de GGE en voor bekrachtiging door de verdragspartijen van de elf Guiding Principles.
Het internationale krachtenveld op dit terrein is complex en verdeeld. De standpunten t.a.v. autonome wapensystemen lopen zeer uiteen en het is een uitdaging om sommige vastgelopen discussies weer in beweging te brengen.

Vraag 1

Bent u bekend met het bericht: ««Russen» intimideren vrouwen Nederlandse F-16-vliegers»?1

Ja.

Vraag 2

Kunt u bevestigen dat de strekking van de berichtgeving klopt?

Het risico van ongewenste benadering van militairen en hun naasten wordt onderkend. Uiteraard is het intimideren van familie/naasten van onze militairen onacceptabel.
Het is bekend dat de krijgsmacht in toenemende mate te maken heeft met hybride dreigingen. De MIVD schrijft hier ook over in zijn jaarverslag (Kamerstuk 29 924, nr. 184). In dit jaarverslag beschrijft de MIVD de hybride dreiging die uitgaat van Rusland, waarbij Rusland vooral politieke en economische middelen, militaire intimidatie en beïnvloedingsinstrumenten inzet om de NAVO-solidariteit en de trans-Atlantische band te ondergraven en nationale en Europese besluitvormingsprocessen te beïnvloeden.
Hoewel hybride dreiging moeilijk te attribueren is, is deze vorm van dreiging extra aanwezig/merkbaar voor militairen die zijn gestationeerd in de nabijheid van Rusland. De voortdurende hybride dreiging die militairen ervaren, is dan ook een van de redenen geweest om de Herinneringsmedaille Internationale Missies toe te kennen aan militairen die minimaal dertig dagen aaneengesloten deelgenomen hebben aan de enhanced Forward Presence in Litouwen (Kamerstuk 35 000 X, nr. 143).

Vraag 3

Zo ja, klopt het dat deze intimidatie werd en/of nog steeds wordt uitgevoerd door Rusland?

Zie antwoord vraag 2.

Vraag 4

Zo ja, deelt u dan de mening dat het onacceptabel is dat de familie/naasten van onze militairen geïntimideerd worden?

Zie antwoord vraag 2.

Vraag 5

Is er iets te zeggen, desnoods vertrouwelijk, over hoe vaak dit de afgelopen jaren is gebeurd en in welke mate sprake is van een toename van deze intimidatiepraktijken?

Zie antwoord vraag 2.

Vraag 6

Wat is het actieve beleid dat Defensie voert om militairen en hun familie/naasten te beschermen?

Het defensiepersoneel wordt door middel van veiligheidsbriefings geïnformeerd over hybride dreigingen, en de maatregelen die genomen kunnen worden om deze te mitigeren. Voor militairen maakt deze briefing onderdeel uit van de jaarlijkse toetsen militaire basisvaardigheden. Defensie adviseert haar personeel om bij onregelmatigheden of incidenten, een zogeheten «Melding Van Voorval» (MVV) op te maken.
Ook in de voorbereiding op uitzendingen worden militairen geïnformeerd over hybride dreigingen en de risico’s verbonden aan het gebruik van mobiele telefoons en sociale media. Defensie biedt tijdens uitzending een netwerk inclusief VPN aan, zodat uitgezonden militairen geen gebruik hoeven te maken van lokale netwerken of openbare WiFi-verbindingen. Familieleden worden tijdens de Thuisfront informatiedagen bij iedere missie geïnformeerd over dit onderwerp. Mochten zich incidenten voordoen dan dienen zij dit te melden aan het verantwoordelijke situatiecentrum dat 24 uur per dag bereikbaar is. Aansluitend wordt er onderzoek gedaan.

Vraag 7

Heeft u actief contact gezocht over deze intimidatie met Rusland of diegene(n) die verantwoordelijk zijn om aan te geven dat deze intimidatiepraktijken moeten stoppen?

Het is in bredere zin niet altijd mogelijk om de herkomst van incidenten onomstotelijk vast te stellen. Waar het kan, zal Nederland attribueren, zoals dat bijvoorbeeld is gebeurd na de verstoorde spionageoperatie van de Russische militaire inlichtingendienst GRU gericht tegen de OPCW in Den Haag (Kamerstuk 33 694, nr. 22). Publieke attributie is een van de manieren om staten af te schrikken van het gebruik van hybride middelen.