Vraag 1

Bent u bekend met het bericht «Ambtenaar vervalste meerdere rapporten over beveiliging DigiD-aansluiting» van security.nl van 14 juni 2023?1

Ja.

Vraag 2

In opdracht van wie heeft deze ambtenaar deze taken uitgevoerd?

De betreffende ambtenaar voerde zijn taken uit in dienst van Justis. De vervalsing van rapporten maakte daar vanzelfsprekend geen onderdeel van uit.

Vraag 3

Is hier het vierogenprincipe gebruikt door een andere persoon? Zo ja, is deze persoon in zicht en zo nee, kunt u uitleggen waarom geen gebruik is gemaakt van het vierogenprincipe?

Voor het betreffende proces binnen Justis werd tot maart 2023 geen gebruik gemaakt van het vierogenprincipe. De invoering van het vierogenprincipe is wel één van de verbeteracties die naar aanleiding van dit incident is doorgevoerd.

Vraag 4

Heeft de desbetreffende ambtenaar ook op andere ministeries gewerkt? Zo ja, op welke?

Nee.

Vraag 5

Is er aan de hand van het digitaal forensisch onderzoek aanleiding om ook binnen andere ministeries en uitvoeringsorganisatie te onderzoeken of daar ook dergelijke praktijken plaatsvinden of hebben gevonden?

Er is naar aanleiding van het uitgevoerde digitaal forensisch onderzoek geen reden om aan te nemen dat bij andere ministeries of uitvoeringsorganisaties dergelijke praktijken plaatsvinden of hebben gevonden. Zie voor de volledigheid ook het antwoord op vraag 6.

Vraag 6

Welke structurele oplossingen ziet u om dit in de toekomst te voorkomen?

Op dit moment is het zo dat organisaties bij het gebruik van DigiD jaarlijks moeten aantonen dat zij aan 21 informatieveiligheidseisen voldoen. Sinds 1 januari 2023 vindt digitale ondertekening plaats op de elektronisch ingediende assessments door de onafhankelijke auditor. Zonder deze digitale ondertekening neemt Logius de assessments niet in behandeling. Elke vorm van bewerking in het digitale document, nadat er is getekend, zorgt ervoor dat de geldigheid van de digitale handtekening komt te vervallen. In de afgelopen assessmentronde werd 98% van de assessments digitaal ingediend. Vanaf 1 januari 2024 kunnen assessments uitsluitend digitaal worden ingediend. Hiermee wordt manipulatie van assessments, of rapporten daarover, zo goed als onmogelijk gemaakt. Na de constatering van de manipulatie is bij Justis het auditproces verbeterd en aangescherpt, zo is bijvoorbeeld het vierogenprincipe ingevoerd (zie ook de beantwoording van de vragen 3 en 10).

Vraag 7

Wat is er in het rapport voor Suwinet van 2020 aangepast en waarom?

In de aangepaste versies zijn meerdere bevindingen van de Suwinet-auditrapportages afgezwakt of weggelaten. Hierbij zijn sommige negatieve bevindingen aangepast zodat deze positiever overkomen of zijn deze bevindingen volledig weggelaten. Voor meer specifieke informatie verwijs ik naar de managementsamenvatting van het forensisch digitaal onderzoek van Fox-IT, dat ik uw Kamer eerder toestuurde.2 De vraag waarom deze wijzigingen op de originele auditrapportage van de ADR zijn gemaakt, is geen onderdeel geweest van het digitaal forensisch onderzoek van Fox-IT.

Vraag 8

Wat zijn de verschillen tussen de beveiligingsassessments van DigiD die de Auditdienst Rijk (ADR) aan Justis levert en de beveiligingsassessments die Justis naar Logius stuurt? Is de informatieveiligheid in gevaar geweest en/of zijn er gegevens gelekt?

In de rapporten zijn oordelen van de ADR dat de toepassing van een beveiligingsnorm «niet voldoet» aangepast naar «voldoet». Op dit moment zijn er geen signalen die wijzen op concreet gevaar voor de informatieveiligheid of het lekken van gegevens. In de tweede fase van het onderzoek wordt een risico-inschatting gemaakt naar aanleiding van de gemaakte wijzigingen in de DigiD-auditrapportages. Na het afronden van deze fase zal naar verwachting meer duidelijk zijn over de risico’s die op het gebied van informatieveiligheid hebben bestaan.

Vraag 9

Kan de Staatssecretaris ons mededelen of de weggestuurde persoon betrokken was bij de opzet van de exploited audit en zo ja, welke andere personen in een identieke rol betrokken waren, of mogelijk betrokken zijn? En zijn deze personen ook betrokken bij het implementeren van de reparatie van deze exploit?

Voor de beantwoording van deze vraag interpreteer ik de term «exploited audit» als «het (frauduleus) aanpassen van de bedoelde rapportages». In die context kan ik bevestigen dat de bedoelde persoon inderdaad was betrokken. Zoals ook uit het onderzoek van Fox-IT blijkt, zijn er echter geen sporen aangetroffen die aantonen dat anderen op de hoogte zijn geweest van de aanpassingen of betrokken zijn geweest bij het aanpassen of namaken van de rapporten. Bij de implementatie en reparatie zijn dus geen medewerkers betrokken die ook betrokken waren bij de aanpassing of het namaken van rapporten.

Vraag 10

Zien de toegezegde vervolgacties op de verbetering van de interne auditfunctie of op de compliance office bij Justis zelf?

De vervolgacties zien op het aanscherpen en verbeteren van het auditproces binnen Justis, om manipulatie van assessments, of rapporten daarover, zo goed als onmogelijk te maken (zie ook mijn antwoorden op vragen 3 en 6).
Er vinden op dit moment nog twee onderzoeken plaats: het onderzoek naar risico’s zoals benoemd in het antwoord op vraag 8 en een onderzoek naar hoe dit heeft kunnen gebeuren. Het is mijn verwachting dat ook hieruit concrete aanbevelingen komen voor verdere verbeteringen om soortgelijke situaties in de toekomst te voorkomen.

Vraag 11

Is er vastgesteld of de betrokken fraudeur ook andere mogelijke exploits heeft gezocht bij Justis en bij Suwinet in die vijf jaren?

Voor de beantwoording van deze vraag interpreteer ik de term «exploits» als «het (frauduleus) aanpassen van rapportages». In die context kan ik u melden dat uit het digitaal forensisch onderzoek niet is gebleken dat dit het geval is.

Vraag 12

Heeft het onderzoek kunnen vaststellen of deze medewerkers ook zicht en vermoedens hebben gehad dat deze medewerker deze vervalsingen kon en wilde aanleggen?

Voor de beantwoording van deze vraag interpreteer ik de term «deze medewerkers» als «alle medewerkers van Justis behalve betrokkene». Tijdens het onderzoek van Fox-IT zijn geen sporen aangetroffen die erop wijzen dat anderen dan betrokkene op de hoogte waren van de aanpassingen in de rapporten, of betrokken waren bij het aanpassen of namaken van de rapporten.

Vraag 1

Bent u bekend met het rapport van de Algemene Rekenkamer «Digitale identiteit voor burgers: doelen behaald, maar nog onduidelijkheid over toekomstige inlogmiddelen» van de Algemene Rekenkamer van 29 maart 2023?1

Ja, ik ben bekend met het bericht en het betreffende rapport van de Algemene Rekenkamer.

Vraag 2

Deelt u de mening dat het onwenselijk is dat door strengere beveiligingsmaatregelen, die per 1 juli met de ingang van de Wet digitale overheid ingaan, een grote groep burgers, die normaal gebruik maakt van sms-codes om in te loggen bij DigiD, dit straks niet meer kunnen omdat het technisch aansluitpunt dat moet komen zodat uitvoerende organisaties zoals de UWV, de Belastingdienst en gemeenten slechts op één centraal punt aan hoeven te sluiten, er nog niet is?

Op 1 juli aanstaande zijn er nog geen directe gevolgen voor burgers en bedrijven voor de digitale toegang tot de overheidsdienstverlening op grond van de Wet Digitale Overheid (WDO). Inloggen met SMS blijft op 1 juli beschikbaar.
De Wet Digitale Overheid zal op 1 juli 2023 gefaseerd in werking treden. De wet vormt onder andere de juridische basis voor het nog in ontwikkeling zijnde stelsel Toegang. Het stelsel Toegang maakt het technisch mogelijk dat in de nabije toekomst kan worden ingelogd met zowel publieke inlogmiddelen, zoals DigiD, als met erkende private middelen. Deze middelen dienen te beschikken over de vereiste betrouwbaarheidsniveaus, conform de eIDAS-verordening, hetgeen nu in de wet is vastgelegd. De dienstverleners bepalen zelf op welk betrouwbaarheidsniveau een burger of bedrijf moet inloggen.
Hogere betrouwbaarheidsniveaus maken de dienstverlening veiliger en maken een nauwkeuriger identiteitsvaststelling mogelijk, maar vragen altijd nadrukkelijke aandacht voor digitale toegankelijkheid voor burgers. De afweging tussen veiligheid en toegankelijkheid staat daarom centraal bij de doorontwikkeling van inlogmiddelen en bij het onderzoek naar de toepassing van hogere betrouwbaarheidsniveaus.
Voor burgers kan het lastig zijn om volwaardig digitaal mee te doen. Er moet om die reden altijd een goed werkend en toegankelijk fysiek alternatief zijn om in contact te treden met publieke dienstverleners. Burgers kunnen bij digitale dienstverlening onder andere geholpen worden bij de Informatiepunten Digitale Overheid (IDO’s) en de helpdesk van DigiD en eHerkenning. Daarnaast ben ik bezig met het verder ontwikkelen van voorzieningen voor digitaal machtigen en vertegenwoordigen, zodat een burger ook aan iemand anders kan vragen iets voor hem of haar te regelen.
Het is belangrijk dat inloggen met DigiD bij de overheid en bij andere organisaties veilig, betrouwbaar en toegankelijk is en blijft. Voor veel overheidsdiensten loggen mensen nu in met de DigiD-app of een SMS-code naast hun gebruikersnaam en wachtwoord. Daarbij merk ik op, zoals ik eerder al aan uw Kamer heb gemeld2, dat de mogelijkheid om in te loggen via SMS-authenticatie vooralsnog behouden blijft. Ik heb aangegeven dat ik in overleg met uw Kamer zal treden voordat er wijzigingen plaatsvinden in dit beleidsuitgangspunt.

Vraag 3

Deelt u de mening dat dat dit een potentieel maatschappelijk ontwrichtende werking heeft als dit aansluitpunt niet voor 1 juli 2023 gereed is en er niet meer ingelogd kan worden bij verschillende organisaties?

U geeft aan dat bij de ontwikkeling van het nieuwe stelsel een centraal aansluitpunt ontbreekt. In plaats van een centraal aansluitpunt wordt gewerkt aan een standaard koppelvlak waarop publieke dienstverleners kunnen aansluiten.
Er wordt momenteel gewerkt aan dit koppelvlak. Belangrijk is te benadrukken dat de aansluiting van publieke dienstverleners op het nieuwe stelsel Toegang niet in één keer, maar geleidelijk gaat. Dienstverleners sluiten na zorgvuldige voorbereiding geleidelijk aan op het stelsel Toegang. Deze geleidelijke aansluiting is voorzien in de periode 2024–2026 en zal worden vastgelegd in een aansluitschema.
Zolang een dienstverlener niet is aangesloten op het nieuwe technische stelsel zal de bestaande techniek met inloggen via DigiD en eHerkenning beschikbaar zijn.

Vraag 4

Zo ja, wat gaat u doen om er voor te zorgen dat deze grote groep burgers wél gebruik kan (blijven) maken van de digitale faciliteiten van de overheid? Met andere woorden, wat gaat u doen om voor 1 juli 2023 dat aansluitpunt wel te regelen?

Zie de antwoorden op vraag 2 en 3.

Vraag 5

In hoeverre is het niet nakomen van het organiseren van een ordentelijk aansluitpunt in strijd met de wet Markt en Overheid?

Zoals in vraag 3 geantwoord wordt momenteel gewerkt aan een standaard koppelvlak. Het aansluiten op het stelsel Toegang heeft zijn basis in de Wet Digitale Overheid.

Vraag 6

Kunt u deze vragen voor het wetgevingsoverleg dat gepland staat op 13 juni a.s. over de Slotwet 2022, Jaarverslag 2022 en rapport resultaten verantwoordingsonderzoek 2022 ARK over het Ministerie van JenV, BZK en van EZK, voor zover het onderwerpen betreft die zien op digitalisering, beantwoorden?

Ja.

Vraag 1

Kent u het artikel «Dat zijn toch gewoon ál onze artikelen?»1

Ja.

Vraag 2

Kunt u bevestigen dat ChatGPT zijn taalmodel traint op basis van miljoenen onrechtmatig verkregen documenten van Docplayer.nl?

Ik beschik niet over informatie over de manier waarop ChatGPT gegevens verwerkt. Ik deel de zorg of gegevensverwerking door ChatGPT in overeenstemming met de regels van het gegevensbeschermingsrecht plaatsvindt. Ik vind het dan ook een goede zaak dat de Autoriteit Persoonsgegevens (AP), als toezichthouder op de naleving van de Algemene Verordening Gegevensbescherming (AVG), op 7 juni jl. bekend heeft gemaakt dat zij OpenAI per brief om opheldering heeft gevraagd over ChatGPT.2 De AP schrijft op haar website dat zij van OpenAI wil weten welke data worden gebruikt om het algoritme te trainen op welke manier dat gebeurt. Verder schrijft de AP zorgen te hebben omtrent informatie over mensen die GPT gebruikt. De gegenereerde inhoud kan onnauwkeurig zijn, verouderd, onjuist, ongepast, beledigend, of aanstootgevend en kan een eigen leven gaan leiden. Of en zo ja hoe OpenAI die gegevens kan rectificeren of verwijderen, vindt de AP nog onduidelijk, zo volgt uit haar bericht.

Vraag 3

Klopt het dat die documenten vol staan met onder andere BSN-nummers, persoonlijke belastingaangiftes, curricula vitae en andere persoonsgegevens?

Zie antwoord vraag 2.

Vraag 4

Deelt u de stelling uit het artikel: «De persoonlijke informatie van docplayer.nl was op de website zélf al in strijd met de wet, laat staan wanneer die ook nog eens in chatbots wordt verwerkt»? Zo nee, waarom niet?

Er is mij onvoldoende bekend over docplayer.nl om hierover stelling in te nemen. Dat is ook niet de taak van het kabinet; de toezichthouder op de verwerking van persoonsgegevens dient dat in de eerste plaats te beoordelen, of het Openbaar Ministerie indien wordt vermoed dat sprake is van strafbare feiten.

Vraag 5

Klopt het dat ChatGPT hiermee onrechtmatig en onwettig persoonsgegevens verwerkt?

Het kabinet deelt de zorgen van uw Kamer over de risico’s die generatieve AI-systemen, zoals ChatGPT, met zich mee kunnen brengen voor onder meer privacy, desinformatie en manipulatie. We zetten ons als kabinet vol in op het nemen van passende stappen op dit onderwerp.
Het kabinet werkt momenteel aan een visietraject over generatieve AI, zoals verzocht door uw Kamer middels de motie van de leden Dekker-Abdulaziz en Rajkowski. Deze visie wordt op een transparante wijze ontwikkeld en getoetst in diverse sectoren. U ontvangt deze visie voor het einde van het jaar. Over de voortgang is uw Kamer op 7 juli jl. al separaat geïnformeerd3. In deze visie formuleert het kabinet een standpunt over generatieve AI, waar ook een van de meest gebruikte generatieve AI-tools onder valt: ChatGPT. Ook wordt uiteengezet welk handelingsperspectief de Nederlandse overheid heeft om te waarborgen dat deze technologie op een verantwoorde manier in onze samenleving wordt ingebed.
Nederland speelt daarnaast een actieve rol in de onderhandelingen over zowel de AI-verordening van de EU als het AI-verdrag van de Raad van Europa. De AI-verordening stelt specifieke eisen aan de ontwikkelaars en gebruikers van hoog-risico AI-systemen, bijvoorbeeld als het gaat om transparantie en productveiligheid. Wij vinden het – net als het Europees Parlement – van belang dat er in deze wet speciale aandacht is voor foundation models en generatieve AI, zoals GPT en ChatGPT. Het kabinet zet zich ervoor in dat deze wet zo snel mogelijk wordt aangenomen.
De AP heeft mij geïnformeerd dat het samenwerkingsverband van Europese privacytoezichthouders (EDPB) op 13 april heeft besloten om, naar aanleiding van het Italiaanse optreden tegen OpenAI inzake ChatGPT, een taskforce in te stellen. Deze taskforce heeft tot doel de samenwerking en informatie-uitwisseling over mogelijke handhavingsmaatregelen te bevorderen. Alle Europese privacytoezichthouders zijn in dit samenwerkingsverband vertegenwoordigd, dus ook de AP. Generatieve AI, zoals het grote taalmodel artificiële intelligentie (AI) systeem ChatGPT, is een grensoverschrijdend fenomeen dat vraagt om een geharmoniseerde aanpak. Daarom hecht de AP grote waarde aan een effectief gezamenlijk optreden van de Europese privacytoezichthouders. Of ChatGPT rechtmatig persoonsgegevens verwerkt, is uiteindelijk ter beoordeling van de toezichthouders.

Vraag 6

Hoe oordeelt u daarover? Wat gaat u er aan doen?

Zie antwoord vraag 5.

Vraag 7

Klopt het dat ChatGPT voor zijn taalmodel ongeveer net zoveel geleerd heeft van de neonazistische website Stormfront als van de website van RTL Nieuws?2

Vraag 8

Hoe oordeelt u daarover? Wat gaat u er aan doen?

Vraag 9

Klopt het dat ChatGPT gebruik heeft gemaakt van onder andere 594.000 NRC artikelen en 162.000 Volkskrant artikelen?

Vraag 10

Deelt u de mening dat ChatGPT hiermee inbreuk maakt op het auteursrecht?

Dat valt niet op voorhand te zeggen. Op grond van artikel 25a, derde lid, van de Auteurswet wordt onder tekst- en datamining verstaan een geautomatiseerde analysetechniek die gericht is op de ontleding van tekst en gegevens in digitale vorm om informatie te genereren zoals, maar niet uitsluitend, patronen, trends en onderlinge verbanden. De definitie is ruim en omspant waarschijnlijk ook het trainen van generatieve artificiële intelligentie zoals ChatGPT. In principe is voor iedere reproductie van een werk van letterkunde, wetenschap of kunst voorafgaande toestemming van de maker of zijn rechtverkrijgende nodig. Zonder die toestemming wordt inbreuk op het auteursrecht gemaakt. Artikel 15o van de Auteurswet voorziet echter in een uitzondering op het reproductierecht voor tekst- en datamining. Aan de inroepbaarheid van die uitzondering zijn twee voorwaarden verbonden. In de eerste plaats moet de degene die zich op de uitzondering beroept rechtmatig toegang hebben tot het werk dat wordt gekopieerd om tekst- en datamining mogelijk te maken. Van rechtmatige toegang tot het werk is uiteraard sprake als het werk voor het publiek online vrijelijk beschikbaar is gesteld. In de tweede plaats moet de maker van het werk of zijn rechtverkrijgende het recht om een reproductie te maken ten behoeve van tekst- en datamining niet op passende wijze hebben voorbehouden. Of daarvan sprake is bij de artikelen waaruit ChatGPT put, is mij niet bekend. Een reproductie mag blijkens het bepaalde in artikel 15o, tweede lid, van de Auteurswet worden bewaard zolang dit nodig is voor tekst- en datamining. Daarna moet de reproductie worden verwijderd. Anders is sprake van inbreuk op het auteursrecht. De regeling is geënt op artikel 4 van richtlijn (EU) 2019/790 van het Europees Parlement en de Raad van 17 april 2019 inzake auteursrechten en naburige rechten in de digitale eengemaakte markt en tot wijziging van Richtlijnen 96/9/EG en 2001/29/EG (PbEU 2019, L130/92). Het geven van een interpretatie is daarmee uiteindelijk aan het Hof van Justitie van de Europese Unie voorbehouden.
In de kabinetsvisie generatieve AI wordt een nadere analyse uitgevoerd van auteursrechtelijke vraagstukken gerelateerd aan generatieve AI, zoals ChatGPT. Daarnaast onderzoekt het Rathenau Instituut – in opdracht van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties – hoe huidig beleid en de bestaande wet- en regelgeving zich verhouden tot generatieve AI. Hierbij zal ook aandacht uitgaan naar (juridische) auteursrechtelijke kwesties betreffende generatieve AI.

Vraag 11

Hoe oordeelt u daarover? Wat gaat u er aan doen?

Vraag 12

Klopt het dat het «kwaliteitsfilter» is gebaseerd op drie bronnen waarvan er twee (Wikipedia en Reddit) een zeer sterke oververtegenwoordiging van mannelijke input kennen?3

Vraag 13

Hoe oordeelt u daarover? Wat gaat u er aan doen?

Vraag 14

Deelt u de mening dat de Autoriteit Persoonsgegevens zo snel mogelijk met een spoedoordeel moet komen over ChatGPT en het blokkeren ervan geen taboe is? Kunt u de Autoriteit Persoonsgegevens daartoe aansporen?

Graag verwijs ik naar het antwoord op de vragen 2 en 3, waaruit volgt dat de AP zelf reeds een stap heeft gezet.

Vraag 15

Kunt u deze vragenset zo snel als mogelijk beantwoorden?

De vragen zijn zo spoedig mogelijk beantwoord.

Vraag 1

Is de Staatssecretaris bekend met het feit dat mensen verzekerd bij IZA Zorgverzekeringen een brief hebben ontvangen dat post van de zorgverzekeraar voortaan niet meer gratis is? Hoe beoordeelt zij het feit dat mensen voortaan €1,25 per maand moeten betalen als zij niet de overstap maken naar digitale correspondentie?

Ja, zoals ik ook in reactie op de motie Leijten heb aangegeven1, hecht ik eraan dat iedereen kan meedoen in onze samenleving en dat niemand wordt buitengesloten. De coöperatie VGZ – waar IZA Zorgverzekeringen onderdeel van uitmaakt – heeft de Minister van Volksgezondheid, Welzijn en Sport laten weten dat zij kwetsbare groepen verzekerden, zoals verzekerden onder curatele, verzekerden bij wie bronheffing aan de orde is en sociale minima met een gemeentepolis, kosteloos per papier blijft informeren. Daarnaast wordt aan verzekerden de mogelijkheid geboden om in geval van vragen of onduidelijkheden telefonisch contact op te nemen met de zorgverzekeraar.2

Vraag 2

Is de Staatssecretaris bekend met het feit dat één op de vijf Nederlanders moeite heeft met digitale vaardigheden?

Ja. Ik ben, zoals ik in mijn reactie3 op het verantwoordingsonderzoek van de Algemene Rekenkamer naar de Informatiepunten Digitale Overheid heb aangegeven, gestart met een aantal activiteiten om beter inzicht te krijgen in de behoefte van de groep mensen die (al dan niet tijdelijk) niet in staat zijn om zelfstandig gebruik te maken van de (digitale) publieke dienstverlening. De mate waarin mensen in staat zijn om zelfstandig zaken te doen met de overheid hangt samen met de mate van hun zelfstandigheid (zoals bijvoorbeeld onvoldoende digitale vaardigheden), maar ook met de complexiteit van hun persoonlijke situatie en de complexiteit van wetten, regels en de organisatie(s) met wie zij te maken hebben.

Vraag 3

Deelt de Staatssecretaris de mening dat er altijd een niet-digitaal alternatief moet zijn voor burgers in hun communicatie met instellingen die essentieel zijn in het dagelijks leven, zoals verzekeraars en banken? In hoeverre deelt zij de mening dat de drempel voor de niet-digitale weg niet hoger mag zijn dan die voor de digitale weg?

In het kader van de Werkagenda Waardengedreven Digitaliseren zet ik mij ervoor in dat de overheidsdienstverlening aansluit bij de behoeften en leefwereld van burgers en ondernemers en dat zij zelf kunnen kiezen op welke wijze ze gebruik willen maken van de overheidsdienstverlening, digitaal of niet-digitaal. Voor private of semi-publieke organisaties zoals de zorgverzekeraars, kan ik niet bepalen hoe zij de dienstverlening voor hun klanten inrichten, maar met uw Kamer vind ik het van groot belang dat ook mensen die niet van het digitale kanaal gebruik kunnen of willen maken wel bij deze instellingen kunnen blijven meedoen. De Wet Modernisering Elektronisch Bestuurlijk Verkeer is niet van toepassing op private instellingen. Zoals ik heb aangegeven in de Kamer betekent dit dat ik niet kan bepalen hoe de zorgverzekeraars de dienstverlening aan hun klanten regelen. Als toegezegd aan uw Kamer ben ik echter met deze instellingen in gesprek over hoe zij ervoor zorgen dat iedereen mee kan blijven doen. De Kamer ontvangt in oktober bericht over de uitkomsten van deze gesprekken.4 Ik onderzoek daarbij ook de mogelijkheden om tot afspraken te komen die in lijn liggen met het begin dit jaar gestarte brede programma «Toegankelijk Bankieren».In dit programma spannen de Nederlandse banken zich in om de dienstverlening van banken toegankelijker en inclusiever te maken.5 Zij doen dit in nauwe samenwerking de Alliantie Digitaal Samenleven, diverse maatschappelijke organisaties van bijvoorbeeld ouderen, laaggeletterden en mensen met een lichamelijke of verstandelijke beperking en de banken zodat de dienstverlening goed aansluit op de behoeften van alle klanten, waaronder ook specifieke doelgroepen.

Vraag 4

Wat vindt de Staatssecretaris ervan dat IZA Zorgverzekeringen de gestegen kosten van postzegels en papier doorberekent aan haar minst digitaalvaardige klanten?

Zie antwoord vraag 1.

Vraag 5

Vindt de Staatssecretaris dat mensen recht hebben op communicatie met hun verzekeraar op een manier die voor hen toegankelijk is? Hoe beoordeelt zij het feit dat mensen zonder digitale vaardigheden bij deze zorgverzekeraar straks moeten betalen voor hun correspondentie over zorg? Hoe beoordeelt zij dit in het licht van het feit dat zorgverzekeraars opereren onder strikte publiekrechtelijke randvoorwaarden?

Zie antwoord vraag 3.

Vraag 6

Hoe verhoudt het in rekening brengen van een maandelijks bedrag zich volgens de Staatssecretaris tot de motie van het lid Leijten c.s. over altijd een gebruiksvriendelijk niet-digitaal alternatief bieden bij het ontwikkelen van nieuwe digitale middelen (Kamerstuk 26 643, nr. 834)?

Zie antwoord vraag 1.

Vraag 7

Bij hoeveel andere (zorg)verzekeraars, banken en (semi-)publieke instellingen worden kosten gerekend om post op papier te ontvangen?

Er is geen landelijk overzicht van private ondernemingen of semi-publieke instellingen die kosten aan hun klanten doorberekenen om post op papier te ontvangen. Zoals de Minister van Volksgezondheid, Welzijn en Sport aan uw Kamer heeft laten weten zijn er bij het Ministerie van VWS twee zorgverzekeraars bekend die extra kosten in rekening brengen voor het ontvangen van post op papier.6

Vraag 8

Wat gaat de Staatssecretaris doen om te zorgen dat mensen zonder digitale vaardigheden altijd toegang houden tot offline communicatie met deze instellingen, zonder daarvoor extra kosten te hoeven betalen?

Zie antwoord vraag 3.

Vraag 1

Bent u bekend met het bericht dat Nederlanders de overheid steeds minder vertrouwen met persoonsgegevens? Wat is daarop uw reactie?1

Ja.
Het kabinet betreurt het zeer dat het vertrouwen gedaald is in de overheid met betrekking tot persoonsgegevens. De overheid moet de normen van de Algemene Verordening Gegevensbescherming (AVG) in acht nemen. In de afgelopen jaren is gebleken dat dit niet altijd het geval is. Dit was voor het vorige kabinet reden om onderzoek te laten doen naar de naleving van de AVG door overheden. Dat onderzoek heeft de Minister voor Rechtsbescherming, mede namens de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, op 9 februari jl. aan uw Kamer aangeboden.2 In het onderzoek is nagegaan welke onduidelijkheden en problemen zich voordoen bij naleving van de AVG door overheden en welke oorzaken dit heeft. Een inhoudelijke reactie namens beide bewindspersonen op dit onderzoek volgt na het zomerreces.

Vraag 2

Meer dan de helft van de ondervraagden maakt zich zorgen over de ontwikkelingen rondom Artificiele Intelligentie (AI). Waarom hebben de instrumenten om te voorkomen dat AI binnen de overheid verkeerd gebruikt wordt, zoals het algoritmeregister en het Impact Assessment voor Mensenrechten bij de inzet van Algoritmes (IAMA), nu geen verplicht karakter?

Met de Werkagenda Waardengedreven Digitaliseren3 zet het kabinet zich onder de noemer «algoritmes reguleren» in om tot een verantwoorde inzet van algoritmes te komen.
Momenteel onderzoekt het kabinet hoe een verplichte mensenrechtentoets (zoals een IAMA4), waar uw Kamer om heeft gevraagd, kan worden ingevoerd. Dit moet bekeken worden in samenhang met verplichtingen die er al zijn, zoals een Data Protection Impact Assessment (DPIA), en nieuwe verplichtingen die zullen volgen uit de AI-verordening. In de positie van de Raad van de Europese Unie (hierna: Raadstekst) en de positie van het Europees Parlement (EP) van de AI-verordening staat onder andere dat de aanbieder bij de ontwikkeling van een AI-systeem expliciet moet kijken naar de risico’s voor fundamentele rechten. Hoe deze Europese verplichtingen precies eruit komen te zien, is nog niet zeker. Recentelijk heeft uw Kamer gevraagd om, vooruitlopend op de AI-verordening, alle nieuw te starten algoritmes met een hoog risico (op basis van meeste recente tekst in de AI-verordening) een IAMA te laten ondergaan en het algoritme te publiceren in het algoritmeregister.
Daarnaast heeft uw Kamer mij gevraagd u te informeren over een mogelijkheid van een verplicht algoritmeregister, vooruitlopend op de AI-verordening. Hierover heb ik een brief gestuurd naar uw Kamer.5 Ook hier is de samenhang met de AI-verordening van belang. Volgens de AI-verordening zijn aanbieders van hoog-risico AI-systemen verplicht om hun systemen in de EU-databank te registreren. Aanvullend stelt de Raadstekst alsook het EP voor dat overheden als gebruikers van hoog-risico AI-systemen hun gebruik van die systemen ook in de EU-databank moeten registreren. Het is nog niet bekend hoe de definitieve tekst van de verordening eruit gaat zien. Daarop vooruitlopend een wetsvoorstel in procedure brengen, leidt niet tot tijdswinst ten opzichte van de inwerkingtreding van de AI-verordening, maar mogelijk wel tot regels die daar niet op aansluiten. Uiteraard wil het kabinet ongewenste effecten van algoritmes in overheidstoepassingen zoveel mogelijk voorkomen. Of daar extra registratieverplichtingen voor nodig zijn, kan pas na vaststelling van de AI-verordening worden bepaald. Ministeries zijn aan het werk om, vooruitlopend op de komst van het verplichte algoritmeregister, eind 2025 hoog risico algoritmes te publiceren in het algoritmeregister, conform de werkafspraken in de Werkagenda Waardengedreven Digitaliseren.

Vraag 3

Is er een termijn waarbinnen u de bovengenoemde instrumentenwel een verplicht karakter wil geven als er geen voortgang wordt geboekt? Zo ja wanneer is dat?

Zie antwoord vraag 2.

Vraag 4

In hoeverre denkt u dat het bijdraagt aan de transparantie als de overheidkenbaar maakt wanneer een beslissing of handeling met behulp van AI tot stand is gekomen?

Het kabinet verwacht dat dit bijdraagt aan de transparantie en onderzoekt hoe dit gerealiseerd kan worden. De Minister van Binnenlandse Zaken en Koninkrijksrelaties en de Minister voor Rechtsbescherming bestuderen dit momenteel in het kader van het wetsvoorstel Wet versterking waarborgfunctie Algemene wet bestuursrecht (Awb), dat in het voorjaar in preconsultatie is geweest. In dit traject wordt de uitvoering van de motie van het lid Van Baarle meegenomen.6 Het kabinet hecht er daarnaast aan te benoemen dat er tijdens de onderhandelingen over de Europese AI-verordening actief op wordt ingezet dat in de AI-verordening wordt opgenomen dat kenbaar gemaakt wordt als een besluit gemaakt wordt met behulp van AI. Nederland bestudeert daarom het voorstel van het EP voor een notificatieplicht.

Vraag 5

Wat zijn andere maatregelen met betrekking tot AI die het vertrouwen in de overheid kunnen terugwinnen?

Het is van belang dat we, wanneer AI en/of algoritmes impact hebben op mensen, bij de inzet van AI en/of algoritmes laten zien wat onze motieven zijn en dat we zorgen dat voor mensen duidelijk is op welke manier de inzet van algoritmes invloed heeft op onze beslissingen als overheid. Het is van belang dat mensen weten dat procedures eerlijk zijn, beslissingen zorgvuldig worden genomen en dat die beslissingen onbevooroordeeld zijn en worden geleid door consistente, transparante en logische redeneringen. Ook bij de inzet van algoritmes.
Naast de oplossingen die genoemd zijn en die kunnen bijdragen aan vertrouwen, heb ik een implementatiekader «inzet van algoritmes»7 naar uw Kamer gestuurd dat ervoor moet zorgen dat er een logisch en consistent kader is met daarin belangrijke normen en ethische eisen. Op die manier zorgen we ervoor dat controle en toetsing van allerlei ontwerp en – implementatiekeuzes in AI en/of algoritmes tijdig plaatsvinden. Hiermee wordt de kans op negatieve effecten bij voorbaat verkleind.
Datzelfde geldt ook voor het toezicht op algoritmes. Het kabinet versterkt het toezicht via de nieuwe Directie Coördinatie Algoritmes (DCA) bij de Autoriteit Persoonsgegevens die in samenwerking met andere toezichthouders vroegtijdig risico’s signaleert.

Vraag 6

Hoe reflecteert u op het gegeven dat de ondervraagden de huidige praktijk rondom het toestemming geven voor cookies als onprettig ervaart?

Het kabinet herkent dat de huidige praktijk onprettig is. Er is wetgeving die bepaalt dat gegevens van (internet)gebruikers niet zonder toestemming gebruikt mogen worden. Echter zien we dat door consentmoeheid en dark patterns8 consumenten vaak akkoord gaan zonder dat ze dat echt willen. Het zou mogelijk moeten zijn voor internetgebruikers om in één keer aan te geven waarmee zij akkoord gaan en waarmee niet, zodat zij niet langer per website hoeven te klikken. Het kabinet wil dat eenmaal gegeven of geweigerde toestemming voor een bepaalde website onthouden wordt, zodat de vraag om toestemming niet telkens opnieuw gesteld hoeft te worden. Dit zou mogelijk kunnen worden geregeld door instellingen in de browser, als toestemmingsverzoeken van websites daar dan ook op worden aangepast. Het is van belang dat we dit op Europees niveau regelen om het zo effectief mogelijk te maken. Hetzelfde geldt voor de mogelijkheid om een eenmaal verleende toestemming weer in te trekken. Het kabinet wil deze praktijk verbeteren. Hier ontvangt uw Kamer binnenkort een brief over.

Vraag 7

Kunt u toelichten waarom andere EU lidstaten, zoals Frankrijk, wél hun nationale cookie-toezicht aanscherpen, en we hier wachten op nieuwe regelgeving vanuit Brussel?2

Het is belangrijk om twee zaken van elkaar te onderscheiden. Het klopt dat Nederland zich actief inzet om te komen tot nieuwe Europese wetgeving over cookies. In de bij antwoord 6 genoemde brief, zullen we dieper ingaan op onze inzet. Dit staat los van het toezicht op en de handhaving van de huidige wetgeving rondom cookies, de ePrivacy-richtlijn en de AVG. Het is aan de nationale toezichthouders om de wetgeving te interpreteren en te handhaven. Het kan dus zijn dat de Franse toezichthouder andere keuzes maakt over de inzet van hun capaciteit dan de Nederlandse. In Nederland zijn dat zowel de Autoriteit Consument en Markt (ACM) voor de cookiebepaling uit de Telecommunicatiewet als de Autoriteit Persoonsgegevens (AP) voor de AVG, die naast de Telecommunicatiewet regels geeft over de verwerking van met cookies verkregen persoonsgegevens. De AP en de ACM hebben hierover een samenwerkingsprotocol.10

Vraag 8

In hoeverre bent u bereid om onderzoek te laten verrichten welke mogelijkheden er zijn om in afwachting op de ePrivacy verordening, de huidige praktijk rondom het toestemming geven voor cookies te verbeteren via wetgeving?

Artikel 11.7a van de Telecommunicatiewet (Tw), waarin de ePrivacyrichtlijn is geïmplementeerd, schrijft duidelijk voor dat toestemming vereist is voor het plaatsen en lezen van cookies. Deze toestemming moet gebaseerd zijn op voldoende informatie over het plaatsen van de cookies en wat er vervolgens met de via de cookies verzamelde informatie gebeurt. De beoordeling daarvan is aan de toezichthouder en de rechter, maar de huidige praktijk lijkt daar in veel gevallen niet aan te voldoen. Bijvoorbeeld wanneer cookiebanners (de pop up op een website waarin gemeld wordt dat er cookies worden geplaatst als je er mee instemt) alleen een duidelijke mogelijkheid om cookies te accepteren aanbieden, en het weigeren van cookies vrijwel onmogelijk wordt gemaakt. Dan levert een weg geklikte cookiebanner zeer waarschijnlijk geen «vrije» wilsuiting op, zoals de Tw en AVG vereisen. Volgens de wet zouden dan geen cookies mogen worden geplaatst. Ook wordt niet altijd aan het vereiste voldaan dat de gebruiker voldoende «geïnformeerd» is over waar de cookies precies voor worden gebruikt. Daar kan op basis van de huidige wetgeving al op worden gehandhaafd en dat is in het verleden ook gebeurd.11
In het verleden is hier goed toezicht op gehouden en het is belangrijk dat dit goede toezicht blijft. Het kabinet heeft al geïnvesteerd in extra middelen voor de AP. Het kabinet wil in gesprek gaan met de toezichthouders over hoe we het toezicht, maar ook de informatievoorziening aan internetgebruikers, verder kunnen versterken.
Daarnaast kan door de toezichthouders worden aangehaakt op de bevindingen van onder meer de werkgroep onder het Europees Comité voor gegevensbescherming (EDPB), een onafhankelijk orgaan waarin de toezichthouders uit de verschillende lidstaten samenwerken met het oog op een consistente toepassing van de AVG en andere Europese privacyregelgeving. De Cookie Banner Taskforce van de EDPB buigt zich momenteel bijvoorbeeld over cookie banners en dark patterns aan de hand van bestaande wetgeving.12
Het kabinet ziet geen (effectieve) mogelijkheden om binnen de AVG en de ePrivacyrichtlijn middels nationale wetgeving de huidige praktijk rondom het toestemming geven voor cookies te verbeteren. Het kabinet is hier nader op ingegaan in de toegezegde Kamerbrief over het onderwerp cookies.

Vraag 9

Welke concrete stappen gaat u zetten om ervoor te zorgen dat de ePrivacy verordening onder Spaans voorzitterschap benoemd wordt tot prioriteit?

Het kabinet vindt het van belang dat er spoedig betere ePrivacyregels komen. De onderhandelingen over de ePrivacyverordening zitten zoals bekend al jaren vast. Om die reden kijkt het kabinet naar alternatieve oplossingen. Uw Kamer heeft ook een motie13 aangenomen om daarvoor te pleiten. Ik heb op 1 juni 2023 gesproken met Eurocommissaris voor Justitie Reynders, die bezig is met een vrijwillig initiatief op dit onderwerp. Het doel is om op vrijwillige basis mogelijkheden te vinden om het simpeler maken voor internetgebruikers om cookies te weigeren als ze dat willen en om alternatieven te vinden voor op tracking gebaseerde reclame. Daarbij wordt ook gekeken naar de mogelijkheid om cookies te weigeren of accepteren via de browser, zonder elke keer opnieuw met een cookiebanner te worden geconfronteerd. Het kabinet steunt dit initiatief van harte. Als dit initiatief onverhoopt niet slaagt, moet gewerkt worden aan verbeterde Europese regelgeving met betrekking tot het toestemmingsvereiste.
Op 2 juni 2023 heb ik in de Telecomraad eveneens gepleit voor een Europese oplossing voor het cookievraagstuk, desnoods los van de ePrivacyverordening. Indachtig de motie van uw Kamer zal het kabinet de komende tijd hiervoor blijven pleiten in Europa.

Vraag 1

Waarom heeft de Belastingdienst tot en met de procedure van wederhoor de onderzoekers geen bescheiden overlegd? Deelt u de mening dat dit een onwenselijke gang van zaken is?1

De benaderde medewerkers van de Belastingdienst en de Dienst Toeslagen hebben de informatie waar het onderzoeksbureau om vroeg gedurende het onderzoek verstrekt, voor zover zij daarover beschikten. Uitzondering hierop zijn een zestal documenten zonder formele status die pas tijdens de procedure van wederhoor zijn verstrekt. Het gaat om bestanden die niet zijn goedgekeurd door het projectteam of de leiding van de Belastingdienst. Daarom is niet met zekerheid te zeggen of en op welke wijze de inhoud van deze documenten onderdeel was van het besluitvormingsproces. Het is niet uit te sluiten dat deze conceptdocumenten op een later moment nog gewijzigd of aangevuld zijn. Er zijn geen definitieve of latere versies gevonden van deze documenten. Dit is de reden dat deze zes documenten pas na intern beraad verstrekt zijn, waarbij het onderzoeksbureau nadrukkelijk op de conceptstatus is gewezen. Het onderzoeksbureau heeft deze documenten alsnog verwerkt in het onderzoek. In bijlage 2 bij deze brief vindt u de opgeleverde documenten.
Er is gedurende het onderzoek geen verzoek gedaan om een centrale zoekslag te verrichten in het archief van de Belastingdienst. Het onderzoeksbureau heeft interviews afgenomen met medewerkers van de Belastingdienst en de Dienst Toeslagen en deze medewerkers benaderd over de beschikbaarheid van documenten. In het onderzoeksrapport zijn de individuele geïnterviewde medewerkers van de Belastingdienst omschreven als «de Belastingdienst.»

Vraag 2

Wat wordt bedoeld met de uiting «conform wettelijke bepalingen» (p. 6), als er wordt gesteld dat documentatie van die periode niet meer beschikbaar is?

De frase «conform wettelijke bepalingen» ziet op het samenstel van Archiefwet, de selectielijsten en de Regeling basisregistratie personen. De Archiefwet kent, naast een bewaarplicht, ook een vernietigingsplicht. Na het verstrijken van bepaalde termijnen, opgenomen in selectielijsten, is de Belastingdienst verplicht deze documenten te vernietigen. De handelingen en bijbehorende bewaartermijnen zijn beschreven in de gepubliceerde selectielijsten. Het ontbreken van bepaalde documenten valt deels te wijten aan de lange periode die verstreken is sinds de totstandkoming van het profiel, waardoor bepaalde bescheiden al vernietigd zijn, deels aan onvolkomenheden in de informatiehuishouding. De Belastingdienst is zich bewust van deze onvolkomenheden en werkt aan het op orde brengen hiervan.
Er is in 2021 een programma Informatiehuishouding op Orde Belastingdienst ingesteld. In dit kader werkt de Belastingdienst aan een integrale archieftoepassing, het zogenaamde «Generiek Document en Archiefbeheer systeem», voor de primaire processen. Van oorsprong is archivering vaak binnen individuele processen of onderdelen tot stand gekomen. Het is in toenemende mate van belang om dit integraal op te zetten, wat uiteindelijk ondersteunend is voor het op samenhangende wijze inzicht geven in de dossiers van burgers en bedrijven. Daarnaast wordt onderzoek gedaan naar de mogelijkheden voor e-mailarchivering. De Belastingdienst verwacht de implementatie hiervan in 2024 te starten. Hiernaast lopen verschillende andere projecten ter verbetering van de informatiehuishouding, bijvoorbeeld op het gebied van nieuwe selectielijsten en de Wet open overheid. Hierover bent u eerder geïnformeerd in de brief over de verbetering van de informatiehuishouding binnen het Ministerie van Financiën.2

Vraag 3

Bent u bereid om de «beperkte hoeveelheid aan concepten en werkdocumenten waarvan de status formeel niet vaststaat» (p. 6) aan de Kamer te doen toekomen? Zo nee, waarom niet?

Ja. U vindt deze in bijlage 2.

Vraag 4

Waarom geeft de Belastingdienst de onduidelijkheid over de status van documenten op als reden om ze niet te delen voor onderzoek? Waarom zouden deze dan niet bruikbaar zijn voor onderzoek (p. 6)?

Zie ook het antwoord op vraag 1. De «beperkte hoeveelheid aan concepten en werkdocumenten waarvan de status formeel niet vaststaat» betreft een zestal documenten zonder formele status, die de benaderde medewerker tot zijn beschikking had. Het gaat om bestanden die niet zijn goedgekeurd door het projectteam of de leiding van de Belastingdienst. Er zijn geen definitieve of latere versies gevonden van deze documenten. Dit is de reden dat deze zes documenten pas na intern beraad verstrekt zijn, waarbij het onderzoeksbureau op de conceptstatus is gewezen. In bijlage 2 vindt u de opgeleverde documenten.

Vraag 5

Waarom is het voorkomen van «misvattingen en verkeerde interpretaties en conclusies» een reden om documenten niet te overleggen (p. 6)? De onafhankelijke onderzoekers gaan toch over de conclusies en niet de Belastingdienst?

Zie antwoord vraag 4.

Vraag 6

Waarom concludeert de Belastingdienst dat bepaalde documenten «niet de daadwerkelijke situatie/handelen van toentertijd» (p. 6) weergeven? Waar blijkt dit uit en waarom is het aan de Belastingdienst om lopende het onderzoek slechts documenten te verschaffen die op basis van de eigen visie het handelen van de Belastingdienst weergeven?

Zie antwoord vraag 4.

Vraag 7

Zijn alle bescheiden, documenten, memo’s of andersoortige informatie die direct of indirect te relateren zijn aan of zien op het (risico)profiel UT001 aan de onderzoekers overhandigd? Zo nee, waarom niet?

De forensisch accountant (onderzoeksbureau) heeft zelf medewerkers benaderd met verzoeken om informatie. Er is geen centrale zoekvraag aan de Belastingdienst gesteld. Wel had het bureau toegang tot het projectarchief van de Landelijke Aanpak Adreskwaliteit (LAA). In het onderzoeksrapport zijn de individuele geïnterviewde medewerkers van de Belastingdienst omschreven als «de Belastingdienst». Deze medewerkers beschikten echter niet over alle bescheiden waar het onderzoeksbureau om vroeg. Dit heeft erin geresulteerd dat niet alle relevante (concept-)documenten zijn gevonden.
Voor de beantwoording van uw vraag is ten eerste aan het onderzoeksbureau verzocht om een inventarisatielijst op te stellen van de stukken die zijn gebruikt voor het onderzoek naar het profiel. De inventarisatielijst en de betreffende stukken treft u, gelakt op persoonsgegevens, in bijlage 1 bij deze brief. Deze stukken zien overigens niet alleen of specifiek op het profiel UT001, het onderzoeksbureau heeft namelijk ook gekeken naar de bredere context van de totstandkoming van het profiel. Stukken die reeds openbaar zijn en twee concepten waarvan een definitieve versie beschikbaar is, worden niet gedeeld.
Ten tweede heeft de Belastingdienst voor de beantwoording van uw vragen een zoekslag gedaan. Hierbij zijn alsnog relevante documenten gevonden. Bij deze zoekslag is een gearchiveerde schijf van de destijds betrokken afdeling gevonden. De benaderde medewerkers hadden geen kennis van de gearchiveerde schijf van de betrokken afdeling, die voor de beantwoording van deze vragen alsnog doorzocht is. Deze documenten vindt u in bijlage 3, gelakt op persoonsgegevens.
Voor de zoekslag is een gearchiveerde kopie van de groepsschijf doorzocht van de toenmalige afdeling van de Belastingdienst die medewerking verleende aan het project LAA in 2015. Op deze schijf is een map «Verwonderadressen» opgenomen. Deze term werd gebruikt om LAA-signalen aan te duiden. Op deze schijf is gezocht op relevante zoektermen: naar het profiel UT001, naar de «Belastingdienst mix» en de negen «business rules», naar verslaglegging van de interne stuurgroep (LAA), naar stukken over de vergelijking tussen de geboortedatum van een belastingplichtige en de datum van de eerste adresinschrijving en stukken over selectieregels op basis van nationaliteit en op basis van geboorteland.
Binnen de map Verwonderadressen bleken voornamelijk (werk)documenten van de data-analisten te staan. Dit zijn bestanden met alleen of vooral persoonsgegevens die gebruikt zijn om ruwe data bij elkaar te brengen. Van één bestand met alleen persoonsgegevens dat specifiek betrekking heeft op profiel UT001, heb ik alleen een beschrijving opgenomen waarin vermeld staat welke en hoeveel persoonsgegevens in het document zijn opgenomen. Omdat persoonsgegevens gelakt moeten worden, zou het document immers bij openbaarmaking geen informatie bevatten. Van identieke documenten die slechts afwijkende persoonsgegevens bevatten (bijvoorbeeld van verschillende gemeenten) is één versie opgenomen.
Aanvullend aan de gearchiveerde schijf zijn betrokken medewerkers die nog werkzaam zijn bij de Belastingdienst gevraagd of zij nog over relevante documenten beschikken. Hieruit is nog één document naar voren gekomen dat eerder niet gedeeld is. In bijlage 3 vindt u een inventaris van de relevante documenten die alsnog gevonden zijn en de documenten zelf, waarbij de persoonsgegevens gelakt zijn.

Vraag 8

Bent u bereid om een overzicht te doen toekomen van alle bescheiden, documenten, memo’s of andersoortige informatie die direct of indirect te relateren zijn aan of zien op het (risico)profiel UT001 die aan de onderzoekers zijn overhandigd en diegene die niet aan de onderzoekers zijn overhandigd, met daarbij ook een argumentatie? Zo nee, waarom niet?

Zie antwoord vraag 7.

Vraag 9

Bent u bereid om alle bescheiden, documenten, memo’s of andersoortige informatie die direct of indirect te relateren zijn aan of zien op het (risico)profiel UT001 te doen toekomen? Zo nee, waarom niet?

Zie antwoord vraag 7.

Vraag 10

Bent u bereid om een «centrale zoekslag» (p. 6) te verrichten bij de Belastingdienst naar alle bescheiden, documenten, memo’s of andersoortige informatie die direct of indirect te relateren zijn aan of zien op het (risico)profiel UT001? Zo nee, waarom niet?

Zie antwoord vraag 7.

Vraag 11

Hoe kan het zo zijn dat de mailcorrespondentie niet altijd is gearchiveerd in het projectarchief van de Landelijke Aanpak Adreskwaliteit (LAA) en er alleen op verzoek iets werd opgeslagen? Deelt u de mening dat dit getuigt van volstrekte willekeur en dat dit afkeurenswaardig is? Hoe wordt dit in de toekomst voorkomen?

LAA is een samenwerkingsverband van verschillende overheidsorganisaties, waaronder gemeenten, diverse ministeries en uitvoeringsorganisaties. Bij een samenwerkingsverband kunnen de verantwoordelijkheden van de verschillende overheidsorganen in de praktijk zo verweven zijn, dat niet goed uit te maken is welk overheidsorgaan precies voor welke documenten verantwoordelijk is. In het wetsvoorstel voor de nieuwe Archiefwet dat op dit moment in behandeling is bij uw Kamer (Kamerstuk 35 968) wordt een artikel over samenwerkingsverbanden voorzien. Samenwerkingsverbanden zullen worden verplicht een gezamenlijke regeling te treffen op welke wijze de verantwoordelijke overheidsorganen gezamenlijk invulling geven aan hun taken en bevoegdheden ten aanzien van de archivering van documenten.
De centrale gegevensverwerking van LAA is inmiddels ondergebracht bij de Rijksdienst voor Identiteitsgegevens (RvIG). Voor RvIG geldt, zoals voor de gehele Rijksoverheid, dat de organisatie actief participeert in het programma Open Overheid. Een van de speerpunten in het programma is het onder beheer brengen van e-mails van ambtenaren. Inmiddels wordt gewerkt aan het zo spoedig mogelijk structureel veiligstellen van e-mails van rijksambtenaren. Daarnaast zet het programma in op het versterken van het informatiebewustzijn van alle medewerkers, zodat medewerkers op een meer verantwoorde manier omgaan met overheidsinformatie.

Vraag 12

Hoe kon het gebeuren dat bescheiden op eigen schijven of andere plekken werden opgeslagen zonder dat de projectorganisatie LAA daar zicht op had? Deelt u de mening dat dit een onverantwoorde manier is om met overheidsinformatie om te gaan? Hoe wordt dit in de toekomst voorkomen?

Zie antwoord vraag 11.

Vraag 13

Kunt u uitsluiten dat er op dit moment overheidsinformatie of informatie van burgers op lokale schijven of andere plekken zijn opgeslagen? Vindt u dat deze informatie dient te worden achterhaald?

Zie antwoord vraag 11.

Vraag 14

Hoe kan het zo zijn dat men zelf vrij was om te bepalen of iets opgeslagen moest worden?

Zie antwoord vraag 11.

Vraag 15

Hoe kan het dat verschillende organisaties uiteenlopende antwoorden hebben gegeven over de te hanteren bewaartermijnen, namelijk 5, 10 en 12 jaar (p. 11)?

Het is op grond van de Archiefwet in beginsel aan organisaties (bestuursorganen) zelf om door middel van selectielijsten vast te stellen welke bewaartermijn voor welke categorieën informatie geldt.3 Dit maakt dat de bewaartermijnen per categorie (type) informatie en per organisatie kunnen verschillen. Met de wettelijke inbedding van de LAA is op het niveau van formele regelgeving duidelijkheid geboden over de bewaartermijn voor de hier bedoelde LAA-signalen (adressen in de BRP die mogelijk onjuist zijn). De bewaartermijn is sinds het van kracht worden van deze regelgeving 20 jaar. Selectielijsten moeten daarmee in lijn zijn en zo nodig door de betrokken bestuursorganen op dit punt aangevuld of aangepast worden. Het eerder aangehaalde artikel over samenwerkingsverbanden in de nieuwe Archiefwet schept overigens ook de mogelijkheid om eenvoudiger één selectielijst voor een samenwerkingsverband te ontwerpen en vast te stellen.

Vraag 16

Hoe kan het dat de regelgeving over bewaartermijnen door organisaties verschillend wordt geïnterpreteerd (p. 11)? Hoe wordt dit in de toekomst voorkomen?

Zie antwoord vraag 15.

Vraag 17

Op welke specifieke «wettelijke bepalingen» doelt de Belastingdienst en kunt u een overzicht geven van wettelijke bepaling per relevantie informatiecategorie (p. 11)? Zo nee, waarom niet?

Omdat de onderbouwing van de beantwoording door de geïnterviewden niet is gearchiveerd of gevraagd binnen het onderzoek, is nu niet meer te reconstrueren op basis van welke onderbouwing men bepaalde uitspraken heeft gedaan. De Archiefwet kent, naast een bewaarplicht, ook een vernietigingsplicht. Na het verstrijken van bepaalde termijnen, opgenomen in selectielijsten, is de Belastingdienst verplicht betreffende documenten te vernietigen. Het respecteren van deze wettelijke vernietigingstermijnen is randvoorwaardelijk om ook te kunnen voldoen aan andere wetgevende kaders, zoals de Algemene Verordening Gegevensbescherming (AVG).

Vraag 18

Klopt het dat er een algehele opdracht tot opschonen van alle Q-schijven is uitgevaardigd? Waar blijkt dit uit? Waarom is dit gedaan en hoe voldoet dit aan de wettelijke bepalingen? Hoe werd bepaald of data wel of niet relevant was?

Het is gebruikelijk dat binnen teams/afdelingen Q-schijven periodiek worden geschoond in het kader van AVG. Het is niet te reconstrueren of en zo ja welke documentatie over het risicoprofiel is verwijderd. Er lopen diverse verbeterprogramma’s om, onder andere, te borgen dat vernietigings- en bewaartermijnen uit de selectielijst organisatie-breed worden toegepast.

Vraag 19

Waarom is in 2018 informatie over de totstandkoming van de risicoprofielen collectief verwijderd? Conform welke wettelijke bepaling is dit gedaan? Waarom is dit niet bewaard? Wordt dit in de toekomst voorkomen?

Zie antwoord vraag 18.

Vraag 20

Klopt het dat er binnen een periode van vijf jaar informatie over de risicoprofielen is verwijderd? Waarom is dit gebeurd en waarom zou dit mogen?

Zie antwoord vraag 18.

Vraag 21

Bent u bereid om alle ontwikkelde profielen van het Regionaal Coördinatiepunt Fraudebestrijding (RCF) aan de Kamer te doen toekomen? Bent u bereid om hierbij expliciet in te gaan op het (directe en indirecte) gebruik van de volgende indicatoren: geboorteland, het verschil tussen datum van inschrijving en geboortedatum, etniciteit en nationaliteit?

In het kader van de behandeling van de Wet BRP LAA door uw Kamer zijn door de Staatssecretaris van BZK samenvattingen (beschrijvingen) van alle risicoprofielen van LAA sinds de start in 2014 openbaar gemaakt.4
De Regionale coördinatiepunten fraudebestrijding (RCF’s) hebben zelf geen risicoprofielen ontwikkeld. Zij ondersteunden de projecten van de Landelijke Stuurgroep Interventieteams (LSI). Ervaringen van de RCF’s met betrekking tot het tegengaan van adresgerelateerde fraude zijn gedeeld met de Belastingdienst ten behoeve van de Landelijke Aanpak Adreskwaliteit, zo volgt uit het onderzoeksrapport.
Op 1 december 2022 is overigens de evaluatie van het LSI-convenant gestart. Dit is conform artikel 13, eerste lid, van de Samenwerkingsovereenkomst voor Interventieteams.5 In deze evaluatie wordt het convenant en de samenwerking tussen de LSI-partners geëvalueerd. Ook wordt aandacht besteed aan gegevensuitwisseling. Daarnaast zal een extern onderzoek plaatsvinden op basis van casuïstiek uit LSI-onderzoek waarbij wordt getoetst of alle waarborgen op het gebied van privacy en non-discriminatie in de praktijk toegepast worden.6
Het onderzoeksrapport over het profiel UT001 heeft geen duidelijkheid kunnen geven over de precieze bijdrage vanuit de RCF aan de totstandkoming van het profiel UT001, omdat hierover geen bescheiden ter beschikking waren.7 Zoals aangegeven in het antwoord op vraag 2, valt dit deels te wijten aan de lange periode die verstreken is sinds de totstandkoming van het profiel, waardoor bepaalde bescheiden al vernietigd zijn, deels aan onvolkomenheden in de informatiehuishouding.

Vraag 22

Bent u bereid om het profiel dat als basis is gebruikt voor het (risico)profiel UT001 aan de Kamer te doen toekomen, met bijgevoegd alle informatie die te relateren valt aan dat profiel?

Zie antwoord vraag 21.

Vraag 23

Bent u bereid om de «risicoduiding van het RCF» (p. 22) aan de Kamer te doen toekomen?

Zie antwoord vraag 21.

Vraag 24

Klopt het dat de Belastingdienst «diverse keren» de risicoduiding of het profiel van het RCF heeft aangepast? Welke aanpassingen zijn doorgevoerd en waarom?

Zie antwoord vraag 21.

Vraag 25

Klopt het dat de selectie in RCF-verband specifieker was (p. 22)? Waar blijkt dit uit?

Zie antwoord vraag 21.

Vraag 26

Bent u bereid alle profielen uit de zogenoemde «Belastingdienst Mix' aan de Kamer te doen toekomen, samen met alle hieraan te relateren informatie?

In het kader van de behandeling van de Wet BRP LAA door uw Kamer zijn door de Staatssecretaris van BZK samenvattingen (beschrijvingen) van alle risicoprofielen van LAA sinds de start in 2014 openbaar gemaakt. Daarin zijn ook alle profielen uit de Belastingdienst Mix opgenomen.8

Vraag 27

Is er nu wel of geen verslaglegging van de interne stuurgroep LAA? Bent u bereid om alle informatie die te relateren is aan het (risico)profiel UT001 die hier in staat te doen toekomen?

Behalve het conceptverslag dat aan het onderzoeksbureau is overlegd, is er geen verslaglegging aangetroffen van de interne stuurgroep LAA bij de Belastingdienst. Zoals eerder aangegeven treft u bij deze beantwoording de informatie over het risicoprofiel aan die is gebruikt door het onderzoeksbureau, waaronder genoemd conceptverslag (bijlage 2).

Vraag 28

Waarom is destijds bij de Belastingdienst (p. 26) ervoor gekozen om een vergelijking te maken tussen de geboortedatum van een belastingplichtige en de datum van de eerste adresinschrijving? Welke afwegingen speelden hierbij een rol? Klopt het dat dit te maken heeft met de (wettelijke) onmogelijkheid om geboorteplaats en nationaliteit te gebruiken?

Uit het rapport volgt dat in 2015 twee proefleveringen hebben plaatsgevonden met signalen uit het betreffende profiel, waarbij in de eerste proeflevering in totaal 22 signalen (over 22 personen) zijn geleverd aan drie gemeenten. De tweede proeflevering heeft niet tot levering van signalen op basis van profiel UT001 aan gemeenten geleid. Het profiel is daarna niet meer gebruikt en de proef is vervolgens definitief stopgezet. De onderzoekers concluderen vervolgens dat er naar aanleiding van 15 van de 22 signalen (administratieve) adresonderzoeken zijn uitgevoerd door de gemeenten, maar dat er geen adreswijzigingen (aanpassingen in de registratie) hebben plaatsgevonden. De in onderzoek genomen signalen van UT001 hebben volgens de onderzoekers niet geleid tot gevolgen voor individuele burgers.
Zoals vermeld in het onderzoeksrapport bestond binnen het projectteam het vermoeden dat de ontwikkelde profielen, waaronder UT001, zouden kunnen bijdragen aan het opsporen van adresfraude. Het onderzoeksbureau concludeert dat niet vastgesteld kan worden welke precieze selectiecriteria daadwerkelijk zijn toegepast voor de twee proefleveringen. Ook de aanvullende documentatie geeft hierover geen uitsluitsel. In de documentatie zijn verschillende (concept)beschrijvingen van het risicoprofiel aangetroffen, waarbij in het ene geval gesproken wordt over selectie op nationaliteit en in het andere geval over een vergelijking tussen de geboortedatum en datum van eerste inschrijving. Er zijn geen documenten gevonden over de (formele) besluitvorming over de selectieregels.

Vraag 29

Deelt u de mening dat het maken van een vergelijking tussen de geboortedatum van een belastingplichtige en de datum van de eerste adresinschrijving eigenlijk een indirecte manier is om de indicator geboorteland te benutten? Zo nee, waarom niet?

Met een dergelijke vergelijking kan niet op een specifiek geboorteland geselecteerd worden; het gaat om personen die niet in Nederland geboren zijn. In de brief van de Staatssecretaris van BZK van 25 maart 2022 is met betrekking tot het profiel UT001 het selecteren op basis van de vergelijking tussen geboortedatum en eerste adresinschrijving afgekeurd.9

Vraag 30

In welke andere risicoprofielen bij de Belastingdienst wordt de indicator vergelijking tussen de geboortedatum van een belastingplichtige en de datum van de eerste adresinschrijving gebruikt? Wat zijn hiervoor de redenen?

Binnen de Dienst Toeslagen wordt deze indicator niet toegepast om selecties te maken of risicoprofielen op te stellen. In het verleden is bij het risicoclassificatiemodel wel de indicator «Leeftijd Burgerservicenummer (bsn)» gebruikt voor zowel de huurtoeslag als de kinderopvangtoeslag. Waarbij gekeken werd naar hoe lang geleden het Burgerservicenummer geactiveerd is, gemeten van het moment van de aanvraag.10 Het risicoclassificatiemodel is stopgezet in juli 2020.
Voor zover kon worden nagegaan, wordt deze indicator ook niet toegepast binnen de Belastingdienst om selecties te maken of risicoprofielen op te stellen. Omdat gebleken is dat niet alle onderdelen van de risicoselectie die de Belastingdienst en Toeslagen toepasten in het toezicht voldeden aan de geldende regels, zijn sinds maart 2020 verschillende acties ingezet11 om bestaande problemen met betrekking tot onder andere risicomodellen en het gebruik van persoonsgegevens zoals nationaliteit op te lossen. Zo zijn onder meer alle applicaties die zijn gebruikt doorzocht op het gebruik van nationaliteit en hebben de Belastingdienst en Dienst Toeslagen een waarborgenkader voor selectie-instrumenten opgesteld dat voor alle nieuw te ontwikkelen selectie-instrumenten gaat gelden en dat onder meer het gebruik van gegevens in selectie-instrumenten borgt.

Vraag 31

Klopt het dat er over deze selectieregel «veel vragen en er discussie was» bij de Belastingdienst (p. 26)? Zo ja, waarom was dit het geval?

De discussie betrof voor zover nu nog na te gaan valt met name de vraag of nationaliteit afgeleid zou kunnen worden uit de relatie geboortedatum en datum eerste inschrijving.

Vraag 32

Bent u bereid om de «negen business rules» (p. 28) met ons te delen? Betreft het hier tevens de «negental selectiecriteria» (p. 29)?

Aangenomen wordt dat «business rules», «selectieregels» en «selectiecriteria» in deze synoniemen zijn. In het onderzoeksrapport wordt verwezen naar een memo waarin negen selectiecriteria, waaronder de aangehaalde selectieregel, in concept zijn omschreven. Dit memo treft u onder nr. 22 in bijlage 1 bij deze beantwoording.
In het onderzoeksrapport worden verschillende omschrijvingen van het profiel genoemd. De eerste daarvan luidt «Alleenstaande personen ouder dan 60 jaar, met een buitenlandse (niet-Nederlandse) nationaliteit die een uitkering ontvangen met eventueel een toeslag van UWV en/of BD Toeslagen.» Binnen de werkdocumenten die zijn gevonden in de zoekslag van de Belastingdienst naar aanleiding van deze vragen, is deze omschrijving in meerdere werkdocumenten aangetroffen. Ook zijn in werkdocumenten uit de periode voorafgaand aan de eerste levering van UT001, naast andere persoonsgegevens ook (dubbele) nationaliteiten opgenomen. De in deze werkdocumenten vermelde personen hebben (ook) een niet-Nederlandse nationaliteit.
In de documenten waarvan bekend is dat ze buiten de Belastingdienst gemaakt of gedeeld zijn, zijn geen (dubbele)nationaliteiten opgenomen. De gegevens met betrekking tot nationaliteit waren afkomstig uit het systeem Beheer van Relaties (BVR). Zoals ik uw Kamer al eerder gemeld heb, is BVR geschoond en bevat deze daarmee geen dubbele nationaliteit meer naast de Nederlandse.12 Zie verder ook het antwoord op vragen 7 t/m 10 en bijlage 3.
Op basis van de documentatie is het exacte selectiecriterium dat daadwerkelijk is toegepast voor de twee proefleveringen van UT001 niet te reconstrueren. Er zijn verschillende omschrijvingen aangetroffen. Dit is ook de conclusie van het onderzoeksbureau.

Vraag 33

Klopt het dat er een selectieregel in concept bestond getiteld «alleenstaande >60 jr. + buitenlander met uitkering» (p.29)? Kunt u alle aan deze selectieregel te relateren informatie doen toekomen en verantwoorden hoe dit kan bestaan? Waarom werd er over mensen gesproken als «buitenlander»?

Zie antwoord vraag 32.

Vraag 34

Klopt het dat in een eerdere set aan selectieregels het aspect nationaliteit werd meegenomen (p. 29)? Kunt u de informatie die dit aantoont en verklaart doen toekomen? Is dit in de praktijk toegepast en waarom wel of waarom niet?

Zie antwoord vraag 32.

Vraag 35

Kunt u de toenmalige set aan selectieregels (p. 29) doen toekomen?

Zie antwoord vraag 32.

Vraag 36

Kunt u het memo waarnaar in het verslag wordt verwezen (p. 29) doen toekomen?

Er is specifiek gezocht naar dit memo, maar dit is niet gevonden.

Vraag 37

Bent u bereid om de beschrijving van de codering en de mix van thema’s van de Belastingdienst met beschrijving met ons te delen?

In het onderzoeksrapport wordt verwezen naar een memo waarin negen selectiecriteria in concept zijn omschreven. Dit memo treft u onder nr. 22 in de bijlage 1 bij deze beantwoording. Zie verder het antwoord op vragen 32 tot en met 35.

Vraag 38

Waarom wordt in een eerdere omschrijving van UT001 (p. 31) gesproken over alleenstaande personen met een buitenlandse (niet-Nederlandse) nationaliteit? Klopt het dat de Belastingdienst in dezen dus een profiel heeft ingezet waar nationaliteit als risico-indicator onderdeel van uitmaakte?

Op basis van de documentatie is het exacte selectiecriterium dat daadwerkelijk is toegepast niet te reconstrueren. Er zijn verschillende omschrijvingen van het profiel UT001 aangetroffen. Dit is ook de conclusie van het onderzoeksbureau.
Het is van belang dat zeer zorgvuldig wordt omgegaan met (persoons)gegevens, waaronder informatie over de nationaliteit van burgers. In het verleden voldeden niet alle onderdelen van de risicoselectie die de Belastingdienst toepast in het toezicht aan de geldende regels. De toenmalige Staatssecretaris van Belastingdienst, Toeslagen en Douane heeft in zijn brief van 15 november 2019 daarom aangegeven dat nationaliteit vanaf 1 januari 2020 alleen gebruikt zal worden voor de handhavingstaak van de Belastingdienst als daar een expliciete wettelijke grondslag voor bestaat. Dit om iedere suggestie van oneigenlijk gebruik van het persoonsgegeven nationaliteit uit te sluiten. De AVG vereist geen expliciete wettelijke grondslag voor gebruik van het persoonsgegeven nationaliteit. De Belastingdienst stelt met de voorwaarde van een expliciete wettelijke grondslag dus een hogere eis dan de AVG. Een overzicht van de expliciete wettelijke grondslagen is naar uw Kamer gestuurd en wordt ook gepubliceerd op de website van de Belastingdienst.
Daarnaast hebben de Belastingdienst en Dienst Toeslagen een waarborgenkader ontwikkeld voor de ontwikkeling en inzet van selectie-instrumenten. Belangrijke onderdelen van dit waarborgenkader zijn de navolgbaarheid van de systemen voor de selectie en het systematisch controleren van deze systemen. Daarmee draagt het bij aan de rechtmatigheid en de transparantie van het proces van detectie en selectie. Sinds maart 2020 zijn bovendien in het programma «Herstellen, Verbeteren en Borgen» (HVB) acties ingezet om bestaande problemen met betrekking tot onder andere risicomodellen en het gebruik van persoonsgegevens zoals nationaliteit op te lossen. Uw Kamer wordt sindsdien over de voortgang van alle ingezette acties geïnformeerd.

Vraag 39

Waar en op welke wijze is dit profiel met als indicator alleenstaande personen met een buitenlandse (niet-Nederlandse) nationaliteit door de Belastingdienst ingezet en waarom was dit volgens de Belastingdienst toegestaan?

Zie antwoord vraag 38.

Vraag 40

Hoe kijkt u terug op het feit dat de Belastingdienst als indicator alleenstaande personen met een buitenlandse (niet-Nederlandse) nationaliteit heeft gehanteerd? Keurt u dit af en acht u dit toegestaan?

Zie antwoord vraag 38.

Vraag 41

Klopt het dat het profiel vervolgens is doorontwikkeld en het verschil tussen de geboortedatum en de datum van inschrijving in Nederland als indicator is toegepast?

De precieze selectiecriteria en drempelwaarden van het profiel UT001 zijn niet te reconstrueren op basis van de gevonden documentatie, zie ook het antwoord op vraag 28. Er zijn twee proefleveringen geweest. Bij de eerste proeflevering heeft dit geleid tot 22 terugmeldingen over 22 personen. Bij de tweede proeflevering is geconstateerd dat UT001 niet bruikbaar was, vanwege het te grote aantal signalen dat dit opleverde, en is het dus in de praktijk niet gebruikt. Dit is ook de conclusie van het onderzoeksbureau.

Vraag 42

Welke varianten zijn in de praktijk van UT001 toegepast?

Zie antwoord vraag 41.

Vraag 43

Wat was de drempelwaarde die is bepaald bij het gebruik van de vergelijking tussen de geboortedatum en de datum van inschrijving in Nederland? Wat was de onderbouwing van deze drempelwaarde?

Zie antwoord vraag 41.

Vraag 44

Deelt u wat in het op pagina 32 genoemde memo wordt gesteld, namelijk dat het gebruiken van deze vergelijking een indirecte wijze van het gebruik van nationaliteit is? Zo nee, waarom niet?

Met deze vergelijking kan geen onderscheid naar nationaliteit gemaakt worden. Ook personen met een Nederlandse nationaliteit kunnen in het buitenland geboren zijn.

Vraag 45

Vindt u dat er sprake was van voldoende juridische onderbouwing en zwaarwegend belang om de vergelijking tussen inschrijvingsdatum in Nederland en de geboortedatum toe te passen? Waarom vindt u dat en waar blijkt dat uit?

In de brief van de Staatssecretaris van BZK van 25 maart 2022 is de toepassing van dit profiel afgekeurd.13 Zie ook de beantwoording van vragen 28 en 29.

Vraag 46

Welke omschrijvingen zijn in 2015 van het profiel UT001 gehanteerd?

De onderzoekers constateren dat niet precies vastgesteld kan worden welke selectiecriteria in 2015 zijn gehanteerd. Ook uit de aanvullende documenten is niet precies vast te stellen welke selectiecriteria gebruikt zijn, zie ook het antwoord op vraag 28. Omdat de onderbouwing van de beantwoording door de geïnterviewden niet is gearchiveerd of gevraagd binnen het onderzoek, is nu niet meer te reconstrueren op basis van welke onderbouwing men bepaalde uitspraken heeft gedaan.

Vraag 47

Wat was de «fiscale context» (p. 34) waar de Belastingdienst op doelt als de dienst stelt dat de omschrijvingen niet juist zouden zijn?

Zie antwoord vraag 46.

Vraag 48

Is geboorteland toegepast als indicator van (eerdere) versies van UT001?

Zie antwoord vraag 46.

Vraag 49

Klopt het dat de verwijzingen naar nationaliteit die zijn opgenomen in definities uit de tijd stammen van het RCF (p. 35)? Hoe speelde nationaliteit een rol in de profilering van het RCF en wat was hierbij de onderbouwing? Waarom was dit toegestaan?

Dat is ons niet bekend. Het is op basis van de beschikbare documentatie niet te achterhalen of deze suggestie juist is. Zie verder met betrekking tot het RCF het antwoord op vragen 21 tot en met 24.

Vraag 50

Op welke wijze is UT001 in de verschillende rondes proefleveringen toegepast?

Uit het rapport volgt dat in 2015 twee proefleveringen hebben plaatsgevonden met signalen uit het betreffende profiel, waarbij in de eerste proeflevering in totaal 22 signalen (over 22 personen) zijn geleverd aan drie gemeenten. De tweede proeflevering heeft niet tot levering van signalen op basis van profiel UT001 aan gemeenten geleid. Het profiel is daarna niet meer gebruikt en de proef is vervolgens definitief stopgezet. De onderzoekers concluderen vervolgens dat er naar aanleiding van 15 van de 22 signalen (administratieve) adresonderzoeken zijn uitgevoerd door de gemeenten, maar dat er geen adreswijzigingen (aanpassingen in de registratie) hebben plaatsgevonden. De in onderzoek genomen signalen van UT001 hebben volgens de onderzoekers niet geleid tot gevolgen voor individuele burgers. Welke selectiecriteria zijn gebruikt voor de totstandkoming van beide proefleveringen is niet meer te reconstrueren.

Vraag 51

Vindt u dat de 77 personen die als signaal zijn geclassificeerd (p. 37) zijn geprofileerd op basis van hun geboorteland? Waarom vindt u dit?

De onderzoekers constateren dat niet precies vastgesteld kan worden welke selectiecriteria in 2015 zijn gehanteerd. Ook uit de aanvullende documenten is niet precies vast te stellen welke selectiecriteria gebruikt zijn. Er is in één van de omschrijvingen sprake van een vergelijking van geboortedatum en eerste adresinschrijving in Nederland. Hiermee wordt een onderscheid gemaakt tussen geboren binnen Nederland en buiten Nederland. Met een dergelijke vergelijking kan niet op een specifiek geboorteland geselecteerd worden; het gaat om personen die niet in Nederland geboren zijn.

Vraag 52

Deelt u de mening dat er naar aanleiding van de eerste proeflevering geen aanleiding is om te veronderstellen dat onderzoek naar signalen op basis van UT001 betrekking heeft gehad op meer dan 22 personen? Hoe kunnen we dat zeker weten, gezien de slechte informatiehuishouding en de gebrekkige medewerking van de Belastingdienst?

Wij delen die mening. Er is geen aanleiding om op dit punt tot een ander oordeel te komen dan de forensisch accountant.14

Vraag 53

Klopt het dat de juistheid en volledigheid van de ingevoerde gegevens niet vastgesteld kan worden (p. 39)? Klopt het derhalve dan ook dat er meer dan 22 personen geprofileerd kunnen zijn door UT001?

Er is geen aanleiding om op dit punt tot een ander oordeel te komen dan de forensisch accountant.15 Wij verwijzen in dit verband naar de conclusie van de onderzoekers dat de toepassing van het profiel UT001 heeft geresulteerd in 22 terugmeldingen (over 22 personen).16

Vraag 54

Welke aanpassingen zijn doorgevoerd naar aanleiding van de eerste proeflevering (p. 39) en kunt u daarin specifiek ingaan op UT001?

Op basis van de beschikbare informatie is dit niet te reconstrueren.

Vraag 1

Bent u bekend met het artikel van RTL Nieuws dat Twitter hun gebruikers tegen betaling de mogelijkheid gaat bieden om versleutelde privéberichten te sturen naar andere betalende gebruikers?1

Ja.

Vraag 2

Welk basisniveau bescherming acht u noodzakelijk voor gebruikers van sociale mediaplatforms, waaronder Twitter?

Sterke versleuteling is van groot belang om veilig online te communiceren. De Rijksoverheid schrijft geen specifiek basisniveau voor in de zin van specifieke maatregelen betreffende de beveiliging van Twitter (tegenwoordig X). Wel bestaat er wetgeving waar X aan moet voldoen en wordt er gewerkt aan een verdere aanscherping van wetgeving. Hieronder wordt daar nader op ingegaan.

Vraag 3

Hoe verhoudt de beveiliging van reguliere, niet-betalende twittergebruikers zich tot dit basisniveau?

Indien bij het gebruik van een sociale mediaplatform zoals X persoonsgegevens worden verwerkt, is daarop de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Een van de beginselen van de AVG is integriteit en vertrouwelijkheid. Dit beginsel houdt onder andere in dat de nodige technische en organisatorische maatregelen dienen te worden getroffen om een passende beveiliging van persoonsgegevens te borgen. Dit kan in de praktijk betekenen dat persoonsgegevens dienen te worden versleuteld (encryptie). Daarnaast kunnen andere aanvullende beveiligingsmaatregelen ook noodzakelijk zijn, zoals het beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen. Welk basisniveau in concrete gevallen is vereist, vraagt om een risicoanalyse waarin met alle relevante omstandigheden wordt rekening gehouden. Of in concrete gevallen is voldaan aan het vereiste niveau van beveiliging uit de AVG, is uiteindelijk aan de toezichthouder om te beoordelen. In Nederland is dat de Autoriteit Persoonsgegevens (AP), die onafhankelijk toeziet op de naleving van de AVG.
Daarnaast wordt op dit moment de herziene Europese netwerk- en informatiebeveiligingsrichtlijn1 (NIS2) geïmplementeerd. Deze richtlijn heeft als doel om de cyberbeveiliging van entiteiten in de EU naar een hoger niveau te tillen. Met de komst van de NIS2-richtlijn wordt het aantal sectoren dat onder de richtlijn valt uitgebreid; één van de nieuwe sectoren zijn aanbieders van platforms voor sociale netwerkdiensten, waaronder X. De zorgplicht voortkomend uit de NIS2 houdt in dat entiteiten passende en evenredige technische, operationele en organisatorische maatregelen moeten nemen om de risico’s voor de beveiliging van hun netwerk- en informatiesystemen te beheersen. De Rijksinspectie Digitale Infrastructuur (RDI) is in Nederland de beoogde toezichthouder op de sector digitale aanbieders, waar aanbieders van platforms voor sociale netwerkdiensten onder vallen.Lidstaten dienen de NIS2-richtlijn uiterlijk op 17 oktober 2024 in hun nationale wetgeving te hebben omgezet.
Deze huidige en toekomstige wettelijke kaders zijn van toepassing ongeacht of gebruikers betalen voor de dienst.

Vraag 4

Hoe verhoudt de nieuw voorgestelde mogelijkheid om tegen betaling versleutelde berichten te kunnen versturen en ontvangen zich tot dit basisniveau?

Zie antwoord vraag 3.

Vraag 5

Hoe verhoudt zowel de beveiliging van regulier als betaald gebruik van Twitter zich tot nationale en internationale grond- en mensenrechten? Waarin zitten op dit vlak de verschillen tussen reguliere en betalende gebruikers?

Zoals hierboven beschreven zijn er een aantal wettelijke kaders waar X zich aan moet houden, ongeacht of het gaat om betalende of niet betalende gebruikers. Het is aan de desbetreffende toezichthouder om in een concreet geval te bepalen of de getroffen maatregelen passend zijn.
Ook heeft iedereen recht op de bescherming van de persoonlijke levenssfeer en privécommunicatie. De grond- en mensenrechten schrijven niet voor hoe die bescherming moet plaatsvinden. Ook hier geldt dat de persoonlijke levenssfeer en de veiligheid van communicatie beschermd moeten worden, onafhankelijk van betaling.

Vraag 6

Heeft u indicaties dat privéberichten van niet-betalende gebruikers van Twitter onvoldoende beveiligd zijn, bijvoorbeeld doordat deze ingezien kunnen worden door partijen die daartoe niet bevoegd zijn? Kunt u uitsluiten dat dit gebeurt?

Zie antwoord vraag 5.

Vraag 7

Heeft u zicht op het gebruik van versleutelde communicatiekanalen, zoals dat voor betalende Twittergebruikers mogelijk wordt, door bewindspersonen? Hoe zou u een verbod daarop beoordelen, in het licht van een juiste naleving van de Wet Open Overheid?

Het gebruik van berichtenapps voor formeel zakelijke communicatie wordt zoveel mogelijk beperkt. Voor bestuurlijke aangelegenheden wordt het gebruik ontraden. Dit beleid is nog steeds van kracht. Het feit dat gegevensstromen tijdens gebruik versleuteld zijn, staat op geen enkele manier in de weg dat bestuursorganen invulling kunnen en moeten geven aan hun verplichtingen omtrent archivering en openbaarmaking.

Vraag 1

Bent u bekend met het bericht «WhatsApp en Signal dreigen VK te verlaten vanwege breken encryptie»?1

Ja.

Vraag 2

Wat regelt het wetsvoorstel Online Safety Bill in het Verenigd Koninkrijk precies?

Het gaat hier om een wetsvoorstel uit het Verenigd Koninkrijk dat nog niet volledig is behandeld in het Britse parlement. Terughoudendheid bij de beoordeling daarvan is derhalve gepast. In grote lijnen kan worden aangegeven wat dit voorstel behelst, voor zover nu bekend. In de Online Safety Bill worden regels en zorgplichten gesteld voor internetdiensten rondom de aanpak van online illegale inhoud en de bescherming van kinderen, journalisten en democratische waarden. Een apart hoofdstuk is ingericht over het rapporteren van online materiaal van seksueel kindermisbruik (CSAM) en een hoofdstuk rondom de verplichtingen die internetdiensten hebben op het gebied van online pornografie. Tenslotte krijgt the Office of Communications, OFCOM, de rol van handhaver op het gebied van de Online Safety Bill.

Vraag 3

Hoe beoordeelt u dit wetsvoorstel?

Zoals ik onder vraag 2 heb geschetst is dit wetsvoorstel nog in behandeling en is het lastig om een definitieve beoordeling te geven van de waarde hiervan. Vooral omdat nog niet bekend is wat de eventuele effecten van dit wetsvoorstel voor Nederland zullen zijn, als die er al zijn. Voor zover op dit moment het beoordeeld kan worden, komt de voorgestelde regelgeving grotendeels overeen met de regels die zijn gesteld in de Digital Services Act, die voor Nederland in februari 2024 in werking zal treden. Ook hier worden regels opgelegd aan tussenhandeldiensten rondom transparantie en het modereren op illegale inhoud. Voor online materiaal van seksueel kindermisbruik onderhandelen lidstaten momenteel in de Europese Unie over een verordening die hier specifieke regelgeving op maakt (CSAM-verordening). Zonder teveel op de inhoud in te gaan, kan het worden toegejuicht dat ook het Verenigd Koninkrijk, net als de Europese Unie, stappen neemt in het beter reguleren van tussenhandeldiensten en online illegale inhoud. Het internet is niet gebonden aan landsgrenzen en overheden hebben een gezamenlijke verantwoordelijkheid om het schoon en veilig te houden.

Vraag 4

Ziet u het nut van de mogelijkheid om chatapps te kunnen scannen op materiaal van kindermisbruik om makers en verspreiders daarvan te kunnen opsporen, vervolgen en te bestraffen?

Interpersoonlijke communicatiediensten worden steeds vaker gebruikt om materiaal van seksueel kindermisbruik te verspreiden.2 Juist deze diensten maken vaak gebruik van end-to-end encryptie. Zoals gezegd vinden in Brussel momenteel onderhandelingen plaats over een verordening om de verspreiding van online kinderpornografisch materiaal tegen te gaan. Een onderdeel uit deze concept-Verordening betreft het voorstel voor het instellen van een zogeheten «detectiebevel». Op basis van dit detectiebevel kunnen bedrijven – onder meer aanbieders van interpersoonlijke communicatiediensten, zoals Whatsapp en Signal – onder voorwaarden worden verplicht om op hun diensten te scannen op de aanwezigheid van materiaal van online seksueel kindermisbruik.
Zoals ik onder andere in mijn brief van 2 februari 2023 aan uw Kamer heb weergegeven, is het detectiebevel een maatregel die inbreuk maakt op verschillende grondrechten.3 Voor Nederland staat bij de onderhandelingen voorop dat die inbreuk moet kunnen worden gerechtvaardigd. Uw Kamer is daar reeds uitgebreid over geïnformeerd. In alle gevallen geldt dat voorstellen die end-to-end encryptie onmogelijk maken niet kunnen worden ondersteund, conform de in juli 2022 door de Tweede Kamer aangenomen motie-Van Raan c.s.4

Vraag 5

Wat vindt het kabinet ervan dat encryptie wordt gebruikt om materiaal van kindermisbruik te kunnen delen en te verspreiden?

Het is juist dat interpersoonlijke communicatiediensten die gebruik maken van end-to-end encryptie, in toenemende mate worden misbruikt voor het delen van materiaal van kindermisbruik.5 Dit vind ik een zorgelijke ontwikkeling. Er moet worden voorkomen dat criminelen op deze diensten vrij spel hebben bij het verspreiden van online materiaal van seksueel kindermisbruik. We hebben het vaak over «online materiaal», «beelden», of «video’s». Maar achter dit digitale materiaal gaat een verschrikkelijke fysieke waarheid schuil waar we onze ogen niet voor mogen sluiten. Ik zal mij blijvend inzetten om, binnen de grenzen van de motie Van Raan c.s., te zoeken naar mogelijkheden (zie antwoord 4) om de omloop van dit verwerpelijke materiaal te stoppen.

Vraag 6

Deelt u de mening dat de mogelijkheid om berichtendiensten te kunnen scannen op materiaal van kindermisbruik zwaarder moet wegen dan het recht van aanbieders om volledige encryptie aan te bieden aan gebruikers?

Encryptie stelt de opsporing voor grote uitdagingen. In opsporingsonderzoeken blijkt het in veel gevallen zeer lastig en soms onmogelijk om gegevens die nodig zijn om criminelen op te sporen te verkrijgen. Tegelijkertijd is sterke encryptie van groot belang voor het beschermen van de vertrouwelijkheid van communicatie als grondrecht en de beveiliging van communicatie. Het vinden van oplossingen die voldoende recht doen aan alle betrokken belangen is lastig. Ik zie de absolute noodzaak om het bestaan en de verspreiding online van beeldmateriaal van seksueel kindermisbruik te voorkomen, en daarmee de grondrechten van deze kinderen te beschermen. Maar tegelijkertijd is het de absolute noodzaak om grondrechten, zoals eerbiediging van de persoonlijke levenssfeer en bescherming van het telecommunicatiegeheim, te eerbiedigen. Met client-side scanning bestaat de mogelijkheid om binnen interpersoonlijke communicatiediensten te scannen op bestaand materiaal van seksueel kindermisbruik zonder dat end-to-end encryptie onmogelijk wordt gemaakt, zoals ook toegelicht in mijn brief van 2 februari 2023.6 Het blijft van belang om bij de mogelijkheden die Nederland ziet steeds aandacht te besteden aan de noodzakelijkheid, proportionaliteit en subsidiariteit ervan en daarbij steeds een weging te maken van alle betrokken belangen.

Vraag 7

Zo ja, is het kabinet voornemens het Britse voorbeeld te volgen en te komen met een Nederlandse versie van de Online Safety Bill?

Zoals gezegd zal in Nederland de Digital Services Act van toepassing zijn vanaf februari 2024. Specifiek voor de handhaving op het gebied van online materiaal van seksueel kindermisbruik heb ik onlangs de wet bestuursrechtelijke bevoegdheden aanpak online kinderpornografisch materiaal naar uw Kamer verzonden en onderhandel ik momenteel in Brussel over de reeds aangehaalde CSAM-Verordening.7

Vraag 8

Bent u het eens met de bewering van Ciaran Martin, de voormalige baas van het Britse Cyber Security Centre tegen Politico dat «Client-side scanning lijkt, ondanks de claims van tegenstanders, wel een bepaald niveau van toegang te omvatten, een soort mogelijkheid om te sorteren en te scannen»2, waardoor opsporings- en veiligheidsdiensten wel degelijk delen en verspreiden van online kindermisbruik kunnen aanpakken?

In mijn brief van 31 januari jl. aan uw Kamer heb ik client-side scanning expliciet als optie benoemd om materiaal van seksueel misbruik te onderkennen wanneer deze worden verstuurd via diensten die gebruik maken van end-to-end encryptie.9 Met client-side scanning kunnen berichten die zijn verstuurd binnen de desbetreffende interpersoonlijke communicatiediensten op het apparaat van de verzender worden geanalyseerd op materiaal van seksueel kindermisbruik vóórdat dit materiaal wordt versleuteld en verzonden. De end-to-end versleuteling van het bericht tijdens het transport naar de ontvanger blijft dan ongemoeid, waardoor het bericht niet kan worden onderschept door derden. Uitgangspunt bij het nemen van dergelijke maatregelen is steeds respect voor fundamentele rechten, data-protectiewetgeving en behoud van cybersecurity. Ook wordt scherp gekeken of het middel proportioneel is ten aanzien van het doel dat wordt nagestreefd. Zo acht het kabinet het niet proportioneel wanneer dit middel wordt ingezet om tekstberichten te scannen, maar wel indien enkel wordt gescand op bestaand beeldmateriaal. Dat wil zeggen, materiaal waarvan reeds is vastgesteld dat dit materiaal betreft van seksueel kindermisbruik, en waarvan het bezit dus strafbaar is. Omdat bij het gebruik van client-side scanning het communicatiegeheim moet worden gewaarborgd, beziet het kabinet verder zeer kritisch welke nadere waarborgen aan het bevel moeten worden verbonden, met name ten aanzien van de vraag wat er met gedetecteerde informatie moet gebeuren.

Vraag 9

Is het kabinet van mening dat de mogelijkheid om berichtendiensten te scannen op materiaal van kindermisbruik zwaarder moet wegen dan een dreigend vertrek van WhatsApp en Signal uit Nederland, wanneer blijkt dat het breken van encryptie een effectieve manier is om online kindermisbruik tegen te gaan?

Nederland steunt geen Europese voorstellen die end-to-end encryptie onmogelijk maken, in lijn met de door uw Kamer aangenomen motie-Van Raan c.s. De strijd tegen online seksueel kindermisbruik blijft desalniettemin van essentieel belang, zeker gelet op de grote rol van Nederland als het gaat om het hosten van online materiaal van seksueel kindermisbruik.10 Ik voel daarom een grote verantwoordelijkheid voor het vormgeven van een effectieve bestrijding van seksueel kindermisbruik, binnen het kader van de motie-Van Raan c.s., waarbij alle grondrechten worden geëerbiedigd. Zoals onder de vragen 4 en 8 weergegeven, lijkt client-side scanning de enige manier waarop de maatregelen in de verordening ten aanzien van interpersoonlijke communicatiediensten kunnen worden uitgevoerd zonder end-to-end encryptie onmogelijk te maken. Het is daarbij belangrijk dat berichtendiensten – zoals Whatsapp of Signal – niet buiten de reikwijdte van de verordening vallen.

Vraag 1

Heeft u kennisgenomen van het artikel «The jury is still out»?1

Ja, ik heb kennisgenomen van het artikel «The Jury is still Out».

Vraag 2

Laat ook Nederlands onderzoek een stijging zien van gevallen van depressie onder Nederlandse jongeren?

Het aantal depressies onder jongeren in Nederland wordt niet gemeten. Wel is af te leiden uit de CBS-data jeugdhulpgebruik dat er een stijging is in ambulante jeugdhulp op locatie, waarvan de schatting is dat dit voornamelijk gaat om jeugd-ggz. Dit betreft een stijging van 3,2% van 308.000 jongeren in 2021 naar 318.000 jongeren in 2022. Er is hierbij echter geen inzicht in specifieke diagnoses.

Vraag 3

Laat ook Nederlandse onderzoek zien dat bij jonge mensen, met name meisjes, de mentale gezondheid verslechtert?

Ja, ook Nederlands onderzoek laat dit beeld zien. Bijvoorbeeld de Corona Gezondheidsmonitor Jongvolwassenen 2022. De coronacrisis heeft bestaande problemen nog scherper aan het licht gebracht en nieuwe problemen veroorzaakt. Meisjes lijken ten opzichte van jongens in hogere mate te maken hebben met depressieve of angstklachten. Deze trend komt ook in de Nederlandse onderzoeken terug, waaronder het onderzoeksrapport HBSC 20212, de Landelijke Monitor Depressie3 en een proefschrift van de Erasmus Universiteit
Rotterdam.4

Vraag 4

Klopt het dat het aantal gevallen van suïcide daalt, behalve onder de groep jonge meisjes van 10–19 jaar?

De CBS data over zelfdodingen in Nederland fluctueert over de jaren voor jongeren van 10 tot 19 jaar, maar laat over de afgelopen jaren heen een stabiel beeld zien. Dit geldt zowel voor jongens, meisjes als het totaal beeld in deze leeftijdsgroep.

Vraag 5

Stijgt ook in Nederland het aantal gevallen van zelfmutilatie explosief onder tienermeisjes?

Er is geen data beschikbaar over automutilatie onder jongeren in Nederland.

Vraag 6

In hoeverre wordt in onderzoek naar het effect van smartphone en social media gebruik op de mentale gezondheid van tieners onderscheid gemaakt tussen jongens en meisjes? Bent u bereid zich in te zetten voor meer onderzoek specifiek onder de doelgroep tienermeisjes?

Recente onderzoeken zoals die beschreven in antwoord 3, beschrijven de verschillen in het ervaren van psychische klachten tussen jongens en meisjes. Zo blijkt dat meisjes ten opzichte van jongens in hogere mate te maken hebben met depressieve of angstklachten. Er is al veel kennis beschikbaar. De verschillen tussen jongens en meisjes in verschillende levensfases in hun jeugd en jongere jaren worden gemonitord. Ik ben mij uiteraard bewust van het feit dat de zorgen daarin toenemen. Daarom richt ik mij – samen met mijn collega’s – ook expliciet op de leefomgeving «Online» in de Aanpak «Mentale Gezondheid: van ons allemaal». Jongeren zijn daarin nadrukkelijk een belangrijke doelgroep. Ik zie geen toegevoegde waarde om een apart onderzoek uit te zetten, specifiek gericht op meisjes.

Vraag 7

Klopt het dat meisjes tussen 10–19 jaar gemiddeld meer tijd doorbrengen op smartphones en social media dan jongens in dezelfde leeftijdsgroep?

Het Nederlands Jeugdinstituut5 stelt dat in 2021 bij 5,3 procent van de leerlingen in het voortgezet onderwijs sprake was van problematisch gebruik van sociale media. In groep 8 van het basisonderwijs gaat het om 3,9 procent. In het voortgezet onderwijs is hierbij het verschil tussen jongens en meisjes significant. Onder meisjes is met 6,8 procent vaker spraken van problematisch sociale mediagebruik dan onder jongens (3,9 procent). Deze cijfers zijn afkomstig uit het eerder genoemde HBSC-onderzoek onder scholieren. Aan leerlingen zijn diverse stellingen voorgelegd waarin is nagegaan of leerlingen voldoen aan minstens vijf symptomen van problematisch gebruik.
In zowel basis- als voortgezet onderwijs gebruiken jongeren vaak sociale media om niet aan vervelende dingen te hoeven denken. Dit is onder alle leerlingen het meest voorkomende symptoom van problematisch gebruik. Dit geldt voor 41 procent van de basisschoolleerlingen en 45 procent van de leerlingen in het voortgezet onderwijs. Meisjes doen dit significant vaker dan jongens. In het basisonderwijs gat het om 37,3 procent van de jongens en 44,3 procent van de meisjes. In het voortgezet onderwijs gaat het om 35,7 procent van de jongens en 54,3 procent van de meisjes (Boer e.a. 2022).

Vraag 8

Mochten smartphone en social media gebruik een trigger zijn voor depressiegevoelens onder meisjes, welke maatregelen zouden er genomen kunnen worden om de trend te keren?

Het is lastig aan te tonen of sociaal media gebruik een directe trigger is voor een depressie. Dit komt doordat er geen duidelijke consensus is in wetenschappelijk onderzoek over een oorzakelijk verband tussen sociaal media en depressie. Net als in het artikel «The jury is still out». De oorzaak van een depressie is gelegen in een combinatie van vele factoren zoals een combinatie van lichamelijke, geestelijke en/of omgevingsfactoren. Hierbij is het vaak niet mogelijk één doorslaggevende factor aan te wijzen voor het ontstaan van depressie. In het in januari gepubliceerde essay «#GeenPaniek» van de Raad voor Volksgezondheid en Samenleving (RVS) is ook aangegeven dat het lastig te achterhalen is of «online zijn» goed of slecht is voor de gezondheid. In de beantwoording van de recent gestelde Kamervragen door de leden Slootweg en Kuik gaat de Staatssecretaris van BZK verder in op de relatie tussen sociaal mediagebruik en depressie.6
Wat tegelijkertijd wél te zien is, is dat er brede wetenschappelijke consensus is over het feit dat problematisch gebruik van sociale media door jongeren ten koste gaat van hun mentale en cognitieve ontwikkeling. Dit is zorgwekkend, omdat de groep jongeren die problematisch sociale mediagebruik vertoont stijgt.
Met de inzet van het basistakenpakket JGZ wil ik gezondheidsproblemen voorkomen. De jeugdgezondheidsprofessionals kunnen tijdens de contactmomenten met ouders spreken over verantwoord schermgebruik, wat schermgebruik doet met ontwikkeling van een kind en ze hierover adviseren. Voor professionals is een e-learning Mediaopvoeding beschikbaar. Daarnaast heeft het NJI de Toolbox Mediaopvoeding: «Media? Gewoon opvoeden» ontwikkeld. Hierin zijn factsheets voor professionals en leerkrachten en tipsheets voor ouders opgenomen. Verder zet het kabinet met de landelijke aanpak «Mentale gezondheid; van ons allemaal» in op de mentale gezondheid van jongeren en jongvolwassenen. Hierbij is nadrukkelijk aandacht voor de effecten van teveel online activiteiten. Samen met jongeren zelf en organisaties zoals MIND Us en het netwerk Mediawijsheid, wordt onder meer ingezet op het stimuleren van mediawijsheid, digitale vaardigheden en digitale balans.
Bepaalde mechanismen in sociale media zelf kunnen bijdragen aan het versterken van een depressie of gevoelens van angst. Een voorbeeld hiervan is dat iemand in een informatiefuik terecht kan komen met eenzijdige content, bijvoorbeeld over depressie. Dit kan het depressieve gevoel van de persoon verder aanwakkeren. Het is ook duidelijk dat sociale media het gedrag en de emoties van gebruikers kunnen beïnvloeden.7
Sociale media platforms hebben de verantwoordelijkheid om de rechten en belangen van minderjarigen ten allen tijde te borgen. Vanuit het Verenigde Naties Verdrag inzake de Rechten van het Kind dienen zowel publieke als private partijen het belang van het kind mee te nemen bij activiteiten die kinderen raken. Wij spreken de sociale media platforms hierop aan. De Staatssecretaris van BZK brengt negatieve effecten tijdens gerichte gesprekken met grote techbedrijven onder de aandacht. Daarnaast wil de Staatssecretaris van BZK tijdens structurele overleggen waaraan grote techbedrijven deelnemen – zoals de klankbordgroep van de publiek-private samenwerking over online content – op thematische wijze aandacht gaan besteden aan negatieve effecten. Ook wil de Staatssecretaris van BZK dat de platforms in het kader van de opkomende verplichtingen vanuit de Digital Services Act (DSA) meer transparantie bieden over de effecten van hun platforms, de risico’s voor minderjarigen, de maatregelen die zij nemen om risico’s te mitigeren en de effectiviteit van die maatregelen. Mede in dit kader wordt er momenteel in opdracht van het Ministerie van BZK een Kinderrechten Impact Assessment (KIA) ontwikkeld. Met deze KIA kunnen de risico’s van een concrete online product of dienst voor kinderrechten in kaart worden gebracht, waaronder op het recht op een goede mentale en fysieke gezondheid. Het Ministerie van BZK is voornemens om deze KIA te gaan toepassen op door minderjarigen veelgebruikte online diensten en met de producenten daarvan in gesprek te gaan over de resultaten van de toegepaste KIA. Ook zal het Ministerie van BZK de komende jaren kijken in welke mate de DSA bijdraagt aan het beter beschermen van minderjarigen. Voor de zomer stuurt de Staatssecretaris van BZK een brede beleidsbrief met fundamentele acties om kinderen in de digitale wereld beter te beschermen. Daarin zal ook aandacht worden besteed aan goede voorlichting aan kinderen, ouders en verzorgers over kansen en risico’s in de digitale wereld. De voorlichting maakt onderdeel uit van een meerjarige publieksvoorlichting. Omdat wetenschappelijke onderzoek laat zien dat het aantal jongeren dat problematisch online gedrag vertoont stijgt8, zal de eerste campagne zich richten op de effecten van langdurig online zijn.

Vraag 9

Neemt het kabinet op dit moment maatregelen om schadelijk effecten van smartphone en social media gebruik te ondervangen? Zo nee, waarom niet? Zo ja, welke maatregelen?

Zie antwoord vraag 8.

Vraag 10

Bent u bereid om de aanpak «Mentale gezondheid voor ons allemaal» uit te breiden en specifiek aandacht te besteden aan de online leefwereld en de risico's voor meisjes? Zo ja, welke acties onderneemt u?

Met de aanpak richten we ons op preventie en het bevorderen van de mentale gezondheid van al onze inwoners met specifieke aandacht voor de jeugd. Juist omdat de aanpak voor iedereen is, is het belangrijk dat verschillende activiteiten inspelen op verschillende behoeften. Zie ook antwoord 6.

Vraag 1

Bent u bekend met het bericht «Aantal getroffen websites met ernstig kindermisbruik in twee jaar tijd verdubbeld»?1

Ja.

Vraag 2

Bent u het eens met de stelling dat het buitengewoon schrikbarend is dat het aantal websites met de meest ernstige vormen van kindermisbruik in twee jaar tijd is verdubbeld, namelijk naar 51.369 websites?

Ja; deze wereldwijde trend baart mij zorgen. Ieder jaar presenteert de Internet Watch Foundation (IWF) jaarcijfers waarin veel aandacht wordt geschonken aan enerzijds meldingen vanuit het publiek en anderzijds het eigen onderzoek van IWF naar de aanwezigheid van kinderpornografisch materiaal op het openbare deel van het internet. De aantallen die worden genoemd zijn dus afhankelijk van factoren als het aantal meldingen bij IWF en hoe eenvoudig en openbaar de toegang tot het materiaal is.

Vraag 3

Wat is volgens u de oorzaak van deze verdubbeling?

Het is niet eenvoudig om een enkele oorzaak van de verdubbeling van het aantal websites met ernstige vormen van kindermisbruik aan te wijzen; zeker omdat het lijkt te gaan om een wereldwijde trend. Daarbij is duidelijk dat seksueel getint beeldmateriaal dat zelf door minderjarigen wordt gemaakt in opkomst is. Laat ik duidelijk stellen dat hierbij niet altijd hoeft te gaan om materiaal dat vrijwillig tot stand is gekomen: het is mogelijk dat minderjarigen hiervoor onder druk worden gezet of gechanteerd of ze zijn zich er niet van bewust dat ze gefilmd worden. Vanuit Nederlands perspectief zal ik me blijven inzetten voor preventie en voorlichting om minderjarigen en hun ouders en voogden meer weerbaar te maken tegen deze vorm van misbruik.

Vraag 4

Welke redenen maken het aantrekkelijk om bijna een derde van deze websites op Nederlandse servers te hebben?

Het valt niet met zekerheid te zeggen waarom Nederland zo aantrekkelijk lijkt te zijn. Nederland beschikt over een uitstekende digitale infrastructuur. Dat betekent dat er sprake is van snelle verbindingen en beschikbaarheid van voldoende servers en opslagruimte voor webhosting. Deze aspecten leveren de Nederlandse economie veel voordelen op, maar kunnen ook misbruikt worden door criminelen. Daartegen moet doelgericht en effectief worden opgetreden. Juist door deze belangrijke rol van Nederland als wereldwijd internetknooppunt, is de aanpak van online criminaliteitsvormen, waaronder die van online seksueel kindermisbruik, ook een prioriteit van dit kabinet.

Vraag 5

Bent u bereid om maatregelen te nemen om verspreiding via Nederlandse servers aan te pakken? En zo ja, welke concrete maatregelen gaat u nemen?

Ja, daar ben ik zeker toe bereid. De ambitie van het kabinet is er te allen tijde op gericht al het beeldmateriaal van online seksueel kindermisbruik van Nederlandse servers te weren. Het rapport bevestigt dat dit een omvangrijk, ernstig en lastig te bestrijden fenomeen is. Het belang van de opsporing en vervolging van dit materiaal is opgenomen in de Veiligheidsagenda 2023–2026.2
Het is echter niet eenvoudig om het opslaan of online plaatsen van illegale content aan te pakken. Het is middels de EU-Richtlijn Elektronische Handel verboden om aan internettussenpersonen een algehele monitoringsverplichting op te leggen. Veel Nederlandse datacentra verhuren opslagruimte en verzorgen de aansluiting daarvan op het internet. Hun klanten plaatsen daar hun netwerkapparatuur, servers en opslagruimte voor webhosting. Deze hostingdiensten worden vaak doorverhuurd aan tussenpersonen in andere landen (die de webhosting daar veelal onder een eigen merk leveren), die vervolgens weer webruimte verhuren aan privépersonen of organisaties. Datacentra hebben daarom niet altijd zicht op wie aan het eind van de keten precies gebruik maken van hun diensten en welke content wordt gehost.
De inzet bij de bestrijding van illegale content gaat voor een belangrijk deel uit van zelfregulering door de internetsector. De Nederlandse overheid werkt reeds jaren samen met de internetsector aan de bestrijding van illegale content online. Zo is al in 2008 een Notice-and-Takedown-gedragscode (NTD) overeengekomen tussen overheden, internetaanbieders, hostingbedrijven, en andere tussenpersonen.3 Daar is in 2018 een addendum op gekomen voor het verbeteren van de bestrijding van materiaal van online kindermisbruik. Materiaal dat door het in de NTD-gedragscode als «trusted flagger» aangewezen Expertisebureau Online Kindermisbruik (EOKM) als strafbaar wordt aangemerkt, wordt hierdoor in de meeste gevallen al binnen 24 uur na het ontvangen van een verzoek daartoe verwijderd door hostingpartijen. Aanvullend bevat de in 2021 geactualiseerde Gedragscode Abusebestrijding maatregelen die hostingproviders kunnen nemen tegen misbruik van hun diensten voor meerdere vormen van illegale activiteiten.
Zoals reeds bekend bij uw Kamer, heeft het kabinet de oprichting van een Autoriteit online Terroristisch en Kinderpornografisch Materiaal (ATKM) aangekondigd. Deze Autoriteit krijgt de wettelijke bevoegdheid aanbieders van hostingdiensten op bestuursrechtelijke basis te verplichten online kinderpornografisch en/of terroristisch materiaal op hun server ontoegankelijk te maken of te verwijderen danwel deze partijen op te dragen passende en evenredige maatregelen te treffen om de opslag en doorgifte van online kinderpornografisch en/of terroristisch materiaal via hun diensten te beperken. Hiermee krijgt de Autoriteit middelen om in te grijpen indien de zelfregulering hapert, bijvoorbeeld wanneer een hoster weigert gehoor te geven aan een verwijderverzoek van illegale content in het zelfreguleringskader. Het wetsvoorstel dat voorziet in de wettelijke grondslag van deze autoriteit voor de handhaving met betrekking tot kinderpornografisch materiaal, is begin juni bij de Tweede Kamer ingediend.

Vraag 6

Welke consequenties kunnen websites verwachten die online kindermisbruik op hun sites tonen, als het gaat om controle en sancties?

Om bestuursrechtelijk te kunnen handhaven heeft het kabinet de oprichting van een Autoriteit online Terroristisch en Kinderpornografisch Materiaal (ATKM) aangekondigd. Het wetsvoorstel is op 12 juni jl. naar uw Kamer verzonden.
Deze Autoriteit krijgt de wettelijke bevoegdheid aanbieders van hostingdiensten op bestuursrechtelijke basis te verplichten online kinderpornografisch en/of terroristisch materiaal op hun server ontoegankelijk te maken of te verwijderen danwel deze partijen op te dragen passende en evenredige maatregelen te treffen om de opslag en doorgifte van online kinderpornografisch en/of terroristisch materiaal via hun diensten te beperken. Doen ze dat niet, dan kunnen er boetes worden opgelegd. Hiermee krijgt de Autoriteit middelen om in te grijpen indien de zelfregulering hapert, bijvoorbeeld wanneer een hoster weigert gehoor te geven aan een verwijderverzoek van illegale content in het zelfreguleringskader.
In geval van verdenking van een misdrijf als omschreven in artikel 67, eerste lid, Sv kan de officier van justitie met een machtiging van de rechter-commissaris aan een aanbieder van een communicatiedienst bevelen om gegevens ontoegankelijk te maken als dit noodzakelijk is ter beëindiging van een strafbaar feit. Dit is geregeld in artikel 125p Sv. In artikel 54a Sr is vervolgens bepaald dat als een aanbieder voldoet aan dat bevel, de aanbieder niet wordt vervolgd. Mocht er toch geen uitvoering worden gegeven aan een dergelijk bevel dan is vervolging voor het niet opvolgen daarvan mogelijk. Dat is geregeld in artikel 184 Sr.
Indien een tussenpersoon bewust criminaliteit faciliteert, zoals beeldmateriaal van online seksueel kindermisbruik, kan deze strafrechtelijk aansprakelijk worden gehouden. Zo heeft het Gerechtshof in Den Haag bepaald dat een telecommunicatiedienstprovider die zich ervan bewust is dat zijn klanten crimineel gedrag vertonen en/of criminele content aanwezig hebben dan wel verspreiden, en deze klanten daarbij desalniettemin faciliteert, mogelijk strafrechtelijk aansprakelijk kan worden gehouden, ook als de officier van justitie niet vooraf een verwijderbevel heeft afgegeven.4 Of daar sprake van is, dient per geval te worden beoordeeld.

Vraag 7

Het jaarrapport van de Internet Watch Foundation (IWF) laat zien dat online kindermisbruik steeds zichtbaarder wordt en niet meer weggestopt is op hetdark web: is het voor de opsporingsdiensten dan juist niet makkelijker om online kindermisbruik offline te laten halen en de websites en dader(s) te sanctioneren? Zo nee, waarom niet?

De mogelijkheden voor handhaving die opsporingsdiensten hebben op het openbare internet lijken inderdaad groter omdat hostingdiensten beter bereikbaar zijn. Daartegenover staat dat veel van het beeldmateriaal wordt gedeeld via interpersoonlijke communicatiediensten, private chats of beveiligde fora die versleuteld zijn via end-to-end encryptie.5 Dat maakt de opsporing lastig.
Voor de afspraken in de Veiligheidsagenda is leidend dat opsporingscapaciteit wordt ingezet daar waar het maatschappelijk effect daarvan het grootst is. Dit is wanneer slachtoffers ontzet worden uit acute misbruiksituaties, zowel nationaal als internationaal. Dit kan door het opsporen en vervolgen van daders, het verstoren van de netwerken die seksueel kindermisbruik aanjagen of het tegengaan van het reizen van daders die voor het plegen van seksueel kindermisbruik naar het buitenland gaan. Daarom zal de komende jaren gefocust worden op opsporingsonderzoeken in categorie A (vervaardigers en misbruikers) en categorie B (keyplayers en netwerken).
De politie draagt bij aan de bereidheid van slachtoffers om zich te melden bij organisaties die hen kunnen helpen, bijvoorbeeld bij het offline halen van beeldmateriaal. De politie doet dit bijvoorbeeld door het ondersteunen van deze hulporganisaties of het uitvoeren van voorlichtingscampagnes.

Vraag 8

Hoeveel online kindermisbruik is dit jaar verwijderd en hoeveel websites zijn gesanctioneerd voor het vertonen van online kindermisbruik?

Onlangs heb ik uw Kamer een brief gestuurd waarin enkele aspecten rondom de bevoegdheden van de ATKM nader worden toegelicht en de resultaten van de jaarlijkse TU Delft Monitor over het hosten van materiaal van online seksueel kindermisbruik worden meegenomen.6 Ik herhaal dat het erop lijkt dat het totale volume van dergelijk materiaal dat aangetroffen is verlaagd is, maar dat er een teruggang lijkt te zijn in verwijderingssnelheid. Dat baart mij zorgen. Daarnaast is het landschap qua hostingbedrijven veranderd; bekende hostingbedrijven zetten zich meer in om materiaal van online seksueel kindermisbruik te verwijderen, maar nieuwe partijen lijken zich volgens de TU Delft monitor minder bewust van de regels en afspraken te zijn. Ook dat laat zien dat een doorlopende samenwerking en overleg met de sector van groot belang is.
Offlimits, voorheen bekend als het Expertisebureau Online Kindermisbruik, houdt een overzicht bij van ontvangen meldingen, de beoordeling daarvan en het aantal verzoeken tot verwijdering die vervolgens worden gedaan. Het meest recente overzicht is te vinden in het jaarverslag van 2021.7 In dat jaar zijn in totaal 236.743 meldingen binnen Nederland gedaan, waarbij het bij 212.556 van de meldingen inderdaad ging om illegale inhoud waarvoor een verwijderverzoek is gedaan.
In beginsel zijn platformen en websites niet aansprakelijk voor de inhoud die zij laten zien. Zij hebben volgens de EU-Richtlijn Elektronische handel onder voorwaarden een vrijstelling van aansprakelijkheid. De strafrechtelijke sanctionering ziet daarom met name op degenen die het materiaal van seksueel kindermisbruik online hebben gezet, niet op websites zelf. Over 2022 zijn geen cijfers bekend van het sanctioneren van websites.

Vraag 9

Hoe kunt u ervoor zorgen dat de makers en verspreiders van online kindermisbruik sneller en harder worden bestraft?

Zoals aangegeven in de beantwoording op de vragen 5 en 6 hierboven heeft de aanpak van online kindermisbruik hoge prioriteit. Deze aanpak is in de eerste plaats gericht op het effectief opsporen en vervolgen van daders via het strafrecht. Om te voorkomen dat eenmaal gepubliceerd strafbaar materiaal op het internet blijft staan of blijft rondgaan, wat voor slachtoffers eveneens zeer schadelijk is, richt mijn aanpak zich daarnaast op de snelle verwijdering ervan. Ik verwijs u in dit kader naar mijn beantwoording van vraag 5.

Vraag 10

In hoeverre kunnen de Digital Services Act en het voorstel voor nieuwe Europese wetgeving tegen online kindermisbruik voorkomen dat online kindermisbruik wordt verspreid en op het internet blijft circuleren?

De Digital Services Act zal de verplichtingen voor de sector met betrekking tot illegale activiteit of inhoud verscherpen. Zo moeten zeer grote onlineplatformen en zoekmachines bijvoorbeeld een risicoanalyse doen van hun systemen om te controleren in hoeverre zij vatbaar zijn voor criminele activiteiten. Vervolgens dienen ze daarop risicobeperkende maatregelen te nemen. Ook worden er minimumvereisten gesteld aan het afhandelen van meldingen over illegale content. Indien zij niet voldoen aan deze vereisten kan er op gehandhaafd worden: voor grote platformen en zoekmachines is dat de Europese Commissie; voor in Nederland gevestigde hostingbedrijven zal dat de nationale digitaledienstencoördinator worden.
Het voorstel van de Europese Commissie voor een verordening ter voorkoming en bestrijding van seksueel kindermisbruik is erop gericht om nadere regels vast te stellen voor de specifieke illegale content die beeldmateriaal van seksueel kindermisbruik is. De onderhandelingen hierover tussen de Europese Commissie en de Europese lidstaten lopen nog.

Vraag 11

In welke mate wordt versleutelde end-to-end-encryptie gebruikt om online beelden van kindermisbruik te delen?

Vanwege het wijdverbreide gebruik van end-to-end-encryptie voor berichtenverkeer is het lastig om een compleet beeld te hebben van de hoeveelheid materiaal dat via dergelijk berichtenverkeer wordt gedeeld. Wel is het duidelijk, zoals ook het rapport van de Internet Watch Foundation aangeeft, dat er steeds meer gebruik wordt gemaakt van dergelijke interpersoonlijke communicatiediensten voor het delen van beeldmateriaal. Daarom is het van belang dat er mogelijkheden zijn om onder bepaalde omstandigheden toegang tot dit berichtenverkeer te krijgen, onder passende voorwaarden en waarborgen.

Vraag 12

Welke mogelijkheden hebben de Nederlandse opsporingsdiensten nu om verspreiding via versleutelde end-to-end-encryptie een halt toe te roepen?

De opsporingsdiensten zijn, in de meeste gevallen, sterk afhankelijk van de wijze waarop versleutelde communicatiediensten de verspreiding van dergelijk materiaal zélf trachten te voorkomen op hun platform. Bepaalde communicatiediensten doen dit bijvoorbeeld door foto- en videomatching van niet-versleutelde informatie, zoals profiel- en groepsfoto’s of groepsinformatie of op basis van verdacht gedrag waarbij wordt gekeken naar metadata. Wanneer de communicatiedienst, op basis van deze technieken, een melding stuurt naar de Amerikaanse toezichthouder NCMEC (conform Amerikaanse wetgeving) en de toezichthouder deze zaak doorverwijst naar Nederland, dan kunnen Nederlandse opsporingsdiensten in bepaalde gevallen optreden tegen individuele daders.
Wanneer een vermoeden bestaat dat een persoon in bezit is van materiaal van seksueel kindermisbruik, is het voor de opsporingsdiensten in bepaalde gevallen mogelijk om toegang te krijgen tot dit materiaal – en zo de verspreiding daarvan te voorkomen. Meestal gaat het dan om toegang tot individuele apparaten, bijvoorbeeld middels een ontsleutelbevel of de bevoegdheid om binnen te dringen in een geautomatiseerd werk, zoals opgenomen in de Wet Computercriminaliteit III. Deze middelen zijn – gelet op de inbreuk die de inzet maakt op de grondrechten – alleen onder strenge voorwaarden inzetbaar, en de uitkomsten zijn afhankelijk van een (grote) set van externe factoren.

Vraag 1

Deelt u de mening dat complottheorieën gevuld met desinformatie een gevaar vormen voor de democratische rechtsorde in Nederland zoals is gebleken uit het jaarverslag van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD)? Kunt u op dit onderdeel uw eigen reflectie geven?1

De ontwikkelingen die de AIVD signaleert, geven inderdaad reden tot zorg. Het kwaadaardig elite-narratief is een directe aanval op mensen die in de politiek, de rechterlijke macht of de pers werken. Het is ondermijnend voor de democratische rechtsorde als mensen systematisch het gezag van deze instituties verwerpen op basis van ernstige verdachtmakingen waar geen feitelijk bewijs voor is. Het belemmert de versterkende werking van deze instituties, nog los van de uitwassen van extreme haat, intimidatie en bedreigingen die mensen in publieke functies over zich heen krijgen. Voor verdere reflectie op dit onderwerp wijs ik u graag op de aanbiedingsbrief bij de recentelijke publicatie «Anti-institutioneel-extremisme in Nederland»2 en de Kamerbrief Rijksbrede strategie effectieve aanpak van desinformatie.3

Vraag 2

Hoe worden artikelen 137d, 131 en 132 in het Wetboek van Strafrecht toegepast op het moment dat een persoon desinformatie verspreidt aangezien de definitie van desinformatie zegt dat de verspreider de informatie opzettelijk rondstuurt?

Bij het bepalen of er bij de betreffende desinformatie sprake is van een strafbaar feit als gevolg van overtreding van bijvoorbeeld artikel 131, 132 of 137d van het Wetboek van Strafrecht gaat het om de intentie waarmee de verspreider de informatie opzettelijk heeft verstuurd. Indien de verspreiding van de desinformatie gericht is op opruiing tot strafbare feiten of gewelddadig optreden tegen het openbaar gezag, kan dat leiden tot een vervolging. Hetzelfde geldt voor artikel 137d Sr: als de intentie van de desinformatie gericht is tot het aanzetten tot haat, geweld of discriminatie, dan kan dat mogelijk leiden tot een vervolging.

Vraag 3

Kunt u voorbeelden vanuit de praktijk opnoemen waar deze artikelen werden toegepast?

Het is lastig om specifieke voorbeelden te noemen waar deze artikelen zijn toegepast in relatie tot het verspreiden van desinformatie, omdat deze artikelen op zichzelf staand een strafbaar feit bevatten en desinformatie op zichzelf staand niet. Wel is recentelijk een man veroordeeld voor opruiing (artikel 131 Wetboek van Strafrecht) omdat hij o.a. opriep tot geweld tegen het toenmalige hoofd van het RIVM. De rechtbank concludeerde hier dat de voorwaarden voor artikel 131 Sr bewezen zijn. Daarnaast concludeerde de rechtbank dat de verdachte niet op grond van een accurate feitelijke basis heeft gehandeld en geen betrouwbare en precieze informatie heeft gegeven in overeenstemming met de journalistieke ethiek.4

Vraag 4

Wat is uw mening over algoritmes en isolerende echokamers?

Aanbevelingsalgoritmen kunnen ervoor zorgen dat websites en zoekmachines hun resultaten afstemmen op eerder online zoekgedrag. Doordat bijvoorbeeld een tijdlijn, aanbevelingen of zoekresultaten worden gepersonaliseerd, krijgt iemand informatie te zien die beter aansluit bij persoonlijke interesses. Een echokamer verwijst naar het principe dat iemands eigen ideeën bevestigd worden, als die persoon zich enkel omringt door mensen die op dezelfde manier denken. In dit kader gaat het om het verschijnsel waarbij websites en zoekmachines hun resultaten afstemmen op iemands (eerdere) online zoekgedrag en daarna voornamelijk of zelfs enkel gelijksoortige content aanbieden. Het gevaar van zo’n echokamer is dat dergelijke personalisatie ertoe kan leiden dat mensen eenzijdig worden geïnformeerd door de beperkte informatie die binnen een groep gedeeld wordt, en niet door algoritmen ook breed informatie krijgen aangeboden vanuit diverse perspectieven uit andere groepen.
Zo kunnen mensen enkel nog informatie te zien krijgen die dezelfde ideeën bevestigd, waardoor het wereldbeeld kan verengen. Dat is extra risicovol wanneer het om extremistische of emotionele berichten gaat5. Zo kan deze algoritmische sturing ervoor zorgen dat wanneer iemand recent een extremistisch of emotioneel bericht heeft gelezen, of wanneer gebruikers voorafgaand aan het bezoek van een platform veel van deze berichten lezen en delen, iemand dan alleen maar gelijkaardige artikelen te zien krijgt. Dit kan grote persoonlijke of maatschappelijke impact hebben.

Vraag 5

Deelt u de mening dat het aanbod op sociale mediaplatforms meer pluriform gemaakt zou moeten worden zodat gebruikers minder snel slachtoffer worden van eenduidige tijdlijnen? Bent u bereid te pleiten voor algoritmevrije tijdlijnen?

Ja die mening deel ik. De Digital Services Act (DSA artikel6 verplicht alle online platformen om gebruikers beter te informeren over de belangrijkste parameters die in hun aanbevelingssystemen worden gebruikt. Tevens dienen zij transparant te zijn over eventuele opties voor afnemers van de dienst om deze parameters te wijzigen of te beïnvloeden. Als gebruikers de mogelijkheid hebben om het aanbevelingssysteem aan te passen, dan moet die functionaliteit makkelijk toegankelijk zijn.
Op grond van artikel 38 DSA moeten zogenaamde zeer grote online platforms en zoekmachines – zoals TikTok, Instagram, YouTube en Google – hun gebruikers verder ten minste één optie aanbieden waarmee ze de dienst kunnen gebruiken zonder dat deze gebruik maakt van profilering voor het doen van aanbevelingen. Gebruikers van deze platformen en zoekmachines krijgen dus de mogelijkheid om dit soort gepersonaliseerde aanbevelingssystemen uit te zetten en in plaats daarvan gebruik te maken van een aanbevelingssysteem dat niet gebaseerd is op profilering. Eind augustus van dit jaar dienen de zeer grote online platformen en zeer grote online zoekmachines al aan deze bepalingen te voldoen. Vanaf dat moment worden eenduidige tijdlijnen dus een stuk beter aangepakt en hebben gebruikers meer keuzevrijheid. Wanneer zeer grote online platformen en zoekmachines niet voldoen aan de verplichtingen uit de DSA, dan kan de Europese Commissie handhaven en onder meer een boete opleggen. De Europese Commissie zal hierop als toezichthouder controleren, maar ook wij zullen scherp monitoren of platformen aan deze verplichtingen voldoen. Bij eventueel geconstateerde gebreken zullen wij bij de aangewezen instanties melding doen.

Vraag 6

Bent u zich ervan bewust dat uit onderzoek is gebleken dat sociale mediabedrijven winst maken met hun algoritmes en kunt u hierop reflecteren?2

Ja, hiervan ben ik mijzelf bewust. In de Rijksbrede strategie voor de effectieve aanpak van desinformatie benoem ik daarom dat sociale media platformen een verdienmodel hebben gebaseerd op het personaliseren van hun diensten per individu. Dankzij de werking van de onderliggende aanbevelingssystemen wordt desinformatie soms zelfs beloond met een prominente plek op het platform. Daarbij raakt betrouwbare informatievoorziening ondergesneeuwd.8
Doeltreffende regelgeving en handhaving zijn daarom noodzakelijk om de risico’s en de maatschappelijke en economische schade die kunnen ontstaan effectief in kaart te brengen en te beperken. Zoals hierboven toegelicht, bevat de DSA onder meer regels over aanbevelingssystemen. De DSA verplicht aanbieders van zeer grote onlineplatforms en van zeer grote onlinezoekmachines verder om de zogenaamde systeemrisico’s te beoordelen die voortvloeien uit het ontwerp, de werking en het gebruik van hun diensten. De DSA verplicht hen passende maatregelen te nemen om deze risico’s te beperken met inachtneming van de grondrechten. Bij de risicobeoordeling moeten aanbieders rekening houden met de ernst van de potentiële systeemrisco’s en de waarschijnlijkheid daarvan. Daarvoor is bijvoorbeeld relevant of een potentieel risico een groot aantal personen kan betreffen, of dat risico potentieel onomkeerbaar is, en hoe moeilijk het is om het risico, wanneer dit zich verwezenlijkt, te herstellen. Voornoemde zorgplicht maakt dat deze online platformen hun diensten niet enkel meer kunnen vormen om een winstmodel, maar tevens in lijn moeten brengen met maatschappelijke belangen zoals gedefinieerd in de DSA.

Vraag 7

In hoeverre vindt u dat sociale mediabedrijven om deze reden minder snel hun verantwoordelijkheid zullen nemen om desinformatie terug te dringen als hierop onvoldoende wordt gecontroleerd?

Zoals hierboven aangegeven zijn algoritmen vaak geoptimaliseerd op een verdienmodel en niet op het bestrijden van desinformatie. Controle en handhaving op bovengenoemde regelgeving uit de DSA is dan ook noodzakelijk. De digitale dienstencoördinator en één of meer andere bevoegde autoriteiten in het land van vestiging en de Europese Commissie zijn de (wettelijk) aangewezen autoriteiten om hierop te controleren. Indien sociale mediabedrijven niet voldoen aan de wettelijke verplichtingen kan hen een boete worden opgelegd van maximaal 6% van hun wereldwijde jaaromzet.

Vraag 8

In hoeverre deelt u de overtuiging dat de toezeggingen in de brief over desinformatie te vrijblijvend zijn gebleken?3

Op dit moment bestaat inderdaad het beeld 10 dat platformen nog ruimte voor verbetering hebben. De platformen voldoen niet aan alle toezeggingen zoals geformuleerd in de Code of Practice on Disinformation en Twitter heeft zich onlangs zelfs teruggetrokken uit deze praktijkcode. Daarom is er de afgelopen jaren in Europees verband ook verplichtende wetgeving gemaakt. De toezeggingen die de online platformen hebben gedaan in de EU Code of Practice on Disinformation zijn allemaal op vrijwillige basis gedaan. Met ingang van 25 augustus 2023 treedt de DSA in werking voor zeer grote online platformen die verplichtingen oplegt. Maar ook vrijwillige toezeggingen zijn niet vrijblijvend en ik ben daarom in gesprek met de verschillende partijen. Het is belangrijk dat grote online platformen hun verplichtingen en toezeggingen nakomen. Op 12 juni 2023 heb ik een ronde tafel georganiseerd waarbij onder andere wordt gesproken over de nakoming van de toezeggingen en de aankomende verplichting onder de DSA rondom datadeling met wetenschappers. Eind 2023 zullen we uw Kamer informeren over de voortgang van de uitvoering van de Rijksbrede strategie.

Vraag 9

Kunt u toezeggen dat er door u concrete afspraken worden gemaakt met sociale mediabedrijven om desinformatie en isolerende algoritmes tegen te gaan?

Zoals hierboven uiteengezet is er belangrijke wetgeving tot stand gekomen (de DSA) en zijn er reeds concrete afspraken, namelijk de code of practice, om desinformatie en isolerende algoritmes tegen te gaan. Met ingang van 25 augustus 2023 treden de bepalingen vanuit de DSA ten aanzien van de zeer grote online platforms en zoekmachines in werking en moeten zij gaan voldoen aan deze wettelijke bepalingen. Alle overige tussenhandeldiensten moeten met ingang van februari 2024 aan de DSA voldoen. Wij gaan dat nauwlettend volgen en zorgen ervoor dat wij aan onze kant alles doen om een zo soepel mogelijke implementatie en toezicht te organiseren. Hiertoe heb ik onder andere op 12 juni a.s. aan de ronde tafel met een vertegenwoordiger van de Europese Commissie gesproken.

Vraag 10

Welke rol hebben traditionele media in het tegengaan van desinformatie?

Een pluriform aanbod van nieuws en informatie is onmisbaar voor democratisch burgerschap. Voor het vertrouwen van burgers in het nieuws is het noodzakelijk dat het onafhankelijk geproduceerd wordt en dat daarbij deugdelijke journalistieke principes gevolgd worden. Op deze manier dragen traditionele media bij aan het beperken van de voedingsbodem voor de negatieve effecten op de samenleving. Meer concreet kunnen zij bijdragen door het publiceren van fact-checks, het maken van betrouwbare journalistiek of door gedegen onderzoek te doen naar aspecten van desinformatie.11 De staatsecretaris van Onderwijs, Cultuur en Wetenschap investeert in onderzoeksjournalistiek door het bestaande budget voor onderzoeksjournalistiek (à € 4,9 miljoen) te verhogen met een aanvullend budget vanuit het huidige coalitieakkoord. Deze aanvullende middelen bedroegen in 2022 € 2,4 miljoen en in 2023 € 3,7 miljoen. In de Visiebrief lokale omroepen is toegelicht hoe met een structurele investering van € 16 miljoen en een wijziging van het bestel gewerkt wordt aan de versterking van lokale omroepen.

Vraag 11

Bent u bekend met het gegeven dat desinformatie gepaard gaat met manipulatie? Kunt u met deze gedachte in het achterhoofd uiteenzetten waarom u ervoor hebt gekozen om veel van de verantwoordelijkheid omtrent het tegengaan van desinformatie bij de burger te leggen?

Daar ben ik zeker mee bekend. De rijksoverheid definieert desinformatie als het doelbewust, veelal heimelijk, verspreiden van misleidende informatie, met het doel schade toe te brengen aan het publieke debat, democratische processen, de open en kenniseconomie of volksgezondheid. Het is een vorm van schadelijk, maar vaak legaal, gedrag. Desinformatie kan een combinatie zijn van feitelijke, onjuiste of deels onjuiste informatie, maar heeft altijd de intentie om te misleiden en te schaden.
De vrijheid van meningsuiting is een kernwaarde van democratie. Daarom blijft het uitgangspunt dat het bestempelen van desinformatie als zodanig en factchecken primair geen taak is van overheden. Een terughoudende opstelling van de overheid is op dit gebied gewenst om voldoende ruimte te laten voor kritiek en het publieke debat. Het adresseren van desinformatie is primair een taak van journalistiek en wetenschap, al dan niet in samenwerking met internetdiensten. De overheid bepaalt niet wat wel of niet betrouwbare informatie is. Daar zijn burgers en onafhankelijke platforms en media in eerste instantie zelf verantwoordelijk voor. Daarom zet het kabinet in op het versterken van de weerbaarheid van burgers. Daar waar het gaat om het verminderen van de invloed van desinformatie neemt de overheid ook zelf maatregelen, afhankelijk van de inhoud van desinformatie, de producent of verspreider, of de verantwoordelijkheden van traditionele en sociale media. Regulering van online platformen om uitwassen te voorkomen valt hier ook onder. Voor een meer gedetailleerde uitleg van de kabinetsaanpak verwijs ik u naar de Rijksbrede strategie effectieve aanpak van desinformatie12. Tegelijkertijd blijven we de ontwikkelingen op dit gebied volgen zodat we het beleid kunnen aanpassen waar nodig. Eind 2023 zullen we uw Kamer hier over informeren in de voortgangsbrief van de Rijksbrede strategie.

Vraag 12

Hoe bent u van plan om burgers – en met name jongeren – mediawijs te maken? Hoe zal dit er in de praktijk uit gaan zien en hoe worden burgers die al in de greep van desinformatieverspreiders worden gehouden bereikt?

Het kabinet hecht groot belang aan mediawijsheid en aan een mediawijze samenleving. Daartoe financiert de overheid het Netwerk Mediawijsheid. Een mediawijze burger kan meer dan alleen knoppen bedienen of internet gebruiken, een mediawijze burger kan passief, actief, interactief en effectief omgaan met media. De uitdagingen op dit thema zijn veelzijdig. Het gaat om grote thema’s die de hele samenleving aangaan. Denk bijvoorbeeld aan cybercrime, gezondheid, online bedreigingen, racisme, inclusie, desinformatie of de impact van sociale media in onze samenleving.
De kracht van het Netwerk, bestaande uit meer dan 1300 netwerkpartners, ligt op kennisdeling en samenwerking. Zo is er een serious game voor de groepen 7 en 8 in het primair onderwijs, waar ongeveer de helft van alle basisschoolleerlingen aan meedoet. Ook zijn er diverse informatieve websites (www.mediawijsheid.nl of www.hoezomediawijs.nl), met jaarlijks zo’n 400.000 bezoeken. Via goed gewaardeerde netwerkevenementen en inhoudelijke congressen worden netwerkpartners aangemoedigd mee te doen met de missie van het netwerk: «Iedereen mediawijs». Kinderen en jongeren zijn van oudsher een belangrijke doelgroep voor het Netwerk. Nu steeds meer scholen in het funderend onderwijs aandacht voor mediawijsheid opnemen in hun lesprogramma’s, heeft het Netwerk de horizon verbreed naar een volwassen doelgroep.

Vraag 13

Erkent u dat slachtoffers van desinformatie het vertrouwen in de overheid sneller kwijt zijn en daardoor naar waarschijnlijkheid ook geen vertrouwen zullen hebben in initiatieven als www.crisis.nl of www.isdatechtzo.nl die vanuit de overheid naar hen zijn gericht?

De weerbaarheid van burgers kan versterkt worden door ze mediawijs te maken, zodat ze zelf media beter kunnen beoordelen. Op bijvoorbeeld isdatechtzo.nl en op Crisis.nl kunnen burgers informatie en tips over aspecten van desinformatie vinden. Hiermee dragen deze initiatieven bij aan het verminderen van de voedingsbodem voor desinformatie. Daarnaast heeft de wijze waarop (overheids-)instituties communiceren directe invloed op het toenemen of wegnemen van wantrouwen bij burgers.13 Daarmee kan goede communicatie dus ook bijdragen aan het verminderen van de voedingsbodem voor desinformatie.
Samenwerking met betrokken partners blijft cruciaal, juist omdat deze partners verschillende groepen in de samenleving kunnen bereiken. Ook bibliotheken, musea en andere maatschappelijke organisaties ondernemen daarom activiteiten om mensen bewuster te maken van de werking en het herkennen van desinformatie. Het kabinet verwelkomt zulke maatschappelijke initiatieven van harte. Naast de inzet op bewustwording over online desinformatie, werkt de Staatssecretaris van Cultuur en Media samen met het Netwerk Mediawijsheid aan een bewustwordingstraject om kennis en vaardigheden over de waarde van de journalistiek in de samenleving te vergroten. Het versterken van de weerbaarheid van burgers is niet voorbehouden aan de rijksoverheid. Ook het maatschappelijk middenveld, media en wetenschap dragen hieraan bij.14

Vraag 14

Wat vindt u ervan dat Elon Musk een nieuw beleid heeft geïntroduceerd omtrent Twitter Blue waarin hij alleen gebruikers die zijn geabonneerd bij het platform in de «For You» pagina worden weergegeven? In hoeverre is dit volgens u in strijd met de Digital Services Act?4, 5, 6

Hoewel Twitter zich onlangs heeft teruggetrokken uit de Code of Practice on Disinformation, moet Twitter zich met ingang van 25 augustus 2023, net als alle andere VLOPs, wel houden aan de DSA. Twitter is echter een privaat bedrijf en kan in dit kader ook eigen bedrijfsregels en/of algemene voorwaarden vaststellen voor de gebruikers op dit platform. Het enkel laten verschijnen van Tweets in de for you tijdlijn, om zogezegd op deze manier desinformatie door bots tegen te gaan, is niet in strijd met de DSA of een andere wet.

Vraag 15

Kunt u toezeggen dat deze vragen voor het commissiedebat Desinformatie en online platformen van de vaste Kamercommissie voor Digitale Zaken op 14 juni 2023 zijn beantwoord?

Ja.

Vraag 1

Bent u bekend met het bericht «Deepfakes op TikTok maken illegale reclame voor leningen» van BNR Nieuwsradio?1

Ja.

Vraag 2

Vindt u het met mij eveneens verwerpelijk dat een internationaal reclamenetwerk door middel van deepfakes met name jongeren met valse beloften naar leensites lokt?

Ja, reclame die is gebaseerd op valse beloften is sowieso verwerpelijk. Dat dit nog eens specifiek is gericht op jongeren maakt het nog kwalijker.

Vraag 3

Kun u aangeven welke wet- en regelgeving wordt overtreden door deze reclames op TikTok, zoals gesteld in het artikel, wie deze overtredingen begaat en wie verantwoordelijk is voor het naleven en handhaven van de wet- en regelgeving op dit punt?

Het is aan de rechter of toezichthouders om overtredingen vast te stellen, en niet aan het kabinet. Tot nu toe is voor zover bekend nog geen overtreding vastgesteld. Wij hebben evenmin informatie over lopende of nog te starten onderzoeken. Daarover kunnen de toezichthouders, die onafhankelijk zijn, ook geen uitspraken doen. Hieronder geef ik wel een overzicht van de wet- en regelgeving die in dit kader van toepassing is.

Vraag 4

Kunt u bevestigen dat ABN AMRO, ING en Pricewise niet betrokken zijn bij deze reclamestrategie en er evenmin van op de hoogte waren?

ABN AMRO, ING en Pricewise laten weten niet van deze advertentiewijze te weten en niet hiermee geassocieerd te willen worden. Zij hebben geprobeerd de reclames zo snel mogelijk uit de lucht te halen via TikTok en Google. TikTok heeft inmiddels aan ABN AMRO aangegeven dat de advertenties over leningen niet in lijn zijn met de richtlijnen voor financiële instanties. Alle advertenties zijn van het platform verwijderd. Ook zijn alle accounts geblokkeerd van waaruit de advertenties geplaatst zijn.

Vraag 5

Zo ja, ligt het voor deze bedrijven in de rede een financiële claim in te dienen bij de producent van deze reclames?

ING heeft aangeven om, indien duidelijk is wie er verantwoordelijk is voor het plaatsen van deze advertenties, te bekijken wat juridisch de mogelijkheden zijn en of het nodig is om hier actie op te ondernemen. De andere betrokken bedrijven hebben zich hier niet over uitgelaten. Vooralsnog zijn geen claims ingediend.

Vraag 6

Bent u bereid om als aandeelhouder van ABN AMRO aan te dringen op het stopzetten van deze reclames en het indienen van een schadeclaim bij de producent van deze reclames?

NLFI is namens de staat aandeelhouder. Het ministerie staat daarbij op afstand. Dee bank heeft uit zichzelf al de nodige acties ondernomen.

Vraag 7

Deelt u de opvatting dat de producent van deze deepfakereclames misbruik maakt van het reclamenetwerk van Google?

Google heeft aangegeven dat deze advertentie niet door Google op TikTok is weergegeven. Als Google advertenties aantreft van gebruikers die de beleidsregels inzake misleiding van gebruikers schenden, kan het account worden beëindigd. Zie daarnaast de beantwoording van vraag 3 voor wat betreft de regels die gelden voor de uploader(s) van de reclamevideo’s. Het is aan de bevoegde autoriteiten om te oordelen of er al dan niet sprake is van misbruik van het reclamenetwerk.

Vraag 8

Welke verantwoordelijkheid ligt er in juridisch en moreel opzicht bij zowel Google als TikTok om ervoor te zorgen dat gebruikers hun platform op een veilige manier kunnen gebruiken en oplichting van gebruikers met name jongeren te voorkomen?

Voor de beantwoording van deze vraag over de verantwoordelijkheden in juridisch opzicht verwijs ik naar het antwoord bij vraag 3, waarin de verantwoordelijkheden van Google en TikTok op grond van de DSA worden toegelicht. Naast verplichtingen op grond van de DSA dienen online platforms als Google en TikTok zich ook te houden aan het generieke consumentenrecht. Over welke verantwoordelijkheden en verplichtingen er rusten op online platforms op grond van het consumentenrecht heeft de ACM in 2020 vuistregels gepubliceerd: Vuistregels Online platformen (acm.nl).
Verder is het een taak van platformen zelf om ervoor te zorgen dat de informatie die via hun diensten wordt verspreid zo betrouwbaar mogelijk is, maar ook om ervoor te zorgen dat gebruikers beter in staat zijn om foutieve of misleidende informatie te herkennen en signaleren.

Vraag 9

Op welke wijze gaat u gebruikers, met name jongeren, beschermen tegen dergelijke praktijken die desastreuze financiële gevolgen kunnen hebben, met name omdat experts verwachten dat deepfake reclames in de nabije toekomst niet van echt te onderscheiden zijn?

De Nederlandse overheid zet allereerst in op het mediawijs en weerbaar maken van burgers en scholieren. Steeds meer scholen in Nederland besteden binnen de context van digitale geletterdheid en mediawijsheid aandacht aan bijvoorbeeld desinformatie. Voor scholen gebeurt dat onder meer door al bestaand lesmateriaal overzichtelijk te bundelen. Op die manier worden scholen geholpen met het vormgeven van hun lessen over deze onderwerpen. Voor de bredere kabinetsinzet ten aanzien van het versterken van de weerbaarheid van burgers, verwijs ik u naar de Kamerbrief over de Rijksbrede strategie effectieve aanpak van desinformatie2.
De digitale wereld is complex. Er is een substantiële kennisasymmetrie tussen de bedrijven die de digitale wereld maken en de gebruikers daarvan. De precieze werking van dataverzameling, -deling en -gebruik is ingewikkeld, beïnvloedingen zijn subtiel en ongemerkt (denk aan grafische ontwerpen om gebruikers bepaalde keuzes te laten maken), maar ook de werking van apparaten zelf of instellingen zijn voor een gemiddelde gebruiker vaak moeilijk te doorgronden. Hierdoor wordt het voor gebruikers moeilijk om een goede inschatting te maken van de effecten van online activiteiten op eigen welzijn. Zeker als het gaat om kinderen. Naast dat bedrijven verplicht zijn om zo transparant mogelijk te zijn over hoe hun producten werken is goede voorlichting aan kinderen, ouders en verzorgers over kansen en risico´s in de digitale wereld cruciaal. Zoals aangekondigd in de brief van 16 december 2022 wil het kabinet daarom een meerjarige, brede publiekscampagne starten3. Het thema desinformatie zal daar onderdeel van uitmaken.
Op grond van de DSA zijn grote online platforms- en zoekmachines verplicht om jaarlijks de systeemrisico’s die voortvloeien uit de werking of het gebruik van hun diensten in kaart te brengen en deze risico’s zo nodig beperken. Systeemrisico’s zijn bijvoorbeeld de verspreiding van illegale inhoud en/of desinformatie via hun diensten, al dan niet met gebruikmaking van deepfakes. De Europese Commissie zal hier toezicht op houden.
Als het specifiek gaat over reclames voor krediet ziet de AFM toe op de vergunningplicht voor consumptief krediet en de normen die bij het antwoord op vraag 3 worden genoemd. Kredietaanbieders moeten onder meer toetsen of de lening verantwoord kan worden verstrekt en een BKR-toets doen. Er mag bovendien alleen krediet worden verstrekt aan 18+. Een kredietcontract aan minderjarigen is niet rechtsgeldig.
Ten aanzien van gebruik van AI geldt dat er in Brussel onderhandeld wordt over de AI act. Gebruikers van generatieve AI, zoals systemen die videomateriaal genereren of bewerken die aanzienlijk op bestaande personen lijken, worden onder de AI Act verplicht om uiterlijk op het moment van de eerste interactie of blootstelling duidelijk te maken dat sprake is van gegenereerde content. Tot slot kan worden vermeld dat de Europese Commissie wil dat partijen die zich hebben aangesloten bij de Code of Practice on Disinformation, technologie gaan ontwikkelen zodat AI gegenereerde content duidelijk gelabeld wordt, zodat geen twijfel meer kan bestaan of iets echt of een deepfake is. Hierover is de Europese Commissie op dit moment in gesprek met de ondertekenaars van de EU Code of Practice on Disinformation.

Vraag 10

Welke mogelijkheden zijn er om dit soort illegale reclames aan te pakken, wanneer het verantwoordelijke bedrijf is geïdentificeerd?

Zie vraag 3. De toepasselijke wet- en regelgeving geven de bevoegde autoriteiten, waaronder de AFM, de ACM of in het geval van de DSA de Europese Commissie, een mandaat te handhaven indien de regels worden overtreden.

Vraag 1

Hebt u kennisgenomen van het bericht «Aantal aangetroffen websites met ernstig kindermisbruik in twee jaar tijd verdubbeld»1?

Ja.

Vraag 2

Was u op de hoogte van de toename van op Nederlandse servers gehoste websites met kindermisbruik, en zo ja, vanaf wanneer bent u hiervan op de hoogte gebracht?

Er blijkt geen toename van gehoste websites met kindermisbruik op Nederlandse servers te zijn. Uit de monitoring door de TU Delft over 2022, waarvan ik het rapport onlangs met uw Kamer heb gedeeld, en het jaarrapport van de Internet Watch Foundation (IWF) blijkt juist dat het aandeel van Nederlandse servers is gedaald.2 Dat laat onverlet dat het aandeel nog steeds te hoog is en dat we dat stevig moeten aanpakken.

Vraag 3

Indien u al eerder op de hoogte was van de toename van deze websites die op Nederlandse servers wordt gehost, welke stappen heeft u naar aanleiding hiervan ondernomen? Indien u geen actie heeft ondernomen, kunt u dan uitleggen waarom niet?

De ambitie van het kabinet is er te allen tijden op gericht al het beeldmateriaal van online seksueel kindermisbruik van Nederlandse servers te weren. Het rapport bevestigt dat dit een omvangrijk, ernstig en lastig te bestrijden fenomeen is.
De inzet bij de bestrijding van online materiaal van seksueel kindermisbruik (CSAM) gaat voor een belangrijk deel uit van zelfregulering door de internetsector. Het is evenwel niet eenvoudig om het opslaan of online plaatsen van illegale content aan te pakken. Het is via de Richtlijn Elektronische Handel verboden om aan internettussenpersonen een algehele monitoringsverplichting op te leggen. Veel Nederlandse datacentra verhuren opslagruimte en verzorgen de aansluiting daarvan op het internet. Hun klanten plaatsen daar hun netwerkapparatuur, servers en opslagruimte voor webhosting. Deze hostingdiensten worden vaak doorverhuurd aan tussenpersonen in andere landen (die de webhosting daar veelal onder een eigen merk leveren), die vervolgens weer webruimte verhuren aan privépersonen of organisaties. Datacentra hebben daarom niet altijd zicht op wie aan het eind van de keten precies gebruik maken van hun diensten en welke content er wordt gehost.
De Nederlandse overheid werkt reeds jaren samen met de internetsector aan de bestrijding van illegale content online. Zo is er al in 2008 een Notice-and-Takedown (NTD) gedragscode overeengekomen tussen overheden, internetaanbieders, hostingbedrijven, en andere tussenpersonen.3 Daar is in 2018 een addendum op gekomen voor het verbeteren van de bestrijding van materiaal van online kindermisbruik. Materiaal dat door het in de NTD-gedragscode als «trusted flagger» aangewezen Expertisebureau Online Kindermisbruik (EOKM) als strafbaar wordt aangemerkt, wordt hierdoor in de meeste gevallen al binnen 24 uur na het ontvangen van een verzoek daartoe verwijderd door hostingpartijen. Aanvullend bevat de in 2021 geactualiseerde Gedragscode Abusebestrijding maatregelen die hostingproviders kunnen nemen tegen misbruik van hun diensten voor meerdere vormen van illegale activiteiten.
Om ook bestuursrechtelijk te kunnen handhaven heeft het kabinet de oprichting van een Autoriteit online Terroristisch en Kinderpornografisch Materiaal (ATKM) aangekondigd. Het wetsvoorstel is op 12 juni jl. naar uw Kamer verzonden.4
Deze Autoriteit krijgt de wettelijke bevoegdheid aanbieders van hostingdiensten op bestuursrechtelijke basis te verplichten online kinderpornografisch en/of terroristisch materiaal op hun server ontoegankelijk te maken of te verwijderen danwel deze partijen op te dragen passende en evenredige maatregelen te treffen om de opslag en doorgifte van online kinderpornografisch en/of terroristisch materiaal via hun diensten te beperken. Doen ze dat niet, dan kunnen er boetes worden opgelegd. Hiermee krijgt de Autoriteit middelen om in te grijpen indien de zelfregulering hapert, bijvoorbeeld wanneer een hoster weigert gehoor te geven aan een verwijderverzoek van illegale content in het zelfreguleringskader.

Vraag 4

Weet u wie er verantwoordelijk zijn voor de Nederlandse servers waarop websites met kindermisbruik worden gehost? Hoeveel van deze eigenaren zijn Nederlands en hoeveel zijn er afkomstig uit het buitenland? Hoeveel van deze servers zijn in particuliere handen en hoeveel worden beheerd door bedrijven? Zijn deze servers in kaart gebracht en, zo nee, kunt u hiernaar onderzoek doen en dit gedetailleerd in kaart brengen?

Het is lastig vast te stellen wie er precies verantwoordelijk zijn voor de servers waarop websites met kindermisbruik worden gehost. Zoals onder vraag 3 is aangegeven, verhuren veel Nederlandse datacentra opslagruimte en verzorgen de aansluiting daarvan op het internet. Hun klanten plaatsen daar hun netwerkapparatuur, servers en opslagruimte voor webhosting. Deze hostingdiensten worden vaak doorverhuurd aan tussenpersonen in andere landen (die de webhosting daar veelal onder een eigen merk leveren), die vervolgens weer webruimte verhuren aan privépersonen of organisaties. De privépersonen en burgers kunnen de ruimte bijvoorbeeld gebruiken om hun eigen website in te richten.
Criminelen misbruiken diensten van hostingproviders voor illegale activiteiten. Veel hostingproviders treden hier adequaat tegen op, maar een totaal overzicht naar nationaliteit en eigenaarschap hebben wij niet.
De door de TU Delft ontwikkelde «CSAM Hosting Monitor» heeft de afgelopen jaren wel inzichtelijk gemaakt welke bedrijven online materiaal van seksueel kindermisbruik hosten en het volume van het materiaal. De monitor is gebaseerd op bij het Expertisebureau Online Kindermisbruik (EOKM) binnengekomen meldingen. Er wordt ook bezien in hoeverre door hostingbedrijven opvolging werd gegeven aan de verzoeken van het EOKM om hun netwerken op te schonen. Dit geeft enigszins inzicht in het CSAM materiaal dat in Nederland wordt gehost.

Vraag 5

Hanteert Nederland criteria waaraan personen/bedrijven die een server en/of ruimte op een server afnemen van semi-publieke partijen, zoals providers of techbedrijven, moeten voldoen? Weet u of bedrijven de personen aan wie zij een server en/of serverruimte verhuren/verkopen screenen? Worden de websites die gehost worden op dit soort Nederlandse servers (periodiek en/of steeksproefsgewijs) onderworpen aan controles door de eigenaar van de servers? Zo ja, op welke manier gebeurt dat en verschilt dat per servereigenaar?

Er zijn geen wettelijke verplichtingen of criteria die het bedrijfsleven verplicht om klanten te screenen of onderzoek te doen. Er zijn hostingproviders en resellers (bedrijven die serverruimte doorverhuren) die naast hostingdiensten ook domeinregistratiediensten aanbieden (het registreren van een website). Deze partijen moeten conform de nieuwe Netwerk- en Informatiebeveiligingsrichtlijn verplicht accurate domeinnaamregistratiegegevens bijhouden (ook wel WHOIS gegevens genoemd). Deze gegevens kunnen worden gevorderd door opsporingsdiensten en/of het Openbaar Ministerie. Hierdoor zal het inzichtelijker worden welke personen bepaalde websites hebben geregistreerd in de Europese Unie.
Er zijn verschillende vrijwillige initiatieven gaande die transparantie in de server- en hostingmarkt in Nederland moeten vergroten. Een eerste richting betreft het ondersteunen van de sector met informatie over criminele handelingen. De Stichting Nationale Beheersorganisatie Internet Providers werkt samen met het Ministerie van Justitie en Veiligheid aan het project Cleannetworks. Dit project beoogt het opzetten van een systeem om hostingproviders structureel te informeren over actuele criminele handelingen en kwetsbaarheden. Hierdoor kunnen zij deze activiteiten op hun eigen netwerken tegengaan en zich beveiligen tegen dreigingen.
Daarnaast is in gezamenlijkheid met de private sector een Gedragscode Abusebestrijding opgesteld. Deze bevat maatregelen die hostingproviders kunnen nemen tegen misbruik van hun diensten voor meerdere vormen van illegale activiteiten. De Gedragscode wordt betrokken bij de inkoop van hostingdiensten voor de rijksoverheid.
Om de schaalvoordelen van hostingdiensten, dat wil zeggen de grootte van de datacapaciteit die geleverd kan worden, minder toegankelijk te maken voor criminelen, is het van belang dat alle hostingproviders hier maatregelen tegen nemen. Daarnaast heeft de politie diverse hostingproviders op de hoogte gesteld van criminele dienstverleners (ook wel resellers genoemd) die mogelijk misbruik maken van hun systemen. Daarbij is verzocht, indien deze partijen bij deze hostingproviders bekend zijn, deze niet meer als klant te accepteren. Hierover heb ik Uw Kamer op 16 maart geïnformeerd. 5

Vraag 6

Indien de eigenaren van (een deel van) de servers in Nederland waarop websites met kindermisbruik worden gehost afkomstig zijn uit het buitenland, op welke manier is de Nederlandse wet- en regelgeving met betrekking tot kindermisbruik, cybercrime en aanverwante zaken dan op hen van toepassing? Hoe gaat u deze wet- en regelgeving handhaven met betrekking tot deze buitenlandse servereigenaren?

Data die zich op Nederlandse servers bevindt, moet voldoen aan de Nederlandse wet- en regelgeving. Dat geldt ook voor de eigenaren van de servers.
In Nederland wordt al een aantal jaren succesvol samengewerkt tussen de internetsector en overheid op het gebied van illegale content. Overheid en internetsector richten zich daarbij op het zo snel mogelijk offline halen van het aangetroffen materiaal van seksueel kindermisbruik. Het beleid richt zich daarom op het notificeren en doen verwijderen van illegale (dat wil zeggen strafbare of anderszins onrechtmatige) content.
In geval van verdenking van een misdrijf als omschreven in artikel 67, eerste lid, Sv kan de officier van justitie met een machtiging van de rechter-commissaris aan een aanbieder van een communicatiedienst bevelen om gegevens ontoegankelijk te maken als dit noodzakelijk is ter beëindiging van een strafbaar feit. Dit is geregeld in artikel 125p Sv. In artikel 54a Sr is vervolgens bepaald dat als een aanbieder voldoet aan dat bevel, de aanbieder niet wordt vervolgd.
Om zoveel mogelijk tot harmonisatie van regelgeving op het gebied van tussenhandeldiensten in de Europese Unie te komen is de Digital Services Act (DSA) aangenomen. Deze verordening biedt o.a. regels over het modereren op illegale inhoud en activiteiten, legt rapportageverplichtingen op aan grote platformen en zoekmachines en verplicht elke lidstaat een digitaledienstencoördinator aan te wijzen voor de handhaving van de DSA.

Vraag 7

Hoe reflecteert u op de rol van Nederland als wereldwijde «digitale mainport», waardoor ons land een broedplaats lijkt te zijn geworden voor kindermisbruikers en cybercriminelen? Kunt u uitleggen waarom ons land voor dit soort activiteiten zo aantrekkelijk is?

Nederland beschikt over een uitstekende digitale infrastructuur. Dat betekent dat er sprake is van snelle verbindingen en beschikbaarheid van voldoende servers en opslagruimte voor webhosting. Deze aspecten leveren de Nederlandse economie veel voordelen op, maar kunnen ook misbruikt worden door criminelen.
Daartegen moet doelgericht en effectief worden opgetreden. Juist door deze belangrijke rol van Nederland als wereldwijd internetknooppunt, is de aanpak van online criminaliteitsvormen, waaronder die van online seksueel kindermisbruik, ook een prioriteit van dit kabinet.

Vraag 8

Kunt u uitleggen hoe het mogelijk is dat dergelijke activiteiten op servers in ons land kennelijk wel worden opgepikt, maar dat aan deze activiteiten vervolgens geen opvolging wordt gegeven in de vorm van aangifte en/of sancties?

Ik herken mij niet in het beeld dat er geen opvolging wordt gegeven door aangifte en sancties. Zoals ik hierboven heb beschreven, voert de politie bijvoorbeeld gerichte acties uit om hostingbedrijven te waarschuwen dat ze risico lopen voor criminele activiteiten. Hostingbedrijven die op de hoogte zijn van strafbare feiten op hun websites of platformen en daar vervolgens niet op acteren kunnen vervolgens aansprakelijk worden gehouden volgend aan artikel 125p Sv jo. 54a Sr. Uit het verleden blijkt echter wel dat de vervolging van hostingbedrijven die zich schuldig maken aan het actief faciliteren van criminaliteit lastig kan zijn, maar niet onmogelijk.
Zoals ik ook in mijn beantwoording onder vraag 3 heb aangegeven, richt het kabinet met de ATKM een nieuwe handhavingsautoriteit op die ook sancties kan opleggen indien niet wordt voldaan aan verzoeken tot verwijdering.

Vraag 9

Weet u of er, en zo ja welke, personen/bedrijven die op in Nederland gehoste servers websites met kindermisbruik laten draaien zijn opgespoord en vervolgd voor het distribueren van illegaal en belastend materiaal? Zo ja, zijn ook de eventuele externe eigenaren van die servers ingelicht en verhoord m.b.t kennis over deze websites die via hun servers werden gehost? Zo ja, wisten deze personen/bedrijven daar vanaf en welke actie hebben zij ondernomen om dit aan banden te leggen?

Nee. De aard van de meldingen en het onderzoek naar materiaal van online seksueel kindermisbruik van het IWF is er niet naar om hier direct informatie over te verkrijgen. Deze meldingen gaan over een URL, een andere benaming voor een webadres. Een URL dient ertoe de hostende partij te verzoeken deze verwijzing te verwijderen, maar deze URL bevat verder geen informatie die over eigenaarschap, geografische locatie e.d. direct uitsluitsel geeft. In het overgrote deel van al het materiaal van seksueel kindermisbruik dat zo wordt aangetroffen gaat het om reeds bekend materiaal dat verspreid wordt. Het is van belang dat dit materiaal zo snel mogelijk verwijderd wordt.

Vraag 10

Hoeveel van de websites die volgens het rapport van de Internet Watch Foundation2 gehost worden op Nederlandse servers zijn inmiddels offline gehaald?

Er zijn geen specifieke gegevens beschikbaar over het offline halen van de websites die door de IWF worden genoemd. De TU Delft Monitor over 2022 laat echter zien dat het erop lijkt dat het landschap is veranderd. Dit zou het gevolg kunnen zijn van het feit dat providers die in 2020/2021 dominant waren, maatregelen hebben genomen. Zo heeft het hostingbedrijf dat in een eerdere monitor bovenaan stond met het volume aan materiaal van seksueel kindermisbruik dat gehost werd, de banden verbroken met de klanten die diensten draaiden, zoals image hosting, die werden misbruikt door de criminelen die beeldmateriaal van seksueel kindermisbruik deelden. Zodra deze hostingprovider uit beeld verdween, daalde het totale volume van beeldmateriaal van seksueel kindermisbruik en kwamen andere providers en domeinen in beeld.

Vraag 11

Heeft u enig zicht op de makers van de content op de websites met kindermisbruik die in Nederland worden gehost? Zijn deze overwegend afkomstig uit het buitenland, of van Nederlandse afkomst? Zijn zij verbonden aan bepaalde (criminele) organisaties? Zijn er inmiddels al makers van deze content opgespoord en vervolgd?

Indien er een indicatie is van een link met Nederland wordt het Team ter Bestrijding van Kinderpornografie en Kindersekstoerisme van de politie ingezet. Die link kan een slachtoffer of vervaardiger van Nederlandse afkomst zijn of de betrokkenheid van een Nederlandse hoster en/of materieel dat in Nederland is gemaakt. Exacte cijfers over de aantallen slachtoffers, vervaardigers en/of verspreiders van online materiaal van seksueel kindermisbruik op websites die gehost worden op Nederlandse servers zijn onbekend.
Als het gaat om de aanpak van kinderporno door de politie ligt de prioriteit, gelet op de omvang van het fenomeen, bij het opsporen van slachtoffers om ze zo snel mogelijk weg te kunnen halen uit een acute misbruiksituatie, zowel nationaal als internationaal. Bij opsporingsonderzoeken ligt de focus op vervaardigers en misbruikers, keyplayers en netwerken. Het lukt steeds beter om slachtoffers sneller te identificeren door de goede samenwerking tussen de sector, politie en het openbaar ministerie. Wereldwijd wordt goed samengewerkt met Interpol en andere opsporingsdiensten. Sinds de inrichting in 2012 van de Teams ter Bestrijding van Kinderpornografie en Kindersekstoerisme bij de politie zijn door deze teams al meer dan 2.000 kinderen in Nederland geïdentificeerd en in veiligheid gebracht.
Duidelijk is dat seksueel getint beeldmateriaal dat zelf door minderjarigen wordt gemaakt in opkomst is. Momenteel is 40–60% van het nieuwe materiaal zelf gemaakt. Laat ik duidelijk stellen dat dit vaak geen geheel vrijwillig beeldmateriaal is: vaak worden minderjarigen hiervoor onder druk gezet of gechanteerd en zijn ze zich er niet van bewust dat ze gefilmd worden. Het gaat in deze gevallen dan niet om verbinding met een criminele organisatie. Vanuit Nederlands perspectief wil ik me blijven inzetten voor preventie en voorlichting om minderjarigen en hun ouders en voogden meer weerbaar te maken tegen deze vorm van misbruik.

Vraag 12

Weet u in welke mate er Nederlandse kinderen te zien zijn op het materiaal dat wordt aangeboden op de websites die gehost worden op Nederlandse servers? Zo nee, bent u bereid dit uit te zoeken?

Zie antwoord vraag 11.

Vraag 13

Weet u of, en zo ja in welke mate, het materiaal dat te zien is op de websites die in Nederland worden gehost ook in Nederland is gemaakt?

Zie antwoord vraag 11.

Vraag 14

Kunt u uitleggen waarom websites van dergelijke aard steeds zichtbaarder worden en makkelijker vindbaar zijn? Betekent dit dat er minder hard wordt opgetreden tegen dit soort digitale uitwassen en/of dat zedenzaken met kinderen en kindermisbruik in Nederland frequenter voorkomen en/of dat er minder streng tegen wordt opgetreden? Kunt u een analyse geven van de mogelijke redenen dat dergelijke content in toenemende mate een groter en meer openbaar platform vindt?

Het is onduidelijk of de zichtbaarheid van dergelijke omgevingen steeds beter wordt en of dit mogelijk het gevolg is van het feit dat opsporing op het DarkWeb steeds succesvoller is of door daders zo wordt ervaren. Nog steeds is het Clearweb aanzienlijk sneller dan het DarkWeb en dat kan ervoor zorgen dat beeldmateriaal van seksueel kindermisbruik nog steeds op openbare platformen te vinden is. Duidelijk is dat, ook in Nederland, er steeds meer materiaal is opgenomen in tal van databases waarmee het internet geschoond kan worden.
Wel is er zoals onder vraag 11 beantwoord is, voor nieuw materiaal een verschuiving te zien naar zelf gemaakt materiaal, bijvoorbeeld op social media. Het is belangrijk dat deze illegale inhoud gemeld wordt bij het EOKM of platformen zelf, zodat het sneller kan worden verwijderd.

Vraag 15

Hoe verhoudt zich het belastende materiaal op de in Nederland gehoste websites tot de cijfers van kindermisbruik en mensenhandel in ons land?

Het aandeel beeldmateriaal van online seksueel geweld tegen minderjarigen is lastig af te zetten tegen cijfers van offline kindermisbruik en mensenhandel. Online beeldmateriaal kan snel verspreid en aangepast worden en lang online blijven staan indien er niet snel gehandeld wordt. Het risico op een hoog volume is daarbij heel groot. Voor offline cijfers van kindermisbruik en mensenhandel worden aantallen slachtoffers bijgehouden, niet het aantal van hen gedeeld beeldmateriaal.

Vraag 1

Heeft u kennisgenomen van het artikel «Contactonderzoek GGD en corona-app dempten epidemie maar matig»?, van de Volkskrant en het onderzoek waarop dit artikel gebaseerd is?1, 2

Ja.

Vraag 2

Is voordat het bron- en contactonderzoek-stramien van kracht werd een impactanalyse gemaakt van de effectiviteit van dit programma? Zo ja, wat waren de resultaten daarvan en in hoeverre weken die af van de conclusies die nu uit bovengenoemd onderzoek komen? Indien deze erg afweken, kunt u dan beargumenteren hoe dit kan? Waarom is vooraf ingeschat dat de invloed op het in kaart brengen en indammen van het coronavirus zoveel groter zou zijn dan uiteindelijk daadwerkelijk het geval bleek?

Nee, er is geen impactanalyse gedaan.

Vraag 3

Wie hebben de vermeende en beoogde impact van het bron- en contactonderzoek in kaart gebracht en volgens welke methodiek?

Vanuit internationale organisaties werden aanbevelingen gedaan voor de inzet van bron- en contactonderzoek (BCO) voor de bestrijding van COVID-19. Zie bijvoorbeeld: Contact tracing for COVID-19: current evidence, options for scale-up and an assessment of resources needed (europa.eu) en WHO-2019-nCoV-Contact_Tracing-2020.1-eng.pdf. Daarnaast was er een Nederlandse studie, die op 16 april 2020 al als preprint beschikbaar was: Frontiers | Isolation and Contact Tracing Can Tip the Scale to Containment of COVID-19 in Populations With Social Distancing (frontiersin.org).

Vraag 4

Hoe reflecteert u op het feit dat er 23 miljoen euro aan gemeenschapsgeld is gespendeerd aan – opnieuw – een ineffectieve coronamaatregel? Staat u, in retrospectief, nog altijd achter dit programma?

Vraag 5

Wat zijn de gevolgen (maatschappelijk, financieel, economisch) geweest van het bron- en contactonderzoek voor de arbeidsmarkt en de werkgelegenheid, aangezien voor dit programma veel mensen moesten worden aangetrokken, die werden weggehaald uit andere sectoren, waarin niet zelden al personeelstekorten waren? Kunt u een kosten-baten analyse geven?

De periode dat BCO grootschalig werd ingezet viel grotendeels in een lockdown periode. In die periode waren sectoren (gedeeltelijk) gesloten.

Vraag 6

Was op enig moment gedurende de coronacrisis ook al duidelijk dat het bron- en contactonderzoek weinig bijdroeg aan de bestrijding van het virus? Zo ja, op welk moment bleek dat dit programma niet het beoogde en gewenste effect had, wie/wat kwam initieel tot deze conclusie en wanneer is uw ministerie en/of het kabinet hiervan op de hoogte gebracht? Waarom is het programma op dat moment niet heroverwogen en/of gestaakt? Hoeveel geld is daardoor onnodig uitgegeven aan een ineffectieve maatregel?

De focus van het BCO is in de loop van de pandemie veranderd van het zicht houden op en indammen van het virus, naar het beschermen van kwetsbaren en het signaleren van uitbraken in een bijzondere setting (bijv. de zorg). Door het invoeren van het zelfzorgadvies, waaronder het advies om een zelftest te doen bij klachten, is de grootschalige inzet van het BCO in het voorjaar van 2022 gestopt. Wel kon BCO nog worden ingezet voor het adviseren bij specifieke uitbraken. In het najaar van 2022 is gestart met het verder afschalen de capaciteit van BCO. De resterende beperkte werkzaamheden vallen onder het regulier BCO werk van de GGD’en.

Vraag 7

Waarom is de Kamer niet geïnformeerd over de tegenvallende effectiviteit van het bron- en contactonderzoek en de CoronaMelder en heeft daarover geen parlementair debat plaatsgevonden?

CoronaMelder is voorafgaand en gedurende de inzet hiervan geëvalueerd en gemonitord. Ook de uitvoering van het BCO is voortdurend geanalyseerd en gemonitord. Over de uitkomsten van deze onderzoeken is uw Kamer geïnformeerd.6 Een overzicht van alle onderzoeken is tevens terug te vinden op rijksoverheid.nl.

Vraag 8

Vindt u het, achteraf gezien, niet logisch dat het bron- en contactonderzoek ineffectief was, aangezien het moeten inventariseren van coronabesmette personen, het in kaart moeten brengen van hun contacten en het vervolgens op de hoogte stellen van deze mensen door derden logischerwijs dusdanig veel tijd en moeite in beslag neemt dat de maatregel zijn doel al mist voor er überhaupt geschoten kan zijn?

Zie het antwoord op vraag 4.

Vraag 9

Wat gaat u bij eventuele toekomstige infectieziektebedreigingen doen ten aanzien van bron- en contactonderzoek? Bent u voornemens om een andere strategie te gaan hanteren? Zo ja welke, of gaat u deze maatregel schrappen?

Zie antwoord op vraag 4. Ik heb het RIVM in het kader van pandemische paraatheid advies gevraagd over landelijke en regionale aanpak van infectieziektebestrijding, waarin lessen van COVID-19 worden meegenomen. Een onderdeel hiervan betreft BCO. Hierover zal ik uw Kamer binnenkort nader informeren.

Vraag 10

Hoe reflecteert u op het feit dat veel mensen het bron- en contactonderzoek ervoeren als een inbreuk op hun privacy en die van hun omgeving en daarom ook niet bereid waren om bij de GGD te melden met wie zij in contact geweest waren en/of überhaupt niet meldden dat zij een vermeende coronabesmetting onder de leden hadden teneinde bron- en contactonderzoek te vermijden?

Recht op privacy en het beschermen van de volksgezondheid zijn beide belangrijke pijlers voor het werk van VWS. In de COVID-19 pandemie hebben we gezien dat hier spanning op kan zitten en dat daarin afwegingen gemaakt dienen te worden. Tijdens de COVID-19 pandemie hebben we als overheid, en ook als maatschappij onderling, elkaar nodig gehad. Omdat we samen het virus onder controle wilden krijgen. Een groot deel van de maatschappij heeft de maatregelen gevolgd, waaronder ook deelname aan BCO. Deelname aan BCO was niet verplicht.

Vraag 11

Hoe reflecteert u op de conclusie van de onderzoekers dat de CoronaMelder onderhevig was aan zoveel restricties dat hij niet meer effectief was? Onderschrijft u deze conclusies en kunt u dan verklaren waarom op voorhand niet duidelijk was dat deze app niet het beoogde resultaat zou boeken?

Voordat CoronaMelder landelijk werd geïntroduceerd was er nog geen empirisch bewijs beschikbaar over de werking en effectiviteit van de app. Wel zijn continu de wetenschappelijke ontwikkelingen in zowel binnen- als buitenland nauwlettend gevolgd waarbij in simulatiestudies de positieve bijdrages van een dergelijke applicatie zijn aangetoond.7, 8
Voorafgaand aan, maar ook na de landelijke introductie in Nederland is CoronaMelder op diverse vlakken geëvalueerd en gemonitord. Naar aanleiding hiervan is ook gekeken naar de proportionaliteit van de inzet van het instrument. Maatregelen binnen het testbeleid zoals inzet van de CoronaMelder moeten daarbij worden bezien in de context van een totaalpakket aan coronamaatregelen, in combinatie met de specifieke context op dat moment. Evaluatieonderzoek tijdens de pandemie constateerde al dat de CoronaMelder een kleine, maar merkbare toegevoegde waarde had als aanvulling op het BCO bij het bestrijden van het virus. Door de app zijn er sneller, meer mensen gevonden die contact hadden gehad met een besmet persoon.

Vraag 12

Kunt u uitleggen waarom deze app er per se moest komen, terwijl tijdens de ontwikkeling ervan al veel problemen ontstonden en veel (digitale) experts de effectiviteit, ontwikkelingswijze en wenselijkheid ervan al betwistten?

Op voorhand waren er diverse redenen en adviezen om een dergelijke app te ontwikkelen. Het Outbreak Management Team (OMT) adviseerde op 6 april 2020 om zo spoedig mogelijk de mogelijkheden voor ondersteuning van bron- en contactopsporing met behulp van mobiele applicaties (apps) te onderzoeken, teneinde de belasting van de GGD te reduceren. Daarnaast onderschreef ook de Begeleidingscommissie DOBC (Digitale Ondersteuning Bestrijding Covid-19) de noodzaak om de opsporingsketen significant te versnellen. Deze commissie heeft in adviezen meermaals de toegevoegde waarde van de inzet van een notificatie-app benadrukt waarbij er sneller, meer besmette mensen gevonden zouden kunnen worden. Ook werd aangegeven dat de CoronaMelder mensen de motivatie zou kunnen geven om zich eerder te laten testen, ook als er nog geen symptomen zijn. Zo werd CoronaMelder op dat moment gezien als een kansrijke digitale aanvulling op het reguliere proces van bron- en contactonderzoek, omdat zo ook onbekende contacten, in bijvoorbeeld de trein, werden opgespoord en geïnformeerd. Ook uw Kamer verzocht met de motie Jetten c.s.9 om snel duidelijkheid te geven over een app die zou kunnen bijdragen aan het beheersen van het coronavirus.

Vraag 13

Bent u nog altijd van mening dat een «meld-app» waarmee mensen dus kunnen worden aangemerkt als potentieel «gevaar» voor de samenleving en de overheid de populatie op basis van een vermeende dreiging in kaart kan brengen en in de gaten kan houden, wenselijk is?

Ik deel de aanname in de vraagstelling niet. Een notificatieapplicatie zoals CoronaMelder is een digitale aanvulling op het reguliere BCO proces welke als doel had om met een notificatie bij te dragen aan het sneller opsporen of voorkomen van mogelijke besmettingen en daarmee het tegengaan van verdere verspreiding van het coronavirus. Gebruik van de app was vrijwillig en meldingen waren anoniem.

Vraag 14

Vindt u achteraf gezien niet dat een dergelijke app inbreuk maakt op de bewegingsvrijheid en anonimiteit van burgers, op oneigenlijke en speculatieve gronden en bovendien kan leiden tot maatschappelijke onrust en polarisatie? Zo nee, waarom niet?

Zoals gezegd was gebruik van de app vrijwillig en waren de meldingen anoniem om zo meer mensen sneller te kunnen bereiken en opsporen. CoronaMelder is in alle openheid met een brede community van diverse experts ontwikkeld. Hierbij werd vanaf de ontwerpfase al nagedacht over gegevensbescherming en informatiebeveiliging.

Vraag 15

Kunt u de onderzoeksanalyse delen waarin wordt beweerd dat de CoronaMelder toch nog vijftien duizend besmettingen, 200 ziekenhuisopnamen en tussen de 110 en 250 sterfgevallen zou hebben gescheeld? Op basis waarvan zijn deze cijfers tot stand gekomen? Waarom is de Rijksinstituut voor Volksgezondheid en Milieu (RIVM)-studie met deze berekeningen niet langer online beschikbaar?3

Mijn ambtsvoorganger heeft uw Kamer over de studie van het Rijksinstituut voor Volksgezondheid en Milieu (RIVM) waaraan wordt gerefereerd in mei 2021 reeds geïnformeerd.11 Het onderzoek is daarnaast nog altijd te vinden op rijksoverheid.nl en de website van het RIVM: CoronaMelder – modelstudie naar effectiviteit. Digitaal contactonderzoek in de bestrijding van COVID-19 | RIVM.

Vraag 16

Kunt u de modellen van het RIVM delen waarop deze berekeningen zijn gebaseerd?

De uitleg van het model is te vinden in hetzelfde rapport: CoronaMelder – modelstudie naar effectiviteit. Digitaal contactonderzoek in de bestrijding van COVID-19 | RIVM. De broncode is te vinden op de github-website van het RIVM: GitHub – rivm-syso/cm-evaluation.

Vraag 17

Hoeveel verlies heeft Nederland geleden op de CoronaMelder? Hoe verhoudt zich dat tot de winst die ermee is geboekt?

De totale kosten voor CoronaMelder in 2020, 2021 en 2022 bedroegen ongeveer 19,7 miljoen euro. Over deze kosten is uw Kamer geïnformeerd. Sinds de landelijke introductie is CoronaMelder bijna 6 miljoen keer gedownload. In de periode van 10 oktober 2020 tot 12 april 2022 hebben daarnaast in totaal 450.735 mensen via CoronaMelder hun positieve test gedeeld en daarmee andere gebruikers van de app gewaarschuwd voor een mogelijke besmetting. Vooral bij hoge besmettingsaantallen en versoepelingen van de maatregelen was de kans aanmerkelijk dat mensen in aanraking kwamen met iemand die later besmet bleek. De inzet van de app was mijns inziens daarom noodzakelijk en proportioneel: CoronaMelder heeft aangetoond een kleine maar wel degelijk merkbare toegevoegde waarde te hebben gehad in het voorkomen van de verdere verspreiding van het virus. Zo zijn er (mogelijk post-covid)besmettingen en ziekenhuisopnames voorkomen en levensjaren gered, zoals ook beschreven in de modelstudie van het RIVM (zie vraag12.

Vraag 18

Bent u voornemens om bij toekomstige gezondheidscrises opnieuw een dergelijke app in te zetten? Zo ja, waarom en op welke manier denkt u zo’n applicatie dan dusdanig te verbeteren dat deze wel tot het gewenste resultaat leidt?

Er zijn diverse onderzoeken die aantonen dat digital contact tracing ook bij volgende pandemieën waarde kan hebben. Het is niet zinvol om op dit moment vooruit te lopen op de eventuele inzet van een dergelijke app bij een volgende pandemie.

Vraag 1

Kent u het bericht «ChatGPT banned in Italy over privacy concerns»?1

Ja.

Vraag 2

Klopt het dat de Italiaanse toezichthouder besloten heeft tot het aan banden leggen van ChatGPT omdat het bedrijf erachter (OpenAI) mogelijk de Europese privacywetgeving overtreedt?

Voor informatie over het handelen van de Italiaanse privacytoezichthouder ben ik aangewezen op openbare bronnen. Blijkens de website van deze toezichthouder, de «Garante per la Protezione dei Dati Personali» (hierna: de Garante) heeft zij aan OpenAI laten weten dat ChatGPT voorlopig geen gegevens van Italiaanse gebruikers mocht verwerken, vanwege zorgen over de naleving van de privacyregels.2 Deze zorgen zagen op de informatie die aan betrokkenen wordt verstrekt wanneer hun persoonsgegevens worden verwerkt, welk mechanisme voor leeftijdsverificatie wordt toegepast, of de door ChatGPT verwerkte persoonsgegevens voldoen aan het beginsel van juistheid en actualiteit (artikel 5, lid 1, onder d van de AVG) en tot slot op basis van welke rechtsgrondslag persoonsgegevens worden verzameld en verwerkt ten behoeve van het trainen van het onderliggende algoritme.
ChatGPT is sinds 28 april jl. weer beschikbaar in Italië. De Garante heeft daarover op haar website geschreven dat OpenAI maatregelen en verbeteringen heeft getroffen in het licht waarvan het verbod is opgeheven voor Italiaanse gebruikers. De Garante spreekt de hoop uit dat OpenAI de komende weken zal voldoen aan de verdere verzoeken van de Garante. Dat ziet op de implementatie van een leeftijdsverificatiesysteem en het verzorgen van een communicatiecampagne om alle Italianen te informeren over wat er is gebeurd en over de mogelijkheid om zich te verzetten tegen het gebruik van hun persoonlijke gegevens om een algoritme te trainen. De Garante schrijft dat zij zal doorgaan met het vooronderzoek dat is gestart tegen OpenAI en met het werk dat zal worden uitgevoerd door de taskforce die is opgericht binnen het Europees Comité voor gegevensbescherming (European Data Protection Board, (EDPB)). Zie hierover het antwoord op vraag 3.

Vraag 3

Klopt het dat er een Europese taskforce is opgericht? Wat is de status en bevoegdheid van zo’n taskforce? Is de Nederlandse toezichthouder daar ook bij betrokken? Zo nee, waarom niet?

De Autoriteit Persoonsgegevens (AP) heeft mij geïnformeerd dat het samenwerkingsverband van Europese privacytoezichthouders (EDPB) op 13 april heeft besloten om, naar aanleiding van het Italiaanse optreden tegen OpenAI inzake ChatGPT, een taskforce in te stellen. Deze taskforce heeft tot doel de samenwerking en informatie-uitwisseling over mogelijke handhavingsmaatregelen te bevorderen. Alle Europese privacytoezichthouders zijn in dit samenwerkingsverband vertegenwoordigd, dus ook de AP. Generatieve AI, zoals het grote taalmodel artificiële intelligentie (AI) systeem ChatGPT, is een grensoverschrijdend fenomeen dat vraagt om een geharmoniseerde aanpak. Daarom hecht de AP grote waarde aan een effectief gezamenlijk optreden van de Europese privacytoezichthouders.

Vraag 4

Hoe worden de beide Kamers geïnformeerd over de werkzaamheden en uitkomsten van de taskforce?

De EDPB publiceert nieuwsberichten op haar website, zo ook in dit geval.3 Wanneer er op het gebied van de taskforce (beleids)ontwikkelingen zijn, zullen deze daar worden geplaatst. Daarnaast zal de AP hierover bij gelegenheid berichten laten uitgaan.

Vraag 5

Weet u welke persoonsgegevens worden verzameld en verwerkt door ChatGPT (OpenAI) in Nederland? Is dat ook bekend voor de gebruikers?

Dat is mij niet bekend. Op de website van OpenAI wordt voor gebruikers en niet-gebruikers, zowel binnen als buiten Europa, gemeld welke persoonsgegevens met welke methoden worden verwerkt.4

Vraag 6

Indien persoonsgegevens verzameld en verwerkt worden door ChatGPT (OpenAI) in Nederland, op welke wettelijke basis gebeurt dat dan?

Over die informatie beschik ik niet. Op de in antwoord 5 genoemde website noemt OpenAI als rechtsgronden voor het verwerken van persoonsgegevens5 de uitvoering van een overeenkomst (artikel 6, eerste lid onder b AVG),6 het gerechtvaardigde belang (artikel 6, eerste lid onder f AVG) van het tegengaan van misbruik, fraude of veiligheidsrisico’s of van het ontwikkelen, verbeteren of promoten van haar diensten of7 toestemming (artikel 6, eerste lid onder a AVG) voor een specifiek doel dat aan de betrokkene wordt meegedeeld.

Vraag 7

Bent u het met ons eens dat verzameling en verwerking van persoonsgegevens altijd een wettelijke basis moet hebben? Zo nee, op welke gronden zou die wettelijke basis afwezig mogen zijn?

Voor een rechtmatige verwerking van persoonsgegevens moet een grondslag bestaan. Dit zijn de zes limitatieve grondslagen zoals opgesomd in artikel 6, eerste lid, van de AVG. Wanneer een verwerking niet op een van die grondslagen gebaseerd kan worden, is zij onrechtmatig.

Vraag 8

Indien de wettelijke basis voor verzameling en verwerking van persoonsgegevens afwezig mag zijn (en de wettelijke basis is aanwezig), op welke manier voldoet (het werken met) ChatGPT daaraan?

Het is niet aan mij om daarover te oordelen. Dat is veeleer een vraag die door de toezichthouder zal worden beoordeeld.

Vraag 9

Klopt het dat er bij ChatGPT ook sprake is geweest van een datalek waarbij gesprekken en betaalgegevens zijn gelekt?2

Van een datalek is sprake wanneer er ongeoorloofde of onbedoelde toegang tot persoonsgegevens heeft plaatsgevonden, maar ook als deze gegevens ongewenst zijn vernietigd, verloren, gewijzigd of verstrekt. Desgevraagd heeft de AP mij laten weten dat bij haar geen melding is gedaan van het lekken van gegevens van Nederlandse gebruikers.
Of een dergelijke melding aan de AP verplicht zou zijn geweest onder de meldplicht datalekken, is afhankelijk van de vraag waar een hoofdvestiging is gevestigd. Wanneer een hoofdvestiging niet in Nederland is gevestigd, maar in een andere lidstaat van de Europese Unie, dan is de toezichthouder in die lidstaat leidend. Een datalek moet dan verplicht bij de leidende toezichthouder worden gemeld, ook al zijn er Nederlandse gebruikers betrokken bij het datalek. Melding aan de AP is vervolgens optioneel en alleen verplicht wanneer de verwerkingsverantwoordelijke twijfelt bij welke toezichthouder gemeld moet worden. In het geval van OpenAI, de verwerkingsverantwoordelijke van ChatGPT, is er geen sprake van een hoofdvestiging in de Europese Unie. Dan zijn alle Europese privacytoezichthouders gelijkelijk bevoegd. Dit betekent dat er alleen bij de AP gemeld moet worden als er Nederlandse ingezetenen bij het datalek betrokken zijn.

Vraag 10

Zo ja, zijn hierbij ook gegevens van Nederlandse gebruikers gelekt?

Zie antwoord vraag 9.

Vraag 11

Zo ja, is dit datalek gemeld bij de Autoriteit Persoonsgegevens, conform de Algemene Verordening Gegevensbescherming (AVG)? Zo nee, waarom niet?

Zie antwoord vraag 9.

Vraag 12

Bent u bereid de Autoriteit Persoonsgegevens om een spoedadvies te vragen over het blokkeren van ChatGPT? Zo nee, waarom niet?

Onder verwijzing naar antwoord 3 en de daarin genoemde taskforce van de EDPB, waarin ook de AP vertegenwoordigd is, moet ik hierop ontkennend antwoorden omdat de kwestie reeds door de AP mede beoordeeld wordt. Ik vertrouw er bovendien op dat de AP in het kader van haar voorlichtende taak naar buiten zal treden over ChatGPT wanneer daartoe aanleiding bestaat.

Vraag 13

Klopt het dat Nederlandse en Italiaanse privacywetgeving – vanwege de gedeelde Europese basis – vergelijkbaar zijn? Zo nee, waarin verschillen de Italiaanse en de Nederlandse interpretatie van de Europese privacywetgeving? Zo ja, deelt u de mening dat Nederland net als Italië zou moeten omgaan met ChatGPT?

In de gehele Europese Unie is sinds 25 mei 2018 de AVG van kracht. Deze verordening kent lidstaten op onderdelen de bevoegdheden en verplichtingen toe om nadere regels te stellen. In Nederland is die ruimte onder meer ingevuld door de Uitvoeringswet AVG (UAVG). Over kennis inzake de Italiaanse pendant van de UAVG beschik ik niet. De vragen van de Italiaanse toezichthouder met betrekking tot ChatGPT waren evenwel alle rechtstreeks te herleiden tot bepalingen uit de AVG zelf. Ik zie dan ook op voorhand geen verschillen ten aanzien van de regels die Italië en Nederland op ChatGPT worden toegepast.

Vraag 14

Op welke manier bent u bereid in Nederland het gebruik van ChatGPT zodanig aan banden te leggen dat de kans op overtreding van AVG minimaal is?

Dit is niet aan mij. De taken en bevoegdheden om op te treden tegen overtredingen van de AVG zijn toegekend aan de toezichthoudende autoriteiten; voor Nederland is dat de AP. Zij kan daartoe handhaven, advies verstrekken, samenwerken met andere toezichthoudende autoriteiten en klachten behandelen over een inbreuk op de bescherming van persoonsgegevens. Op welke wijze de nationale toezichthoudende autoriteiten de taken prioriteren in de uitvoering is aan henzelf. Zij hebben eigen beoordelings- en beleidsvrijheid.

Vraag 15

Welke andere gevaren ziet u, naast het ongeoorloofd verzamelen en verwerken van persoonsgegevens, van het gebruik van ChatGPT of vergelijkbare AI-systemen?

Het afgelopen half jaar zijn de capaciteiten van en de aandacht voor generatieve AI sterk toegenomen. Dit was sneller dan verwacht. We hebben het afgelopen half jaar al gezien dat deze AI-systemen zowel kansen bieden als risico’s hebben. In de beantwoording van eerdere vragen van uw Kamer is het kabinet al ingegaan op een aantal van deze risico’s.9 Deze effecten kunnen voortkomen uit de werking van de tool, waar het ondanks ingebouwde waarborgen mogelijk is om bevooroordeelde of discriminerende antwoorden te krijgen. Ook kunnen deze systemen gebruikt worden voor schadelijke doeleinden zoals phishing en desinformatie. Verder heeft de introductie van deze AI-systemen impact op onder meer het onderwijs en de arbeidsmarkt.
De snelheid waarmee generatieve AI zich afgelopen half jaar heeft ontwikkeld brengt onzekerheden met zich mee. Er zijn nog veel vraagtekens over de precieze impact en de gevaren. Het is van belang dat we daar meer kennis over opdoen. Het kabinet werkt daarom momenteel aan een kabinetsvisie op nieuwe AI-systemen zoals generatieve AI. In deze visie zal het kabinet nader ingaan op de risico’s van deze AI-systemen.

Vraag 16

Zijn er soortgelijke bedrijven en/of vergelijkbare AI-systemen die op eenzelfde of andere manier de wet lijken te overtreden? Bent u bijvoorbeeld bekend met de AI van Snapchat die probeert kinderen tot een fysieke afspraak te bewegen?3 Voorziet u dat dit mis kan gaan?

Het is aan de AP om toezicht te houden op de verwerking van persoonsgegevens door bedrijven en signalen op te pikken wanneer de regels worden overtreden. Het kabinet houdt vanzelfsprekend de ontwikkelingen in de gaten en is bekend met het AI-systeem van Snapchat. In de beantwoording van schriftelijke vragen van het Kamerlid Kathmann en van de Kamerleden Stoffer en Drost gaat het kabinet daar nader op in.11 Het is van belang dat de AI-verordening waarin in Europa aan gewerkt wordt niet te lang op zich laat wachten. In de AI-verordening zijn AI-systemen onderverdeeld in verschillende categorieën. Afhankelijk van de categorie waarin een AI-systeem valt, gelden zwaardere of minder zware regels. Aanbieders van AI-systemen die voor interactie met natuurlijke personen zijn bedoeld (zoals chatbots), moeten ervoor zorgen dat die systemen zodanig worden ontworpen en ontwikkeld dat natuurlijke personen worden geïnformeerd dat zij met een AI-systeem te maken hebben, tenzij uit de omstandigheden en gebruikscontext al blijkt dat sprake is van een AI-systeem.

Vraag 17

Is de Autoriteit Persoonsgegevens bereid hier sectorbreed op te handhaven, ook op toekomstige (geavanceerdere) AI-systemen? Zo ja, wanneer kunnen zij hiermee starten? Zo nee, waarom willen zij dat niet?

De AP is toezichthouder op de naleving van de bescherming van persoonsgegevens; dus ook als deze gegevens worden verwerkt in algoritmes en AI-systemen in verschillende sectoren. De AP houdt de ontwikkelingen van generatieve AI-systemen, zoals large language models, scherp in de gaten. Bovendien ziet de AP dat generatieve AI onderdeel uitmaakt van het wetgevingsproces rond de AI-verordening. Daarnaast is binnen de AP begin 2023 een nieuw organisatieonderdeel opgericht: de directie Coördinatie Algoritmes (DCA). In 2023 pakt de DCA als activiteiten op:
Deze coördinerende rol is een nieuwe taak voor de AP die de komende jaren nader vorm zal krijgen. Een van de uitgangspunten in de uitvoering van haar activiteiten is dat het bestaande toezicht op algoritmes en AI intact blijft. Dit toezicht, en daarmee de handhavingsbevoegdheid, ligt bij verschillende colleges, markttoezichthouders en rijksinspecties. De AP vindt het van belang om meer te grip krijgen op een verantwoorde ontwikkeling en inzet van algoritmes. Een door de DCA gecoördineerde aanpak draagt bij aan de harmonisatie en effectiviteit van het gedeelde toezicht op algoritmes en AI. Op 24 maart hebben de leden van het Samenwerkingsplatform Digitale Toezichthouders (SDT) besloten om twee zogeheten Kamers op te richten voor het afstemmen van toezicht op online platforms en op algoritmes en AI.12 De algoritmes en AI Kamer zal bijdragen aan de activiteiten van de DCA.

Vraag 18

Op welke manier is de Autoriteit Persoonsgegevens voorbereid op de exponentiële groei van de capaciteit en dus ook de risico’s van het gebruik van ChatGPT of vergelijkbare AI-systemen? Beschikt ze naar uw mening over voldoende kennis en capaciteit? Zo nee, hoe gaat u dat oplossen?

De AP heeft voldoende expertise om toezicht te houden op de bescherming van persoonsgegevens, ook indien die verwerkt worden door AI-systemen zoals ChatGPT. Daarnaast zet de DCA van de AP zich in om de samenwerking tussen toezichthouders te versterken, domein overstijgende signalen op te vangen en kennis te delen over het toezicht op algoritmes. De wijze waarop de AP de middelen die hen ter beschikking worden gesteld verdeelt over deze afzonderlijke taken is uitsluitend aan de AP, als onafhankelijke toezichthouder. Daarnaast investeert het kabinet in de AP om haar taken uit te voeren, oplopend tot structureel 8 miljoen euro per jaar vanaf 2025. Hierdoor kan de AP verdere stappen zetten, onder andere op het gebied van AI-systemen.
In de Kamerbrief over toezicht in het digitale domein van 24 mei 2023 is nader ingegaan op het toezicht op algoritmes en AI.13 Daarin wordt ook ingegaan op de vraag of de AP over voldoende kennis beschikt.

Vraag 1

Bent u bekend met het bericht «Kinderen opgelicht met virtuele muntjes voor gameplatform Roblox»?1

Ja, daar ben ik mee bekend.

Vraag 2

Zijn er cijfers bekend (bij de politie) over oplichting van kinderen in online games, bijvoorbeeld over het aantal aangiftes of de financiële schade? Zo niet, bent u bereid om hier onderzoek naar te doen?

De politie hanteert bij deze aangiften geen specifieke registratiecategorie voor het type online game. Daarnaast worden ook de leeftijd en exacte financiële schade niet standaard genoteerd. Het is aannemelijk dat oplichting zich niet specifiek toespitst tot een enkele online game of tot gebruikers in een land. Ik heb daar echter geen gegevens over. Door het Centraal Bureau voor de Statistiek is onderzoek gedaan naar online veiligheid en criminaliteit op basis van slachtofferenquêtes. Uit dit onderzoek bleek dat in 2022 15 procent van de Nederlanders van 15 jaar of ouder aangaf in de afgelopen 12 maanden slachtoffer te zijn geweest van een of meer vormen van online criminaliteit, zoals oplichting en fraude, hacken, bedreiging en intimidatie.

Vraag 3

Zijn er naast Roblox bij u andere voorbeelden bekend van manieren waarop kinderen worden opgelicht in online games? Zo ja, om welke games gaat het en om welk soort fraude?

Zie antwoord vraag 2.

Vraag 4

In hoeverre hebben deze vormen van online fraude gericht op kinderen een internationaal karakter?

Zie antwoord vraag 2.

Vraag 5

Zijn kinderen kwetsbaarder voor oplichting via phishing-links dan volwassenen?

Het is bekend dat criminelen zich met verschillende technieken (social engineering) richten op kwetsbare groepen. Dat zijn zeer kwalijke praktijken, waarbij mensen zoals u en ik, maar ook kinderen, worden verleid om op links te klikken, bestanden te downloaden of informatie prijs te geven. Minderjarigen zijn veelal nieuwsgierig en zijn zich vanwege hun ontwikkeling en ervaringsniveau minder bewust van de risico’s. Uit cijfers van het Centraal Bureau van de Statistiek blijkt dat jongeren vaker op internet actief zijn. Dit vergroot de kans dat ze online worden opgelicht. Van de groep 15- tot 45-jarigen werd 9% slachtoffer van oplichting tegen 5% van de groep 65-plussers. Het patroon dat jongere Nederlanders vaker slachtoffer worden dan ouderen is met name te zien bij aankoopfraude en identiteitsfraude. Bij phishing zijn jongeren (15 tot 45 jaar) echter minder vaak slachtoffer van phishing dan andere leeftijdsgroepen, zoals 65-plussers (1%).2 Het blijft belangrijk om in te zetten op het vroegtijdig ontwikkelen van online basisvaardigheden, bijvoorbeeld via het basisonderwijs.
Het initiatief van het Ministerie van Justitie en Veiligheid met het programma «Mijn Cyberrijbewijs» is daar een goed voorbeeld van.3 Via vijf lessen krijgen kinderen uit groep 7 en 8 van het primair onderwijs informatie en handelingsperspectief over waarom gedrag online sneller ontspoort dan in het fysieke domein.4 Mijn Cyberrijbewijs is gratis beschikbaar.

Vraag 6

Deelt u de mening dat dit soort fraude in de hand wordt gewerkt doordat veel games gebruik maken van het «pay-to-win-principe» en digitale valuta zoals Robux?

Ik kan mij voorstellen dat het inspelen op menselijke eigenschappen, zoals nieuwsgierigheid, door middel van voorgespiegelde winkansen een onderdeel vormt van oplichtingstechnieken. Over een eventuele relatie tussen in-game of in-app aankopen en fraude heb ik geen gegevens.

Vraag 7

Deelt u de mening dat er bij spelletjesaanbieders een belangrijke verantwoordelijkheid ligt om in het ontwerp van games verleidingstechnieken tegen te gaan en het risico op oplichting van kinderen te minimaliseren? Bent u bereid te onderzoeken of hiervoor extra wettelijke waarborgen nodig zijn?

Ja, die mening deel ik. In 2020 heb ik de Code kinderrechten online laten ontwerpen met ontwerpprincipes voor ontwikkelaars van digitale diensten en producten. De Code bestaat uit een tiental beginselen die op zich niet juridisch afdwingbaar zijn, maar de onderliggende wet- en regelgeving is dat wel (o.a. het internationale verdrag inzake de rechten van het kind, de Mediawet, en het burgerlijk wetboek). De Code ziet er op dat kinderrechten tijdens het ontwerpproces worden geborgd. Dat ziet op meer kwesties dan alleen verleidingstechnieken. Ik wil het gebruik van de Code door de ontwikkelaars intensiveren. Ik laat daarom de Code doorontwikkelen tot een meer praktisch instrument voor ontwikkelaars waarmee zij in iedere stap van het ontwerpproces op een toegankelijke wijze kunnen controleren of zij kinderrechten in het ontwerp borgen. Ook laat ik op dit moment onderzoeken of de Code wettelijk kan worden verankerd.
Tegelijkertijd werk ik aan een kinderrechten impact assessment (KIA) dat de risico’s op schending van kinderrechten in een ontwerp voor een digitale dienst of product, in kaart brengt. Is dat risico aanwezig, dan zal de ontwikkelaar het ontwerp moeten aanpassen. Ook ten aanzien van dit instrument laat ik de mogelijkheid van een wettelijke verankering onderzoeken. Ten slotte ontwikkel ik een keurmerk kinderrechten dat aangeeft of de digitale dienst of het product kinderrechten respecteert. In de brief die ik op 14 juli jl. aan uw Kamer heb gestuurd, zet ik mijn beleid met betrekking tot kinderrechten en digitalisering uiteen. De hiervoor genoemde instrumenten, de KIA, de Code kinderrechten online en het keurmerk, zien op het ontwerpproces van ontwikkelaars voor digitale diensten en producten.

Vraag 8

Wat is de status van uw inzet om in Europees verband te pleiten voor het verbieden van loot boxes en andere soortgelijke verleidingstechnieken?

De Europese Commissie is gestart met een consultatie over consumentenbescherming in de online omgeving. De Commissie gaat onderzoeken of aanvullende maatregelen nodig zijn om consumenten online beter te beschermen. In dat kader gaat de Minister van Economische Zaken en Klimaat (EZK) aan de Commissie voorstellen de Europese regelgeving zodanig aan te passen dat loot boxes onder alle omstandigheden kwalificeren als een oneerlijke handelspraktijk. Daarnaast gaat de Minister van EZK aan de Commissie vragen om praktijken zoals pay-to-win mechanismen en het gebruik van virtuele munten op Europees niveau strakker te reguleren. De resultaten van de Commissie worden in het tweede kwartaal van 2024 verwacht. Vanaf 2025 kunnen wetgevende voorstellen van de Commissie volgen.

Vraag 9

Bent u bereid om in Europees verband ook te pleiten voor een harde aanpak van de hieruit voortkomende fraude en oplichting van kinderen?

Als voorbeeld van een gewenste hardere aanpak heb ik in het voorgaande antwoord toegelicht dat in Europees verband wordt samengewerkt om consumenten en kinderen online beter te beschermen, bijvoorbeeld met de oproep tot nadere regulering en het verbieden van loot boxes. Oneerlijke handelspraktijken en daaruit voortvloeiende fraude en oplichting zijn strafbare gedragingen. Slachtoffers kunnen daarvan nu al aangifte doen.

Vraag 10

Bent u bereid om samen met de politie te bekijken hoe dit soort fraude zo hard mogelijk aangepakt kan worden? Is de politie hiervoor voldoende toegerust en wordt hiervoor internationaal samengewerkt?

De inzet van het strafrecht is alleen mogelijk indien sprake is van strafbare feiten. In de antwoorden op vraag 7 en 8 ben ik al ingegaan op het belang om kinderrechten en consumentenrechten te versterken. De overheid werkt samen met private partners aan het tegengaan van online criminaliteit door in te zetten op preventie en het vergroten van bewustwording om tijdig risico’s te herkennen en preventief maatregelen te nemen om de kans op slachtofferschap te verkleinen. Daarbij is er aandacht voor de kwetsbaarheid van jongeren die kan leiden tot slachtofferschap of daderschap bij online criminaliteit. Voor de politie zijn in de Veiligheidsagenda 2023–2026 landelijke beleidsdoelstellingen geformuleerd. Internationale samenwerking is onderdeel van de afspraken in deze Veiligheidsagenda. De Minister van Justitie en Veiligheid heeft uw Kamer hierover geïnformeerd. 5

Vraag 11

Herinnert u zich dat u in antwoord op vragen van het lid Bontenbal2 de ambitie heeft uitgesproken om ouders en kinderen goed te informeren over de kansen en risico’s van digitale technieken door middel van publieksvoorlichting? Kunt u hiervan een update geven?

Ja, dat herinner ik mij. Ik werk op dit moment aan een plan van aanpak. Ik heb een meerjarige publiekscommunicatie voor ogen waarin verschillende thema’s aan bod komen en die dit najaar start.
Daarnaast laat ik, specifiek met het oog op verleidingstechnieken, een gamewijzer ontwikkelen. Dit is een onafhankelijk codeersysteem waarmee games kunnen worden beoordeeld op de aanwezigheid van gedragsbeïnvloeding. Ouders en gamers kunnen aan de hand van deze codering zelf beter beslissen of ze de game willen spelen. Daarnaast maakt het codeersysteem zichtbaar wat er gebeurt in games, waardoor het gesprek met ontwikkelaars van digitale diensten en producten over begrenzing en ethiek beter kan worden gevoerd. Ik wil u voor dit punt ook verwijzen naar de brief die ik u op 14 juli jl. heb gestuurd.

Vraag 1

In het coalitieakkoord «Omzien naar elkaar, vooruitkijken naar de toekomst»1 staat dat de regering beoogt om stemmen voor het Europees Parlement op Curaçao, Aruba en Sint Maarten net zo toegankelijk te maken als in Europees Nederland; kunt u een update geven van de voortgang van deze doelstelling en in de toelichting meenemen of, hoe en met welke prioriteit aan deze doelstelling voor de Europese Parlementsverkiezingen van 2024 wordt gewerkt? Waar liggen de knelpunten om de doelstelling voorafgaand aan de Europese Parlementsverkiezingen van 2024 te realiseren en hoe zorgt het kabinet dat deze knelpunten kunnen worden opgelost?

Het kabinet werkt aan het voornemen uit het coalitieakkoord om de verkiezingen voor het Europees Parlement net zo toegankelijk te maken voor kiesgerechtigde inwoners van Curaçao, Aruba en Sint Maarten als voor kiesgerechtigden in Europees Nederland. Aan uw Kamer is eerder gemeld dat dit nader zal worden uitgewerkt in een hoofdlijnennotitie die aan de Kamer zal worden gezonden2. In de hoofdlijnennotitie wordt een aantal sporen uitgewerkt waarlangs de toegankelijkheid van de EP-verkiezingen in de landen kan worden vergroot en kiesgerechtigden zoveel mogelijk kunnen worden gefaciliteerd in het uitbrengen van hun stem. De sporen gaan bijvoorbeeld in op hoe meer aandacht kan worden gegenereerd voor de EP-verkiezingen en de eenmalige registratie in de permanente registratie kiezers buiten Nederland. Ook zal in overleg met de landen en Vertegenwoordigingen van NL worden onderzocht hoe kiezers verder gefaciliteerd kunnen worden in het uitbrengen van hun stem.
Overwogen zou kunnen worden of het juridisch en praktisch mogelijk is om bijvoorbeeld meer locaties in te stellen voor het ophalen, invullen en inleveren van stembescheiden of dat er andere manieren zijn om het uitbrengen van de stem nog toegankelijker te maken. Tot slot zal ook worden onderzocht of de EP-verkiezingen toegankelijker kunnen worden gemaakt door de registratieplicht voor kiesgerechtigden in de Caribische landen af te schaffen en welke consequenties dit zou hebben. Alle onderzochte opties hebben hun eigen voor- en nadelen. Een aantal opties vergt ook veel op het gebied van wet- en regelgeving. Voor alle opties is overleg en samenwerking met de Caribische landen nodig.
In de hoofdlijnennotitie zal het standpunt van de Caribische landen worden betrokken. Hiertoe zijn op 1 mei 2023 brieven verzonden aan de ministers-presidenten van de Caribische landen, om hen te consulteren over aandachtspunten naar aanleiding van dit voornemen uit het coalitieakkoord: informatiecampagnes, het verder faciliteren van het uitbrengen van de stem en de registratieplicht. Op basis van het standpunt van de landen worden verdere gesprekken vormgegeven. Hierover zal ik u informeren. In de hoofdlijnennotitie zal ik tevens ingaan op het beoogde tijdpad en de mogelijkheden voor de Europees Parlementsverkiezingen in 2024.

Vraag 2

Deelt u de mening dat de burgers woonachtig op alle zes Caribische eilanden van het Koninkrijk der Nederlanden tevens Unieburgers zijn? Zo ja, hoe geeft het kabinet hier actief invulling aan in haar beleid?

Evenals burgers van Europees Nederland beschikken burgers op de zes Caribische eilanden van het Koninkrijk over de Nederlandse nationaliteit. Hiermee bezitten zij volgens artikel 20 van het Verdrag betreffende de werking van de Europese Unie van rechtswege ook het Unieburgerschap. Aan het Unieburgerschap is een aantal rechten verbonden, waaronder het vrije verkeer van personen en het actief en passief kiesrecht bij de verkiezingen voor Europese Parlement. De toegankelijkheid in de Caribische landen van verkiezingen voor het Europese Parlement heeft, zoals hierboven uiteengezet, de aandacht van het kabinet.

Vraag 3

Deelt u de mening dat voor het kabinet een belangrijke taak is weggelegd om ook de burgers in het Caribisch deel van het Koninkrijk te betrekken bij de Europese Unie (EU), door hen te informeren, actief te luisteren naar wat zij van de Europese Unie verwachten en draagvlak te creëren? Hoe werkt u aan het dichterbij brengen van het EU-burgerschap bij de burgers woonachtig in dit gedeelte van het Koninkrijk om uiteindelijk de werking van de democratie binnen het hele Koninkrijk te bevorderen?

Het kabinet ziet het als een van haar kerntaken Nederlanders zo goed mogelijk te informeren en te betrekken bij de vormgeving en uitvoering van EU-beleid en de Nederlandse inzet voor dat beleid. Dit geldt ook voor de inwoners van Caribisch Nederland. Belangrijk uitgangspunten bij de uitvoering van deze taak zijn inclusiviteit en diversiteit. Het kabinet communiceert, informeert en haalt informatie op via kanalen van het Ministerie van Buitenlandse Zaken en andere departementen en bijvoorbeeld via het maatschappelijk middenveld. Door te kiezen voor digitale middelen en een online aanpak garandeert het kabinet een open karakter van de informatievoorziening, zodat alle Nederlanders kunnen deelnemen, ook inwoners uit Caribisch Nederland.
Ten aanzien van de Caribische Landen constateer ik dat het aan de overheden van autonome landen is om de relatie tussen hun burgers en de Europese Unie vorm te geven. Het Ministerie van BZK ondersteunt en stimuleert de Landen wel om bijvoorbeeld aanspraak te kunnen maken op verschillende Europese fondsen voor meerdere doeleinden.

Vraag 4

Kunt u nader toelichten op welke wijze u conform de brief2 invulling zal geven aan de burgerdialogen, communicatiecampagne en de grote bijeenkomsten op 9 mei 2023 en 9 mei 2024 (de Dag van Europa) in het Caribisch deel van het Koninkrijk? Indien dit deel van het Koninkrijk niet wordt betrokken bij de activiteiten, kunt u nader toelichten waarom niet?

Het kabinet vindt het van groot belang dat alle burgers van Nederland deel kunnen nemen aan de burgerdialogen, communicatiecampagne en grotere bijeenkomst en hun mening kunnen geven. Zoals in de voornoemde brief aangegeven zijn inclusiviteit en diversiteit belangrijke uitgangspunten bij de uitvoering van motie Koole II. Doordat de dialogen en evenementen mede digitaal en online van aard zijn, kan iedereen binnen het Koninkrijk hieraan deelnemen, ook inwoners van de Caribische delen van het Koninkrijk. Verder zullen maatschappelijke organisaties worden geïnformeerd en aangemoedigd om te participeren en staat het belangengroepen die opkomen voor inwoners van het Caribische deel van het Koninkrijk, vrij om deel te nemen. Zoals ook in de brief uiteengezet, wordt tevens een extra inspanning gepleegd om jongeren en minder bereikbare doelgroepen te betrekken.

Vraag 1

Heeft u kennisgenomen van het bericht «OM «gesprek aangegaan» met Silvania» d.d. 18 april 20231 en het persbericht d.d. 3 april 2023 waarin het Curaçaose Ministerie van Financiën aangeeft dat het voornemens is om het invorderingsbeleid van de Belastingdienst aan te passen?2

Ja.

Vraag 2

Deelt u de mening dat het onbestaanbaar is dat enerzijds de nog te innen belasting in het eigen land wordt kwijtgescholden terwijl er aan de andere kant een beroep op Nederland wordt gedaan om met Nederlands belastinggeld hervormingsprojecten in Curaçao te financieren? Zo nee, kunt u toelichten waarom niet?

Het bericht waar naar verwezen wordt behoeft enige nuancering. De wijziging in het invorderingsbeleid betreft geen kwijtschelding van belastingschulden. Het Curaçaose fiscale invorderingsrecht biedt voor kwijtschelding overigens ook geen wettelijke basis. Wel kunnen belastingaanslagen verjaren door de invordering minimaal vijf jaar te staken. De bevoegdheid hiervoor ligt bij de Ontvanger der Belastingen, niet bij de Minister van Financiën of de belastinginspecteur.
Op Curaçao is de actieve invordering van een aantal belastingaanslagen door de Curaçaose Ontvanger gestaakt.
Het betreft oudere aanslagen van voor 2018, aanslagen die in het verleden ambtshalve zijn opgelegd aan belastingplichtigen die zijn ontbonden en vereffend of die niet meer op Curaçao woonachtig zijn, dan wel aanslagen die zijn verjaard. Aanslagen naar aanleiding van een strafrechtelijk onderzoek, schulden van ANG 1 miljoen of hoger die door de belastingplichtige wel kunnen worden betaald en aanslagen waarvan de verschuldigde bedragen reeds op een derdenrekening zijn gestort, worden nog steeds actief ingevorderd. Curaçao verwijst in dit verband naar onderzoeken van de OESO waarbij de kans dat oudere aanslagen succesvol worden ingevorderd afneemt naarmate de tijd verstrijkt. Curaçao geeft aan te verwachten dat de wijziging van het invorderingsbeleid een positief effect zal hebben op de belastingcompliance, omdat in geval van betalingsverzuim sneller actie kan worden ondernomen door de belastingdienst. Uiteraard zou het eveneens invorderen van oude belastingschulden bijdragen aan het op orde krijgen van de overheidsfinanciën.
De zogenoemde belastingcompliance is een onderdeel van het Landspakket met hervormingen onder thema C Belastingen. In de laatste Uitvoeringsrapportage over de voortgang van de hervormingen3 heb ik uw Kamer geïnformeerd over de samenwerking tussen de Tijdelijke Werkorganisatie en Curaçao en dat de voortgang van een ander deel van de hervormingen op Thema C een punt van zorg is. Ik ga hierover in gesprek met Curaçao in de aanloop op de volgende uitvoeringsagenda die eind juni zal worden vastgesteld.

Vraag 3

Deelt u de mening dat het alsnog invorderen van belastingschulden van 2017 en ouder kan bijdragen aan het op orde brengen van de Curaçaose begroting? Zo ja, zal u hierover met de regering van Curaçao in gesprek treden?

Zie antwoord vraag 2.

Vraag 4

Kunt u aangeven wat de wettelijke basis is voor het niet meer actief invorderen van belastingschulden op Curaçao vanaf het jaar 2017 en eerder en wat de status is van dit besluit/voornemen?

Zie antwoord vraag 2.

Vraag 5

Wat is er sinds het soortgelijke besluit genomen in 2015 in de tussentijd gedaan door de regering van Curaçao om de benodigde hervormingen door te voeren en wat heeft u de afgelopen jaren gedaan om hierop aan te dringen?

Inderdaad zijn ook in 2015 de debiteuren- en invorderingsbestanden van de Curaçaose Ontvanger op een vergelijkbare wijze opgeschoond. Vóór de periode van het Landspakket was Nederland niet betrokken bij de belastingcompliance. Binnen het Landspakket onder Thema C wordt sinds 2020 gewerkt aan verhoging van de belastingcompliance en aan het optimaliseren en moderniseren van de belastingdienst om de efficiëntie van de inning te verhogen Daarmee kan de aanleiding tot opschoning worden weggenomen. Op dit vlak heeft Curaçao inmiddels voortgang geboekt, waardoor de belastingbaten in 2022 hoger waren dan begroot.

Vraag 6

Hoe wordt ervoor gezorgd dat in de toekomst de benodigde beleidsmatige en organisatorische aanpassingen nu wel worden doorgevoerd? En wat is daar voor nodig?

In het landspakket onder Thema C wordt, zoals in mijn antwoorden op vragen 4 en 5 aangegeven, door de TWO samen met Curaçao gewerkt aan deze hervormingen met betrekking tot het belastingstelsel, de belastingcompliance, de belastingdienst en de Douane. Waar nodig en waar door Curaçao verzocht, wordt daarbij ondersteuning geboden. De fiscale aangelegenheden zijn een autonome aangelegenheid van de landen van het Koninkrijk.

Vraag 7

Deelt u de mening dat het wenselijk zou zijn om deze benodigde beleidsmatige en organisatorische aanpassingen randvoorwaardelijk te maken aan verdere financiële bijstand van de hervormingen? Zo nee, waarom niet?

Ik ben van mening dat de activiteiten binnen het Landspakket in samenhang moeten worden bezien en dat de voortgang zou moeten worden verbeterd op de onderdelen van het Landspakket die thans geen positieve beoordeling hebben. Dit geldt voor een aantal onderdelen van thema C Belastingen. Zie ook mijn antwoord op vraag 2, 3 en 4.

Vraag 8

Hoe verhoudt de voorgenomen aanpassing van het invorderingsbeleid op Curaçao zich tot de meest recente brief van het College financieel toezicht Curaçao en Sint Maarten waarin wordt gesteld dat de begroting van Curaçao nog onvoldoende voldoet aan normen genoemd in artikel 15 van de Rijkswet financieel toezicht Curaçao en Sint Maarten (Rft)?3

De brief van het College financieel toezicht Curaçao en Sint Maarten (Cft) heeft betrekking op de begroting 2023 en de komende jaren. Het Cft beveelt onder meer aan de belastingbaten hoger te ramen dan nu in de begroting is opgenomen. De wijziging van het invorderingsbeleid heeft echter na vaststelling van de begroting plaatsgevonden en is derhalve niet meegenomen in het Cft-advies bij de vastgestelde begroting 2023.

Vraag 1

Is de Staatssecretaris bekend met het artikel «Nieuwe functie Snapchat wil met kinderen afspreken: «Zie ik je vanavond? Ik ben een echt persoon!»»?1

Ja, daarmee ben ik bekend.

Vraag 2

Hoe beoordeelt de Staatssecretaris de constatering in het artikel dat wanneer kinderen aangeven te kampen met problemen de chatbot van Snapchat zich voordoet als een echt persoon, en zelfs voorstelt om af te spreken?

Ik vind het onwenselijk als een chatbot zich voordoet als echt persoon en kinderen voorstelt om af te spreken. Snap Inc., het bedrijf achter Snapchat, heeft inmiddels in een gesprek met de Staatssecretaris van VWS en mij aangegeven dat de functionaliteit is aangepast waardoor de chatbot zich niet langer voordoet als een echt persoon en expliciet wordt vermeld dat het gaat om een chatbot. Toch vind ik het kwalijk dat er bij de introductie van deze nieuwe functie in Snapchat onvoldoende rekening is gehouden met de impact die dit kan hebben op kinderen. Ik wil bedrijven zoals Snap Inc. dan ook oproepen de Code Kinderrechten Online toe te passen, waarvan het eerste beginsel luidt: «zet het belang van het kind voorop bij het ontwerp». Ook met het oog op de aankomende AI-verordening vind ik het belangrijk dat ontwerpers die gebruik maken van een chatbot duidelijk en transparant zijn richting de eindgebruiker dat er sprake is van een AI-systeem. In het geval van kinderen vergt dat extra waarborgen.

Vraag 3

Deelt de Staatssecretaris de zorgen dat kinderen die online op zoek gaan naar hulp ten prooi vallen aan deze chatbot?

Zoals hierboven gesteld heeft Snapchat aangegeven dat de chatbot zich niet langer voordoet als een echt persoon. Wanneer de aankomende AI-verordening van toepassing is, zal het bij chatbots verplicht zijn om natuurlijke personen te informeren dat zij interacteren met een AI-systeem, tenzij uit de omstandigheden en gebruikscontext al blijkt dat sprake is van een AI-systeem.

Vraag 4

Deelt de Staatssecretaris de opvatting dat het zorgelijk is wanneer kinderen niet het onderscheid kunnen maken tussen een chatgesprek met een echt persoon en een chatgesprek met een chatbot?

Jazeker, daarom is bovengenoemde AI-verordening van groot belang. Deze verordening verplicht dat natuurlijke personen worden geïnformeerd over het feit dat zij met een AI-systeem (zoals een chatbot) te maken hebben. Deze wetgeving moet de benodigde transparantie bieden over de vraag of je met een echt mens communiceert of met AI.

Vraag 5

Welke risico’s ziet de Staatssecretaris in het feit dat kinderen die hulp zoeken omdat ze zich bijvoorbeeld eenzaam voelen, niet weten dat ze te maken hebben met een chatbot en niet met een echt persoon?

Dat kinderen met chatbots kunnen chatten hoeft in beginsel niet problematisch te zijn. Wel dient hierbij voor deze kinderen duidelijk te zijn dat zij chatten met een chatbot en geen echt persoon. In de AI-verordening (die nog in onderhandeling is) staat dat aanbieders van AI-systemen ervoor moeten zorgen dat AI-systemen die voor interactie met natuurlijke personen zijn bedoeld (zoals chatbots), zodanig worden ontworpen en ontwikkeld dat natuurlijke personen worden geïnformeerd dat zij met een AI-systeem te maken hebben, tenzij uit de omstandigheden en gebruikscontext al blijkt dat sprake is van een AI-systeem.
Een ander belangrijk risico is dat kinderen (gevoelige) persoonsgegevens verstrekken aan een chatbot en deze gegevens vervolgens worden opgeslagen, verwerkt en worden gebruikt om kinderen te profileren. Omdat kinderen vaak nog niet in staat zijn om een goede inschatting te maken van welke informatie ze beter wel of niet kunnen delen, hebben technologiebedrijven een belangrijke verantwoordelijkheid om daar geen misbruik van te maken en zich te houden aan de toepasselijke wet- en regelgeving, zoals de AVG de Digital Services Act (DSA), die binnenkort van toepassing wordt.
Ook hebben de platforms een eigen verantwoordelijkheid tegenover hun gebruikers om bij het vormgeven van hun diensten het belang van kinderen een belangrijke rol te laten spelen. Ik verwacht van deze bedrijven dat zij ook rekenschap geven van het feit dat bepaalde functionaliteiten risico’s voor kinderen met zich meebrengen. Ik spreek geregeld met verschillende grote technologiebedrijven over het beschermen van kinderen online. Tijdens deze gesprekken wijs ik deze grote techbedrijven op hun verantwoordelijkheid om kinderen en jongeren online te beschermen.

Vraag 6

In hoeverre verwacht de Staatssecretaris dat het mogelijk is dat een dergelijke chatbot kinderen met problemen voorziet van onjuiste of gevaarlijke adviezen?

Een chatbot kan onjuiste of gevaarlijke adviezen geven. Ik vind het natuurlijk volledig onacceptabel als chatbots kinderen van gevaarlijke of onjuiste adviezen zouden voorzien.
In de DSA zijn bepalingen opgenomen om gebruikers van online platforms beter te beschermen. De verplichtingen uit de DSA gaan vanaf 17 februari 2024 voor alle tussenhandeldiensten gelden. Voor de zeer grote online platforms- en zoekmachines, waaronder sociale netwerken als TikTok, Snapchat, Instagram en Facebook, wordt de DSA al dit jaar van toepassing, namelijk op 25 augustus 2023. Zij zijn vanaf dan verplicht om jaarlijks de zogenaamde systeemrisico’s die voortvloeien uit het ontwerp of uit de werking van hun diensten in kaart te brengen en maatregelen te nemen om deze risico’s te verminderen. Tot deze systeemrisico’s behoren nadrukkelijk ook eventuele werkelijke of voorzienbare negatieve effecten op de uitoefening van grondrechten, waaronder de rechten van kinderen, en negatieve effecten met betrekking tot minderjarigen. Dit betekent dat de zeer grote online platforms, waaronder ook Snapchat, op grond van de DSA maatregelen moeten nemen om de kinderen te beschermen tegen chatbots wanneer deze (potentieel) een negatief effect hebben op de rechten of het welzijn van kinderen.

Vraag 7

In hoeverre deelt de Staatssecretaris de opvatting van het kenniscentrum Bureau Jeugd & Media dat er een gedragscode moet komen voor het gebruik van chatbots?

In de AI-verordening (die nog in onderhandeling is) staat dat aanbieders ervoor moeten zorgen dat AI-systemen die voor interactie met natuurlijke personen zijn bedoeld (zoals chatbots), zodanig worden ontworpen en ontwikkeld dat natuurlijke personen worden geïnformeerd dat zij met een AI-systeem te maken hebben, tenzij uit de omstandigheden en gebruikscontext al blijkt dat sprake is van een AI-systeem.

Vraag 8

Deelt de Staatssecretaris de opvatting dat de urgentie van het verhogen van kennis over deze toepassingen onder kinderen zeer hoog is?

Ja, ik acht het van belang dat kinderen en hun ouders worden gewaarschuwd voor de risico’s voor kinderen in de digitale wereld. Zoals reeds aangegeven in de beantwoording van de Kamervragen die op 9 maart jl. aan uw Kamer zijn verzonden,2 zal ik een publiekscampagne starten om ouders en kinderen hierover beter te informeren. Voor de zomer zal ik een brede beleidsbrief over de bescherming van kinderen in de digitale wereld aan uw Kamer sturen. Hierin zal ik deze campagne ook verder toelichten.

Vraag 9

Welke rol ziet de Staatssecretaris hierin weggelegd voor scholen? Op welke manier gaat het kabinet zorgen dat scholen toegerust zijn om kinderen van deze kennis te voorzien?

Het is belangrijk dat schoolbesturen en leraren voldoende op de hoogte zijn van zowel de kansen als de risico’s van AI voor het onderwijs. Van onderwijsinstellingen vraagt dit om te doordenken hoe zij dit vanuit hun visie op goed onderwijs binnen hun instellingen willen vormgeven. Zij worden hierbij ondersteund door Kennisnet en SURF, die webinars en artikelen aanbieden. Ook hebben Kennisnet, de PO-Raad en de VO-raad een monitor ontwikkeld, MYRA, die scholen inzicht geeft in hoe zij ervoor staan op het gebied van technologie en digitalisering. Bewustwording over kunstmatige intelligentie vormt daar één van de onderdelen van, waaronder het gebruik van chatbots in de klas en computational thinking.
Aanvullend faciliteert het Ministerie van OCW een verantwoorde ontwikkeling van AI in het onderwijs, door het benutten van kansen en met oog voor de risico’s. Met behulp van het Nationaal Groeifonds investeert het Ministerie van OCW in deze ontwikkelingen tot 2035. Zo is er voor de komende tien jaar € 80 miljoen toegekend aan het Nationaal Onderwijslab AI (NOLAI) in het funderend onderwijs. Leraren en scholen in het funderend onderwijs kunnen deelnemen aan co-creatie projecten waarin zij samen met wetenschappers en leermiddelenmakers werken aan een goede inzet van intelligente technologieën in het onderwijs, vanuit een pedagogisch en didactisch verantwoorde basis, met oog voor risico’s als privacy en autonomie van leerlingen en leraren.

Vraag 10

Welke andere manieren ziet de Staatssecretaris voor zich om kinderen online weerbaar te maken en te beschermen tegen dergelijke negatieve uitwassen van AI toepassingen?

Zoals toegelicht onder vraag 8 zijn wij bezig met het ontwikkelen van een voorlichtingscampagne om het bewustzijn van de risico’s in de digitale wereld bij ouders en kinderen te verhogen en hun (meer) handelingsperspectief te bieden.

Vraag 1

Bent u bekend met het bericht «Nieuwe functie Snapchat wil met kinderen afspreken: Zie ik je vanavond? Ik ben een echt persoon!»?1

Ja, hiermee ben ik bekend.

Vraag 2

Wat vindt u van deze nieuwe functie?

Ik vind het zeer onwenselijk wanneer chatbots zich voordoen als echte mensen. Ik vind het belangrijk dat zeker kwetsbare groepen zoals kinderen voor wie het nog moeilijker is om dat onderscheid te maken hiertegen worden beschermd.
In de AI-verordening (die nog in onderhandeling is) staat dat aanbieders ervoor moeten zorgen dat AI-systemen die voor interactie met natuurlijke personen zijn bedoeld (zoals chatbots), zodanig worden ontworpen en ontwikkeld dat natuurlijke personen worden geïnformeerd dat zij met een AI-systeem te maken hebben, tenzij uit de omstandigheden en gebruikscontext al blijkt dat sprake is van een AI-systeem.

Vraag 3

Bent u ervan op de hoogte dat de nieuwe functie van Snapchat, «My AI», een speelse variant is op ChatGPT, maar daarbij verdergaat dan ChatGPT, omdat de functie van Snapchat zich voordoet als een echt persoon/een echte vriend, die daarnaast ingaat op voorstellen voor fysiek afspreken?

Ja, daarvan ben ik op de hoogte. Snap Inc., het bedrijf achter Snapchat, heeft in een gesprek met de Staatssecretaris van VWS en mij inmiddels aangegeven dat de functionaliteit is aangepast waardoor de chatbot zich niet langer voordoet als een echt persoon en expliciet wordt vermeld dat het gaat om een chatbot. Desalniettemin vind ik het kwalijk dat er bij de introductie van deze nieuwe functie in Snapchat onvoldoende rekening is gehouden met de impact die dit kan hebben op kinderen. Ik wil bedrijven zoals Snap Inc. dan ook oproepen de Code Kinderrechten Online toe te passen, waarvan het eerste beginsel luidt: «zet het belang van het kind voorop bij het ontwerp». Ook met het oog op de aankomende AI-verordening vind ik het belangrijk dat ontwerpers die gebruik maken van een chatbot duidelijk en transparant zijn richting de eindgebruiker dat er sprake is van een AI-systeem.

Vraag 4

Bent u ervan op de hoogte dat My AI inspeelt op de behoeften en problemen van jongeren, waardoor jongeren eenzijdige input krijgen, wat gevaarlijk kan zijn voor de ontwikkeling van de jongeren?

Op basis van de beschikbare informatie is het niet te zeggen of «My AI» inspeelt op de behoeften en problemen van jongeren en daardoor eenzijdige input verschaft. Het is hoe dan ook belangrijk dat aanbieders van online diensten, wanneer er gebruik wordt gemaakt van een bot, hierover transparantie bieden. Dit wordt zoals in vraag 2 toegelicht geregeld in de AI-verordening.
Bovendien dienen aanbieders van zogenaamde zeer grote online platforms, waaronder Snapchat, TikTok, Facebook en Instagram, op grond van de Digital Services Act (DSA), die op 25 augustus 2023 op hen van toepassing wordt, jaarlijks de zogenaamde systeemrisico’s die voortvloeien uit het ontwerp of uit de werking van hun diensten in kaart te brengen en maatregelen te nemen om deze risico’s te verminderen. Tot deze systeemrisico’s behoren nadrukkelijk ook eventuele werkelijke of voorzienbare negatieve effecten op de uitoefening van grondrechten, waaronder de rechten van kinderen, en negatieve effecten met betrekking tot minderjarigen. Dit betekent dat deze partijen ook maatregelen zullen moeten nemen om kinderen te beschermen tegen chatbots wanneer deze (potentieel) een negatief effect hebben op de rechten of het welzijn van kinderen.

Vraag 5

Deelt u de mening dat Snapchat met deze nieuwe functie een grens overschrijdt, omdat het zich voordoet als echt persoon, en herkent u de zorgen van ondermeer 113 Zelfmoordpeventie en de Kindertelefoon dat er gevaarlijke situaties kunnen ontstaan voor jongeren, zeker voor jongeren die kampen met suïcidale gedachten?

Ik deel de mening dat het onwenselijk is als een chatbot zich tegenover kinderen voordoet als echt persoon. Het is belangrijk dat kinderen zich realiseren of zij tegen een echt persoon praten of tegen een bot. Het is daarom goed dat deze functie in Snapchat is aangepast, zodat My AI zich niet meer voordoet als een echt persoon. Maar zoals ik hierboven ook al schreef, had Snap Inc. al bij de introductie van deze functie duidelijk moeten maken dat het om een AI-functionaliteit gaat en niet om een echt persoon. Het is kwalijk dat dat niet is gebeurd.

Vraag 6

Wat vindt u ervan dat My AI voor verbetering van hun eigen product en voor reclamedoeleinden in beginsel alle berichten bewaart, is dit in lijn met fingerende wet- en regelgeving? Kunt u hierbij specifiek ook ingaan op het kader voor minderjarigen van 16–17 jaar en kinderen jonger dan 16?

Het geldende juridische kader voor de verwerking van persoonsgegevens wordt hoofdzakelijk vormgegeven door de Algemene Verordening Gegevensbescherming (AVG) en de bijbehorende Uitvoeringswet (UAVG). Dit kader stelt verschillende voorwaarden aan het verwerken van persoonsgegevens. Zo is het verwerken van persoonsgegevens alleen toegestaan op basis van de verwerkingsgrondslagen, of redenen, die de AVG daarvoor biedt. Een van de verwerkingsgrondslagen uit de AVG is de «toestemming» van een betrokkene voor het verwerken van de persoonsgegevens voor een specifiek doel. Zo kan een betrokkene toestemming geven voor het verwerken van persoonsgegevens, bijvoorbeeld ter verbetering van de dienst die hij afneemt, of voor reclamedoeleinden. Als de betrokkene jonger is dan 16 jaar oud, dient de toestemming te worden gegeven door zijn of haar wettelijke vertegenwoordiger.
Bij de verwerking van deze persoonsgegevens dient ook aan andere voorwaarden uit de AVG te worden voldaan, waaronder beginselen van behoorlijke gegevensverwerking, zoals het beginsel van dataminimalisatie. Dit beginsel bepaalt dat niet meer gegevens mogen worden verwerkt dan strikt noodzakelijk voor het doel waarvoor de verwerking plaatsvindt.
De vraag of My AI aan de AVG voldoet, kan ik als bewindspersoon echter niet beoordelen. Dit is ook niet aan mij. De Autoriteit Persoonsgegevens (AP) is aangewezen als onafhankelijke toezichthouder om toe te zien op de naleving van de AVG en waar nodig handhavend op te treden.

Vraag 7

Wat vindt u ervan dat Snapchat deze functie introduceert voor commerciële doeleinden en deze ook voor kinderen beschikbaar stelt?

Bedrijven mogen functies als een chatbot bij hun online dienst beschikbaar stellen. Daarbij dient evenwel altijd te worden voldaan aan toepasselijke regelgeving, waaronder de AVG. Als persoonsgegevens worden verwerkt op basis van toestemming, dient deze bij kinderen onder de 16 jaar bijvoorbeeld steeds te zijn gegeven door een wettelijke vertegenwoordiger. Bij dergelijke functies dienen de kinderrechten te allen tijde te worden geborgd en dienen de belangen van het kind in ogenschouw te worden gehouden. Commerciële belangen wegen uiteraard nooit zwaarder dan de rechten van kinderen. Het is belangrijk dat technologiebedrijven zoals Snap Inc. bij het ontwerp van apps en games de Code Kinderrechten Online toepassen, waarvan een belangrijk beginsel luidt: «voorkom te allen tijde economische exploitatie van kinderen».

Vraag 8

Bent u bereid om met Snapchat in gesprek te gaan over deze functie en de effecten hiervan op kinderen in het bijzonder, met als doel deze functie te schrappen of in elk geval aan te laten passen zodat kinderen beschermd worden? Bent u op zijn minst van mening dat daarbij duidelijk moet worden aangegeven dat het hier gaat om een fictief persoon?

Ik heb met Snap Inc., het bedrijf achter Snapchat, gesproken. Toen bleek dat Snap Inc. deze functie inmiddels heeft aangepast waardoor de chatbot zich niet langer voordoet als echt persoon en wordt vermeld dat het een chatbot betreft. Ik vind het belangrijk dat aanbieders van online diensten transparant zijn over het gebruik van bots, zeker wanneer het kinderen betreft.

Vraag 9

Hoe bent u van plan om jongeren, ouders en scholen in bredere zin bewuster te maken van deze en andere AI-ontwikkelingen?

De opkomst van AI is een gegeven en heeft impact op de maatschappij en het onderwijs. AI kan het onderwijs verbeteren door het leren motiverender en meer op maat te maken en docenten te ondersteunen. Tegelijkertijd zijn er risico’s en kan de inzet van AI bijvoorbeeld door biases leiden tot grotere verschillen tussen groepen leerlingen en studenten waardoor groepen leerlingen en studenten onterecht benadeeld kunnen worden.2 De ontwikkeling van AI zal dan ook een aanpassing vragen van docenten en leerlingen en studenten om goed met intelligente technologieën in het onderwijs om te gaan.
De ontwikkeling van AI vraagt van zowel docenten als leerlingen om op een doordachte manier met deze technologie in het onderwijs om te leren gaan. Daarbij is het belangrijk dat scholieren, leraren en de brede maatschappij in gesprek blijven over het gebruik van AI in de klas. Van docenten vraagt dit ook meer op het gebied van didactische en digitale vaardigheden. OCW draagt hieraan bij door het inrichten van een expertisepunt voor digitale geletterdheid in 2023, waar leraren, schoolleiders en bestuurders terecht kunnen voor hulp en informatie over digitale geletterdheid. Van onderwijsinstellingen vraagt dit om te doordenken hoe zij vanuit hun visie op goed onderwijs dit binnen hun instellingen willen vormgeven.

Vraag 10

Deelt u de mening dat er hele grote stappen worden gezet in de ontwikkeling van kunstmatige intelligentie, waardoor een zorgvuldige aanpak noodzakelijk is?

Ja, daarmee ben ik het eens. Het kabinet onderneemt daarom op dat gebied acties. Het kabinet gaat in de beantwoording van de vragen van Kamerlid Leijten hierop nader in.3

Vraag 11

Vindt u ook dat technologische ontwikkelingen momenteel sneller gaan dan de kaders van wet- en regelgeving? Deelt u de mening dat dit geen wenselijke situatie is en dat idealiter vóór de introductie van nieuwe ingrijpende digitale technologieën een afweging is gemaakt over de maatschappelijke impact en of, en zo ja onder welke voorwaarden, dergelijke technologieën kunnen worden geïntroduceerd?

Er bestaan al verschillende algemene regelgevende kaders, zoals de AVG, de herziene richtlijn audiovisuele mediadiensten (AVMSD) en binnenkort de DSA en de AI-verordening. Daarbij wordt zoveel mogelijk gekozen voor technologie neutrale bepalingen zodat de wetgeving toekomstbestendig is. Wel is het zo dat technologische ontwikkelingen elkaar snel opvolgen. Hierdoor kan het voorkomen dat de kaders van wet- en regelgeving niet meer geheel passend zijn bij de nieuwste ontwikkelingen. Ik acht het echter wel van het grootste belang dat publieke waarden juist ook bij nieuwe ontwikkelingen goed worden geborgd. Daarom zet ik, zoals aangegeven in de Werkagenda Waardengedreven digitalisering, in op het opstellen van techniek neutrale voorwaarden en impact assessments voor de borging van publieke waarden bij de toepassing van nieuwe digitale technologieën. Een voorbeeld hiervan is het bestaande Impact Assessment Mensenrechten en Algoritmen (IAMA)4 en het Kinderrechten Impact Assessment (KIA) dat ik momenteel ontwikkel en in het najaar gereed zal zijn. Ook stel ik ten aanzien van nieuwe technologieën beleidsagenda’s op. In zo’n agenda staan concrete acties om kansen van een nieuwe technologie te benutten en risico’s te adresseren. In het najaar zal ik een beleidsagenda immersieve technologie lanceren.
In het geval van AI vind ik het van belang dat de AI-verordening niet te lang op zich laat wachten. Daarin wordt onder meer geregeld dat hoog risico AI-systemen pas op de Europese markt gebracht mogen worden als deze goedgekeurd zijn op het gebied van veiligheid en mensenrechten. Daarmee zorgen we ervoor dat die afweging vooraf gemaakt wordt.

Vraag 12

Hoe beoordeelt het kabinet de stappen die de Italiaanse privacy-autoriteit heeft gezet om ChatGPT te blokkeren, ondermeer vanwege de slechte bescherming van kinderen? Kan het kabinet zich voorstellen dat ook in Nederland tot een dergelijke stap wordt overgegaan?

Zoals ik hierboven reeds opmerkte bij het antwoord op vraag 6, is het aan de onafhankelijke toezichthouder (de Autoriteit Persoonsgegevens) om te beoordelen of OpenAI met ChatGPT aan de AVG voldoet, en indien er sprake blijkt te zijn van onrechtmatig handelen handhavend op te treden. Ik kan als bewindspersoon niet beoordelen of My AI aan de AVG voldoet, en of, en zo ja hoe, in dat verband handhavend dient te worden opgetreden.
De Italiaanse toezichthouder heeft overigens inmiddels het verbod opgeven nadat OpenAI heeft toegezegd enkele wijzigingen te zullen doorvoeren die de zorgen van de Italiaanse toezichthouder met betrekking tot gegevensbescherming moeten wegnemen. OpenAI heeft tot 30 april de tijd gehad om deze aanpassingen door te voeren.5 Sindsdien is er geen nieuw verbod op ChatGTP uitgevaardigd door de Italiaanse toezichthouder.
Het kabinet gaat nader in op dit onderwerp in de beantwoording van de vragen van Van Raan.6

Vraag 13

Deelt u de mening dat niet alleen op korte termijn met een visie op nieuwe AI-producten moet worden gekomen – zoals door de Kamer verzocht2 – maar ook met nadere wet- en regelgeving waarin in elk geval aandacht is voor de bescherming van kwetsbare groepen zoals kinderen en jongvolwassenen?

Net als de vragenstellers vind ik het enorm belangrijk dat kinderen en jongvolwassenen goed worden beschermd. Er bestaan daarvoor al veel regels. De AVG en de DSA kennen bijvoorbeeld specifieke regels voor de bescherming van deze groepen. In de EU wordt momenteel gewerkt aan de AI-verordening, zoals ook benoemd in vraag 2 en 11. Deze stelt eisen aan bepaalde AI-systemen, zoals een transparantieverplichting voor chatbots. In het kader van de kabinetsvisie op nieuwe AI-producten, waaronder generatieve AI, zal het kabinet bestuderen of er aanvullende wet- en regelgeving nodig is, en daarbij ook aandacht besteden aan de bescherming van kwetsbare groepen zoals kinderen en jongvolwassenen.