Vraag 1

Heeft u kennisgenomen van het artikel »Studenten protesteren tegen tentamensoftware die beelden van hun huiskamer opslaat»?1

Ja.

Vraag 2

Welke hogescholen en universiteiten maken op dit moment gebruik van software voor online tentamens, waarbij videobeelden van de student of van het computerscherm worden opgeslagen?

De Vereniging Hogescholen (VH) geeft desgevraagd aan dat bijna alle hogescholen op verschillende manieren in pilotvorm testen met proctoring. In een recent gepubliceerd white paper duidt SURF deze verschillende wijzen van proctoring in «niveaus»2. Een tweetal hogescholen (Avans en Hogeschool Leiden) heeft aangegeven geen gebruik te maken van surveillance-software. Ook de kunsthogescholen maken, gezien de aard van het onderwijs, nauwelijks gebruik van proctoring.
De Vereniging van Universiteiten (VSNU) geeft desgevraagd aan dat de Maastricht University, de Universiteit Utrecht en de Open Universiteit geen gebruikmaken van software voor online tentamens. Bij de overige universiteiten gebeurt dit, al dan niet in pilotvorm, op verschillende manieren en schaalgrootte wel.

Vraag 3

Van welke softwareaanbieder(s) maken de betreffende onderwijsinstellingen gebruik? Kunt u daarbij aangeven of dat Amerikaanse of Europese zogeheten «proctorbedrijven» zijn?

De onderwijsinstellingen maken gebruik van de softwareaanbieders ProctorExam, Proctorio en Remote Proctor Now. ProctorExam is een Nederlands bedrijf waarvan de data in Duitsland worden verwerkt. Proctorio en Remote Proctor Now zijn bedrijven uit de Verenigde Staten met vestigingen en datacentra in de Europese Unie.

Vraag 4

Verzoeken de betreffende proctorbedrijven toestemming aan de student of die zijn persoonsgegevens, zoals videobeelden van diens gezicht, mogen opslaan? Voldoen zij verder aan de vereiste van de Algemene verordening gegevensbescherming (AVG)?

Het is aan de onderwijsinstellingen om de studenten goed te informeren over het gebruik en de werking van de proctoring software, bijvoorbeeld middels een privacyverklaring. Een student kan ervoor kiezen niet aan deze tentamenvorm deel te nemen, zoals ik ook toelicht in mijn antwoord op vraag 8.
In mijn antwoord op de schriftelijke vragen van uw collega Futselaar (SP) gaf ik reeds het volgende aan. Bij het gebruik van online proctoring verwerken onderwijsinstellingen (beeld, geluid en andere) gegevens van studenten. Op deze verwerkingen van persoonsgegevens is de AVG van toepassing. De AVG verplicht – kort gezegd – om persoonsgegevens op een behoorlijke en rechtmatige wijze te verwerken. Deze verantwoordelijkheid rust in dit geval op de onderwijsinstelling. De onderwijsinstelling moet kunnen aantonen dat de wijze waarop deze online proctoring toepast bij het afnemen van toetsen, in lijn is met de verplichtingen uit de AVG, in het bijzonder met de beginselen van rechtmatigheid, behoorlijkheid en transparantie, doelbinding, minimale gegevensverwerking, juistheid, opslagbeperking en integriteit en vertrouwelijkheid. De Autoriteit persoonsgegevens (AP) houdt toezicht op de naleving van de AVG. Bovendien kondigde de AP recent aan na te gaan of onderwijsinstellingen «voldoende werk maken van het beschermen van de privacy van hun leerlingen of studenten. Zij moeten aantonen hoe zij dit doen.»
Hogeronderwijsinstellingen geven aan dat de gekozen software en haar leveranciers voldoen aan de AVG. Zo worden de persoonsgegevens die de proctoring software verzamelt enkel gebruikt voor het opsporen van mogelijke fraude tijdens een tentamen. Studenten worden voorgelicht over het gebruik en de werking van de proctoring software. De persoonsgegevens zullen niet langer bewaard worden dan strikt noodzakelijk. De instelling verzorgt in bijzondere gevallen alternatieven voor studenten die daar voor in aanmerking komen. Bijvoorbeeld wanneer de student niet kan beschikken over de benodigde ICT-middelen.
De ICT-coöperatie van de hogeronderwijsinstellingen SURF heeft een whitepaper, zoals genoemd in de beantwoording van vraag 2, gepubliceerd. Deze publicatie is een belangrijke handleiding voor de instellingen om proctoring conform de AVG in te kunnen zetten.

Vraag 5

Begrijpt u de angst van studenten dat de proctorbedrijven de opgeslagen gegevens niet verwijderen en mogelijk voor andere doeleinden gebruiken of doorverkopen?

Die angst kan ik mij goed voorstellen. Het is aan de onderwijsinstellingen om die angst weg te nemen door aan te tonen dat het gebruik van de software voldoet aan de AVG en dat er goede afspraken met de proctorbedrijven zijn gemaakt die de privacyrechten van studenten borgen. Onderwijsinstellingen nemen die verantwoordelijkheid. Zie ook mijn antwoord bij vraag 4.

Vraag 6

Mag een onderwijsinstelling voor deelname aan onderwijs of tentaminering de student vragen om aanvullende of bijzondere persoonsgegevens te verstrekken?

In mijn antwoord op de schriftelijke vragen van uw collega Futselaar (SP) over dit thema gaf ik reeds het volgende aan.
Net als bij de reguliere afname van tentamens zijn bijzondere categorieën van persoonsgegevens, zoals gegevens over religieuze of levensbeschouwelijke overtuiging of gezondheid af te leiden aan uiterlijke kenmerken. De webcam is gericht op de student in zijn persoonlijke leefomgeving waaruit deze bijzondere persoonsgegevens te herleiden kunnen zijn. Dit vergt een gedegen voorlichting door de onderwijsinstelling aan de student om de bewustwording te vergroten en de kans op het zien en tijdelijk opslaan van deze bijzondere persoonsgegevens te verkleinen. Als studenten niet willen dat dergelijke gegevens uit de beelden afgeleid kunnen worden, kunnen ze, voor zover mogelijk, zorgen dat de uiterlijke kenmerken die daartoe aanleiding geven niet in beeld zijn. Ook staat het hen vrij ervoor te kiezen niet deel te nemen aan deze vorm van tentaminering.
Het verwerken van bijzondere categorieën van persoonsgegevens is in beginsel verboden. Het verwerken van deze persoonsgegevens is slechts toegestaan in de gevallen die AVG noemt. De AP kwalificeert camerabeelden echter niet als bijzondere persoonsgegevens indien (1) het doeleinde van de verwerking niet gericht is op het verwerken van bijzondere persoonsgegevens dan wel op het onderscheid maken op grond van een bijzonder persoonsgegeven, (2) het voor de verantwoordelijke redelijkerwijs niet voorzienbaar is dat de verwerking zal leiden tot het maken van onderscheid op grond van een bijzonder persoonsgegeven, en (3) de verwerking van die bijzondere persoonsgegevens onvermijdelijk is bij die verwerking.

Vraag 7

Mag een onderwijsinstelling een student van onderwijs of tentaminering uitsluiten als die geen toestemming verleent om aanvullende of bijzondere persoonsgegevens te verstrekken?

Proctoring wordt ingezet als er geen andere geschikte vormen van toetsing voor handen zijn. Dit geldt met name voor tentamens die zijn gericht op het toetsen van kennis. In veel gevallen zijn deze kennistoetsen gebaseerd op een digitaal systeem zoals een databank van tentamenvragen. Dit type tentaminering is fraudegevoelig. Proctoring is hiervoor een belangrijke oplossing.
Een onderwijsinstelling moet een alternatieve vorm van toetsing aanbieden als een student ervoor kiest niet deel te nemen aan deze vorm van tentaminering. Alternatieve vormen van toetsing zoals digitale toetsing op de campus met behulp van menselijke surveillance, kunnen door de coronacrisis op dit moment niet plaatsvinden. Hierdoor kunnen onderwijsinstellingen niet uitsluiten dat er studievertraging optreedt bij de keuze voor een alternatieve vorm van tentaminering.

Vraag 8

Deelt u de opvatting dat studenten nu geen eerlijke afweging kunnen maken bij het gebruiken van deze software, aangezien studenten immers aangeven koste wat kost hun vakken te willen halen om geen studievertraging oplopen en zij zich gedwongen voelen om in te stemmen met de gestelde voorwaarden en deze software te accepteren?

Naast online proctoring bieden de onderwijsinstelling andere, minder ingrijpende, toetsvormen aan zoals openboektentamens en inleveropdrachten. In bepaalde gevallen is geen alternatieve toetsvorm mogelijk. In die gevallen wordt online proctoring ingezet om studenten geen studievertraging te laten oplopen. Daarbij voorziet de onderwijsinstelling in bijzondere gevallen in een alternatief voor studenten die daarvoor in aanmerking komen. Studenten die geen gebruik willen maken van online proctoring kunnen er ook voor kiezen te wachten tot de beperkende maatregelen van de Covid-19 crisis zijn opgeheven en fysieke toetsing weer mogelijk is.

Vraag 9

Bent u bereid om in uw overleg met de onderwijskoepels en studentenorganisaties adequate bescherming van de privacy van studenten – ook in crisistijd – aan de orde te stellen, waarbij studenten de suggestie doen om te werken met open boek examens, alternatieve opdrachten of het schrijven van essays?

In mijn regelmatige overleg met onderwijskoepels en studentvertegenwoordigers spreken wij over het voorkomen van studievertraging en de privacy van studenten. Voor de instelling is de bescherming van privacy van studenten, ook in crisistijd, essentieel. De instellingen maken gebruik van diverse toetsvormen, waaronder de door u genoemde vormen. Echter, zoals toegelicht in de antwoorden op vraag 7 en 8, is de inzet van online proctoring in bepaalde gevallen de enige geschikte toetsvorm.

Vraag 10

Bent u bereid te onderzoeken of het desnoods mogelijk is om hogescholen en universiteiten in de rest van het academisch jaar alleen voor tentaminering beperkt te openen, of als alternatief voor tentaminering door middel van proctoring?

Samen met de onderwijsinstellingen onderzoeken we maatregelen om het onderwijs en de examinering zo veel mogelijk doorgang te laten vinden, binnen de grenzen van wat gegeven de crisis veilig kan worden geacht. In het geval van deze specifieke tentamens gaat het vaak om grote groepen studenten, wat een groot beslag legt op het openbaar vervoer. Daarom laat het kabinet de ministeries OCW en IenW nu samen verkennen of en onder welke voorwaarden er een lichte versoepeling van maatregelen voor het hoger onderwijs kan komen, zodat tentaminering, voor zover dat online niet afdoende kan, weer op de instelling zou kunnen plaatsvinden.

Vraag 1

Heeft u kennisgenomen van het artikel in De Groene Amsterdammer van 15 april 2020, «Te koop: openbare orde en veiligheid; Onderzoek Beveiligingsmultinational G4S en de VVD-lobby»?1

Ja.

Vraag 2

In hoeverre is de Kamer geïnformeerd door uw voorganger ten aanzien van het convenant dat in 2016 is getekend en dat het delen van data van sensoren tussen bedrijven, politie, Openbaar Ministerie (OM) en overheid makkelijker maakt? Is sprake van een convenant of een intentieverklaring? Bent u bereid dit convenant alsnog aan de Kamer toe te zenden? Is er sinds 2016 sprake geweest van een update?

In 2016 is door het Ministerie van Justitie en Veiligheid, de politie, de Nederlandse Veiligheidsbranche en de Federatie Veilig Nederland (destijds VEBON-NOVB) een intentieverklaring ondertekend over hun onderlinge samenwerking op het gebied van sensing.2 Er is geen sprake van een convenant. Over de ondertekening is destijds door verschillende partijen in de openbaarheid verklaard. De intentieverklaring treft uw Kamer bijgevoegd aan. De intentieverklaring heeft geen vervolg gekregen in de vorm van een hernieuwde verklaring of een convenant.
De Kamer is gezien de beperkte strekking destijds niet separaat over de intentieverklaring geïnformeerd. Wel is uw Kamer in november 2015 geïnformeerd over de Visie op sensing.3 De intentieverklaring kan gezien worden als een bevestiging van die visie en borduurt erop voort. Over de inzet van sensing door de politie is uw Kamer sindsdien meermaals geïnformeerd.4

Vraag 3

Acht u het wenselijk dat dergelijke vergaande publiek-private samenwerking tot stand kan komen zonder enige politieke controle of zeggenschap?

Zie antwoord vraag 2.

Vraag 4

Biedt het convenant voldoende basis om data die door sensoren zijn verzameld in de openbare ruimte te kunnen delen tussen bedrijven, politie, OM en andere overheidsinstanties? Wat voor soort data worden gedeeld, zijn er afspraken gemaakt over het gebruik daarvan en over bewaartermijnen? Kunt u deze vragen beantwoorden inclusief het schetsen van regels voortvloeiend uit wettelijke bepalingen van de Algemene verordening gegevensbescherming en de Wet politiegegevens?

In de verklaring wordt de intentie uitgesproken om data die met eigen sensoren is verkregen zo direct mogelijk en in wederkerigheid met elkaar te delen, met inachtneming van daartoe bestaande kaders en verantwoordelijkheden. Er zijn geen afspraken gemaakt over het soort data dat wordt gedeeld, het gebruik daarvan en de bewaartermijnen.
In zijn algemeenheid geldt dat data die door de politie wordt verkregen voor de uitvoering van haar taak politiegegevens zijn volgens de Wet Politiegegevens (Wpg). De wettelijke kaders voor de doorgifte of verstrekking van politiegegevens aan anderen dan politie en Koninklijke marechaussee staan beschreven in paragraaf 3 van de Wpg. Dergelijke wettelijke bepalingen zijn, zoals ook expliciet is opgenomen in de intentieverklaring, altijd leidend. Voor het verstrekken of doorgeven van politie- of justitiegegevens zijn altijd de bepalingen uit de Wpg en Wet justitiële en strafvorderlijke gegevens (Wjsg) leidend.
G4S is een private organisatie en dient zich bij «het oogsten van data» aan de bepalingen in de Algemene Verordening Gegevensbescherming (AVG) te houden. De AVG schrijft regels voor ten aanzien van het verzamelen en verwerken van persoonsgegevens. De Autoriteit Persoonsgegevens is op dit gebied de handhavende autoriteit.

Vraag 5

Op welke wijze is gewaarborgd dat particuliere beveiligingsorganisaties publiek gesenste data niet kunnen benutten voor andere taken of doeleinden dan strikt voor de taak waarvoor zij zijn gecontracteerd? Wilt u de in het artikel aangehaalde uitspraak van G4S-topman Levinsohn dat «het oogsten van data topprioriteit is voor het bedrijf» in uw antwoord betrekken?

Zie antwoord vraag 4.

Vraag 6

Kunt u inzichtelijk maken in hoeveel gevallen en op welke wijze al gebruik gemaakt is en wordt van dit convenant?

De politie heeft mij desgevraagd laten weten dat de veiligheidsbranche na de ondertekening van de intentieverklaring is uitgenodigd om zelf proeven te doen met sensortoepassingen, gebaseerd op de aanpak van de politie, en de ervaringen vervolgens uit te wisselen. Zoals gezegd is hier geen opvolging aan gegeven.
Waar het gaat om gebruik van data van particuliere beveiligingsbedrijven door politie of justitie kan de officier van justitie dergelijke data vorderen in een opsporingsonderzoek. Bedrijven kunnen er ook zelf voor kiezen om, binnen de kaders van de AVG, data beschikbaar te stellen aan de politie, zoals dat bijvoorbeeld gebeurt in het kader van Live View, waarbij bij een alarmerende situatie beelden direct met de meldkamers kunnen worden gedeeld. Ook kan sprake zijn van een vorm van technisch medegebruik van private sensoren, waarbij de data ook beschikbaar is voor de uitvoering van de politietaak. Hierbij geldt dat er altijd een eigen aparte verkrijgingsgrond nodig is en er nooit kan worden verwezen naar een algemeen convenant.

Vraag 7

Kunt u aangeven binnen welk wettelijk kader gemeenten in de openbare ruimte camera’s kunnen toepassen, dan wel beveiligingsbedrijven en particulieren kunnen toestaan om camera’s toe te passen? Kunt u specifiek aandacht besteden aan de termijn waarbinnen een camera ergens mag hangen en de bewaartermijn voor beelden van die camera?

Cameratoezicht door gemeenten in de openbare ruimte is geregeld in artikel 151c van de Gemeentewet (Gw). In het negende lid van dit artikel is aangegeven dat de persoonsgegevens die worden verwerkt door middel van dit cameratoezicht politiegegevens in de zin van de Wet politiegegevens (Wpg) zijn. Dit betekent dat de korpschef verwerkingsverantwoordelijke is. De burgemeester kan besluiten tot inzet van dit cameratoezicht indien de gemeenteraad hem bij verordening daartoe de bevoegdheid heeft verleend. De burgemeester stelt in overleg met de officier van justitie de periode vast waarin in het belang van de handhaving van de openbare orde daadwerkelijk gebruik van de camera’s plaatsvindt en de met de camera’s gemaakte beelden in elk geval rechtstreeks worden bekeken (derde lid). De burgemeester besluit binnen welk gebied het cameratoezicht plaatsvindt en voor welke duur de gebiedsaanwijzing geldt binnen de marges van de verordening. De bewaartermijn van de beelden is geregeld in art 151c, negende lid. Vindt het cameratoezicht plaats onder het regime van artikel 151c Gemeentewet, dan mogen de beelden ten hoogste vier weken worden bewaard. Een uitzondering op deze regel vormen alle beelden waarop strafbare feiten zijn vastgelegd en de beelden die door de politie ingezet worden voor de opsporing en vervolging van de verdachten van een gepleegd strafbaar feit.
Cameratoezicht op openbare plaatsen in het belang van de handhaving van de openbare orde is uitsluitend voorbehouden aan gemeenten op grond van artikel 151c Gemeentewet. Bij de private beveiliging van bijvoorbeeld bedrijfsgebouwen of goederen met behulp van camera’s is het in sommige gevallen onvermijdelijk dat een deel van de openbare ruimte in beeld wordt gebracht.5 Op dit cameratoezicht door private organisaties is de Algemene Verordening gegevensbescherming (AVG) van toepassing.

Vraag 8

Welke wettelijke grondslag gebruiken politie, OM, overheid en de private sector om de camerabeelden te delen met elkaar?

De wettelijke grondslagen hiervoor zijn gelegen in de Wpg, Wsjg en de AVG. Een officier van justitie kan camerabeelden van private partijen vorderen ten behoeve van de strafvordering. Het delen van beelden door politie kan uitsluitend op grond van de Wpg.

Vraag 9

Hebt u een beeld hoe gemeenten omgaan met camera’s en sensors in de openbare ruimte en onder meer de opslag van deze data? Ziet u veel verschillen tussen gemeenten? Hoe worden gemeenten geïnformeerd over wat wettelijk is toegestaan op dit vlak? In welke mate houdt de Autoriteit Persoonsgegevens toezicht hierop?

Gemeenten zetten camera’s (en sensoren) wisselend in, ook de opslag van de beelden wisselt sterk. Enkele gemeenten hebben zelf hun eigen toezichtruimte. Het verwerken van de gegevens is voorbehouden aan de politie.
Gemeenten worden op diverse wijzen geïnformeerd over wat wettelijk is toegestaan op dit vlak. Zo heeft de Autoriteit Persoonsgegevens beleidsregels cameratoezicht uitgebracht. Ook is informatie te raadplegen via het Centrum voor Criminaliteitspreventie en Veiligheid (het CCV). Veel gemeenten nemen in de eerste plaats contact op met het CCV bij vragen over camera’s.
Vanwege de bovengenoemde verantwoordelijkheid van de korpschef waar het gaat om het verwerken van de gegevens wordt hierover door de gemeenten ook gesproken met de politie.
De Autoriteit Persoonsgegevens ziet toe op de naleving van de AVG en aanverwante wetten, waaronder de Wpg. Daartoe beschikt de Autoriteit Persoonsgegevens over een aantal middelen, waaronder het instellen van een onderzoek naar de naleving van relevante wetgeving.6

Vraag 10

Wordt in de publieke ruimte door particuliere beveiligingsbedrijven gemaakt van camera’s met gezichtsherkenningstechnologie?

Uit artikel 9 van de AVG volgt dat biometrische gegevens die verwerkt worden met het oog op de unieke identificatie van een persoon, bijzondere persoonsgegevens zijn. Verwerking hiervan is verboden, tenzij een van de specifieke uitzonderingen van toepassing is, zoals expliciete toestemming door de betrokkene of wanneer het gaat om openbare gegevens. Particuliere beveiligingsbedrijven komen in principe niet voor de uitzonderingsgronden in aanmerking.

Vraag 11

Op welke wijze wordt gegarandeerd dat beelden van camera’s in de openbare ruimte geverifieerd worden op echtheid? Hoe wordt voorkomen dat door (cyber)criminelen beelden (bijvoorbeeld na een hack) gemanipuleerd kunnen worden?

Zoals beschreven in mijn brief van 20 november 20197 is het overheidsbeleid dat bij de aanschaf en installatie van beveiligingsapparatuur nationale veiligheidsoverwegingen worden meegewogen bij de inkoop en aanbesteding van beveiligingsproducten en hieraan gerelateerde diensten. Bij de aanschaf van gevoelige apparatuur zal volgens dit beleid bij aanschaf en implementatie rekening worden gehouden met zowel eventuele risico’s in relatie tot de leverancier als met het concrete gebruik van de systemen, bijvoorbeeld waar het gaat om de controle op toegang tot het systeem door derden. Eind vorig jaar heeft het Kabinet een verscherpt inkoop- en aanbestedingsbeleid ten aanzien van nationale veiligheidsrisico’s geïmplementeerd alsmede een instrumentarium om dit beleid te ondersteunen. Dit instrumentarium wordt ook ter beschikking gesteld aan bedrijven en organisaties uit vitale sectoren en medeoverheden.

Vraag 12

Wat is de betrokkenheid van grote beveiligingsbedrijven als G4S, Trigion en Securitas bij het «verhuren» van buitengewoon opsporingsambtenaren (boa's) aan gemeenten en aan andere overheidsorganen? Hoe verhoudt zich in deze gevallen de private aanstelling van een boa tot de publieke taak van opsporingsambtenaar? Op welke wijze wordt voorkomen dat publieke en private informatiestromen en belangen door elkaar heen gaan lopen? Wie houdt hier toezicht op?

Voor de inhuur van boa’s gelden de Beleidsregels Buitengewoon opsporingsambtenaar. In algemene zin geldt het uitgangspunt dat boa’s in bezoldigde dienst moeten zijn van een overheidsorgaan. Hierop zijn uitzonderingen mogelijk, deze worden ook in de beleidsregels beschreven. Inhuur van boa-bekwame functionarissen die werken voor particuliere bedrijven is alleen mogelijk als voldaan is aan een aantal voorwaarden, waaronder toestemming van de lokale driehoek. Ook mag een ingehuurde boa geen toegang hebben tot politie- en of opsporingssystemen. Bovendien geldt voor ingehuurde boa’s dat zij moeten voldoen aan dezelfde eisen en gehouden zijn aan dezelfde voorwaarden zoals deze gelden voor niet-ingehuurde boa’s.

Vraag 13

Wat is uw oordeel over de in het artikel geconstateerde samenloop van functies van de heer Joustra in zijn voormalige hoedanigheid van voorzitter van de Onderzoeksraad voor Veiligheid én lid van de Raad van advies van G4S?

De heer Joustra had in de periode dat hij voorzitter was van de Onderzoeksraad voor de Veiligheid (OVV) een nevenfunctie bij G4S Group. Medewerkers van de OVV hebben de status van rijksambtenaar. Voor ambtenaren gelden regels en richtlijnen over hun integriteit, waaronder de verplichting om nevenwerkzaamheden te melden. Voor zover mij bekend heeft de heer Joustra zich hieraan gehouden.

Vraag 1

Kent u het bericht «Dutch telecommunications towers damaged by 5G protestors»?1

Ja, hier hebben wij kennis van genomen.

Vraag 2

Kunt u bevestigen dat de wetenschap geen enkele indicatie heeft voor welk verband dan ook tussen 5G en het nieuwe coronavirus, en de belagers van zendmasten zich derhalve laten leiden door complottheorieën?

De Europese Commissie2 en de Wereldgezondheidsorganisatie (WHO) en het Kennisplatform EMV3 hebben reeds benadrukt dat er geen enkel verband is tussen COVID-19 en 5G-technologie, en dat virussen niet worden verspreid via radiogolven/mobiele netwerken.4

Vraag 3

Hoeveel aanvallen op zendmasten hebben de afgelopen maand plaatsgevonden en tot welke schade hebben deze geleid?

Op het moment van schrijven is sprake van 29 door de politie geregistreerde incidenten van brandstichting. Daarnaast zijn diverse incidenten bekend van overige vormen van vandalisme, die niet met zekerheid zijn te verbinden aan de geregistreerde incidenten, bijvoorbeeld omdat niet vast staat of het motief vandalisme of diefstal was.
De schade varieert sterk tussen de verschillende incidenten, waardoor geen eenduidig algemeen antwoord is te geven ten aanzien van hersteltermijnen of economische schade. Vast staat wel dat de schade aanzienlijk is.

Vraag 4

Is er sprake van een toename van aanvallen op zendmasten dit jaar? Zo ja, hoe verhoudt deze zich tot incidenten in voorgaande jaren?

Voor zover bekend zijn er in Nederland in de afgelopen jaren geen eerdere incidenten gemeld van brandstichting bij zendmasten. Dit is daarmee een nieuw risico dat aandacht vraagt van zowel de sector als de overheid.

Vraag 5

Hoe vaak zijn hulpdiensten in gebieden rondom een zendmast onbereikbaar geweest in die periode?

Het alarmnummer 1-1-2 is zowel via vaste- als mobiele netwerken bereikbaar. Ten minste één brand heeft mogelijk impact gehad op de bereikbaarheid van 1-1-2. Deze situatie heeft voor zover bekend niet geleid tot persoonlijke ongevallen. De branden hebben tot op heden geen impact gehad op de communicatie tussen de hulpdiensten (C2000).

Vraag 6

Welke maatregelen wilt u treffen om deze vitale infrastructuur te beschermen tegen aanvallen door brandstichters?

Het Ministerie van Economische Zaken en Klimaat (EZK) staat in nauw overleg met de sector, het Ministerie van Justitie en Veiligheid (JenV) en de Landelijke Eenheid van de politie om te bezien in hoeverre aanvullende maatregelen noodzakelijk zijn.
De C2000-masten zullen extra beveiligd worden. Vanuit veiligheidsoogpunt ga ik niet in op de specifieke beveiligingsmaatregelen. De maatregelen hebben zowel een preventieve als repressieve werking. De meest kritische masten zullen eerst beveiligd worden. Het kost naar verwachting ongeveer drie maanden om alle masten te beveiligen.

Vraag 7

In hoeverre hebben andere landen te maken met aanvallen op hun infrastructuur van telecommunicatie met hetzelfde motief, namelijk complottheorieën over 5G en het coronavirus?

Verschillende landen in Europa hebben te maken met vandalisme gericht op hun infrastructuur van telecommunicatie. De online verspreiding van onjuiste informatie met betrekking tot COVID-19 lijkt hierin een rol te spelen.

Vraag 8

Bent u bekend met de groep of groepen die betrokken zijn bij deze brandstichtingen? Kunt u aangeven of het hier gaat om grensoverschrijdende netwerken?

De afgelopen weken hebben er verschillende incidenten plaats gevonden rondom zendmasten in Nederland. De incidenten variëren van sabotage tot brandstichting. Protesten tegen zendmasten zijn niet nieuw, maar het heeft nog niet eerder geleid tot extremistische protestacties in de vorm van de sabotage en brandstichting van de afgelopen weken. Onder anti-5G- en anti-overheidsbewegingen doen verschillende complottheorieën de ronde, onder andere over de veronderstelde relatie tussen 5G-netwerken en de verspreiding van COVID-19. Tussen de branden is geen relatie gebleken.

Vraag 9

Vindt volgens u de verspreiding van deze complottheorieën enkel organisch plaats of is er sprake van een georganiseerde inzet van desinformatie? Indien u nog geen antwoord heeft op deze vraag, bent u bereid te onderzoeken of, en zo ja, hoe deze complottheorieën actief verspreid worden door professionele verspreiders van desinformatie?

De verspreiding van onjuiste informatie over COVID-19 en 5G verloopt zowel ongeorganiseerd (door bijv. individuen) als georganiseerd (bijv. in echokamers op sociale media). In Nederland staan de betrokken ministeries en diensten doorlopend in nauw contact om informatie over en signalen van mogelijke desinformatieactiviteiten te delen, te duiden en daarop zo nodig te acteren. Deze informatie en signalen over COVID-19 worden ook bij elkaar gebracht in de bestaande crisisstructuur.Ook via het Rapid Alert Systeem van de Europese Unie wordt informatie gedeeld tussen de lidstaten en EU-instituties.

Vraag 10

Bent u bereid een (video)conferentie van telecomministers te initiëren om deze gevaarlijke trend te agenderen en de EU-informatie te gaan uitwisselen over de aanvallen op zendmasten?

Op 5 mei jl. vond er een informele Telecomraad plaats, waarin ik (de Staatssecretaris van Economische Zaken en Klimaat) aandacht heb gevraagd voor de onjuiste informatie over 5G in relatie tot COVID-19 en andere negatieve gezondheidseffecten en de recente branden in zendmasten.

Vraag 1

Bent u bekend met het bericht «Corona-app dreigt te mislukken door enorme haast van kabinet»?1

Vraag 2

Kunt u nader ingaan op de tijdlijn voor de ontwikkeling van de vorige week aangekondigde Corona-app? Wat is de reden dat op zaterdag, zonder dat dit is aangekondigd tijdens het debat op 8 april, een tender online werd geplaatst? Waarom is de deadline van die tender gezet op dinsdag 14 april 2020, 12:00 uur, net na Pasen?

Vraag 3

Vindt u dit een realistische deadline voor experts en bedrijven om een gedegen reactie op de tender voor te bereiden? Hoe zijn de deadlines met betrekking tot de ontwikkeling van de app (18 april een publieke proef en eind van de maand gereed voor verspreiding) tot stand gekomen? Vindt u dit realistische deadlines om een app te ontwikkelen en te waarborgen dat de app aan alle in de tender beschreven uitgangspunten voldoet? Kunt u daarbij specifiek ingaan op de uitgangspunten met betrekking tot de cyberveiligheid? Kunt u onderbouwen in hoeverre het onder deze strenge deadlines mogelijk is om een veilige app te bouwen?

Vraag 4

Kunt u uitsluiten dat u reeds een voorkeur voor een bepaalde aanbieder van een Corona-app heeft? Is er de afgelopen weken reeds contact geweest met aanbieders van Corona-apps? Zo ja, welke?

Vraag 5

Waarom vraagt de aanbesteding uitsluitend om reeds bestaande, uitontwikkelde en werkende oplossingen? Worden hiermee innovatieve oplossingen die op dit moment nog niet volledig zijn uitontwikkeld niet ten onrechte uitgesloten?

Vraag 6

Hoe zijn de uitgangspunten in de tender tot stand gekomen? Waarom staat opensource niet als uitgangspunt in de tender, aangezien u tijdens het debat op 8 april jl.: «Open source: dat kan ik me ook heel goed voorstellen» zei?

Vraag 7

Heeft u de brief van een groep van zestig wetenschappers en experts over de corona-apps gelezen? Bent u het ermee eens dat het vertrouwen van wetenschappers en experts in de apps van groot belang is voor de effectiviteit van de apps, indien deze worden ingezet? Wat doet u om dat vertrouwen te creëren?

Vraag 8

Kunt u deze vragen voor het debat op donderdag 16 april beantwoorden?

Vraag 1

Kunt u aangeven wat de aanleiding was om met het voorstel voor apps te komen en kunt u aangeven op welke termijn u dergelijke apps wil kunnen implementeren?

Vraag 2

Zijn er wetenschappelijke studies die de noodzakelijkheid en effectiviteit van een dergelijke app aantonen? Klopt het dat de studie «Quantifying SARS-CoV-2 transmission suggests epidemic control with digital contact tracing», die de inzet van een app bepleit, uitgaat van de Chinese variant met (gps) locatiegegevens en een centrale database? Heeft het type app invloed op de effectiviteit ervan?1

Vraag 3

Kunt u ingaan op het gebruik van dergelijke apps in landen als Zuid-Korea, Singapore en Taiwan, waar in de laatste weken toch strengere maatregelen genomen zijn en/of het gebruik van de app is veranderd?

Vraag 4

Bent u het eens dat het doel van de genoemde apps zeer duidelijk geformuleerd moet zijn, namelijk het beheersen van het coronavirus? Bent u het eens dat deze apps niet voor andere doeleinden ingezet mogen worden, zoals handhaving van beleid, als paspoort voor de publieke ruimte, toegang tot zorg of andere doeleinden?

Vraag 5

Hoeveel gebruikers moeten de app installeren voordat het effectief is? Klopt het dat 60 procent van de bevolking de app zou moeten installeren? Acht u het realistisch dat 60 procent van de bevolking zo’n app zal installeren? Hoeveel procent van de bevolking heeft een smartphone die geschikt is voor dergelijke apps?

Vraag 6

Bent u het eens dat vertrouwen in de app cruciaal is voor de effectiviteit ervan? Bent u het eens dat vertrouwen in apps vergroot kan worden als aanbevelingen van experts op het gebied van privacy en cyberveiligheid gevolgd worden, net zoals dat bij de bestrijding van het coronavirus experts van het Rijksinstituut voor Volksgezondheid en Milieu (RIVM) worden gevolgd?

Vraag 7

Bent u bekend met het initiatief «veiligtegencorona.nl»? Bent u bereid in gesprek te gaan met de initiatiefnemers over de eventuele ontwikkeling en implementatie van de app? Bent u bereid om de tien uitgangspunten van dit initiatief te omarmen? Zo nee, waarom niet?

Vraag 8

Bent u het eens dat de broncode van de apps die eventueel gebruikt gaan worden openbaar moet zijn? Bent u het eens dat dit het vertrouwen in de apps kan vergroten?

Vraag 9

Aan welke cyberveiligheidseisen moeten de eventuele apps voldoen? Bent u het eens dat er responsible disclosure-beleid opgesteld moet worden zodat veiligheidsexperts kwetsbaarheden kunnen melden?

Vraag 10

Hoe verhoudt het gebruik van bluetooth door deze apps zich tot de beveiligingsrichtlijnen van het Nationaal Cyber Security Centrum waarin staat: «Schakel WiFi, Bluetooth en andere netwerkgroep uit»?

Vraag 11

Kunt u aangeven welke apps u overweegt?

Vraag 12

Bent u ook bekend met het initiatief DP-3T, een decentrale en privacyvriendelijke «proximity tracing» app, aangezien u in het debat over de ontwikkelingen rondom het coronavirus van 8 april Pan-European Privacy-Preserving Proximity Tracing (PEPP-PT) noemde? Bent u het eens met de initiatiefnemers van «veiligtegencorona.nl» dat het decentraal opslaan van gegevens de voorkeur heeft boven centraal opgeslagen data?

Vraag 13

Is de broncode van de OLVG-app openbaar? Waarom niet? Bent u bereid in gesprek te gaan met OLVG, en de maker van de app Luscii, om de broncode openbaar te maken?

Vraag 14

In hoeverre is de veiligheid van deze app gecontroleerd? Aan welke standaarden voldoet de app? Is er een responsible disclosure loket voor de OLVG-app?

Vraag 15

Kunt u een overzicht geven van de stand van zaken in andere EU-lidstaten met betrekking tot de ontwikkeling van dergelijke apps?

Vraag 16

Op welke wijze kunt u garanderen dat de app ook goed bruikbaar is voor mensen met een beperking?

Vraag 1

Bent u bekend met berichten als »Wanhoop bij personeel Schiphol: «We worden niet beschermd tegen corona"»1 en «KLM-Stewardessen bang om te vliegen»»2, waarin wordt geschreven over situaties voor passagiers, cabinepersoneel en personeel op Schiphol die niet voldoen aan de richtlijnen van het Rijksinstituut voor Volksgezondheid en Milieu (RIVM)?

Ja.

Vraag 2

Kunt u uiteenzetten welke maatregelen op dit moment worden genomen om te zorgen dat de RIVM-richtlijnen worden nageleefd voor passagiers en personeel betrokken bij de luchtvaart? Kunt u toelichten of deze maatregelen de 1,5-meterrichtlijn van het RIVM waarborgen? Indien dit niet het geval is, bent u bereid om stappen te ondernemen om te zorgen dat deze maatregelen wel worden gerespecteerd, voor de veiligheid van personeel en passagiers?

EASA heeft op 26 maart 2020 richtlijnen uitgebracht voor het management van cabinepersoneel in relatie tot de uitbraak van het coronavirus. EASA beveelt luchtvaartmaatschappijen onder meer aan om alle niet-essentiële interactie tussen cabinepersoneel en passagiers zoveel als praktisch haalbaar aan te passen om het risico op besmetting door passagiers te reduceren. EASA heeft deze richtlijnen kenbaar gemaakt bij alle Europese maatschappijen.3 Mede op basis hiervan hebben luchtvaartmaatschappijen een groot aantal maatregelen genomen.
Het RIVM concludeert dat er duidelijke richtlijnen beschikbaar zijn en dat de risico’s op een besmetting van vliegend personeel beperkt worden door onder andere goede ventilatie en luchtfiltersystemen in vliegtuigen. Het RIVM geeft daarnaast aan dat maximale spreiding van passagiers dient te worden nagestreefd. Dit beperkt contact tussen passagiers onderling tijdens vluchten tot een acceptabel minimum.
Mijn beeld is dat de richtlijnen van het RIVM en EASA goed worden gerespecteerd door de luchtvaartmaatschappijen. Het contact tussen cabinepersoneel en passagiers wordt beperkt door alleen noodzakelijke handelingen uit te voeren waardoor onder meer de service aan de passagiers is aangepast. Ook worden bemanningsleden uitgerust met beschermende middelen zoals mondkapjes en handschoentjes.

Vraag 3

Hoe beoordeelt u de maatregel van de Duitse luchtvaartmaatschappijen Lufthansa en Eurowings die in al hun vliegtuigen in rijen van drie en vier de middelste stoelen leeg laten om zo afstand tussen passagiers te waarborgen? Bent u bereid dit ook te vragen aan maatschappijen die op Schiphol vliegen? Zo nee, waarom niet?

Het RIVM geeft aan dat maximale spreiding van passagiers dient te worden nagestreefd. Dit beperkt contact tussen passagiers onderling tijdens vluchten tot een acceptabel minimum. Ook EASA geeft dit als advies aan op haar website. Luchtvaartmaatschappijen die op Schiphol vliegen zijn bekend met de richtlijnen en geven serieus invulling aan dit advies. Luchtvaartmaatschappijen zijn zelf het beste in staat om maximale spreiding in vliegtuigen te organiseren en het lijkt ons niet verstandig dat wij gaan bepalen welke specifieke stoelen wel of niet bezet kunnen zijn.

Vraag 4

Hoe beoordeelt u de maatregelen van verschillende maatschappijen, waaronder KLM, om op Europese vluchten geen service tijdens de vlucht te verlenen om zo onnodig contact tussen cabinepersoneel en passagiers te vermijden? Bent u bereid dit ook te vragen aan alle maatschappijen die op Schiphol vliegen? Zo nee, waarom niet?

Maatregelen om op vluchten geen service te verlenen zijn een manier om de fysieke interactie tussen cabinepersoneel en passagiers te reduceren, zoals aanbevolen door EASA in de bij vraag 2 genoemde richtlijnen. Het is positief dat de luchtvaartmaatschappijen hier invulling aan geven. De richtlijnen zijn bekend bij de luchtvaartmaatschappijen die op Schiphol vliegen.

Vraag 5

Bent u bekend met verregaande eisen die kunnen worden opgelegd aan cabinepersoneel op slipstations in bijvoorbeeld Singapore, Suriname of Bonaire, waar personeel wordt gedwongen om 55 uur in één hotelkamer te verblijven, of zelfs te kampen heeft met dreigende voedseltekorten, zoals omschreven door de vakbond VNC?3 Kunt u toelichten of en welke stappen u wenst te ondernemen om dergelijke onwenselijke situaties te voorkomen?

Ik ben bekend met het feit dat landen beperkingen opleggen aan bemannings-leden. De veiligheid en gezondheid van de bemanning in hotels en tijdens het transport staat voorop. Goede nachtrust, eten en drinken voor de bemanning zijn een randvoorwaarde voor een veilige vluchtuitvoering en de service aan boord. De verblijfsduur in hotels is veelal geminimaliseerd. Wel zijn voor de maatschappijen, in verband met werk- en rusttijden, soms twee overnachtingen noodzakelijk. Het is de verantwoordelijkheid van de luchtvaartmaatschappijen om goede afspraken met de hotels te maken over de beschikbaarheid van eten en drinken voor de bemanningen. De vakorganisaties worden betrokken in de ontwikkelingen. Ik zal deze situatie blijven volgen.

Vraag 6

Kunt u toelichten welke adviezen terugkerende Nederlanders uit risicogebieden precies te horen krijgen bij aankomst?

Passagiers krijgen bij aankomst op Schiphol de adviezen die voor iedereen in Nederland gelden: Blijf zoveel mogelijk thuis. Werk thuis als dit kan. Ga alleen naar buiten voor noodzakelijke boodschappen maar doe dit alleen, voor een frisse neus of de zorg voor een ander. Maar houd altijd 1,5 meter afstand en vermijd groepsvorming. Over de maatregelen die zijn getroffen in het verband met vluchten uit hoog-risico gebieden hebben we u geïnformeerd op 9 april jl.5

Vraag 7

Kunt u toelichten op basis van welke afweging de vliegverboden naar Spanje en Oostenrijk tot stand zijn gekomen? Kunt u voorts aangeven in hoeverre het Outbreak Management Team concrete adviezen uitbrengt ten aanzien van vliegverboden naar specifieke landen of luchthavens?

Voor luchtverkeer vanuit Nederland naar specifieke landen of luchthavens zijn geen vliegverboden ingesteld door Nederland. In de Kamerbrief Aanpak inkomende passagiers vanuit risicolanden ter voorkoming van verspreiding coronavirus COVID-19 van 9 april jl. bent u geïnformeerd over de maatregelen van het kabinet ten aanzien van passagiersvluchten uit landen met een hoog risico. Vanaf 19 maart 2020 zijn de toegangsvoorwaarden voor personen die naar Nederland willen reizen verscherpt. Het gaat om een inperking voor alle niet noodzakelijke reizen van personen vanuit derde landen naar Europa (alle EU-lidstaten, alle leden van Schengen en het VK). Dit EU-inreisverbod voor niet essentiële reizen geldt tot 15 mei 2020. Hiermee is het risico op insleep van het virus via luchtverkeer zeer beperkt. Daarnaast geldt vanaf 17 april 2020 18.00 uur de verplichte gezondheidsverklaring en het dringende advies tot 14 dagen thuisquarantaine voor reizigers uit hoog-risico gebieden. Voor het bepalen van de hoog-risico landen wordt aangesloten bij de eerder genoemde EASA-lijst voor luchtvaartmaatregelen ten aanzien van vluchten uit landen met een hoge besmettingsgraad. Die lijst wordt opgesteld en geactualiseerd op informatie van de Europese gezondheidsorganisatie ECDC en de WHO. Nederland, ondersteund door RIVM, draagt actief bij om deze lijst actueel te houden, zodat de lijst gebaseerd is op goede epidemiologische informatie.

Vraag 8

Kunt u toelichten of Schiphol Real Estate zich ook houdt aan het Corona-akkoord tussen vastgoedeigenaren en noodlijdende winkeliers, waarin is afgesproken vastgoedeigenaren drie weken uitstel geven op de huur? Kunt u toelichten of ook vrachtafhandelingsbedrijven die worstelen met de terugval in inkomsten hieronder vallen?

Schiphol is op dit moment in overleg met haar klanten, waaronder huurders van winkels en vrachtafhandelingsbedrijven. Het niet-bindende advies van de brancheorganisatie neemt Schiphol mee in haar overwegingen. Schiphol geeft echter aan op dit moment terughoudend te zijn met het doen van toezeggingen, aangezien zij als organisatie ook zelf haar liquiditeit moet borgen. Tevens is Schiphol in afwachting van de effecten van de aangekondigde overheidsmaatregelen, waaronder de Tijdelijke Noodmaatregel Overbrugging voor Werkgelegenheid (NOW), op de situatie van haar klanten.

Vraag 9

Kunt u deze vragen elk afzonderlijk beantwoorden?

Ja.

Vraag 1

Heeft u kennisgenomen van de aankondiging van Apollo Vredestein – de grootste private werkgever in Enschede – dat er 750 banen zullen verdwijnen?1

Ja.

Vraag 2

Heeft u kennisgenomen van het feit dat Apollo Vredestein recentelijk een nieuwe fabriek in Hongarije gebouwd heeft met een capaciteit die nog wat groter is dan in Enschede en dat Hongarije daarvoor ongeveer 100 miljoen euro subsidie gegeven heeft?

Ja. In 2017 opende Apollo Tyres, het moederbedrijf van Apollo Vredestein, een nieuwe fabriek in Hongarije. Volgens de Europese Commissie heeft Hongarije daarbij inderdaad subsidie verstrekt, namelijk: 48,2 mln. directe subsidie, 2,8 mln. werkgelegenheidssubsidie en belastingvoordeel dat kan oplopen tot 44,7 mln (totaal max. 95,7 mln).

Vraag 3

Heeft u kennisgenomen van het besluit van de Europese Commissie dat deze subsidie, die aan de commissie genotificeerd is, geen staatssteun is?2

Ja. In het besluit van 5 september 2014 is de maatregel door de Europese Commissie als geoorloofde staatssteun gekwalificeerd omdat de staatssteun verenigbaar was met de interne markt.

Vraag 4

Klopt het dat Hongarije de aanvraag in juni 2014 indiende, in september toestemming kreeg en dus de steun pas in september kon uitkeren en dat in september 2014 de EU-staatssteunregels 2014–2020 van toepassing waren?

De Hongaarse autoriteiten hebben op 27 juni 2014 de steunmaatregel bij de Europese Commissie genotificeerd en meegedeeld dat zij op 30 juni 2014 regionale steun aan Apollo Tyres zouden verlenen onder voorbehoud van goedkeuring door de Commissie.
In de Richtsnoeren inzake regionale steunmaatregelen 2014–2020 (paragraaf 188) is bepaald dat de Europese Commissie regionale steun die ná 31 december 2013 en vóór 1 juli 2014 wordt verleend, zal beoordelen overeenkomstig de richtsnoeren inzake regionale steunmaatregelen 2007–2013.
De Europese Commissie heeft de notificatie dan ook beoordeeld overeenkomstig de richtsnoeren inzake regionale steunmaatregelen 2007–2013. De Europese Commissie heeft de steunmaatregel vervolgens op 5 september 2014 goedgekeurd.

Vraag 5

Bent u bekend met artikel 122 van de staatssteunregels, die tussen 2014 en 2020 van kracht zijn en luiden »Where the beneficiary closes down the same or a similar activity in another area in the EEA and relocates that activity to the target area, if there is a causal link between the aid and the relocation, this will constitute a negative effect that is unlikely to be compensated by any positive elements.» (C209/33, Official journal of the European Union)?

Ja.

Vraag 6

Deelt u de mening juist datgene wat artikel 122 poogt te voorkomen, namelijk subsidie geven om een bedrijf in een niet-achtergestelde regio te verplaatsten naar een achtergestelde regio in de EU, hier gebeurd is?

Nee. Het verplaatsen van het bedrijf in een niet-achtergestelde regio naar een achtergestelde regio in de EU door middel van het geven van subsidie is in dit geval niet aan de orde. De directie van Apollo Vredestein NL heeft aangegeven dat de uitbreiding in Hongarije bedoeld was om aan de groeiende vraag naar banden te kunnen voldoen. Die vraag is echter de laatste jaren gedaald door veranderende marktomstandigheden. Door deze veranderende marktomstandigheden maakt Apollo nu de keuze om in Enschede de kleinschalige en specialistische productie van banden te houden en de grootschalige productie in Hongarije en India te laten plaatsvinden. Volgens de directie heeft Apollo de houdbaarheid van producten die in Enschede worden geproduceerd geanalyseerd en met inachtneming van voornoemde veranderende marktomstandigheden de intentie uitgesproken om de fabriek in Enschede te specialiseren tot de productie van landbouwbanden en specialistische hoogwaardige banden met als doel het voortbestaan van Apollo Vredestein in Enschede te borgen. Het is goed om te vermelden dat het besluit tot de steunverlening 5,5 jaar geleden is genomen en dat Apollo al geruime tijd actief is in Hongarije. Apollo geeft aan dat er geen causaal verband is tussen de reorganisatie in Enschede en de Hongaarse fabriek.

Vraag 7

Bent u bereid spoedig per brief opheldering te vragen bij de Europese Commissie over deze gang van zaken, waarbij staatssteun (mede)geleid heeft tot sluiting van een fabriek in Enschede? Kunt u vragen of Apollo bij de aanvraag van de staatssteun ook om de toezegging gevraagd is om productie niet op deze manier te verplaatsen en of Apollo dat ook toegezegd heeft?

Ik heb geen reden om te twijfelen aan de legitimiteit van de destijds verleende steun. Binnen de EU gelden strikte voorwaarden voor staatssteun, die bovendien worden getoetst door de Europese Commissie. In dit geval heeft de Commissie geoordeeld dat de staatsteun die Hongarije heeft gegeven verenigbaar is met de interne markt. Ik zie daarom vooralsnog geen reden om contact op te nemen met de Europese Commissie of met de Hongaarse overheid over deze kwestie.
Het besluit om een nieuwe fabriek in Hongarije neer te zetten is door Apollo rond 2014 genomen. Op dat moment kon de productiecapaciteit in Enschede niet aan de stijgende vraag voldoen en waren de prognoses voor de verkoop van banden positief. Een uitbreiding van productiecapaciteit was in de ogen van Apollo dan ook noodzakelijk om aan de toenemende vraag te voldoen én om als bedrijf te groeien in de markt van banden. De nieuwe fabriek in Hongarije zou complementair zijn aan de fabriek in Enschede en in beide fabrieken zouden grotere series van bandentypen gemaakt worden, gaf Apollo in die tijd ook aan.
Helaas is volgens het bedrijf de productie van banden voor gewone personenauto’s in Enschede door allerlei omstandigheden minder competitief. Oorzaken die daarbij door het bedrijf genoemd worden zijn de toenemende concurrentie in de markt voor banden, stijgende productiekosten, teruglopende prijzen van banden en de dalende autoverkopen waardoor de markt voor banden gekrompen is. Daardoor is de productie in Enschede de afgelopen jaren al afgenomen en nam de kostprijs toe. Deze omstandigheden waren in 2014 niet voorzien.
De economie is voortdurend in beweging met verschuiving van activiteiten als bijkomend gevolg. Het is aan de leiding van een onderneming om adequaat te handelen in belang van de continuïteit van een onderneming als geheel en van alle stakeholders, waaronder de werknemers. Mocht er na verdere bestudering van de casus aanleiding toe zijn dan zal ik dat bij de Commissie en mijn collega’s die hierbij zijn betrokken onder de aandacht te brengen.

Vraag 8

Kunt u er de Europese Commissie ook nadrukkelijk wijzen op het zeer nadelige effect van het besluit om de steun van Hongarije niet als staatssteun te zien en haar vragen medeverantwoordelijkheid te zijn voor het vinden van een oplossing voor Enschede?

Zoals hierboven reeds aangegeven heb ik geen reden om te twijfelen aan de legitimiteit van de destijds verleende steun.

Vraag 9

Zijn er de afgelopen twee jaar contacten geweest met de eigenaar van Apollo Vredestein en is daar een mogelijke drastische reorganisatie aan de orde gesteld?

De afgelopen jaren zijn op verschillende niveaus contacten geweest met de eigenaar van Apollo Vredestein. In algemene zin is daarbij de actuele situatie omtrent het bedrijf aan de orde gekomen.

Vraag 10

Welke contacten zijn er de afgelopen twee jaar vanuit Den Haag geweest met de vestiging Enschede over investeringen en mogelijke problemen bij Apollo Vredestein?

Ook met de directie van de vestiging van Apollo Vredestein in Enschede zijn de afgelopen jaren gesprekken gevoerd door het Ministerie van EZK. Tijdens die gesprekken is gesproken over de algemene ontwikkeling van het bedrijf en mogelijke knelpunten daarin. Daarbij is geen melding gemaakt van een aanstaande reorganisatie.

Vraag 11

Op welke wijze zet u zich in voor het behoud van werkgelegenheid in Enschede – helaas op plek 46 van de 50 grootste steden in Nederland in de atlas van de Nederlandse gemeentes – bij Apollo Vredestein?

Het kabinet volgt de ontwikkelingen op de voet en houdt daarbij nauw contact met het bedrijf, de provincie Overijssel en gemeente Enschede. Het is nu echter eerst aan het bedrijf om met de ondernemingsraad en bonden om tafel te gaan over mogelijke alternatieve oplossingen en over de uitwerking van een sociaal plan.
Het is daarbij belangrijk om te bezien hoe onderdelen van het bedrijf die wél toekomst hebben in de regio, behouden kunnen blijven en verder in de regio verankerd kunnen worden. Het gaat dan specifiek om het meer specialistische deel van de productie bij Apollo Vredestein maar ook bij de R&D-afdeling van Apollo in Enschede, die overigens niet in het reorganisatieplan is betrokken. Daar waar het niet lukt om de werkgelegenheid bij Apollo Vredestein te behouden zal een goed sociaal plan erop gericht zijn om medewerkers op weg te helpen bij het vinden van een nieuwe werkomgeving. De verantwoordelijkheid voor dit sociaal plan ligt bij het bedrijf, in nauwe samenspraak met de bonden.
In dit kader is het bemoedigend dat de eerste bedrijven met interesse zich al hebben gemeld. Het kabinet heeft duidelijk oog voor het belang van de Twentse economie en werkgelegenheid. Recent is met regionale partijen een Regio Deal gesloten met als doel de sociaaleconomische structuur van de regio verder te versterken. Het Rijk stelt daarbij 30 miljoen Euro ter beschikking voor onder meer arbeidsmarkt en talentontwikkeling, bereikbaarheid en vestigingsklimaat. Dit komt bovenop de generieke instrumenten die vanuit het Rijk voor de regio Twente ter beschikking worden gesteld.

Vraag 12

Kunt u deze vragen een voor een en binnen twee weken beantwoorden?

De voorgenomen beantwoording binnen twee weken is helaas niet gelukt vanwege het vele werk m.b.t. COVID-19 dat voorrang kreeg bij de betrokken directies.

Vraag 1

Bent u bekend met het artikel «Autosector voldoet niet aan strenge privacynorm»?1

Ja.

Vraag 2

Klopt het dat de autosector in veel gevallen niet voldoet aan de Algemene verordening gegevensbescherming (AVG)? Wat is de reden hiervoor?

De onderlinge verschillen bij autofabrikanten zijn groot. Er zijn fabrikanten die al enkele jaren data verzamelen en enkele waar dit (nog) niet of nauwelijks gebeurt. Het is belangrijk dat de privacy van gebruikers goed gewaarborgd is bij gebruik van deze nieuwe technieken. Richting de Autoriteit Persoonsgegevens (AP), Autoriteit Consument & Markt (ACM) en de sector wordt hier dan ook op ingezet. Zie ook antwoorden bij vraag drie, zes en acht.
Verschillende onderzoeken, van onder meer de ANWB en zijn Duitse evenknie ADAC, uiten zorgen over privacy bij verschillende automerken.2 Zoals u eerder gemeld is heeft het Ministerie deze ontwikkelingen in juni 2018 aangekaart bij de Autoriteit Persoonsgegevens (AP). De European Data Protection Board (EDPB) was destijds nog in oprichting en dit onderwerp is later aan de prioriteiten toegevoegd.
De AP heeft laten weten op dit moment nog beperkt signalen te ontvangen over «connected vehicles». Zij hebben gekozen voor een pakket aan gerichte maatregelen dat bestaat uit enerzijds het informeren van eigenaren/bestuurders van «connected vehicles» en anderzijds het aanspreken van fabrikanten en dealers.
Om eigenaren/bestuurders van «connected vehicles» te informeren over hun rechten heeft de AP een handleiding opgesteld waarin handvatten worden gegeven om rechten uit te kunnen oefenen.3 Vanuit de AVG kan men in eerste instantie de verwerkingsverantwoordelijke, dus de fabrikant, aanspreken, ook ten aanzien van de onder de AVG vereiste transparantie met betrekking tot verwerkingen. Indien rechten van eigenaren/bestuurders in onvoldoende mate worden ingevuld door fabrikanten/dealers kunnen klachten worden gemeld bij de AP.
Daarnaast spreekt de AP ook fabrikanten en dealers aan die auto’s verkopen. Omdat veel fabrikanten buiten Nederland zijn gevestigd, waarbij de AP geen leidende toezichthouder is, is het noodzakelijk om hierover ook op Europees niveau af te stemmen. Vanuit de EDPB heeft dit geresulteerd in richtlijnen die de AVG concreet maken ten aanzien van «connected vehicles»4. In februari 2020 heeft de AP fabrikanten die in Nederland gevestigd zijn op de hoogte gebracht van deze richtlijnen, en gevraagd om hun verwerkingsregister: het verplichte overzicht van gegevensverwerkingen, met daarin informatie over onder meer de soorten gegevens die de fabrikant verwerkt, de doeleinden van die verwerkingen en de bewaartermijnen van die gegevens.

Vraag 3

Hoe beoordeelt u de effectiviteit van de handhaving van de AVG voor autoproducenten?

De AP is de toezichthouder die de bescherming van persoonsgegevens bevordert en bewaakt. Dat betekent aan de ene kant dat de AP een taak heeft in voorlichting van fabrikanten en consumenten. Wat betreft die voorlichting heeft de AP belangrijke stappen gezet met de genoemde EDPB-richtlijn en de genoemde handleiding. Daarnaast is de AP verantwoordelijk voor handhaving van de AVG. De door de AP gestarte inventarisatie onder voertuigfabrikanten én de verwachte stijging van het privacybewustzijn onder consumenten kunnen leiden tot gerichte signalen over overtredingen van de AVG, waarop de AP actie kan ondernemen.
Daarnaast geeft de AP aan tot op heden nog beperkt signalen en klachten uit de praktijk te ontvangen. Hierbij is de internationale component erg belangrijk: de meeste voertuigfabrikanten zijn niet in Nederland gevestigd, maar hebben hun Europese hoofdvestiging in een ander EU-land. Dit betekent dat de AP bij onderzoeken naar fabrikanten vaak zelf niet de leidende toezichthouder zal zijn, maar dat een andere Europese toezichthouder de leiding neemt. Dit vergt goede samenwerking tussen de verantwoordelijke toezichthouders ten aanzien van het overdragen van signalen en klachten.

Vraag 4

Klopt het dat het ook gaat om bijzondere persoonsgegevens? Op welke wijze ziet de Nederlandse overheid toe op een zorgvuldige behandeling van de privacygegevens van de autobestuurder door de autoproducent?

Er zijn voorbeelden denkbaar waar het om bijzondere persoonsgegevens zou gaan. Als in de locatiegegevens bijvoorbeeld te zien is hoe vaak iemand naar een ziekenhuis rijdt, zijn dat bijzondere persoonsgegevens. Bijzondere persoonsgegevens genieten extra bescherming, in die mate dat het uitgangspunt is dat verwerking van bijzondere persoonsgegevens verboden is. De AP houdt vanuit de AVG hier toezicht op en reageert bijvoorbeeld op klachten en signalen.

Vraag 5

Wanneer kan de Tweede Kamer de resultaten van het aanvullend onderzoek naar dit onderwerp, dat u in uw antwoord op eerdere schriftelijke vragen van de vraagstellers aangekondigd heeft, verwachten?2

De resultaten van het onderzoek stuur ik u bij deze toe.

Vraag 6

Deelt u de mening dat data enkel gedeeld mogen worden na nadrukkelijke toestemming van de gebruiker en niet zoals bij Tesla, middels een afmelding achteraf? Zo nee, waarom niet?

Ondanks de potentie die voertuigdata heeft op het gebied van bijvoorbeeld het veiliger maken en beter laten doorstromen van ons verkeer, staat voorop dat de gegevens die worden gebruikt in overeenstemming met geldende wetgeving voor verwerking van persoonsgegevens. In de AVG worden hieraan voorwaarden gesteld. Uitdrukkelijke toestemming vooraf is er daar een van. Dit gaat dus om zogeheten opt in, niet opt-out, zoals in het hierboven beschreven voorbeeld. In de op 28 januari 2020 uitgebrachte richtlijnen van de EDPB is die uitdrukkelijke toestemming vastgelegd als voorwaarde. Het is aan fabrikanten en dealers zelf om te bedenken hoe die toestemming concreet geregeld wordt.
Uit eerder onderzoeken (zie vraag 2) is bekend dat niet alleen de door u aangehaalde fabrikant, maar ook andere fabrikanten persoonsgegevens verwerken, maar dat wellicht nog niet voor iedere eigenaar/bestuurder duidelijk is dat dit gebeurt. Fabrikanten hebben dus mogelijk, voordat er überhaupt sprake kan zijn van het geven van toestemming op een wijze zoals vereist in de AVG, nog werk te verzetten ten aanzien van het geven van transparantie. Eigenaren en bestuurders moeten bijvoorbeeld in ieder geval een geïnformeerde keuze kunnen maken, en ook dient deze keuze vrij te zijn.

Vraag 7

Bent u het ermee eens dat eigenaren van auto’s op elk moment moeten kunnen beslissen of zij data wel of niet willen delen? Bent u bereid hierover in gesprek te gaan met autofabrikanten?

Privacy is een belangrijke publieke waarde, en er is voortdurend gesprek met de sector over «connected vehicles» en het veilig benutten van deze technieken. In de AVG is vastgelegd dat burgers het recht hebben eerder gegeven toestemming voor verwerking van persoonsgegevens in te trekken. De AVG en de richtlijnen van de EDPB bieden hiervoor duidelijke kaders voor de autofabrikanten. Toezicht op de naleving van de AVG ligt bij eerdergenoemde instanties.

Vraag 8

Wat adviseert u autobestuurders bij de aankoop van een auto? Begrijpt u dat de Consumentenbond inmiddels haar leden waarschuwt voor de gevolgen van het delen van data aan autoproducenten?

De zorgplicht om autobestuurders goed te informeren ligt bij de autofabrikanten en dealers. Voor de consument moet deze informatie beschikbaar en begrijpelijk zijn. Eerdergenoemde handreiking kan helpen om het consumentenbewustzijn hieromtrent te verhogen. Deze zal digitaal beschikbaar komen en via nieuwsberichten worden verspreid.

Vraag 9

Bent u het met de vraagstellers eens dat het een onwenselijke situatie is dat consumentenorganisaties de consument moet waarschuwen voor de datahonger van autoproducenten? Zo nee, waarom niet?

Het zou niet nodig moeten zijn dat de consumenten op deze manier worden gewaarschuwd. Privacy en de bescherming omrent persoonsgegevens is uitermate belangrijk. De eerste zet is aan de fabrikant en dealers om invulling te geven aan de eis van transparantie ten aanzien van de verwerkingen die zij doen. Dat zou moeten leiden tot een duidelijk en transparant verhaal.
Mochten er uit de praktijk klachten en signalen komen dat dit in onvoldoende mate gebeurt dan volgt de aanpak van de betreffende toezichthouders.
De complexiteit van voertuigen zowel op datadiensten maar ook op rijhulpsystemen nemen toe. Naast het formele proces start het ministerie op korte termijn een verkenning om te komen tot betere consumenteninformatie over deze functies bij aanschaf van een nieuw of tweedehandsauto. Hierbij wordt samengewerkt met de sector die hierin een grote verantwoordelijkheid heeft.

Vraag 10

Klopt het dat (sommige) dealers bonussen krijgen om klanten over te halen om data te delen? In hoeverre is deze praktijk in overeenstemming met de leidraad «Bescherming online consument» van de Autoriteit Consument & Markt (ACM)? Zo niet, welke stappen neemt u om deze praktijk te stoppen?

Navraag bij de sector levert op dat merkorganisaties zgn. «dealerstandards» hanteren, ofwel een set afspraken als onderdeel van het dealercontract waar dealers zich aan hebben te houden als vertegenwoordigers van het merk. Doorgaans maakt ook een bonusstructuur deel uit van de afspraken, die overigens per merk kunnen verschillen. Belangrijke componenten in de bonusstructuur zijn de aantallen verkochte voertuigen in een tijdvak, klanttevredenheid en de wijze waarop de dealer invulling geeft aan de zogenaamde «dealerstandards».
Concrete aanwijzingen dat dealers, of medewerkers, specifiek bonussen krijgen om klanten over te halen hun data te delen is zowel de sector als de AP niet bekend. Op basis van de leidraad «Bescherming van de Online Consument» moeten bedrijven online duidelijk aangeven of en zo ja op welke manier verzamelde data leidt tot een bepaald aanbod voor de klant, zeker als dat aanbod gepersonaliseerd is. Gebeurt dat niet, dan kan dit een misleidende handelspraktijk zijn. Of dat zo is hangt af van de omstandigheden van het geval. Het is niet op voorhand duidelijk dat er in dit voorbeeld sprake is van een dergelijke handelspraktijk.
De AP stelt dat zowel een fabrikant als dealer die zich hieraan schuldig maken in strijd handelen met de AVG. In dat verband wijst de AP erop dat «datahandel» een speerpunt is in de strategie van de AP. Mocht de AP signalen ontvangen dan hebben deze bijzondere aandacht en kan dit leiden tot handhavend optreden.

Vraag 1

Bent u bekend met het bericht «Slachtoffers misdrijven willen meer privacy, angst voor wraak daders»?1

Ja.

Vraag 2

Kunt u een inschatting geven van de omvang van de problematiek van slechte privacybescherming van slachtoffers?

Nee. Ook Slachtofferhulp Nederland (SHN) geeft aan geen inschatting te kunnen maken van het aantal slachtoffers die ervaren dat hun privacy wordt geschonden.
Eerder WODC-onderzoek uit 2015 naar de privacy van slachtoffers en het witboek van SHN beschrijven wel kwalitatief welke problematiek slachtoffers ervaren.2

Vraag 3

Waarom worden slachtoffers niet in alle gevallen erop gewezen dat ze een ander postadres, of een nummer in plaats van een naam, kunnen opgeven?

Bij het doen van aangifte ontvangen slachtoffers van de politie de zogeheten verklaring van rechten. Deze verklaring bevat een overzicht van de rechten waar slachtoffers van criminaliteit aanspraak op kunnen maken. In de verklaring is vermeld dat slachtoffers de politie kunnen vragen om bescherming. Hierbij wordt als voorbeeld genoemd de mogelijkheid om adresgegevens niet in de aangifte op te nemen, maar een ander postadres te vermelden (domicillie). Aangifte onder nummer wordt niet expliciet op de verklaring genoemd omdat deze maatregel zeer terughoudend wordt toegepast. Het is een verregaande maatregel, met mogelijke, en op voorhand niet altijd goed te beoordelen, consequenties voor de bewijsvoering. In tegenstelling tot domicilie, waarvoor geen voorwaarden gelden, wordt aangifte onder nummer alleen toegepast in zaken waarbij de angst bestaat dat het prijsgeven van de identiteit van een slachtoffer een direct risico vormt voor de veiligheid of een ernstige belemmeringen kan zijn in de uitoefening van aangevers beroep. Bij de volgende herziening van de verklaring van rechten van de politie zal ik samen met politie en andere betrokken partijen bezien of het een expliciete verwijzing naar de mogelijkheid van aangifte onder nummer wenselijk is.

Vraag 4

Kunt u uiteenzetten waarom de regels niet worden nageleefd, gelet op het feit dat in het artikel staat dat «om onduidelijke redenen de regels en wetten niet altijd [worden] nageleefd»?

Het is niet helder waar de zin in het artikel «om onduidelijke redenen worden de regels en wetten niet nageleefd» op doelt. De huidige wet- en regelgeving biedt verschillende mogelijkheden -geen verplichtingen- om bepaalde informatie, zoals persoonsgegevens van het slachtoffer, af te schermen. Voorbeelden hiervan zijn aangifte onder nummer, gebruik van domicilieadres of het weigeren van voeging van stukken.
Mogelijkerwijs ziet de verwijzing in de vraag naar regels en wetten die niet worden nageleefd op de in het NOS-bericht beschreven zaak. Daarbij was het adres van een slachtoffer, ondanks domiciliekeus, per abuis toch in het strafdossier opgenomen. Ook in het witboek van SHN worden enkele knelpunten bij de toepassingen van domiciliekeuze aan de orde gesteld. Ik neem dit serieus. Samen met politie, OM en SHN bekijk ik hoe het werkproces voor domiciliekeuze in de praktijk kan worden verbeterd.

Vraag 5

Op welke manier gaat u de gegevens van slachtoffers beter beschermen? Bestaat de mogelijkheid om niet aan de openbaarheid en het recht van een verdachte op een eerlijk proces te tornen, maar wel terughoudender te zijn omtrent persoonlijke details van slachtoffers? Is het juist dat adresgegevens op dit moment niet uit het dossier verwijderd kunnen worden?

In mijn brief van 17 december jongstleden heb ik uw Kamer geïnformeerd over diverse stappen die ik samen met het OM, de politie en de rechtspraak neem ter verbetering van de privacy van slachtoffers.3 Dit betreft zowel de verkenning van een generieke maatregel ter afscherming van persoonsgegevens van slachtoffers uit het strafdossier alsook het verbeteren van bestaande processen, zoals het werkproces van domiciliekeuze en het herzien van slachtoffercorrespondentie. Ik heb in deze brief toegezegd uw Kamer in het voorjaar van 2020 te informeren over de stand van zaken van deze acties en dat ik daarbij ook inga op andere aspecten aangaande de privacy van slachtoffers. Deze toezegging heb ik aangevuld tijdens het AO strafrechtelijke onderwerpen van 5 maart jongstleden waarin ik heb aangegeven in deze brief ook in te zullen gaan op het witboek van SHN en daarbij mijlpalen aan de op te nemen acties te zullen koppelen.
Als het adres van een slachtoffer eenmaal in het dossier is opgenomen, is het inderdaad niet eenvoudig om dit in een later stadium alsnog te verwijderen. Afhankelijk van de specifieke situatie kan het OM in bijzondere gevallen handmatig een dossier anonimiseren, maar dit is een grote aanslag op de capaciteit van het OM en deze mogelijkheid wordt derhalve terughoudend toegepast.

Vraag 6

Kunt u uiteenzetten waarom het beter afschermen van deze slachtoffergegevens een moeilijk vraagstuk is, ondanks bestaande wet- en regelgeving?

Het WODC-onderzoek stelt dat het in principe mogelijk is om bepaalde gegevens van slachtoffers, behoudens naam en geboortedatum, af te schermen voor de verdachte zonder dat het recht op een eerlijk proces van de verdachte wordt geraakt. In de huidige praktijk wordt het afschermen van persoonsgegevens alleen ingezet als bijzondere maatregel wanneer daar in een specifieke zaak aanleiding toe is.
Zoals ik in mijn brief van 17 december 2019 heb aangegeven wordt er gewerkt aan een generieke oplossing om slachtoffergegevens beter af te schermen.4 Dit is een ingewikkeld vraagstuk vanwege enerzijds de juridische randvoorwaarden die gelden bij de voorgestelde aanpassingen en anderzijds de praktische implicaties voor de betrokken organisaties. Als persoonsgegevens van het slachtoffer onderdeel van een processtuk zijn, dan is er bijvoorbeeld in de huidige wet- en regelgeving niet voor elke situatie een juridische grondslag om te voorkomen dat deze gegevens door de verdachte kunnen worden ingezien. Ten aanzien van de praktische implicaties geldt ten eerste dat het procesdossier uit een zeer groot aantal stukken bestaat waarin slachtoffergegevens zijn opgenomen. Deze stukken worden door verschillende instanties en met behulp van verschillende systemen opgesteld en worden op verschillende momenten in het traject aan het strafdossier toegevoegd. Daarnaast is, vanwege de beperkingen van de huidige ICT-systemen en de verwachte overgang van oude naar nieuwe ICT-systemen, de mogelijkheid om eventuele aanpassingen door te voeren momenteel zeer beperkt. Ik bekijk samen met politie, OM en rechtspraak op welke wijze er toch stappen gezet kunnen worden om gegevens in de ICT-systemen af te schermen. Zoals eerder aangegeven zal ik u over de voortgang op dit punt in het voorjaar een brief sturen.

Vraag 1

Heeft u kennisgenomen van het bericht dat de Autoriteit Persoonsgegevens niet over voldoende middelen beschikt om voldoende te kunnen handhaven? Komt dit nieuws voor u als een verrassing?1

Ja, ik heb kennisgenomen van het bericht, dat in lijn is met eerdere berichtgeving vanuit de Autoriteit Persoonsgegevens (AP) op dit punt.

Vraag 2

Herinnert u zich de motie Verhoeven/Van Nispen die uitsprak dat de Autoriteit Persoonsgegevens voldoende capaciteit en middelen moet hebben en houden om haar taken en bevoegdheden goed uit te kunnen voeren? Hoe kan het dat de Autoriteit Persoonsgegevens nu aan de bel trekt en aangeeft de al voorspelde drukte niet aan te kunnen met de voltijdsequivalenten die zij nu ter beschikking heeft?2

Met de leden Verhoeven en Van Nispen ben ik van mening dat de AP zodanig toegerust moet zijn dat zij in staat is haar wettelijke taken naar behoren uit te kunnen voeren. Om die reden is er bij voorjaarsnota 2019 opnieuw € 3,4 mln. structureel aan het budget van de AP toegevoegd en laat ik thans samen met de AP een extern onderzoek uitvoeren. Doel van het onderzoek is te komen tot een gedeeld beeld van een gezonde financiële basis voor de uitoefening door de AP van al haar wettelijke taken, zowel op korte als lange termijn.3

Vraag 3

Vindt u het wenselijk dat de wachttijd bij de Autoriteit Persoonsgegevens is opgelopen tot minimaal 6 maanden? Zo ja, waarom? Zo nee, deelt u de mening dat privacyschendingen zo snel mogelijk onderzocht en aangepakt moeten worden? Wat gaat u eraan doen om dit te bewerkstelligen?

Een algemene wachttijd van minimaal 6 maanden voor het in behandeling nemen van klachten door de AP is lang te noemen. Daarbij past enige nuancering.
Een derde van de 27.800 in 2019 door de AP ontvangen klachten betreffen klachten op grond van artikel 77 van de AVG, die de AP op grond van de AVG moet onderzoeken «in de mate waarin dat gepast is». Voor de afdoening van klachten in de zin van artikel 77 AVG hanteert de AP een prioriteringsbeleid op grond waarvan urgente en schrijnende klachten en klachten die betrekking hebben op een kwetsbare doelgroep of die grote groepen raken als eerste worden opgepakt. De huidige werkvoorraad van dergelijke klachten die nog in behandeling genomen moet worden, bedraagt volgens de AP circa 3.000 privacy-klachten; dat is substantieel. Daarbij is het van belang te monitoren hoe de instroom zich ontwikkelt. Zo registreerde de AP in de tweede helft van 2019 een daling van het aantal klachten ten opzichte van het eerste halfjaar van 2019.
De klachtafhandeling is onderdeel van het gezamenlijk extern onderzoek dat ik samen met de AP op dit moment laat uitvoeren naar de grondslagen van de financiering van de AP.
Voor de overige circa 19.000 door de AP ontvangen klachten, zoals signalen, tips en algemene meldingen, geldt een dergelijke onderzoeksverplichting niet. De laatstgenoemde categorie klachten bevatten wel relevante informatie over schendingen van de AVG. De AP bepaalt zelf of en zo ja, op welke wijze zij daaraan opvolging wil geven.

Vraag 4

Klopt het dat, omdat het tekort zo nijpend is, de Autoriteit Persoonsgegevens keuzes moet maken in de zaken die zij oppakt en dat zij klachten niet behandelt als niet makkelijk kan worden vastgesteld dat de regels worden overtreden? Om hoeveel zaken gaat dit op jaarbasis? Kunt u, met voorbeelden, verduidelijken wat voor type zaken niet worden opgepakt en welke zaken niet worden behandeld als niet makkelijk kan worden vastgesteld dat de regels worden overtreden?

Zoals vrijwel elke organisatie heeft ook de AP te maken met schaarste van middelen en moet zij derhalve keuzes maken. De AP bepaalt aan de hand van haar prioriteringsbeleid welke klachten die op grond van artikel 77 AVG zijn ontvangen, als eerste worden opgepakt. Daarbij is het feit of al dan niet makkelijk vast te stellen is of er sprake is van een overtreding, niet bepalend. De AP beoordeelt alle ingediende klachten en prioriteert ze conform haar Beleidsregels prioritering klachtenonderzoek AP.4
De AP geeft aan dat urgente en schrijnende gevallen altijd prioriteit krijgen, maar ook dat de afhandelingssnelheid en de afdoeningswijze in het algemeen onder druk staan door het gebrek aan capaciteit. Voorbeelden van klachten die langer blijven liggen zijn klachten over niet toegestane direct marketing en klachten over organisaties die niet reageren op verzoeken om eigen persoonsgegevens in te mogen zien, of verzoeken om die informatie te verwijderen uit de systemen. Zie tevens het antwoord onder 3.

Vraag 5

Bent u bereid de budgetten voor de Autoriteit Persoonsgegevens op korte termijn te verruimen? Zo nee, waarom niet?

De signalen over krapte bij de AP neem ik serieus en tegelijkertijd wil ik niet vooruitlopen op de uitkomsten van het lopende budgetonderzoek, waarvan we de resultaten voor de zomer verwachten.

Vraag 1

Wat is de reden dat u geen informatie over de wettelijke kaders omtrent gezichtsherkenning wilt verstrekken aan bedrijven, terwijl de rijksoverheid wel informatie over tal van andere wettelijke kaders verstrekt?1

Op grond van artikel 57 van de Algemene verordening gegevensbescherming (AVG) heeft de Autoriteit Persoonsgegevens (AP) als taak om voorlichting te geven over het wettelijke kader inzake gegevensbescherming. Dat geldt ook voor gegevensverwerking op het vlak van gezichtsherkenning. Zo heeft zij in dat verband een Normenkader digitale billboards opgesteld, waarin onder meer aandacht wordt besteed aan billboards met gezichtsherkenning. In dit licht bezien zie ik voor mij geen taak om eveneens informatie over de wettelijke kaders voor gezichtsherkenning te geven.

Vraag 2

Wordt deze casus onderzocht door de Autoriteit Persoonsgegevens (AP)? Wanneer wordt hierover een uitspraak verwacht? Heeft de AP voldoende middelen om te kunnen handhaven tegen dergelijke initiatieven die evident in strijd zijn met de Algemene verordening gegevensbescherming (AVG)? Wat gebeurt er in de tussentijd met de camera’s en de data die zij verzamelen?

De AP heeft mij laten weten dat deze casus aanleiding gaf om contact op te nemen met de Jumbo. Mocht er daadwerkelijk sprake zijn van een overtreding, dan kan de AP overgaan tot handhaving. Afhankelijk van de ernst van de overtreding wordt beoordeeld welk handhavingsmiddel kan worden ingezet. De AP heeft diverse handhavingsmogelijkheden, bijvoorbeeld een waarschuwingsbrief, een last onder dwangsom of een boete. Daarnaast heeft de Jumbo aangegeven deze camera’s uit te zetten, totdat er meer duidelijkheid komt over de privacywetgeving met betrekking tot het gebruik van deze camera’s. Om die duidelijkheid te verkrijgen, heeft Jumbo advies gevraagd aan de AP.2 Over de inhoud van deze casus en op welke termijn de AP hierover een oordeel geeft, kan zij geen uitspraken doen.

Vraag 3

Welke stappen kunnen mensen die geraakt worden door dergelijke onwettige gezichtsherkenningssystemen nemen? Kunnen zij een schadevergoeding eisen?

Wanneer een betrokkene wordt geraakt door een onwettig gezichtsherkenningssysteem, kan betrokkene daarover op grond van artikel 77 AVG een klacht indienen bij de AP.
Mocht betrokkene ten gevolge van een inbreuk op een van de bepalingen uit de AVG materiële of immateriële schade hebben geleden, kan betrokkene op grond van artikel 82 AVG het recht op schadevergoeding uitoefenen. De vordering tot schadevergoeding dient bij de civiele rechter aanhangig gemaakt te worden.

Vraag 4

Zijn er andere voorbeelden in Nederland waar camera’s zonder toestemming real-timebeelden registreren in de openbare ruimte?

Winkels, zoals het Jumbo filiaal, zijn geen openbare ruimtes. In een winkel mag bijvoorbeeld, onder voorwaarden en zonder toestemming van klanten, cameratoezicht plaatsvinden tegen diefstal. In de openbare ruimte, bijvoorbeeld een openbare weg gelegen aan de buitenkant van de winkel, gelden andere regels. Voor vaste, particuliere camera’s geldt dat zij in beginsel niet gericht mogen zijn op de openbare ruimte. In uitzonderlijke gevallen is het soms onvermijdelijk dat een deel van de openbare ruimte wordt gefilmd, bijvoorbeeld wanneer een beveiligingscamera hoofdzakelijk op het eigen terrein is gericht en daarbij een deel van de openbare ruimte onvermijdelijk zichtbaar is. Zie ook het antwoord op vraag 5. Mij zijn geen gevallen bekend van situaties waarin gericht, zonder toestemming en onrechtmatig real-time beelden worden geregistreerd in de openbare ruimte.

Vraag 5

Ziet u risico’s op het gebied van privacy en gezichtsherkenning met betrekking tot initiatieven van gemeenten om slimme deurbellen te stimuleren? Zo nee, waarom niet? Zo ja, welke stappen gaat u nemen om deze risico’s te mitigeren?

In beginsel moeten, ook bij deurbellen, de camera’s niet gericht zijn op de openbare weg, maar op het eigen, private terrein. Op basis van de AVG kan het permanent filmen van de openbare ruimte onder bepaalde omstandigheden rechtmatig zijn, bijvoorbeeld bij bepaalde gevallen van serieuze veiligheidsproblematiek. De verantwoordelijkheid voor initiatieven met betrekking tot de slimme digitale deurbel ligt bij de gemeenten. Gemeenten dienen zichzelf op de hoogte te stellen van eventuele risico’s op het gebied van privacy en, indien noodzakelijk, stappen te zetten om deze risico’s te voorkomen. Daarbij dienen de gemeenten en de gebruikers zich te houden aan de AVG. De handhaving van de AVG valt onder de verantwoordelijkheid van de AP.

Vraag 6

Bent u bekend met het bericht «The Secretive Company That Might End Privacy as We Know It»?2

Ja.

Vraag 7

Mag een bedrijf foto’s van Nederlanders van het internet «scrapen» en gebruiken in een gezichtsherkenningstoepassing?

Bij gezichtsherkenning is sprake van het verwerken van biometrische gegevens. Een bedrijf dat zich in de rechtssfeer van de Europese Unie bevindt, zal zich moeten houden aan de AVG die beperkingen oplegt als het gaat om een dergelijke verwerking van biometrische gegevens.
Ik acht het daarom aannemelijk dat het scrapen en gebruiken van foto’s voor gezichtsherkenning voor commerciële doeleinden niet past binnen de AVG. Het oordeel daarover is echter niet aan mij, maar aan de AP en in laatste instantie aan de rechter.
Veel foto’s op het internet zijn voor een ieder toegankelijk, ook vanuit landen die geen lid zijn van de EU. In die landen gelden andere regels, en het hangt dus onder meer van de vestigingsplaats van het bedrijf af wat wel en niet is toegestaan. Daarnaast is van belang dat platforms waar de foto’s zijn verzameld, eigen gebruikersvoorwaarden hanteren. In die gebruikersvoorwaarden kan zijn geregeld dat het op bepaalde wijze verzamelen van beeldmateriaal, niet toegestaan is. Zo is recent gebleken dat enkele platforms, zoals YouTube, van Clearview (het bedrijf waar het in vraag 6 genoemde artikel over gaat) eisen dat zij stoppen met het kopiëren van beelden, omdat dat strijdig zou zijn met de gebruikersvoorwaarden.

Vraag 8

Acht u het aannemelijk dat het bedrijf Clearview ook foto’s van Nederlanders heeft opgeslagen? Zo ja, welke stappen worden er genomen door de overheid, de Europese Unie of door toezichthouders om ervoor te zorgen dat die foto’s gedeletet worden? Welke stappen kunnen mensen zelf nemen om ervoor te zorgen dat die foto’s gedeletet worden?

Gelet op het aantal foto’s dat, volgens het artikel, door Clearview is verzameld, alsmede het internationale en open karakter van het internet, acht ik het inderdaad aannemelijk dat er ook foto’s van Nederlanders zijn opgeslagen. Hoeveel dat er zijn, en van wie zij zijn, is niet te zeggen. Clearview is actief in de Verenigde Staten, het is primair aan de autoriteiten in dat land om te bezien of er in strijd met de wet is gehandeld. Inmiddels zien we dat de Amerikaanse politiek op het niveau van de Senaat hier aandacht voor heeft.
Als iemand vermoedt dat zijn of haar foto door Clearview wordt gebruikt en zich daartegen wil verzetten, zal men zich tot dat bedrijf of de betrokken toezichthouder in de Verenigde Staten moeten wenden.

Vraag 9

Werken er Nederlandse opsporings- of inlichtingendiensten samen met Clearview? Bent u het eens dat dit in strijd zou zijn met de AVG?

Over de werkwijze van inlichtingendiensten wordt in het openbaar geen mededelingen gedaan.
Voor zover ik heb kunnen nagaan werken er geen Nederlandse opsporingsdiensten samen met Clearview. Het gebruik van gegevens voor opsporingsdoeleinden valt niet onder de AVG, maar onder de richtlijn 2016/680 inzake de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op het voorkomen, onderzoeken, opsporen, vervolgen en berechten van strafbare feiten en de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid. Ik bereid, als uitvloeisel van een motie van de leden Verhoeven en Van Dam4, een brief voor over het juridisch kader dat van toepassing is op gezichtsherkenning. Daarin zal ook op deze richtlijn worden ingegaan.

Vraag 1

Kent u de uitzending van Pointer, waaruit blijkt dat honderden beveiligingscamera’s eenvoudig te lokaliseren en te hacken zijn? Zo ja, wat vindt u van dit bericht?1

Ja.
Het is een zorgelijke ontwikkeling dat het gebruik van bepaalde beveiligingscamera’s negatieve gevolgen kan hebben voor de veiligheid en de persoonlijke levenssfeer van de betrokkenen.

Vraag 2

Welke eisen worden aan dergelijke camera’s gesteld? Deelt u de mening dat deze camera’s alleen op de Nederlandse markt mogen worden toegelaten als is komen vast te staan dat ze adequaat zijn beschermd tegen (online) hacks? Zo ja, welke maatregelen stelt u zich voor om het beveiligingsniveau van beveiligingscamera’s te verbeteren? Wat vindt u bijvoorbeeld van het in de uitzending genoemde idee om een minimumstandaard voor online veiligheid in te stellen en eenvoudig te hacken rommelproducten te verbieden?

In de uitzending van Pointer gaat het om camera’s die met het internet zijn verbonden en door middel van het IP-adres gemakkelijk te lokaliseren zijn, zogenoemde IP-camera’s. Nederlandse en Europese wet- en regelgeving stellen thans geen digitale veiligheidseisen aan IP-camera’s. Nederland maakt zich in de Europese Unie (EU) wel sterk voor het stellen van wettelijke minimum digitale veiligheidseisen aan IoT-apparaten, zoals IP-camera’s, via de Europese richtlijn voor radioapparatuur,2 welke zijn geïmplementeerd via de Telecommunicatiewet. Apparaten die niet aan de minimumeisen voldoen, kunnen dan van de markt worden geweerd en gehaald. In Nederland houdt het Agentschap Telecom toezicht op deze richtlijn. Op initiatief van Nederland wordt momenteel in EU-verband gekeken naar de invulling van de minimumeisen. Nederland zal de komende periode een aanjagende rol blijven vervullen om ervoor te zorgen dat de minimumeisen in 2020 van kracht worden in de hele EU.3

Vraag 3

Is u bekend in hoeveel gevallen per jaar sprake is van gehackte beveiligingscamera’s? Hoe vaak wordt daarvan melding gedaan bij de Autoriteit Persoonsgegevens en bij de politie? In hoeveel gevallen wordt politieonderzoek ingesteld en in hoeveel gevallen vindt strafvervolging en veroordeling plaats? Vindt u dat sprake is van een adequaat handhavingsniveau op de bescherming van burgers tegen dit soort vormen van online criminaliteit?

Het totaal aantal gevallen per jaar waarbij sprake is van gehackte beveiligingscamera’s is mij niet bekend. Wel heeft de Autoriteit Persoonsgegevens mij laten weten dat sinds de meldplicht datalekken in Nederland van toepassing is, zij tussen 1-1-2016 en 28-1-2020 zeven datalekmeldingen heeft ontvangen waarbij sprake was van (mogelijk) gehackte beveiligingscamera’s. De politie heeft gemeld dat zij geen cijfers beschikbaar heeft over het aantal meldingen van gehackte beveiligingscamera’s. Gehackte beveiligingscamera’s worden niet als aparte delicten in de politiesystemen geregistreerd. Om die reden is niet bekend in hoeveel gevallen politieonderzoek wordt ingesteld en in hoeveel gevallen strafvervolging en veroordeling plaatsvindt en kan eveneens geen uitspraak worden gedaan over de adequaatheid van het handhavingsniveau.

Vraag 4

Bent u bereid om, samen met de Staatssecretaris van Economische Zaken, producenten bewust te maken van de noodzaak van «privacy by design and default» om te voorkomen dat persoonsgegevens na een hack kunnen uitlekken? Zo ja, welke maatregelen stelt u zich daarbij voor?

Artikel 25 van de Algemene verordening gegevensbescherming kent een verplichting voor producenten om «privacy by design and default» toe te passen op hun producten. Deze verplichting geldt ook voor producenten van beveiligingscamera’s. Producenten dienen daaraan gevolg te geven, om te voorkomen dat persoonsgegevens na een hack kunnen uitlekken. Producenten dienen zich in dat verband af te vragen of zij de juiste eisen stellen aan de aanbieders en ontwikkelaars van die producten. Daarnaast kan de Autoriteit Persoonsgegevens producenten wijzen op de noodzaak van «privacy by design and default». Ik zie het niet als mijn taak om samen met de Staatssecretaris van Economische Zaken de bewustwording van producenten over de noodzaak van «privacy by design and default» te versterken, dit is aan de AP en de producenten zelf. Wel zet Nederland zich in EU-verband, als reeds aangegeven, in voor het stellen van minimumeisen aan IoT-apparaten.

Vraag 1

Bent u bekend met de berichten ««Universiteit Maastricht betaalde hackers losgeld» en «Verzekeraars zorgen voor toename van ransomware-aanvallen»?1 2

Ja.

Vraag 2

Hoeveel gevallen van (semi-)publieke instellingen, waaronder universiteiten en ziekenhuizen, die zijn getroffen door ransomware zijn er bij u bekend?

In 2019 zijn 188 meldingen en aangiftes gedaan van ransomware bij de politie. Het is niet mogelijk op korte termijn na te gaan hoeveel van deze meldingen/aangiftes afkomstig zijn van (semi-)publieke instellingen.

Vraag 3

In hoeveel gevallen is er gekozen voor de oplossing om ransomware te betalen in plaats van het terugzetten van back-ups? Kunt u de complexiteit van de afwegingen daarbij schetsen?

Ik heb geen informatie over het aantal gevallen waarin is gekozen ransomeware te betalen, danwel over de verschillende afwegingen die een rol spelen bij het overgaan tot betaling. Ik hecht eraan te benadrukken dat toegeven aan ransomware altijd onwenselijk is en dat het van belang is om altijd aangifte te doen. Door te betalen worden criminele activiteiten beloond en gestimuleerd. Daarnaast is de verwachting dat het betalen van losgeld leidt tot meer aanvallen van ransomware. Er wordt dan ook geen aanvullend beleid ontwikkeld met betrekking tot besluitvorming over het al dan niet betalen van losgeld.
Er bestaan geen algemene verplichtingen rond het maken van back-ups. Organisaties zijn zelf verantwoordelijk voor de cybersecurity binnen hun organisatie. Het is voor publieke en private organisaties van belang dat cybersecurity voldoende aandacht krijgt in de bedrijfsvoering. Via preventiecampagnes, advies en handelingsperspectieven wordt geprobeerd om burgers en bedrijven te informeren over veiligheid en internet, bijvoorbeeld via veiliginternetten.nl en het Digital Trust Center.3 Het maken van back-ups wordt daarentegen wel actief onder de aandacht gebracht tijdens preventiecampagnes. Dit is een van de basisbeginselen om de schade van cybercrime te beperken.
Daarnaast adviseert het Nationaal Cyber Security Centrum (NCSC), de rijksoverheid en vitale aanbieders over cyberdreigingen en -incidenten. Het NCSC geeft ook voor het brede publiek toegankelijke adviezen op de website, waaronder ransomware. Onderdeel daarvan is het advies om regelmatig back-ups te maken.4

Vraag 4

In hoeverre is het mogelijk om voor dergelijke beslissingen over het al dan niet betalen van losgeld eenduidig beleid te ontwikkelen? Ziet u additionele mogelijkheden voor beleid op het gebied van back-upbeleid?

Zie antwoord vraag 3.

Vraag 5

Bent u het eens met de stelling dat het feit dat verzekeraars losgeld dat betaald wordt voor ransomware in sommige gevallen vergoeden, zorgt voor een toename in ransomware-aanvallen?

In beginsel is te verwachten dat het betalen van losgeld leidt tot meer aanvallen van ransomware. De politie verwacht dat losgeld dat betaald wordt door slachtoffers deels direct wordt ingezet om nieuwe aanvallen te bekostigen. Het vergoeden van losgeld door verzekeraars kan dit effect verder faciliteren.
Inzake het effect van de rol van verzekeraars op ransomware moet ook in acht worden genomen dat door middel van het stellen van cybersecurity eisen door verzekeraars het risico op ransomware kan afnemen. Bijvoorbeeld doordat verzekeraars eisen dat afnemers van een verzekering hun software up to date houden en dat back-ups worden gemaakt. Uiteraard heeft het daarbij de voorkeur dat de verzekeraar de geleden schade door het niet betalen van losgeld vergoedt, en niet het losgeld dat in handen van criminelen terecht komt.
Ik zal de onwenselijkheid om te betalen bij ransomware en de consequenties van betaling bij het Verbond van Verzekeraars onder de aandacht brengen.

Vraag 6

Zo ja, bent u van plan om stappen te nemen tegen, of eisen te stellen aan, het verzekeren van losgeld voor ransomware?

Zie antwoord vraag 5.

Vraag 7

Welke andere stappen bent u van plan te nemen tegen ransomware-aanvallen?

De integrale aanpak cybercrime5 benoemt maatregelen die tegen diverse vormen van cybercrime, waaronder ransomware, worden genomen. Zo wordt er onder andere ingezet op preventie, bijvoorbeeld via publiekscampagnes (zie antwoord vraag6. Daarnaast doen de politie en het Openbaar Ministerie onderzoek om daders aan te pakken en criminele werkwijzen tegen te gaan. Het Regeerakkoord heeft een forse investering in de politie mogelijk gemaakt. Deze komt deels ten goede aan de opsporing van cybercrime en gedigitaliseerde criminaliteit.
Voor slachtoffers van ransomware heeft de politie samen met partners de site nomoreransom.org ontwikkeld. Deze site is een internationaal samenwerkingsverband tussen opsporingsdiensten en private partners. Hier worden, indien beschikbaar, ontsleutelcodes gratis ter beschikking gesteld. Ook wordt op de genoemde website voorlichting gegeven over het voorkomen van ransomware.
Tot slot kunnen burgers en organisaties zelf diverse maatregelen nemen om slachtofferschap van cybercrime te voorkómen of de schade te beperken. Via veilige hard- en software kan het risico worden beperkt dat ransomware zich verspreidt via kwetsbaarheden in software.7 Daarnaast kan door het regelmatig maken van back-ups, het updaten van software en oplettendheid bij het ontvangen van berichten met hyperlinks van onbekende afzenders het risico om te maken te krijgen met ransomware beperkt worden. De regering ondersteunt activiteiten voor bewustwording over dergelijke mogelijkheden via bijvoorbeeld de campagnes «eerst checken, dan klikken» en «doe je updates».

Vraag 1

Bent u bekend met het artikel «Sorry, alle IP-adressen zijn al vergeven»?1

Ja.

Vraag 2

Bent u bekend met het probleem rondom het opraken van IPv4 IP-adressen? Welke kortetermijnoplossingen ziet u?

Ja, het opraken van IPv4-adressen is al geruime tijd een bekend onderwerp.
De Europese organisatie die IP-adressen beschikbaar stelt, RIPE NCC, heeft in november 2019 bekend gemaakt dat alle voor Europa gereserveerde IPv4-adressen gebruikt zijn en dat er voor organisaties in Europa alleen nog de mogelijkheid is om op de wachtlijst te komen als adressen weer vrijkomen.
Er zijn geen goede korte termijn oplossingen. Er is echter een markt ontstaan waar niet gebruikte adressen verhandeld worden voor vaak hoge bedragen.
Daarnaast is een technische workaround bedacht (zoals een hulpmiddel bekend als Network Address Translation) dat het mogelijk maakt een IPv4-adres te gebruiken voor meerdere toepassingen, gebruikers of componenten in plaats van de oorspronkelijk bedoelde enkele toepassing, gebruiker of component. Een dergelijke workaround heeft mogelijk enig voordeel zolang IPv6-adressen nog niet veel gebruikt worden, maar beperkt bij verdere digitalisering (Internet of Things, AI) de mogelijkheden op gebied van veiligheid en dienstverlening die IPv6-adressen wel bieden.

Vraag 3

Klopt het dat (semi-)overheidsinstellingen grote hoeveelheden ongebruikte IPv4-adressen bezitten? Ziet u het vrijgeven van dergelijke IPv4-adressen als mogelijke oplossing om de nood op de korte termijn te verlichten?

De overheid heeft in het verleden IPv4-adressen aangevraagd en toegewezen gekregen. In theorie zou de overheid IPv4-adressen die niet meer nodig zijn kunnen verkopen aan andere partijen. Dit is echter onwenselijk en gebeurt dus ook niet, omdat dit zou bijdragen aan het in gebruik blijven van IPv4-adressen en de overgang naar IPv6-adressen belemmert. Deze overgang is dringend gewenst vanwege de verwachte toename van op internet aangesloten apparatuur en programmatuur. Al deze apparatuur en programmatuur moet van een internetadres kunnen worden voorzien.

Vraag 4

Deelt u de mening dat de echte oplossing zit in de overgang naar IPv6? Waar zit nu de belemmering in de overgang naar IPv6? Welke stappen neemt u, in overleg met de sector, om de overgang naar IPv6 te bevorderen? Bent u bereid om hiervoor een deadline af te dwingen?

Ja, de echte oplossing zit in de overgang door alle partijen en gebruikers naar IPv6.
De overgang naar IPv6 vergt investeringen door enerzijds alle leveranciers die de technische componenten ontwikkelen (zoals emailsoftware, netwerkapparatuur voor routering of interconnectie, enz.) en anderzijds de internetgebruikers -zowel organisaties, bedrijven als particulieren- die componenten moeten aanschaffen en installeren. Een bijkomend aspect hierbij is dat een zeer groot deel van de leveranciers buiten Nederland of zelfs de EU gevestigd zijn.
Met andere woorden, aan de overgang naar IPv6 zijn kosten verbonden, terwijl de voordelen, die op het gebied van veiligheid en dienstverlening liggen, pas duidelijk worden naarmate meer partijen overgaan op IPv6. Het dilemma hierbij is wie als eerste start met aanpassen en dus moet investeren. Een toepassing die alle partijen noodzaakt over te gaan op IPv6 adressering, is er niet of nog niet. Dit draagt ook bij aan de situatie dat IPv4 en IPv6-adresseringen lange tijd naast elkaar zullen blijven bestaan.
Gezien het zeer grote aantal private en publieke partijen dat een investering moet doen en deze investering moet inpassen in hun eigen investeringsplannen, laat de overheid het initiatief voor overgang naar IPv6 primair aan deze partijen. Wel stimuleert de overheid al geruime tijd de overgang naar IPv6 door voorlichting via het Platform Internetstandaarden waaraan marktpartijen, bedrijven en overheden deelnemen. Het Platform biedt onder andere kennis aan partijen ter ondersteuning bij de overgang naar IPv6 en daarnaast heeft het Platform de website Internet.nl ontwikkeld waar iedereen de door hem of haar gebruikte website of email voorziening kan laten testen op daadwerkelijk gebruik van onder meer IPv6. De overheid zelf hanteert bij inkopen de «pas toe of leg uit» lijst van standaarden en let er bij aanschaf van telecom en ICT-componenten op dat deze componenten IPv6 gebruiken.
Daarnaast zal op korte termijn een overheidsbrede afspraak gemaakt worden met het Forum Standaardisatie over de inspanningsverplichting om eind 2021 alle overheidswebsites en emailvoorzieningen bereikbaar te maken via IPv6 adressering. De overheid heeft hierin dus een stimulerende rol, geen afdwingende.

Vraag 1

Wat is uw reactie op de recent openbaar gemaakte lijst van personen die de Maltese nationaliteit hebben gekregen tussen 2014 en 2018?1

Maltese regelgeving vereist de jaarlijkse publicatie in de «Government Gazette» van de namen van álle personen die de Maltese nationaliteit hebben verkregen, inclusief buitenlandse investeerders.

Vraag 2

Hoe verhoudt deze lijst met meer dan 10.000 mensen zich, tot het door u genoemde rapport van de «Office of the regulator on the Individual Investor Programme» waaruit zou blijken dat tot november 2018, 961 mensen een paspoort hebben gekocht op Malta?2

Zoals in de beantwoording van vraag3 staat vermeld, zijn de gegevens in de recentelijk openbaar gemaakte lijst gebaseerd op de jaarlijkse publicatie in de «Government Gazette» van alle personen die de Maltese nationaliteit hebben gekregen. Dit kan bijvoorbeeld ook gaan om burgers die zijn genaturaliseerd na een huwelijk. Volgens het nieuwe jaarverslag van genoemd Office hebben tot 1 juli 2019 1.198 vreemdelingen de Maltese nationaliteit gekregen op basis van de investeerdersregeling4.

Vraag 3

Bent u bekend met het feit dat in de afgelopen jaren o.a. de volgende personen een paspoort in Malta gekocht hebben:

De hierboven genoemde namen komen voor op de lijst waarnaar in vraag 1 wordt verwezen. Het kabinet acht de verkoop van paspoorten aan niet-EU burgers, die onder verdenking staan van misdrijven, ongewenst. Deze regeling heeft momenteel de aandacht van de Maltese politiek. Het Kabinet volgt de ontwikkelingen nauwgezet.

Vraag 4

Bent u bekend met het feit dat Daphne Caruana Galizia, de journaliste die in oktober 2017 met een autobom om het leven gebracht is, gewaarschuwd had voor Hurgin8 en Ziu9?

Ja, op haar website, www.daphnecaruanagalizia.com, heeft zij op 20 mei 2016 eerst over Zhongtian Liu (ervan uitgaande dat met Ziu in vraag 4 Liu Zhongtian in vraag 3 wordt bedoeld) bericht en vervolgens op 21 augustus 2016 over Anatoly Hurgin.

Vraag 5

Herinnert u zich dat de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) waarschuwde voor deze paspoorthandel? Welke concrete acties heeft u ondernomen na die waarschuwing van de AIVD en welke resultaten heeft dat tot nu toe opgeleverd?

Ik verwijs naar de brief aan uw Kamer van de Staatssecretaris van Justitie en Veiligheid van 5 november 2019 (ref. kamerstuk 30 573, nr. 177). Daarin is vermeld dat het zorgelijk is indien de Maltese regeling risico’s oplevert voor de (nationale) veiligheid en openbare orde in andere EU lidstaten. Belangrijk is daarom dat bij regelingen van lidstaten waarbij nieuwe ingezetenen het recht krijgen om vrij binnen de EU te reizen (zoals de paspoortregeling van Malta) een toets op gevaar voor (nationale) veiligheid en openbare orde wordt uitgevoerd.
De Europese Commissie heeft naar aanleiding van haar rapport over Investor Citizenship and Residence Schemes van 23 januari 2019 aangegeven dat zij de hierboven genoemde investeerdersregelingen zal monitoren. Bovendien heeft zij een expertgroep in het leven geroepen, waaraan Nederland deelneemt, die de risico’s van deze regelingen nader onderzoekt. Naar aanleiding daarvan bereidt de Commissie een gezamenlijke, juridisch niet bindende, set van veiligheidschecks voor om risico’s op het gebied van veiligheid, witwassen en corruptie tegen te gaan. Op basis van de uitkomst van dit initiatief van de Commissie wil het Kabinet de dialoog – bij voorkeur op EU-niveau – over genoemde regelingen aangaan.

Vraag 6

Herinnert u zich dat u aangaf dat Malta zelf heeft aangegeven dat de due dilligence bij de uitgifte van de paspoorten gewaarborgd is? Deelt u de mening dat dat niet het geval is en kunt u uw antwoord onderbouwen?10

Zoals in het desbetreffende antwoord ook is aangegeven, is dit geen garantie dat er geen paspoort wordt afgegeven aan personen die elders worden verdacht van of zijn veroordeeld voor ernstige strafbare feiten.

Vraag 7

Op welke wijze voert u de aangenomen motie-Verhoeven/Omtzigt11 uit die de regering verzoekt «de deplorabele staat van de rechtsstaat in Malta bij de Europese top aan de orde te brengen en met gelijkgezinde lidstaten een publieke verklaring uit te vaardigen die Malta oproept om de aanbevelingen van de Venetië-Commissie – waarom Malta zelf gevraagd heeft – GRECO en MONEYVAL spoedig uit te voeren, en de Kamer hierover en over de reactie van Malta te informeren»? Wat heeft u gedaan om deze verklaring opgesteld te krijgen?

Zoals reeds gemeld in het verslag van de Europese Raad van 12 en 13 december jl. heeft de Minister-President, in lijn met de motie Verhoeven/Omtzigt over de rechtsstaat in Malta (motie nr. 1497 d.d. 10 december 2019), zijn Maltese evenknie aangesproken over de situatie omtrent de rechtsstaat in Malta. De Minister-President heeft de zorgen van het kabinet en het parlement daarbij overgebracht. De Maltese premier gaf aan dat stappen zijn gezet in het moordonderzoek en dat Malta is begonnen met het uitvoeren van de aanbevelingen van de Raad van Europa. Hij verzekerde verder dat er een strikte scheiding is tussen zijn kantoor en het strafproces. In reactie op het idee een publieke verklaring uit te brengen over de rechtsstaat in Malta, gaven de gelijkgezinde landen aan nu eerst de in gang gezette processen van de Commissie en de Raad van Europa hun werk te willen laten doen.

Vraag 8

Wat heeft de Minister-President besproken met Minister-President Joseph Muscat van Malta tijdens hun uitgebreide onderhoud op de Europese top? Zijn er daar toezeggingen gedaan?12

Zie antwoord vraag 7.

Vraag 9

Bent u ervan op de hoogte dat de internationale organisatie voor onderzoeksjournalisten Joseph Muscat hebben aangewezen als de meest corrupte persoon van 2019?13

Ja.

Vraag 10

Heeft het feit dat Muscat aangewezen is als meest corrupte persoon van 2019 en het feit dat het Europees parlement om zijn aftreden gevraagd heeft, nog enig gevolg voor de andere 26/27 regeringsleiders van de EU? Zo ja, welke en zo nee, waarom niet?14

Bovenstaande heeft betrekking op Malta. Hoewel er geen directe gevolgen zijn voor de andere regeringsleiders in de EU onderstrepen de ontwikkelingen in Malta wel dat de rechtsstaat ook binnen de EU onze voortdurende aandacht behoeft.

Vraag 11

Klopt het dat professor Kochenov nog in november op een gala van de paspoortenfirma Henley&Partners is geweest? Hoe ziet u dit in het kader van het lopende onderzoek naar de belangenverstrengeling van deze professor?15

Van de RUG is begrepen dat de heer Kochenov op 11-13 november 2019 aanwezig is geweest en een bijdrage heeft geleverd aan de door Henley&Partners georganiseerde «Global Citizenship Conference». De eventuele aanwezigheid van de heer Kochenov op het gala wordt meegenomen in het onderzoek. Het is aan medewerkers van instellingen om zelf een afweging te maken of, en zo ja in welke hoedanigheid, zij deelnemen aan activiteiten. Dat naar een specifieke medewerker een onderzoek wordt verricht doet aan dit uitgangspunt niet af. Van de RUG heb ik echter begrepen dat de universiteit de heer Kochenov te verstaan heeft gegeven zijn activiteiten met betrekking tot Malta op te schorten gedurende het onderzoek. Dit laat onverlet dat het kabinet weinig begrip heeft voor de eerdere keuze die de medewerker in onderhavig geval heeft gemaakt.

Vraag 12

Was hij hier aanwezig als professor van de universiteit Groningen of in een andere capaciteit? Wie heeft deze reis betaald? Acht u het gepast dat hij hier aanwezig was en wilt u die vraag ook doorgeven aan de Rijksuniversiteit Groningen?

De Minister van OCW heeft aan de RUG gevraagd deze vragen mee te nemen in het onderzoek naar nevenwerkzaamheden en nevenbelangen van de heer Kochenov. Over de vraagstelling van dit onderzoek is uw Kamer geïnformeerd in de antwoorden op Kamervragen van de leden Omtzigt en Van der Molen (kenmerk: 2019Z26165).

Vraag 13

Kunt u aangeven welke informatie u mist om eerdere Kamervragen binnen de gestelde tijd te beantwoorden?16

Refererend aan de vragen van de leden Groothuizen, Den Boer en Verhoeven (allen D66) aan de Ministers van Buitenlandse Zaken, Justitie en Veiligheid, Financiën, Onderwijs, Cultuur en Wetenschappen en de Staatssecretaris van Justitie en Veiligheid over paspoorthandel op Malta, met kenmerk 2019Z18606, die werden ingezonden op 8 oktober 2019, wil ik u meedelen dat die vragen niet binnen de gestelde termijn konden worden beantwoord. De reden hiervoor is dat beantwoording van de set van 30 vragen een grondig onderzoek en daarna ook interdepartementale afstemming vereiste.

Vraag 14

Kunt u deze vragen een voor een en binnen twee weken beantwoorden?

In verband met de brede interdepartementale afstemming vindt de beantwoording enkele dagen later plaats dan verzocht.

Vraag 1

Bent u bekend met het bericht «DPG Media neemt uitgever Sanoma over: «Twee superreuzen worden één superreus»?1

Ja.

Vraag 2

Kunt u zich eerdere schriftelijke vragen van de leden Sneller en Verhoeven herinneren, over de groeiende macht van DPG Media? Hoe duidt u in dit verband het gegeven dat met de overname van Sanoma door DPG Media, dit het grootste uitgeverijbedrijf in de Nederlandse geschiedenis wordt?

Zoals ik aangaf bij de beantwoording van de Kamervragen waar u naar verwijst, kent Nederland een hybride mediasector waarbij op de dagbladenmarkt al geruime tijd sprake is van een hoge concentratie van eigenaarschap. Onder druk van de digitalisering zoeken mediaorganisaties naar schaalvoordelen in hun productieproces, naar nieuwe bedrijfsmodellen en naar een positie op de markt voor online advertenties. De overname van Sanoma past binnen deze ontwikkeling.

Vraag 3

Wat is uw mening over de visie van DPG Media, dat de overname van onder andere nu.nl deze organisatie «de slagkracht om te groeien ten opzichte van mondiale digitale spelers zoals Google en Facebook» geeft?

Zie antwoord vraag 2.

Vraag 4

Welke effect heeft dergelijke marktconcentratie wat u betreft op de pluriformiteit en competitie binnen het Nederlandse medialandschap? Ziet u het medialandschap als één markt? Zo niet, in welke markten segmenteert u het medialandschap?

Concentratie van eigenaarschap binnen de mediasector kan niet zonder meer gelijk gesteld worden aan inperking van pluriformiteit. Nederland kent op het gebied van media een traditie van zelfregulering waarbij de onafhankelijke positie van redacties middels redactiestatuten wordt vastgelegd. Op basis van de Mediawet is het Commissariaat voor de Media belast met het doen van onderzoek naar de pluriformiteit en onafhankelijkheid van de informatievoorziening in Nederland. Het Commissariaat doet hier jaarlijks verslag van in de vorm van de Mediamonitor.
Voor wat betreft het mededingingstoezicht, zal de ACM bij het beoordelen van een concentratie onderzoeken wat de mogelijke effecten zullen zijn van de voorgenomen concentratie op de mededinging. Hiertoe kijkt de ACM allereerst naar de marktafbakening (productmarkt en geografische markt). Vervolgens onderzoekt zij de mogelijke effecten van de voorgenomen concentratie op deze markten. De toezichthouder kijkt daarbij onder andere naar de marktposities van de betrokken partijen, concurrentiedruk van andere partijen, mogelijke toetreding tot de markt en eventuele afnemersmacht. De ACM ziet dat de mediasector digitaliseert en actief op zoek is naar succesvolle (digitale) businessmodellen. De concurrentiedruk die mogelijk uitgaat van digitale aanbieders van media wordt door de ACM meegenomen in de beoordeling van de gevolgen van de voorgenomen overname. De ACM bekijkt bijvoorbeeld in hoeverre nu.nl – onderdeel van Sanoma – concurreert met de dagbladen van DPG.

Vraag 5

Klopt het dat voor deze fusie toestemming gevraagd dient te worden bij de Autoriteit Consument en Markt (ACM)? Zo ja, op welke termijn zal de ACM hier uitspraken over doen? Zo nee, bent u bereid desondanks toetsing van deze fusie door de ACM te laten plaatsvinden?

Een voorgenomen concentratie moet bij de ACM of de Europese Commissie gemeld worden indien bepaalde omzetdrempels worden behaald. De voorgenomen overname van Sanoma door DPG Media is op 20 december 2019 gemeld bij de ACM. De toezichthouder is gebonden aan een wettelijke beoordelingstermijn van 4 weken. Deze termijn kan onder bepaalde omstandigheden worden verlengd, bijvoorbeeld wanneer de ACM besluit dat er na haar eerste beoordeling nader onderzoek nodig is.

Vraag 6

Welke mogelijkheden ziet u om op dit punt marktmacht te (blijven) controleren? Welke mogelijkheden zijn er om achteraf in te grijpen wanneer blijkt dat een dergelijke fusie onwenselijke effecten heeft voor de diversiteit en competitie binnen het Nederlandse medialandschap? Bent u bereid dit te monitoren of te laten monitoren?

Zoals hierboven genoemd, moet een voorgenomen concentratie bij de ACM gemeld worden indien bepaalde omzetdrempels worden behaald. Dit biedt de mogelijkheid om vooraf onderzoek te doen naar de gevolgen van een voorgenomen concentratie en de marktmacht die hieruit voortvloeit. Op basis van het onderzoek zou de toezichthouder kunnen besluiten een fusie of overname goed te keuren onder voorwaarden, die mogelijke (toekomstige) problemen kunnen wegnemen. Als de markt zich anders ontwikkelt dan nu wordt voorzien en er bestaat een vermoeden van misbruik van een machtspositie, is de ACM bevoegd om onderzoek te doen naar misbruik van een machtspositie.
Zoals aangegeven bij de beantwoording van vraag 4, verricht het Commissariaat voor de Media jaarlijks onderzoek naar ontwikkelingen in de Nederlandse mediasector. Hierbij wordt ook gekeken naar de pluriformiteit en onafhankelijkheid van de Nederlandse media.

Vraag 1

Bent u bekend met het bericht «Dutch Minister urges EU action to fight child pornography online»?1

Ja.

Vraag 2

Wat is de reden dat u, in strijd met het kabinetsstandpunt en antwoorden op eerdere schriftelijke vragen, internationaal een pleidooi houdt voor het verzwakken van encryptie, wat evident niet binnen de kaders van het kabinetsstandpunt past?

Zoals ik heb gemeld in antwoorden op Kamervragen van het lid Verhoeven op 15 november jl. zijn mijn zorgen niet in strijd met het kabinetsstandpunt over encryptie uit 2016.2 Ik streef naar oplossingen die binnen de kaders van het kabinetsstandpunt recht doen aan de belangen van de opsporing en de nationale veiligheid. Daarbij acht ik het onder meer van belang te bezien of een internationale oplossing mogelijk is.
Het breder gebruik van encryptie, onder meer door het instellen als standaard bij communicatie tussen personen, maakt het opsporen van strafbare feiten lastiger en soms onmogelijk. Zoals gemeld in mijn brief van 22 november jl. over de aanpak van online seksueel kindermisbruik ben ik bezorgd over de toekomstige effectiviteit van opsporing naar het vervaardigen, verspreiden of bezitten van kinderporno, zware criminaliteit en terrorisme.3
De integrale aanpak van online seksueel kindermisbruik is een belangrijk speerpunt voor mij, dit misbruik is mensonterend en één van de meest verwoestende vormen van criminaliteit. Vanaf het begin van deze kabinetsperiode wil ik deze spiraal doorbreken, slachtoffers verdienen dat.

Vraag 3

Bent u bereid te stoppen met pleiten voor het verzwakken van encryptiesoftware?

Ik heb niet gepleit voor het verzwakken van encryptiesoftware. Zie verder het antwoord op vraag 4.

Vraag 4

Deelt u de mening dat u niet enerzijds «het belang van encryptie voor de veilige communicatie tussen burger, bedrijf en overheid, de bescherming van de persoonlijke levenssfeer en de toegevoegde waarde voor de digitale economie in Nederland» kunt onderschrijven en anderzijds kunt pleiten voor het afzwakken dan wel terugdraaien van encryptie van communicatie?

Het kabinetsstandpunt uit 2016 benoemt diverse betrokken belangen, waaronder het belang van encryptie voor de veilige communicatie tussen burger, bedrijf en overheid, de bescherming van de persoonlijke levenssfeer en de toegevoegde waarde voor de digitale economie in Nederland. Daarnaast wijst het kabinetsstandpunt op het belang van het (tijdig) verkrijgen van inzicht in de communicatie ten behoeve van de bescherming van de nationale veiligheid en de opsporing van strafbare feiten. In de antwoorden op Kamervragen van het lid Verhoeven van 15 november jl. heb ik erop gewezen dat de mogelijkheid om gegevens in onversleutelde vorm te vorderen bij een dienstverlener minder vaak beschikbaar is. In toenemende mate worden bij moderne toepassingen van encryptie de gegevens nog slechts in versleutelde vorm door dienstverleners verwerkt.
De diverse betrokken belangen staan in bepaalde gevallen met elkaar op gespannen voet. Voor dergelijke gevallen is het nodig oplossingen te vinden die recht doen aan deze belangen en/of waarbij deze belangen zorgvuldig zijn gewogen. Daarvoor heb ik aandacht gevraagd. Zoals gemeld in het antwoord op vraag 2 streef ik naar oplossingen binnen de kaders van het kabinetsstandpunt uit 2016.

Vraag 5

Bent u bereid deze vragen nog deze week te beantwoorden?

Verzending binnen twee werkdagen bleek helaas niet haalbaar. De vragen zijn wel met spoed beantwoord.

Vraag 1

Bent u bekend met het bericht «Tientallen camera's houden klanten van filiaal Jumbo in de gaten: «Willen we dit?'»?1

Ja.

Vraag 2

Kunt u een overzicht geven van het wettelijke kader aangaande het gebruik van gezichtsherkenning door bedrijven, inclusief relevante artikelen in de Algemene verordening gegevensbescherming (AVG)?

In de AVG worden aan het gebruik van gezichtsherkenning eisen gesteld, omdat de verwerking bijzondere (biometrische) persoonsgegevens betreft. Op grond van artikel 9, eerste lid, AVG is de verwerking van biometrische gegevens met het oog op de unieke identificatie van een persoon in beginsel verboden. Het verbod geldt niet indien de verwerkingsverantwoordelijke zich baseert op een van de uitzonderingen van artikel 9, tweede lid, AVG. Van deze uitzonderingen zijn die onder a en g relevant in relatie tot gezichtsherkenning. De onder a bedoelde uitzondering betreft het geval waarin betrokkene uitdrukkelijk toestemming voor toepassing van gezichtsherkenning voor een of meer welbepaalde doeleinden heeft gegeven. De onder g bedoelde uitzondering heeft betrekking op gezichtsherkenning die noodzakelijk is om redenen van zwaarwegend algemeen belang, door de nationale wetgever is toegestaan en aan bepaalde onder g genoemde voorwaarden voldoet. Op basis daarvan stelt artikel 29 Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG) dat het verbod om biometrische gegevens te verwerken niet van toepassing is, indien de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden. In mijn brief «Voornemens met betrekking tot de UAVG en AVG» van 31 oktober 20192 heb ik uw Kamer meegedeeld het voornemen te hebben de UAVG te wijzigen en in artikel 29 UAVG expliciet het belang te benoemen dat in de rechtspraktijk noodzakelijk kan maken om biometrische gegevens te verwerken voor authenticatie en beveiligingsdoeleinden. Verder moet de betrokkene in het geval van een expliciete toestemming altijd de optie hebben om te weigeren, maar niettemin gebruik kunnen blijven maken van de dienst.
Ter uitvoering van de recente motie van de leden Verhoeven (D66) en Van Dam (CDA) over gezichtsherkenning3 zal ik de Tweede Kamer een brief doen toekomen waarin ik verder in ga op het juridisch kader rond het gebruik van gezichtsherkenningstechnologie en zal ik daarbij ook stilstaan bij andere wet- en regelgeving dan de AVG en UAVG die voor toepassing van gezichtsherkenning relevant is, zoals de Richtlijn gegevensbescherming bij opsporing en vervolging en de Wet politiegegevens. In deze brief wordt ook uitgebreid ingegaan op het gebruik van gezichtsherkenning door bedrijven.

Vraag 3

Deelt u de mening dat dit praktijkvoorbeeld van de Jumbowinkel evident in strijd is met de AVG?

Toezicht op de naleving van de AVG is belegd bij de Autoriteit Persoonsgegevens (AP). Het is daarom niet aan mij als Minister voor Rechtsbescherming, maar aan AP om te beoordelen of dit praktijkvoorbeeld binnen de grenzen van de AVG past.

Vraag 4

Zijn er praktijkvoorbeelden van gezichtsherkenning die zijn goedgekeurd door de rechter of de Autoriteit Persoonsgegevens en dus «AVG-proof» zijn?

Alleen als er een aanleiding is om de rechtmatigheid van een verwerking te beoordelen zal de AP of een rechter hierover een oordeel vellen. Een dergelijke rechtmatigheidsbeoordeling is echter breder dan een toetsing op basis van de AVG en bevat ook een toetsing op basis van andere wetten.
De AP heeft normenkaders en beleidsregels opgesteld voor specifieke toepassingen van gezichtsherkenningstechnologie, zoals het normenkader digitale billboards. Hier geeft de AP aan onder welke omstandigheden het gebruik van gezichtsherkenningstechnologie eventueel legitiem zou kunnen zijn. Daarnaast heeft het Hof van Justitie van de Europese Unie in een recente uitspraak in een Nederlandse zaak4, met betrekking tot de afname en verwerking van biometrische gegevens (in dit geval een gezichtsopname en vingerafdrukken) van vreemdelingen, geoordeeld dat het voorkomen en bestrijden van identiteits- en documentfraude een goede reden kan zijn om het afnemen van biometrische gegevens verplicht te stellen. De betreffende inbreuk mag echter niet verder gaan dan nodig is om het nagestreefde doel te bereiken en mag geen onevenredige inbreuk vormen op het recht op de persoonlijke levenssfeer bij de verwerking van persoonsgegevens. Het Hof van Justitie van de Europese Unie heeft geoordeeld dat in dit geval aan deze voorwaarden is voldaan.

Vraag 5

Bent u bereid om bedrijven te informeren over het wettelijk kader omtrent gezichtsherkenning?

Bedrijven moeten zich primair zelf op de hoogte stellen van toepasselijke regels, en die toepassen op hun eigen situaties, zoals bij de (in het antwoord op vraag5 vermelde toets of binnen de grenzen van de privacywetgeving wordt gehandeld. De AP heeft verder een Informatie- en Meldpunt privacy, waar ook vragen over de AVG kunnen worden gesteld. Verder ben ik voornemens om, wanneer de in het antwoord op vraag 2 genoemde brief aan de Kamer is toegezonden, deze onder de aandacht te brengen van de bij het Nationaal Platform Criminaliteitsbeheersing aangesloten leden.

Vraag 1

Kent u het bericht «Paspoortscanner op mobieltje vormt risico voor identiteitsfraude»?1

Ja, ik ben bekend met dit bericht.

Vraag 2

Erkent u de risico’s voor identiteitsfraude die ontstaan nu er simpele telefoonapps bestaan die de chip op een paspoort kunnen scannen en uitlezen? Zo ja, wat doet u om deze risico’s te minimaliseren? Zo nee, waarom niet?

Steeds meer telefoons beschikken tegenwoordig over de technologie om via NFC2 chips uit te lezen. Met deze ontwikkeling zijn er ook apps gekomen die het uitlezen van de chip op paspoorten mogelijk maken. Het bestaan van deze telefoonapps introduceert echter geen nieuwe risico’s. Bij het uitlezen van de chip zijn dezelfde persoonsgegevens zichtbaar als bij het tonen van een paspoort of het verstrekken van een kopie. Bij het verstrekken van informatie uit een paspoort moet goed worden opgelet aan wie die informatie wordt verstrekt en waarom. Dit is ongeacht of het paspoort wordt getoond, gekopieerd of gescand.
De chip in paspoorten (en identiteitskaarten) is ingericht en beveiligd volgens de internationaal afgesproken standaarden. Hierdoor kan de chip wereldwijd geraadpleegd worden voor identificatie bij bijvoorbeeld een grensovergang. Daarnaast wordt de chip van paspoorten door veel overheidsinstanties geraadpleegd voor een efficiënte en foutloze verwerking van persoonsgegevens.
De chip op paspoorten kan alleen uitgelezen worden met behulp van een sleutel op basis van de machineleesbare strook (ook wel MRZ genoemd). Deze sleutel is alleen te raadplegen wanneer de MRZ zichtbaar is, daarvoor moet het document getoond of overhandigd worden. Hiermee wordt voorkomen dat deze chips door ieder willekeurig persoon van een afstand kunnen worden uitgelezen. De telefoonapps maken ook gebruik van de sleutel op basis van de MRZ om de chip te openen. De vingerafdrukken kunnen niet worden uitgelezen, die zijn extra versleuteld volgens de afspraken binnen de Europese Unie.

Vraag 3

Wat is uw reactie op het standpunt van de Autoriteit Persoonsgegevens dat het uitlezen van het burgerservicenummer (bsn) met name een risico vormt, waarbij bijvoorbeeld een bankrekeningnummer onder een valse naam geopend zou kunnen worden?

Aan alleen een burgerservicenummer (BSN) kunnen geen rechten worden ontleend. Wanneer er sprake is van identiteitsfraude zijn er meer persoonsgegevens bekend en gaat het bijvoorbeeld om de combinatie van NAW-gegevens (naam, adres en woonplaats) en/of bankgegevens. Het BSN is een administratief nummer en kan niet op zichzelf bepalend zijn voor de identificatie van personen.
In geval van het openen van een bankrekening moet een bank altijd een cliëntenonderzoek doen en als onderdeel hiervan de identiteit van de aanvrager controleren. Alle banken die in Nederland zaken doen zijn dit verplicht. Dit heeft als doel witwassen en financiering van terrorisme tegen te gaan. Deze identiteitscontrole is breder dan alleen controle op het BSN.

Vraag 4

Beschikken de app-makers na het scannen van een paspoort zelf over de paspoortgegevens? Kan op basis van dit soort scans in feite een database gemaakt worden met persoonsgegevens van Nederlanders? Ziet u hier een risico op identiteitsfraude? Zo nee, waarom niet? Zo ja, wat doet u om dit tegen te gaan?

Het is mogelijk dat app-makers op deze manier over paspoortgegevens kunnen beschikken. Net als met iedere andere app bestaat er een mogelijkheid dat de maker een database opbouwt met informatie over personen die de app gebruiken. In geval van kwaadwillenden zou dit kunnen leiden tot identiteitsfraude. Op dit moment is er bij mij geen geval van identiteitsfraude bekend als gevolg van het gebruik van een app die de chip in paspoorten scant. Vanzelfsprekend is het belangrijk dat men goed let op wat voor apps op een telefoon worden geplaatst en of het nodig is daarmee identiteitsbewijzen uit te lezen dan wel persoonsgegevens daarin op te geven.
Verwerking van persoonsgegevens moet voldoen aan de AVG. De AVG geldt ook voor partijen die apps aanbieden voor mobiele telefoons. In de gebruikersvoorwaarden moeten de app-makers dus duidelijk aangeven of en welke persoonsgegevens zij verwerken en hoe zij daarmee omgaan.
Zoals ik in mijn Kamerbrief van 30 september jl.3 vermeldde, zie ik dat met de toename van het digitaal uitlezen van paspoorten en identiteitskaarten het niet altijd duidelijk is of het BSN wordt verwerkt of niet. Dit is vooral het geval bij de digitalisering van processen bij organisaties die persoonsgegevens uit paspoorten en identiteitskaarten verwerken voor hun administratie. Daarom heb ik bij de verplaatsing van het BSN naar de QR-code besloten het BSN ook niet in de chip terug te laten komen. De QR-code is dan de enige manier om het BSN geautomatiseerd te verwerken en er staan in de QR-code geen andere gegevens opgenomen dan het BSN. Daardoor is het duidelijker wanneer het BSN wordt verwerkt of niet. Vanzelfsprekend blijf ik ontwikkelingen op het gebied van identiteitsfraude volgen om te bepalen of er maatregelen nodig zijn.

Vraag 5

Kunt u toelichten waarom u certificering of toestemming voor het op de markt brengen van deze chiplezers niet nodig acht?

Scanapparatuur van paspoorten en identiteitskaarten wordt gebruikt bij veel verschillende instanties die personen moeten identificeren of de persoonsgegevens uit een paspoort of identiteitskaart verwerken. Voor verwerking van persoonsgegevens is de AVG leidend. Ook apps die persoonsgegevens verwerken moeten aan de AVG voldoen.
Certificering of toestemming van scanapparatuur / chiplezers betekent extra voorschriften en toezicht naast de AVG. Dit leidt tot een grote toename aan administratieve lasten die niet in verhouding staat tot het risico dat hier aan de orde is. Tot op heden heb ik geen signalen ontvangen van identiteitsfraude als gevolg van het gebruik van deze apparatuur.

Vraag 6

Hoe beoordeelt u het risico op identiteitsdiefstal bij het plaatsen van een QR-code op paspoorten? Bent u het eens met de uitspraak van Maarten Wegdam, ceo van ReadID, dat dit de kans op identiteitsdiefstal vergroot omdat het makkelijker te vervalsen is dan een chip? Zo nee, waarom niet?

De QR-code is zelf geen echtheidskenmerk, maar wel onderdeel van een identiteitskaart of een paspoort met meerdere echtheidskenmerken. Op het moment dat de QR-code wordt vervalst of gemanipuleerd komt de uitgelezen informatie niet meer overeen met de informatie op het paspoort of de identiteitskaart. Daarom ben ik het niet eens met de uitspraak dat de QR-code de kans op identiteitsdiefstal vergroot omdat een QR-code makkelijker te vervalsen is dan een chip.

Vraag 7

Wat is uw reactie op de uitspraak van Vincent Böhre van Privacy First dat een QR-code nog steeds makkelijk is uit te lezen en dat het bsn volledig moet verdwijnen van paspoorten en andere legitimatiebewijzen?

Het BSN staat op Paspoorten en identiteitskaarten, omdat BSN-verwerkende instanties wettelijk verplicht zijn te controleren of een BSN hoort bij de persoon waarvan de persoonsgegevens worden verwerkt. Het weglaten van het BSN op deze documenten verplaatst de risico’s naar het alternatief dat dan gebruikt wordt om aan deze wettelijke controleplicht te voldoen.
De QR-code is bedoeld om het BSN eenvoudig en efficiënt uit te kunnen lezen door BSN-verwerkende instanties terwijl het BSN niet meer in de MRZ op de voorzijde van de houderpagina van paspoorten vermeld staat. Burgers hoeven het BSN dan niet meer onleesbaar te maken op een kopie van het paspoort wanneer het BSN niet noodzakelijk is voor de ontvangende instantie. Dit voorstel heb ik getoetst bij de Autoriteit Persoonsgegevens. De uitkomsten daarvan heb ik met uw Kamer gedeeld op in mijn brief van 30 september jl.4
Zoals ik in vraag 3 al opgemerkt heb kunnen aan het BSN alleen geen rechten worden ontleend. Wanneer er sprake is van identiteitsfraude zijn er meer persoonsgegevens bekend. Het volledig weglaten van het BSN draagt overigens niet bij aan de oplossing van identiteitsfraude met gegevens van paspoorten en identiteitskaarten. Identiteitsfraude is vooral het gevolg van onjuiste of onvolledig uitgevoerde identificatieprocessen. Bijvoorbeeld door de identificatie te baseren op een kopie van een paspoort. Bestrijding van identiteitsfraude moet ten eerste gezocht worden in de robuustheid van identificatieprocessen. Binnen deze processen moet voldoende aandacht zijn voor controle van de identiteit en de echtheidskenmerken op een paspoort of identiteitskaart.

Vraag 1

Bent u bekend met het bericht «Minister bezorgd om versleuteling Facebook»?1

Ja.

Vraag 2

Bent u bekend met het kabinetsstandpunt over versleuteling?2

Ja.

Vraag 3

Wanneer gaat u naar Washington om met uw Amerikaanse collega over deze kwestie te praten?

Ik ben van 4 tot en met 7 december 2019 op werkbezoek in de Verenigde Staten.

Vraag 4

Gaat u tijdens uw gesprek dit kabinetsstandpunt overbrengen en niet uw zorgen die in strijd zijn met dit kabinetsstandpunt?

Mijn zorgen zijn niet in strijd met het kabinetsstandpunt uit 2016. In het kabinetsstandpunt wordt onder meer gemeld dat encryptie het (tijdig) verkrijgen van inzicht in de communicatie ten behoeve van de bescherming van de nationale veiligheid en de opsporing van strafbare feiten bemoeilijkt, vertraagt of onmogelijk maakt. Dit geldt bijvoorbeeld voor de opsporing naar het vervaardigen, verspreiden of bezitten van kinderporno, zware criminaliteit en terrorisme. De mogelijkheid om gegevens in onversleutelde vorm te vorderen bij een dienstverlener is minder vaak beschikbaar. In toenemende mate worden bij moderne toepassingen van encryptie de gegevens nog slechts in versleutelde vorm door dienstverleners verwerkt.
Daarnaast vermeldt het kabinetsstandpunt het belang van encryptie voor de veilige communicatie tussen burger, bedrijf en overheid, de bescherming van de persoonlijke levenssfeer en de toegevoegde waarde voor de digitale economie in Nederland.
Ik zal de diverse betrokken belangen en de conclusie uit het kabinetsstandpunt dat het niet wenselijk is om beperkende wettelijke maatregelen te nemen ten aanzien van de ontwikkeling, de beschikbaarheid en het gebruik van encryptie binnen Nederland onder de aandacht brengen.

Vraag 5

Bent u ook bezorgd over het afzwakken van versleutelingssoftware waardoor buitenlandse mogendheden en criminelen toegang kunnen krijgen tot de privécommunicatie van mensen?

Ik onderschrijf het belang van encryptie voor de veilige communicatie tussen burger, bedrijf en overheid, de bescherming van de persoonlijke levenssfeer en de toegevoegde waarde voor de digitale economie in Nederland. Goede encryptie helpt Nederlandse burgers en organisaties zich te beschermen tegen buitenlandse mogendheden en criminelen. Ik streef daarom naar oplossingen die binnen de kaders van het kabinetsstandpunt recht doen aan de belangen van de opsporing en de nationale veiligheid. Daarvoor is samenwerking en overleg met publieke en private belanghebbenden noodzakelijk.