Doorverbindwebsites die consumenten onnodig op kosten jagen |
|
Lutz Jacobi (PvdA), Astrid Oosenbrug (PvdA) |
|
Henk Kamp (minister economische zaken) (VVD) |
|
Bent u op de hoogte van de berichtgeving over doorverbindwebsites die consumenten onnodig op kosten jagen?1
Ja.
Klopt het dat deze doorverbindwebsites niets toevoegen, maar met een tarief van 90 cent per minuut consumenten onnodig op kosten jagen?
Zoals ik aangaf in mijn beantwoording van 3 oktober 20162, vind ik het onwenselijk als consumenten door doorverbindwebsites worden misleid en onnodig hoge informatietarieven betalen om telefonisch contact op te nemen met instanties of bedrijven die gratis of tegen beperkte belkosten telefonisch bereikbaar zijn. Het argument dat exploitanten van de betreffende websites aanvoeren – dat zij ervoor zorgen dat organisaties beter vindbaar zijn – vind ik weinig steekhoudend, gelet op de vele klachten van consumenten die deze doorverbinddiensten veroorzaken.
Klopt het dat de Autoriteit Consument en Markt (ACM) hier al 8 jaar onderzoek naar doet, maar niet optreedt tegen deze doorverbindwebsites?
Nee. De toenmalige Onafhankelijke Post- en Telecommunicatie Autoriteit (OPTA) heeft in 2009 onderzoek gedaan naar onduidelijkheid van de kosten na het doorverbinden en een aantal aanbieders gewaarschuwd, omdat uit de tariefmelding niet bleek dat je ook na het doorverbinden het vermelde tarief per minuut blijft betalen.3 Dit onderzoek richtte zich op zogenoemde abonnee-informatiediensten. Via dergelijke nummers kunnen telefoonnummers worden opgevraagd en kan de beller desgewenst worden doorverbonden naar het opgevraagde nummer.
Naar aanleiding van de recente klachten over misleidende doorverbindwebsites die gebruik maken van een 0900-nummer, kijkt ACM hoe deze praktijken effectief kunnen worden aangepakt met de instrumenten die zij tot haar beschikking heeft. Voor dit instrumentarium verwijs ik kortheidshalve naar de beantwoording van 3 oktober 2016. Daarbij wijs ik er op dat de reikwijdte van de regels met betrekking tot misbruik van de tarifering van betaalde informatienummers begin 2015 is aangescherpt, zodat uiteenlopende vormen van misleiding met 0900-nummers kunnen worden bestreden.
ACM heeft in november 2016 de resultaten van een steekproef onder betaalde informatienummers gepubliceerd.4 De conclusie daaruit was dat de meeste betaalde informatienummers zich aan de regels houden, maar dat ACM onderzoekt hoe de onwenselijke praktijken van doorverbindwebsites kunnen worden aangepakt. Dit onderzoek is nog gaande.
Waarom treedt de ACM niet op?
ACM onderzoekt hoe de onwenselijke praktijken van doorverbindwebsites kunnen worden aangepakt. Over lopende onderzoeken kan ACM geen mededelingen doen. Ik wacht dit onderzoek met belangstelling af.
Klopt het dat u dit besproken heeft met de ACM? Wat was het resultaat van deze bespreking?
Ja. Uitkomst van de bespreking is dat ACM kijkt of deze praktijken effectief kunnen worden aangepakt met de instrumenten die zij tot haar beschikking heeft.
Kunt u de Telecommunicatiewet aanpassen zodat voor het bellen met deze doorverbindwebsites maximaal het lokale tarief geldt, dan wel dat er niet doorbetaald hoeft te worden nadat er is doorverbonden?
Het onderzoek van ACM loopt nog. Het al dan niet stellen van nadere regels om consumenten beter te beschermen is pas aan de orde als mocht blijken dat de huidige wet- en regelgeving ontoereikend is.
Klopt het dat het maximale bedrag per gesprek 45 euro is? Kunt u overwegen om in de wet een veel lager maximum vast te stellen?
Voor alle 0900-nummers met een informatietarief dat hoger is dan 15 cent per minuut, is het verplicht een maximaal bedrag per gesprek te melden en in rekening te brengen. Dit maximumbedrag kiest de exploitant van het 0900-nummer zelf, op basis van zijn dienstverlening en de duur van de gesprekken, en is dus niet in de regelgeving gemaximeerd. Alleen de informatietarieven van 0900-nummers die worden gebruikt voor het bieden van telefonische klantenservice door een bedrijf waarmee de beller een overeenkomst heeft, zijn in de regelgeving gemaximeerd. In de praktijk hanteren veel doorverbinddiensten, bijvoorbeeld Belastingtelefoon.info en Storingverhelpen.nl, een informatietarief dat hoger is dan 15 cent per minuut en een maximum van 45 euro per gesprek. Het al dan niet stellen van nadere regels om consumenten beter te beschermen is pas aan de orde als mocht blijken dat de huidige wet- en regelgeving ontoereikend is.
Kunt u met uitvoerende diensten, zoals de Belastingdienst, in overleg treden, zodat zij hun telefoondienst als merk registreren en daarna via de rechter de doorverbindsites offline laten gaan?
Overheidsinstanties hebben uiteraard de eigen verantwoordelijkheid ervoor te zorgen dat hun telefoonnummer goed vindbaar is. Het waarschuwen van consumenten gebeurt reeds door bijvoorbeeld de Belastingdienst en de Nationale Politie, het informatieloket ConsuWijzer van ACM en de Consumentenbond.
Kunt u met deze uitvoerende diensten in overleg treden om te bevorderen dat zij consumenten waarschuwen voor de doorverbindsites, en hun eigen gratis telefoonnummers nadrukkelijker onder de aandacht brengen?
Zie antwoord vraag 8.
Kunt u de Kamer binnen twee maanden rapporteren over de te nemen acties?
Ik verwijs naar het antwoord op vraag 4. Over lopende onderzoeken kan de ACM geen mededelingen doen en hiervoor kan dus ook geen termijn worden gegeven. Ik wacht dit onderzoek met belangstelling af.
De economische positie van makers |
|
Mei Li Vos (PvdA), Astrid Oosenbrug (PvdA) |
|
Henk Kamp (minister economische zaken) (VVD) |
|
Kent u het bericht «Storm voor de stilte»?1
Ja.
Hoe beoordeelt u de volgende uitspraak van Yorick van Wageningen in dit artikel: «als je kijkt naar een gemiddeld inkomen van Nederlandse acteurs ... dat is triest»?
Dit is een individuele uitspraak zonder nadere uitleg en het is voor mij daarom lastig om hier conclusies aan te verbinden. Wel blijkt uit de Verkenning arbeidsmarkt culturele sector van de Raad voor Cultuur en de sociaaleconomische Raad van januari 2016, dat kunstenaars en andere werkenden in de culturele en creatieve sector vaak een zwakke inkomenspositie hebben.
Kunt u een overzicht geven van de inkomens van Nederlandse acteurs naar inkomensklasse, het gemiddelde inkomen en de mediaan?
De culturele sector kent een groot aantal zelfstandigen. Dat heeft voor een deel te maken met de aard van bepaalde beroepen in deze sector en is voor de beroepsgroep acteurs zeker niet anders. Uit gegevens van het Nederlands Filmfonds blijkt dat de honorering van acteurs uiteen loopt. Nederlandse acteurs zijn verbonden aan theatergezelschappen of werken als zelfstandigen bij de uitvoering van hun vak. Om te voorzien in hun inkomen zetten acteurs hun specifieke talent in op verschillende terreinen. Ze werken niet alleen voor toneel of voor televisie, maar zijn ook actief in opdrachtwerk zoals optredens in radio en televisiereclames of bedrijfsfilms. Ze kunnen werkzaam zijn als trainingsacteur, spreken (animatie)films in of worden gecast voor een hoofd- of bijrol in een film. De honorering van acteurs bij speelfilms in Nederland is vergelijkbaar met die in andere Europese landen. Op basis van de productiebudgetten van gehonoreerde aanvragen voor speelfilms in de afgelopen drie jaar bedroeg het dagbedrag voor een hoofdrol in een speelfilm gemiddeld € 1.248 en voor een bijrol € 787. Het script en de draaiplanning bepalen voor hoeveel draaidagen een acteur gevraagd wordt.
Uit een onderzoek, gedaan in 2015 door de belangenvereniging van acteurs in Nederland ACT, waar zo’n 1100 acteurs lid van zijn, blijkt dat het modale bruto jaarinkomen van ACT-leden in 2014 voor al hun werkzaamheden om en nabij de € 36.000 bedroeg, wat destijds ongeveer overeenkwam met het modale inkomen in Nederland. Bijna een kwart van de ACT-leden had ongeveer dit jaarinkomen. Meer dan de helft verdiende in 2014 echter minder dan modaal. Het aandeel van acteerwerk in het totale jaarinkomen bedroeg gemiddeld bijna 60%; ander werk op het vakgebied leverde gemiddeld 16% en overig werk buiten het vakgebied 11%. Inkomsten uit werk op het vakgebied bestond voor het grootste deel (gemiddeld 63%) uit honoraria en salaris voor acteerwerk.
Kunt u middels een casus van een recente film laten zien hoe de geldstromen naar de diverse partijen en medewerkers (makers, producenten, exploitanten) lopen?
De productiekosten van films worden door de hoofdverantwoordelijke producent als voorfinanciering bijeengebracht via bijdragen en investeringen van filmfondsen in binnen- en buitenland, distributeurs, sales-agents, private investeerders, omroepen en eventuele eigen investeringen van de producent en coproducenten. Alle productiekosten, inclusief de honoraria van acteurs, worden uit deze voorfinanciering door de producent betaald. Het is over het algemeen de bedoeling dat deze productiekosten door middel van exploitatie van de film via zoveel mogelijk kanalen (van bioscoop tot Video On Demand (hierna: VOD)-platforms) zo veel mogelijk worden terugverdiend.
In bijlage 1 is een voorbeeld gevoegd van een zogenaamd waterfall-model, afkomstig van het Nederlands Filmfonds, gebaseerd op een gemiddelde speelfilm, waarin de verdeling van inkomsten inzichtelijk is gemaakt. Het Nederlands Filmfonds merkt hierbij op dat partijen in de exploitatieketen, met uitzondering van de omroepen, niet of nauwelijks investeren in de productiekosten van films, maar wel een belangrijk deel van de inkomsten uit exploitatie behouden. Slechts een bescheiden deel van de inkomsten kan daarom concreet worden aangewend ten behoeve van de terugbetaling aan financiers. Ter versterking van de positie van de producent en van rechthebbenden hanteert het Nederlands Filmfonds een revolverend principe wat betreft zijn positie in het terugbetalingsschema. Dat betekent dat aan het Nederlands Filmfonds terugbetaalde middelen door de producent voor tenminste 50% opnieuw kunnen worden geïnvesteerd in een volgende film en voor maximaal 50% kunnen worden aangewend om afspraken met rechthebbenden en private investeerders na te komen.
In hoeverre is de Wet Auteurscontractenrecht (in werking per 1 juli 2015) voor Nederlandse acteurs een verbetering voor hun economische positie?
De Wet auteurscontractenrecht beoogt de positie van auteurs en uitvoerende kunstenaars (waaronder acteurs) (hierna: makers) in relatie tot de exploitant van hun werk te versterken, omdat zij voor het toegankelijk maken van hun werken voor gebruik van het publiek vaak afhankelijk zijn van daarin gespecialiseerde derden (zoals een filmproducent). De maker is bij deze overeenkomst vaak de zwakkere partij. De exploitant is vaak een professioneel georganiseerde onderneming waarvoor het sluiten van dergelijke overeenkomsten dagelijkse praktijk is en die over voldoende financiële middelen beschikt om zich juridisch te laten ondersteunen. De wet geldt alleen voor makers die natuurlijke personen zijn en alleen als de maker een overeenkomst sluit met een exploitant, dus niet met een eindgebruiker zoals een consument.
De Wet auteurscontractenrecht wijzigt de Auteurswet en de Wet naburige rechten. Sinds de inwerkingtreding van deze wet kent de Auteurswet een nieuw hoofdstuk 1a inzake de exploitatieovereenkomst, waarin onder meer is geregeld dat de maker:
Van de bepalingen in hoofdstuk 1a kan niet bij overeenkomst worden afgeweken.
Bemoedigend is dat twee samenwerkingsverbanden, het Platform Makers en het Platform Creatieve Media Industrie de handen ineen hebben geslagen en een Geschillencommissie Auteurscontractenrecht hebben opgericht, zodat makers en exploitanten sinds 1 oktober 2016 een geschil over de exploitatieovereenkomst aan de geschillencommissie kunnen voorleggen en het probleem kan worden opgelost zonder dat er een rechter aan te pas hoeft te komen.
De evaluatie van de wet is voorzien voor vijf jaar na de inwerkingtreding, 1 juli 2020. Halverwege deze termijn (eind 2017/begin 2018) zal uw Kamer bij wijze van tussenstand worden geïnformeerd over hoe de wet door partijen in de praktijk wordt ervaren. Op dit moment is het dus nog te vroeg om te beoordelen of de wet niet aan de doelstelling voldoet.
Deelt u de mening dat het Rechtenoverleg voor Distributie van Audiovisuele Producties (RODAP) in de onderhandelingen over vergoedingen een te sterke positie heeft ten opzichte van de makers? Zo ja, wat kunt u de makers bieden om hun onderhandelingspositie te versterken? Zo nee, waarom niet?
Het is niet aan mij om een oordeel te geven over de onderhandelingspositie tussen private partijen. Wel dienen de onderhandelingen uiteraard plaats te vinden binnen de kaders van de Mededingingswet. De Autoriteit Consument en Markt (hierna: ACM) houdt toezicht op de naleving van de Mededingingswet en kan ingrijpen wanneer sprake is van misbruik van een economische machtspositie of verboden mededingingsbeperkende afspraken. Om de contractuele positie van auteurs en uitvoerende kustenaars ten opzichte van hun exploitanten te versterken is de Wet auteurscontractenrecht ingevoerd. Ik ben hier in het antwoord op de vragen 5 en 10 al nader op ingegaan.
Wat is uw reactie op de volgende uitspraak van Yorick van Wageningen: «ik kan me ook permitteren iets te zeggen over de schofterige wijze waarop het RODAP-kartel, een monsterverbond van producenten, omroepen en kabelmaatschappijen, de acteurs, schrijvers en regisseurs uitknijpen en ze afschepen met een fooi die moet doorgaan voor auteursrecht»?
Indien er sprake is van een vermoeden van een kartel, kan hiervan melding gemaakt worden bij de ACM. De ACM is de onafhankelijke toezichthouder op het kartelverbod van artikel 6 van de Mededingingswet.
Is het waar dat het RODAP verplicht is als samenwerkingsverband te onderhandelen met makers? Zo ja, waarom is dat van de kant van de makers niet verplicht en zelfs niet toegestaan? Zo nee, waarom niet?
RODAP is niet verplicht om als samenwerkingsverband te onderhandelen. Het is een vereniging waar partijen die actief zijn in de keten van audiovisuele productie, omroep of distributie en aanbod van mediadiensten en die specifiek gericht zijn op het Nederlandse publiek, lid van kunnen worden. Als vereniging houdt RODAP zich uitsluitend bezig met de onderhandeling over de collectieve vergoeding voor de verspreiding in Nederland van film en televisiewerken via zogenaamde Basic Media Services (lineaire televisie-uitzending en catch-up) en via Extra Media Services (betaalde VOD). Die onderhandeling voert RODAP niet met de hoofdmakers, maar met de collectieve beheersorganisaties (hierna: CBO) van de hoofdmakers, die zich daartoe verenigd hebben in het Portal Audiovisuele Makers (hierna: PAM). RODAP gaat niet over onderhandelingen met (hoofd)makers over hun honoraria. Daarover onderhandelen individuele producenten met individuele (hoofd)makers.
Hoe beoordeelt de Autoriteit Consument en Markt (ACM) de positie van de makers ten opzichte van het RODAP?
De ACM is de onafhankelijke toezichthouder op de Mededingingswet. De ACM doet pas uitspraken over de onderhandelingspositie van partijen op een markt als zij na onderzoek op basis van signalen tot de conclusie komt dat de Mededingingswet is overtreden. Indien er sprake is van een vermoeden van misbruik van een economische machtspositie of een kartel in de zin van artikel 24 respectievelijk artikel 6 van de Mededingingswet, dan kan dit worden gemeld bij de ACM.
Deelt u de mening dat anno 2017 de Wet Auteurscontractenrecht niet aan de doelstelling, de positie van de makers versterken, voldoet? Zo ja, welke reparaties zijn noodzakelijk? Zo nee, waarom niet?
Zie antwoord vraag 5.
Deelt u de mening dat, gezien de snelle ontwikkelingen van streamingsdiensten, vergoedingen voor Video On Demand (VOD) met voorrang in de wet terug moeten keren? Zo ja, wanneer kunt u dit realiseren? Zo nee, waarom niet?
Naast de in het antwoord op de vragen 5 en 10 besproken onderwerpen, is een ander belangrijk onderdeel van de Wet auteurscontractenrecht de herziening van de regeling van het filmauteurscontractenrecht. Deze herziening is het resultaat van langdurig en uitvoerig overleg tussen de belangrijkste bij de exploitatie van een audiovisueel werk betrokken partijen, waarbij de makers werden vertegenwoordigd door PAM en de producenten en distributeurs door RODAP.
In PAM zijn ook de acteurs vertegenwoordigd door de deelname van de belangenvereniging voor acteurs ACT en de collectieve beheersorganisatie voor uitvoerend kunstenaars NORMA.
Over de praktische uitwerking van het in de filmregeling neergelegde vergoedingsmodel is door partijen intensief overleg gevoerd. Met betrekking tot een aanvullende proportionele vergoeding voor VOD-exploitatie in Nederland hebben partijen overeenstemming bereikt over een model van vrijwillig collectief beheer. Het uitgangspunt van dit zogenaamde VCB-model is dat partijen afspraken maken die voorzien in een door de CBO afdwingbare contractuele vergoedingsaanspraak voor scenaristen, hoofdregisseurs en uitvoerende kunstenaars met een hoofdrol, te incasseren bij de exploitant. Over de hoogte van deze aanvullende vergoeding zijn partijen arbitrage overeengekomen. Naar verwachting doen de arbiters hierover nog voor de zomer uitspraak. Voor de andere openbaarmakingen, de in het antwoord op vraag 8 al omschreven Basic Media Services, wordt al betaald.
Bent u bereid de makers extra ondersteuning te bieden om hun kansen als ondernemers te vergroten, zodat ook een reëel inkomen kan worden gegenereerd uit hun creatieve prestaties? Zo ja, hoe? Zo nee, waarom niet?
In de brief «Vervolg beleidsreactie arbeidsmarkt cultuur» van de Minister van Onderwijs, Cultuur en Wetenschap van 1 maart jl. (Kamerstuk 29 544, nr. 774) wordt verslag gedaan van de initiatieven die worden ondernomen ten behoeve van een betere arbeidsmarktpositie voor auteurs en uitvoerende kunstenaars. In de bijlage van de brief wordt ook uiteengezet welke andere stappen mogelijk zijn om de collectieve onderhandelingspositie van zelfstandige kunstenaars en makers te versterken. Daarnaast wijs ik erop dat de Minister van Onderwijs, Cultuur en Wetenschap in 2014 een subsidie heeft verleend aan de Federatie Auteursrechtbelangen voor een grootscheepse auteursrechtbewustmakingscampagne. Met deze subsidie zijn onder meer lesprogramma’s ontwikkeld over het auteursrecht, waarin leerlingen leren waarom het auteursrecht er is, waarom het van belang is het te respecteren en hoe ook zijzelf daar profijt van kunnen hebben. Deze lesprogramma’s worden tot op heden doorontwikkeld en op basisscholen toegepast.
De berichten ‘Datalekken bij gemeenten; het is een beetje een zooitje’ en ‘Organisaties worstelen met nieuwe privacy wetgeving’ |
|
Astrid Oosenbrug (PvdA) |
|
Ronald Plasterk (minister binnenlandse zaken en koninkrijksrelaties) (PvdA) |
|
Kent u de berichten «Datalekken bij gemeenten; «het is een beetje een zooitje»» en «Organisaties worstelen met nieuwe privacy wetgeving»?1 2
Ja.
Deelt u de mening dat het schokkend is dat het beleid rond datalekken bij gemeenten nog steeds een zooitje is, dat gemeenten geen eenduidig beleid voeren rond datalekken, en dat datalekken niet altijd gemeld worden bij de Autoriteit Persoonsgegevens, terwijl dit wel verplicht is sinds januari 2016? Zo ja, hoe is het dan mogelijk dat gemeenten zich nog steeds in heel verschillende mate bewust zijn van de datalekken in hun organisatie en dat nog steeds niet binnen alle gemeenten bekend is dat bijvoorbeeld een verloren usb-stick met gevoelige gegevens ook een datalek is? Zo nee, waarom niet?
Ik deel het geschetste beeld niet. Niet ieder beveiligingsincident is een datalek en niet ieder datalek is meldplichtig. Gemeenten zijn gehouden aan de meldplicht datalekken en de beleidsregels die de Autoriteit Persoonsgegevens (AP) heeft opgesteld, die organisaties helpen bij het bepalen of er sprake is van een datalek. Het is aan AP om te bepalen of organisaties daarin in gebreke zijn.
Gemeenten worden bij hun informatiebeveiliging ondersteund door de Informatiebeveiligingsdienst (IBD). De IBD heeft ondersteuningsproducten ontwikkeld en beschikbaar gesteld aan gemeenten. Daarnaast biedt de helpdesk van de IBD hulp bij de beoordeling van de vraag of een beveiligingsincident een datalek is en of gemeld moet worden bij de AP en/of betrokkenen.
De AP heeft aangekondigd om de gemeenten via de VNG nogmaals te wijzen op welke lekken wel en welke lekken niet gemeld dienen te worden.
Het college van burgemeester en wethouders is verantwoordelijk voor informatiebeveiliging in de eigen organisatie. Ik wijs erop dat gemeenten ook collectief hun verantwoordelijkheid nemen. De gemeenten hebben zich tijdens de bijzondere ALV van de VNG van 2013 via de resolutie «Informatieveiligheid, randvoorwaarde voor de professionele gemeente» gecommitteerd aan de baseline informatiebeveiliging gemeenten (BIG). Dat gezamenlijk normenkader biedt voldoende handvatten om een solide informatieveiligheidsbeleid te voeren. Het is aan de gemeenteraad om het college hierop te controleren. Los van het beleid zijn gemeenten natuurlijk gehouden aan de wettelijke kaders en verplicht om zorgvuldig om te gaan met gegevens.
Deelt u de mening dat het tevens zeer schokkend is dat slechts bij 18% van de datalekken bij gemeenten dit aan de betrokkenen gemeld is? Deelt u de mening dat betrokkenen altijd op de hoogte moeten worden gesteld van een datalek aangezien hun gegevens kunnen worden misbruikt? Zo ja, hoe gaat u gemeenten hierop aanspreken? Zo nee, waarom niet?
Als een lek aan de Autoriteit Persoonsgegevens moet worden gemeld, betekent dat niet automatisch dat dit ook aan de betrokkene dient te worden gemeld. De gemeente waar het lek zich voordoet moet daarvoor een aparte afweging maken. De Wet bescherming persoonsgegevens (Wbp) geeft aan dat een melding gedaan moet worden aan de betrokkene als het datalek waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Het is niet aan mij om de genoemde gevallen te beoordelen of het melden of niet melden aan betrokkenen rechtmatig is; dat is aan de toezichthouder, de AP.
Hoe is het mogelijk dat de Autoriteit Persoonsgegevens op dit moment nog geen boetes heeft uitgedeeld aan gemeenten die hun informatiebeveiliging niet op orde hebben? Deelt u de mening dat het huidige beleid rond informatiebeveiliging te vrijblijvend is en gemeenten harder aangepakt moeten worden om hen te motiveren aan hun verplichtingen met betrekking tot het beschermen van privacy en persoonsgegevens te voldoen? Zo ja, wat gaat u hieraan doen? Zo, nee waarom niet?
Informatiebeveiliging bij gemeenten is niet vrijblijvend. Informatiebeveiliging is krachtens de Wbp verplicht. De wetgever heeft de Autoriteit Persoonsgegevens ingesteld om toezicht op de naleving van de wet uit te oefenen. De AP is onafhankelijk. Het is daarom aan de AP en niet aan mij om te besluiten of een boete of een andere interventie op zijn plaats is.
Informatiebeveiliging is een verantwoordelijkheid van de gemeente zelf, waarbij de gemeenteraad een controlerende taak heeft. Ik moet die positie van de gemeenten respecteren en onthoud mij daarom van een oordeel ter zake. De AP heeft, zoals ik aangeef in het antwoord op vraag 2, aangekondigd om de gemeenten nogmaals te wijzen op welke lekken wel en welke lekken niet gemeld dienen te worden.
Hoe beoordeelt u de onderzoeken van Reporter-radio (KRO-NCRV) en PwC waaruit blijkt dat gemeenten blijkbaar toch niet zelf in staat zijn om de door hun gebruikte informatiesystemen te beveiligen? Hoe beziet u dit in het licht van uw antwoorden op eerdere vragen over datalekken bij gemeenten3 waarin u stelt dat dit een verantwoordelijkheid van gemeenten zelf is?
Zoals ik in de beantwoording van vraag 4 aangeef, is de beveiliging van informatie een verantwoordelijkheid van de gemeente zelf. Dat er zich incidenten voordoen, betekent mijns inziens niet dat gemeenten niet in staat zijn zelf hun informatiesystemen te beveiligen. Gemeenten worden daarbij actief door de VNG, in het bijzonder de IBD, ondersteund. Daarnaast is het belangrijk dat AP haar werk doet.
Deelt u de zorgen van de indiener over de uitkomst van het PwC Privacy Governance onderzoek dat slechts een op de tien organisaties klaar is voor de gewijzigde privacywetgeving die in mei 2018 van kracht wordt?
In het Privacy governance onderzoek onder 210 organisaties in onder meer de publieke sector geeft 9% van de organisaties aan nu al te voldoen aan de verplichting uit de Algemene Verordening Gegevensbescherming (AVG) om alle verwerkingen van persoonsgegevens inzichtelijk te hebben en te documenteren. Dat is voor deze organisaties een belangrijke stap in de goede richting, maar – zonder de specifieke situatie per organisatie te kennen – zullen ook deze organisaties waarschijnlijk nog verdere stappen moeten ondernemen om aan de AVG te voldoen. Ook hiervoor geldt dat elke organisatie, publiek en privaat, zelf verantwoordelijk is voor naleving van de regels in de AVG en de daarop gebaseerde wetgeving. Dit is inherent aan het juridische systeem van de AVG die elke verantwoordelijke voor gegevensverwerking zelf de verantwoordelijkheid oplegt voor naleving ervan. Vanuit de departementen en koepelorganisaties worden wel enkele faciliterende activiteiten ondernomen om organisaties te ondersteunen bij de implementatie.
Hoe beoordeelt u het resultaat van het onderzoek van PwC dat het erop lijkt dat nog weinig organisaties de voorbereiding op de Algemene Verordening Gegevensbescherming (AVG) in gang hebben gezet en dat slechts 22 procent van de organisaties met regelmaat risicoanalyses zoals het privacy impact assessment uitvoert?
Uit het onderzoek blijkt dat 55% van de onderzochte organisaties standaard of ad-hoc privacy impact assessments uitvoert. 39% doet dit niet en 6% van de respondenten geeft aan het niet te weten.
Sinds 1 september 2013 wordt de PIA standaard toegepast bij ontwikkeling van nieuwe wetgeving en beleid waarmee de bouw van nieuwe ICT-systemen of de aanleg van grote databestanden wordt voorzien (Kamerstuk 26 643 nr. 282).
De beroepsorganisatie van IT-auditors (NOREA) heeft een handreiking voor de uitvoering van een PIA ontwikkeld die breed wordt gebruikt. Ook diverse sectoren, bijvoorbeeld de onderwijssector die werkt met een model PIA van de ICT-samenwerkingsorganisatie van het onderwijs en onderzoek in Nederland (SURF), zijn hier voortvarend mee aan de slag. Het is een goed teken dat organisaties, zowel bij overheid als bedrijfsleven, nu al aan de slag zijn zonder dat er een wettelijke verplichting geldt.
Hoe beoordeelt u dit resultaat in het licht van uw antwoorden op mijn eerdere vragen4 waarin u stelt dat organisaties zelf verantwoordelijk zijn voor het beveiligen van de door hen gebruikte informatiesystemen? Deelt u de mening dat uit de onderzoeken blijkt dat gemeenten op dit punt onvoldoende hun verantwoordelijkheid nemen? Zo ja, wat gaat u hieraan doen? Zo nee, wat is volgens u de reden dat gemeenten de voorbereidingen op de AVG nog niet in gang hebben gezet en wat gaat u doen om dit probleem aan te pakken?
Ik kan op basis van de onderzoeken geen conclusies trekken over hoe ver de gemeenten zijn met het zich voorbereiden op de AVG. Ook voor de implementatie zijn de gemeenten zelf verantwoordelijk. De IBD helpt de gemeenten bij de implementatie en heeft daarvoor een aantal specifieke middelen ontwikkeld.
Deelt u de mening dat het onacceptabel is dat slechts 31% van de deelnemers aan het PwC Privacy Governance onderzoek bij de ontwikkeling en implementatie van nieuwe systemen rekening houdt met de verplichting om aandacht te hebben voor privacy van betrokkenen en de bescherming van persoonsgegevens?
Gevraagd naar de stelling «Bij implementatie van nieuwe systemen houden wij altijd in een vroeg stadium rekening met privacy aspecten en de bescherming van persoonsgegevens (Privacy by Design principe)» gaf 31% van de respondenten aan daar nu al rekening mee te houden en 69% niet. In het huidige wettelijke kader van de Wbp is er nog geen wettelijke verplichting om het Privacy by Design principe toe te passen, hoewel dit wel wenselijk is.
Onder de AVG wordt de verwerkingsverantwoordelijke verplicht zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf gegevensbeschermingsbeginselen, zoals minimale gegevensverwerking, op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen (privacy by design en privacy by default). In dat licht beoordeel ik dat 31% van de respondenten nu al voldoet, zonder dat er een wettelijke plicht is, als positief.
Bent u het ermee eens dat dit zeer zorgelijk is en ertoe leidt dat het probleem met datalekken in stand blijft en datalekken aan de orde van de dag blijven?
Net als de Autoriteit Persoonsgegevens ben ik van mening dat PIA’s en de principes van Privacy by Design, waaronder dataminimalisatie, een positieve bijdrage kunnen leveren aan het voorkomen van datalekken en daarmee aan de bescherming van persoonsgegevens. Dat is ook precies de reden dat deze principes, die bijvoorbeeld door het Rijk zijn omarmd, een plaats hebben gekregen in de AVG. Dat neemt niet weg dat de zorg voor een afdoende niveau van beveiliging van persoonsgegevens een blijvende verplichting is.
Gaat u alle gemeenten verplichten zich te verantwoorden over de kwaliteit van hun informatieveiligheid met ENSIA per 1 juli 2017? Verwacht u dat datalekken hierdoor sterk zullen verminderen? Zo ja, waarom?
Het project ENSIA heef tot doel het ontwikkelen en implementeren van een zo effectief en efficiënt mogelijk ingericht verantwoordingsstelsel voor informatieveiligheid gebaseerd op de BIG.
ENSIA gaat gemeenten helpen om meer inzicht te krijgen in de stand van zaken van de informatieveiligheid zodat ze er beter op kunnen sturen. ENSIA betreft een methodiek die een aantal reeds bestaande assessments/audits op het zelfde moment uitvraagt, waarbij door middel van een collegeverklaring informatiebeveiliging, een assurancerapport door een IT-auditor en een paragraaf informatiebeveiliging in het jaarverslag verantwoording wordt afgelegd aan de raad en aan de betrokken departementen.
Als ENSIA per 1 juli 2017 wordt ingevoerd dan gaan de gemeenten zich in 2018 over 2017 verantwoorden – in eerste instantie aan hun eigen gemeenteraad en in tweede instantie aan de desbetreffende departementen (BZK,SZW en I&M).
Datalekken zijn overigens niet alleen afhankelijk van de beveiliging van ICT-systemen, maar kunnen ook te maken hebben met het menselijk handelen, denk bijvoorbeeld aan het verliezen van een USB-stick met privacygevoelige informatie. Door invoering van ENSIA wordt wel verwacht dat in ieder geval het bewustzijn rondom informatieveiligheid bij gemeenten zal toenemen.
Deelt u de mening dat 1 juli 2017 te laat is om dit probleem aan te pakken aangezien datalekken aan de orde van de dag zijn en er een risico bestaat dat er veel gevoelige informatie op straat komt te liggen of misbruikt kan worden?
De datum van 1 juli is gekozen als realistische datum waarop alle betrokken organisaties verwachten klaar te zijn voor de invoering van deze nieuwe wijze van verantwoorden. Versnelde invoering is niet mogelijk doordat de gemeenten hiervoor klaar moeten zijn, het instrument ook ontwikkeld dient te zijn en de afspraken met de IT-auditors gemaakt moeten zijn.
Kunt u garanderen dat na de implementatie van ENSIA informatieveiligheid niet onderworpen wordt aan een eenmalige of ad hoc kwaliteitsmeting maar dat gemeenten vaker verantwoording dienen af te leggen waardoor de informatie continue beveiligd blijft?
ENSIA is niet eenmalig of ad hoc. De ENSIA-verantwoording sluit aan op de jaarlijkse planning- en controlecyclus van de gemeenten. Bovendien hebben de gemeenten met elkaar afgesproken dat zij zich jaarlijks willen verantwoorden via een aparte paragraaf over informatiebeveiliging over de volle breedte van de BIG in het gemeentelijk jaarverslag. Voorts dient via ENSIA jaarlijks verantwoording te worden afgelegd aan de departementen (aan BZK over DigiD, BRP en PUN, aan SZW over SUWInet en I&M over BAG/BGT).
Bent u het ermee eens dat, om dit probleem aan te pakken en de informatiebeveiliging bij gemeenten structureel te verbeteren, gemeenten een autonoom budget moeten krijgen om informatieveiligheid op peil te houden en dat dit budget niet gekoppeld moet worden aan individuele systemen?
Ik ben van mening dat besluitvorming over het gewenste niveau van informatieveiligheid bij gemeenten en over de eventuele noodzaak tot prioritering daarin het beste op lokaal niveau kan plaatsvinden. Ik acht het op voorhand niet noodzakelijk om budgetten voor gemeenten af te zonderen of te oormerken. Een dergelijke maatregel verplicht gemeenten om een ontvangen budget voor informatieveiligheid aan dat doel te besteden. Informatieveiligheid behoeft een integrale inbedding in de organisatie – een benadering die verder strekt dan ICT. Het gaat om organisatie, processen, fysieke maatregelen en ICT.
Hoe garandeert u dat binnen gemeenten aanbestede informatiesystemen ook na oplevering worden bijgewerkt? Is dit ook onderdeel van de Gemeentelijke inkoopvoorwaarden bij IT? Zo nee, waarom niet? Deelt u de mening dat dit een minimale eis bij het aanbestedingsproces zou moeten zijn?
De Gemeentelijke Inkoopvoorwaarden bij IT (GIBIT) zijn donderdag 8 december 2016 vastgesteld door het Verenigingsbestuur van de VNG. De totstandkoming van de GIBIT is onderdeel van het programma Digitale Agenda 2020 die als één van de speerpunten heeft om het ICT-opdrachtgeverschap bij gemeenten te professionaliseren.
Voor de kwaliteit van hun dienstverlening en uitvoering zijn gemeenten steeds meer afhankelijk van ingekochte ICT-producten en -diensten. Deze producten en diensten worden geleverd door bijna tweehonderd verschillende leveranciers. Gemeentelijke Inkoopvoorwaarden helpen gemeenten om te waarborgen dat ze een product krijgen dat ze echt willen, waarvoor duidelijke afspraken zijn gemaakt en dat aansluit bij hun behoefte en doelstellingen. Gemeenten en gemeentelijke samenwerkingsverbanden wordt aanbevolen de GIBIT op te nemen in het inkoopbeleid en te gebruiken bij de inkoop van IT.
In de GIBIT zijn specifieke artikelen opgenomen over privacy, beveiliging en archivering. Het hoofdstuk is van toepassing zodra er (persoons)gegevens met de ICT Prestatie worden verwerkt. Dat zal heel vaak het geval zijn, maar zeker niet altijd (bijv. niet bij hardware).
De GIBIT stelt gemeenten nadrukkelijk in staat om met informatiesystemen te kunnen voldoen aan de Baseline Informatie Beveiliging (BIG). Dit wordt onder meer gedaan via de Gemeentelijke ICT-kwaliteitsnormen waarin de BIG is verankerd. In de GIBIT zijn voorzieningen opgenomen dat leveranciers blijvend moeten voldoen aan deze Gemeentelijke ICT-kwaliteitsnormen, ook indien die normen aangepast worden. Hiermee wordt beoogd dat ook na oplevering bestaande informatiesystemen worden bijgewerkt. Gezien dat deze normen via de GIBIT worden geborgd wordt gemeenten aangeraden om de GIBIT inclusief deze bepalingen van toepassing te verklaren.
In de BIG is het de norm dat tijdig informatie dient te worden verkregen over technische kwetsbaarheden van de gebruikte informatiesystemen. De mate waarin de organisatie bloot staat aan dergelijke kwetsbaarheden behoort te worden geëvalueerd en er behoren geschikte maatregelen te worden genomen (lees: updates en patches) voor behandeling van daarmee samenhangende risico's.
De locatie Zeewolde voor de middengolfzender |
|
Sharon Gesthuizen (GL), Eppo Bruins (CU), Agnes Mulder (CDA), Astrid Oosenbrug (PvdA) |
|
Henk Kamp (minister economische zaken) (VVD) |
|
Erkent u dat de locatie Zeewolde historisch is opgericht en getuned op de frequentie AM1008 en dat grote middengolffrequenties zoals deze zich lastig laten verplaatsen? Erkent u dat qua hoogte en inrichting geen andere locaties beschikbaar zijn en/of direct inzetbaar zijn in Nederland die qua technische en economische voorwaarden vergelijkbaar zijn met uitzending van de frequentie AM1008 vanaf de bestaande zendmast in Zeewolde?1
Het zendstation in Zeewolde is in 1980 opgericht als vervanging van het middengolfzendstation in Lopik ten behoeve van uitzendingen voor de publieke omroep op de frequenties 747 en 1.008 kHz. Op deze frequenties werden respectievelijk de programma’s van Hilversum II en Hilversum I uitgezonden. Vanaf de jaren ’80 is Radio 5 gaan uitzenden via deze middengolffrequenties. Eerst via de 1008 kHz, later via de 747 kHz. Sinds 2007 zendt Groot Nieuws Radio (hierna: GNR) uit via de 1.008 kHz.
In 2015 is de NPO gestopt met het uitzenden van Radio 5 via de middengolf. Als gevolg daarvan is de toenmalige zenderoperator van de NPO en GNR – KPN Broadcast Services (hierna: KPN) – gestopt met de middengolfdienstverlening en is de huurovereenkomst met NOVEC per 1 september 2015 opgezegd. Een andere zenderoperator – Broadcast Partners (hierna: BP) – heeft vervolgens de dienstverlening (voor GNR) overgenomen. NOVEC geeft aan dat BP en NOVEC in 2015 een (tijdelijke) huurovereenkomst hebben gesloten voor de duur van 2 jaar, zonder optie tot verlenging.
Zoals gezegd zijn de zendmasten in Zeewolde opgericht in 1980, een tijd dat middengolfradio nog een andere (belangrijker) rol speelde in de samenleving dan tegenwoordig. FM-radio was nog in ontwikkeling, (wettige) commerciële radiostations bestonden nog niet, net als moderne technieken zoals digitale etherradio (DAB+) en radio via internet.
Daarnaast is de installatie in Zeewolde ooit opgericht om de rechten die Nederland heeft voor beide middengolffrequenties effectief te kunnen benutten: 2x 1.096 kW (EMRP).2 GNR gebruikt nu ca. 1x 100 kW (EMRP). Nu het radiolandschap zo sterk is veranderd, is het niet zinvol om (alleen) uit te gaan van de historische context. Zie ook het antwoord op vraag 3.
Is het juist dat de zendmast in Zeewolde door u in 2005 is aangemerkt als een «ontwijfelbaar niet-dupliceerbare» zendmast? Klopt het dat de mast juist om die reden ondergebracht werd in het staatsmastenbedrijf NOVEC? Deelt u de opvatting dat de bestaande zendmast daarmee feitelijk een lokaal monopolie vormt waarvan de exploitant van AM1008 afhankelijk is en dat daarvoor geen bestaand alternatief beschikbaar is dat economisch of technisch gelijkwaardig is aan de zendmast in Zeewolde?
De vraag die in 2005 aan de orde was, betrof de vraag welke masten in het destijds op te richten mastenbedrijf NOVEC geplaatst zouden worden. In het mastenbedrijf zouden masten worden geplaatst die als «ontwijfelbaar niet-dupliceerbaar» beschouwd konden worden. Met niet-dupliceerbare infrastructuur werd infrastructuur bedoeld die voor een marktpartij moeilijk of niet aan te leggen was. Ter invulling van dit criterium is advies gevraagd aan de toenmalige OPTA (nu: ACM). OPTA heeft toen geadviseerd om masten met een werkelijke hoogte hoger dan 40 meter als niet-dupliceerbaar aan te merken. Dit is de reden dat het station in Zeewolde toen als niet-dupliceerbaar is aangemerkt. Het al dan niet aangemerkt zijn als niet-dupliceerbaar staat los van de vraag of deze masten al dan niet ontmanteld kunnen worden. Eerder zijn ook al middengolfmasten ontmanteld die destijds als niet-dupliceerbaar waren aangemerkt. Het gaat dan om de middengolfmasten in Lopik en Heinenoord.
Klopt het dat het nog altijd niet mogelijk of in ieder geval niet bepaald eenvoudig is om op korte termijn een vergunning te krijgen voor de oprichting van nieuwe opstelplaatsen voor een middengolfzender van gelijke aard en omvang, onder andere vanwege het risico op storingen?
Zoals ook uit de beantwoording van vraag 1 kan worden opgemaakt, gaat het bij de zendinstallatie in Zeewolde om een zeer grote installatie. Het station is inmiddels niet meer in gebruik op de wijze waarvoor het ooit was opgericht. De vraag kan dan ook gesteld worden of een alternatief voor GNR technisch en economisch volledig vergelijkbaar dient te zijn met Zeewolde, of dat een niet (geheel) vergelijkbaar alternatief ook een optie zou kunnen zijn. Luisteraars hebben tegenwoordig – anders dan in 2007 – immers ook de mogelijkheid op andere manieren naar GNR te luisteren, bijvoorbeeld via DAB+, internet of de kabel.
Aangezien BP en naar verwachting ook GNR sinds medio 2015 bekend waren met de op 31 augustus 2017 eindigende huurovereenkomst voor het opstelpunt Zeewolde, had het op hun weg gelegen de afgelopen anderhalf jaar te kijken naar alternatieven om door te gaan op de middengolf.
Deelt u de mening dat de alternatieve locatie die door de eigenaar is voorgesteld (een stuk grond in Lopik, zonder zendmast) geen serieuze of met Zeewolde vergelijkbare optie is, omdat zich op dat stuk grond nog geen zendmast bevindt, er een mede door u ondertekend convenant ligt dat plaatsing van nieuwe zendmasten en ingebruikname van nieuwe middengolffrequenties in dat gebied juridisch uitsluit, het oprichten van een nieuwe mast bijzonder prijzig is en dat dit bovendien naar alle waarschijnlijkheid ook zou stuiten op bovengenoemde vergunningsproblemen en maatschappelijke bezwaren?
Zoals ik eerder heb toegezegd, zal ik de alternatieven met GNR en BP bespreken, waarbij ook aan de orde zal komen waarom het door NOVEC voorgestelde alternatief door hen niet als zodanig wordt erkend. Omdat het inmiddels over aanzienlijk lagere vermogens gaat dan de oorspronkelijke middengolfuitzendingen in Lopik en het convenant (van 2004) zag op het beëindigen van storingen op apparatuur door de zendvermogens in Lopik te verlagen, hoeft het convenant, indien gebruik gemaakt wordt van lagere vermogens, volgens NOVEC geen belemmering te vormen. NOVEC heeft aangegeven dat de storingsklachten vanuit de aanpalende woonwijk na het verlagen van het zendvermogen aanzienlijk zijn afgenomen. De laatste jaren dat Radio Maria vanaf deze locatie uitzond, zijn er geen klachten meer bij NOVEC binnengekomen.
Indien GNR daadwerkelijk belangstelling heeft voor deze of een andere alternatieve locatie, zal onderzocht moeten worden wat haalbaar is en wat nodig is om dit te realiseren. Agentschap Telecom kan hierbij behulpzaam zijn.
Kunt u of kan het mastenbedrijf garanderen dat uiterlijk 1 september 2017 op het genoemde stuk grond een zendmast in bedrijf kan zijn genomen dat qua bereik en technische en economische voorwaarden ten minste gelijkwaardig is aan de huidige mast in Zeewolde? Zo nee, deelt u de opvatting dat het stuk grond zonder zendmast niet kan worden aangemerkt als een daadwerkelijk vergelijkbaar alternatief dat per 1 september 2017 inzetbaar is?
Zie het antwoord op de vragen 1, 3 en 4.
Deelt u de mening dat in deze situatie de verantwoordelijkheid voor het vinden van een geschikte opstelplaats niet alleen bij de vergunninghouder kan worden gelegd, maar dat in elk geval de masteigenaar en wellicht ook de lokale overheid en uw ministerie een deel van de verantwoordelijkheid dragen voor het vinden van een oplossing?
Nee, het is aan de vergunninghouder zelf om – al dan niet met hulp van derden – te zorgen voor een geschikt opstelpunt of, in het geval een bestaand opstelpunt niet langer beschikbaar is, te zoeken naar een alternatief. Zoals aangegeven in mijn brief aan uw Kamer van 30 juni 2016, strekt mijn verantwoordelijkheid zich uit tot de uitgifte van vergunningen voor het gebruik van frequenties.3 Dat de masteigenaar in dit geval suggesties aandraagt voor een alternatief, valt te prijzen, maar een verplichting daartoe bestaat niet. In genoemde brief wordt ook aangegeven dat het Ministerie van Economische Zaken bereid is om te helpen bij het zoeken naar een alternatief. Dat betekent bijvoorbeeld dat Agentschap Telecom kan beoordelen of een nieuwe locatie frequentie-technisch geschikt is.
Is het juist dat artikel 3.24 van de Telecommunicatiewet ook betrekking heeft op het antenne-opstelpunt in Zeewolde?
Uit navraag bij de Autoriteit Consument en Markt (ACM) is gebleken dat er inmiddels een officieel verzoek tot geschilbeslechting over deze zaak aanhangig is gemaakt bij ACM. Gedurende lopende juridische procedures kan ik geen inhoudelijke uitspraken over de desbetreffende zaak doen.
Zo ja, klopt het dat als de vergunninghouder of de zenderoperator een redelijk verzoek tot medegebruik voor de mast indient en de bij wet voorgeschreven redelijke vergoeding voor dat gebruik wil betalen, de eigenaar ook wettelijk verplicht is om medegebruik van de mast te verlenen, aangezien het immers een zogenaamde essentiële faciliteit of in elk geval een voor de frequentie AM1008 noodzakelijke voorziening betreft waarvan uitzending afhankelijk is en waarvoor geen vergelijkbare alternatieven bestaan of op korte termijn op te richten zijn? Bent u bereid om de zendmasteigenaar op nakoming van deze verplichting aan te spreken?
Zie antwoord vraag 7.
Deelt u de mening dat als de eigenaar van de zendmast in Zeewolde niet bereid is om volgens artikel 3.24 van de Telecommunicatiewet medegebruik te verlenen, maar daar wel vraag naar bestaat en dat ook technisch mogelijk is, het primair op zijn pad ligt en niet op dat van de vergunninghouder om met een alternatief te komen?
Zie het antwoord op vraag 6.
Aangezien de masteigenaar NOVEC (indirect) eigendom is van de staat, en de uitzendvergunning ook wordt verleend door de staat, is het dan niet bij uitstek aan u of het staatsbedrijf om een passend en vergelijkbaar alternatief te bieden voor of het in de lucht houden van het huidige opstelpunt?
Zie het antwoord op vraag 6.
Bent u op de hoogte van de bewering van de zendmasteigenaar dat middengolf een eindige techniek is, zodat hierin geen maatschappelijk belang meer schuilt en medegebruik volgens de Telecommunicatiewet artikel 3.24 daarom niet langer verplicht zou zijn? Deelt u de mening dat het niet aan de eigenaar van de mast is (een private partij) om zich een mening te vormen over het maatschappelijk belang van uitzendingen via middengolf, maar dat het primair aan de politiek is om te bepalen? Met het verlengen van de middengolf-vergunning geeft u toch aan dat middengolf nog steeds van belang is en niet achterhaald is, zoals de eigenaar van de mast beweert?2
In mijn brief aan uw Kamer van 26 juni 2015 heb ik aangegeven dat het gebruik van de middengolf steeds verder terugloopt. Dat proces is al een aantal jaren gaande en de verwachting is dat de interesse in hoogvermogen middengolfradio in de komende jaren verder zal afnemen.5 Dit is de reden geweest om een nieuw beleid voor de middengolf te introduceren. Inmiddels worden vergunningen uitgegeven voor laagvermogen middengolfradio. Het voordeel hiervan is dat frequenties meerdere malen in Nederland ingezet kunnen worden. Gelet op het aantal aanvragen dat inmiddels is ingediend voor laagvermogen middengolfradio, kan gesteld worden dat het nieuwe beleid in een behoefte voorziet.
Bent u bereid om in overleg met zendmasteigenaar NOVEC, vergunninghouder Groot Nieuws Radio (GNR) en haar zenderoperator Broadcast Partners te overleggen om een passende en werkbare overeenstemming te bereiken over voortzetting van het gebruik van de bestaande zendmast in Zeewolde, onder aanname dat GNR en haar operator bereid zijn om de hiertoe bij wet vereiste redelijke vergoeding te voldoen?
Zoals ik eerder heb toegezegd, ben ik bereid om – vanuit de rollen en verantwoordelijkheden zoals beschreven in deze antwoorden – in overleg te treden met de diverse betrokken partijen om de verschillende alternatieven en scenario’s te bespreken. Op 31 januari 2017 heeft een gesprek plaatsgevonden met GNR en BP. Op 23 februari 2017 is gesproken met NOVEC.
Slechte beveiliging van ziekenhuiswebsites |
|
Astrid Oosenbrug (PvdA) |
|
Ard van der Steur (VVD), Edith Schippers (minister volksgezondheid, welzijn en sport) (VVD) |
|
Bent u bekend met de berichten «Ziekenhuizen beveiligen hun sites niet goed»1 en «Deel websites ziekenhuizen slecht beveiligd»?2
Ja
Deelt u de mening dat het zeer zorgelijk is dat 35% van de ziekenhuizen uit het onderzoek van Women in Cybersecurity geen beveiligde internetverbinding hebben, nog eens een kwart van de ziekenhuizen een verouderdere internetverbinding heeft en patiëntgegevens hierdoor gemakkelijk in verkeerde handen kunnen vallen?
Ik herken het beeld dat Women in Cybersecurity schetst, namelijk dat er verbetering nodig is op het terrein van informatiebeveiliging in de zorg. Het bewustzijn in ziekenhuizen over de omgang en verwerking van privacygevoelige gegevens is de afgelopen jaren toegenomen, zo concludeert het onderzoek van PBLQ3, dat ik in december aan uw Kamer stuurde. Tegelijkertijd lijkt het bewustzijn nog niet bij iedereen in dezelfde mate aanwezig en dat is onwenselijk. De vertrouwelijkheid van medische informatie en de vertrouwelijke omgang met persoonsgegevens in de gezondheidszorg is essentieel en is een kernwaarde voor zowel patiënten als zorgaanbieders. De Wet bescherming persoonsgegevens (Wbp) verplicht het nemen van passende technische en organisatorische maatregelen waarbij het beveiligingsniveau passend moet zijn bij de aard van de te beschermen gegevens. In de gezondheidszorg zijn de NEN 7510, NEN 7512 en NEN 7513 de normen om dit beveiligingsniveau te bereiken.
De Autoriteit Persoonsgegevens (AP) ziet hierop toe en kan zo nodig handhavend optreden. Ook de Inspectie voor de Gezondheidszorg (IGZ) ziet toe op de naleving van relevante wet- en regelgeving op het gebied van informatiebeveiliging in de zorg, voor zover die raakt aan kwaliteit en veiligheid van zorg.
Informatiebeveiliging en privacybescherming zijn in de eerste plaats de verantwoordelijkheid van de zorgaanbieder zelf. Op grond van de Wbp is degene die het doel en de middelen voor de verwerking van persoonsgegevens vaststelt, verantwoordelijk voor de verwerking. Dat betekent dat ziekenhuizen zelf zorg dienen te dragen voor passende technische en organisatorische maatregelen op hun websites. Het versleutelen van het informatieverkeer via een beveiligde (https-) verbinding is een voorbeeld van een dergelijke maatregel. De verplichte NEN-normen voor informatiebeveiliging besteden ook aandacht aan dit type passende maatregelen en het uitvoeren van een risicoanalyse. Voor iedere website en dienst zal de verantwoordelijke organisatie een risicoafweging moeten maken om te bepalen of een beveiligde verbinding nodig is. De AP ziet hierop toe.
Ik heb naar aanleiding van onder meer het PBLQ-onderzoek toegezegd dat ik ernaar streef dit voorjaar samen met de sector met een «Actieplan (informatie)beveiliging patiëntgegevens» te komen om de privacybescherming en informatiebeveiliging in het ziekenhuis en GGZ-domein te verbeteren. Ik zal het uitwisselen van patiëntgegevens via onbeveiligde verbindingen en websites en de awareness daarover, daarin als aandachtspunt meenemen.
Zijn bij u gevallen van datalekken bij ziekenhuizen bekend met als oorzaak het versturen van gegevens via een onbeveiligde internetverbinding? Zo ja, om hoeveel datalekken gaat het?
Meldingen worden bij de AP gedaan. Het is mij niet bekend of hierover meldingen zijn gedaan.
Deelt u de mening dat de reacties van ziekenhuizen op het onderzoek van Women in Cybersecurity (zoals «we hadden nog geen versleuteling toen onze site ontstond» en «bij de nieuwe site die binnenkort «live» gaat, is dit probleem opgelost») in schril contrast staan tot de verplichting om te zorgen voor goede beveiliging van websites als bezoekers gevraagd wordt om bijzondere persoonlijke gegevens, zoals iemands gezondheid?
Zie mijn antwoord op vraag 2.
Deelt u de mening dat ziekenhuizen zich onvoldoende bewust lijken van de risico’s die het versturen van patiëntgegevens via een onbeveiligde internetverbinding met zich meebrengen?
Zie mijn antwoord op vraag 2.
Zijn alle ziekenhuizen actief geïnformeerd over deze risico’s? Zo nee, bent u bereid de ziekenhuizen op zeer korte termijn te informeren over deze risico’s? Zijn alle ziekenhuizen op de hoogte van de richtlijnen voor het veiliger ontwikkelen, beheren en aanbieden van webapplicaties, zoals de ICT-Beveiligingsrichtlijnen voor Webapplicaties van het Nationaal Cyber Security Centrum (NCSC)?3 Zijn ziekenhuizen verplicht zich aan deze richtlijnen te houden? Zo nee, waarom niet en bent u bereid ziekenhuizen nogmaals op deze richtlijn te wijzen?
Zoals verwoord in mijn vorige antwoord zijn informatiebeveiliging en privacybescherming de verantwoordelijkheid van de zorgaanbieder zelf. Het wettelijk kader, de Wbp, stelt dat ziekenhuizen passende maatregelen moeten nemen daar waar sprake is van verwerkingen van persoonsgegevens. Voor de zorg gelden de NEN 7510, 7512, 7513 normen, die ook als passende normen voor informatiebeveiliging, waaronder netwerkbeveiliging, worden gezien. Zoals beschreven in het antwoord op vraag 2 zien de AP en de IGZ hierop toe.
Daarnaast kunnen ziekenhuizen kennis nemen van de door het NCSC publiekelijk gepubliceerde adviezen en kennisdocumenten, zoals de ICT-beveiligingsrichtlijnen voor webapplicaties. Of de open standaarden voor beveiligde berichtuitwisseling op het web, die Forum Standaardisatie heeft opgenomen in de lijst met »pas toe of leg uit»-standaarden. Er zijn afspraken gemaakt voor implementatie hiervan in het DigiD-domein en voor de rijksoverheid. Deze richtlijnen zijn niet verplicht voor de zorg, maar de zorg kan deze natuurlijk wel implementeren. Het aantoonbaar voldoen aan generieke richtlijnen kan een onderbouwing geven voor de vraag of al dan niet passende maatregelen zijn genomen.
Bij het opstellen van het «Actieplan (informatie)beveiliging patiëntgegevens» om de privacybescherming en informatiebeveiliging in het ziekenhuis en GGZ-domein te verbeteren, zal ik het uitwisselen van gegevens via onbeveiligde verbindingen en websites en de awareness daarover als aandachtspunt meenemen.
Bent u voornemens aanvullende verplichte regels/richtlijnen op te stellen die ziekenhuizen moeten volgen, om zo dergelijke datalekken te voorkomen? Zo ja, door wie zal controle op deze regels/richtlijnen uitgevoerd worden? Hoort een onafhankelijke responsible disclosure daar ook bij?
Uit het onderzoek dat de ik onlangs heb laten uitvoeren komt geen indicatie naar voren dat verdere aanvulling van wet- en regelgeving voor informatiebeveiliging en privacybescherming in zorginstellingen noodzakelijk is. Uit de interviews en enquêtes bij het onderzoek blijkt wel dat er behoefte is aan het begrijpelijker maken van de huidige en komende wet- en regelgeving en het vertalen ervan naar concrete handvatten voor de praktijk.
Het inrichten van een responsible disclosure beleid is een eigen afweging van een zorginstelling. Het kabinet en in het bijzonder het Ministerie van Veiligheid en Justitie stimuleren in den brede dat organisaties een responsible disclosure-beleid inrichten en uitvoeren. Wanneer een organisatie geen responsible disclosure beleid heeft ingericht of geen gehoor geeft aan de melding kunnen meldingen gedaan worden bij het NCSC5. Het NCSC zal met de betrokken partijen contact opnemen en indien nodig de rol van intermediair op zich nemen. Ook bij de AP kunnen meldingen gedaan worden wanneer partijen van mening zijn dat er sprake is van een inbreuk op de Wbp. In de nabije toekomst zullen meldingen van kwetsbaarheden in het kader van responsible disclosure ook gemeld kunnen worden bij het Computer Emergency en Response Team voor de zorg «Z-cert», dat nu opgericht wordt en waaraan ik een financiële bijdrage lever om tegemoet te komen in de aanloopverliezen bij de start van de organisatie.
Hoe beoordeelt u de uitspraak van de Nederlandse Vereniging van Ziekenhuizen dat er aan een oplossing wordt gewerkt en dat het binnen vier jaar mogelijk is om veilig online gegevens in te zien en afspraken te maken? Deelt u de mening dat, zeker wanneer persoonlijke gegevens van patiënten op straat kunnen komen te liggen, datalekken zo snel mogelijk gedicht moeten worden en dat vier jaar een onredelijk lange termijn is om dit probleem op te lossen? Zo ja, hoe gaat u waarborgen dat de beveiliging van ziekenhuiswebsites zo snel mogelijk op orde is? Zo nee, waarom niet?
Het nu al voldoen aan het wettelijk kader rondom privacybescherming en informatiebeveiliging staat los van de ambitie van ziekenhuizen, zoals afgesproken in het Informatieberaad, om over vier jaar meer zorggegevens voor patiënten online te kunnen ontsluiten of het voor de patiënt mogelijk te maken om bij meer zorgpartijen afspraken online te kunnen maken en wijzigen. Zowel nu als dan moeten zorgpartijen, op basis van de Wbp, er voor zorgen dat de privacybescherming en informatiebeveiliging op orde zijn. Zoals beschreven in het antwoord op vraag 2 zien de AP en de IGZ hierop toe.
Op welke termijn verwacht u dat alle ziekenhuizen de beveiliging van hun internetverbinding en de verzending van patiëntgegevens op orde hebben? Heeft dit tot gevolg dat patiëntgegevens tot die tijd onveilig worden verzonden? Zo ja, wat gaat u er in de tussentijd aan doen om datalekken van patiëntgegevens te voorkomen?
Ik verwacht dat ziekenhuizen met de uitvoering van het Actieplan (informatie)beveiliging patiëntgegevens de privacybescherming en informatiebeveiliging (waaronder beveiliging van de websites) verder zullen verbeteren. Uitzicht op de termijn waarbinnen deze maatregelen zijn geïmplementeerd is afhankelijk van de inzet van de ziekenhuizen zelf. Ik verwacht dat elk ziekenhuis daarin de eigen verantwoordelijkheid neemt.
Sinds 1 januari 2016 geldt de meldplicht datalekken, die organisaties verplicht om datalekken te melden. Het is aan de AP om vervolgens toe te zien dat in reactie op een datalek passende maatregelen worden genomen.
Deelt u de mening dat de 110 miljoen euro die beschikbaar is gesteld om de beveiliging van ziekenhuiswebsites te verbeteren een ICT-project betreft, getoetst dient te worden door het Bureau ICT Toetsing en op het Rijks ICT-dashboard geplaatst moet worden? Zo nee, waarom niet?
Ik heb voor de komende drie jaar € 35 mln. per jaar beschikbaar gesteld, zodat patiënten binnen drie jaar op een veilige en gestandaardiseerde manier over hun medische gegevens kunnen beschikken en deze kunnen inzetten voor zelfzorg of om met andere medische professionals te delen. Dit is vastgelegd in de subsidieregeling6 «Versnellingsprogramma Informatie-uitwisseling Patiënt en Professional (VIPP)», waar ziekenhuizen resultaatsverplichtingen moeten halen om de subsidie te verkrijgen. Het VIPP-programma valt in die hoedanigheid buiten scope van het Bureau ICT-Toetsing en hoeft ook niet op het Rijks ICT-dashboard geplaatst te worden. Bij de resultaatsverplichtingen is opgenomen dat er bij het uitwisselen van persoonsgegevens gebruik gemaakt moet worden van veilige authenticatiemiddelen, van een adequaat hoog betrouwbaarheidsniveau. De digitale gegevensuitwisseling die gerealiseerd wordt moet vanzelfsprekend aan de wettelijke kaders rondom privacybescherming en gegevensuitwisseling voldoen.
Zijn er naar aanleiding van het eerdere onderzoek van het Rijksinstituut voor Volksgezondheid en Milieu (RIVM) «ICT in de zorg»4 al acties ondernomen om de beveiliging van patiëntgegevens bij ziekenhuizen in het algemeen te verbeteren? Zo ja, wanneer en welke acties zijn dit? Zo nee, waarom niet?
Ik heb u naar aanleiding van het rapport van PBLQ over beveiliging van patiëntgegevens en het rapport van RIVM (in opdracht van de IGZ) «ICT in de zorg» toegezegd dit voorjaar met een «Actieplan (informatie)beveiliging patiëntgegevens» te komen om de privacybescherming en informatiebeveiliging in het ziekenhuis en GGZ-domein te verbeteren.
Vorderingen rondom mobiel bereik in tunnels. |
|
Astrid Oosenbrug (PvdA), Duco Hoogland (PvdA) |
|
Stef Blok (minister zonder portefeuille binnenlandse zaken en koninkrijksrelaties, minister justitie en veiligheid) (VVD), Melanie Schultz van Haegen (minister infrastructuur en waterstaat) (VVD), Sharon Dijksma (staatssecretaris infrastructuur en waterstaat) (PvdA) |
|
Kent u het bericht «Zo kan het ook: tunnel mét mobiel bereik»?1 Herinnert u zich uw antwoorden op eerdere vragen?2
Ja.
Op welke wijze heeft u de afgelopen periode uitvoering gegeven aan de motie Hoogland?3
De Ministeries van EZ, IenM en de uitvoeringsorganisaties Rijkswaterstaat en ProRail bekijken samen hoe mobiele dekking in alle Rijkstunnels gerealiseerd kan worden. Uitgangspunt is dat mobiele dekking in Rijkstunnels wordt gefaciliteerd door de tunnelbeheerders en dat realisatie en onderhoud ervan de (financiële) verantwoordelijkheid is van de telecomproviders.
De motie Hoogland ziet vooral op nieuwe tunnels. Voor nieuw te bouwen tunnels en tunnels waarvoor op korte termijn grootschalige renovatie is voorzien, is aanpassing van de landelijke tunnelstandaarden (LTS) van Rijkswaterstaat en technische voorschriften van ProRail de meest geëigende weg. Rijkswaterstaat heeft de LTS voor rijkswegen inmiddels herzien en overlegt met telecomproviders over verfijning van deze standaarden voor de verdere verbetering van de mobiele dekking in tunnels. ProRail is – mede naar aanleiding van de realisatie van mobiele dekking in de spoortunnel in Delft – bezig met het actualiseren van de technische voorschriften voor telecomproviders. Dit is naar verwachting eind 2017 gereed.
Naast nieuwe tunnels hebben ook bestaande tunnels onze aandacht. Er wordt in overleg met de telecomproviders gezocht naar maatwerkoplossingen per tunnel. Uitgangspunt daarbij is dat de telecomproviders verantwoordelijk zijn voor levering en installatie van de systemen die benodigd zijn voor de mobiele telecommunicatievoorzieningen in tunnels en dat de beheerders de telecomproviders hierbij faciliteren.
Ik heb Rijkswaterstaat en Prorail verzocht om een inventarisatie te maken van de stand van zaken ten aanzien van mobiele dekking in de verschillende bestaande tunnels die onder hun beheer vallen. Ik zal uw kamer in de tweede helft van het jaar over de resultaten van deze inventarisatie van mobiele bereikbaarheid in bestaande tunnels informeren.
Alle betrokken partijen onderkennen ondertussen het belang van een goede dekking van mobiele netwerken in tunnels. In de nota Frequentiebeleid 2016 (Kamerstuk 24 095, nr. 264.) is aangegeven dat draadloze communicatie onmisbaar is voor de economie en de maatschappij. Het Ministerie van Economische Zaken, verantwoordelijk voor de verdeling van frequenties voor mobiele communicatie, onderzoekt op dit moment de mogelijkheden om de dekking nog verder te verbeteren. Uw Kamer zal over de uitkomsten hiervan in de Nota Mobiele Communicatie 2017 nader worden geïnformeerd. Uitgangspunt is dat er op wordt vertrouwd dat goed overleg en samenwerking tussen de betrokken partijen tot oplossingen leidt.
Op welke wijze wordt de aanleg van mobiele dekking opgenomen in de aanbesteding bij de aanleg van nieuwe tunnels?
In de contractvoorbereidingsfase stellen de telecomproviders met behulp van globale civiele gegevens een radioplan of programma van eisen op. Hiermee is de omvang en configuratie van de telecomvoorzieningen globaal vastgesteld. Deze gegevens worden opgenomen als klanteisen, die vervolgens worden verwerkt in de vraagspecificaties van het bouwcontract.
De nieuw aan te leggen Blankenburgverbinding, die de A20 en de A15 ten westen van Rotterdam met elkaar verbindt, dient als pilot voor deze werkwijze. Rijkswaterstaat voert dit project uit in nauw overleg met de netwerkaanbieders. De in deze pilot opgedane ervaringen worden vervolgens opgenomen in de werkwijze beschrijvingen en specificaties van de tunnelstandaard.
Na oplevering van de spoortunnel Delft staan er op dit moment geen nieuwe spoortunnels meer in het aanlegprogramma. Wel wordt op initiatief van de telecomproviders de komende periode in enkele bestaande spoortunnels mobiele dekking gerealiseerd. Het gaat om de overkapping Barendrecht, de
Willemsspoortunnel onder de Nieuwe Maas, de Tunnel Drontermeer en de Tunnel Best. De uitvoering van de hiervoor benodigde werkzaamheden is voorzien in 2017, met een mogelijke uitloop naar 2018, afhankelijk van de benodigde buitendienststellingen.
Wat is uw reactie op de ervaring van mobiele providers dat zij bij bouwaannemers helemaal onderaan de prioriteitenlijst staan?
Het beeld dat de telecomproviders onderaan de prioriteitenlijst staan, herken ik niet. Al tijdens de voorbereiding van de projecten worden afspraken gemaakt met de telecomproviders. Tijdens de bouw worden de belangen van alle derden bewaakt, waaronder ook de belangen van mobiele netwerkaanbieders.
Rijkswaterstaat heeft van de recent opgeleverde nieuwe tunnels geleerd dat het realiseren van voorzieningen voor mobiele telecommunicatie voor de nodige uitdagingen zorgt. Een punt van aandacht is dat de technologie die tijdens het ontwerpen is beschreven vaak achterhaald is ten tijde van de realisatie. De telecomproviders, Rijkswaterstaat en ProRail besteden in hun overleggen aandacht aan mogelijkheden om in de toekomst beter voorbereid te zijn op de technologische ontwikkelingen. Voor de nog te contracteren nieuwe tunnels werkt Rijkswaterstaat nauw samen met de mobiele netwerkaanbieders om te komen tot duidelijke procesafspraken en specificaties in de contracten.
Kunt u de Kamer informeren over de nieuwe tunnelstandaard die door Rijkswaterstaat is ontwikkeld?
Rijkswaterstaat heeft de LTS ontwikkeld die voor alle nieuw te bouwen Rijkswegtunnels wordt toegepast. Via deze tunnelstandaarden worden generieke technische eisen, proceseisen en verantwoordelijkheden uniform vastgelegd. De LTS wordt periodiek geactualiseerd zodat de nieuwste inzichten kunnen worden toegepast bij de bouw van rijkswegtunnels.
Ook de laatste ontwikkelingen en opgedane ervaringen ten aanzien van realisatie van telecommunicatie voorzieningen worden beheersmatig verwerkt in de LTS. De LTS is recent geactualiseerd specifiek ten behoeve van netwerken van telecomproviders in tunnels. Met de telecomproviders worden gesprekken gevoerd om het proces en de verantwoordelijkheden blijvend goed op elkaar aan te laten sluiten en zo de integratie van telecomdiensten verder te verbeteren. Gezien de snelle technologische ontwikkelingen is de toekomstbestendigheid een belangrijk punt.
Kunt u de Kamer informeren over het gezamenlijk programma van eisen dat door ProRail en providers wordt ontwikkeld?
Op dit moment zijn er in spoortunnels voor telecomaanbieders technische voorschriften van toepassing. Naar aanleiding van de implementatie van mobiele dekking in de tunnel Delft (mei 2016), worden deze voorschriften in overleg tussen ProRail en providers doorontwikkeld voor toepassing in andere, bestaande, spoortunnels.
Deelt u de mening van Vodafone dat de nieuwe tunnelstandaard en het gezamenlijk programma van eisen onvoldoende zijn om het probleem definitief te verhelpen? Zo ja, welke aanvullende maatregelen neemt u? Zo nee, waarom niet?
Ik zie geen noodzaak voor aanvullende maatregelen. De vaststelling en continue actualisatie van de LTS en technische voorschriften, gecombineerd met een goede samenwerking tussen alle betrokken partijen, is naar mijn mening de kern om in te spelen op de snelle en voortdurende technologische ontwikkelingen.
Bent u bereid het Bouwbesluit zodanig te wijzigen dat verzekerd wordt dat in tunnels deugdelijke mobiele dekking aanwezig is? Zo ja, per wanneer verwacht u dit gerealiseerd te hebben? Zo nee, waarom niet?
Nee, omdat deze deugdelijke mobiele dekking in tunnels ook bereikt kan worden door afspraken tussen Rijkswaterstaat, Prorail en de providers.
Afspraken over mobiele dekking in tunnels worden opgenomen in de LTS en de technische voorschriften van Prorail en de providers. Zo is bijvoorbeeld in de LTS de verplichting opgenomen dat mobiele dekking eenvoudig, zonder wijzigingen aan de civiele tunnelconstructie, dient te kunnen worden uitgebreid voor de ondersteuning van diensten van derde partijen zoals mobiele netwerkaanbieders.
Wanneer verwacht u het aangekondigde overleg tussen het Ministerie van Infrastructuur en Milieu, het Ministerie van Economische Zaken, providers en andere belanghebbenden te voeren? Bent u nog voornemens de Kamer in het najaar van 2016 te informeren over de uitkomsten van dit overleg, zoals u heeft toegezegd in het Algemeen overleg Spoor van 19 mei jl.?4
Er vindt inmiddels goed overleg plaats tussen de Ministeries van EZ en IenM, de uitvoeringsorganisaties Rijkswaterstaat en ProRail en de telecomproviders. Ik houd dit goed in de gaten en als het nodig is, zal ik aanvullend overleg organiseren. Als de bij vraag 2 toegezegde inventarisatie van stand van zaken ten aanzien van mobiele dekking in de verschillende bestaande tunnels is afgerond, zal ik uw Kamer nader informeren.
Zijn inmiddels gesprekken gevoerd met de providers om «het proces en de verantwoordelijkheden nog beter op elkaar aan te sluiten en zo de integratie van telecomdiensten verder te verbeteren»?5 Tot welk resultaat hebben deze gesprekken geleid?
Sinds juni 2016 vindt er regulier overleg plaats tussen de telecomproviders en Rijkswaterstaat. Ook tussen ProRail en de telecomproviders vindt regulier overleg plaats. Doel van deze overleggen is om processen en specificaties voor realisatie van mobiele telecommunicatie voorzieningen in tunnels vast te leggen in de LTS, technische voorschriften en/of contracten voor nieuw te bouwen en te renoveren tunnels.
Is het netwerk in de Ketheltunnel (A4 Delft-Schiedam) inmiddels geheel operationeel, zoals dit voorjaar aangekondigd?6
Het netwerk in de Ketheltunnel is nog niet geheel operationeel. De oplevering van het netwerk door de coördinerende telecomprovider is doorgeschoven naar februari 2017. De oorzaak van deze vertraging ligt bij de onderlinge afstemming tussen de telecomproviders.
Hoe verlopen de gesprekken tussen Rijkswaterstaat en de mobiele operators om tot afspraken te komen over mobiel bereik in de Blankenburgtunnel?7 Hoe voorkomt u dat de aanleg van mobiel bereik bij dit project onder op de prioriteitenlijst komt te staan?
Het overleg, zoals genoemd in de beantwoording van vraag 10, verloopt in goede verstandhouding en is van beide zijden constructief. Zie in dit verband ook de beantwoording van vraag 3. Door reeds in de fase van contractvoorbereiding de aspecten voor mobiele dekking in tunnels mee te nemen wordt voorkomen dat de aanleg van mobiel bereik onder op de prioriteitenlijst staat. Zodra de aanbesteding van de Blankenburgverbinding is afgerond zal de op dat moment geselecteerde bouwcombinatie bij deze afstemmingsgesprekken worden betrokken. Er zal specifiek aandacht zijn voor technologische ontwikkelingen gedurende dit proces.
Lekke overheidswebsites |
|
John Kerstens (PvdA), Astrid Oosenbrug (PvdA) |
|
Ronald Plasterk (minister binnenlandse zaken en koninkrijksrelaties) (PvdA), Lodewijk Asscher (viceminister-president , minister sociale zaken en werkgelegenheid) (PvdA) |
|
Kent u de berichten «Helft websites overheid onveilig»1 en «Veel overheid websites onnodig onveilig»2?
Ja.
Is het waar dat van de 1.816 onderzochte websites van de Nederlandse overheid er minder dan de helft een verbinding heeft die ervoor zorgt dat het websiteverkeer versleuteld wordt? Zo nee, hoeveel zijn het er dan wel?
Het in de media geschetste beeld dat de verbindingen naar veel overheidswebsites niet goed beveiligd zijn, verdient enige nuance. Het belang van het beveiligen van de verbinding naar een overheidswebsite hangt af van of de website (persoons-) gevoelige informatie uitwisselt. Daarom zijn organisaties zelf verantwoordelijk voor het beveiligen van hun websites.
Het kabinet onderschrijft het belang van versleuteling. Om de implementatie van versleutelde verbindingen te versnellen, heeft het Nationaal Beraad Digitale Overheid in februari van dit jaar overheidsbreed het streefbeeld afgesproken om uiterlijk eind 2017 versleutelde verbindingen overal op overheidswebsites te hebben toegepast, waar persoonsgegevens of andere gevoelige gegevens aan de orde zijn. Deze afspraak is op advies van het Forum Standaardisatie tot stand gekomen en ligt in het verlengde van de eerdere opname van de achterliggende TLS-standaard op de «pas toe of leg uit»-lijst die geldt bij nieuwe investeringen. Vanuit dat oogpunt zijn er in het nieuwe DigiD normenkader v2.0, dat geldt vanaf 1 juli 2017 en dat gebaseerd is op de vernieuwde versie van NCSC ICT-Beveiligingsrichtlijnen voor Webapplicaties (versie 2015), wijzigingen doorgevoerd.3 Zo dienen veelgebruikte entreepagina’s naar bijvoorbeeld contactformulieren ook met HTTPS beveiligd te zijn.
Is het waar dat van de overheidswebsites die wel een https-verbinding gebruiken er ook nog een aantal websites is dat zodanig is ingesteld dat er ook daar een beveiligingsrisico bestaat? Zo nee, wat is er dan niet waar?
Inderdaad is het zo dat nog niet alle overheidswebsites zo zijn ingesteld dat er geen beveiligingsrisico bestaat. Elke overheidsorganisatie is uiteindelijk zelf verantwoordelijk voor het beveiligen van de eigen overheidswebsites.
De voortgang van de adoptie van beveiligingsstandaarden in websites en e-mail van de overheid wordt halfjaarlijks op verzoek van het Nationaal Beraad door het Forum Standaardisatie bij een set overheidsdomeinnamen gemeten. Zo wordt gekeken of de overheid op koers is ten aanzien van het streefbeeld dat is afgesproken in het Nationaal Beraad. In die meting wordt ook gekeken of de HTTPS-verbinding is geconfigureerd volgens het advies van het NCSC («ICT-beveiligingsrichtijnen voor TLS»). Dat is namelijk inderdaad óók van belang. Zowel op het gebied van de toepassing van HTTPS als de veilige configuratie conform NCSC-advies, wordt flinke vooruitgang geboekt.4
De metingen worden uitgevoerd met behulp van de testtool https: //internet.nl. Deze testtool staat ook ter beschikking aan alle overheden. De tool is ontwikkeld door het Platform Internetstandaarden, dat een samenwerkingsverband is van de Nederlandse internetcommunity en overheid.
Om de adoptie van HTTPS te versnellen worden, naast de streefbeeldafspraak, metingen en de testtool, aanvullende acties ondernomen. De Informatie Beveiligings Dienst (IBD) van VNG/KING adviseert gemeenten om HTTPS te gebruiken en te configureren conform NCSC-advies. Ter ondersteuning hebben zij in samenwerking met Forum Standaardisatie een factsheet ontwikkeld voor het toepassen van HTTPS op gemeentelijk niveau en zijn er diverse workshops georganiseerd in het land.
Is de conclusie uit het onderzoek van Open State dat er een beveiligingsrisico is bij 62 procent van de overheidswebsites gerechtvaardigd? Zo ja, deelt u dan de mening dat dit een schrikbarende conclusie is en waarom? Zo nee, waarom is die conclusie niet gerechtvaardigd?
Het is onwenselijk wanneer websiteonderdelen waar gevoelige gegevens zoals financiële en/of persoonsgegevens, worden verwerkt, onversleuteld zijn. Vandaar dat is ingezet op het afgesproken streefbeeld om HTTPS op die plekken overal toe te passen.
Behoort het UWV (Uitvoeringsorgaan werknemersverzekeringen) tot de groep met een site die onveilig is? Zo ja, hoe kan dat en hoe wordt dat snel opgelost? Zo ja, wat kunnen de gevolgen zijn voor de bescherming van gevoelige persoonsgegevens of andere gegevens?
Websites van UWV (uwv.nl en bkwi.nl) worden genoemd op de lijst van het OSF, omdat zij geen gebruik maken van een https-verbinding. Het gedeelte van uwv.nl waarop algemene informatie wordt getoond (de landingspagina) gebruikt een http-verbinding. Voor deze pagina staat een softwarematige omzetting naar HTTPS in het tweede kwartaal van 2017 op de planning. Pagina’s van uwv.nl waar sprake is van gegevensuitwisseling (bijv. tonen van persoonsgegevens door UWV, insturen van gegevens door klanten) bevinden zich in de MijnUWV-omgeving. Deze pagina’s zijn wel voorzien van een HTTPS-verbinding. Om in de MijnUWV-omgeving te komen moet bovendien worden ingelogd met DigiD. Op de website bkwi.nl wordt enkel informatie getoond die betrekking heeft op de gegevensleveringen die BKWI faciliteert. Er wordt geen informatie getoond die betrekking heeft op personen. Vooruitlopend op de vernieuwing van bkwi.nl in het eerste kwartaal van 2017 wordt de site eind 2016 voorzien van een HTTPS-verbinding. Werk.nl maakt wel gebruik van een HTTPS-verbinding. In de huidige situatie worden gevoelige persoonsgegevens adequaat beschermd.
Welke risico’s brengen slecht beveiligde overheidswebsites met zich mee?
Wanneer websites geen gebruik maken van versleuteling bij de communicatie, is het mogelijk dat derden de informatie in kunnen zien die opgevraagd wordt, deze eventueel kunnen veranderen of voorzien van bijvoorbeeld malware. In het geval dat er een transactie plaatsvindt, kan deze mogelijk ook gemanipuleerd worden. Het toepassen van HTTPS en van een bijbehorend certificaat helpt om de authenticiteit van een overheidswebsite te kunnen controleren en kan daardoor phishing voorkomen. Voor iedere website en dienst zal een aparte risicoafweging gemaakt moeten worden door de verantwoordelijke overheidsorganisaties. Daarbij is van belang te vermelden dat alle privacygevoelige overheidswebsites eind 2017 beveiligd moeten worden volgens de HTTPS richtlijnen zoals afgesproken in het Nationaal Beraad.
Deelt u de mening van o.a. Bits of Freedom dat het onbegrijpelijk is dat de overheid dit niet beter doet? Zo ja, welke conclusies en welk gevolg verbindt u hieraan? Zo nee, waarom deelt u die mening niet?
Ik deel die mening niet. Zie mijn antwoord op vraag 2, 3 en 4.
Commerciële winkels zoals brillen en gehoorapparaten verkopers die inzage hebben in gegevens van verzekerden |
|
Lea Bouwmeester (PvdA), Astrid Oosenbrug (PvdA) |
|
Edith Schippers (minister volksgezondheid, welzijn en sport) (VVD) |
|
Deelt u de mening dat, als een hulpmiddel zoals bril of gehoorapparaat nodig is, de medische vraag van een patiënt centraal dient te staan, en niet de maximalisering van de omzet van een zorgverlener?1
Ja.
Bent u ook van mening dat leveranciers van medische hulpmiddelen, zoals opticiëns en hoorwinkels een publiek doel nastreven (goede zorg, passende hulpmiddelen en bewaking van de betaalbaarheid van de zorg)? Hoe ziet u de nastreving hiervan in verhouding met hun gelijktijdige private doel (het maximaliseren van eigen omzet en winst)?
In een privaatrechtelijk vormgegeven Zorgverzekeringswet met sterke publieke waarborgen, kan de verzekering en de bijbehorende zorgverlening door private partijen worden uitgevoerd. Ik voeg daar aan toe dat vrijwel alle ziekenhuizen, zorginstellingen en zorgaanbieders in Nederland private organisaties zijn.
Bent u op de hoogte van het feit dat vanuit een opticiën of audiciën die gelijktijdig een publieke als commerciële rol vervulen, informatie kan worden gezocht over de verzekeringspolis van mensen, met behulp van het landelijk communicatiepunt VECOZO (het internetportaal voor veilige communicatie in de zorg tussen zorgverzekeraars, zorgverleners en zorgkantoren)?
Ja, ik ben ervan op de hoogte dat zorgverzekeraars aan opticiens en audiciens beperkte informatie geven over verzekerden. Via het VECOZO-portaal hebben zij toegang tot de dienst Controle op Verzekeringsrecht (COV) en uitsluitend inzicht bij welke zorgverzekeraar een basisverzekering met eventueel aanvullende pakketten zijn afgesloten. Bij het aangaan van een verzekering heeft de verzekerde daarvoor toestemming gegeven.
Toegang tot COV is alleen mogelijk als er een behandel- en/of declaratierelatie aanwezig is tussen zorgaanbieder en verzekerde en wordt gebruikt voor het informeren van de verzekerde over de hoogte van de vergoeding van zijn zorgverzekeraar. Het COV wordt ook gebruikt om de declaratie bij de juiste zorgverzekeraar te kunnen indienen als er sprake is van directe afwikkeling van de nota met de zorgverzekeraar. De zorgverzekeraar betaalt de vergoeding dan rechtstreeks aan de zorgverlener. Het gebruik van het portaal verlaagt de administratieve lasten en daardoor ook de kosten voor zowel verzekerde, zorgaanbieder als zorgverzekeraar.
De privacy is geborgd omdat er geen toegang is tot het historische zorggebruik of medische gegevens van de verzekerde. COV is nadrukkelijk niet bedoeld voor identificatie-, exploitatie- en/of commerciële doeleinden en een zorgaanbieder krijgt uitsluitend toegang tot COV indien deze een VECOZO-overeenkomst aangaat waarin afspraken over geheimhouding en vertrouwelijkheid zijn opgenomen.
Kunnen opticiëns en audiciëns via dataminin-verkoop en verzekeringsgegevens van klanten gebruiken voor commerciële doeleinden? Hoe kan dit worden voorkomen, en wie ziet daarop toe?
Zie antwoord vraag 3.
Bent u het ermee eens dat informatie over de verzekeringspolis van mensen slechts vanuit het publieke doel mag worden opgezocht, om bijvoorbeeld te kunnen controleren welke vergoeding personen kunnen krijgen van de zorgverzekeraar op basis van de verzekeringspolis?
Zie antwoord vraag 3.
Hoe kan worden geborgd dat controle van deze gegevens door een winkel slechts vanuit deze zorgtaak gebeurt? Hoe kan erop worden vertrouwd op juiste omgang met persoonsgegevens door dit soort partijen? Wie controleert dit, en welke sanctie staat op overtreding?
Zie antwoord vraag 3.
Bestaat er bijvoorbeeld een bepaalde richtlijn voor mensen die beroepsmatig bij de informatie over verzekeringspolissen kunnen? Bestaan er regels, zodat zij hier op een vertrouwelijke wijze mee om moeten gaan?
Zie antwoord vraag 3.
Bent u ervan op de hoogte dat de zorgverzekeraar, de opticiën of hoorwinkel ook gegevens via deze database mogen uitwisselen om declaraties efficiënt te kunnen afhandelen? Met welke andere partijen worden deze data uitgewisseld, en onder welke voorwaarden mag dit?
Zie antwoord vraag 3.
Valt deze uitwisseling volgens u nog binnen het beoogde (publieke) doel, of zijn hier ook andere (commerciële) belangen mee gemoeid, waardoor het bijvoorbeeld voor reclame kan worden ingezet? Mag dit?
Zie antwoord vraag 3.
Ziet u ook de mogelijkheid tot datamining, en daarmee de vergaring van voor commerciële partijen waardevolle data, door de toegang die hulpmiddelenleveranciers hebben tot zowel verzekeringsgegevens als tegelijkertijd tot klantgegevens?
Zie antwoord vraag 3.
Wordt hier door bepaalde partijen binnen dit speelveld aan verdiend? Zo ja, hoeveel precies? Kan winst door datamining via gegevens van verzekerden worden voorkomen, of kan dit ten goede komen aan de premiebetaler?
Zie antwoord vraag 3.
Heeft u ook signalen ontvangen van zorgverzekeraars over ongewenste uitwisseling, oneigenlijke inzage van data of datamining met commercieel oogmerk? Zo nee, wilt u met hen hierover er in gesprek gaan? Vindt u deze signalen zorgelijk? Zo ja, wat gaat u hieraan doen?
Ik heb hierover geen signalen ontvangen. Wanneer er concrete aanwijzingen zijn zal ik dit uiteraard met zorgverzekeraars bespreken.
Wat vindt u van de praktijken van bepaalde bedrijven die deze omgang met persoonlijke data gebruiken als verdienmodel?
In Nederland is de Wet bescherming persoonsgegevens (Wbp) van toepassing op de verwerking van (medische) persoonsgegevens. Voor het gebruik van de medische gegevens is uitdrukkelijke toestemming van de betrokkene nodig. Zonder die toestemming mogen gegevens niet voor een ander doel gebruikt worden. De Autoriteit Persoonsgegevens (AP) is in Nederland belast met toezicht op de naleving van de privacywetgeving.
Vindt u het gewenst dat zorgaanbieders door bepaalde software (zoals Pien Support) snel kunnen inzien wat de eigen bijdrage zal zijn van de cliënt, of dat zorgaanbieders verschillende aspecten van de behandeling kunnen berekenen, en zelfs kunnen checken of de verzekering van de patiënt bijvoorbeeld nog ruimte biedt om een meer uitgebreide behandeling te doen, om zo het verzekerd budget «vol te maken»? Service is mooi, maar betaalt de premiebetaler hier uiteindelijk ook voor?
Ik vind het de taak van zorgverzekeraars om zo nodig afspraken te maken met zorgaanbieders over het gebruik van dergelijke softwareprogramma’s.
Zowel zorgverzekeraars als zorgaanbieders hebben een verantwoordelijkheid om bij te dragen aan de kwaliteit en doelmatigheid van ons zorgstelsel. Bij het bepalen van gepaste zorg dienen zorgaanbieders zich te laten leiden door de zorgbehoefte van de patiënt. Het aanzetten tot onnodig gebruik van (onnodig dure) zorg is ongewenst. Dit leidt tot hogere zorguitgaven en tot een stijging van de premie voor de basisverzekering of een aanvullende verzekering. Zorgverzekeraars kunnen in hun contracten aandacht besteden aan de wijze waarop zij omgaan met zorgaanbieders die aansporen tot het gebruik van onnodige of onnodig dure zorg. Het is de taak van de zorgverzekeraar, zorgverlener en patiënt om onnodig zorggebruik tegen te gaan.
Acht u dit een vorm van aansporing tot maximaal consumeren van zorg en gebruik van hulpmiddelen? Draagt dit volgens u bij aan de betaalbaarheid van zorg?
Zie antwoord vraag 14.
Acht u het noodzakelijk op te treden tegen het gebruik van berekeningen van dergelijke software, die op maat uitrekent wat de resterende bestedingsruimte is binnen het pakket van een verzekerde?
Zie antwoord vraag 14.
Bij welke verschillende vormen van zorg worden deze softwareprogramma’s gebruikt? Wordt dit, net als bij opticiëns of hoorwinkels, ook in de mondzorg en fysiotherapie gebruikt?
Zie antwoord vraag 14.
Kunt u een inschatting geven van de mate van gebruik van deze softwareprogramma’s in de verschillende vormen van zorg? Zo nee, kunt u hier een onderzoek naar laten uitvoeren? Kunt u hierbij betrekken of door deze software daadwerkelijk meer zorg gebruikt wordt dan nodig en passend is?
Zie antwoord vraag 14.
Acht u deze signalen dusdanig zorgelijk dat er aanleiding bestaat dit te laten onderzoeken?
Zie antwoord vraag 14.
Datalekken bij ziekenhuizen |
|
Astrid Oosenbrug (PvdA), Lea Bouwmeester (PvdA) |
|
Edith Schippers (minister volksgezondheid, welzijn en sport) (VVD), Ard van der Steur (minister justitie en veiligheid) (VVD) |
|
Kent u het bericht «Ziekenhuizen melden elke dag datalek»?1
Ja.
Is het waar dat de genoemde datalekken vaak voortkomen uit het gebruik van onbeveiligde verbindingen en door menselijke fouten? Zo nee, waarom doen de datalekken zich dan wel voor?
De Autoriteit Persoonsgegevens (AP) ziet in het algemeen, en dus niet alleen bij ziekenhuizen, tot op heden vooral de volgende soorten datalekken:
Er zijn verschillende potentiële oorzaken te benoemen voor het ontstaan van datalekken. Het gebruik van onbeveiligde verbindingen en menselijke fouten zijn er hier twee van.
Hoe komt het dat van het totaal aantal meldingen van datalekken tot nu toe er een kwart uit de zorgsector kwam? Is de zorgsector daarmee relatief oververtegenwoordigd? Zo ja, waarom is daar sprake van?
Eerder dit jaar hebben de AP en de Inspectie voor de Gezondheidszorg (IGZ) per brief gewezen op de meldplicht datalekken2 bij de brancheorganisaties Nederlandse Vereniging van Ziekenhuizen (NVZ), Nederlandse Federatie van Universitair Medische Centra (NFU), Zelfstandige Klinieken Nederland (ZKN), GGZ Nederland en Revalidatie Nederland (RN) en hun leden. In mei heeft de AP daarnaast een presentatie gehouden voor de koepels van zorginstellingen om hen te informeren over de meldplicht en deze uitgebreid toe te lichten. In reactie daarop hebben de koepels ook acties in gang gezet om de awareness te vergroten.
De Zeker-campagne van de NVZ3 dit najaar was gericht op het vergroten van het bewustzijn over informatiebeveiliging en specifiek datalekken. Daardoor is de alertheid bij ziekenhuizen en de bereidheid om te melden mogelijk extra groot en mogelijk verklaart dit mede ook het aantal meldingen, waarover AP rapporteert. Omdat de meldplicht nieuw is, is het niet mogelijk goed te duiden hoe de meldingen uit de zorg zich verhouden tot de meldingen in andere sectoren.
Deelt u de mening dat zeker in het geval er persoonlijke gegevens van patiënten op straat kunnen komen te liggen datalekken zo snel mogelijk gedicht moeten worden? Zo ja, hoe kunt u waarborgen dat de gemelde lekken worden gedicht? Zo nee, waarom niet?
Indien er sprake is van een datalek, waarbij persoonsgegevens zijn gelekt, is het zaak dat het lek zo snel mogelijk gedicht wordt. Bij melding aan de AP wordt de melder ook gevraagd om verbeteracties te benoemen.
Zijn er door een van de gemelde datalekken patiëntgegevens gelekt? Zo ja, zijn deze patiënten daarvan op de hoogte gesteld en wat is er gedaan om de gevolgen van het lek te beperken?
Het is mij niet bekend of er bij de gemelde datalekken sprake was van zodanige lekken van patiëntgegevens dat de betrokkenen hierover geïnformeerd dienden te worden. De AP heeft beleidsregels gepubliceerd met daarin informatie over de meldplicht datalekken en handvatten om te beoordelen wanneer betrokkenen geïnformeerd moeten worden over een lek.4 Wanneer patiënten geïnformeerd behoorden te worden, dan maakt dit onderdeel uit van het opvolgingsplan van het datalek, waarop de AP kan toetsen.
Heeft de Autoriteit Persoonsgegevens (AP) al boetes aan zorginstellingen gegeven vanwege het niet tijdig melden van een datalek? Zo ja, hoe vaak is dat gebeurd en wat was de aard van de betreffende datalekken? Zo nee, betekent dat dat de datalekken steeds op tijd zijn gemeld?
De AP heeft tot op heden geen boetes opgelegd vanwege het niet tijdig melden van een datalek. Dit betekent niet automatisch dat datalekken steeds op tijd zijn gemeld. De AP heeft overigens meerdere instrumenten wat betreft het opleggen van sancties en maakt hierin als onafhankelijke toezichthouder zelf een keuze.
Deelt u de conclusie van Women in Cybersecurity (WICS) dat ziekenhuizen onzorgvuldig met beveiliging omgaan, onder andere door slordig om te gaan met inloggegevens of het gebruik van verouderde software en apparatuur? Zo ja, hoe en door wie worden de desbetreffende ziekenhuizen daar op aangesproken en tot verbetering gemaand? Zo nee, waarom deelt u die conclusie niet?
De afgelopen maanden heeft de Minister van VWS een onderzoek laten uitvoeren door PBLQ naar de beveiliging van patiëntgegevens en heeft het RIVM in opdracht van de IGZ ook onderzoek gedaan naar de omgang met privacy en informatiebeveiliging in de curatieve zorg en GGZ. Het PBLQ-rapport en het RIVM-onderzoek zijn op 15 december jl. met een beleidsreactie aan uw Kamer gestuurd.5 Ook in deze onderzoeken komen de voorbeelden die Women in Cybersecurity noemt naar voren. In de beleidsreactie op het PBLQ-rapport heeft de Minister van VWS aangekondigd om op basis van de aanbevelingen met het veld een «Actieplan (informatie)beveiliging patiëntgegevens» op te zetten. Hierbij zal een belangrijke rol zijn weggelegd voor de koepels van ziekenhuizen, zelfstandige klinieken, GGZ-instellingen en de Patiëntenfederatie, als ook voor VWS en de toezichthouders. Op korte termijn neemt de Minister van VWS het initiatief om met de genoemde organisaties te starten met het Actieplan. Daarbij zullen mogelijk op een later moment ook koepels uit de andere sectoren betrokken worden. De Minister van VWS streeft ernaar dat het Actieplan in het voorjaar van 2017 gereed is, waarna de implementatie direct kan starten voor zover dat nog niet is gebeurd. Naar verwachting zal het Actieplan een meerjarig karakter zal hebben.
Bent u net zoals de in het bericht genoemde ethisch hacker bekend met het feit dat op online zwarte markten patiëntgegevens worden aangeboden? Zo ja, wat is de aard en de omvang van dit probleem en wat zouden kwaadwillenden met die gegevens kunnen doen? Zo ja, wat doet u om aan deze praktijken een einde te maken? Zo nee, waarom niet en acht u onderzoek hiernaar wenselijk?
Ik heb geen inzicht in de aard en omvang van het verhandelen van patiëntgegevens op online zwarte markten. Wel acht ik het in alle gevallen zeer onwenselijk dat persoonsgegevens, en in het bijzonder medische persoonsgegevens, verhandeld worden en voor commerciële doeleinden gebruikt worden met consequenties voor patiënten zonder dat deze daar weet van hebben. In het Cyber Security Beeld Nederland6 (CSBN) wordt het risico genoemd dat bijvoorbeeld vanuit zorginstellingen of zorg-gerelateerde websites inloggegevens bemachtigd worden, die vervolgens misbruikt worden voor financieel gewin. Dat maakt ook dat ik het van groot belang vindt dat zorginstellingen preventieve maatregelen nemen op het terrein van informatiebeveiliging en privacybewustzijn om informatiebeveiligingsincidenten en datalekken te voorkomen. De eerste verantwoordelijkheid daarvoor ligt bij de instellingen zelf.
Het bericht dat jaaropgaven van 1712 cliënten van enkele Groningse sociale diensten per ongeluk aan een andere cliënt zijn toegestuurd |
|
John Kerstens (PvdA), Astrid Oosenbrug (PvdA) |
|
Ronald Plasterk (minister binnenlandse zaken en koninkrijksrelaties) (PvdA), Jetta Klijnsma (staatssecretaris sociale zaken en werkgelegenheid) (PvdA) |
|
Kent u het bericht dat jaaropgaven van 1.712 cliënten van enkele Groningse sociale diensten per ongeluk aan een andere cliënt zijn toegestuurd?1
Ja.
Hoe beoordeelt u de situatie waarin de jaaropgaven van 1.712 cliënten van Groningse sociale diensten aan een cliënt verzonden zijn terwijl er op deze jaaropgaven gegevens terug te vinden zijn waarmee identiteitsfraude gepleegd zou kunnen worden?
Ik hecht er aan te benadrukken dat wat er is voorgevallen buitengewoon ongelukkig is voor alle betrokkenen en dat betreur ik. Een kwaadwillende zou misbruik kunnen maken van gegevens. Het risico is klein, maar misbruik van persoonsgegevens valt niet uit te sluiten.
Deelt u de mening dat het incident een datalek betreft? Doet de Autoriteit Persoonsgegevens onderzoek naar het genoemde datalek? Zo ja, wat is de stand van zaken van dat onderzoek? Zo nee, waarom niet?
Volgens de definitie die de Autoriteit Persoonsgegeven hanteert is er sprake van een datalek als zich een beveiligingsincident heeft voorgedaan waarbij persoonsgegevens verloren zijn gegaan of onrechtmatige verwerking van persoonsgegevens redelijkerwijs niet kan worden uitgesloten. De vier gemeenten waar Werkplein Ability voor werkt, de gemeenten Bedum, De Marne, Winsum en Eemsmond, hebben naar eigen zeggen het incident gemeld bij de Autoriteit Persoonsgegevens (AP) en zijn daarmee van mening dat het in dit incident om een datalek gaat. De Autoriteit Persoonsgegevens doet geen mededelingen over eventuele onderzoeken.
Heeft u er zicht op hoe vaak datalekken bij gemeenten en bij organisaties binnen het sociaal domein plaatsvinden en wat de voornaamste oorzaken van deze datalekken zijn? Zo nee, waarom niet en bent u bereid hier onderzoek naar te doen?
Vanaf 1 januari 2016 zijn ook gemeenten verplicht om datalekken te melden bij de AP. Ik heb dan ook niet de beschikking over de exacte cijfers van de AP over datalekken in het sociale domein. In een interview van 7 oktober jongstleden met NU.nl verklaart de voorzitter van de AP Aleid Wolfsen dat er sinds de invoering van de meldplicht datalekken op 1 januari 2016, tot de datum van het interview bijna 4.000 meldingen zijn geregistreerd bij de AP2. Ongeveer 10% van die meldingen is afkomstig van een gemeente. Jaarlijks rapporteert de AP in het jaarverslag, maar de AP doet geen mededelingen over eventuele (lopende) onderzoeken.
Herinnert u zich uw antwoorden op de vele eerdere vragen die gesteld zijn over de beveiliging en verwerking van persoonsgegevens in gemeenten?2
Ja.
Deelt u de mening dat datalekken nog te vaak voorkomen bij gemeenten? Zo ja, op welke manier gaat u gemeenten verder stimuleren om adequate maatregelen te nemen om datalekken zoveel als mogelijk te voorkomen en om aan de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) te voldoen? Op welke wijze worden ook organisaties binnen het sociaal domein hierbij betrokken?
Vanzelfsprekend is elke datalek er één te veel, zeker als het persoonsgegevens betreft en is zorgvuldigheid geboden. Het is een goede zaak dat gemeenten melden aan de AP. De gemeenten hebben de BIG als normenkader voor informatiebeveiliging waarbij gestructureerd wordt aangegeven wat de doelstellingen van de technische, organisatorische en fysieke beveiligingsmaatregelen zijn. Implementatie verschilt per situatie en is een continu proces van plannen, uitvoeren, controleren en bijstellen. Elke gemeente blijft afzonderlijk verantwoordelijk voor de eigen informatiebeveiliging. De VNG heeft er bij gemeenten op aangedrongen extra aandacht te besteden aan informatiebeveiliging in samenwerkingsverbanden, vooral waar het een samenwerking met ketenpartners betreft. De VNG biedt hiervoor praktische handreikingen zoals de handreiking informatieveiligheid en intergemeentelijke samenwerkingsverbanden. Daarbij biedt de Informatie Beveiligingsdienst (IBD) van de VNG/KING verdere ondersteuning door middel van preventie en preventieadvies, incidentcoördinatie en kennisdeling.
Bent u van mening dat de informatiesystemen van gemeenten en organisaties binnen het sociaal domein voldoende beveiligd zijn tegen datalekken? Is het bij al deze systemen mogelijk de veiligheid en gebruiksvriendelijkheid te verbeteren om zo datalekken in de toekomst te voorkomen? Zo ja, bent u voornemens samen met gemeenten te bekijken waar aanpassing en/of opwaardering van de huidige informatiesystemen nodig is? Zo nee, ziet u mogelijkheden om samen met gemeenten te onderzoeken waar de kwetsbaarheden in de systemen zitten en zo te komen tot een doelgerichtere aanbesteding van deze software in de toekomst?
Alle organisaties zijn zelf verantwoordelijk voor het beveiligen van de door hen gebruikte informatiesystemen. Het gaat juist om de combinatie van mens en systeem. Uit mijn contact met de IBD blijkt dat een groot deel van datalekken bij gemeenten voortkomen uit menselijke fouten. De IBD wijst gemeenten op maatregelen die hiertegen kunnen worden genomen. Ook werken gemeenten en samenwerkingsverbanden samen met VNG en KING aan het verbeteren van de veiligheid, gebruiksvriendelijkheid en interoperabiliteit van hun ICT-systemen. Behalve de BIG helpt het Gemeentelijk Model Architectuur (GEMMA), de landelijke referentiearchitectuur voor gemeenten. GEMMA helpt gemeenten en ketenpartners om (ICT-)ontwikkelingen in samenhang aan te sturen en aan te sluiten op landelijke voorzieningen. Ook zijn de Gemeentelijke Inkoopvoorwaarden Bij IT (GIBIT) ontwikkeld, die dit najaar van kracht zijn geworden en gemeenten en gemeentelijke samenwerkingsverbanden verder ondersteunen in het formuleren van passende en effectieve voorwaarden voor de levering, het gebruik en het onderhoud van IT-middelen, waaronder software en daarbij geldende (open) standaarden naar de verschillende leveranciers.
Zijn de informatiesystemen van gemeenten en organisaties binnen het sociaal domein voldoende toegerust om te kunnen voldoen aan de eisen die worden gesteld vanuit de nieuwe privacyverordening die vanaf 2018 van kracht is? Zo nee, zal er dan een aanpassing plaatsvinden van de lopende contracten met de aanbieders van de software om gemeenten en organisaties binnen het sociaal domein aan te laten sluiten op de nieuwe privacywetgeving en richtlijn?
Gemeenten zijn, net als alle andere organisaties, ieder voor zich verantwoordelijk voor het toepassen van en voldoen aan de eisen van de komende Algemene Verordening Gegevensbescherming (AVG). Uitgangspunt is dat eenieder, gemeenten en de leveranciers, op het tijdstip dat de verordening van kracht wordt voldoet aan de gestelde normen. Waar nodig worden de komende tijd werkwijzen, afspraken en producten aangepast om aan de nieuwe regels te voldoen. Gemeenten hebben daar een aantal mogelijkheden voor, zoals privacy by design en impactanalyses en uitvoeringstoetsen. Met privacy by design kunnen organisaties daarnaast tijdens de ontwikkeling van producten en diensten zoals informatiesystemen al rekening houden met privacyverhogende maatregelen om verantwoorde en zorgvuldige omgang met persoonsgegevens technisch af te dwingen. Ook het uitvragen of laten uitvoeren van impactanalyses en uitvoeringstoetsen voor het gemeentelijk domein behoort tot de mogelijkheden. Gemeenten kunnen zich een beeld vormen over wat er op ze af gaat komen. Er hebben mij geen signalen bereikt dat gemeenten en de leveranciers niet aan de gestelde normen kunnen voldoen wanneer de verordening van kracht wordt.
Is er voldoende kennis bij gemeenten en organisaties binnen het sociaal domein aanwezig om tijdig aan te kunnen sluiten op de nieuwe privacywetgeving en richtlijn? Zo nee, op welke wijze gaat u gemeenten ondersteunen om aan de nieuwe privacywetgeving en richtlijn te kunnen voldoen?
Toenemende digitalisering, ketensamenwerking en nieuwe regelgeving maken het noodzakelijk om continu te werken aan kennisopbouw op het gebied van bescherming van de privacy. Hierbij worden gemeenten onder andere ondersteund door VNG en KING. In samenspraak met de gemeenten heeft de VNG een position paper privacy opgesteld met actiepunten. Deze actiepunten worden door de VNG en KING uitgewerkt tot een beleids- en ondersteuningsprogramma. Ook de IBD speelt daarbij een rol met het ontwikkelen van operationele kennisproducten waaronder de leaflet over meldplicht. VNG en KING ondersteunen de gemeenten met de invoering van de AVG en de inrichting van de functie van Functionaris Gegevensbescherming die gemeenten, al dan niet in samenwerking met andere gemeenten, verplicht moeten aanstellen. Hiervoor worden gerichte (netwerk)bijeenkomsten georganiseerd en producten, waaronder handreikingen en opleidingen, ontwikkeld. Deze kennisopbouw wordt, waar relevant, specifiek gericht op verschillende beleidsdomeinen, waaronder het sociaal domein.
Het bericht “Traag internet of verplicht tv- vier vragen over de macht van KPN en Ziggo’ |
|
Lutz Jacobi (PvdA), Astrid Oosenbrug (PvdA) |
|
Henk Kamp (minister economische zaken) (VVD) |
|
Kent u het bericht «Traag internet of verplicht tv – vier vragen over de macht van KPN en Ziggo»?1
Ja.
Hoe oordeelt u over de stelling van de auteur van dit artikel dat met twee snelle infrastructuren op de Nederlandse breedbandmarkt er een gebrek is aan keuze voor de consument?
Een concurrerende markt waarin de consument goede keuzevrijheid heeft is de centrale doelstelling van mijn beleid. In de Nederlandse marktsituatie is vaak sprake van twee vaste telecominfrastructuren. Hierdoor kunnen de meeste consumenten kiezen voor een aansluiting van KPN of Ziggo. Doordat op dit moment het netwerk van KPN is gereguleerd bieden concurrerende aanbieders bovendien via het netwerk van KPN ook diensten aan consumenten aan. Hierdoor bestaat een grotere keuzevrijheid voor consumenten.
Zoals ik in antwoord op vragen van de leden Oosenbrug en Kerstens (beiden PvdA) van 18 februari 2016 heb aangegeven, blijft het wat mij betreft nodig dat andere aanbieders ook in de toekomst toegang hebben tot de vaste netwerken om hun diensten te kunnen aanbieden en zo te zorgen voor effectieve concurrentie. Dit zorgt ervoor dat er voldoende keuzevrijheid voor consumenten blijft bestaan. Regulering is echter minder zeker geworden doordat het huidige Europese kader gericht is op het reguleren van één dominante speler en er nu twee vergelijkbare spelers zijn ontstaan. Nederland streeft daarom bij de herziening van het Europese kader naar toevoeging van reguleringsopties die een oplossing kunnen bieden voor het reguleren van een duopolie.2
In hoeverre is volgens u consumentenvrijheid in het geding in een markt waar consumenten maar kunnen kiezen uit twee afnemers?
Zie antwoord vraag 2.
Hoe oordeelt u over de stelling van de auteur dat bij de pakketten van de twee grote aanbieders een prijsverhoging van maar liefst 13 en 16 procent is doorgevoerd? Klopt het dat dit haaks staat op de Europese ontwikkeling, waar in de 28 EU-lidstaten de gemiddelde prijzen voor breedband tussen 2013 en 2015 juist met gemiddeld 12 procent zijn gedaald?
Met de genoemde prijsverhogingen in relatie tot de Europese ontwikkelingen ben ik onbekend. Daarbij past de kanttekening dat hier slechts twee tarieven van twee aanbieders worden vergeleken. Ik verwijs verder naar een recent onderzoek in opdracht van de Europese Commissie, dat ingaat op prijsontwikkelingen in Europa.3 Daar blijkt het genoemde verschil niet uit.4 Overigens wordt in het aangehaalde artikel terecht de nuance aangebracht dat de prijsverhogingen voor een deel door btw-verhogingen worden verklaard. Een nuance die ik echter nog mis is dat er tegenover de prijsverhogingen ook kwaliteitsverbeteringen staan; consumenten krijgen meer waar voor hun geld. Dit kan in de vorm zijn van een gemiddeld hogere snelheid of meer af te nemen diensten.
Herinnert u zich uw antwoord op eerdere vragen over de fusie tussen Ziggo en Vodafone, waar u aangeeft dat intensievere concurrentie op dit soort gecombineerde diensten kan leiden tot lagere prijzen of meer investeringen in vaste en mobiele netwerken of diensten?2
Ja.
Hoe verhoudt dit antwoord zich tot de huidige situatie in de Nederlandse breedbandmarkt, waar vooral dure alles-in-één pakketten worden aangeboden en hogere prijzen voor internet worden betaald in vergelijking met andere Europese landen?
Ik verwijs voor een antwoord op deze vraag naar de beantwoording van vraag 4. Ik herken me niet in het beeld dat sprake is van hoge tarieven in vergelijking met andere landen.
Wat vindt u van het ontmoedigingsbeleid van de twee aanbieders, door bij de goedkoopste internet only pakketten instapvarianten aan te bieden met een internetsnelheid die drie keer lager is dan de snelheid van de duurste pakketten met de meeste extra geleverde diensten?
Ik deel de mening niet dat consumenten gedwongen worden tot afname van alles-in-een pakketten. In de eerste plaats zijn er immers wel degelijk alternatieve aanbiedingen in de markt. Naast KPN en Ziggo zijn er aanbieders van internet-only abonnementen die vaak lager geprijsd zijn. Daarnaast is er een grote groep consumenten die alles-in-een pakketten juist aantrekkelijk vinden, omdat zij meerdere diensten willen afnemen en een alles-in-een pakket doorgaans prijsvoordelen biedt. Dit laat onverlet dat ik mij bij de herziening van het Europese telecomkader inzet voor goede reguleringsopties ten behoeve van effectieve concurrentie en goede keuzevrijheid in de Nederlandse markt.
Deelt u de mening dat er een ongewenste situatie is ontstaan, waarbij consumenten dure alles-in-een pakketten moeten afnemen voor snel internet ook al hebben ze geen behoefte aan televisie en vaste telefonie? Zo ja, bent u van plan hiertegen actie te ondernemen? Zo nee, waarom niet?
Zie antwoord vraag 7.
Bent u bereid om onderzoek te laten doen naar de Nederlandse prijzen van internetabonnementen in vergelijking met andere Europese landen?
Een eigen onderzoek naar de Nederlandse prijzen van internetabonnementen in een internationale vergelijking vind ik niet nodig. Ten eerste verschijnen er al geregeld onderzoeken. Ik heb hier in mijn antwoord op vraag 4 al naar verwezen. Ten tweede moet er bij een dergelijk onderzoek goed voor gewaakt worden niet in een situatie te komen dat er snelle conclusies worden verbonden aan een vergelijking van appels met peren. Indien er namelijk andere dienstverlening wordt geleverd is het ook te verwachten dat de prijs anders is.
Tot slot dienen in een dergelijk onderzoek arbitraire keuzes te worden gemaakt aangezien de kwaliteit van de dienst in internationaal perspectief erg verschilt.
In Nederland wordt een relatief goede kwalitatieve dienst geleverd.
Bent u bereid om in overleg te gaan met de Autoriteit Consument & Markt over een onderzoek naar concurrentie in de breedbandmarkt?
De ACM voert in het kader van haar marktanalysebesluiten al geregeld onderzoek uit naar de concurrentie op de breedbandmarkt. Ik verwijs specifiek naar het marktanalysebesluit ontbundelde toegang dat op 17 december is gepubliceerd.6 Daarnaast voert de ACM momenteel een vooronderzoek uit ter voorbereiding op de nieuwe marktanalyse ontbundelde toegang. De voorgenomen fusie tussen Ziggo en Vodafone vormde mede de aanleiding voor dit vooronderzoek.7 Bovendien wordt momenteel door ACM een verkennend onderzoek uitgevoerd naar de concurrentie-effecten van bundeling van diensten en exclusieve content. Ik verwacht dat ACM hierover in de eerste helft van volgend jaar een rapportage op haar site zal publiceren.
De mobiele bereikbaarheid in Nederland |
|
Agnes Mulder (CDA), Astrid Oosenbrug (PvdA) |
|
Henk Kamp (minister economische zaken) (VVD), Ard van der Steur (minister justitie en veiligheid) (VVD) |
|
Kent u het bericht «Tientallen dorpen hebben nog altijd nauwelijks mobiel bereik»?1
Ja.
Kunt u verklaren hoe het komt dat inwoners nog steeds veel problemen ervaren met het mobiele bereik en wat is de verklaring voor de regionale verschillen op het gebied van mobiel bereik?
Het is uiteraard vervelend dat men op verschillende plekken in Nederland nog steeds problemen ervaart met de mobiele bereikbaarheid. Verbetering van de lokale mobiele bereikbaarheid heeft dan ook mijn aandacht, waarbij gemeenten en operators ieder een eigen verantwoordelijkheid hebben, en waarvan ik ook verwacht dat zij die nemen, om te zoeken naar de mogelijkheden tot verbetering. Zoals ook aangegeven in mijn brief2 aan uw Kamer van 18 februari 2016 kan Agentschap Telecom daarbij beschikbare technische expertise aanbieden om, in het verlengde van het onderzoek naar de mobiele bereikbaarheid van het alarmnummer 112, het lokale beeld compleet te krijgen.
In het algemeen is de mobiele netwerkdekking in Nederland zeer goed te noemen. Uit recent onderzoek in opdracht van de Europese Commissie3 blijkt dat Nederland een overall 4G-dekking van ruim 99% kent. 100% mobiele bereikbaarheid is vanuit technisch oogpunt echter niet haalbaar. Er zijn verschillende factoren, zoals het weer, bebouwing en vegetatie, van invloed op het tot stand komen van een mobiele verbinding. Ook kan lokaal de dekking per operator verschillen. De factoren wisselen per situatie en kunnen eraan bijdragen dat men problemen ervaart met het mobiele bereik. Van het bereik binnenshuis is bekend dat door de demping van bebouwing de bereikbaarheid lastiger is en soms niet mogelijk blijkt te zijn. Er zijn allerlei technische oplossingen in de markt die er voor kunnen zorgen dat het mobiele bereik in huis wordt verbeterd. Hierbij kan gedacht worden aan femtorepeaters en femtocellen.
De regionale verschillen die uit de enquête van de NOS blijken, kan ik niet verklaren, behalve dat de NOS zelf in haar verantwoording bij de resultaten aangeeft dat de uitkomsten niet als representatief voor het hele land kunnen worden beschouwd, doordat mogelijk mensen met klachten eerder zullen deelnemen en een stad als Amsterdam ondervertegenwoordigd is.
Uit het onderzoek van de NOS en de regionale omroepen komt een top 10 van gemeenten met meeste klachten over mobiel bereik. Dit zijn Westerveld (Drenthe), Sint-Oedenrode (Noord-Brabant), Neerijnen (Gelderland), Bronckhorst (Gelderland), Baarle-Nassau (Noord-Brabant), Zaltbommel (Gelderland), Tynaarlo (Drenthe), Medemblik (Noord-Holland), Berkelland (Gelderland) en Weststellingwerf (Friesland). Kunt u per gemeente aangeven wat het probleem is waarom in deze dorpen geen goed mobiel bereik is? Kunt u per gemeente aangeven welke actie het kabinet gaat ondernemen om ervoor te zorgen dat het mobiel bereik in deze gemeente verbeterd?
Uit het onderzoek naar de mobiele bereikbaarheid van het alarmnummer 112, dat TNO en Agentschap Telecom in 2015 hebben uitgevoerd, is gebleken dat in de gemeenten Sint-Oedenrode en Neerijnen in delen van deze gemeenten de waarschijnlijkheid op een succesvolle verbinding met de 112-alarmcentrale met een mobiele telefoon lager is dan 99%. Agentschap Telecom heeft deze twee gemeenten gedetailleerde kaarten gestuurd en, indien dit nog niet was gebeurd, geadviseerd contact op te nemen met de mobiele operators. Daarnaast heeft het agentschap uitleg gegeven over de mobiele bereikbaarheid van 112.
Van de overige gemeenten heb ik op dit moment geen specifieke informatie. Een aantal gemeenten uit deze top 10 voert een stringent antennebeleid of heeft dit in het verleden gedaan. Deze gemeenten stelden strenge eisen aan de plaatsing van antennemasten. Zo zijn er bijvoorbeeld eisen gesteld aan de hoogte van een mast en mag er binnen een bepaald aantal meters van de bebouwde kom geen mast worden geplaatst. De uitrol van een mobiel communicatienetwerk kan hierdoor lokaal bemoeilijkt worden.
In het algemeen kan worden gezegd dat operators en gemeenten ieder een eigen verantwoordelijkheid hebben waar het gaat om verbetering van het mobiele bereik. Lokale afwegingen rondom ruimtelijke ordening en commerciële overwegingen spelen hierbij een rol. Gemeenten en mobiele operators zijn bij uitstek toegerust om deze afweging te maken. Operators geven aan continu bezig te zijn hun mobiele netwerken te optimaliseren. Elke lokale situatie kent eigen specifieke uitdagingen. Gemeenten kunnen bijdragen aan verbetering van de mobiele dekking door operators te faciliteren, zeker zodra inwoners bij een gemeente aangeven mobiele bereikbaarheid belangrijk te vinden. De rijksoverheid draagt bij aan een goede mobiele telecommunicatie-infrastructuur door het beschikbaar stellen van zoveel mogelijk frequentieruimte voor mobiele communicatie en door een actief antennebeleid te voeren gericht op het stimuleren en faciliteren van voldoende ruimte voor antenne-opstelpunten.
Tijdens het Algemeen overleg Mobiele bereikbaarheid van 112 in grensgebieden en plattelandsgemeenten van de vaste commissie voor Economische Zaken op 14 april 2015 heeft u gezegd: «Als er ergens problemen zijn, of dat nu ergens aan de grens, op de Veluwe, op een Waddeneiland of in Zeeland is, gaan wij in gesprek met de gemeente die dit meldt. Wij stellen onze deskundigheid beschikbaar om die gemeente in staat te stellen om die dingen te doen die er uiteindelijk toe leiden dat ook daar de optimale situatie voor de burgers wordt bereikt». 2);kunt u aangeven welke gemeenten zich hebben gemeld en welke vervolgstappen toen zijn ondernomen?
Naar aanleiding van het onderzoek door TNO en Agentschap Telecom naar de mobiele bereikbaarheid van het alarmnummer 112 uit 2015 is er uitgebreid contact geweest met de gemeenten Huizen, Naarden, Bergen (L), Midden Drenthe, Barneveld, Neerijnen, Lingenwaal, Vlagtwedde, alle Zeeuwse gemeenten via de Vereniging van Zeeuwse Gemeenten (VZG) en de provincie Groningen. Agentschap Telecom heeft aan deze gemeenten en provincie nadere uitleg gegeven over de locaties in hun gemeente waar de kans op een geslaagde noodoproep naar verwachting lager is dan 99%. Daarnaast heeft het agentschap aangegeven hoe de betreffende gemeenten en provincie ondersteuning kunnen krijgen bij het vergroten van de bereikbaarheid van 112. Indien dit nog niet was gebeurd, heeft het agentschap geadviseerd contact op te nemen met de mobiele operators. De meeste gemeenten die contact met het agentschap opnamen, hadden op dat moment nog geen actie ondernomen om in contact te treden met de operators. Verder is er contact geweest met provincies Zeeland en Gelderland en de gemeente Sint-Oedenrode waar het gaat om mobiele dekking in het algemeen.
Bij de gemeenten Huizen en Naarden en de provincie Groningen heeft Agentschap Telecom op verzoek de lokale situatie in kaart gebracht door metingen in de praktijk te doen. In de gemeenten Huizen en Naarden bleek 100% van de mobiele noodoproepen tot stand te komen. In delen van de provincie Groningen zijn twee keer metingen verricht, waarbij 99,58% resp. 99,76% van de mobiele noodroepen tot stand zijn gekomen.
Hoe kan het dat de provincie Noord-Brabant, na Drenthe, het slechts scoort qua mobiele bereikbaarheid, terwijl uit de brief van het kabinet van 18 februari 2016 blijkt dat Noord-Brabant de derde provincie is op het gebied van antenne-installaties?2
De enquête van de NOS laat zien dat het om hele specifieke locaties gaat waar men blijkbaar de mobiele dekking als minder goed ervaart. In het geval van de provincie Noord-Brabant gaat het om (specifieke locaties in) de gemeenten Sint-Oedenrode en Baarle-Nassau. Daarmee kan niet een uitspraak gedaan worden over de mobiele dekking van de gehele provincie.
Kunt u schetsen wat de mogelijkheden zijn indien gemeenten weigeren om in bepaalde gebieden vergunningen voor antennes te verstrekken? Op welke manier kan er dan alsnog voor worden gezorgd dat het mobiele bereik wordt verbeterd?
Binnen de kaders van volksgezondheid, leefmilieu en veiligheid worden de mogelijkheden voor het plaatsen van antenne-installaties zo veel mogelijk gestimuleerd en gefaciliteerd. Het heeft mijn voorkeur dat mobiele operators en gemeenten in goed overleg tot een selectie van (vergunbare) locaties voor antenne-opstelpunten komen.
De wet- en regelgeving voor plaatsing van antenne-installaties is zoveel mogelijk ingericht om er voor te zorgen dat netwerken voor mobiele communicatie kunnen worden gerealiseerd. Zo is er voor gekozen een groot gedeelte van antenne-installaties vergunningvrij te maken; voor antennes tot vijf meter is geen omgevingsvergunning nodig. De rijksoverheid, de Vereniging van Nederlandse Gemeenten en de aanbieders van mobiele telefonie hebben afspraken gemaakt over de zorgvuldige plaatsing van dergelijke vergunningvrije installaties. Deze afspraken zijn vastgelegd in het Antenneconvenant. Daarnaast is het beleid gericht op het bevorderen van site-sharing en het creëren van ruimte voor de antennes. Hierdoor wordt zo veel mogelijk voorkomen dat het weigeren van een vergunning voor een specifieke aanvraag door de gemeente op basis van wettelijke gronden er toe leidt dat dit het plaatsen van een antenne-installatie in het betreffende gebied onmogelijk maakt en dit tot dekkings- of capaciteitsproblemen leidt.
In beginsel beslissen burgemeester en wethouders van de gemeente waar het betrokken project in hoofdzaak zal worden uitgevoerd op de aanvraag voor een omgevingsvergunning. Op basis van de Wet algemene bepalingen omgevingsrecht (Wabo) is voor het plaatsen van bepaalde antenne-installaties een omgevingsvergunning vereist. De Wabo biedt de mogelijkheid deze beslissingsbevoegdheid bij algemene maatregel van bestuur voor bepaalde projecten aan de gedeputeerde staten van de provincie of aan de Minister toe te kennen in het geval van een provinciaal respectievelijk nationaal belang. Voor antenne-installaties is er geen aanleiding om van deze mogelijkheid gebruik te maken.
De omgevingsvergunning is een gebonden beschikking. Dit betekent dat deze in beginsel wordt geweigerd indien er een weigeringsgrond is op basis van de wet- en regelgeving, zoals het Bouwbesluit. Zodra een gemeente besluit dat een vergunning niet verleend kan worden, kan de aanvrager via een bezwaar- en beroepsprocedure alsnog proberen om de vergunning te verkrijgen. Mocht zowel de gemeente als de bestuursrechter bepalen dat de vergunning voor een antenne-installatie in bepaalde gebieden niet verleend kan worden, dan zijn de mogelijkheden voor een vergunningplichtige antenne-installatie uitgeput. De rijksoverheid heeft geen mogelijkheden om een dergelijk besluit van een gemeente te verwerpen.
Mijn ministerie voert regulier overleg met de mobiele operators over aangelegenheden betreffende antenne-installaties. Tijdens dit overleg kunnen knelpunten worden gesignaleerd. In een enkel geval wordt er door mijn ministerie overleg gevoerd met het betreffende lokale bevoegde gezag om tot oplossingen voor gesignaleerde knelpunten te komen.
Klopt het bericht van de Hartstichting, genoemd in het nieuwsbericht van de NOS, dat in bepaalde gebieden het mobiele bereik zo slecht is dat er soms te laat hulp komt bij een slachtoffer dat in levensgevaar is vanwege een hartstilstand? Zo ja, vindt u dit acceptabel en wat gaat u hier aan doen?
Het bericht van de Hartstichting dat het mobiele bereik van 112 in bepaalde gebieden zo slecht is, blijkt niet uit het onderzoek dat in 2015 is uitgevoerd door TNO en Agentschap Telecom. Bij een normale mobiele oproep is de beller afhankelijk van dekking van de eigen mobiele operator. Voor 112-oproepen zijn echter afspraken gemaakt tussen mobiele operators onderling die garanderen dat wanneer een beller geen dekking heeft bij de eigen mobiele operator, deze zal worden overgenomen door één van de andere mobiele operators. Deze gestapelde dekking garandeert dat er altijd gebeld kan worden met het alarmnummer 112 wanneer er verbinding is met één van de beschikbare mobiele netwerken. Daarmee is de bereikbaarheid van het alarmnummer 112 goed geregeld. Het onderzoek door TNO en Agentschap Telecom laat een percentage van geslaagde mobiele testoproepen van 99% zien. Uit het onderzoek bleek ook dat al bij zeer lage signaalsterktes noodoproepen kunnen slagen. Meerdere factoren zijn echter van invloed op de slagingskans van een mobiele oproep. Naast netwerkdekking zijn dat factoren als type toestel, het gedrag van de beller, weersinvloeden, vegetatie en bebouwing. Dit maakt dat zelfs bij een optimale dekking de slaagkans van 100% niet zal worden bereikt. Het onderzoek heeft ook handelingsperspectieven6 opgeleverd voor de beller om de slagingskans van een 112-oproep te vergroten in gebieden waarin de dekking niet optimaal is of de oproep niet direct slaagt.
Hoe verklaart u dat er nog steeds klachten zijn over de mobiele bereikbaarheid van 112, terwijl uit onderzoek van Agentschap Telecom en TNO een percentage geslaagde mobiele testoproepen kwam van rond de 99%?3
Zie antwoord vraag 7.
Is er naast het onderzoek van de NOS en de regionale omroepen meer informatie bekend over de mobiele bereikbaarheid per gemeente? Zo ja, welke informatie is dat? Zo nee, bent u bereid om hier nader onderzoek naar te doen?
In 2014 heeft Stratix in opdracht van mijn ministerie onderzoek gedaan naar 4G-dekking in Nederland. Uit dit onderzoek7 bleek dat nagenoeg heel Nederland een basis LTE8-dekking kent. Met die basis LTE-dekking is een downloadsnelheid van minimaal 5 Mbps mogelijk. En verder blijkt uit dit onderzoek dat een grote meerderheid van huishoudens en bedrijven kan beschikken over LTE-dekking waar pieksnelheden mogelijk zijn van 30 Mbps of meer. Gelet op deze uitkomsten acht ik het niet zinvol om nader onderzoek te doen.
Overigens hebben alle mobiele netwerkoperators op hun website informatie staan waar consumenten kunnen zien wat de dekking (2G, 3G, 4G of 4G+) van de desbetreffende netwerkoperator is op de plaats waar ze wonen.
Het bericht ‘Niet melden cybercrime is vaak verstandiger’ |
|
Jeroen Recourt (PvdA), Astrid Oosenbrug (PvdA) |
|
Ard van der Steur (minister justitie en veiligheid) (VVD) |
|
Kent u het bericht «Niet melden cybercrime is vaak verstandiger»?1
Ja.
Hoe zijn de ervaringen, zowel van het bedrijfsleven als van de overheid, in landen waar al langer een meldplicht datalekken bestaat?
Beantwoording van deze vraag is complex omdat er geen centrale registratie wordt bijgehouden waaruit gegevens over andere landen te genereren zijn. Een overzicht op het detailniveau zoals gevraagd, zou een uitgebreid landen vergelijkend onderzoek vergen en dat is binnen het tijdsbestek voor de beantwoording van deze Kamervragen niet mogelijk. Ook is het lastig om landen onderling te vergelijken, omdat de situatie ten aanzien van cybercrime in landen erg verschillend kan zijn.
Deelt u de mening dat «voorlichting» aan bedrijven van een ex-officier van justitie over de nadelen van een melding niet door de beugel kan? Zo nee, waarom niet?
De geïnterviewde persoon is reeds lange tijd werkzaam als advocaat en niet meer als officier van justitie. Het betreft derhalve geen voorlichtingsactiviteiten van het Openbaar Ministerie. Het melden van criminaliteit is van groot belang voor de aanpak ervan, zowel in individuele zaken als ten behoeve van de beleidsmatige aanpak.
Klopt het beeld dat de advocaat schetst dat serieuze meldingen van cybercrime geen passend vervolg krijgen? Zo ja, hoe vaak wordt er opgetreden na een serieuze melding van cybercrime en hoe vaak heeft dat tot vervolging en een veroordeling geleid?
Het beeld dat er door het OM en de politie geen vervolg wordt gegeven aan serieuze cybercrime meldingen, herken ik niet. Uit het «Jaarbericht OM 2015» volgt dat er vorig jaar 32 complexe en 124 reguliere cybercrime onderzoeken zijn uitgevoerd.
In geval van een aangifte van cybercrime door een bedrijf maken het OM en de politie aan de hand van diverse criteria, zoals de aanwezigheid van opsporingsindicaties, de geleden schade en de mate van afscherming van de gepleegde strafbare feiten, de keuze aan welke onderzoeken en aangiftes vervolg kan worden gegeven. Cybercrimezaken met serieuze en ingrijpende implicaties zullen om die reden vrijwel altijd in onderzoek worden genomen. Het nietmelden van serieuze cybercrimezaken is om die reden nooit verstandig.
Dat neemt niet weg dat opsporingsonderzoeken naar cybercrime vaak complexe onderzoeken zijn vanwege het feit dat de aanpak van cybercrime een steeds internationaler karakter krijgt en structureel moet worden samengewerkt met buitenlandse (opsporings-)autoriteiten. Ook de mate van afscherming en encryptie door criminelen is van dien aard dat het voor justitie en politie een steeds grotere uitdaging wordt om bewijs te verzamelen tegen een identificeerbare verdachte. Als een verdachte vervolgens is geïdentificeerd, is in diverse zaken gebleken dat deze zich in een buitenland bevindt, hetgeen de vervolging verder compliceert.
Ik herken mij derhalve niet in het beeld dat meldingen van serieuze cybercrime geen vervolg krijgen, maar de problematiek die samenhangt met deze vorm van criminaliteit brengt mee dat in een beperkt aantal van de onderzochte zaken in Nederland, een daadwerkelijke veroordeling van een identificeerbare verdachte volgt. Om meer zicht te krijgen op bewijsmateriaal en de verdachten die zich met dit soort serieuze cybercrime bezighouden, is het wetsvoorstel CCIII naar uw Kamer gestuurd.
Wat is uw reactie op de uitspraak van de ex-officier van justitie waarin hij verwacht dat «steeds meer bedrijven het melden achterwege zullen laten»? Welke beleidsmatige consequenties verbindt u daaraan?
Om de indruk van straffeloosheid te voorkomen en daarmee toename van cybercrime tegen te gaan, is het in het belang van overheid, burger en bedrijven om slachtofferschap van criminaliteit te melden. Het blijft daarom belangrijk de aangiftebereidheid te bevorderen, bijvoorbeeld door middel van de bewustwordingscampagne «Alert Online». Melden van datalekken dient daarnaast het publieke belang van cyber Security en het private belang van degenen wier gegevens ongewenst zijn verspreid. Naleving van de regels ter zake onder andere door handhaving is het uitgangspunt.
Gaat u de Autoriteit Persoonsgegevens (AP) extra middelen verschaffen om prioriteit te kunnen geven aan het doen van onderzoek naar het weloverwogen achterwege laten van een melding? Zo nee, waarom niet?
De AP monitort de effecten van de invoering van de meldplicht datalekken. Binnenkort bespreek ik de resultaten van de monitor over het eerste halfjaar van 2016 met de AP.
Deelt u de mening dat, gezien de verwachting dat in 2021 de helft van de misdaden cybercrime-gerelateerd zal zijn, er bij beleidsmakers en in de strafrechtketen een forse inspanning nodig is om cybercriminelen aan te pakken? Zo ja, hoe gaat u dit vorm geven? Zo nee, waarom niet?2
Het inmiddels zesde Cyber security beeld Nederland 2016 en de daarbij behorende beleidsreactie3 schetst de zorgelijke ontwikkeling in de periode van mei 2015 tot en met april 2016 van een toenemende en reële dreiging in het digitale domein. Deze dreigingen zijn onder andere gericht op diefstal van geld en kostbare commerciële informatie. Cybercriminelen hebben zich ontwikkeld tot zeer geavanceerde actoren wier capaciteiten in een aantal gevallen gelijk staan met die van staten. Cybercrime is daarmee zowel kwantitatief als kwalitatief een groeiend probleem voor de Nederlandse samenleving.
Met een doorontwikkeling van de cybersecurityaanpak en de gerichte aanpak van cybercriminaliteit moet Nederland de volgende stap zetten om in het digitale tijdperk mee te blijven komen. Overheid en bedrijfsleven moeten hierbij elk hun verantwoordelijkheid pakken. Het kabinet investeert vanaf 2017 structureel in cybersecurity en de aanpak van cybercrime. Daarnaast werkt de politie aan het verder opbouwen van de reeds voorziene capaciteit van technisch specialisten in de regionale eenheden.
Kunt u de vragen beantwoorden vóór de plenaire behandeling in de Kamer van de begroting van uw ministerie voor het jaar 2017 (voorzien in week 48)?
Dat is niet gelukt.
Het bericht dat slechts een kwart van de gemeenten de WOZ-inzage op orde heeft |
|
Manon Fokke (PvdA), Astrid Oosenbrug (PvdA) |
|
Ronald Plasterk (minister binnenlandse zaken en koninkrijksrelaties) (PvdA) |
|
Kent u het bericht «Slechts kwart van gemeenten heeft WOZ-inzage op orde»?1 2
Het bericht uit de Volkskrant omtrent de aansluiting van gemeenten op de landelijke website WOZ-waardeloket is mij bekend.
Wat is uw reactie op de verklaring van een woordvoerder van de Vereniging Nederlandse Gemeenten (VNG) dat het feit, dat slechts 103 van de 390 gemeenten hun gegevens via het WOZ Waardeloket openbaren, terug te voeren is op «technische problemen»?
Om de WOZ-waarden van woningen openbaar te kunnen maken via het WOZ-waardeloket wordt gebruik gemaakt van de Landelijke voorziening WOZ waar alle gemeenten op aangesloten dienen te worden. Doordat nog niet alle gemeenten op deze landelijke voorziening aangesloten zijn kunnen nog niet alle gemeenten via het WOZ-waardeloket hun WOZ-waarden van woningen beschikbaar stellen via het genoemde landelijke loket.
De Landelijke Voorziening WOZ is de overkoepelende voorziening waarvan het Loket onderdeel uitmaakt. Via het Loket zijn de WOZ-waarden van woningen beschikbaar voor geïnteresseerden. De Landelijke Voorziening WOZ is niet primair bedoeld voor het openbaar maken van de WOZ-waarden. De Landelijke Voorziening WOZ is primair bedoeld om de WOZ-gegevens te delen met andere overheden en organisaties die geautoriseerd zijn om WOZ-gegevens te gebruiken voor bijvoorbeeld belastingheffing en fraudebestrijding. De Landelijke Voorziening WOZ bevat daardoor een groot aantal (persoons-)gegevens van eigenaren en gebruikers van onroerende zaken en kent dan ook een groot aantal beveiligingsmaatregelen. Met het oog op de informatieveiligheid maken deze voorzieningen het aansluiten door gemeenten op de Landelijke Voorziening WOZ complexer. Daarnaast is voor veel gemeenten het aansluiten op de Landelijke Voorziening WOZ de eerste massale toepassing van generieke standaarden voor veilige informatie-uitwisseling volgens de voor de overheid verplichte standaard Digikoppeling.
Met het oog op een zorgvuldig gebruik van de gegevens door de afnemers stelt de Landelijke Voorziening WOZ daarnaast ook eisen aan de consistentie van de aangeleverde gegevens. Gemeenten moeten voor het aansluiten op de Landelijke Voorziening WOZ dan ook eerst slagen voor een aansluittoets.
Voor de realisatie van de veilige informatie-uitwisseling met de Landelijke Voorziening WOZ en het voldoen aan de consistentie-eisen van de aan te leveren gegevens hebben gemeenten inderdaad te maken met technische problemen vooral door het zeer specialistische karakter van dit werk. Onder andere als gevolg van beperkte beschikbaarheid van deskundigen bij softwareleveranciers voor deze specifieke werkterreinen (zowel informatieveiligheid met berichtenverkeer op basis van Digikoppeling als de WOZ-inhoudelijke consistentiebewaking van de Basisregistratie WOZ) kunnen niet alle gemeenten tegelijk de noodzakelijke ondersteuning krijgen.
Er zijn slechts enkele softwareleveranciers die gemeenten met betrekking tot deze software op terrein van de Basisregistratie WOZ en/of het veilig berichtenverkeer op basis van Digikoppeling kunnen ondersteunen. Als gevolg van de grote vraag in een betrekkelijk kort tijdsbestek levert dit een kwalitatief capaciteitsprobleem op bij zowel gemeenten als softwareleveranciers.
Daarbij kan de aansluiting op de Landelijke Voorziening WOZ gezien worden als een onderdeel van een veel bredere moderniseringslag van de ICT-voorzieningen in de Nederlandse Overheid. Gemeenten zijn daarbij bijvoorbeeld niet alleen bezig met de aansluiting op de LV WOZ, maar ook op de modernisering van de informatie-uitwisseling van kadastrale gegevens (BRK-levering), het optimaliseren van het gebruik van MijnOverheid en het implementeren van de Baseline Informatieveiligheid. Deze andere trajecten leggen veelal beslag op dezelfde groep deskundigen.
Door verschillende wijze van organisatie en verschillende implementaties in het verleden zijn de problemen bij de ene gemeente niet altijd vergelijkbaar met de problemen bij een andere gemeente. Soms is er in het verleden onvoldoende aandacht geweest voor de genoemde modernisering en de overgang naar de Landelijke Voorziening WOZ. Hierdoor dient er nu voor ieder specifiek probleem, vaak ook buiten het directe domein van de Basisregistratie WOZ, onder grote tijdsdruk een nieuwe oplossing gevonden te worden.
Gemeenten kunnen zich allereerst wenden tot hun leverancier van WOZ-software of de leverancier van de voorzieningen voor Digikoppeling en informatieveiligheids-voorzieningen om deze technische problemen op te lossen. Tijdens het bestuurlijk overleg WOZ op 14 september 2016 is aan de VNG gevraagd te kijken naar kwalitatieve ondersteuning van gemeenten onderling.
Voorts is de heer Geert Jansen (oud commissaris van de Koning van Overijssel) vanaf 1 april jl. actief als aanjager om de gemeenten te ondersteunen bij de aansluiting op de Landelijke Voorziening WOZ. De aanjager onderhoudt contact met de gemeenten zodat de problemen die zij ondervinden bij de aansluiting aan hem gerapporteerd kunnen worden. De aanjager is er vooral ook om op bestuurlijk niveau meer aandacht te vragen voor de problematiek en gemeenten te stimuleren zo spoedig mogelijk aan te sluiten. De aanjager bekijkt samen met de betrokken partijen (waaronder softwareleveranciers, Vereniging van Nederlandse Gemeenten, Waarderingskamer en Kadaster) hoe deze problemen opgelost kunnen worden. Hierbij wordt tevens gebruik gemaakt van de ervaringen die andere (reeds aangesloten) gemeenten hebben opgedaan. Hij heeft hiertoe ook een hernieuwde concrete opdracht gekregen van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties zoals medegedeeld in het bestuurlijk overleg WOZ dat op 14 september 2016 plaats vond.
Welke technische problemen ervaren de gemeenten die (nog) niet aan de wettelijke plicht voldoen?
Zie antwoord vraag 2.
Waar kunnen gemeenten terecht voor ondersteuning en advies als zij tegen technische problemen bij de uitvoering van de wettelijke plicht aanlopen?
Zie antwoord vraag 2.
Kunt u garanderen dat de verwachting van de VNG, dat over vijf maanden alle gemeenten aan de wettelijke plicht voldoen, wordt nagekomen?
Door alle betrokken partijen wordt intensief samengewerkt om aansluiting van alle gemeenten op de Landelijke Voorziening WOZ zo spoedig mogelijk te bewerkstelligen. De verantwoordelijkheid voor de aansluiting op de Landelijke Voorziening WOZ ligt in dezen bij de gemeenten. Vanuit de systeemverantwoordelijkheid worden de gemeenten hierbij door het Rijk begeleid en aangejaagd. Hiertoe is ook de aanjager actief. Zijn aanstelling was in eerste instantie voorzien tot 1 oktober 2016, mede gezien de achterblijvende vulling van de Landelijke Voorziening WOZ is besloten om zijn aanstelling te verlengen tot 1 maart 2017. Het streven is om gemeenten zo spoedig mogelijk aan te laten sluiten. Zodra gemeenten zijn aangesloten op de Landelijke Voorziening WOZ zijn de WOZ-waarden van woningen voor deze gemeente (met een vertraging van circa een week) ook beschikbaar in het WOZ-waardeloket.
Hierbij is met name van belang dat de meeste gemeenten voor de nieuwe aanslagronde voor de gemeentelijke belastingen in 2017 aangesloten zijn (februari 2017), zodat inwoners met behulp van de landelijke website www.wozwaardeloket.nl de WOZ-waarde van hun woning kunnen vergelijken met andere woningen en dat de afnemers van de Landelijke Voorziening WOZ aan overheidskant gebruik kunnen gaan maken van de nieuwe voorziening
Deelt u de mening dat de gemeenten die (nog) niet aan de wettelijke plicht voldoen om de WOZ-gegevens te openbaren aan de inwoners moeten communiceren waar zij de gegevens in de tussenliggende tijd kunnen opvragen? Zo ja, gaat u de desbetreffende gemeenten daartoe aansporen? Zo nee waarom niet?
Gemeenten hebben met ingang van 1 oktober de verplichting om WOZ-waarden te openbaren. Indien gemeenten nog niet aangesloten zijn op het landelijke WOZ-waardeloket dan past hierbij uiteraard een duidelijke communicatie vanuit de gemeente over de wijze waarop zij tijdelijk op andere wijze hierin voorziet. Gemeenten hebben inmiddels met behulp van enkele beschikbare tools hiervoor tijdelijke voorzieningen getroffen. De keuze voor een bepaalde voorziening hangt ook vaak samen met de termijn waarop de gemeente de aansluiting op de Landelijke Voorziening WOZ en daarmee de beschikbaarheid via het WOZwaardeloket operationeel heeft.
De betrokken partijen werken ook op dit vlak samen met de aanjager om eventuele noodzakelijke verbeteringen door te voeren. Ik zal de aanjager vragen in zijn contacten met de gemeenten dit nadrukkelijk mee te nemen.
Het bericht “Gemeenten boos om tariefstijging Vicrea” |
|
Astrid Oosenbrug (PvdA), Manon Fokke (PvdA) |
|
Ronald Plasterk (minister binnenlandse zaken en koninkrijksrelaties) (PvdA) |
|
Kent u het bericht «Gemeenten boos om tariefstijging Vicrea»?1
Ja.
Heeft u er zicht op hoeveel gemeenten met de software van Vicrea werken en worden geconfronteerd met een onverwachte tariefstijging? Zo ja, hoeveel gemeenten krijgen te maken met deze tariefstijging? Zo nee, kunt u zich deze informatie verschaffen?
Volgens de inventarisatie van VNG en KING werken 195 gemeenten met Vicrea-software. Uit een voorlopige analyse blijkt dat er sprake is van prijsverhogingen tussen 40% – 1.150% bij een steekproef van 21 gemeenten.
Kunt u de bewering van Vicrea plaatsen dat de verhoging te maken heeft met de investeringen die nodig zijn om het bedrijf verder te professionaliseren, met als doel «een algehele kwaliteitsverbetering van diensten, processen en producten», en met het proactief inspelen op trends die voor opdrachtgevers van groot belang worden? Zo ja, vindt u dat deze kosten horen tot het ondernemersrisico of dat ze aan afnemers doorberekend kunnen worden?
De bewering laat ik voor rekening van de betreffende leverancier.
VNG en KING streven in nauwe samenwerking en overleg met gemeenten en leveranciers naar een voortdurende kwaliteitsverbetering van de dienstverlening door gemeenten. De toepassing van adequate softwareproducten is in dat verband één van de middelen. Met betrekking tot de softwareproducten hebben VNG en KING met ca. 160 leveranciers een convenant gesloten waarin leveranciers, waaronder Vicrea, zich verplichten overeengekomen koppelingsstandaarden toe te passen. VNG en KING monitoren per kwartaal wat de voortgang is van de adoptie van open standaarden door leveranciers.
Voor handhaving van het convenant organiseren VNG en KING eens per kwartaal een compliancy-rapport, publiceren daarover en spreken leveranciers aan. VNG en KING hebben een uitvraag gedaan naar gemeenten om te onderzoeken of er behoefte bestaat om het voortouw te nemen voor een gezamenlijke actie.
Ik acht het een zaak van leverancier en afnemer om te bepalen of er sprake is van een ondernemersrisico of dat de kosten moeten worden doorbelast.
Deelt u de mening dat het voor gemeenten mogelijk moet zijn om gemakkelijk naar een andere leverancier over te stappen als deze dezelfde diensten aanbiedt? Zo ja, deelt u ook de mening dat het gebruik van open standaarden ertoe kan bijdragen dat gemeenten flexibeler kunnen zijn in hun overstap naar een andere aanbieder? Zo nee, waarom niet?
Het antwoord op beide vragen luidt ja. De voorwaarde is wel dat de geleverde softwareproducten voldoen aan de afgesproken standaarden. Daarnaast klinkt overstappen eenvoudiger dan het is. Het is meer dan alleen het aanschaffen van nieuwe software: het is ook het aanpassen van processen en systemen en het opleiden van mensen. Dat kost tijd.
Hoe verhoudt dit zich tot de motie Oosenbrug/Gesthuizen (Kamerstuk 33 326, nr. 21) waarin de regering wordt verzocht ervoor te zorgen dat voor eind 2015 bij alle aanbestedingen correct omgegaan wordt met de relevante open standaarden, te onderzoeken hoe de overheid door exitstrategieën minder afhankelijk kan worden van ICT-aanbieders, in elke aanbesteding van een nieuw ICT-project het bestek zodanig op te stellen dat opensourcetoepassingen een gelijke kans maken, en bij de keus voor een closedsourcetoepassing deze toe te lichten?
De essentie van de motie wordt bij gemeentelijke aanbestedingen breed toegepast. Reeds lopende trajecten waarbij niet altijd een aanbesteding nodig is vallen daar echter buiten. In de zaak Vicrea is er sprake van een voortzetting van reeds bestaande contracten en is er derhalve niet altijd sprake van een aanbesteding. De realisatie van de geciteerde motie zal in de praktijk dus over meerdere jaren plaats vinden.
Ondersteunt u gemeenten op dit moment in efficiëntere aanbesteding van digitale middelen zodat gewaarborgd wordt dat gemeenten niet afhankelijk worden van één aanbieder? Zo ja, hoe ondersteunt u gemeenten op dit moment en ziet u mogelijkheden om de ondersteuning aan gemeenten uit te breiden? Zo nee, waarom niet en hoe gaat u deze ondersteuning op korte termijn vormgeven?
Ik beschouw een efficiëntere aanbesteding van digitale middelen zodat gewaarborgd wordt dat gemeenten niet afhankelijk worden van één aanbieder, primair als een verantwoordelijkheid van de gemeenten. VNG en KING hebben die verantwoordelijkheid genomen en als volgt ingevuld:
Op welke wijze is er controle op het gebruik van open standaarden bij aanbestedingen van software van gemeenten? Wat is de rol van de gemeenteraden en wethouders bij de sturing op het gebruik van open standaarden?
Het gebruik van open standaarden is verplicht op basis van de afspraken met het Forum Standaardisatie en wordt als zodanig ook vermeld bij aanbestedingen.
Wethouders hebben een besluitvormingstaak en de gemeenteraden een controlerende taak op dit gebied. De wethouder draagt de verantwoordelijkheid om het overheidsbeleid ten aanzien van de toepassing van open standaarden te waarborgen.
Is het kennisniveau binnen gemeenteraden en bij wethouders volgens u voldoende om te kunnen sturen op de aanbesteding van digitale middelen? Zo nee, hoe gaat u ervoor zorgen dat de kennis binnen gemeenteraden en bij wethouders wordt vergoot en deelt u de mening dat de eerder voorgestelde oprichting van een kenniscentrum voor open source, open standaarden, en open data hieraan zou kunnen bijdragen?
Wethouders en gemeenteraden moeten kennis hebben om te beoordelen of de functionele wensen en behoeften van de gemeenten worden gerealiseerd door de toepassing van IT-middelen, met inachtneming van de regels en voorwaarden ten aanzien van (open) standaarden. In die gevallen waar specifieke kennis noodzakelijk is, kan worden teruggevallen op VNG en KING. Daarnaast kan ook nog worden teruggevallen op:
Een bericht "Sekslijst studentes verspreid op internet" |
|
Astrid Oosenbrug (PvdA), Marith Volp (PvdA) |
|
Ard van der Steur (minister justitie en veiligheid) (VVD) |
|
Kent u het bericht «Sekslijst studentes verspreid op internet»?1
Ja, ik heb kennisgenomen van het bericht.
Bent u op de hoogte van de inhoud of de aard van de genoemde sekslijst? Zo ja, wat is uw mening daarover?
Ja, ik ben op de hoogte van de aard van de genoemde lijst. Met u ben ik van mening dat het opstellen en het openbaar verspreiden van een dergelijke lijst verwerpelijk is.
Deelt u de mening dat het verspreiden van deze zogenoemde banga-lijst verwerpelijk is? Zo ja, waarom? Zo nee, waarom niet?
Zie antwoord vraag 2.
Deelt u de mening dat mocht blijken dat studenten van vereniging Vindicat atque Polit («Handhaaft en beschaaft») verantwoordelijk zijn voor het samenstellen en verspreiden van de genoemde lijst dat deze vereniging, wil die tenminste enige waarde aan haar naam hechten, hard moet optreden tegen deze leden? Zo ja, waarom? Zo nee, waarom niet?
Met u ben ik van mening dat hard moet worden opgetreden tegen dergelijke incidenten. Inmiddels blijkt dat de studentenvereniging Groninger Studenten Corps Vindicat atque Polit (hierna: Vindicat) dertien mannelijke leden heeft geschorst die verantwoordelijk worden gehouden voor het verspreiden van de lijst. Voorts blijkt uit een persbericht van Vindicat dat Vindicat zich distantieert van de personen die de lijst zouden hebben verspreid, het incident ten zeerste betreurt, nader onderzoek heeft aangekondigd en verdere disciplinaire maatregelen niet uitsluit.2
Beschikt het opleidingsinstituut waar de makers en verspreiders van deze sekslijst studeren over mogelijkheden om hen disciplinair te straffen? Zo ja, welke straffen zijn mogelijk?
De opleidingsinstituten waar de makers en verspreiders van de lijst studeren zouden op grond van de Wet op Hoger onderwijs en Wetenschappelijk onderzoek (WHW) middels art. 7.57h ordemaatregelen aan studenten kunnen opleggen, indien zou blijken dat de lijst verspreid is gebruik makende van gebouwen, terreinen of andere voorzieningen van de opleidingsinstituten. De Rijksuniversiteit Groningen en de Hanzehogeschool Groningen kennen verder interne regelingen waarbij maatregelen zouden kunnen worden opgelegd aan studenten indien er sprake is van ongewenste omgangsvormen. Voorts heb ik inmiddels van de Colleges van Bestuur van de Rijksuniversiteit Groningen en de Hanzehogeschool Groningen vernomen dat samen met de gemeente Groningen onderzocht zal worden of de erkenningsprocedure inzake de bestuursbeurzenregeling moet worden herzien in het licht van de recente ontwikkelingen rond de sekslijst en andere excessen.
Mocht er sprake zijn van betrokkenheid van de genoemde studentenvereniging: over welke sanctioneringmogelijkheden beschikken de opleidingsinstituten in Groningen, waaronder de Rijksuniversiteit Groningen?
Zie antwoord vraag 5.
Zijn er met het verspreiden van deze lijst persoonsgegevens naar buiten gekomen waarmee de privacywetgeving is overtreden? Zo ja, wat kunnen de slachtoffers daarvan concreet ondernemen? Doet de Autoriteit Persoonsgegevens, desnoods ambtshalve, onderzoek naar deze overtreding?
Op grond van artikel 8 van de Wet bescherming persoonsgegevens (Wbp) mogen persoonsgegevens slechts worden verwerkt indien dat gerechtvaardigd wordt door een van de in die bepaling genoemde gronden. Het toezicht op de naleving van de Wbp berust bij de Autoriteit Persoonsgegevens. Personen die op de zogenoemde sekslijst staan kunnen op grond van artikel 60 van de Wbp de Autoriteit Persoonsgegevens verzoeken een onderzoek in te stellen naar de rechtmatigheid van een bepaalde verwerking van persoonsgegevens. Dit college is in deze taak volstrekt onafhankelijk. Het past mij daarom niet zelf een uitspraak te doen over de vraag of met het verspreiden van de zogenoemde sekslijst persoonsgegevens naar buiten zijn gekomen waarmee de Wbp is overtreden.
De Autoriteit Persoonsgegevens heeft mij desgevraagd laten weten geen verzoeken van belanghebbenden te hebben ontvangen en dat dit er mede toe heeft geleid dat de Autoriteit Persoonsgegevens tot op heden geen onderzoek heeft ingesteld. Wel heeft de Autoriteit Persoonsgegevens besloten relevante partijen actief te informeren over de geldende regels inzake de publicatie van persoonsgegevens op internet alsmede over de onderzoeks- en sanctiemogelijkheden.
Is het mogelijk dat door het verspreiden van de genoemde lijst strafbare feiten zijn begaan, waaronder aanranding van iemands goede naam en eer of opzettelijke schending van het portretrecht? Zo ja, waarom en aan welke (andere) strafbare feiten denkt u? Zo nee, waarom niet?
Indien een dergelijke lijst zonder toestemming van de betrokkenen via het internet openbaar is verspreid, zou deze handeling eventueel tot strafrechtelijke vervolging kunnen leiden op grond van belediging (artikel 266 Sr), smaad (artikel 261 Sr) en/of laster (artikel 262 Sr).
Ook de Auteurswet biedt eventueel mogelijkheden om tegen de lijst op te treden. Wie herkenbaar op een foto staat afgebeeld, kan zich beroepen op het portretrecht (artikelen 19 t/m 21 van de Auteurswet). Als een portret in opdracht is gemaakt, dan is voor publicatie zonder meer toestemming van de afgebeelde persoon nodig. Dit toestemmingsvereiste geldt niet alleen voor derden, maar ook voor de fotograaf. Als een portret niet in opdracht is gemaakt, mag het in beginsel vrijelijk worden gebruikt, tenzij een redelijk belang van de geportretteerde zich daartegen verzet. Dan is toestemming vereist. Volledigheidshalve zij nog vermeld dat artikel 35 van de Auteurswet regelt dat degene die zonder daartoe gerechtigd te zijn een portret openbaar maakt een overtreding begaat, die is gesanctioneerd met een geldboete van de vierde categorie.
Is er door een of meerdere van de slachtoffers aangifte bij de politie gedaan? Zo ja, wat is de stand van zaken van het onderzoek? Zo nee, deelt u de mening dat de slachtoffers dan expliciet gewezen moeten worden op de mogelijkheid van het doen van aangifte of het krijgen van slachtofferhulp?
Vooralsnog is er door niemand aangifte gedaan ten aanzien van het incident. Uiteraard dienen de studentes op de hoogte te worden gesteld van de mogelijkheden die hen ter beschikking staan, voor zover zij zich daarvan niet zelf al bewust zijn.
Kent u eerdere gevallen waarbij op vergelijkbare wijze slachtoffers zijn gemaakt? Zo ja, wat was de aard van die gevallen? Hoe is de vervolging en bestraffing daarbij verlopen?
Het is mij op dit moment niet bekend dat er eerdere gevallen zijn geweest waarbij een vergelijkbare lijst, met vergelijkbare inhoud, op vergelijkbare wijze in het publieke domein is verspreid.
Een datalek bij de Belastingdienst |
|
Astrid Oosenbrug (PvdA), Ed Groot (PvdA) |
|
Eric Wiebes (staatssecretaris financiën) (VVD), Ard van der Steur (minister justitie en veiligheid) (VVD) |
|
Kent u het bericht «Belastingdienst had datalek moeten melden»?1
Ja.
Bevat dit bericht feitelijke onjuistheden ten aanzien van de aard van het datalek? Zo ja, welke?
Ja, het bericht is inderdaad niet geheel correct. In het bericht staat dat op de cd-roms onversleutelde persoonlijke gegevens van particulieren stonden, waaronder informatie van de Kamer van Koophandel. Dit is onjuist. Op de cd-roms stonden gegevens van de belastingconsulent (het nummer van de belastingconsulent en zijn adresgegevens), gegevens van zijn klanten c.q. belastingplichtigen [namen, burgerservicenummers (BSN’s) en uitsteldata voor het indienen van de aangiften] en het inleverschema voor de betrokken belastingconsulent. Op de cd-roms stond geen informatie van de Kamer van Koophandel.
Doet de Autoriteit Persoonsgegevens onderzoek naar het genoemde datalek? Zo ja, wat is de stand van zaken van dat onderzoek? Zo nee, waarom niet?
Het datalek is op 16 mei 2016 gemeld aan de Autoriteit Persoonsgegevens. Voor zover mij bekend heeft de Autoriteit Persoonsgegevens geen nader onderzoek ingesteld naar het datalek.
Deelt u de mening dat het lekken van onversleutelde persoonlijke gegevens van particulieren, waaronder het burgerservicenummer en informatie van de Kamer van Koophandel risico’s voor de betrokken belastingplichtigen kan opleveren en mogelijk schade tot gevolg kan hebben? Zo ja, waarom? Zo nee, waarom niet?
Ik deel de mening dat het lekken van onversleutelde gegevens risico’s voor de betrokken persoon kan opleveren en mogelijk schade tot gevolg kan hebben. Echter, de risico’s voor (identiteits)fraude liggen in het combineren van het BSN met andere persoonsgegevens uit andere bronnen. Het BSN als zodanig is een nummer zonder betekenis. Iemand die enkel beschikt over een BSN kan daar niet veel mee. Zoals aangegeven stond op de cd-roms slechts de naam van betrokken belastingplichtige, zijn BSN en de uitsteldatum voor het indienen van de aangifte. Ik ben daarom van oordeel dat in het voorliggende geval sprake is van een laag risico.
Deelt u de mening van de in het bericht genoemde hoogleraar dat de Belastingdienst de betrokken belastingplichtigen individueel had moeten informeren over het datalek en dat de Belastingdienst door dat niet te doen de Wet bescherming persoonsgegevens heeft overtreden? Zo ja, waarom? Zo nee, waarom niet?
Ik ben van mening dat de Belastingdienst de betrokken belastingplichtigen niet individueel hoefde te informeren over het datalek. Op grond van artikel 34a van de Wet bescherming persoonsgegevens en op grond van de beleidsregels van de Autoriteit Persoonsgegevens2 moet een datalek onverwijld aan de betrokken persoon worden gemeld als het datalek waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. In dit geval zijn de gegevens van belastingplichtigen in een aantal gevallen verstrekt aan een verkeerde belastingconsulent. Belastingconsulenten behoren tot een specifieke beroepsgroep, waarvan de leden vaak ook aangesloten zijn bij een overkoepelende organisatie waar de Belastingdienst regelmatig overleg mee voert. Deze overkoepelende organisatie heeft een gedragscode voor aangesloten leden. Daarnaast zijn de belastingconsulenten gebonden aan de geheimhoudingsplicht van artikel 67 van de Algemene wet inzake rijksbelastingen.
Verder beschikt een belastingconsulent vanwege zijn beroep al over een groot aantal gegevens van zijn klanten c.q. belastingplichtigen. De kans dat een belastingconsulent de gegevens van de onjuist toegestuurde cd-rom onrechtmatig zou gebruiken is klein te achten.
Gezien het voorgaande heeft de Belastingdienst het risico op ongunstige gevolgen beperkt geacht, zodat er geen reden was om betrokken belastingplichtigen individueel te informeren. Ik ben dan ook van oordeel dat de Belastingdienst daarmee de Wet bescherming persoonsgegevens niet heeft overtreden.
Deelt u de mening van de genoemde hoogleraar dat er bij de Belastingdienst «geen enkel zicht is op de omvang van het lek»? Zo ja, waarom en wat gaat u doen om er voor te zorgen dat de Belastingdienst voortaan zorgvuldiger met dergelijke risico’s om zal gaan? Zo nee, waarom niet?
De omvang van het datalek is niet exact bekend. De Belastingdienst gebruikt cd-roms voor de communicatie over aangevraagd uitstel voor het doen van aangifte. Het gaat hier om uitstelverzoeken van een groep van ongeveer 9.000 belastingconsulenten ten behoeve van hun cliënten. De cd-roms worden eerst individueel ingepakt en vervolgens samen met een begeleidende brief in een enveloppe gedaan. Deze wordt voor verzending in een doos gedaan. Het in een hoesje doen van de cd-rom, het samenvoegen van de brief en de cd-rom in een enveloppe en het verpakken ter verzending is handwerk. Achteraf is niet meer exact vast te stellen in hoeveel gevallen dit eventueel is misgegaan. Een soortgelijke fout, waarbij het voor zover bekend om slechts drie verkeerd verstuurde cd-roms ging, heeft zich daarna nog eens voorgedaan en is op een zelfde manier afgehandeld.
Aangezien handwerk foutgevoelig is, zijn de verbeteracties gericht op het controleren hiervan. Er is één op één controle op de combinatie van cd-roms en brieven afgesproken. Waar voorheen niet één op één gecontroleerd werd dat de brief dezelfde geadresseerde had als de cd-rom, is dit nu wel een werkafspraak. Er is afgesproken om steekproefsgewijs de cd-roms te controleren. Deze worden gecontroleerd op leesbaarheid en op het type gegevens dat op de cd-rom staat, in combinatie met de brief (wanneer er bijvoorbeeld in de brief gesproken wordt over uitstelgegevens, moet de cd-rom ook uitstelgegevens bevatten). Verder is de Belastingdienst bezig het uitstelproces te digitaliseren. Dit vergt aanpassingen van externe partijen (softwareontwikkelaars), die zich hier momenteel op inrichten.
Waarom werden wel alle belastingconsulenten in Nederland op de hoogte van het datalek gesteld?
De Belastingdienst heeft begin mei 2016 geconstateerd dat er iets fout gegaan was met het verzenden van cd-roms met de gegevens over het verleende uitstel voor het doen van aangifte (conform de uitstelregeling voor belastingconsulenten). Er was sprake van twee verschillende verstoringen met betrekking tot een deel van de cd-roms. Bij een beperkt deel van de cd-roms was niet alleen het verleende uitstel voor het belastingjaar 2015 opgenomen, maar ook voor het belastingjaar 2014. Daardoor kon het zijn dat die cd-roms niet goed te openen waren. Daarnaast was een deel van de cd-roms om onbekende reden naar de verkeerde belastingconsulent gestuurd.
Aangezien niet exact bekend was welke van de ongeveer 9.000 betrokken belastingconsulenten een onjuiste cd-rom hadden ontvangen, heeft de Belastingdienst op 13 mei 2016 al deze belastingconsulenten per e-mail geïnformeerd. Geadviseerd is om de cd-rom niet te openen. Ook is een brief gestuurd aan de betrokken belastingconsulenten. De Belastingdienst heeft op 19 juli 2016 nieuwe cd-roms met de juiste gegevens verzonden. Daarnaast heeft de Belastingdienst de belastingconsulenten geïnformeerd via de gebruikelijke kanalen voor het aankondigen van een verstoring, o.a. het verstoringenhoekje op www.belastingdienst.nl en het Forum fiscaal dienstverleners.
Het bericht ‘ Voor je het weet, troggelt de doorverbindsite je centen af’ |
|
Sharon Gesthuizen (GL), Lutz Jacobi (PvdA), Astrid Oosenbrug (PvdA) |
|
Henk Kamp (minister economische zaken) (VVD) |
|
Kent u het bericht «Voor je het weet, troggelt de doorverbindsite je centen af»?1
Ja.
Klopt het dat op commerciële websites dure 0900-betaalnummers vermeld staan die consumenten doorverbinden met de klantenservice van de politie, de Belastingdienst of bedrijven, zoals KPN of Ziggo, tegen tarieven tot maar liefst 90 cent per minuut?
Ja.
Klopt het dat deze 0900-betaalnummers vermeld staan op commerciële websites die op zoekmachines bij zoekopdrachten naar de politie, de Belastingdienst en bedrijven zoals KPN en Ziggo, opduiken als advertenties?
Ja, als advertentie of tussen de zoekresultaten.
Wat vindt u van feit dat commerciële websites, zoals geenspoedwelpolitie.nl, belastingtelefoon.info, belastinginformatietelefoon.nl en storingverhelpen.nl, consumenten tot maar liefst 90 cent per minuut laten betalen voor het doorverbinden naar klantenservice-nummers die gratis zijn of het lokale tarief rekenen?
Ik vind het onwenselijk als consumenten hierdoor worden misleid en onnodig hoge informatietarieven betalen om telefonisch contact op te nemen met instanties of bedrijven die gratis of tegen beperkte belkosten telefonisch bereikbaar zijn. Dit doet afbreuk aan de laagdrempelige telefonische bereikbaarheid die instanties zoals de Belastingdienst beogen en consumenten worden hierdoor onnodig op kosten gejaagd. De tarieven van telefonische klantenservice van bedrijven zijn juist in de regelgeving gemaximeerd om te voorkomen dat een telefoontje naar de klantenservice leidt tot een hoge telefoonrekening. Het argument dat exploitanten van de betreffende websites aanvoeren – dat zij ervoor zorgen dat organisaties beter vindbaar zijn – vind ik weinig steekhoudend, gelet op de vele klachten van consumenten die deze doorverbinddiensten veroorzaken.
Klopt het dat zelfs de Nationale Politie op haar eigen website mensen waarschuwt om het juiste telefoonnummer te gebruiken om geen onnodige kosten te betalen? Zo ja, wat vindt u van de ontwikkeling dat er geld wordt verdiend aan een publieknummer ten koste van de consument?
Ja, zowel de Nationale Politie als de Belastingdienst waarschuwen hiervoor2. Ik vind het kwalijk als consumenten worden misleid en onnodig op kosten worden gejaagd.
Kan er bij burgers het misverstand ontstaan dat het bellen naar de politie 90 cent per minuut kost en dat zij er daarom van af zien om bij al dan niet spoedeisende vragen de politie te bellen? Zo ja, deelt u de mening dat dit onwenselijk is en wat gaat u daar tegen doen? Zo nee, waarom niet?
Ja, ik acht het denkbaar dat dit leidt tot misverstanden bij burgers over de kosten voor het bellen naar de politie voor niet-spoedeisende zaken (informatienummer 0900-8844) en tot eventueel afzien van telefonisch contact met de politie. Dat is onwenselijk. Voor spoedeisende zaken is er het gratis alarmnummer 112 en is dit niet aan de orde. Ik verwijs voorts naar de antwoorden op de vragen 7, 8, 10 en 11.
Vallen deze commerciële websites waar de 0900-betaalnummers vermeld staan onder het toezicht van Autoriteit Consument en Markt (ACM)? Zo ja, welke instrumenten kan de ACM hiertegen gebruiken? Zo nee, wat voor toezicht is er voor dit soort doorverbindwebsites?
Ja, 0900-nummers vallen onder het toezicht van de Autoriteit Consument en Markt (ACM). De ACM houdt toezicht op het correcte gebruik van telefoonnummers, waaronder 0900-nummers, conform de Telecommunicatiewet en de bestemmingen die zijn vastgelegd in het Nummerplan Telefonie- en ISDN-diensten. Daarnaast kan de ACM optreden tegen overtredingen van de Wet oneerlijke handelspraktijken. Tot slot heeft de ACM specifieke bevoegdheden om misbruik van 0900-nummers aan te pakken.
Vindt u dat er een onwenselijke situatie is ontstaan, waarbij deze websites de consumenten in verwarring brengen over het juiste telefoonnummer van de politie, de Belastingdienst en bedrijven? Zo ja, bent u van plan om actie te ondernemen? Zo nee, waarom niet?
Ja, ik vind het onwenselijk als consumenten worden misleid en onnodig op kosten worden gejaagd. Ik heb deze 0900-nummers die doorverbinddiensten aanbieden besproken met de ACM. De ACM kijkt naar aanleiding van de klachten hoe deze praktijken effectief kunnen worden aangepakt met de instrumenten die zij tot haar beschikking heeft. Ik verwijs voorts naar de antwoorden op de vragen 7 en 11.
In hoeverre is er, naar uw oordeel, sprake van oneerlijke handelspraktijken?2
Het is van belang dat handelaren duidelijk zijn over de dienst die zij aanbieden en dat zij consumenten niet misleiden over de aard van een dienst of over betaling voor een dienst die zij elders gratis of voor veel minder geld kunnen krijgen. De ACM handhaaft als onafhankelijk toezichthouder de Wet oneerlijke handelspraktijken. Hierbij is het aan de ACM om te beoordelen wanneer er sprake is van overtreding van de Wet oneerlijke handelspraktijken.
Kunt u de ACM verzoeken om een onderzoek te starten naar deze 0900-betaalnummers?
Zie antwoord vraag 8.
Ziet u mogelijkheden om via de Telecomwet nadere regels te stellen om in ieder geval overheidsdiensten, maar waar mogelijk ook commerciële nummers, beter te beschermen tegen dienstenaanbieders die feitelijk niets toevoegen aan de diensten van anderen maar wel hoge prijzen vragen aan nietsvermoedende burgers?
De ACM kijkt naar aanleiding van de klachten hoe deze praktijken effectief kunnen worden aangepakt met de instrumenten die zij tot haar beschikking heeft. Ik wil daar nu niet op vooruitlopen. Het al dan niet stellen van nadere regels om consumenten beter te beschermen is pas aan de orde als mocht blijken dat de huidige wet- en regelgeving ontoereikend is.
Het bericht dat orthodontisten vingerafdrukken afnemen |
|
Astrid Oosenbrug (PvdA) |
|
Edith Schippers (minister volksgezondheid, welzijn en sport) (VVD), Ard van der Steur (minister justitie en veiligheid) (VVD) |
|
Kent u het bericht «Help! Mijn orthodontist scant kindervingers»?1
Ja.
Deelt u de mening dat het opslaan van vingerafdrukken door orthodontisten voor de vaststelling van de identiteit van een (minderjarige) patiënt een overbodig middel is? Zo ja, waarom? Zo nee, waarom niet?
Uit navraag bij de Nederlandse Vereniging van Orthodontisten (NVvO) blijkt dat er geen vingerafdrukken worden geregistreerd of opgeslagen. Het gaat hier om zogenoemde vingerherkenningsscans. Deze techniek is als volgt. Op basis van het patroon van de vinger wordt een getal van 256 tekens gegenereerd. Van deze getallenbrij is geen vingerafdruk op te bouwen. De praktijk slaat die informatie op in een bestand die het patiëntennummer krijgt van de desbetreffende patiënt. De informatie is niet rechtstreeks gekoppeld aan een persoon. Het bestand maakt integraal onderdeel uit van een patiëntendossier en bescherming van deze gegevens valt dus ook onder de norm en richtlijn van het medisch dossier. De praktijk houdt die gegevens in huis en dit wordt niet naar buiten gebracht.
Volgens de NVvO gebruiken orthodontisten deze techniek om processen te verbeteren, zoals op een snelle en gemakkelijke manier aan de balie controleren of de patiënt degene is die hij zegt te zijn.
Deze techniek is weliswaar minder vergaand dan het registreren of opslaan van vingerafdrukken, echter er is wel sprake van het verwerken van persoonsgegevens. Op grond van de Wet bescherming persoonsgegevens (Wbp) is daarvoor ondubbelzinnige toestemming van de betrokkene vereist. Als het om minderjarige kinderen onder de zestien jaar gaat, dan is ondubbelzinnige toestemming van de ouders nodig. De toestemming moet een vrije, specifieke en op informatie berustende wilsuiting zijn. Betrokkene moet van tevoren weten wat de vingerherkenningsscan inhoudt en waarvoor het gebruikt wordt. Als er geen ondubbelzinnige toestemming is gegeven, dan mag géén vingerherkenningsscan worden gebruikt.
De Wbp bepaalt daarnaast dat technische en organisatorische maatregelen door de verantwoordelijke moeten worden genomen tegen verlies of tegen enige vorm van onrechtmatige verwerking.2
Onder de Algemene Verordening Gegevensbescherming, die vanaf 25 mei 2018 van toepassing is, worden biometrische gegevens aangemerkt als bijzondere persoonsgegevens. Het verwerken van die gegevens is in principe verboden, tenzij één van de uitzonderingsgronden van de AVG van toepassing is. Uitdrukkelijke toestemming van betrokkene is een uitzonderingsgrond.
De Autoriteit Persoonsgegevens is bij wet ingesteld om te oordelen of verantwoordelijken voor de verwerking van persoonsgegevens zich aan de in Nederland geldende wetgeving voor de bescherming van persoonsgegevens houden. De Autoriteit Persoonsgegevens is een onafhankelijke toezichthouder. Het past mij dan ook niet een oordeel uit te spreken over de vraag of de geldende regelgeving wordt geschonden.
Wel ben ik van mening dat in het oog moet worden gehouden of de genoemde techniek proportioneel is voor het doel waarvoor het wordt gebruikt en dat dit doel niet op een andere, voor de cliënt minder nadelige wijze kan worden bereikt. Orthodontisten hebben ook andere – minder privacygevoelige – methoden tot hun beschikking om te controleren of de cliënt degene is die hij zegt te zijn.
Deelt u de mening dat het registreren dan wel het opslaan van een vingerafdruk door een orthodontist risico’s voor schending van de persoonlijke levenssfeer met zich mee kan brengen? Zo ja, waarom en aan welke risico’s denkt u? Zo nee, waarom niet?
Zie antwoord vraag 2.
Mogen orthodontisten vingerafdrukken van (minderjarige) patiënten afnemen en opslaan? Zo ja, waarom en maakt het daarbij uit of de ouder daar toestemming voor heeft gegeven? Zo nee, waarom niet en wat kunt u doen om hier een einde aan te maken?
Zie antwoord vraag 2.
Voldoet het systeem dat orthodontisten volgens het genoemde bericht gebruiken voor het registreren en opslaan van vingerafdrukken aan de wettelijke vereisten ten aanzien van het verzamelen en beschermen van persoonsgegevens?
Zie antwoord vraag 2.
Hoeveel orthodontisten nemen vingerafdrukken af?
Er zijn circa 15 van de circa 200 praktijken die de hiervoor beschreven techniek gebruiken.
Kent u meer beroepsgroepen die vingerafdrukken van hun klanten afnemen? Zo ja, wie betreft dit en waarom worden er vingerafdrukken afgenomen?
Ik ben niet bekend met andere beroepsgroepen in de zorg die deze techniek van vingerherkenningsscans bij hun cliënten gebruiken.
Het bericht dat het openbaar ministerie toegang tot versleutelde informatie wil |
|
Astrid Oosenbrug (PvdA), Jeroen Recourt (PvdA) |
|
Ard van der Steur (minister justitie en veiligheid) (VVD) |
|
Kent u de berichten «OM: versleutelde diensten als WhatsApp steeds groter probleem»1 en «Wat wil het openbaar ministerie precies met versleuteling»?2 Kent u het twitterbericht van de officier van Justitie Egberts3 en herinnert u zich het kabinetstandpunt over versleuteling?4
Ja.
Deelt u de mening dat «end-to-end versleuteling» van gegevens nodig is om burgers en bedrijven veilig te laten communiceren via internet, WhatsApp of andere vergelijkbare diensten? Zo ja, waarom? Zo nee, waarom niet?
De mening van het kabinet over versleuteling is weergegeven in het kabinetsstandpunt van 4 januari 2016. Dit standpunt is sindsdien niet veranderd.
Deelt u de mening dat het toevoegen van extra encryptiesleutels of juist het moeten afstaan van encryptiesleutels ten einde berichten die met end-to-end encryptie zijn versleuteld alsnog te kunnen lezen te grote risico's voor de veiligheid van het internet met zich meebrengen en dus onwenselijk zijn? Zo ja, waarom? Zo nee, waarom niet?
Zie antwoord vraag 2.
Welke Europese landen, anders dan Frankrijk en Duitsland, zijn van mening dat er beperkende maatregelen ten aanzien van de ontwikkeling, de beschikbaarheid en het gebruik van encryptie moeten komen?
Tijdens de Informele JBZ raad van 7 en 8 juni is er tijdens de lunch gesproken over encryptie, waarbij het Nederlandse standpunt is ingebracht. Over onze inbreng en die van andere landen bent u in het verslag van de informele JBZ5 reeds geïnformeerd.
Deelt u de mening dat het niet wenselijk is om beperkende maatregelen te nemen of af te spreken ten aanzien van de ontwikkeling, de beschikbaarheid en het gebruik van encryptie binnen Nederland? Zo ja, waarom? En zo ja, wilt u dit standpunt in internationale context bijvoorbeeld in het verband van de JBZ-raad uitdragen? Zo nee, waarom niet en hoe verhoudt zich dat tot het genoemde kabinetsstandpunt?
Voor de mening van het kabinet over beperkende maatregelen binnen Nederland verwijs ik u naar het antwoord op vragen 2 en 3 en het kabinetsstandpunt van 4 januari 2016. In internationale contacten en fora worden dit standpunt en de afwegingen die daaraan ten grondslag liggen actief uitgedragen. Hiertoe is onder meer het kabinetsstandpunt van 4 januari 2016 vertaald naar het Engels om verdere verspreiding te faciliteren.
Op welke manier wil het openbaar ministerie concreet invulling geven aan de wens dat het «het liefste zou willen dat er een mogelijkheid is om een bedrijf te vragen die [versleutelde] informatie beschikbaar te stellen»? Wat bedoelde de officier van justitie concreet toen hij in het genoemde twitterbericht suggereerde dat hij wellicht een niet eenvoudige oplossing had om zonder de versleuteling aan te tasten toch aan versleutelde informatie te kunnen komen?
In het interview met de NOS heeft het openbaar ministerie gezegd dat het voor het oplossen van ernstige misdrijven belangrijk kan zijn dat politie en justitie toegang krijgen tot gegevens in niet versleutelde vorm. Het OM is hierbij deels afhankelijk van de samenwerking met aanbieders van ICT-producten en -diensten. Desgevraagd heeft de geïnterviewde officier van justitie aangegeven dat het openbaar ministerie het liefst ziet dat de voor de opsporing en vervolging noodzakelijke informatie wordt verkregen via het bedrijf dat het communicatiemiddel aanbiedt, uiteraard met inachtneming van ieders rol en verantwoordelijkheden, met inachtneming van de wettelijke kaders en zonder encryptie in zijn algemeenheid te verzwakken.
Wat is uw mening over de concrete wensen van het openbaar ministerie? Bent u voornemens daar aan tegemoet te komen? Zo ja, op welke wijze? Zo nee, waarom niet?
Ik onderschrijf het belang van rechtmatige toegang tot niet-versleutelde informatie ten behoeve van de opsporing. Ik wijs in dit verband ook op de indiening van het wetsvoorstel Computercriminaliteit III bij uw Kamer. Ook wijs ik op de instemming van de JBZ-Raad tijdens het Nederlandse voorzitterschap van de Raad van de EU met een tweetal Raadsconclusies ter verbetering van de bestrijding van criminele activiteiten in cyberspace en de oprichting van het Europees Justitieel Cybercrime Netwerk (brief van 27 juni 2016, TK, vergaderjaar 2015–2016, Kamerstuk 32 317, nr. GP). Daarnaast kan overleg met private partijen in bepaalde gevallen behulpzaam zijn.