Vraag 1

Bent u bekend met het bericht «Ziekenhuizen kwetsbaar voor cyberaanval: Wachten totdat het misgaat» van 26 januari jongstleden?1

Ja.

Vraag 2

Deelt u de zorgen bij het lezen van de constatering van beveiligingsexperts dat Nederlandse ziekenhuizen nog altijd kwetsbaar zijn voor cyberaanvallen? Zo nee, wat is dan uw oordeel over deze constatering?

Ik deel de zorgen dat er een toename is aan veiligheidsdreigingen voor zorginstellingen door een toename van cyberaanvallen. Tegelijkertijd kunnen cyberaanvallen nooit helemaal worden voorkomen. Informatiebeveiliging vraagt daarmee continue aandacht om de beschikbaarheid, integriteit en vertrouwelijkheid van (patiënt)informatie te waarborgen. Zorgaanbieders, zoals ziekenhuizen, moeten daar alert op zijn. Zij zijn verantwoordelijk voor het op orde hebben en houden van hun informatiebeveiliging. Onderdeel daarvan is het voldoen aan de wettelijk verplichte NEN 7510-norm die de kaders stelt om beschikbaarheid, integriteit en vertrouwelijkheid van medische gegevens te borgen. Daarnaast worden ziekenhuizen ondersteund door Z-CERT (het Computer Emergency Response Team voor de zorg) bij (dreigende) cyberincidenten en bij het vergroten van hun digitale weerbaarheid. Er zijn de laatste jaren door de ziekenhuizen al grote stappen gezet op het gebied van informatiebeveiliging, waaronder ook het aantoonbaar voldoen aan de NEN 7510. Dit komt ook naar voren in het recent gepubliceerd inspectierapport van de Inspectie Gezondheidzorg en Jeugd (IGJ) bij ziekenhuizen2. Ziekenhuizen die op het moment van het inspectiebezoek hun informatiebeveiliging niet op orde hadden, hebben na het inspectiebezoek beveiligingsmaatregelen genomen waaronder het aantoonbaar voldoen aan de NEN7510 norm.

Vraag 3

Hoeveel Nederlandse ziekenhuizen en andere zorginstellingen zijn in 2021 geraakt door cyberaanvallen, en hoeveel in 2020 en 2019? Om welk type cyberaanvallen ging het in die gevallen? In hoeveel gevallen is de continuïteit van zorg in gevaar gekomen als gevolg van een cyberaanval?

Cybercrime en het aantal cyberincidenten nemen in rap tempo toe. Het is niet bekend hoeveel zorginstellingen in 2021, 2020 en 2019 precies geraakt zijn door cyberaanvallen. Daarvan is geen meldingsplicht. Wel heeft Z-CERT op mijn verzoek gemeld dat er in de afgelopen drie jaar ruim 1300 hulpverzoeken en (cyber)incidenten zijn gemeld bij Z-CERT. Met name in 2021 is het aantal meldingen fors gestegen. Dit komt mede omdat er in 2021 een grote groep nieuwe deelnemers is aangesloten. Onder andere meldden in 2021 vijf zorginstellingen te zijn geraakt door een ransomware-aanval, vier meer dan in 2020 aldus Z-CERT in haar recent gepubliceerde «Cyber Dreigingsbeeld in de zorg 2021»3. In 2019 werden 176 en in 2020 182 hulpverzoeken gemeld bij Z-CERT.

Vraag 4

Deelt u de mening dat het zorgelijk is dat beveiligingsexperts constateren dat de zorgsector qua digitale beveiliging achterloopt op andere sectoren? Hoe beoordeelt u dit in het licht van het vitale karakter van zorgprocessen?

De beveiliging en beschikbaarheid van ICT in de zorg verdienen blijvend aandacht. Mijn beleid focust zich op het verhogen van bewustwording van de noodzaak tot beveiliging van de gevoelige persoonsgegevens die juist in de gezondheidszorg zo’n grote rol spelen. Ik herken mij niet in het beeld dat de zorgsector achter zou lopen op andere sectoren als het gaat om digitale weerbaarheid. Er zijn de laatste jaren door de ziekenhuizen en andere zorginstellingen grote stappen gezet op het gebied van informatiebeveiliging, waaronder het verhogen van cyberbewustwording, het (collectief) aansluiten bij Z-CERT en ook het aantoonbaar voldoen aan de wettelijk verplichte NEN 7510.

Vraag 5

Klopt het dat de Inspectie Gezondheidszorg en Jeugd (IGJ) in 2021 al concludeerde dat de informatiebeveiliging van de meeste ziekenhuizen niet voldoet aan de gestelde eisen? Zo ja, welke consequenties zijn er voor ziekenhuizen die hier niet aan voldoen? Zijn sinds de conclusie van de Inspectie stappen gezet om de informatiebeveiliging van deze ziekenhuizen op het juiste niveau te krijgen? Zo ja, welke? Zo nee, waarom niet?

Het artikel van Nu.nl refereert aan een publicatie van de IGJ van december 2021 over het toezicht op e-health bij 22 ziekenhuizen («Professionele digitale zorg vraagt van ziekenhuizen steeds opnieuw evalueren en verbeteren»). De inspectiebezoeken vonden plaats in de periode tussen september 2017 en oktober 2021. Hierbij keek de inspectie onder andere naar het thema informatiebeveiliging: ziekenhuizen moeten een managementsysteem voor informatiebeveiliging hebben dat voldoet aan de wettelijk verplichte norm NEN 7510. Een onderdeel van deze norm is dat een onafhankelijke beoordeling van het managementsysteem voor informatiebeveiliging aanwezig moet zijn. Bij meer dan de helft van de bezochte ziekenhuizen bleek dit op het moment van het inspectiebezoek niet het geval. De ziekenhuizen die onvoldoende konden aantonen dat zij voldeden aan de norm, kregen de opdracht van de inspectie om dit alsnog aan te tonen. Dit betekende in de praktijk dat de meeste van deze ziekenhuizen alsnog een onafhankelijke beoordeling moesten laten uitvoeren en zo nodig naar aanleiding van de uitkomsten een verbeterplan moesten doorvoeren.
De desbetreffende ziekenhuizen gaven hieraan gehoor. Bij acht ziekenhuizen heeft dit er vervolgens toe geleid dat zij een (niet wettelijk verplicht) certificaat hebben behaald voor NEN 7510. Uit de publicatie van de IGJ van december 2021 kunnen geen conclusies worden getrokken over de ziekenhuizen die niet zijn bezocht. In de publicatie van de inspectie roept de inspectie alle ziekenhuizen op om hun informatiebeveiliging snel aantoonbaar op orde te krijgen voor zover dat nu nog niet het geval is. De inspectie zal ook andere ziekenhuizen hierop in de toekomst aanspreken als bij een thematisch bezoek blijkt dat de informatiebeveiliging niet aantoonbaar voldoet aan de norm.

Vraag 6

Welke maatregelen nemen ziekenhuizen al dan niet in samenwerking met Z-CERT, om cyberaanvallen te voorkomen? In hoeverre wordt bijvoorbeeld geoefend met Z-CERT op cyberincidenten? In hoeverre wordt de Kwetsbaarheden Analyse Tool (KAT) al ingezet binnen de zorgsector om doorlopend te scannen op kwetsbaarheden?

In de afgelopen jaren hebben ziekenhuizen extra beveiligingsmaatregelen getroffen om de toenemende cyberdreiging het hoofd te bieden. De wettelijk verplichte NEN 7510 norm biedt hiervoor een goed kader. Ook zien we dat steeds meer ziekenhuizen zich laten certificeren tegen deze NEN norm. Met onder meer de publicatie van richtlijnen ter voorkoming van ransomware en met het organiseren van webinars draagt Z-CERT bij aan het vergroten van het bewustzijn en het treffen van adequate maatregelen. Z-CERT informeert en adviseert ziekenhuizen dagelijks over dreigingen en incidenten met betrekking tot hun zorginformatiesystemen. Ook helpt Z-CERT-ziekenhuizen zich voor te bereiden op (en om te gaan met) ernstige ICT-incidenten of ICT-crises. Deze inspanningen dragen bij aan het voorkomen van cyberincidenten. In samenwerking met een aantal ziekenhuizen voert Z-CERT op beperkte schaal al cyberoefeningen uit. Het voornemens is om in de komende jaren verder te investeren in het organiseren van cyberoefeningen bij ziekenhuizen en andere deelnemers van Z-CERT. Dat ondersteun ik.
De Kwetsbaarheden Analyse Tool (KAT) wordt op dit moment specifiek toegepast in het zorgdomein. Thans loopt er een project bij Z-CERT om deze dienst in te richten en te operationaliseren en deze beschikbaar te stellen aan zorginstellingen. Dit in aanvulling op andere middelen die worden ingezet om deelnemers van Z-CERT te controleren op kwetsbaarheden en proactief te waarschuwen.

Vraag 7

Deelt u de mening dat het van groot en urgent belang is dat ziekenhuizen maatregelen treffen, zeker gezien de COVID-19-crisis, om cyberaanvallen te voorkomen? Zo ja, bent u bereid om op korte termijn mét de sector en Z-CERT te werken aan maatregelen om zorginstellingen, zoals ziekenhuizen, digitaal weerbaar te maken? Op welke termijn verwacht u de Kamer hierover te kunnen informeren? Zo nee, waarom niet?

Ik vind het van belang dat zorginstellingen de aan hun toevertrouwde informatie beveiligen en beschermen. Tegelijkertijd zullen er in de digitale wereld altijd cyberrisico’s blijven. Het is zaak die te onderkennen, zoveel mogelijk te mitigeren, voortdurend te bewaken en in te grijpen bij (dreigende) verstoringen. Zorginstellingen moeten daar alert op zijn aangezien zij zelf verantwoordelijk zijn voor het op orde hebben en houden van hun informatiebeveiliging. Ik werk momenteel al samen met de sector en Z-CERT om de zorg weerbaarder te maken.
Ik ondersteun Z-CERT met het risicogestuurd uitbreiden van het aantal deelnemers. Z-CERT heeft nu ruim 200 zorginstellingen aangesloten. Dit is een verdubbeling ten opzichte van een jaar eerder. Daarnaast werk ik samen met Z-CERT om openbare diensten en producten te ontwikkelen zoals de reeds verschenen «handreiking verlopen domeinnamen» Z-CERT_Handreiking2021.pdf. Deze handreiking helpt bij het proactief en continu monitoren op kwetsbaarheden van verlopen zorgdomeinnamen.
Om bewustwording over informatiebeveiliging in de zorg te verhogen heb ik in samenwerking met Brancheorganisaties Zorg de wegwijzer «Aan de slag met Informatieveilig gedrag» ontwikkeld en deze medio 2021 beschikbaar gesteld aan het veld4. De wegwijzer helpt zorginstellingen om de informatieveiligheid te verbeteren en helpt hen ook concreet bij het voldoen aan de wettelijk verplichte NEN 7510. In mijn volgende Kamerbrief over elektronische gegevensuitwisseling in de zorg zal ik uw Kamer nader informeren over de vorderingen op het gebied van informatieveiligheid in de zorg.

Vraag 1

Bent u bekend met bovenstaande vacature?1

Ja.

Vraag 2

Klopt het dat de functie onder andere het onderzoeken naar de (voor- en nadelen van) mogelijkheden om communicatie van OTT-communicatiediensten, zoals Whatsapp, Signal e.d. op een proportionele wijze aftapbaar te maken, omvat? Zo ja, kunt u deze te verrichten werkzaamheden toelichten?

Ja, dat klopt. Als onderdeel van het onderzoek dat in de vacaturetekst wordt genoemd is er een inventarisatie gaande om mogelijkheden te onderzoeken voor rechtmatige toegang tot versleutelde digitale communicatie, om vervolgens de voor- en nadelen daarvan voor alle betrokken zwaarwegende belangen te analyseren. Daardoor wordt geïnformeerde en zorgvuldige besluitvorming door het kabinet en uw Kamer mogelijk. Tijdens deze inventarisatie wordt expliciet de mogelijkheid opengehouden dat geen proportionele oplossing zich aandient, waardoor voortgang op dit traject op dat moment niet prudent is. Hieronder volgt een nadere onderbouwing.
Politie, het OM en de inlichtingen- en veiligheidsdiensten (IenV-diensten) geven al langere tijd aan dat het wijdverspreide gebruik van digitale communicatiediensten een negatieve impact heeft op de effectiviteit van de interceptiebevoegdheden. Dat komt onder meer door het volgende. Over-The-Top (OTT) communicatiediensten (OTT-communicatiediensten) worden praktisch door iedereen gebruikt. Deze OTT-communicatiediensten kennen geen wettelijke medewerkings- en aftapbaarheidsverplichtingen zoals aanbieders van openbare telecommunicatiediensten en -netwerken die wel hebben. Bovendien is er geen sprake van een ontsleutelplicht voor dergelijke aanbieders van communicatiediensten. Daarbovenop maken zij gebruik van een type versleuteling waardoor niet alleen opsporings- en IenV-diensten zijn uitgesloten van toegang tot deze communicatie, maar ook de aanbieders van de diensten zelf. Rechtmatige toegang is hierdoor niet mogelijk, ongeacht de bevoegdheden daartoe, passende juridische waarborgen of de ernst van het criminele feit of de dreiging.
De zorgen geuit door de opsporings- en IenV-diensten over de effectieve uitvoering van hun wettelijke taak neem ik serieus. Het betreft hier het vermogen van deze diensten om hun kerntaken uit te voeren: criminaliteit opsporen, verdachten voor de rechter brengen en de Nederlandse veiligheid bewaken.
Tegelijkertijd ben ik mij er zeer van bewust dat het een bijzonder complex vraagstuk is met veel betrokken vakgebieden en belangen. Ook door dit kabinet wordt de noodzaak voor goede, sterke versleuteling van digitale communicatie onderschreven alsook het belang hiervan voor cybersecurity, nationale veiligheid en de bescherming van fundamentele rechten en vrijheden. Zie hiervoor ook het antwoord op vraag vier.
Uw Kamer is bekend met de initiatieven die door het vorige kabinet met betrekking tot de interceptie van communicatie via OTT-communicatiediensten in gang zijn gezet en de motivatie daarvoor, alsook de dilemma’s die in dit vraagstuk naar voren komen en in deze beantwoording verder worden toegelicht. Naast deze nationale verkenning is in dit traject ook een initiatief op EU-niveau in gang gezet. Nederland staat niet alleen in de zoektocht naar een passende, rechtstatelijke oplossing voor dit bijzonder complexe vraagstuk. De Commissie heeft aangegeven in 2022 een «way forward» te willen voorstellen op dit dossier. Daarbij pleit ik ook structureel, mede in EU verband, voor een transparant proces waarbij de samenwerking met het bedrijfsleven, opsporingsdiensten, het maatschappelijk middenveld en de wetenschap wordt gezocht. Gedurende het EU traject vindt ook afstemming plaats tussen mijn Ministerie en de I&V-diensten.

Vraag 3

Wat is volgens u het uiteindelijke doel van het onderzoeken naar de mogelijkheden om communicatie van OTT-diensten op een proportionele wijze aftapbaar te maken? Hoe verhoudt dit doel zich tot het bredere cybercrime beleid?

Zoals ik in mijn antwoord op vraag 2 heb aangegeven is het doel van de inventarisatie om geïnformeerde en zorgvuldige besluitvorming mogelijk te maken door dit kabinet en uw Kamer. Indien een mogelijke oplossing voor interceptie van versleutelde communicatie via OTT-communicatiediensten wordt gevonden, dan moet men goed inschatten wat de impact is op de cybersecurity, nationale veiligheid en bescherming van fundamentele rechten en vrijheden, zoals eerbiediging van de privacy. Indien een proportionele oplossing zich niet aandient, moeten we bijvoorbeeld ook goed analyseren wat dit betekent voor de mogelijkheden van de opsporing en IenV-diensten om criminaliteit op te sporen en onze maatschappij veilig te houden.
Dit traject staat los van het cybercrime beleid. De beschermende waarde van encryptie om te voorkomen dat criminelen toegang krijgen tot persoonlijke gegevens staat niet ter discussie. Daarbij moet ook worden bedacht dat rechtmatige toegang tot versleutelde communicatie ook de veiligheid van de maatschappij en burgers kan verbeteren doordat illegale inhoud kan worden erkend, onderschept, verwijderd en slachtofferschap wordt voorkomen of geminimaliseerd. De interceptiebevoegdheid kan worden gebruikt voor de bestrijding van vele soorten criminaliteit. Daarbij gelden passende juridische waarborgen: er moet toestemming worden verleend door een bevoegde autoriteit – de rechter-commissaris bij de inzet ten behoeve van de opsporing – die in concrete gevallen telkens een proportionaliteitsafweging maakt.
Ook in opsporingsonderzoeken naar misdrijven die alleen in de fysieke wereld worden gepleegd communiceren verdachten onderling of met derden over de planning of uitvoering van het misdrijf via OTT-communicatiediensten. Gegeven het belang van de interceptiebevoegdheid voor vele typen criminaliteit en de ontwikkeling in het gebruik van OTT-communicatiediensten is het WODC gevraagd om onderzoek te doen naar de impact van encryptie op de opsporing. Dit onderzoek kan helpen bij de weging van de proportionaliteit van een eventuele oplossing.

Vraag 4

Hoe kijkt u naar het gebruik van end-to-end encryptie door OTT-communicatiediensten zoals Whatsapp en Signal? Wat zijn volgens u hier de voor- en nadelen van?

Ook dit kabinet erkent het belang van de ontwikkeling, beschikbaarheid en het gebruik van encryptie. Het is van groot belang de vertrouwelijkheid en integriteit van digitale communicatie en opgeslagen data te beschermen. Dat is belangrijk voor de eerbiediging van de persoonlijke levenssfeer, het vertrouwen van mensen in digitale producten en diensten en voor de Nederlandse economie in het licht van de digitale maatschappij. Dit kabinet stelt zich in het coalitieakkoord ook ten doel om privacy van burgers te verbeteren, fundamentele burgerrechten online te erkennen en veilige digitale communicatie te versterken.
In het coalitieakkoord wordt echter ook een ambitieuze agenda neergelegd voor de aanpak van ondermijnende criminaliteit, radicalisering en extremisme, cybercriminaliteit en de slagkracht van de opsporings- en IenV-diensten. Interceptie van communicatie is voor het realiseren van deze doelen van belang.
De voor- en nadelen die gelden voor de versleuteling in het algemeen gelden ook voor end-to-end versleuteling. Zoals ik in antwoord op vraag twee reeds benoemd heb, zijn door de implementatie van dit type versleuteling opsporings- en IenV-diensten uitgesloten van rechtmatige toegang tot deze communicatie via de aanbieder. Ongeacht de passende juridische waarborgen of de ernst van het criminele feit of de dreiging. Dit heeft tot gevolg dat opsporings- en IenV-diensten meer aangewezen zijn op alternatieve mogelijkheden om alsnog toegang tot de informatie te verkrijgen, zoals bijvoorbeeld de bevoegdheid tot Opname van Vertrouwelijke Communicatie (OVC) of het op afstand binnendringen in een geautomatiseerd werk.
De effectiviteit van de wet die deze laatste bevoegdheid mogelijk maakt wordt op dit moment geëvalueerd door het WODC, het rapport verwacht ik in de eerste helft van 2022. In het algemeen kan worden gesteld dat deze bevoegdheden minder schaalbaar en de effectiviteit er van beperkt voorspelbaar zijn vanwege de vereiste expertise, de kostbaarheid van de uitvoering, de capaciteit die dit vraagt en de vraag of het de opsporings- en inlichtingendiensten überhaupt lukt om toegang te krijgen en te houden tot de gewenste communicatie. Betrouwbare en voorspelbare toegang tot informatie is een belangrijk element in dit vraagstuk.

Vraag 5

Wat zijn volgens u de voor- en nadelen van het aftappen van OTT-communicatiediensten zoals Whatsapp? Kunt u deze toelichten?

Dit is de kernvraag van de inventarisatie die in gang is gezet en hangt af van de mogelijke oplossingen, indien zich een proportionele oplossing aandient. Nederland zet nu primair in op het eerdergenoemde EU-traject. In de tussentijd zal nationale gedachtevorming doorgaan om onder andere een betekenisvolle rol te spelen in dit traject. Daarbij zet ik mij in, zowel nationaal in EU-verband, voor een transparant proces waarbij de samenwerking met het bedrijfsleven, het maatschappelijk middenveld en de wetenschap wordt gezocht.

Vraag 6

Op welke wijze zou volgens u überhaupt de communicatie van deze OTT-diensten op proportionele wijze aftapbaar kunnen worden gemaakt? Kunt u dit toelichten?

Dit punt is onderwerp van de inventarisatie. Ik kan hierop nog geen antwoord geven. Ik zal uw Kamer indien het onderzoek resultaten heeft opgeleverd informeren over de uitkomsten en meenemen in de weging en verdere gedachtenvorming. Dat doe ik ook met een zeer brede groep van stakeholders: academici, het maatschappelijk middenveld, OTT-communicatiediensten, opsporings- en IenV-diensten.

Vraag 1

Kunt u verzekeren dat de verzamelde data van gebruikers van de MY2022 app niet worden gebruikt voor sociale en politieke surveillance? Zo niet, waarom niet?

De risico’s van het gebruik van deze app passen in een breder beeld. De AIVD geeft in het jaarverslag 2020 aan dat China op grote schaal persoonsgegevens vergaart, zoals reis-, visa-, paspoort-, vlucht-, telefoon- en medische informatie.
Daarnaast waarschuwen de diensten er in algemene zin voor dat in China de wettelijke verplichting bestaat dat Chinese bedrijven medewerking verlenen aan de Chinese Inlichtingen- en Veiligheidsdiensten.
Tegen deze achtergrond is in aanloop naar de Olympische Spelen door de AIVD, het Ministerie van Buitenlandse Zaken, en de NCTV een briefing verzorgd voor NOC*NSF. Daar is het dreigingsbeeld aan de orde gekomen en is besproken welke maatregelen genomen kunnen worden om veiligheids- en privacyrisico’s te beperken.

Vraag 2

Bent u zich ervan bewust dat de webadressen van de MY2022 app niet SSL-gecertificeerd zijn, waardoor de data van gebruikers mogelijk bereikbaar zijn voor hackers of andere malafide gebruikers?

CitizenLab1, een gerenommeerde onderzoeksinstelling, heeft de app doorgelicht en stelt dat de communicatie SSL-versleuteld is, maar dat er niet op authenticiteit wordt gecontroleerd. Dat betekent dat een eventuele aanvaller zich eenvoudig kan voordoen als het betreffende domein en dus inzicht krijgt in de communicatie tussen app-gebruiker en server. Een deel van de communicatie wordt überhaupt niet versleuteld.

Vraag 3

Kunt u garanderen dat de gebruikersinformatie over de MY22 app niet wordt gedeeld met derde partijen? Zo nee, kunt u aangeven met wie de data gedeeld wordt?

CitizenLab heeft een lijst gepubliceerd met Chinese bedrijven waarmee data wordt gedeeld. Dit zijn onder andere een aantal Chinese telecombedrijven, sociale media platformen, een navigatieservice en iFlytek.

Vraag 4

Kunt u verzekeren dat de veiligheid van Nederlandse gebruikers is gegarandeerd, indien zij zich uitlaten over de informatie die binnen de app als «politiek gevoelig» bestempeld is?

De app beschikt over een chatfunctie om contact te maken met andere My2022-gebruikers. De app bevat daarbij een lijst van politiek gevoelige termen in een bestand genaamd «illegalwords.txt». De onderzoekers van CitizenLab kunnen niet bevestigen of de lijst actief gebruikt wordt om te censureren. Hoe dan ook is de indruk dat sporters slechts weinig gebruik maken van deze chatfunctie.

Vraag 5

Kunt u erop aandringen bij het Internationaal Olympisch Comité (IOC) en Chinese autoriteiten dat de app voor de start van de Olympische Spelen voldoet aan de veiligheid- en privacy standaarden zoals omschreven in de AVG? Indien dit niet mogelijk blijkt, kunt u er dan op aandringen bij het IOC en de Chinese autoriteiten dat de app niet verplicht wordt gesteld en er alternatieven worden geboden om de noodzakelijke informatie aan te leveren? Zo nee, waarom niet?

De MY2022 app wordt gebruikt binnen China en is daarmee niet gehouden aan de veiligheid- en privacystandaarden zoals omschreven in de AVG. In het zogenaamde Playbook, waarin de regels zijn beschreven die bij de Olympische Spelen in Beijing gelden voor onder meer de atleten, officials en journalisten, staat vermeld dat Nederlandse Olympiërs niet verplicht zijn deze app te gebruiken. Wat in elk geval wel verplicht is, is het gebruik van de Health Monitoring System (HMS)-functionaliteit. Dit systeem is onderdeel van de MY2022-app, maar is ook te gebruiken zonder de app te installeren via https://hms.beijing2022.cn. Er is technisch gezien dan ook een mogelijkheid om via de online omgeving aan deze verplichting te voldoen zonder gebruik van de app.

Vraag 6

Wat is uw oordeel over het feit dat onze topsporters en hun begeleiding door de keuze voor Beijing als organisator van de Olympische Spelen een extreem hoog risico lopen om persoonlijke informatie zoals trainingsschema’s, informatie over fysiek gestel en mentale aspecten kwijt te raken aan de gastheer? Op welke wijze gaat u dit op internationaal niveau aankaarten bij het IOC?

De informatie die gedeeld moet worden, betreft de gezondheidsstatus (temperatuur en een aantal vragen over algehele gezondheid, bijvoorbeeld hoesten, hoofdpijn etc.), vaccinatiestatus, de PCR-test van twee dagen voor vertrek en het reisschema. Dit betreft dus niet persoonlijke informatie als trainingsschema’s, informatie over fysiek gestel of mentale aspecten.
Het IOC en NOC*NSF zijn op de hoogte van de zorgen rond de app en hebben hierin ook een eigenstandige rol te spelen.

Vraag 7

Kunt u bij het IOC erop aandringen om de beperkte veiligheid- en privacy problemen van de MY2022 app te communiceren aan de gebruikers hiervan?

Het IOC heeft vooraf aan alle gebruikers van de app via de eigen mediakanalen duidelijk gemaakt waar en hoe de app wordt gebruikt. Na het ontstaan van zorgen over de My2022 app heeft het IOC een onafhankelijke externe beoordeling van de applicatie uit laten voeren door twee organisaties op het gebied van cyberbeveiliging. Deze rapporten concludeerden dat de oorspronkelijke kwetsbaarheid is opgelost.
Het NOC*NSF heeft daarnaast alle Nederlandse deelnemers bewust gemaakt van de digitale risico’s die met het reizen naar Beijing 2022 gepaard gaan en hoe de risico’s beperkt kunnen worden.

Vraag 8

Kunt u aangeven welke maatregelen Nederland gaat nemen om te zorgen dat dit soort onveilige verplichte apps in de toekomst niet meer gebruikt worden bij (sport-)evenementen in China en elders?

Het gaat hierbij eerst en vooral om een verantwoordelijkheid van de betreffende organisatie in de contacten met het land waar het evenement wordt gehouden.
De Nederlandse overheid heeft daarbij een rol in het informeren van de Nederlanders die hiervoor afreizen. Zo is in aanloop naar de Olympische Spelen door de AIVD, het Ministerie van Buitenlandse Zaken en de NCTV een briefing verzorgd voor NOC*NSF. Daar is het dreigingsbeeld aan de orde gekomen en is besproken welke maatregelen genomen kunnen worden om veiligheids- en privacyrisico’s tegen te gaan. Dergelijke briefings zullen herhaald worden in aanloop naar (sport-)evenementen waar relevant en nuttig.

Vraag 9

Bent u het ermee eens dat de veiligheid, en dus ook de privacy, van onze topsporters, waaronder ook de data van hun eventuele familie, vrienden en andere contacten, gegarandeerd moeten worden, zodat de topsporters zich kunnen concentreren op hun sportprestaties? Zo ja, hoe gaat u dit garanderen? Welke andere risico’s lopen de topsporters op dit gebied?

Schending van de privacy van Nederlandse sporters is uiteraard onwenselijk. Onze zorgen over deze app zijn dan ook voorafgaand aan de Spelen overgebracht aan de Chinese ambassadeur in Den Haag. Dat neemt niet weg dat sporters tijdens hun verblijf rekening hebben te houden met Chinese wet- en regelgeving. De sporters en staf zijn over deze aspecten geïnformeerd in de aanloop naar de Spelen om hier op verstandige wijze mee om te kunnen gaan.
Zoals genoemd, hebben het IOC en NOC*NSF hierin echter ook een eigenstandige rol te spelen, zowel in de voorbereiding als in de keuze voor in welke landen de Olympische Spelen worden gehouden.

Vraag 1

Bent u bekend met het bericht «Europese Rekenkamer: uitrol 5G te traag en te versnipperd»?1

Ja, daar ben ik bekend mee.

Vraag 2

Bent u bekend met het speciaal verslag van de Europese Rekenkamer naar de uitrol van 5G in de Europese Unie (EU)?2

Zie antwoord vraag 1.

Vraag 3

Herkent u in algemene zin de conclusies van de Europese Rekenkamer en onderschrijft u deze? Welke conclusies wel en welke conclusies niet?

In algemene zin steun ik de conclusies en aanbevelingen zoals benoemd in het rapport van de Europese Rekenkamer. Ik steun echter niet de aanbeveling die wordt gedaan in onderdeel a van Aanbeveling 1. Deze aanbeveling strekt er toe samen met de lidstaten een gemeenschappelijke omschrijving te ontwikkelen van de verwachte kwaliteit van de dienst van 5G-netwerken, zoals de prestatie-eisen die deze netwerken moeten bieden qua minimumsnelheid en maximumlatentietijd.
Zoals in de Nota Mobiele Communicatie is aangegeven, is het de doelstelling van het kabinet om te streven naar kwalitatief hoogwaardige mobiele dienstverlening die een grote diversiteit aan vraag kan bedienen en die altijd en overal beschikbaar is tegen concurrerende tarieven.3 In dit kader is van belang wat daarin is aangegeven over het kunnen bedienen van een grote diversiteit aan vraag. Naarmate meer en meer ondernemingen mobiele communicatie een integraal onderdeel van hun product of dienstverlening maken, worden de eisen die aan mobiele communicatie worden gesteld steeds meer divers. Om economie en samenleving te kunnen laten profiteren van de mogelijkheden die mobiele communicatie creëert is van belang dat de vraag van uiteenlopende ondernemingen en andere gebruikers wordt bediend.4 Het stellen van uniforme eisen aan de kwaliteit van alle 5G-netwerken laat onvoldoende ruimte aan mobiele netwerkaanbieders om hun netwerken en dienstverlening toe te spitsen op de eisen van hun klanten. Het heeft ook als risico dat de eisen slechts een beperkt aantal ondernemingen en gebruikers ten goede komt, ten nadele van anderen.
Ten aanzien van aanbeveling 2 en 3 wil ik verder benadrukken dat in overleg met de Europese Commissie en andere lidstaten zal moeten worden beoordeeld of er behoefte is aan verdere opvolging of dat dit binnen bestaande trajecten kan worden opgepakt. Hierin zal rekening worden gehouden met de nationale bevoegdheden op het terrein van nationale veiligheid. Op korte termijn zal de Commissie hierover het gesprek met de lidstaten en het EU-agentschap voor cybersecurity ENISA aangaan via de zogenaamde NIS Cooperation Group. De Nederlandse inzet in dit gesprek is en blijft nauwe Europese samenwerking.

Vraag 4

Voorziet u net als de auditors een «digitale kloof», vanwege de verschillen in kwaliteit van 5G-diensten tussen lidstaten? Deelt u hun mening dat een gecoördineerde aanpak inzake de veiligheid van 5G voor de gehele EU van strategisch belang is? Wat zou volgens u moeten gebeuren om een digitale kloof te voorkomen en een gecoördineerde aanpak te bevorderen?

Nee, ik voorzie geen «digitale kloof» zoals in het verslag gesteld. 5G-netwerken werken op basis van apparatuur die voldoet aan bepaalde standaarden. Deze standaarden maken een bepaalde kwaliteit mogelijk door features te ondersteunen die leveranciers vervolgens kunnen verwerken in de ontwikkeling van hun apparatuur. Het is vervolgens aan de mobiele netwerkoperators om hun netwerk op basis van deze features in te stellen en te optimaliseren.
Inzake de veiligheid en integriteit van de 5G-netwerken steun ik conform de moties Weverling c.s.5 en Van den Berg c.s.6 een gezamenlijke Europese aanpak voor de veiligheid van de 5G-telecommunicatiewerken. Een Europese aanpak kan bijdragen aan de effectiviteit van de beveiligingsmaatregelen. De Commissie zal naar aanleiding van het verslag van de Europese Rekenkamer beoordelen of er behoefte is aan verdere opvolging, bijvoorbeeld met betrekking tot bepaalde aspecten van de EU 5G security toolbox.Nederland staat hier in principe positief tegenover en zal hierbij een actieve rol innemen. Zoals ik hierboven aangeef, zal Nederland blijven inzetten op nauwe Europese samenwerking, waarbij rekening zal worden gehouden met de nationale bevoegdheden inzake nationale veiligheid.

Vraag 5

Bent u tevreden met het huidige uitvoeringstempo van de uitrol van 5G in Nederland, met 2025 als deadline voor 5G in alle stedelijke gebieden en op alle belangrijke transportroutes, of vindt u dat dit te laag is, zoals ook uit het verslag van de Europese Rekenkamer blijkt, waardoor Nederland achterop raakt? In hoeverre verwacht u dat de uitrol van 5G buiten stedelijke gebieden ook vertraging zal oplopen?

De uitrol van 5G-netwerken in Nederland gaat voorspoedig. Ook buiten de stedelijke gebieden. Dit blijkt onder meer uit de dekkingskaarten van de drie mobiele netwerkaanbieders en de Digital European Society Index. Hierbij past uiteraard wel de kanttekening dat beschikbaarheid van de 3,5 GHz-band van belang is. Niettemin kan met de 5G-netwerken die reeds zijn uitgerold worden voldaan aan de genoemde doelstelling voor 2025. Het is de verwachting dat de uitrol van 5G de komende jaren zal doorzetten, en dat daarbij grotendeels gebruik zal worden gemaakt van de bestaande netwerkopstelpunten waarmee de drie mobiele netwerken gezamenlijk vrijwel heel Nederland van dekking voorzien. Zo ook de belangrijke transportroutes.

Vraag 6

Welke acties gaat u ondernemen om tot een versnelde uitrol van 5G te komen, wetende dat de onlangs ingestelde adviescommissie pas dit voorjaar haar advies uitbrengt, waarna nog politieke besluitvorming, een wijziging van het Nationaal Frequentieplan, eventueel bezwaar en beroep daartegen en vaststelling van de veilingregeling volgen, waardoor de vertraging nog verder kan oplopen? Kunt u aangeven wat de vervolgstappen en bijbehorende deadlines zijn voor de rest van het traject, tot en met uitgifte van het 5G-spectrum, inclusief planning en maatregelen om die planning ook daadwerkelijk te halen?

De ingestelde adviescommissie is gevraagd te adviseren hoe ik op een verantwoorde wijze kan komen tot het zo spoedig mogelijk ter beschikking stellen van de 3,5 GHz-band voor mobiele communicatie in heel Nederland, op een wijze die ook het nood-, spoed- en veiligheidsverkeer dat in de 3,5 GHz-band wordt verzorgd, waarborgt. Het streven is dat uiterlijk 1 mei 2022 het advies gereed is teneinde uiterlijk 1 oktober 2022 een nieuw besluit over het wijzigen van het Nationaal FrequentiePlan te kunnen nemen. De exacte datum van ingebruikname van de 3,5 GHz-band hangt echter af van de inhoud van het advies van de adviescommissie en daaraan is ook de verdere planning van de veiling gekoppeld. Ik kan nu niet vooruitlopen op het advies van de adviescommissie. Ik zal zodra ik het advies heb ontvangen, uw Kamer over het advies en over de vervolgstappen en nadere planning informeren. Het blijft uiteraard de inzet om zo snel mogelijk de frequentieband voor mobiele communicatie in gebruik te laten nemen.

Vraag 7

Van welke Europese middelen, initiatieven, richtsnoeren en/of financiering, maakt Nederland gebruik in zijn 5G-strategie en hoe worden deze ingezet? Zijn er nog Europese mogelijkheden die niet benut zijn?

De Europese Rekenkamer noemt in haar rapport de Europese Investeringsbank (EIB) als grootste verstrekker van EU-financiering voor 5G-gerelateerde projecten. Voor zover bekend maakt één Nederlandse telecomaanbieder gebruik van dit fonds voor de uitrol van 5G.
Voor onderzoeks- en innovatieprojecten op het gebied van 5G maken Nederlandse bedrijven en kennisinstellingen gebruik van EU-onderzoeksfondsen. Een voorbeeld is het 5G-Blueprint project dat wordt gecoördineerd door het Ministerie van Infrastructuur en Waterstaat7. Ook binnen het onderzoeksprogramma Horizon Europe voor de periode 2021–2027 liggen er mogelijkheden. Verder zijn enkele 5G-proeftuinen in Nederland mede gefinancierd uit het Europees Fonds voor regionale ontwikkeling (EFRO).
Daarnaast ontstaan er mogelijkheden binnen de financieringsfaciliteit voor Europese verbindingen, de Connecting Europe Facility. Deze faciliteit ondersteunt ook de uitrol van 5G langs grensoverschrijdende transportwegen en ten behoeve van lokale gemeenschappen, daar waar investeringen in de markt niet vanzelf tot stand komen. Gedurende de periode 2021–2027 kunnen op basis van jaarlijkse oproepen door de Europese Commissie projectvoorstellen voor medefinanciering worden ingediend. Uit contacten met de sector blijkt vooralsnog beperkte interesse.

Vraag 8

Wat is uw reactie op de zorg van de auditors dat (persoonlijke data van) 5G-gebruikers in de EU niet veilig zijn, bijvoorbeeld omdat zij bij bezoek aan een ander EU-land onderworpen zijn aan buitenlandse wetgeving en controlecentra in niet-EU-landen staan? Wat kan de EU hiertegen doen?

Partijen moeten wanneer zij in de EU producten of diensten aanbieden voldoen aan de vereisten die conform het gegevensbeschermingsrecht op hen rusten. In dit geval zijn deze vereisten primair neergelegd in het algemene kader dat de Algemene Verordening Gegevensbescherming (AVG) biedt voor de verwerking van persoonsgegevens en de speciale regels uit de Telecommunicatiewet. De AVG kent een ruim toepassingsbereik. Artikel 3, tweede lid, onder a AVG bepaalt dat verwerkingsverantwoordelijken die goederen of diensten aanbieden aan betrokkenen in de EU binnen het toepassingsbereik vallen. De AVG bepaalt onder meer dat er een «rechtsgrondslag» moet zijn om persoonsgegevens te verwerken (bijvoorbeeld toestemming), dat betrokkenen geïnformeerd moeten worden over de verwerking van hun gegevens en dat zij in staat worden gesteld om de rechten uit te oefenen die zij over hun gegevens hebben.
In algemene zin geldt dat, wanneer persoonsgegevens naar een land buiten de Europese Unie worden doorgegeven, er additionele voorwaarden gelden. Doorgifte is namelijk slechts toegestaan op grond van een van de wettelijke bepalingen uit hoofdstuk V van de AVG. Het is primair aan de toezichthouders op de AVG in de Europese lidstaten om erop toe te zien dat er passende waarborgen zijn getroffen.

Vraag 9

Deelt u de constatering van de auditors dat lidstaten de niet-bindende maatregelen uit de EU-toolbox voor 5G-cyberbeveiliging verschillend toepassen en anders omgaan met (apparatuur van) leveranciers met een hoog risico? Zijn Nederlandse 5G-gebruikers hierdoor extra kwetsbaar, als zij een andere EU-lidstaat bezoeken? Bent u bereid om bij de eerstvolgende gelegenheid deze kwestie aan te kaarten bij uw Europese collega’s teneinde tot oplossingen en/of waarborgen te komen?

Nationale veiligheid is een nationale bevoegdheid. Wegens het grensoverschrijdende karakter van cybersecurity is EU samenwerking echter noodzakelijk. Daarom is voor de bescherming van de veiligheid en integriteit van mobiele telecomnetwerken gekozen voor een tussenvorm van een EU-aanbeveling, gecombineerd met nauwe samenwerking tussen de lidstaten voor de identificatie van risico’s en risicobeperkende maatregelen. De EU 5G security toolbox is een flexibel, op risico’s gebaseerd instrument om 5G-cyberveiligingsuitdagingen tijdig en efficiënt aan te pakken. Hierbij wordt rekening gehouden met de uiteenlopende nationale situaties van lidstaten, zoals de desbetreffende marktstructuur, cyberbeveiligingscapaciteiten en het dreigingsbeeld. De implementatie van de toolbox verschilt daarom per lidstaat, ieder land maakt hierin een zelfstandige afweging en hanteert eigen nationaal vastgestelde afwegingskaders. Binnen de EU wordt op regelmatige basis de voortgang van de implementatie van nationale maatregelen besproken en is er mogelijkheid om informatie uit te wisselen over risicoanalyses en oplossingsrichtingen. Nederland neemt actief deel aan deze besprekingen. Hierin staan we open voor eventuele verbetersuggesties, waarin vervolgens wel rekening gehouden dient te worden met nationale bevoegdheden inzake nationale veiligheid.

Vraag 10

Klopt het dat er onduidelijkheid bestaat over compensatie voor hoge vervangingskosten door telecomoperators of dat er in dat geval sprake is van staatssteun en of de mededingingsregels van de EU dit toestaan? Wanneer zal hierover duidelijkheid zijn? Zijn Nederlandse telecomoperators gecompenseerd voor de hoge vervangingskosten die zij hebben moeten maken in het kader van een veilige uitrol van 5G? Indien ja, voor welk bedrag?

Wat betreft nadeelcompensatie geldt dat voor het vergoeden van nadeel ik gehouden ben aan het nadeelcompensatierecht. Uitgangspunt is dat eenieder die nadeel lijdt als gevolg van de rechtmatige uitvoering van een publiekrechtelijke taak of bevoegdheid, dat nadeel in beginsel zelf dient te dragen. Alleen onevenredige schade die het normaal ondernemersrisico overstijgt, wordt vergoed. Er zijn nog geen aanvragen voor nadeelcompensatie ontvangen van de telecomaanbieders en ik heb dus ook nog niet ter zake kunnen besluiten. Als er een aanvraag ingediend wordt, zal deze worden beoordeeld in overeenstemming met het nadeelcompensatierecht.

Vraag 11

Wanneer publiceert de Europese Commissie haar onderzoek naar de economische schade bij een niet veilig en niet uniform 5G-netwerk in de EU? Is hierin ook aandacht voor de economische schade per land of per sector?

In het speciaal verslag doet de Europese Rekenkamer onder andere de aanbeveling die ziet op het in kaart brengen «wat de gevolgen zijn voor de eengemaakte markt wanneer de ene lidstaat zijn 5G-netwerken bouwt met apparatuur van een leverancier die in een andere lidstaat als leverancier met een hoog risico wordt beschouwd». De Commissie heeft in hun reactie op het speciaal verslag deze aanbeveling aanvaard. Op korte termijn zal de Commissie met de lidstaten in gesprek gaan en de precieze vervolgacties vaststellen, waarin rekening zal worden gehouden met nationale bevoegdheden.

Vraag 12

Klopt het dat er parallel aan het bovenstaande een discussie loopt tussen het Ministerie van Economische Zaken en Klimaat en de zogenaamde «lokale vergunninghouders», die tot 2026 «passende bescherming» zouden moeten krijgen? Kunt u toelichten wat hier precies speelt? Is het juist dat hierdoor een belangrijk deel van het 5G-spectrum tot 2026 mogelijk niet in gebruik kan worden genomen of slechts onder restricties en met hoge kosten? Bent in gesprek met de lokale vergunninghouders en mobiele operators om tot oplossingen te komen? Indien niet, wilt u een overleg alsnog zo spoedig mogelijk initiëren?

In de 3,5 GHz band is op dit moment in Nederland verspreid onder de lijn Amsterdam-Zwolle een aantal lokale vergunninghouders actief met een vergunning tot 1 september 2026. Hierbij moet gedacht worden aan vergunninghouders die draadloos breedband aanbieden in het buitengebied en aan lokale netwerken ten behoeve van containeroverslag in bijvoorbeeld de Rotterdamse haven. Deze lokale vergunninghouders bevinden zich nu nog verspreid over de gehele 3,5 GHz-band, maar zullen worden gemigreerd naar het in de toekomst «lokaal» bestemde deel van de frequentieband.
Het gaat hierbij dus om lokale vergunninghouders die bestaande rechten hebben aangaande gebruik in de 3,5 GHz-band tot 2026. Als uitgangspunt geldt daarom dat de toekomstige houders van landelijke vergunningen «passende bescherming» dienen te bieden aan deze lokale vergunninghouders met een vergunning tot 1 september 2026. Hiermee wordt bedoeld dat de landelijke mobiele telecomnetwerken geen storing mogen veroorzaken op de lokale netwerken. De restricties die hiervan het gevolg zijn, kunnen in mijn ogen van beperkte aard en lokaal zijn (in de buurt van de lokale netwerken). Bovendien zijn ze tijdelijk, namelijk tot 1 september 2026. Voor nieuw uit te geven lokale vergunningen zal vanaf het begin het omgekeerde uitgangspunt gelden, waarbij nieuw uit te geven lokale vergunningen geen storing mogen veroorzaken op de landelijke mobiele vergunninghouders. Ik ben inderdaad voornemens om met deze partijen gezamenlijk in gesprek te gaan op korte termijn, omdat zowel bestaande en toekomstige lokale vergunninghouders als ook potentiële landelijke vergunninghouders belang hebben bij afspraken die invulling geven aan deze uitgangspunten.

Vraag 1

Bent u bekend met het bericht «Banken en overheden zetten software af uit angst voor hacks»?1

Ja.

Vraag 2

Kunt u een inschatting maken wat tot nu toe de schade is als gevolg van het lek bij Apache log4j? Wat is de schatting voor de komende weken?

Tot nu toe heeft het Nationaal Cybersecurity Centrum (NCSC) geen signalen ontvangen van grootschalige uitval of schade bij rijksoverheidsorganisaties of vitale aanbieders. Het NCSC acht het waarschijnlijk dat incidenten, waaruit schade kan ontstaan, over een langere tijdsperiode kunnen gaan plaatsvinden.

Vraag 3

Hoeveel gevallen zijn er al bekend waarbij criminele hackers Nederlandse organisaties aanvallen als gevolg van het lek bij Apache log4j? Met welk doel worden de betreffende organisaties aangevallen? Om welke organisaties gaat het en wat zijn de gevolgen van deze hacks?

Op dit moment is kleinschalig misbruik van de kwetsbaarheid bij organisaties in Nederland bij het NCSC bekend. Het doel van de aanvallen is veelal financieel gewin. Verwacht wordt dat kwaadwillenden de komende tijd naar kwetsbare systemen blijven zoeken en doelgerichte aanvallen uitvoeren; de Log4J kwetsbaarheid wordt mogelijk een standaardonderdeel van aanvalsmethoden van actoren om toegang te krijgen tot systemen.
De politie heeft tot op heden geen aangiften binnengekregen van aanvallen met betrekking tot deze kwetsbaarheid.

Vraag 4

In hoeverre zijn organisaties en (vitale) bedrijven die mogelijk gebruik maken van Apache log4j van dit lek op de hoogte? Wat is de rol van het Nationaal Cyber Security Centrum (NCSC) en het Digital Trust Center (DTC) hierin? Hebben zij een regierol hier? Zo ja, wat hebben zij tot nu toe gedaan om de risico’s van dit grootschalige lek te mitigeren? Hoe is de IT-informatiesessie van 15 december jl. bevallen?

Het NCSC heeft vanaf het bekend worden van deze kwetsbaarheid rijksoverheidsorganisaties, vitale aanbieders en schakelorganisaties zo veel als mogelijk proactief gewaarschuwd. Het algemene beveiligingsadvies inzake deze kwetsbaarheid is zoals gebruikelijk gepubliceerd op de website van het NCSC, zodat ook het brede publiek is geïnformeerd. Daarnaast heeft het NCSC genoemde partijen meerdere doelgroepberichten met aanvullende duiding en handelingsperspectieven verzonden. In deze zin is dus door het NCSC in zo breed mogelijke zin gewaarschuwd voor deze ernstige kwetsbaarheid.
Naast de gebruikelijke communicatiekanalen heeft het NCSC een publiek informatieplatform opgezet om technische informatie over deze kwetsbaarheid te verzamelen en te verspreiden. Dit platform, dat momenteel wereldwijd het meest compleet is, wordt nog steeds door veel partijen uit binnen- en buitenland benut.
Het Digital Trust Center (DTC) zet bij ernstige kwetsbaarheden al haar kanalen in om het niet- vitale bedrijfsleven te informeren en waarschuwen. Ook bij de Log4J kwetsbaarheid was dit het geval.
Als reactie op deze kwetsbaarheid heeft het DTC berichtgeving over Log4J inclusief handelingsperspectief breed gedeeld via de website van het DTC, DTC sociale media kanalen en de DTC community. Ook werd berichtgeving direct gedeeld met DTC samenwerkingsverbanden zodat deze de beschikbare informatie konden verspreiden bij hun achterban (de regio, sector of branche die ze vertegenwoordigen).
Het Cyber Security Incident Response Team voor digitale diensten (CSIRT-DSP) heeft een actieve rol gespeeld door het informeren van digitale dienstverleners binnen hun doelgroep over de Log4J kwetsbaarheid.
Op 15 december hebben NCSC, DTC en CSIRT-DSP gezamenlijk een informatiesessie voor IT-specialisten georganiseerd met als doel meer informatie te delen over de Log4J kwetsbaarheid, te adviseren over mogelijke acties, en vragen over de Log4J kwetsbaarheid direct te beantwoorden. Hier deden ongeveer 4000 deelnemers aan mee.

Vraag 5

In hoeverre zijn organisaties ervan op de hoogte dat er een update van Apache log4j beschikbaar is en dat ze deze update moeten uitvoeren? Hoe vaak is deze update uitgevoerd door organisaties? Welke maatregelen worden getroffen om ook de kleinere bedrijven in te lichten over het doen van deze update?

Zoals in antwoord op vraag 3 aangegeven zijn organisaties vanuit het NCSC en het DTC geïnformeerd over de kwetsbaarheid in Apache Log4J, evenals over de daartoe mogelijke beveiligingsmaatregelen, waaronder het uitvoeren van updates.
De betreffende kwetsbaarheid zit in software die vaak is ingebouwd in andere producten. De aard van de Log4J-kwetsbaarheid maakt het daarmee complex om zicht te krijgen op de mate waarin updates zijn uitgevoerd. Elke organisatie blijft zelf primair verantwoordelijk voor het uitvoeren van updates en maatregelen.
Vele organisaties in Nederland maken gebruik van software waar Log4J in verwerkt zit. Zij kunnen daarom afhankelijk zijn van updates van hun softwareleverancier die op hun beurt de Apache Log4J updates dienen te verwerken in hun software. Daarnaast hebben genoemde organisaties regelmatig een externe IT-dienstverlener die bijvoorbeeld het gebruik van software binnen de organisatie beheert. Dit houdt in dat organisaties niet altijd zelf nodige updates uitvoeren of weten voor welke gebruikte software dat nodig is.
Het NCSC en DTC hebben daarom hun doelgroepen geadviseerd contact op te nemen met hun IT-dienstverlener om te bevestigen dat de juiste updates uitgevoerd worden of andere maatregelen genomen zijn.

Vraag 6

Welke overheidsorganisaties maken gebruik van Apache Log4j? Zijn er al overheidsorganisaties aangevallen door criminele hackers? Welke maatregelen neemt u om de kans zo klein mogelijk te maken dat criminele hackers succesvolle aanvallen op cruciale overheidsorganisaties kunnen uitvoeren en hen digitaal kunnen gijzelen?

Log4J is een softwaremodule die wereldwijd in velerlei software wordt gebruikt, waaronder bij de overheid. Er bestaat geen centraal overzicht van welke softwareproducten Log4J gebruiken binnen de overheid. Iedere overheidsorganisatie is primair verantwoordelijk voor zijn eigen netwerken, systemen en softwareproducten die worden gebruikt. Overheidsorganisaties scannen en inventariseren ook hun maatwerktoepassingen. Er zijn in dit verband wel overheidsbreed kaders afgesproken met eisen waaraan iedere organisatie moet voldoen, waaronder de Baseline Informatiebeveiliging Overheid (BIO). Hierin staat onder andere dat organisaties bij ernstige kwetsbaarheden binnen een week maatregelen moeten treffen. Daarnaast is het verplicht om de informatie-verwerkende omgeving te monitoren om onder meer aanvallen van criminele hackers te detecteren. Hiervoor zijn binnen de overheid Security Operations Centers (SOC’s) en IT- organisaties actief. Zij hebben ook de beschikking over indicatoren die misbruik op basis van de Log4J kwetsbaarheid detecteren.
Na de ontdekking van de Log4J-kwetsbaarheid heeft BZK een crisisteam opgestart en zorg gedragen voor afstemming in het vervolg hierop met de departementen en de koepels/Computer Emergency Response Teams (CERT’s) van de medeoverheden. Het crisisteam heeft er in dat verband op aangedrongen dat de benodigde maatregelen behorende bij deze kwetsbaarheid en het door het NCSC ontwikkelde stappenplan werden opgevolgd en er doorlopend onderzoek plaatsvond op mogelijk misbruik. De komende tijd zullen overheidsorganisaties extra alert blijven op aanwijzingen van mogelijk misbruik.
Op dit moment zijn er geen signalen dat overheidsorganisaties naar aanleiding van de Log4J kwetsbaarheid succesvol zijn aangevallen.

Vraag 7

Bekend is dat meerdere gemeentes hun systemen gedeeltelijk hebben afgesloten? Om hoeveel gemeentes gaat dit? Wat doen deze systemen en hoe lang gaan ze afgesloten blijven? Welke gevolgen heeft het voor de gemeentes als ze hun systemen tijdelijk gedeeltelijk moeten afsluiten?

De Vereniging Nederlandse Gemeenten (VNG) en de Informatiebeveiligingsdienst (IBD) houden geen overzicht bij van maatregelen van individuele gemeenten. Iedere situatie en iedere afweging is namelijk anders. De afwegingen om systemen gedeeltelijk/tijdelijk uit te zetten zijn door de gemeenten zelf gemaakt. Gemeenten volgen bij deze afweging het handelingskader van de IBD, zoals vermeld op hun website:2
Dat is in sommige gevallen gebeurd en gemeenten zijn hierover transparant geweest via eigen mediakanalen naar inwoners.
Bij de afweging om systemen gedeeltelijk/tijdelijk uit te schakelen wegen aspecten mee zoals de mate waarin de systemen kwetsbaar of kritisch zijn voor de bedrijfsvoering, of direct aan het internet gekoppeld zijn (internet facing), in relatie tot continuïteit van dienstverlening. Tijdens de feestdagen van eind vorige maand is dit ook gebeurd, op momenten waarop de dienstverlening dit toeliet, zodat in deze beperkt bezette periode het aanwezige personeel niet intensief hoefde te monitoren.

Vraag 8

Naast gemeentes hebben ook organisaties in de vitale sectoren zoals banken hun systemen gedeeltelijk afgesloten. Welke gevolgen heeft dit voor de vitale sectoren? In hoeverre wordt er via het NCSC ondersteuning geboden en samengewerkt met vitale sectoren zoals de banken- en telecomsector om de schade van dit lek te beperken?

De gevolgen van het nemen van preventieve maatregelen, zoals het gedeeltelijk afsluiten van systemen is afhankelijk van de sector of organisatie. Het NCSC heeft gelet op de ernst van de kwetsbaarheid geadviseerd waar updaten niet mogelijk is, te overwegen of het mogelijk is het systeem uit te schakelen totdat een patch beschikbaar is. Het (gedeeltelijk) afsluiten van een systeem is een eigen afweging van elke organisatie.
Het NCSC heeft ten behoeve van vitale aanbieders, alsook organisaties die deel uitmaken van de rijksoverheid, de wettelijke taak te informeren en adviseren over digitale dreigingen en incidenten en bijstand te verlenen bij het treffen van maatregelen om de continuïteit van hun diensten te waarborgen of te herstellen.

Vraag 9

Hoe wordt in andere landen omgegaan met dit lek? Werkt u samen met andere landen om oplossingen te vinden voor dit lek? Kunnen lessen getrokken worden uit hoe in het buitenland om wordt gegaan met dit lek?

Het beeld van het NCSC met betrekking tot deze kwetsbaarheid wordt gedeeld met nationale CSIRT’s van EU-lidstaten. Het CSIRT-netwerk, bedoeld in de EU Netwerk en Informatiebeveiligingsrichtlijn (NIB), is ook opgeschaald geweest tot alert cooperation mode op initiatief en advies van het NCSC. Dit houdt in dat er, naast het regulier delen van informatie, regelmatig overleggen tussen de CSIRTs van alle EU-lidstaten plaatsvinden om het beeld over de kwetsbaarheid actiever te kunnen delen.
Het door het NCSC opgezette en gecoördineerde publieke informatieplatform is door vele internationale partijen gebruikt om informatie over deze kwetsbaarheid te delen. Dit zien wij als een zeer geslaagde samenwerking met buitenlandse partners.

Vraag 10

Welke gevolgen heeft dit lek voor het gebruik maken van Apache log4j door de overheid? Zijn er betere alternatieven waar naar gekeken kan worden?

In geval van risico’s vanwege kwetsbaarheden, zoals die betreffende Log4J, is het van belang dat patches worden uitgevoerd of aanpassingen worden gedaan. Alle software kan kwetsbaarheden bevatten, zo ook Apache Log4J. De kwetsbaarheden in Log4J zijn snel opgelost: er is geen reden om op zoek te gaan naar een alternatief en een alternatief is niet per se veiliger. Het vervangen van dit soort software is daarnaast zeer complex en daarmee een niet-realistische oplossing. Wel is er structurele aandacht nodig voor dergelijke problematiek en de Onderzoeksraad voor Veiligheid (OVV) heeft in het rapport «Kwetsbaar door software – Lessen naar aanleiding van beveiligingslekken door software van Citrix» daarvoor diverse adviezen gegeven. Zoals aangegeven in de Kamerbrief van 16 december 2021 zal het kabinet het rapport zorgvuldig bestuderen en binnen de wettelijke reactietermijn van zes maanden schriftelijk richting de OVV reageren. Uw Kamer zal daarover worden geïnformeerd.

Vraag 11

Deelt u de mening dat het NCSC en DTC proactief lijken te communiceren? Op welke verschillende manieren proberen zij organisaties te bereiken en van informatie te voorzien? Wat kan het NCSC en DTC nog beter doen om meer mensen te bereiken, in begrijpelijke taal en welke informatie zou er nog meer gedeeld kunnen worden?

Zoals in het antwoord op vraag 4 en 5 staat vermeld staan het NCSC en het DTC hierover in nauw contact met hun respectievelijke doelgroepen en met elkaar. Eén van de grote uitdagingen bij het stimuleren van organisaties om maatregelen te nemen is het vinden van de juiste balans tussen inhoudelijk technisch advies en praktisch handelingsperspectief.
Het NCSC heeft vanaf het bekend worden van deze kwetsbaarheid rijksoverheidsorganisaties, vitale aanbieders en schakelorganisaties dan ook zo veel als mogelijk proactief gewaarschuwd én beveiligingsadviezen verzonden. Het algemene beveiligingsadvies inzake deze kwetsbaarheid is zoals gebruikelijk gepubliceerd op de website van het NCSC, zodat ook het brede publiek in die zin is geïnformeerd. Daarnaast heeft het NCSC meerdere doelgroepberichten met aanvullende duiding verzonden.
Naast de gebruikelijke communicatiekanalen heeft het NCSC een publiek informatieplatform opgezet om technische informatie over deze kwetsbaarheid te verzamelen en te verspreiden. Dit platform wordt nog steeds door veel partijen uit binnen- en buitenland benut.
Hiermee is door het NCSC dus in zo breed mogelijke zin gewaarschuwd voor deze ernstige kwetsbaarheid.
Ook het DTC streeft ernaar waar mogelijk proactief handelsperspectief te bieden voor haar doelgroep. Deze informatie wordt breed gedeeld via de DTC website, sociale media kanalen en de DTC community. Daarnaast deelt DTC beschikbare informatie ook direct met de DTC samenwerkingsverbanden, die het vervolgens binnen hun regio, sector of branche verder verspreiden. Uitgangspunt is dat het gegeven handelsperspectief voor de kleinere en minder cybervolwassen doelgroep ook te begrijpen is. Het DTC werkt op dit moment, met medewerking van het NCSC, aan een verdiepend informatieproduct voor de doelgroep van het DTC met ditzelfde uitgangspunt.
Bedrijven die geen deel uitmaken van een samenwerkingsverband maar wel de berichtgeving willen ontvangen worden door het DTC proactief uitgenodigd om zich aan te melden bij de DTC-community waar de informatie ook wordt gedeeld.3

Vraag 12

Deelt u de mening dat het afkondigen van een code rood, zoals het Duitse Ministerie van Binnenlandse Zaken heeft gedaan, een interessante manier kan zijn om de urgentie van deze kwetsbaarheid aan te geven, er aandacht voor te vragen en de handelingsbereidheid bij organisaties te vergroten? Zo nee, waarom niet?

In de Nederlandse context worden organisaties ook, maar op een andere manier, geattendeerd op digitale dreigingen.
Naar aanleiding van een geconstateerde dreiging wordt in de eerste plaats door het Nationaal Cyber Security Centrum een beveiligingsadvies verspreid ten behoeve van organisaties in de eigen doelgroep (vitale aanbieders, rijksoverheidsorganisaties) en schakelorganisaties zoals het DTC. Daarnaast wordt ook een algemeen beveiligingsadvies gepubliceerd op de NCSC-website. De beveiligingsadviezen worden ingeschaald op (1) de kans dat een kwetsbaarheid wordt misbruikt en (2) de ernst van de schade die optreedt wanneer een kwetsbaarheid misbruikt wordt. Bij Log4J is een High/High advies gepubliceerd.4

Vraag 13

Het Belgische Ministerie van Defensie lijkt aangevallen te zijn via de log4j-kwetsbaarheid; Deelt u de mening dat deze kerstperiode voor criminelen en statelijke actoren een uitgelezen kans zou kunnen zijn om de rijksoverheid en vitale sectoren aan te vallen? Zo nee, waarom niet? Zo ja, welke voorbereidingen worden getroffen? Staan er extra cyberteams paraat en zijn alle systemen gecheckt? Is het helder wie bij een crisis de leiding neemt en hoe cyberteams van de verschillende veiligheidsdiensten zich tot elkaar verhouden? Zo nee, waarom niet? Zo ja, welke rol speelt het Defensie Cyber Commando?

Uit eerdere aanvallen in verband met andere kwetsbaarheden is gebleken dat vakantieperiodes of feestdagen vaker worden misbruikt door cybercriminelen. Een lagere bezettingsgraad kan betekenen dat organisaties mogelijk minder alert zijn of dat middelen voor herstel beperkt zijn in vergelijking met andere periodes.
Op 10 december jl. heeft het NCSC het eerste algemene beveiligingsadvies voor deze kwetsbaarheid op haar website gepubliceerd. Het NCSC waarschuwt daarin voor potentieel grote schade en adviseert organisaties daarom zich voor te bereiden op een mogelijke aanval. Daarbij is aangegeven dat het zeer waarschijnlijk is dat in de komende weken digitale (ransomware)aanvallen en datalekken plaatsvinden. Het NCSC heeft op 16 december het Nationaal Respons Netwerk (NRN) geactiveerd om aanvullende incident respons capaciteit gereed te hebben voor het kunnen verlenen van bijstand.
Vanaf het bekend worden van de kwetsbaarheid heeft het NCSC de situatie doorlopend gemonitord, adviezen geactualiseerd en nauw contact onderhouden met Rijksorganisaties, vitale aanbieders en cybersecuritypartners in binnen- en buitenland. Ook het DTC communiceert de meest actuele informatie en handelingsperspectieven naar haar doelgroep.
Daarnaast kan er ook aanleiding bestaan om de nationale crisisstructuur te activeren bij een dreiging van (zeer) grote omvang. Deze nationale opschaling wordt in de praktijk gecoördineerd door het Nationaal Crisis Centrum van de NCTV. Dit is ook zo beschreven in het Nationaal Crisisplan Digitaal (NCP-D).
De wijze waarop cyberteams van de verschillende veiligheidsdiensten zich tot elkaar verhouden en samenwerken staat ook in het NCP-D beschreven. Ditzelfde plan wordt ook gebruikt om met elkaar cybercrisis te oefenen. Ook de rol van het Defensie Cybercommando (DCC) is te vinden in dit plan.
De rol van het DCC was minimaal in deze casus. Zoals ook in de Kamerbrief Tegenmaatregelen ransomware-aanvallen van 6 okt 2021 uiteengezet door de Minister van Buitenlandse Zaken speelt het DCC de rol van het laatste digitale instrument, waarbij in een eerdere fase inzet van andere overheidsinstanties of minder vergaande instrumenten niet afdoende is gebleken.5 Ook kan het DCC op verzoek de desbetreffende teams versterken met kennis en expertise van cyberoperators. Dat laatste is niet nodig gebleken. Wel heeft het Defensie Cyber Security Centrum (DCSC) cyberexperts geleverd uit het NRN aan het NCSC om te ondersteunen bij deze crisis. Aangezien deze casus meer toezag op cybersecurity – wat het vakgebied en de verantwoordelijkheid is van het DCSC binnen Defensie. Hiertoe is in de Log4J casus de nationale crisisstructuur tweemaal bijeengekomen op het niveau van een Interdepartementaal Afstemmingsoverleg (IAO).

Vraag 1

Bent u bekend met het bericht «Technologieleverancier van Defensie en politie gehackt, losgeld geëist voor vertrouwelijke informatie»1?

Ja. Dit voorval is zeer onwenselijk. Onderdeel van ons beleid is beter te gaan monitoren hoe toeleveranciers van de overheid omgaan met onze data. Het gaat daarbij om een samenhang van de te treffen beveiligingsmaatregelen (in zowel de contracten van de overheid als van de ICT-leverancier) als om het inregelen van toezicht. Ook het beleid van ICT-leveranciers ten aanzien van ransomware moet hierin worden meegenomen.

Vraag 2

Aan welke overheidsorganisaties levert Abiom communicatietechnologie?

Voor zover bekend nemen onder andere de Nationale Politie, de Dienst Justitiële Inrichtingen, Rijkswaterstaat, het Centraal Bureau Rijvaardigheidsbewijzen, Luchtverkeersleiding Nederland en het Ministerie van Defensie diensten en producten af van Abiom. Abiom levert in dat verband aan verschillende overheidsorganisaties onder andere C2000 portofoons en communicatietechnologie. Op dit moment is er geen uitputtende lijst bekend van het gebruik van ICT-producten zoals dat van Abiom binnen de overheid.
Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties werkt aan de wettelijke verankering van en toezicht op informatieveiligheid voor het gehele openbaar bestuur, waaronder de Baseline Informatiebeveiliging Overheid (BIO) in een volgende tranche van de Wet Digitale Overheid (WDO). Overwogen wordt om in nadere regelgeving op te nemen dat bij iedere bestuurslaag voldoende snel kan worden achterhaald welke organisaties gebruik maken van welke leveranciers en/of software. Met deze informatiepositie kan de overheid haar respons op toekomstige digitale aanvallen beter invulling geven.

Vraag 3

Gelden er bepaalde (veiligheids)eisen voor kritieke toeleveranciers zoals Abiom die technologie leveren aan overheidsorganisaties? Zo ja, welke en in welke mate wordt hierop gescreend bij aanbestedingsprocessen? Zo nee, waarom niet?

(Veiligheids)eisen zijn van toepassing op alle leveranciers. Zoals bijvoorbeeld in antwoord op eerdere Kamervragen over het bericht «Litouwen adviseert consument geen Xiaomi-telefoons meer te kopen» is aangegeven, is voor de aanschaf van ICT-producten en diensten, door de overheid de Baseline Informatiebeveiliging Overheid (BIO) van kracht.2, 3 De uitgangspunten van de BIO zijn onder andere risicomanagement en de eigen verantwoordelijkheid van overheidsorganisaties. Dat betekent dat organisaties zelf risicoafwegingen uitvoeren voordat ICT-producten en diensten van een leverancier worden afgenomen. Op grond van die risicoafwegingen bepalen zij dan de toepassing binnen hun eigen bedrijfsprocessen. De inkopende overheidsorganisatie bepaalt ook aan welke eisen een leverancier moet voldoen om voor verlening van een opdracht in aanmerking te komen. Deze overheidsorganisaties zullen ook tijdens de looptijd van het contract moeten toezien op het naleven van die eisen door de leverancier.
Om de inkopende overheidsorganisatie te helpen bij het bepalen aan welke inkoopeisen op het gebied van informatieveiligheid moet worden voldaan in het geval van ICT-producten en -diensten heeft het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties samen met het Ministerie van Economische Zaken en Klimaat een inkooptool ontwikkeld, de zogenaamde ICO-wizard, Inkoopeisen Cybersecurity Overheid.4
Tevens geldt in algemene zin dat bij de inkoop en aanbesteding van producten en diensten binnen de rijksoverheid (eventuele) risico’s voor de nationale veiligheid worden meegewogen. Hierbij wordt in het bijzonder gelet op mogelijke risico’s ten aanzien van de continuïteit van vitale processen, de integriteit en exclusiviteit van kennis en informatie en de ongewenste opbouw van strategische afhankelijkheden. Bij elke casus wordt bezien hoe risico’s beheersbaar kunnen worden gemaakt. Het uitgangspunt is dat maatregelen die hiertoe genomen worden proportioneel zijn. Dit vergt een gedetailleerde analyse van de te beschermen belangen, de dreiging en de (huidige) weerbaarheid.5 Uiteindelijk is het aan de opdrachtgever om deze risicoafweging te maken en mitigerende maatregelen te implementeren en te monitoren. De term «kritieke toeleveranciers» heeft geen specifieke status binnen de overheid.
In algemene zin biedt het wettelijk kader de mogelijkheid om bij inkoop en aanbestedingen specifieke (veiligheids)eisen als voorwaarden te stellen aan de (mogelijke) opdrachtnemer. Hier kan op worden gecontroleerd tijdens het aanbestedingsproces en gedurende de looptijd van het contract. Ook hier geldt dat de betreffende overheidsorganisatie hier zelf verantwoordelijk voor is.
Politie:
Bij alle Europese aanbestedingen betreffende door de Politie te verlenen opdrachten zijn eisen en contractuele bepalingen opgenomen die zich richten op geheimhouding en de verwerking van persoonsgegevens. Met de toeleveranciers van de politie worden – indien nodig – verwerkersovereenkomsten gesloten. In deze overeenkomsten staan de eisen met betrekking tot de omgang met informatie opgenomen waaraan een toeleverancier moet voldoen om leverancier van de politie te kunnen zijn. Deze eisen neemt de politie al mee bij de (voor-)selectiekeuzen voor leveranciers. Daarnaast worden, wanneer relevant, bij aanbestedingen eisen opgenomen die betrekking hebben op het beschermen van (digitale) politiegegevens, het vernietigen na gebruik en de plicht tot het melden van datalekken. Recentelijk is door de Korpsleiding van de politie besloten tot het intensiveren van het toezicht tijdens de uitvoeringsfase van een contract waarbij substantiële veiligheidsrisico’s zijn voorzien.
Defensie:
Voor Defensie geldt dat de Algemene Beveiligingseisen Defensieopdrachten (ABDO) van toepassing is op gerubriceerde opdrachten die Defensie bij de industrie belegt. De ABDO voorziet in diverse maatregelen om gerubriceerde informatie te beveiligen tegen een dreiging van bijvoorbeeld statelijke actoren. Welke (beveiligings-)eisen van toepassing zijn wordt per opdracht bepaald. ABDO is ook van toepassing op subcontractors en heeft daarmee impact op de beveiliging van de hele keten waar een gerubriceerde opdracht wordt belegd. De MIVD houdt toezicht op het naleven van de ABDO. Er worden in het openbaar geen uitspraken gedaan over welke bedrijven dit betreft.

Vraag 4

Deelt u de mening dat het goed is om de minimale veiligheidseisen voor IT-leveranciers te herzien en wellicht te verhogen om de kans op hacks met grootschalige impact zo klein mogelijk te maken? Zo ja, welke veiligheidseisen heeft u voor ogen en vanaf wanneer? Zo nee, waarom niet?

De minimale beveiligingseisen waar IT-leveranciers van overheden zich aan moeten houden liggen vast in de BIO. De uitdaging ligt in het toepassen van de BIO bij bijvoorbeeld inkooptrajecten. Die eisen zullen specifiek ingevuld moeten worden voor de verschillende in gebruik te nemen ICT-producten en -diensten. De inkooptool, de eerdergenoemde ICO-wizard, die ontwikkeld is voor tien inkoopsegmenten, ondersteunt de inkopende overheidsorganisaties bij het bepalen en/of uitwerken van deze beveiligingseisen. Dat ontheft de inkopende organisatie niet van de verantwoordelijkheid om zelf op basis van risicomanagement te bepalen welke eisen in relatie tot de inkoop van ICT-producten of -diensten moeten komen te gelden.
Daarnaast wijs ik er graag op dat er op dit moment binnen de EU wordt onderhandeld over de herziening van de Netwerk- en Informatiebeveiligingsrichtlijn (NIB2-richtlijn). Deze richtlijn regelt onder meer dat entiteiten in 16 sectoren, waaronder de overheid, maatregelen moeten nemen om risico’s voor hun netwerk- en informatiesystemen die zij gebruiken bij het leveren van hun diensten te beheersen. Onderdeel van deze zorgplicht is dat zij rekening moeten houden met risico’s die voortkomen uit de relatie met hun leveranciers en dienstverleners. Op de naleving van de bepalingen uit de richtlijn moet worden toegezien door de lidstaten via hun nationale toezichthouders.

Vraag 5

Aan welke eisen moeten IT-leveranciers aan de overheid voldoen na een veiligheidsincident zoals een hack? Welk controle of testen worden er uitgevoerd?

De BIO schrijft voor dat er na een incident een analyse moet worden gemaakt ter voorkoming van vergelijkbare incidenten in de toekomst. Dit voorschrift geldt voor zowel de proceseigenaar als voor de leverancier. Dergelijke analyses moeten worden gedeeld met relevante partners om herhaling van en toekomstige incidenten te voorkomen. De exacte invulling hiervan is afhankelijk van de aard en het belang van het betreffende ICT-proces en zal voor elke organisatie per geval verschillen. Los hiervan moeten (overheids)organisaties inbreuken in verband met persoonsgegevens bij de Autoriteit Persoonsgegevens melden, indien die inbreuk een risico vormt voor de rechten en vrijheden van personen.

Vraag 6

Klopt het dat de ransomwaregroep LockBit vertrouwelijke documenten online heeft gezet? Zo ja, om wat voor documenten en gegevens gaat het en komen hierdoor processen van de overheid in gevaar en/of lopen burgers gevaar om eventueel slachtoffer te worden van misbruik met hun gegevens?

Nee, burgers en processen van de overheid lopen, voor zover bekend, geen gevaar om door dit lek slachtoffer te worden van misbruik met hun gegevens. In tegenstelling tot de genoemde berichtgeving heeft Abiom geen kopieën van paspoorten van de politieambtenaren, verdachten, verbalisanten en/of benadeelden ontvangen vanuit de politie. De informatie die door de ransomwaregroep LockBit is gepubliceerd betreft – in het geval van de politie – kentekens van voertuigen en een zeer beperkt aantal zakelijke e-mailadressen van medewerkers. Deze informatie heeft Abiom tot zijn beschikking vanwege uitlevering van randapparatuur zoals bijvoorbeeld op maat gemaakte oortjes voor communicatievoorzieningen. Deze informatie stond op facturen van Abiom aan de politie. De vrijgekomen informatie heeft naar verwachting een beperkte impact op het operationele proces. Op basis van de nu beschikbare informatie kunnen politiemedewerkers en andere hulpverleners nog steeds veilig gebruik maken van C2000. Ook de informatie ten behoeve van het primaire proces bij meldkamers en politiediensten is nog steeds beschikbaar en ongewijzigd.
Naar huidig inzicht heeft de vrijgekomen informatie een beperkte impact gehad bij Defensie. Uit onderzoek is gebleken dat van enkele Defensiemedewerkers contactgegevens zijn gelekt en een beperkte hoeveelheid ongerubriceerde informatie. Deze informatie had geen betrekking op operationele eenheden. Ook zijn er geen missies in gevaar gekomen.

Vraag 7

Wat is het bedrag dat LockBit vraagt voor het niet publiceren van deze documenten? Klopt het dat Abiom niet is ingegaan op de eis van de hackers?

Zoals aangegeven in een statement van Abiom over het incident is er in overleg met de politie door Abiom besloten om niet in contact te treden met de actor die verantwoordelijk is voor de ransomware-aanval.6 In verband met het lopende politieonderzoek kan er op dit moment niet nader in worden gegaan op de casus.

Vraag 8

Is bekend waarom een ransomware-aanval bij Abiom is gedaan, wat de werkwijze van de criminelen is en wie hier eventueel achter zit? Zo nee, wordt daar nog onderzoek naar gedaan?

Op basis van de beschikbare informatie wordt ervan uitgegaan dat LockBit informatie heeft gestolen met het doel om losgeld te verkrijgen voor het niet publiceren van vertrouwelijke informatie. Vanwege het lopende politieonderzoek kan geen nadere informatie worden gegeven over de casus.

Vraag 9

Wordt er vanuit de overheid toezicht gehouden op gevoelige data van kritieke toeleveranciers van de overheid die online komen te staan? Zo ja, wie verzorgt dit toezicht en wat voor data is tot nu gevonden dat kan worden herleid tot de hack bij Abiom? Zo nee, waarom gebeurt dit niet?

Nee, zoals genoemd in vraag 3, heeft de term «kritieke toeleveranciers» geen specifieke status van de overheid. Hierop wordt als zodanig vanuit de overheid dus ook geen toezicht gehouden. Wel kan een incident aanleiding vormen voor andere toepasselijke toezichthoudende partijen om een onderzoek in te stellen. Wanneer bijvoorbeeld persoonsgegevens online komen te staan (een zogenaamde datalek) als gevolg van een incident is het aan de Autoriteit Persoonsgegevens om te overwegen of nader onderzoek ingesteld moet worden.
Daarnaast eist de BIO in het algemeen dat overheidsorganisaties beveiligingseisen opnemen in hun contracten met leveranciers en dat ze jaarlijks de prestatie van leveranciers op het gebied van informatiebeveiliging beoordelen op basis van vooraf vastgestelde prestatie-indicatoren. Deze behoren onderdeel te zijn van het contract met de leveranciers. Met een toekomstige wettelijke verankering van de BIO worden deze bepalingen van de BIO ook wettelijk verplicht.

Vraag 10

Deelt u de mening dat het goed om is Abiom te vragen om informatie over de hack te delen met bijvoorbeeld het Nationaal Cyber Security Centre en/of Digital Trust Centre? Zo ja, is dit gevraagd en wat gaat er met deze informatie gebeuren? Zo nee, waarom niet?

Het Nationaal Cyber Security Centrum (NCSC) van mijn ministerie heeft krachtens de Wbni primair tot taak om vitale aanbieders en andere aanbieders die deel uitmaken van de rijksoverheid te informeren en adviseren over dreigingen en incidenten met betrekking tot hun netwerk- en informatiesystemen. Dit betekent onder andere dat het NCSC zich daartoe een zo goed mogelijk beeld vormt van dergelijke dreigingen of incidenten en van de in die gevallen mogelijke mitigerende maatregelen. Het NCSC kan hiervoor informatie opvragen bij betrokken partijen, zoals de leverancier van kwetsbare softwareproducten. DTC heeft vooruitlopend op het wetsvoorstel Bevordering digitale weerbaarheid bedrijven (Wbdwb) de bevoegdheid het als niet-vitaal aangemerkte bedrijfsleven te informeren over serieuze dreigingen indien deze bekend zijn bij het DTC. Daarnaast neemt het DTC in voorkomende gevallen contact op met bedrijven waarbij er sprake is geweest van een serieus incident en DTC hier weet van heeft. In sommige gevallen deelt het DTC de verkregen informatie in meer algemene vorm zodat andere bedrijven hiervan kunnen leren en hun eigen cyberweerbaarheid kunnen vergroten. Het delen van informatie door bedrijven met het DTC over incidenten gebeurt op basis van vrijwilligheid. Het DTC heeft contact gezocht met Abiom om navraag te doen en is nog in afwachting van een reactie. Daarnaast hebben de getroffen overheidsorganisaties contact met Abiom gehad inzake aangifte, onderzoek en herstel, buitgemaakte gegevens, acties van Abiom en acties van de politie zelf.

Vraag 11

Deelt u de mening dat dit soort voorvallen zeer schadelijk kunnen zijn voor het functioneren van kritieke processen van de overheid zoals het functioneren van onze hulpdiensten? Zo ja, welke lessen worden uit deze hack getrokken en welke maatregelen kunnen worden genomen om kritieke toeleveranciers van de overheid (nog) weerbaarder te maken tegen ondermijnende digitale aanvallen zoals ransomware-aanvallen?

Als een incident leidt tot de verstoring van een vitaal proces is er een risico op maatschappelijke ontwrichting. Zoals ik in het antwoord op vraag 5 heb vermeld, schrijft de BIO voor dat organisaties incidenten evalueren. Welke lessen er exact worden getrokken zal per organisatie verschillen, omdat iedere organisatie verschilt en ook omdat de verlening van diensten en producten van Abiom op verschillende manieren is ingezet binnen de betrokken overheidsorganisaties. Die organisaties zullen daarbij zelf steeds een afweging moeten maken hoe risico’s gemitigeerd kunnen worden en welke eventuele restrisico’s blijven bestaan.

Vraag 1

Bent u bekend met het bericht «Facebook vs. Zeewolde: hoe lokale politici moeten beslissen over een landelijke kwestie»?1

Ja, daar ben ik mee bekend.

Vraag 2

Hoe oordeelt u over het feit dat er in Zeewolde wellicht een van de grootste datacentra van Europa gebouwd gaat worden?

In de Nationale Omgevingsvisie (NOVI)2 wordt aangegeven dat de vestiging van nieuwe hyperscale datacenter(cluster)s een goede ruimtelijke afweging en afstemming vergt met andere belangen in de leefomgeving. In de NOVI wordt de voorkeur uitgesproken om hyperscale datacenters te vestigen aan de randen van Nederland, op locaties waar veel aanbod is van (hernieuwbare) elektriciteit, waar aansluiting op het elektriciteitsnetwerk kan worden geboden en waar ruimte minder schaars is. De voorkeur gaat uit naar vestiging in de randen van Nederland, zoals op de bestaande locaties Eemshaven en Middenmeer. Daarnaast geeft de NOVI richtingen mee voor het benutten restwarmte, landschappelijke inpassing en duurzame energie.
De provincie en gemeente hebben hierbij eigen afwegingen gemaakt. Voor realisatie van het beoogde bedrijventerrein zijn Rijksgronden benodigd. Als grondeigenaar heeft de Staatssecretaris van BZK, mede namens de Ministers van BZK en LNV en de Staatssecretaris van EZK, voorwaarden gesteld voor de verkoop aan de gemeente Zeewolde. Deze liggen in het verlengde van keuzes in NOVI, zijn gebaseerd op een advies van het College van Rijksadviseurs (CRa) en betreffen maximale energiezuinigheid van servers, maximale opwekking van zonne-energie op daken en gevels van het datacenter, minimaal gebruik van water voor koeling en het gebruik van restwarmte voor een warmtenet.

Vraag 3

Welke impact heeft de komst van grote hyperscale datacentra op de internationale concurrentiekracht van het economisch kerngebied van Nederland en onze digitale infrastructuur ten opzichte van regionale, kleinere datacentra?

Rond Amsterdam zitten veel co-locatie (of multi-tenant) datacenters met zeer snelle onderlinge verbindingen. Dit zorgt voor zogeheten hyperconnectiviteit tussen deze datacenters. Op dit moment hebben maar vijf steden in Europa3, waaronder Amsterdam, de unieke vestigingsvoorwaarden voor (hyperconnectiviteit)datacenters. Dit is dus bijzonder en speelt een belangrijke faciliterende rol voor de Nederlandse maar ook de Europese digitale economie. Deze hyperconnectiviteit rond Amsterdam draagt bij aan een zeer gunstig vestigingsklimaat voor co-locatie datacenters en bepaalde dienstverlening waarvoor hyperconnectiviteit een vereiste is.
Hyperscale datacenters zijn voor de kwaliteit van hun dienstverlening niet genoodzaakt om zich te vestigen in een regio met hyperconnectiviteit, internationale ontsluiting vindt plaats via eigen connecties met hyperconnectiviteitsclusters. Dit betekent dat de locatie waar het hyperscale datacenter is gevestigd vanuit het perspectief van de gebruiker weinig uitmaakt.
Dit heeft tot gevolg dat hyperscale datacenters weinig bijdragen aan het in stand houden van of uitbreiden van de in Nederland bestaande hyperconnectiviteitsclusters, onderdeel van de Nederlandse digitale infrastructuur en daarbij voor de ambitie uit het coalitieakkoord om van Nederland een digitaal knooppunt te maken. Ook faciliteren co-locatie datacenters meer dan hyperscale datacenters regionale partijen in hun digitaliseringsbehoefte, omdat hyperscale datacenters primair worden gebruikt voor het opslaan van data of het verlenen van dienstverlening voor de internationale markt. Dit betekent dat de vestiging van hyperscale datacenters een relatief beperkte invloed heeft op de internationale concurrentiekracht van Nederland en de digitale infrastructuur ten opzichte van co-locatie datacenters.

Vraag 4

Deelt u de mening dat het van belang is dat Nederland haar koploperspositie niet verliest aan Frankfurt, Londen, Amsterdam, Parijs (de FLAP-steden), Noord-Ierland of Zweden? Kan dit ook zonder de komst van hyperscale centra?

Nederland heeft vanwege de vele onderlinge verbindingen van co-locatie datacenters rond Amsterdam een koploperpositie binnen Europa op het gebied van hyperconnectiviteit. Deze hyperconnectiviteit rond Amsterdam draagt bij aan een zeer gunstig Nederlands vestigingsklimaat voor multi-tenant datacenters en bepaalde dienstverlening waarvoor hyperconnectiviteit een vereiste is.
De FLAP-D steden zijn van groot belang voor de doorvoer van internetverkeer in Europa. Nederland fungeert hierbij als datacenterrotonde van Europa. De hyperconnectiviteitsclusters rond de FLAP-D steden bedienen zowel de nationale als Europese markt. Het is van belang dat Nederland deze belangrijke rol blijft houden, mede omdat het voor alle in Europa gevestigde bedrijven en organisaties het van belang is dat de (Europese) datacentercapaciteit groeit.
Hyperscale datacenters dragen weinig tot niet bij aan het in stand houden van of uitbreiden van de in Nederland bestaande hyperconnectiviteitsclusters. Dit betekent dat de Nederlandse koppositie op het gebied van hyperconnectiviteit behouden kan blijven zonder de aanvullende vestiging van hyperscale datacenters.

Vraag 5

Deelt u de mening dat een slimme datacenterstrategie ook betekent dat er gekeken wordt naar het opvangen en gebruiken van restwarmte, een lang gekoesterde wens van menig datacentrum?

Ja, het streven dient altijd te zijn om restwarmte voor zover mogelijk te benutten. Maar of dit daadwerkelijk lukt is complex en van de specifieke situatie afhankelijk. Een haalbare businesscase voor een warmtenet is van veel factoren afhankelijk. Datawarmte is van (zeer) lage temperatuur (in de regel 20–30°C4, soms hoger) en moet opgewaardeerd worden indien een bestaand of beoogd warmtenet een hogere temperatuur heeft. Cruciaal is dat er voldoende warmtevraag moet zijn in de nabijheid van een datacenter; het vollooprisico is één van de grootste belemmeringen voor een goede business case. Het gebruik van warmtebronnen is vraaggestuurd; een warmtebedrijf bepaalt uiteindelijk of het afnemen van restwarmte zinvol is om een kosteneffectieve warmtevoorziening te realiseren.
EZK stelt kaders en instrumenten ten behoeve van de benutting van restwarmte. O.a. via het wetsvoorstel voor de Wet Collectieve Warmtevoorziening waarin een «ophaalrecht» voor restwarmte is opgenomen. Hiermee krijgen restwarmteproducenten zoals datacenters de verplichting om hun restwarmte af te staan aan een warmtebedrijf indien die daarom vraagt en dat met de aanleg van een warmtenet mogelijk maakt, waarbij uitsluitend de feitelijke uitkoppelkosten aan de restwarmteproducent worden vergoed. De SDE++-subsidie biedt financiële ondersteuning bij het realiseren van duurzame warmteprojecten en helpt de uitkoppelkosten te dekken.

Vraag 6

Wat is de impact van dit soort grote datacentra op de netproblematiek, gezien het feit dat de energietransitie op veel vlakken vastloopt op de beschikbare netcapaciteit? Deelt u de mening dat regio-overstijgende sturing voor dit soort ingrijpende besluiten (over)belasting van het stroomnet kan voorkomen?

Datacenters leggen net als andere grootverbruikers een relatief groot beslag op de beschikbare transportcapaciteit van het elektriciteitsnet. Een aanvraag van een grootverbruiker op een plek waar er nog maar beperkte transportschaarste is voor afname van elektriciteit kan tot extra knelpunten leiden. Het creëren van extra (complementaire) vraag op plekken waar deze elektriciteit niet weg kan worden getransporteerd kan juist verlichting brengen in de ontstane transportschaarste5.
Decentrale overheden hebben de mogelijkheid om sturing te geven aan allerlei (maatschappelijke) initiatieven via het ruimtelijk beleid. Pas als decentrale overheden de bestemmingen mogelijk maken en ruimtelijke vergunningen verlenen, zal een initiatief zich kunnen vestigen en aangesloten kunnen worden. Het is dus belangrijk dat decentrale overheden in een vroeg stadium rekening houden met beschikbare netcapaciteit bij ruimtelijke inpassing van zowel initiatieven als netinfrastructuur. In dit verband is voorts relevant dat het Rijk – zoals aangekondigd in het coalitieakkoord – naar aanleiding van het grote beslag op duurzame energie in verhouding tot de economische en maatschappelijke meerwaarde, de landelijke regie voor hyperscale datacenters zal aanscherpen en ook de toelatingscriteria voor de vergunningverlening. De Minister voor Volkshuisvesting en Ruimtelijke Ordening komt hier dit voorjaar in een gezamenlijke brief met de Minister voor Klimaat en Energie op terug.

Vraag 7

Klopt het dat dit datacentrum meer energie zal verbruiken dan de provincie Flevoland of de stad Amsterdam?2 Hoe gaat die energie opgewekt worden?

Als de datacentercampus volledig gebouwd is (dat gebeurt gefaseerd en beslaat een periode van 2021–2028), kan het totale jaarlijkse verbruik groeien tot 1,38 TWh volgens de plannen.
Het elektriciteitsverbruik van Flevoland is zo’n 2 TWh en het elektriciteitsverbruik van de gemeente Amsterdam is zo’n 4,6 TWh. De vergelijking wordt vaak gemaakt met het elektriciteitsverbruik van huishoudens. In 2020 was het elektriciteitsverbruik van de huishoudens in Nederland 22% van het totale elektriciteitsverbruik (KEV, 2021). Dus het klopt dat het datacenter in de eindsituatie meer elektriciteit verbruikt dan huishoudens in Flevoland of Amsterdam. Overigens is de huidige productie van hernieuwbare elektriciteit in Flevoland momenteel zo’n 2,7 TWh, groeiend naar maximaal 5,8 TWh in 2030 (bron: Monitor RES 1.0 PBL). Alleen al het nabij gelegen windpark Groen zal jaarlijks zo’n 1,8 TWh produceren, wat dus meer is dan het datacenter maximaal zal gebruiken in de eindsituatie.
Vraag en aanbod van elektriciteit in ons land zijn op elk moment van de dag in balans. Productie van elektriciteit zal in toenemende mate via wind en zon verlopen. In 2030 dient er volgens het Klimaatakkoord 84 TWh hernieuwbare elektriciteit uit wind en zon te zijn. Dit is dan ca. 75% van de vraag.
De Stuurgroep extra opgave7 raamt de extra elektriciteitsvraag voor datacenters in 2030 tussen de 5–15 TWh ten opzichte van het Klimaatakkoord. De Stuurgroep adviseert tevens hiervoor extra wind op zee te realiseren. In lijn met de moties Boucke c.s.8 wordt ingezet op het mogelijk maken van 10 GW aan extra wind op zee tot rond 2030. Een volgend kabinet zal besluiten over de precieze omvang van de opgave.

Vraag 8

Wat is de impact van dit datacentrum op de capaciteit van het stroomnet? Wat betekent de komst hiervan voor de continuïteit van andere grote stroomgebruikers in de regio?

Ik heb geen zicht op de exacte impact van dit initiatief op het elektriciteitsnetwerk. De netbeheerder zal moeten beoordelen of de gevraagde transportcapaciteit ook op korte termijn geleverd kan worden of dat dit nog aanvullende investeringen vergt. Andere gebruikers worden niet direct geraakt. Netbeheerders dienen bij het uitgeven van transportcapaciteit rekening te houden met de benodigde transportcapaciteit die de gezamenlijk gebruikers van het net nodig hebben. De netbeheerders publiceren een actueel overzicht van de beschikbare transportcapaciteit.9 Hieruit blijkt dat er een transportprobleem is voor wat betreft invoering van elektriciteit (door o.a. zon- en windinstallaties) en niet voor afname.

Vraag 9

Welke trajecten voor de komst van regionale kleine of hyperscale datacentra lopen er op dit moment? Om welk type datacentrum gaat het, om welke locaties gaat het en per wanneer?

Voor zover bekend, op basis van de informatie van TenneT en de Netherlands Foreign Investment Agency (NFIA), lopen er rond de 20 à 25 projecten voor de vestiging en uitbreiding van datacenters in Nederland. Dit is ook toegelicht in de brief over datacenters van 17 december jl. (Kamerstuk 32 813, nr. 968). Dit betreffen datacenters van uiteenlopende grootte die in verschillende fases van voorbereiding zitten; van zeer globale tot concrete plannen. Het gaat onder andere om projecten in de regio’s Noord-Holland, Flevoland en Groningen. Meer specifieke informatie ten aanzien van de locatie van de projecten en aanvragen voor aansluitingen op het elektriciteitsnet is bedrijfsvertrouwelijk en mag niet door de NFIA of TenneT worden gedeeld. Dit aantal is overigens niet uitputtend. Het is mogelijk dat er ook bij lokale overheden projecten lopen, waar op nationaal niveau geen zicht op is.
Het is tot slot goed om te benadrukken dat bedrijven bij dergelijke investeringsprojecten vaak verschillende locaties in verschillende landen vergelijken om zo tot een vestigingslocatiekeuze te komen. Daarom is het dus zeer onzeker of deze lopende projecten uiteindelijk ook tot nieuwe vestigingen in Nederland zullen leiden, en zo ja op welke termijn. In de praktijk zien we daarbij dat bedrijven met datacenters, door de teruglopende beschikbaarheid van fysieke ruimte en stroom, steeds vaker kiezen voor een locatie buiten Nederland.

Vraag 10

Wat is de impact van dit soort grote datacentra op het energiebesparingsdoel dat Nederland heeft vanuit de Europese Commissie?

Het energieverbruik van datacenters, net als dat van andere energieverbruikers, telt mee voor het EU-energieverbruiksdoel zoals vastgelegd in artikel 3 van de Energy Efficiency Directive (EED). Dit doel is vertaald naar een energieverbruiksniveau in 2030, zowel voor primair als finaal energieverbruik. De precieze impact van grootschalige datacenters op het Nederlandse aandeel van het Europese energieverbruiksdoel is niet te geven.
Volgens het CBS verbruikten datacenters in 2020 2,8% van de totale elektriciteit in Nederland. Indien datacenters in de toekomst (netto) meer energie verbruiken, zal het energieverbruik van andere verbruikers verder moeten afnemen om aan de EU-verbruiksdoelen te voldoen. Dit geldt overigens ook indien andere energie-intensieve bedrijven zich in Nederland vestigen of in de toekomst meer energie verbruiken. Voor datacenters zijn er eisen met betrekking tot energie-efficiëntie vastgelegd in de Erkende Maatregelenlijst energiebesparing (EML Commerciële Datacenters). Vanaf 2023 vallen alle datacenters, inclusief de grote datacenters, automatisch onder de energiebesparingsplicht.
In de voorgestelde herschikking van de EED worden er op EU-niveau strengere eisen aan datacenters gesteld. Zo komt er een verplichting om energieverbruik van datacenters te monitoren en rapporteren. De herschikking van de EED is onderdeel van het Fit-for-55 pakket dat momenteel in Brussel wordt besproken.

Vraag 11

Is de energie-infrastructuur aangepast in zowel (groot) Amsterdam als Almere, zoals te lezen is in de «Ruimtelijke Strategie Datacenters»?3 Zo nee, waarom niet en wanneer en hoe gaat dit gebeuren? Hoe zit het met de andere locaties die in de strategie worden genoemd?

Pas als decentrale overheden de bestemmingen mogelijk maken en ruimtelijke vergunningen verlenen, zal een initiatief zich kunnen vestigen en aangesloten kunnen worden op het elektriciteitsnet. Het is bij het maken van deze ruimtelijke plannen belangrijk om ook na te denken over de afstemming met het energiesysteem.
De netbeheerder zelf maakt geen onderscheid tussen functies en sluit functies aan op volgorde van binnenkomst. De netbeheerder zal bij een aansluitverzoek moeten beoordelen of de gevraagde transportcapaciteit ook op korte termijn geleverd kan worden of dat dit nog aanvullende infrastructuurversterkingen vergt.
De netbeheerders werken op veel locaties in Nederland aan de versterking van de elektriciteitsinfrastructuur. Dit gebeurt echter niet voor een specifieke sector.

Vraag 12

Op welke manier is er afstemming geweest tussen lokale bestuurders, de provincie en de rijksoverheid en wat is er afgesproken over randvoorwaarden voor de bouw van het datacentrum?

In aanloop naar de mogelijke vestiging van het Meta datacenter in Zeewolde hebben de netbeheerders de Minister van Economische Zaken en Klimaat advies gevraagd over een bijzondere wijze van aansluiting op het hoogspanningsnet die Meta wenste. Vervolgens is getoetst of de Elektriciteitswet deze bijzondere wijze van aansluiting toestond, en geconstateerd dat dit het geval is.
Op dat moment zijn ook de provincie Flevoland en gemeente Zeewolde benaderd over de vestiging, waar zij benadrukten een zorgvuldige afweging te hebben gemaakt en grote belangen te hechten aan de vestiging.
Een van de vervolgstappen van de provincie en gemeente was het verzoek aan het Rijk om rijksgronden te verkopen in het kader van de beoogde bestemmingswijziging en daaraan gekoppelde procedures. Naar aanleiding van dit verzoek heeft het Rijk, in overleg met de gemeente en provincie, aan het College van Rijksadviseurs (CRa) de opdracht gegeven voor een verkenning naar een optimaler ontwerp en inpassing van het datacenter. De Staatssecretaris van BZK stelde, mede namens de Ministers van BZK en LNV en de Staatssecretaris van EZK, op basis van deze verkenning de onder antwoord 2. genoemde voorwaarden. Op dit moment heeft Zeewolde nog geen aangepast plan gedeeld, het Rijksvastgoedbedrijf is in afwachting van dit aangepast plan.

Vraag 13

Welke afspraken zijn er gemaakt met Meta/Facebook over onder andere het betalen van (lokale) belastingen, het wel of niet ontvangen van subsidies, de komst van arbeidsplaatsen en watercompensatie?

De inhoudelijk betrokkenheid van het Rijk bij deze mogelijke investering van Facebook richtte zich op de netaansluiting en de mogelijke verkoop van grond van het Rijksvastgoedbedrijf. Belastingen, subsidies, arbeidsplaatsen en watercompensatie waren geen onderwerpen in deze gesprekken. In de gesprekken tussen het Rijksvastgoedbedrijf en de gemeente over de eventuele verkoop van de grond zijn voorwaarden van het Rijk gesteld. Daarbij zijn ook de processtappen besproken die voorschrijven dat de gemeente zorgt voor een aangepast plan, het Rijk deze laat toetsen en vervolgens beoordeelt en daarna beslist over verkoop (zie de brief van de Staatssecretaris van BZK van 13 december jl.11).

Vraag 14

Deelt u de mening dat het niet wenselijk zou zijn als lokale politici en bestuurders zonder afstemming met provincie en rijksoverheid zouden besluiten over de komst van een datacentrum vanwege de regio-overstijgende consequenties?

De NOVI is zelfbindend voor het Rijk maar geeft ook de onder 2 genoemde richtingen mee voor deze afwegingen.
Het verdient daarbij voorkeur als provincies zelf beleid formuleren voor vestiging van datacenters en de inrichting van locaties. Het Rijk gaat hier met provincies over in overleg. In lijn met het coalitieakkoord zal dit kabinet de landelijke regie en de toelatingscriteria ten aanzien van (hyperscale) datacenters aanscherpen. De Minister voor Volkshuisvesting en Ruimtelijke Ordening zal hier komt hier dit voorjaar in een gezamenlijke brief met de Minister voor Klimaat en Energie op terug.

Vraag 15

Deelt u de mening dat de komst van een regionaal klein datacentrum bij kan dragen aan de internationale concurrentiekracht van het economisch kerngebied van Nederland en het onze digitale infrastructuur versterkt, mits het geen blokkerende impact heeft op het Nederlandse stroomnet? Zo nee, waarom niet? Zo ja, wilt u dit meenemen in de datacentervisie die naar de Tweede Kamer wordt gestuurd?

Het merendeel van de datacenters in Nederland zijn regionale datacenters waarvan een groot deel in de regio Amsterdam gevestigd is. Regionale (co-locatie) datacenters spelen een belangrijke faciliterende rol in de digitalisering van Nederlandse bedrijven en organisaties en daarmee de internationale concurrentiekracht van deze bedrijven maar datacenters in Nederland zorgen ook voor uitstekende internationale connectiviteit. Clusters van co-locatie datacenters rond Amsterdam en de AMS-IX zorgen voor deze zeer snelle internationale verbindingen, de zogenoemde hyperconnectiviteit. Deze hyperconnectiviteit draagt bij aan de goede digitale infrastructuur en is daarmee ook gunstig voor het Nederlands vestigingsklimaat, met name voor multi-tenant datacenters en bepaalde dienstverlening waarvoor hyperconnectiviteit een vereiste is. De Metropoolregio Amsterdam (MRA) houdt bij het opstellen van de nieuwe verstedelijkingsstrategie met het oog op groei van deze hyperconnectiviteitclusters dan ook rekening met de beschikbare (toekomstige) energie-infrastructuur. Met betrekking tot de datacentervisie verwijs ik u naar het antwoord op vraag 16.

Vraag 16

Deelt u de mening dat er meer landelijke sturing moet zijn en dat er meer duidelijkheid moet komen over het beleid rondom het bouwen van datacentra in Nederland? Zo ja, welke randvoorwaarden zouden hier volgens u van toepassing zijn? Zo nee, waarom niet?

Op 17 december jl. heeft uw Kamer een brief ontvangen over datacenters (Kamerstuk 32 813, nr. 968) die verder ingaat op de verwachte groei van de datacentersector, de elektriciteitsvraag die daarbij gepaard gaat en de wenselijkheid van datacenters mede gezien schaarse ruimte en de landschappelijke impact. Voorts: in het coalitieakkoord constateert het kabinet dat hyperscale datacentra een onevenredig groot beslag leggen op de beschikbare duurzame energie in verhouding tot de maatschappelijke en/of economische meerwaarde. Daarom scherpen we de landelijke regie en de toelatingscriteria bij de vergunningverlening hiervoor aan. De Minister voor Volkshuisvesting en Ruimtelijke Ordening komt hier dit voorjaar in een gezamenlijke brief met de Minister voor Klimaat en Energie op terug.

Vraag 1

Hoe weet u zeker dat op de smartphones geen censuur wordt toegepast en dat deze software constant uit staat, aangezien u in de beantwoording aangeeft dat er op de in de Europese Unie verkochte smartphones geen censuur wordt toegepast, er voor Nederland op dit moment geen aanleiding is om een dergelijk zwaarwegend advies af te geven en dat u ziet dat het daadwerkelijk toepassen van dergelijke software inbreuk kan maken op de grondrechten van gebruikers?

Het Ministerie van Defensie van Litouwen heeft onderzoek gedaan naar telefoons van het merk Xiaomi. Daarbij is ook gekeken naar de functionaliteit die in deze vragen wordt aangeduid als censuursoftware. Uit het onderzoek blijkt dat deze functionaliteit is uitgeschakeld in de Europese Unie. Naar aanleiding van het Litouwse onderzoek heeft ook het Duitse Bundesambt für Sicherheit in der Informationstechnik (BSI) een eigen onderzoek ingesteld. Daarbij zijn geen bijzonderheden aangetroffen.1 In beide onderzoeken is vastgesteld dat de software in de praktijk niet wordt toegepast. Ik hecht eraan dat dit ook in de toekomst niet zal gebeuren.
Gebruikers van telefoons moeten immers met elkaar kunnen communiceren zonder dat er, zoals zou gebeuren als de bedoelde functionaliteit wordt geactiveerd, door derden inbreuk wordt gemaakt op de communicatie. Dit zogenoemde communicatiegeheim is onder meer vastgelegd in artikel 5 van richtlijn 2002/58/EG (de e-privacyrichtlijn) en ook in het voorstel voor een Europese e-privacyverordening die in de toekomst de e-privacyrichtlijn zal vervangen.
Zolang de e-privacyverordening nog niet van kracht is, is een complicerende factor dat artikel 11.2a van de Telecommunicatiewet waarin artikel 5 van de e-privacyrichtlijn is omgezet, zich alleen richt tot aanbieders van openbare elektronische communicatienetwerken en diensten en dus niet tot derden zoals de leverancier van de telefoon. Omdat de totstandkoming van de e-privacyverordening nog op zich laat wachten, zal ik nader bezien of het doelmatig is om de Telecommunicatiewet op dit punt aan te passen.
Naast de Telecommunicatiewet wordt het communicatiegeheim ook beschermd in het Wetboek van Strafrecht. Zo stelt artikel 139c het met een technisch hulpmiddel aftappen of opnemen van het telecommunicatieverkeer strafbaar. Betoogd zou kunnen worden dat het met software bekijken (aftappen) en vervolgens aanpassen (het er uit filteren van «ongewenste» zoekresultaten) van het telecommunicatieverkeer onder de werking van deze strafbepaling valt (vgl. Hoge Raad, 17 december 2019, ECLI:NL:HR:2019:1973). In dat geval zou het activeren van dergelijke software ertoe kunnen leiden dat sprake is van een strafbaar feit.
Waar apparaten bijvoorbeeld de zoekresultaten filteren, dan kan dit voorts een inbreuk vormen op de vrijheid van nieuwsgaring. Het is uiteindelijk aan de rechter om in voorkomende gevallen een uitspraak te doen over de rechtmatigheid van zo’n filter.

Vraag 2

In hoeverre worden er, in het kader van «Bring-Your-Own-Device», privé Xiaomi-telefoons gebruikt, waarvan in de beantwoording is aangegeven dat er sinds 2018 60 van zijn aangeschaft, en is dit wenselijk?

Voor «Bring-Your-Own-Device» binnen de rijksoverheid geldt als uitgangspunt dat ieder rijksonderdeel moet aangeven of en in welke gevallen het gebruik van eigen apparatuur is toegestaan op basis van een eigen risicoafweging.
De (on)wenselijkheid hiervan verschilt dus per rijksonderdeel. Mocht het gebruik van eigen toestellen toegestaan zijn dan geldt, net zoals voor overheidstoestellen, dat op basis van de risicoafweging de juiste maatregelen worden getroffen om de overheidsinformatie voldoende te beschermen, bijvoorbeeld door toepassing van cryptografische oplossingen die op het eigen apparaat gebruikt kunnen worden.
In antwoord op eerdere vragen is aangegeven dat er zover bekend bij het Ministerie van Binnenlandse Zaken sinds 2018 60 Xiaomi telefoons zijn aangeschaft binnen de rijksoverheid. Deze zijn aangeschaft om te worden gebruikt als onderwerp van technisch, forensisch of opsporingsonderzoek. Er is geen relatie tussen deze 60 telefoons en «Bring-Your-Own-Device»-beleid.

Vraag 3

In hoeverre biedt de Baseline Informatiebeveiliging Overheid voldoende handvatten om nieuwe informatie en potentiële risico’s zoals censuursoftware zoveel als mogelijk te voorkomen?

De Baseline Informatiebeveiliging Overheid (BIO) is een informatiebeveiligingskader voor de hele overheid en is gebaseerd op de internationale standaarden ISO27001 en ISO27002. De BIO kent een risicogebaseerde aanpak. Dat betekent dat overheidsorganisaties op basis van risicoafweging (nieuwe) dreigingen onderkennen en daarop passende en proportionele beveiligingsmaatregelen treffen. Zo ook deze casus.
De BIO kent (nog) geen specifieke maatregelen tegen dergelijke software. Dit jaar wordt de BIO geëvalueerd. Onderdeel van die evaluatie is de herijking van de dreigingen die richting geven aan de concrete overheidsmaatregelen in de BIO. Dit vraagstuk zal daarbij worden meegenomen.
In algemene zin geldt dat eind 2018 ten aanzien van nationale veiligheidsrisico’s een verscherpt inkoop- en aanbestedingsbeleid is geïmplementeerd voor de rijksoverheid. Hierin is opgenomen dat bij inkoop en aanbesteding mogelijke risico’s voor de nationale veiligheid per inkoopopdracht worden meegewogen. Bij de aanschaf en implementatie van gevoelige apparatuur of programmatuur wordt volgens dit beleid rekening gehouden met zowel risico’s in relatie tot een leverancier, als met het concrete gebruik van de systemen, bijvoorbeeld als het gaat om de toegang tot systemen door derden.
Ter ondersteuning van dit beleid is aanvullend instrumentarium ontwikkeld door de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) dat organisaties handvatten biedt bij het maken van een risicoanalyse en het nemen van mitigerende maatregelen. Behoeftestellende partijen zijn zelf verantwoordelijk voor de toepassing van dit instrumentarium en het meewegen van nationale veiligheidsrisico’s. Het instrumentarium is ter beschikking gesteld binnen de rijksoverheid en medeoverheden, alsmede aan organisaties die onderdeel zijn van de vitale processen.
In het Commissiedebat Digitale overheid, datagebruik en algoritmen, en digitale identiteit van 22 maart jl. heeft de Staatssecretaris voor Koninkrijksrelaties en Digitalisering verder toegezegd een onderzoek te gaan doen naar inkoopeisen en -richtlijnen over cyberveiligheid in het overheidsapparaat, dat voornamelijk zal gaan over landen met een offensief cyberprogramma. In het daaropvolgende tweeminutendebat van 29 maart is in aanvulling op de toezegging een motie ingediend door Kamerleden Rajkowski en Van Weerdenburg, om in dit onderzoek ook te kijken naar de vitale sector.2 De motie is op 5 april aangenomen; de Kamer zal over het vervolg geïnformeerd worden.

Vraag 4

Wat zou u ervan vinden als Rijksambtenaren Chinese censuursoftware zouden downloaden op hun apparaten?

In algemene zin is het onwenselijk als rijksambtenaren software zouden downloaden op hun werkapparaten als die een conflict zou opleveren met hun werkzaamheden.
Verder wil ik opmerken dat de werkomgeving van rijksambtenaren op mobiele apparaten zich bevindt op een afgeschermd deel dat niet toegankelijk is voor overige geïnstalleerde software.

Vraag 5

Onderkent u dat Xiaomi telefoons, in tegenstelling tot wat er in de beantwoording te lezen is, niet alleen via verschillende webwinkels verkocht worden, maar dat er sinds 2020 ook een fysieke «Mi-store» is geopend in Rotterdam, de eerste fysieke Xiaomi winkel in de Benelux?

In de eerdere beantwoording is aangegeven dat Xiaomi-toestellen in Nederland breed verkrijgbaar zijn. Het klopt dat er een fysieke Xiaomi-winkel in Rotterdam is.

Vraag 6

Hoe beoordeelt u het feit dat aanbieders van apparaten waar censuursoftware op staat winkels openen in Nederland en hun marktaandeel in Nederland groeiend is?

Het is belangrijk dat producten die hier op de markt worden gebracht voldoen aan de relevante regelgeving. Dat wordt des te belangrijker als het een wijdverspreid product is. Tegelijkertijd is het iedereen die zich aan de relevante Nederlandse en Europese wetgeving houdt toegestaan producten op de Nederlandse en Europese markt te brengen.

Vraag 7

Klopt het dat de censuursoftware op afstand kan worden geactiveerd vanuit China, zonder dat gebruikers dit doorhebben? Deelt u de mening dat deze functionaliteit een potentiële bedreiging vormt voor de vrijheid van meningsuiting en de vrije toegang tot informatie van Nederlandse gebruikers van Xiaomi-toestellen? Zo ja, hoe beoordeelt u dit? Zo nee, waarom niet?

Een fabrikant kan op afstand wijzigingen doorvoeren aan producten en diensten door software-updates uit te brengen. Op basis van artikel 11.7a van de Telecommunicatiewet moet de fabrikant daarover de eindgebruiker informeren en bovendien diens toestemming verkrijgen voor de wijziging.
De vrije nieuwsgaring wordt onder meer beschermd door artikel 10 van het Europees Verdrag voor de Rechten van de Mens. Hiervoor is het van belang dat mensen degelijke toegang hebben tot informatie zonder hierin te worden gehinderd. De gigantische hoeveelheid informatie die in de moderne wereld voorhanden is maakt het echter noodzakelijk dat technische hulpmiddelen zoals zoekmachines deze informatie filteren voordat het aan gebruikers wordt voorgelegd. Voor vrije nieuwsgaring is het van belang dat deze filtering waardenvrij plaatsvindt.
Het is onwenselijk voor gebruikers om heimelijk af te worden gehouden van specifieke onderwerpen. Uit zowel het Litouwse als Duitse onderzoek blijkt echter dat dit in de Europese Unie op Xiaomi telefoons ook niet wordt gedaan. Het is in het algemeen belangrijk dat gebruikers de beperkingen van hun apparatuur kennen en begrijpen en indien zij dat wensen kunnen kiezen uit alternatieve browsers en zoekmachines om te voorzien in hun informatiebehoefte.

Vraag 8

Hoe beoordeelt u het feit dat ook de data van Nederlandse gebruikers die Xiaomi-toestellen gebruiken wordt doorgestuurd naar Xiaomi-servers in China, waar conform de geldende Chinese cyberveiligheidswet, ook de Chinese overheid toegang heeft tot de data van Nederlandse gebruikers?

Nederland en de EU spreken in verschillende verbanden, waaronder binnen de VN, met China over dataveiligheid. Centraal hierbij staat de bescherming van privacy, zoals de naleving van de Algemene verordening gegevensbescherming (AVG), bescherming van mensenrechten en het tegengaan van ongepaste toegang van overheden tot datagegevens. Zoals aangegeven in de Notitie «Nederland-China: Een nieuwe balans» (Kamerstuk 35 207, nr. 1) staat het kabinet achter striktere handhaving en sterker uitdragen van bestaande standaarden en normen, zoals de Europese regelgeving op het gebied van data, bescherming van persoonsgegevens en privacy en productveiligheid.
Partijen moeten, wanneer zij in de EU producten of diensten aanbieden, voldoen aan de vereisten die conform het gegevensbeschermingsrecht op hen rusten. In dit geval zijn deze vereisten primair neergelegd in het algemene kader dat de AVG biedt voor de verwerking van persoonsgegevens en de speciale regels uit de Telecommunicatiewet. De AVG kent een ruim toepassingsbereik. Artikel 3, tweede lid, onder a AVG bepaalt dat verwerkingsverantwoordelijken die goederen of diensten aanbieden aan betrokkenen in de EU binnen het toepassingsbereik vallen. De AVG bepaalt onder meer dat er een «rechtsgrondslag» moet zijn om persoonsgegevens te verwerken (bijvoorbeeld toestemming), dat betrokkenen geïnformeerd moeten worden over de verwerking van hun gegevens en dat zij in staat worden gesteld om de rechten uit te oefenen die zij over hun gegevens hebben.
Voor zover het gaat om gegevens die worden afgelezen van het randapparaat van de eindgebruiker (ook als dit geen persoonsgegevens zijn) is artikel 11.7a van de Telecommunicatiewet van toepassing. Dit ook bij vraag 7 genoemde artikel bepaalt dat voor het plaatsen en aflezen van informatie op een randapparaat de toestemming van de eindgebruiker noodzakelijk is. Voor een rechtsgeldige toestemming is van belang dat de eindgebruiker adequaat is geïnformeerd over de doeleinden van de gegevensverzameling en verwerking. Op deze bepaling wordt toezicht gehouden door Autoriteit Consument en Markt (ACM).
In algemene zin geldt dat, wanneer persoonsgegevens naar een land buiten de Europese Unie worden doorgegeven, er additionele voorwaarden gelden. Doorgifte is namelijk slechts toegestaan op grond van een van de wettelijke bepalingen uit hoofdstuk V van de AVG. Aangezien voor China geen door de Europese Commissie genomen adequaatheidsbesluit bestaat, waarin wordt besloten dat dit land een passend beschermingsniveau waarborgt, kan structurele doorgifte van persoonsgegevens alleen plaatsvinden voor zover er door de verwerkingsverantwoordelijke «passende waarborgen» worden geboden.
Het is aan de Autoriteit Persoonsgegevens (AP), de toezichthouder op de AVG, om erop toe te zien dat er passende waarborgen zijn getroffen. Als dit niet het geval is heeft de AP onder meer de bevoegdheid om boetes op te leggen, maar ook om de verwerking te verbieden.

Vraag 9

Klopt het dat de Belgische Staatsveiligheidsdienst al eerder publiekelijk heeft gewaarschuwd voor spionage via Chinese spionage, waaronder die van Xiaomi? Zo ja, hoe beoordeelt u dit en deelt u de mening dat deze waarschuwing zeer zorgelijk is?

Het klopt dat de Belgische Staatsveiligheid heeft gewaarschuwd voor potentiële Chinese spionagedreiging. Zoals ook staat beschreven in het Dreigingsbeeld Statelijke Actoren (DBSA)3 en de jaarverslagen van de inlichtingen- en veiligheidsdiensten is toenemende afhankelijkheid van buitenlandse technologie een gegeven. Hierdoor bestaat het risico dat met technologische toeleveringen de digitale spionage- en sabotagemogelijkheden toenemen. Waar dit de nationale veiligheid raakt, wordt per geval afgewogen welke maatregelen proportioneel zijn om dit risico te beheersen. Risico’s voor de nationale veiligheid kunnen met name ontstaan wanneer technologie de Nederlandse vitale infrastructuur of gevoelige kennis en informatie raakt.

Vraag 10

In hoeverre is de huidige aangewezen toezichthouder in staat om te controleren of er censuursoftware op mobiele telefoons aanwezig is en of deze software daadwerkelijk actief is?

De toekomstige e-privacy verordening bevat regels over (de verwerking van persoonsgegevens bij) elektronische communicatie om te zorgen dat de persoonlijke levenssfeer wordt beschermd. Daarin wordt het controleren van de communicatie, ook door leveranciers van telefoons, verboden. Als de verordening van kracht wordt of voorafgaand daaraan de Telecommunicatiewet wordt aangepast conform het gestelde onder vraag 1, is er pas een aangewezen toezichthouder op dit punt.
Voor zover de vraag gaat over het in staat zijn om te controleren of er een betreffende functionaliteit op mobiele telefoons aanwezig is en of deze actief is, komt uit de genoemde onderzoeken bij vraag 1 naar voren dat dit het geval is. Uit die onderzoeken bleek dat de functionaliteit in de praktijk niet wordt toegepast.

Vraag 11

Hoe beoordeelt u de aanwezigheid van censuursoftware op Xiaomi-toestellen in het kader van een eerdere uitspraak, gedaan door de Algemene Inlichtingen- en Veiligheidsdienst, dat er sprake is van een «wereldwijde grootschalige vergaring van persoonsgegevens door Chinese actoren om profielen te maken van medewerkers van bedrijven en instellingen waar het land digitaal wil inbreken»?

De betreffende functionaliteit ziet op het detecteren en blokkeren van bepaalde termen. Deze functionaliteit heeft geen verband met grootschalige vergaring van persoonsgegevens. Zie het antwoord op vraag 1 ten aanzien van deze functionaliteit en het antwoord op vraag 8 ten aanzien van dataveiligheid.

Vraag 12

Deelt u de mening dat het zeer onwenselijk is dat ook de telefoons van Nederlandse gebruikers deze software kunnen bevatten en dat er een mogelijkheid is dat de censuursoftware wordt geactiveerd? Zo ja, bent u bereid een onafhankelijk onderzoek te laten uitvoeren door bijvoorbeeld het Agentschap Telecom en de Nationaal Coördinator Terrorismebestrijding en Veiligheid naar de mogelijke aanwezigheid van deze censuursoftware op Xiaomi-toestellen die in Nederland worden verkocht? Zo nee, waarom niet?

Ik zie geen noodzaak tot het doen van een aanvullend onderzoek naar de in het artikel genoemde software op Xiaomi-toestellen. Wel zal ik nader bezien of het doelmatig is om de Telecommunicatiewet op dit punt aan te passen. Zie hiervoor het antwoord op vraag 1.
Daarnaast is, zoals ook in de hoofdlijnenbrief digitalisering van 8 maart jl. aangegeven, digitaal bewustzijn noodzakelijk. We investeren samen met de ministeries van Justitie en Veiligheid en Binnenlandse Zaken en Koninkrijksrelaties in het vergroten van kennis onder burgers over digitale veiligheid en over technologische ontwikkelingen, zodat zij zich bewust zijn van de mogelijkheden, beperkingen, kansen en risico’s van technologie. Op de website veiliginternetten.nl wordt voorlichting en handelingsperspectief gegeven over het veilig gebruik van een apparaat.

Vraag 1

Bent u bekend met bovenstaand bericht?1

Ja.

Vraag 2

Bent u bekend met het onderzoek van Binnenlands Bestuur en AG Connect naar de kwetsbaarheden in industriële controlesystemen waarmee onder meer rioleringen, sluizen en verkeerslichtsystemen worden aangestuurd? Zo ja, hoe beoordeelt u de bevinding dat deze controlesystemen kwetsbaar zijn voor hackers?

Ja. De beveiliging van dergelijke systemen vereist een andere aanpak dan reguliere IT-systemen. Dit komt door de specifieke risico’s die samenhangen met het toepassingsgebied. Deze systemen hebben een langere levensduur en zijn complexer. Juist daarom is er de laatste jaren extra aandacht voor de beveiliging van operationele technologie, bijvoorbeeld in het programma «Versterken Cyberweerbaarheid in de Watersector». Zie ook het antwoord bij vraag 6.

Vraag 3

Hoe vaak is het in de afgelopen twee jaar binnen Rijkswaterstaat of ProRail voorgekomen dat een succesvolle aanval is gepleegd op de systemen van bediening, besturing en bewaking? Welke maatregelen zijn binnen het Chief Information Security Officer (CISO) domein genomen om inbreuk op vitale systemen in de toekomst te voorkomen?

De Wet beveiliging netwerk- en informatiesystemen (Wbni) verplicht vitale aanbieders en aanbieders van essentiële diensten incidenten of inbreuken met aanzienlijke gevolgen voor de continuïteit van de verleende dienst te melden bij het Nationaal Cyber Security Centrum (NCSC). Er zijn de afgelopen twee jaar geen Wbni-meldingen gedaan door Rijkswaterstaat (RWS). RWS investeert actief in de verbetering van de digitale beveiliging. Zowel via het RWS versterkingsprogramma als ook via het jaarlijkse informatiebeveiligingsbeeld vanuit het CISO-domein worden diverse acties opgesteld en uitgevoerd ten behoeve van de (digitale) veiligheid, zoals uitvoeren van cybertesten als onderdeel van functionele inspectietesten en het oefenen van planvorming tijdens een cybercrisis ProRail heeft systemen voor de besturing van bruggen, tunnels en beveiliging op het spoor. Deze worden (deels) op afstand bestuurd vanuit de Verkeersleiding-posten. Er zijn geen succesvolle (cyber)aanvallen uitgevoerd. Op de essentiële systemen is een zwaar cybersecurity regime van toepassing. Dit regime wordt met regelmaat door externe onderzoeksbureaus getoetst op betrouwbaarheid en werking.

Vraag 4

Klopt het dat de kwetsbaarheden in de controlesystemen onder meer worden veroorzaakt door de afwezigheid van beveiligingsupdates en het gebruik van verouderde besturingssystemen? Zo ja, hoe beoordeelt u dit beleid, zijn hierover afspraken gemaakt met de aanbieders van de besturingssystemen en wat zijn de kosten hiervan op jaarlijkse basis? Deelt u de mening dat een gebrek aan adequate beveiliging van dergelijke systemen kan leiden tot aanzienlijke (nationale) veiligheidsrisico’s met mogelijk ontwrichtende gevolgen?

De door u genoemde kwetsbaarheden die bij Industriële Controle Systemen (ICS) kunnen ontstaan, kunnen vooral benut worden door hackers indien er koppelingen zijn met het internet waardoor systemen op afstand kunnen worden gemanipuleerd, overgenomen of onklaar worden gemaakt. Risico’s van controle-systemen zijn in het algemeen systeem-, organisatie-, locatie- en tijd specifiek en hangen samen met beveiligingsmaatregelen die door de organisatie zijn getroffen.
Ons beleid is erop gericht organisaties bewust te maken van deze kwetsbaarheden, kennis te delen en te waarborgen dat er maatregelen worden genomen om deze nationale risico’s zoveel mogelijk te verkleinen. Het programma «Versterken Cyberweerbaarheid in de Watersector» levert hier een belangrijke bijdrage aan. De uitvoering van het programma wordt bekostigd uit het IenW-budget van de Nationale Cyber Security Agenda (NCSA). Zie voor de inzet van regelgeving ook vraag 6.

Vraag 5

Klopt het dat een goedwillende hacker op afstand het rioleringssysteem van een grote gemeente kon overnemen, dit vervolgens meldde bij de betreffende gemeente, maar het vervolgens maanden duurde voor de benodigde update werd uitgevoerd? Zo ja, hoe beoordeelt u deze gang van zaken? Bent u het eens dat, gezien de aanzienlijke veiligheidsrisico’s van kwetsbaarheden in het systeem, snelheid hier geboden is?

Uit navraag blijkt geen nadere informatie beschikbaar over een casus van een goedwillende hacker die het rioleringssysteem van een grote gemeente kon overnemen.
Voor de aanpak van de veiligheidsrisico’s die volgen uit kwetsbaarheden in een systeem, zie de beantwoording van vraag 4, 6, 7 en 9.

Vraag 6

Kunt u toelichten welk beleid wordt gevoerd ten aanzien van beveiligingsproblemen en in het bijzonder van het updaten van software van industriële besturingssystemen? Zo ja, welke problemen worden hier ondervonden en wordt in samenwerking met experts gezocht naar oplossingen voor deze problemen? Zo nee, waarom niet?

Op 1 juli j.l. is voor alle Aanbieders van Essentiele Diensten (AED’s) binnen het IenW-domein de Regeling beveiliging netwerk- en informatiesystemen IenW (MR)2 in werking getreden om de AED’s meer handvatten te bieden bij de uitvoering van hun zorgplicht, waaronder maatregelen op het gebied van detectie en respons en patchmanagement. Met deze MR wordt ook de ILT in staat gesteld hier goed toezicht op te houden. Het Nationaal Cybersecurity Centrum (NCSC) heeft voor het adequaat patchen van industriële besturingssystemen diverse handreikingen opgesteld 3. Daarnaast wordt er regelmatig door het NCSC en de diverse ministeries, samen met leveranciers gesproken over (de noodzaak van) goed patchmanagement. Hierbij wordt samen gewerkt in diverse initiatieven4, bijvoorbeeld in de Cybersecurity Alliantie.
Al deze maatregelen tezamen borgen dat de betreffende organisaties weerbaarder zijn bij cyberrisico’s: ze hebben inzicht in de mate waarop de maatregelen doeltreffend zijn, de risico’s kunnen beter beheerst worden en ze zijn in staat voortdurend bij te sturen.

Vraag 7

Welke veiligheidseisen worden gesteld bij de inkoop van software en hardware voor industriële besturingssystemen? Wordt een risicoanalyse uitgevoerd bij de aankoop van de betreffende software en wordt regelmatig getest of beiden voldoen aan de dan geldende veiligheidseisen? Zo ja, wat wordt gedaan met de uitkomsten van de risicoanalyses? Zo nee, waarom niet?

Een overheidsorganisatie die ICT-producten en -diensten inkoopt moet de eisen uit de Baseline Informatiebeveiliging Overheid (BIO) vertalen naar inkoop-contracten en afspraken maken over de naleving van die contracteisen. Het uitvoeren van risicoanalyses en testen is hier onderdeel van. De aanscherping van de nationale veiligheidsrisico’s voor inkoop en aanbesteding is eind 2018 geïmplementeerd door de rijksoverheid. Hiermee is het staand beleid vanuit de rijksoverheid dat nationale veiligheidsoverwegingen worden meegewogen bij de inkoop en aanbesteding van producten en diensten. Bij de aanschaf en implementatie van gevoelige apparatuur wordt rekening gehouden met eventuele risico’s in relatie tot de leverancier en met het concrete gebruik van de systemen.

Vraag 8

Wat is de huidige stand van zaken van het uitvoeren van de aanbevelingen die de Algemene Rekenkamer in 2019 heeft gedaan ten aanzien van de cyberbeveiliging van waterwerken? Welke aanbevelingen zijn reeds overgenomen en uitgevoerd en welke nog niet?

Sinds het rapport van de Algemene Rekenkamer «Digitale Dijkverzwaring» uit 2019 heeft er bij Rijkswaterstaat (RWS) een flinke verbeterslag plaatsgevonden. RWS investeert in verbetering van de digitale beveiliging, via het RWS-versterkingsprogramma. Ik heb uw kamer hierover geïnformeerd in 20205 en onlangs over de laatste stand van zaken via mijn brief «Update Versterken Cyberweerbaarheid in de Watersector» op 2 juni 20216. Sindsdien zijn de maatregelen voor procesautomatisering in de «Cybersecurity Implementatie Richtlijn Objecten» waarmee deze op bredere schaal kunnen worden toegepast. Een andere prioritaire maatregel betreft de aansluiting van extra objecten op het Security Operations Centre (SOC)7 van RWS. Het betreft daarbij objecten, zoals bijvoorbeeld bruggen en sluizen,van het Hoofdwatersysteem (HWS), het Hoofdwegennet (HWN) en het Hoofdvaarwegennet (HVWN). Hiermee kunnen kwetsbaarheden eerder gesignaleerd worden en kan er adequaat actie worden genomen om deze te verhelpen.

Vraag 9

In hoeverre worden dreigingsbeelden ingezet en praktisch doorvertaald naar de bescherming van industriële besturingssystemen en in het bijzonder individuele vitale objecten zoals waterkeringen en sluizen?

Dreigingsbeelden worden gedeeld door de veiligheidsdiensten met de betreffende bedrijven en instellingen. Deze maken zelf een doorvertaling naar de systemen in eigen beheer en de organisatie specifieke impact. Vanuit onze beleidsverantwoordelijkheid bieden wij hierbij ondersteuning. Organisaties zijn zelf verantwoordelijk om de juiste maatregelen te implementeren. Waar het aanbieders van essentiële diensten (AED’s) betreft, zien de toezichthouders hierop toe.

Vraag 10

Bent u het eens dat bij het keren en beheren van water de fysieke veiligheid van miljoenen Nederlanders op het spel staat? Zo ja, bent u het dan ook eens dat het niveau van cybersecurity van systemen die rioleringen, bruggen en sluizen aansturen aanzienlijk hoger moet liggen dan nu het geval is? Zo ja, bent u bereid maatregelen te treffen om dit niveau te verhogen? Zo ja, welke? Zo nee, waarom niet?

Ja, ik deel uw mening dat het keren en beheren van water cruciaal is voor de bescherming van Nederland. Daarom is «keren en beheren van de waterkwantiteit» een vitaal proces in categorie A (infrastructuur die bij verstoring, aantasting of uitval ernstige gevolgen heeft op economisch, fysiek of sociaal-maatschappelijk vlak met mogelijke cascade gevolgen). Er wordt hard gewerkt aan het verhogen van het niveau van cyberweerbaarheid van vitale objecten binnen dit proces en deze vallen ook onder de Wbni, zie ook mijn antwoord onder vraag 8.
Verder heb ik vanuit mijn systeemverantwoordelijkheid aandacht voor de cybersecurity van systemen die riolering, bruggen en sluizen aansturen. Daarom werken we samen met decentrale overheden om ook hier de cyberweerbaarheid te verhogen en de Nederlandse infrastructuur blijvend te beschermen.

Vraag 1

Hoe beoordeelt u het feit dat verschillende gemeenten zoals Hof van Twente afgelopen jaren slachtoffer zijn geworden van cyberaanvallen waarbij veel gevoelige persoonsgegevens zijn buitgemaakt?1

Iedere digitale aanval op een overheidsorganisatie is er één te veel. De realiteit is dat digitale dreigingen toenemen. Vanuit mijn stelselverantwoordelijkheid voor de digitale overheid stel ik kaders en ondersteun ik waar nodig om het openbaar bestuur digitaal veilig te laten functioneren.

Vraag 2

Hoe beoordeelt u het feit dat uit onderzoek blijkt dat een groot deel van de gemeenten nog geen draaiboek (protocol) heeft in het geval van een digitale aanval? Hoe beoordeelt u het feit dat gemeenten als gevolg hiervan geen kennis en kunde in huis hebben om de benodigde stappen te zetten na een digitale aanval en om de opgelopen schade te mitigeren?2

Ik deel het beeld dat op het terrein van informatieveiligheid binnen en buiten de overheid veel werk te doen is. De digitale dreiging is groeiende en alle organisaties wereldwijd kampen met dit vraagstuk. Het is een breed maatschappelijk vraagstuk waar naast gemeenten, ook andere publieke organisaties mee kampen.
Verder deel ik de mening dat overheidsorganisaties voorbereid moeten zijn op digitale aanvallen. Inderdaad zijn aanvallen nooit 100% te voorkomen. Vandaar dat ik uw Kamer graag wijs op de Baseline Informatiebeveiliging Overheid (BIO)3. Dit is het algemene basisnormenkader voor informatieveiligheid voor de gehele overheid, waarin ook eisen en maatregelen zijn opgenomen over het beheer van informatiebeveiligingsincidenten. Concreet stelt de BIO in hoofdstuk 16 «Beheer van informatiebeveiligingsincidenten» onder meer verplicht dat er verantwoordelijkheden en procedures tot op directieniveau zijn vastgesteld voor een snelle, doeltreffende en ordelijke respons op informatiebeveiligingsincidenten. Er worden eisen gesteld aan het rapporteren van incidenten. Gezien het belang ervan zijn deze eisen in de BIO, conform de systematiek van de BIO4, nader vertaald in maatregelen zoals de verplichting een intern meldloket te hebben met vastgestelde afhandelingsprocedures. En de meldingsprocedure moet voor iedereen in de organisatie kenbaar zijn. Ook beschrijft de BIO hoe afhankelijk van de ernst van een incident verder moet worden gereageerd. Draaiboeken en protocollen zijn daarmee impliciet onderdeel van een totaalpakket van de verplichtingen en aan maatregelen, die voortvloeien uit hoofdstuk 16 van de BIO.
Ik deel dan ook het standpunt dat het hebben van draaiboeken en protocollen van belang is om snel in te kunnen spelen op digitale ontwrichting. Gemeenten zijn verantwoordelijk voor hun informatieveiligheid binnen de geldende kaders, ook voor het opstellen van draaiboeken en protocollen voor incidenten. Het college van burgemeester & Wethouders draagt de eindverantwoordelijkheid voor hun gemeente en de gemeenteraad controleert.
Digitale aanvallen zijn niet allemaal hetzelfde. De kennis en kunde die nodig is om de nodige stappen te zetten, verschilt per aanval. Gemeenten kunnen indien nodig ondersteuning krijgen van de Informatiebeveiligingsdienst (IBD) van de Vereniging Nederlandse Gemeenten (VNG). Vanuit de kaderstellende en ondersteunende rol van BZK voert het Centrum Informatiebeveiliging een Privacybescherming (CIP) sinds 2019 een overheidsbreed ondersteuningsprogramma uit. Het voornaamste doel hiervan is adviezen en ondersteuningsmiddelen aanreiken aan overheden, gericht op het geïmplementeerd krijgen van de BIO.
Ten slotte maak ik u graag attent op de jaarlijkse overheidsbrede cyberoefening en de bijbehorende webinars5 die erop zijn gericht op de digitale weerbaarheid van de overheid te vergroten. Aan deze oefening nemen veel verschillende overheidspartijen deel. De laatste cyberoefening met meer dan 1000 deelnemers vond op 1 november plaats.

Vraag 3

Hoe beoordeelt u het feit dat er wetenschappelijk en maatschappelijk consensus bestaat over de meerwaarde van een cyber protocol/draaiboek in het geval van een digitale aanval waarbij handelingsperspectief kan worden geboden aan organisaties en digitale aanvallen sneller kunnen worden verholpen?

Zie antwoord vraag 2.

Vraag 4

Bent u het met ons eens dat digitale aanvallen nooit honderd procent voorkomen kunnen worden, maar dat het hebben van een cyber protocol/draaiboek indien een aanval zich voordoet wel van essentieel belang is om gemeentes de juiste stappen te laten zetten om zo goed mogelijk om te gaan met digitale aanvallen en om de schade zoveel mogelijk te beperken? Zo ja, bent u het dan ook eens dat het hebben van een cyber protocol/draaiboek een belangrijk hulpmiddel is in het zo goed mogelijk omgaan met digitale aanvallen? Zo nee, waarom niet?

Zie antwoord vraag 2.

Vraag 5

Bent u het met ons eens dat het hebben van een cyber protocol/draaiboek als een belangrijk aanvullend instrument kan worden in gezet in een breder pakket van bestaande maatregelen tegen digitale aanvallen? Zo ja, bent u alsnog bereid om de aangenomen motie Yesilgöz-Zegerius (Kamerstuk 26 643, nr. 753) uit te voeren en dus in samenwerking met de Vereniging Nederlandse Gemeenten (VNG) en de Informatiebeveiligingsdienst (IBD) cyber protocollen/draaiboeken op te stellen om gemeentes beter voor te bereiden op digitale aanvallen? Zo nee, waarom niet?

In mijn reactiebrief6 op de motie Yesilgöz-Zegerius7 heb ik aangegeven hoe ik uitvoering geef aan de motie. Ik herhaal hier kort wat ik in mijn reactiebrief heb gesteld, namelijk dat ik in mijn beleid niet inzet op één cyberverdedigingsprotocol voor alle gemeenten, omdat de ene situatie niet de andere is. Hoe er daadwerkelijk moet worden gehandeld is weliswaar context-afhankelijk, maar wel onderworpen aan eisen. Zoals ik hierboven heb aangegeven stelt de BIO eisen aan het afhandelen van informatiebeveiligingsincidenten met inbegrip met vastgestelde procedures.
Naar aanleiding van het artikel van AG Connect wil ik hieraan nog een paar opmerkingen toevoegen. Ten eerste: informatieveiligheid is een gezamenlijke verantwoordelijkheid. Ik noemde eerder dat informatieveiligheid bij gemeenten onder de eindverantwoordelijkheid van het College van B&W valt. Het is van belang dat waar dat niet of onvoldoende gebeurt, zij hun verantwoordelijkheid nemen en gaan uitoefenen; de gemeenteraad dient hier ook op toe te zien. Gemeenten worden hierbij ondersteund door de VNG en de IBD voor gemeenten.
Ik ondersteun dit door de controlerende taak (het horizontale toezicht) van de gemeenteraad te versterken met onder andere de aanpak Eenduidige Normatiek Single Information Audit (ENSIA), waarover uw Kamer is geïnformeerd op 18 maart jl. in de Voortgangsbrief Informatieveiligheid.8 ENSIA heeft tot doel te komen tot een zo effectief en efficiënt mogelijk ingericht verantwoordingsstelsel voor informatieveiligheid bij gemeenten. De focus van ENSIA ligt op verantwoording richting de gemeenteraad, het hoogste politieke orgaan van de gemeente. Echter, omdat gemeenten ook verantwoording afleggen aan de rijksoverheid waar het gaat om het gebruik van landelijke voorzieningen, helpt ENSIA de gemeenten in één keer verantwoording af te leggen over informatieveiligheid gebaseerd op de normen die gelden voor de Nederlandse overheid, de BIO. Met ENSIA sluit de verantwoording over informatieveiligheid aan op de planning- en controlcyclus van de gemeente. Hierdoor heeft het gemeentebestuur meer overzicht over de informatieveiligheid van zijn gemeente en kan het beter sturen en verantwoording afleggen aan de gemeenteraad.
Ook de VNG ziet het belang en de urgentie van adequate digitale weerbaarheid toenemen. Ze biedt op het terrein van informatieveiligheid de gemeenten daarbij op allerlei wijzen ondersteuning, zoals ook op het terrein van incidentmanagement. VNG en IBD trekken lessen uit incidenten en stellen deze lessen openbaar beschikbaar. Dit geldt onder andere voor de geleerde lessen van de door u aangehaalde incidenten, de hacks bij de gemeenten Lochem en Hof van Twente en de Citrix-problematiek.
De IBD heeft voor gemeenten een aantal producten beschikbaar gesteld die ingaan op het voorkomen van digitale incidenten, maar ook op de wijze waarop een incident kan worden afgewikkeld. Het incident bij de gemeente Hof van Twente heeft onder andere geleid tot de ontwikkeling van het «kaartje in de meterkast» voor gemeentesecretarissen9. Dit document helpt de gemeente om vooraf de juiste stappen te bepalen in geval van een incident. Via de vakvereniging worden gemeentesecretarissen gewezen op dit initiatief.
Om gemeenten te helpen met het verhogen van de digitale weerbaarheid heeft de IBD een ondersteuningspakket ontwikkeld voor de processen en maatregelen uit de BIO met de hoogste prioriteit. In dit ondersteuningspakket wordt naast preventieve maatregelen en bewustwording ook ingezet op bedrijfscontinuïteitbeheer (BCM) en zijn concrete handreikingen voor incident en responsmanagement beschikbaar voor alle gemeenten. Zoals gesteld in mijn reactie op de motie Yesilgöz-Zegerius worden de Veiligheidsregio’s betrokken bij crisis en incidenten volgens de Gecoördineerde Regionale Incidentbestrijdingsprocedure (GRIP) en kan opgeschaald worden naar de nationale crisisstructuur.
Met dit ondersteuningspakket zie ik dat de gemeenten voortvarend bezig zijn. Tegelijkertijd ben ik met de VNG, de rijksoverheid, de Unie van Waterschappen en het Interprovinciaal overleg doorlopend in gesprek om gezamenlijk de digitale weerbaarheid van de overheid te versterken tegen de telkens wijzigende dreigingen.

Vraag 1

Bent u bekend met het bericht «Psychische problemen HAN-studenten ook op straat na grote hack»?1

Ja.

Vraag 2

Is het waar dat de hogeschool van Arnhem en Nijmegen (HAN) vorige maand is aangevallen met gijzelsoftware? Zo ja, kunt u een chronologisch feitenrelaas schetsen van deze gebeurtenis en kunt u hierbij specifiek ingaan op de oorzaak van de cyberaanval? Zo nee, waarom niet? Deelt u de mening dat het wenselijk is om de kennis over het ontstaan van hack te delen met andere onderwijsinstellingen zodat zij hier lering uit kunnen trekken?

De HAN University of Applied Sciences (HAN) is geconfronteerd met een hack. De HAN heeft mij laten weten dat een hacker via een webformulier toegang heeft gekregen tot een server van de HAN waarop veel gegevens stonden. Van gijzelsoftware is in dit geval géén sprake. Voor een chronologisch feitenrelaas verwijs ik naar de website van de HAN, www.han.nl/datalek waar via een liveblog de ontwikkelingen in de tijd te volgen zijn. Het is van groot belang om de kennis over het ontstaan van hacks te delen met andere onderwijsinstellingen, aangezien voor een effectieve bestrijding van cyberrisico’s samenwerking en continue kennis-en informatiedeling cruciaal is. Dat is ook in dit geval gebeurd. Zie ook het antwoord op vraag 5.

Vraag 3

Is het waar dat bij deze hack zeer gevoelige gegevens zoals medische en persoonsgegevens van studenten van de HAN buit zijn gemaakt als gevolg van de cyberaanval? Zo ja, kunt u een overzicht geven van de omvang van deze gegevens en welke gegevens precies buit zijn gemaakt? Zo nee, waarom niet?

De HAN heeft mij laten weten dat de hacker toegang heeft gehad tot een omgeving waar veel persoonsgegevens beschikbaar waren en heeft op 5 oktober een overzicht van de gelekte data gepubliceerd op haar website han.nl/datalek. Dit overzicht is als bijlage toegevoegd aan een persbericht dat op dezelfde dag is verschenen. Uit het overzicht blijkt dat het in 95% van de gevallen gaat om algemene persoonsgegevens zoals adresgegevens of telefoonnummers. Van een klein percentage van de mogelijk getroffen gegevens (3%) gaat het om meer persoonlijke gegevens waaronder informatie over de reden van studievertraging of bijzondere omstandigheden waar de hogeschool rekening mee wil houden.

Vraag 4

Is de datadiefstal reeds gemeld bij de Autoriteit Persoonsgegevens (AP)? Zo ja, is er verder contact geweest tussen de HAN en de AP? Zo nee, waarom niet?

Ja. De HAN heeft zodra zij weet had van het datalek direct de AP geïnformeerd. Deze (voorlopige) melding is op 1 september door de Functionaris Gegevensbescherming van de HAN gedaan. Zodra er nieuwe ontwikkelingen waren en de voorlopige melding kon worden aangevuld is de AP daarvan steeds op de hoogte gebracht.

Vraag 5

Heeft de HAN ten tijde van de aanval met gijzelsoftware in contact gestaan met het sectorale computer emergency response team SURFcert ter (technische) ondersteuning? Zo ja, heeft de HAN dit contact geïnitieerd? Zo ja, wat is er uit dit contact gekomen qua ondersteuning vanuit SURFcert?

De HAN heeft mij laten weten dat er van gijzelsoftware géén sprake is geweest (zie vraag 2). Zodra de HAN weet had van het datalek heeft de HAN op 1 september contact gezocht met SURFcert. SURFcert heeft de HAN ondersteund met het analyseren van het incident. De Indicators of Compromise (IOCs) zijn daarbij gedeeld met het SURFcert en de daarbij aangesloten instellingen.

Vraag 6

Is er een dialoog geweest tussen de HAN en de hacker in kwestie over het wel of niet betalen van het geëiste losgeld bedrag? Zo ja, heeft de HAN de politie ingeschakeld bij het voeren van deze dialoog? Zo nee, waarom niet?

De HAN heeft mij laten weten dat er contact is geweest met de hacker. De HAN is niet ingegaan op de eisen van het losgeld. Zodra de HAN kennis had van het datalek heeft zij direct contact gezocht met de politie en ook aangifte gedaan.

Vraag 7

Is het waar dat de gestolen data zijn gepubliceerd? Zo ja, waar en zijn de studenten en medewerkers hiervan op de hoogte gesteld? Zo nee, waarom niet?

Voor zover bekend zijn er geen data gepubliceerd. Omdat niet bekend is welke data er exact zijn buitgemaakt heeft de HAN vanuit het oogpunt van zorgvuldigheid en voorzorg besloten om iedereen van wie mogelijk persoonsgegevens zijn buitgemaakt te informeren.

Vraag 8

Kunt u een inschatting maken van de (immateriële) schade en kosten die deze cyberaanval tot nu heeft veroorzaakt?

Deze inschatting is vooralsnog niet te geven. De werkzaamheden bij de HAN lopen nog door. Hier zijn naast eigen medewerkers ook externe deskundigen bij betrokken.

Vraag 9

Is het waar dat de HAN een «makkelijk doelwit» is genoemd door de hacker in kwestie? Zo ja, hoe beoordeelt u deze uitspraak? Deelt u de mening dat het zeer zorgelijk is dat een Nederlandse hoger onderwijsinstelling op deze wijze wordt bestempeld door cybercriminelen?

De uitspraak van de hacker is opgetekend door een journalist. Ik kan daarover niet oordelen. De HAN heeft in haar bedrijfsvoering veel aandacht voor IT veiligheid. Dat blijkt onder andere uit de aanwezigheid van diverse preventieve, detectieve, responsieve en correctieve maatregelen. Voorbeelden daarvan zijn de regelmatige uitvoering van penetratietesten o.a. door ethical hackers, de aansluiting op de Security Operations Center oplossing geboden door het SURFsoc en de aanwezigheid van offline back-up faciliteiten. Daarnaast wordt met enige regelmaat het bewustzijn van medewerkers en studenten rond informatiebeveiliging verhoogd middels campagnes. Ook is deelgenomen aan de landelijke OZON-oefening van SURF op 18 maart jl. Middels de planning & control cyclus wordt invulling gegeven aan de verdere groei in volwassenheid op het gebied van informatiebeveiliging, om zo in te kunnen spelen op het continu veranderde cyberdreigingslandschap waar de onderwijssector mee te maken heeft.

Vraag 10

Deelt u de mening dat deze cyberaanval en in het bijzonder het buit maken van gevoelige medische gegevens van ruim 2000 studenten een zeer grote inbreuk maakt op de privacy van de studenten in kwestie? Deelt u de mening dat het voor studenten die slachtoffer zijn geworden, wenselijk is om ondersteuning te krijgen over eventuele gevaren met betrekking tot identiteitsfraude en hoe om te gaan met een eventuele psychische impact die bij het prijsgegeven van dit type gevoelige gegevens komt kijken, bijvoorbeeld van de Fraudehelpdesk? Zo ja, kunt u dit meegeven aan het bestuur van de HAN? Zo nee, waarom niet?

Persoonsgegevens en bijzondere persoonsgegevens worden beschermd via de daarvoor geldende wetgeving (AVG). Dat er gegevens van medische aard betrokken zijn bij het datalek is uiteraard bijzonder te betreuren. De HAN heeft alle mogelijk getroffen personen van het datalek geïnformeerd, waarbij de personen van wie mogelijk gevoelige gegevens zijn betrokken als eerste zijn geïnformeerd. Een team van professionals heeft vanaf het moment van informeren klaargestaan om eventuele vragen te beantwoorden. Wanneer op basis van reacties het vermoeden bestaat dat er extra nazorg nodig is, worden mensen gewezen op de diverse voorzieningen die de HAN heeft op dit gebied zoals studentpsychologen. Ook monitort de HAN of de verdere opvolging wellicht bijsturing behoeft.

Vraag 11

Deelt u de mening dat onderwijsinstellingen meer moeten doen om dergelijke cyberaanvallen te voorkomen? Zo ja, deelt u dan ook de mening dat bijvoorbeeld moet worden gekeken naar minimale beveiligeisen om de digitale hygiëne op orde te krijgen? Zo ja, hoe komt dit overeen met uw eerdere uitspraken dat de verantwoordelijkheid van goede bedrijfsvoering bij de instelling zelf ligt en ze in beginsel dus zelf verantwoordelijkheid zijn om de eigen kwetsbaarheden in de cyberveiligheid te mitigeren? Zo nee, waarom niet?

Hogescholen hebben afgelopen jaren op grond van toenemende dreiging hun aanpak geïntensiveerd. De hack bij de Universiteit Maastricht, maar ook andere incidenten, heeft de sector doen beseffen hoe belangrijk digitale veiligheid en een goede voorbereiding is. In mijn brief van 28 september jl. heb ik uiteengezet welke maatregelen de sector en ik reeds getroffen hebben en welke op stapel staan. 2

Vraag 12

Kunt u bovenstaande vragen voor het nog in te plannen commissiedebat «Digitalisering in het onderwijs» beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht ««Hoe China met de Nederlandse politie meekijkt»»?1

Ja.

Vraag 2

Klopt het dat de Nederlandse politie drones van het Chinese bedrijf Da Jiang Innovations (DJI) inzet? Zo ja, voor welke taken precies? Waarom is er gekozen voor drones van dit bedrijf?

Ja. De politie heeft bij de aanschaf van de drones, via een security check, een bewuste afweging gemaakt om de drones niet voor gevoelige operaties, maar alleen voor reguliere processen in te zetten. Dat wil zeggen: wel voor forensische opsporing, verkeersongevallenanalyse en openbare orde en veiligheid, maar niet operaties waarbij vertrouwelijke informatie wordt verwerkt.
De politie besteedt structureel aandacht aan de bescherming en beveiliging van gegevens en veilige inkoop. De drones zijn aangeschaft via wettelijk voorgeschreven inkoopprocedures op grond van de Aanbestedingswet 2012. De Aanbestedingswet 2012 biedt een aantal wettelijke gronden om een inschrijver uit te sluiten. Gezien het doel van de inzet van de drones was er geen reden om een beroep te doen op een van de uitsluitingsgronden. De Aanbestedingswet schrijft voor dat als er meerdere partijen zijn die voldoen aan de gestelde eisen, er moet worden gekozen voor de biedende partij met de beste prijs-kwaliteitverhouding.

Vraag 3

Is de aanschaf en het gebruik van drones van Da Jiang Innovations door de politie voorafgegaan door een risico- en veiligheidsanalyse? Zo ja, zijn daarbij (digitale) veiligheids- en privacyexperts geraadpleegd over het verzamelen van persoonsgegevens? Zo nee, waarom niet?

Zoals gezegd heeft de politie bij de aanschaf van de drones een security check uitgevoerd. Daarnaast is tijdens de projectfase een gegevensbeschermingseffectbeoordeling (GEB) gedaan. Uit deze beoordeling is niet gebleken dat er sprake is van verwerking van gegevens met een hoog risico. Er wordt alleen beeldmateriaal vastgelegd, dat versleuteld wordt verzonden. Niet kan worden uitgesloten dat deze beelden, ondanks de vastgelegde schriftelijke afspraken met de leverancier, toch bij DJI en/of Chinese overheid terecht komen, omdat DJI ook (naast de politie zelf) in het bezit is van de sleutel. Om deze reden heeft de politie mitigerende maatregelen genomen. Zo worden voor operaties waar vertrouwelijkheid gegevens worden verwerkt geen DJI-producten ingezet, maar andere vormen van luchtsteun.

Vraag 4

Klopt het dat de Nederlandse inlichtingendiensten hebben geconstateerd dat China een offensief cyberprogramma heeft tegen de Nederlandse nationale belangen? Hoe beoordeelt u het gebruik van drones van Da Jiang Innovations in dat licht? Deelt u de mening dat het onwenselijk is om voor politiewerk afhankelijk te zijn van Chinese hardware/IT-producten?

In openbare stukken zoals de jaarverslagen van de AIVD en de MIVD en het Dreigingsbeeld Statelijke Actoren (2021) geven de inlichtingen- en veiligheidsdiensten en de NCTV aan dat China één van de staten is waarvan is onderkend dat ze een offensief cyberprogramma hebben dat gericht is tegen Nederlandse belangen. De Chinese overheid gebruikt cyberoperaties om inlichtingen te verzamelen ter ondersteuning van haar economische, militaire en politieke doelstellingen.
In het algemeen geldt dat het afhangt van het inzetdoel of het gebruik van een bepaalde technologie veilig (genoeg) is en of eventuele risico’s voor de nationale veiligheid beheersbaar kunnen worden gemaakt. Uitgangspunt is dat genomen maatregelen proportioneel zijn. Dit vergt een gedetailleerde analyse van de te beschermen belangen, de dreiging en de (huidige) weerbaarheid. De politie en Rijswaterstaat hebben beide een dergelijke analyse gemaakt voordat tot de aanschaf van de drones is over gegaan. Daarnaast is door de politie de afweging gemaakt de drones niet in te zetten voor processen waarbij het gaat om vertrouwelijke informatie.

Vraag 5

Klopt het dat Chinese bedrijven volgens de Chinese wet verplicht zijn om data af te staan aan hun overheid? Deelt u de mening dat het uit veiligheidsoogpunt zeer onwenselijk is dat er door de Nederlandse overheid IT-producten worden afgenomen bij een bedrijf dat data deelt met de Chinese overheid?

In algemene zin kan worden gesteld dat de Chinese overheid nauw betrokken is bij het Chinese bedrijfsleven, zowel via staatsbedrijven als private bedrijven. China kent daarnaast wetgeving die (buitenlandse) bedrijven dwingt om gegevens te delen met de overheid. Dit wordt ook beschreven in de beleidsnotitie «Nederland-China: een nieuwe balans».2
Zoals in het Dreigingsbeeld Statelijke Actoren (DBSA)3 beschreven, is een toenemende afhankelijkheid van buitenlandse technologie een gegeven, aangezien geen land beschikt over alle kennis en productiemiddelen om technologisch onafhankelijk te opereren. Wel bestaat het risico dat met technologische toeleveringen de digitale spionage- en sabotagemogelijkheden toenemen.
Om de weerbaarheid tegen deze dreiging te vergroten werkt de Minister van Justitie en Veiligheid samen met partners binnen en buiten de overheid aan de aanpak statelijke dreigingen, waarover uw Kamer op 3 februari jl. de laatste stand van zaken heeft ontvangen.4 Bij elke casus moet worden bezien hoe risico’s voor de nationale veiligheid beheersbaar kunnen worden gemaakt. Uitgangspunt is dat maatregelen die hiertoe genomen worden proportioneel zijn. Dit vergt een gedetailleerde analyse van de te beschermen belangen, de dreiging en de (huidige) weerbaarheid.
Als hulpmiddel bij het uitvoeren van een dergelijke risicoanalyse en het nemen van eventuele mitigerende maatrelen is eind 2018 instrumentarium ontwikkeld dat organisaties helpt bij het meewegen van nationale veiligheidsrisico’s bij de inkoop- en aanbesteding van producten en diensten. Het instrumentarium is ter beschikking gesteld binnen de rijksoverheid en medeoverheden, alsmede aan organisaties die onderdeel zijn van de vitale processen. Behoeftestellende partijen zijn zelf verantwoordelijk voor de toepassing van dit instrumentarium en het meewegen van nationale veiligheidsrisico’s.
De DJI-drones die Rijkswaterstaat op dit moment gebruikt zijn in 2017 aangeschaft ten behoeve van een pilot. Het genoemde instrumentarium was toen nog niet beschikbaar. Voor de politie geldt dat toen de inkoop startte, dit instrumentarium nog niet was geïmplementeerd in de inkoopprocedures. Ook achteraf gezien – wanneer het genoemde instrumentarium wel zou zijn gebruikt – zou de uitkomst van het inkoopproces niet anders zijn geweest. Rijkswaterstaat en de politie verwerken immers geen vertrouwelijke gegevens met de DJI-drones.
Rijkswaterstaat en de politie maken voor de lopende en toekomstige aanbestedingen met een mogelijk risico voor de nationale veiligheid wel gebruik van het instrumentarium.

Vraag 6

Wordt er bij het inzetten van drones van Da Jiang Innovations door de politie gebruikgemaakt van eigen software of gebruikt de politie DJI-bedrijfssoftware? Bent u op de hoogte van de veiligheidsrisico’s van het gebruik van DJI-software? Gebruikt de politie speciale overheidsdrones?

De politie gebruikt de besturingssoftware van DJI, maar er wordt geen gebruik gemaakt van de DJI-besturingsapp. De politie gebruikt geen speciale overheidsdrones. Voor het overige verwijs ik naar het antwoord op vragen 5 en 7.

Vraag 7

Bent u bereid om preventieve maatregelen te nemen die de risico’s op Chinese spionage beperken? Bent u bereid hiervoor onderzoek te laten doen naar het gebruik door de politie van drones van Da Jiang Innovations? Zo nee, waarom niet?

Zoals ook in de beantwoording van vraag 5 omschreven, bestaat het risico dat met technologische toeleveringen digitale spionage- en sabotagemogelijkheden toenemen.
Risico’s voor de nationale veiligheid kunnen met name ontstaan wanneer deze technologie de Nederlandse vitale infrastructuur raakt, of wanneer deze technologie raakt aan gevoelige kennis en informatie. Zoals gezegd is dit in het geval van de politie niet het geval. Een aanvullend risico kan ontstaan als er betrokkenheid is van leveranciers uit bepaalde landen die via nationale wet- en regelgeving gedwongen kunnen worden tot medewerking aan inlichtingenactiviteiten. De risico’s voor de nationale veiligheid worden verder vergroot als het landen betreft die een offensief cyberprogramma voeren tegen de Nederlandse belangen en wanneer (technische) mogelijkheden om risico’s te adresseren niet voorhanden zijn.
Bij elke casus moet worden bezien hoe eventuele risico’s voor de nationale veiligheid beheersbaar kunnen worden gemaakt. Uitgangspunt is dat maatregelen die hiertoe genomen worden proportioneel zijn. Dit vergt een gedetailleerde analyse van de te beschermen belangen, de dreiging en de (huidige) weerbaarheid.
Ik zie, gezien de stappen die de politie al heeft gezet, geen aanleiding om een onderzoek in te stellen.

Vraag 8

Hoe beschouwt u het feit dat Defensie vanwege veiligheidsrisico’s reeds geen gebruik meer maakt van DJI-drones? Hoe beschouwt u in dat licht het gebruik van DJI-producten door de politie?

Het hangt af van het inzetdoel of een bepaald type drone veilig (genoeg) is. Het uitgangspunt is dat eventuele risico’s per casus in kaart moeten worden gebracht. Defensie heeft besloten om geen gebruik meer te maken van Chinese drones voor operationele taken, maar wel voor luchtopnames van trainingen of evenementen. Defensie heeft daarin haar eigen afweging gemaakt.
Bij de aanschaf van de drones heeft de politie, via een security check, een bewuste afweging gemaakt om drones niet voor gevoelige operaties, maar alleen voor reguliere processen in te zetten. Dat wil zeggen: wel voor forensische opsporing, verkeersongevallenanalyse en openbare orde en veiligheid, maar niet operaties waarbij vertrouwelijke informatie wordt verwerkt.

Vraag 9

Bent u bekend met het feit dat drones van DJI sinds 2020 niet meer gebruikt worden door de Verenigde Staten vanwege veiligheidszorgen en dat Japan dit overweegt? Hoe beoordeelt u dit? Heeft u hierover contact gehad met de VS en Japan? Zo nee, bent u bereid hierover contact op te nemen?

Nederland is eind 2020 door de VS geïnformeerd dat DJI op de entity list van het Bureau of Industrial Security van het Department of Commerce is geplaatst. In de publiekelijk beschikbare listing geven de VS aan dat zij DJI zien als een mogelijk risico voor de Amerikaanse buitenlandse politieke belangen.5 Hierbij wijzen zij op de rol van o.a. DJI bij het mogelijk maken van mensenrechtenschendingen in China door hoogtechnologische surveillance en het exporteren van deze technologie naar derde landen waar repressieve regimes aan de macht zijn.
Japan verbiedt geen producten van specifieke landen of bedrijven maar heeft aanbestedingsrichtlijnen opgesteld voor gebruik van IT-producten door overheidsinstanties. Wanneer deze worden ingezet voor publieke veiligheid en orde, kritieke infrastructuur en het uitvoeren van reddingsacties, dient de Japanse overheid mogelijke risico’s in kaart te brengen. Sinds april 2021 vallen drones ook binnen deze richtlijnen. Nadien zijn drones die als «hoog risico» worden aangemerkt zo snel mogelijk vervangen. Ook worden maatregelen getroffen om dataveiligheid van drones te garanderen.
Nederland ziet het gebruik van Chinese technologie niet als absoluut risico. Het inzetdoel van de technologie en de mogelijkheid om mitigerende maatregelen te treffen zijn bepalend of het verantwoord is om gebruik te maken van een bepaalde technologie.

Vraag 10

Is er binnen de NAVO of de EU gesproken over de veiligheid van het gebruik van deze drones? Gebruiken NAVO-bondgenoten en EU-lidstaten deze drones voor politie-, militaire of andere doeleinden?

Overwegingen rondom de veiligheid van het gebruik van dit type drones is een nationale aangelegenheid waarover in NAVO-verband niet wordt gesproken. Ook in EU-verband is niet gesproken over het gebruik van dit type drones. Het is het kabinet niet bekend welke andere NAVO-bondgenoten en EU-lidstaten deze drones gebruiken. NAVO zelf beschikt in ieder geval niet over dit type drones.

Vraag 11

Zijn er Europese landen die drones van een bedrijf uit een EU-lidstaat of OESO-land inzetten voor vergelijkbare taken als waar de Nederlandse politie de DJI-drones voor inzet? Zo ja, kunt u aangeven welke landen dit zijn en uit welke landen de bedrijven komen die ook drones in deze categorie produceren?

Het is het kabinet niet bekend welke drones er in andere Europese landen worden gebruikt.

Vraag 12

Hoe beoordeelt u het risico dat China de data van drones gebruikt voor het analyseren van Nederlandse (vitale) infrastructuur? Deelt u de inschatting van experts dat deze informatie zeer interessant is voor China?

Zoals gezegd worden de drones door de politie niet ingezet bij processen waarbij het gaat om vertrouwelijke informatie of vitale infrastructuur.
Om de weerbaarheid tegen deze dreiging te vergroten werkt de Minister van Justitie en Veiligheid samen met partners binnen en buiten de overheid aan de aanpak statelijke dreigingen, waarover uw Kamer op 3 februari jl. de laatste stand van zaken heeft ontvangen.6
Zoals ook in mijn antwoord op vraag 4 gegeven moet bij elke casus worden bezien hoe eventuele risico’s voor de nationale veiligheid beheersbaar kunnen worden gemaakt. Uitgangspunt is dat maatregelen die hiertoe genomen worden proportioneel zijn. Dit vergt een gedetailleerde analyse van de te beschermen belangen, de dreiging en de (huidige) weerbaarheid. Verder verwijs ik u graag naar het antwoord op vraag 7.

Vraag 13

Ziet u een gevaar van het gebruik van DJI-drones voor bijvoorbeeld Oeigoeren in Nederland, gezien het feit dat China gezichtsherkenningssoftware gebruikt om Oeigoeren te onderdrukken en ook de diaspora in Nederland onder druk zet?

Er zijn voor zover mij bekend momenteel geen aanwijzingen dat China de DJI-drones kan en zal gebruiken om bepaalde minderheidsgroepen in Nederland te monitoren. Mocht dit in de (nabije) toekomst wel het geval zijn, dan is er naar het oordeel van het kabinet sprake van ongewenste buitenlandse inmenging en heeft het kabinet verschillende instrumenten tot haar beschikking, zoals uiteengezet in de brief van 16 maart 2018 over de aanpak ongewenste buitenlandse inmenging.7
De politie kan tijdens demonstraties DJI-drones inzetten ten behoeve van de handhaving van de openbare orde en veiligheid. Tot op heden heeft de politie drones ingezet tijdens Coronaprotesten, Black Lives Matter-demonstraties, boerenprotesten en het Woonprotest in Rotterdam. In het kader van de mitigerende maatregelen rondom het gebruik van Chinese drones heeft de korpsleiding van de politie besloten om bij bijvoorbeeld demonstraties voor de rechten van Oeigoeren andere luchtsteunmiddelen te gebruiken, bijvoorbeeld een helikopter of een militaire drone.

Vraag 14

Heeft u in algemene zin diplomatiek contact met China over de dataveiligheid van Chinese technologie voor Nederlandse gebruikers? Zo ja, wat is hierbij de Nederlandse inzet?

Ja, Nederland spreekt in verschillende verbanden, waaronder binnen de VN, met China over dataveiligheid. Centraal hierbij staat de bescherming van privacy, zoals de naleving van de Algemene Verordening Gegevensbescherming (AVG), bescherming van mensenrechten en het tegengaan van ongepaste toegang van overheden tot datagegevens. Zoals aangegeven in de notitie «Nederland-China: Een nieuwe balans» staat het kabinet achter striktere handhaving en sterker uitdragen van bestaande standaarden en normen, zoals de Europese regelgeving op het gebied van data, privacy en productveiligheid. Wat Nederland betreft dient China zich eveneens aan deze afspraken te conformeren.

Vraag 1

Bent u bekend met het bericht «Litouwen adviseert consument geen Xiaomi-telefoons meer te kopen»?1

Ja.

Vraag 2

Hoe beoordeelt u het zorgelijke feit dat overheidsinstanties in Litouwen consumenten adviseren om geen smartphones van het Chinese merk Xiaomi meer te kopen of te gebruiken in verband met de mogelijke aanwezigheid van censuursoftware?

Het Litouwse Ministerie van Defensie concludeert op basis van eigen onderzoek dat onderzochte smartphones van diverse Chinese fabrikanten kwetsbaarheden en risico’s in zich houden, waaronder de in het nieuwsartikel aangehaalde bevinding van «censuursoftware». Het gaat daarbij specifiek om een lijst van termen die in China gevoelig liggen. De Litouwse overheid concludeert dat deze lijst op Europese smartphones aanwezig is en periodiek geactualiseerd wordt, maar dat er op de in de EU verkochte smartphones geen censuur wordt toegepast.
De overheid van Litouwen verbindt aan het rapport het advies om geen telefoons van Chinese fabrikanten meer te kopen en in gebruik zijnde telefoons te vervangen. Ieder land maakt hierin een eigen afweging. Voor Nederland is er op dit moment geen aanleiding om een dergelijk zwaarwegend advies af te geven. Wel ziet het kabinet dat het daadwerkelijk toepassen van dergelijke software inbreuk kan maken op de grondrechten van gebruikers, zie hiervoor het antwoord op vraag 6.

Vraag 3

Zijn deze signalen bekend bij het Nationaal Cyber Security Centrum (NCSC)? Zo ja, welke actie is hierop tot heden genomen?

Ja, de signalen zijn bekend bij het NCSC. Het NCSC informeert en adviseert zijn doelgroep waar relevant over cybersecurityrisico’s.

Vraag 4

Hoeveel Xiaomi telefoons zijn in Nederland in gebruik? Maken Nederlandse overheidsinstanties gebruik van Xiaomi telefoons? Zo ja, welke?

Voor het gebruik van Xiaomi-telefoons in Nederland zijn mij geen exacte cijfers bekend. Wel is er een indicatie te geven op basis van openbare marktgegevens. Uit een analyse van Europese markt voor smartphones door het bedrijf Strategy Analytics valt af te leiden dat de verkoop van Xiaomi-telefoons in Europa al enige tijd een stijgende lijn vertoont.2
Deze stijgende lijn is ook terug te zien in cijfers over het internetgebruik door gebruikers van mobiele telefoons. Zo komt het bedrijf Statcounter tot een schatting van het marktaandeel van Xiaomi in Nederland van 4,64% in september 2021.3
Alle overheidsorganisaties zijn zelf verantwoordelijk voor hun bedrijfsvoering en de beveiliging van informatie en informatiesystemen. Ze bepalen zelf welke apparatuur ze in gebruik hebben. Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties beschikt daarom niet over een totaaloverzicht van welke overheidsorganisaties welke telefoons in gebruik hebben.
Binnen de rijksoverheid wordt ten aanzien van de inkoop van telefoons via het Rijksbrede categoriemanagement samengewerkt. Wat betreft de rijksoverheid en aanpalende organisaties zijn voor zover bij het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties bekend sinds 2018 60 Xiaomi-telefoons aangeschaft. De telefoons worden niet gebruikt voor de eigen bedrijfsvoering maar zijn aangeschaft om te worden gebruikt als onderwerp van technisch, forensisch of opsporingsonderzoek. Organisaties maken bij het aanschaffen van apparatuur, zoals telefoons, een eigen afweging bij het afsluiten van nadere overeenkomsten, binnen de ruimte die rijksbreed afgesloten overeenkomsten hen daarvoor bieden. (Zie verder het antwoord op vraag 5).

Vraag 5

Wordt er een risicoanalyse uitgevoerd naar hardware en software die in gebruik wordt genomen door overheidsinstanties? Zo ja, is een dergelijke analyse uitgevoerd voor Xiaomi telefoons? Zo ja, wat waren de uitkomsten hiervan? Zo nee, waarom niet?

Voor de aanschaf van hard- en software, waaronder telefoons, door de overheid is de Baseline Informatiebeveiliging Overheid (BIO) van kracht. De uitgangspunten van de BIO zijn onder andere risicomanagement en de eigen verantwoordelijkheid van overheidsorganisaties. Dat betekent dat organisaties zelf risicoafwegingen uitvoeren voordat hard- en software in gebruik wordt genomen, en op grond daarvan de toepassing binnen hun eigen bedrijfsprocessen bepalen. Relevant zijn in dit verband specifiek biomaatregelen 14.1.1.1 en 15.1.1.1.4
Tevens geldt dat bij de inkoop en aanbesteding van producten en diensten binnen de rijksoverheid, zoals telefoons, (eventuele) risico’s voor de nationale veiligheid worden meegewogen. Hierbij wordt in het bijzonder gelet op mogelijke risico’s ten aanzien van de continuïteit van vitale processen, de integriteit en exclusiviteit van kennis en informatie en de ongewenste opbouw van strategische afhankelijkheden. In het kader hiervan zal in geval van gevoelige apparatuur zal bij aanschaf en implementatie daarvan rekening gehouden worden met zowel eventuele risico’s in relatie tot de leverancier, als met risico’s in verband met het concrete gebruik van de systemen, bijvoorbeeld waar het gaat om de toegang tot systemen door derden. Eind 2018 is dit ten aanzien van nationale veiligheidsrisico’s verscherpt inkoop en aanbestedingsbeleid geïmplementeerd voor de rijksoverheid.
Ter ondersteuning van dit beleid is instrumentarium ontwikkeld dat organisaties handvatten biedt bij het maken van een risicoanalyse en het nemen van mitigerende maatregelen. Behoeftestellende partijen zijn zelf verantwoordelijk voor de toepassing van dit instrumentarium en het meewegen van nationale veiligheidsrisico’s. Het instrumentarium is ter beschikking gesteld binnen de rijksoverheid en medeoverheden, alsmede aan organisaties die vitale aanbieder zijn.

Vraag 6

Deelt u de mening dat dergelijke censuursoftware een gevaar vormt voor de vrijheid van meningsuiting en de privacy van Nederlandse gebruikers van Xiaomi telefoons? Zo ja, bent u bereid om op korte termijn onderzoek te laten uitvoeren naar de mogelijke aanwezigheid van censuursoftware op Xiaomi toestellen door het Nationaal Cyber Security Centrum en het Agentschap Telecom? Zo nee, waarom niet?

Uit het Litouwse onderzoek blijkt dat de betreffende functionaliteit in de Europese Unie is uitgeschakeld. Wel stellen de onderzoekers dat de fabrikant deze functie op afstand zou kunnen activeren.
In algemene zin zou het toepassen van dergelijke software een risico kunnen vormen voor grondrechten zoals de vrijheid van meningsuiting, de vrijheid van nieuwsgaring en de privacy van Nederlandse gebruikers. Hierbij is het belangrijk om op te merken dat op de software die zich op Nederlandse smartphones bevindt, de huidige wet- en regelgeving van kracht is, zoals de Algemene Verordening Gegevensbescherming en de Algemene wet gelijke behandeling.
De betreffende toezichthouders en instanties, de Autoriteit Persoonsgegevens en het College voor de Rechten van de Mens, kunnen besluiten aanvullend onderzoek te doen wanneer zij hier aanleiding toe zien.

Vraag 7

Klopt het dat Xiaomi geen officiële winkel of webshop heeft in Nederland, maar wel online via verschillende Nederlandse websites/webwinkels te kopen is? Deelt u de mening dat als blijkt dat Nederlanders met een Xiaomi telefoon dergelijke censuursoftware hebben, het onwenselijk is dat deze telefoons in Nederland verkrijgbaar zijn? Zo ja, wat gaat u daaraan doen? Zo nee, waarom niet?

Dit is niet juist. Xiaomi heeft in Nederland een officieel verkoopkanaal via haar eigen website. Ook zijn Xiaomi-telefoons in Nederland verkrijgbaar via de mobiele operators en via zowel Nederlandse als Europese webwinkels.
Op dit moment heb ik geen aanwijzingen dat deze software in Nederland is geactiveerd. Mocht op enig moment blijken dat dit toch het geval is, dan is het aan de betreffende toezichthouders om zo nodig te handhaven.

Vraag 1

Bent u bekend met het artikel «Overheid in actie tegen betalen van losgeld aan ransomware-criminelen»?1

Ja.

Vraag 2

Klopt het dat op dit moment de mogelijkheden worden onderzocht om verzekeraars te verbieden om losgeld te vergoeden bij slachtoffers van een ransomware-aanval? Zo ja, hoe verklaart u dit verschil in beleid ten opzichte van wel en niet verzekerde bedrijven? Welke mogelijkheden worden er nog meer onderzocht om te kijken of het aantal losgeldbetalingen verminderd kan worden?

Ja, een verbod op het vergoeden van betaald losgeld aan cybercriminelen na een ransomware-aanval door verzekeraars wordt momenteel onderzocht. Hierbij worden de voor- en nadelen en de juridische mogelijkheden geïnventariseerd. Er is geen besluit over genomen. Daarnaast wordt gekeken naar hoe overheden om moeten gaan met ransomware, waaronder losgeldbetalingen. De meest wenselijke wijze van het beperken van losgeldbetalingen ligt echter in het voorkomen dat personen en organisaties überhaupt slachtoffer worden van ransomware.

Vraag 3

Bent u het ermee eens dat het betalen van losgeld bij ransomware aanvallen onwenselijk is en dat bedrijven zich tegelijkertijd soms genoodzaakt voelen losgeld te betalen op korte termijn, omdat anders de continuïteit van bedrijfsprocessen in gevaar komt? Zo ja, hoe beoordeelt u dan een algeheel verbod op het betalen van losgeld? Zo nee, waarom niet? En bent u het ermee eens dat er daarom ingezet moet worden op het dringende advies om niet te betalen? Zo nee, waarom niet?

Het dringende advies vanuit het Kabinet blijft om geen losgeld te betalen na een ransomware-aanval, aangezien dit het crimineel verdienmodel in stand houdt. De politie stelt vast dat een relevant deel van het door slachtoffers betaalde losgeld rechtstreeks wordt geïnvesteerd in nieuwe aanvalsinfrastructuren.2 Ik heb begrip voor de moeilijke positie waarin slachtoffers van ransomware zich soms bevinden. Een algemeen verbod op het betalen van losgeld kan leiden tot minder losgeldbetalingen, maar kan ook grote nadelige effecten hebben. Op dit moment is er geen voornemen om losgeldbetalingen wettelijk te verbieden.

Vraag 4

Bent u het ermee eens dat ondernemers en organisaties vooral slachtoffer zijn bij een ransomware-aanval? Zo nee, waarom niet?

Ja.

Vraag 5

Bent u zich ervan bewust dat het niet betalen van losgeld kan leiden tot een situatie waarin systemen weer vanaf de grond opnieuw moeten worden opgebouwd wat vaak langer duurt en meer geld kost dan het betalen van losgeld?

Ja. Criminelen die ransomware-aanvallen uitvoeren maken een zorgvuldige calculatie bij het stellen van de losgeldeis. Indien er geen losgeld wordt betaald en er geen back-up beschikbaar is, kan dit tot gevolg hebben dat de versleutelde data verloren gaat en de ICT-infrastructuur opnieuw moet worden opgebouwd. Ook kan een aanval leiden tot openbaarmaking van gestolen informatie en gegevens. De totale kosten voor een organisatie om een ransomware-aanval te boven te komen, zoals gevolgschade of het verlies van kostbare informatie, zijn vaak groter dan het geëiste losgeldbedrag.3
Ook indien er wel losgeld wordt betaald en de sleutel door criminelen wordt verstrekt, leidt dit niet gegarandeerd tot succes. Zo kan de sleutel niet goed functioneren waardoor de toegang tot data en systemen niet wordt hersteld. Verder zal in veel gevallen de hele ICT-infrastructuur alsnog opnieuw moeten worden opgebouwd, aangezien deze als gecompromitteerd moet worden beschouwd. Omdat doorgaans na een ransomwarebesmetting de integriteit van de ICT-infrastructuur niet meer kan worden gewaarborgd en een organisatie zijn systemen dus niet meer kan vertrouwen, zal deze dus ook bij betaling vaak vervangen moeten worden. Bovendien blijven kwaadwillenden beschikken over eventuele buitgemaakte data en kan er opnieuw een losgeld geëist worden om publicatie daarvan te voorkomen.

Vraag 6

Bent u zich ervan bewust dat een algemeen verbod op het betalen van losgeld zelfs kan leiden tot het faillissement van een getroffen bedrijf? Zo ja, bent u het ermee eens dat dit een zeer onwenselijk scenario is voor getroffen bedrijven en dat een verbod op het betalen van losgeld het probleem van ransomware aanvallen op bedrijven niet oplost? Zo nee, waarom niet?

Ja. Een ransomware-aanval kan grote impact hebben op slachtoffers, maar ook op diens klanten en gebruikers. In uiterste gevallen kan dit leiden tot een faillissement. De nadelige gevolgen van een algemeen verbod op het betalen van losgeld kunnen daarom zeer groot zijn. Op dit moment is er geen voornemen om losgeldbetalingen wettelijk te verbieden. Zoals gemeld in het antwoord op vraag 2 wordt de mogelijkheid van een verbod op het vergoeden van losgeldbetalingen door verzekeraars wel onderzocht.

Vraag 7

Bent u het ermee eens dat de oplossing moet worden gezocht in ransomware aanvallen in eerste instantie voorkomen door te focussen op preventieve maatregelen en de digitale basishygiëne van bedrijven vergroten? Zo ja, welke mogelijkheden ziet u hiertoe? Zo nee, waarom niet?

De meest wenselijke wijze van het beperken van losgeldbetalingen ligt in het voorkomen dat personen en organisaties slachtoffer worden van ransomware. Preventie vormt een belangrijk onderdeel bij het tegengaan van cybercrime, waaronder ook ransomware. Het beeld is dat bij veel succesvolle ransomware-aanvallen de basismaatregelen onvoldoende getroffen zijn. Om de cyberweerbaarheid te vergroten biedt het Digital Trust Center (DTC) van het Ministerie van EZK verschillende kennisproducten aan met adviezen voor ondernemers om een besmetting met ransomware te voorkomen en adequaat te reageren als het toch gebeurt. Daarnaast biedt het DTC mogelijkheden om de cyberweerbaarheid van een bedrijf te testen middels een basisscan. Ook het NCSC biedt voor diens achterban diensten en producten aan om de cyberweerbaarheid te verhogen. Veel informatie en adviezen zijn voor het brede publiek beschikbaar op de website van het NCSC. Verder wordt in het kader van het convenant voor preventie van cybercrime met private partijen samengewerkt aan de verbreding van het gebruik van twee-factor authenticatie.4 De politie geeft aan dat dit al aanzienlijk kan helpen bij het tegengaan van ransomware. Het verhogen van de cyberweerbaarheid van burgers, bedrijven en organisaties vraagt blijvende inspanning.

Vraag 1

Kunt u een nadere duiding geven van de waarschuwing dat «De aanwezigheid van Russische onderzeeërs in de Noordzee is reden tot zorg. Soms vertonen zij verdacht gedrag, wat erop kan duiden dat mogelijk datakabels worden afgetapt met vitale informatie over onze economie en veiligheid»?1

De opbouw van het Russisch militair vermogen oefent druk uit op het NAVO-bondgenootschap. Een specifieke dreiging gaat uit tegen onderzeese infrastructuur (bijvoorbeeld onderzeekabels). Russische entiteiten brengen deze infrastructuur in kaart en ondernemen activiteiten die mogelijk duiden op spionage en op voorbereidingshandelingen voor verstoring en sabotage.2

Vraag 2

Kunt u aangeven hoeveel datakabels en data er Nederland in- en uitstromen via de zee in vergelijking met andere relevante landen, en daarbij tenminste ingaan op Frankrijk, Groot-Brittannië, België, Denemarken, Noorwegen en Zweden? Kunt u hierbij ook aangeven in hoeverre het gaat om data van Nederlandse instellingen, dan wel data van buitenlandse entiteiten die via Nederland wordt doorgeleid?

Landen worden onderling met elkaar verbonden door glasvezelverbindingen over land en door de zee. Verbindingen door de zee zijn daarbij essentieel om continenten met elkaar te verbinden en om lange afstanden af te leggen. Er landen in Nederland op dit moment elf kabels aan waarvan zeven kabels Nederland met de oostkust van Groot-Brittannië verbinden, één kabel met het zuiden van Groot-Brittannië, twee kabels met Denemarken en één kabel met België. Groot-Brittannië is vervolgens met meerdere zeekabels verbonden met Noord-Amerika, Frankrijk, Spanje, België Ierland, IJsland, Denemarken en Noorwegen. Groot-Brittannië heeft een groot aantal kabels omdat het immers voor een groot deel afhankelijk is van connectiviteit via zeekabels. België is over zee enkel verbonden met Nederland en Groot-Brittannië. Zoals eerder vermeld is Denemarken verbonden met Nederland, verder heeft zij zeekabelverbindingen naar Noorwegen, Zweden, Duitsland, IJsland en Groot-Brittannië. Noorwegen heeft verder nog een zeekabelverbinding met Ierland. Zweden heeft gezien haar ligging alleen verbindingen via de Oostzee waardoor zij een zeekabelverbinding heeft met Estland, Letland, Litouwen, Polen en Finland. Een actueel overzicht van alle zeekabels is online te raadplegen3.
Een enkele kabel kan tientallen terabits/s zo niet honderden terabits/s verzenden. Het is niet te zeggen hoeveel data daarvan data betreft van Nederlandse instellingen of bedrijven dan wel buitenlandse entiteiten. Wel kan gesteld worden dat verkeer over (Trans-Atlantische)zeekabels internationaal verkeer is en dat veel data dat al dan niet via Nederland gestuurd wordt, ook onderweg is naar andere landen.

Vraag 3

Deelt u de mening dat het zorgen voor de integriteit van deze data een vitaal nationaal belang is, ook op het moment dat deze data zich in een kabel bevinden die buiten de Nederlandse territoriale wateren ligt?

Zoals vermeld in het antwoord op vraag 1 vormen statelijke dreigingen een risico voor de veiligheid van zeekabels4. Zeekabels die data transporteren vormen een belangrijk onderdeel van de mondiale digitale ruimte. Zoals aangegeven in het Cybersecuritybeeld Nederland 2021 zijn al onze digitale processen, waaronder vitale processen, sterk verweven en afhankelijk van deze mondiale digitale ruimte. Wanneer statelijke actoren op grote schaal onderzeese kabels aftappen voor inlichtingenvergaring of – ten tijde van conflicten – die kabels saboteren schendt dat de integriteit en exclusiviteit van data met mogelijk grote gevolgen voor het functioneren van digitale processen waaronder vitale processen5. Wanneer vitale processen worden aangetast kan dat gevolgen hebben voor de Nederlandse nationale veiligheid. Om die reden vindt het Kabinet, zoals aangegeven in de brief Veiligheid van zeekabels van 2 juli 2021, het belangrijk dat zeekabels veilig zijn en volgt de ontwikkelingen rond de veiligheid van zeekabels, zowel binnen als buiten de territoriale wateren, nauwlettend. In dat kader staat de veiligheid van zeekabels ook internationaal op de agenda bij de NAVO en de EU6.

Vraag 4

Welke risico’s zijn er voor de positie van Nederland als Europese data hub indien Nederland de integriteit van deze data niet kan beschermen?

De bescherming van data is geen uitdaging die zich beperkt tot Nederland en ook zeker niet tot zeekabels. Datastromen gaan via kabels over land door internet exchanges, datacenters en zeekabels en kunnen hiermee ook andere landen en continenten doorkruisen. Op het gebied van regulering van data gaat er de komende tijd met de uitwerking van de Digital Governance Act (DGA) en de Data Act (DA) in Europa veel veranderen juist ook om op het gebied van integriteit meer waarborgen te hebben. Deze regulering is namelijk gericht op het versterken van de governance van de interne markt voor data, op het beter delen en beschikbaar maken van data, en op het creëren van waarborgen voor beschermde data in de internationale context.

Vraag 5

Betekent de inschatting dat «mogelijk datakabels worden afgetapt» dat er geen goed zicht is op de vraag of dit daadwerkelijk gebeurt?

Om operationele redenen kunnen we hierop geen nadere toelichting geven.

Vraag 6

Maken verdachte scheepsbewegingen in de regel onderdeel uit van diepzeewater onderzoeksinstituut GUGI of gebeurt het ook buiten dat verband?

Verdachte scheepsbewegingen gebeuren ook buiten dit verband.

Vraag 7

Welke maatregelen vinden er op dit moment plaats om datakabels te beschermen?

Zoals de Minister van Defensie eerder aan uw Kamer tijdens het Commissiedebat over de NAVO-top op 7 juni jl. heeft aangegeven, houdt ook de Noord-Atlantische Verdragsorganisatie (NAVO) de ontwikkelingen rond de veiligheid van zeekabels in de gaten. Ook in het onderwaterdomein geldt dat het versterken van de bondgenootschappelijke afschrikking en verdediging van belang is. Daarnaast is er onlangs in VN-verband door de United Nations Group of Governmental Experts (UNGGE) bij consensus de aanbeveling vastgesteld dat staten geen actie mogen ondernemen die opzettelijk kritieke infrastructuur beschadigt of anderszins het gebruik van kritieke infrastructuur schaadt, zoals infrastructuur tussen verschillende staten die essentieel is voor de algemene beschikbaarheid of integriteit van het internet.
Zeekabels die zijn aan te merken als onderdeel van openbare elektronische communicatienetwerken en -diensten moeten voldoen aan de gestelde zorgplichten in de Telecommunicatiewet (Tw).7
Gezien het grensoverschrijdende karakter van de zeekabels en de data die erover getransporteerd wordt, is Europese en internationale samenwerking essentieel.

Vraag 8

Zijn er afspraken gemaakt met de eigenaren van de kabels om elke storing te melden?

Aanbieders van openbare elektronische communicatienetwerken en -diensten op grond van artikel 11a.2, eerste lid Tw een meldplicht van incidenten. Dat betekent dat zij incidenten waarbij er sprake is van een inbreuk op de veiligheid of een verlies van integriteit, waardoor de continuïteit van openbare elektronische communicatienetwerken en openbare elektronische communicatiediensten in belangrijke mate worden onderbroken, moeten melden bij toezichthouder Agentschap Telecom. Andere Europese lidstaten kennen een soortgelijke meldplicht.

Vraag 9

Wordt elke melding van een storing onderzocht en geattribueerd?

Agentschap Telecom beoordeelt meldingen die binnen komen op basis van de hiervoor genoemde Tw. Bij voldoende aanleiding kan een melding leiden tot de start van een onderzoek. In Nederland zijn geen incidenten met zeekabels gemeld.

Vraag 10

Welke instanties hebben mogelijk een rol bij het onderzoeken van incidenten? Spelen ook civiele elementen zoals de kustwacht, Nationaal Cyber Security Centrum (NCSC) of andere diensten een rol?

Vraag 11

Zijn bedrijven die eigenaar of beheerder zijn van de datakabels verplicht het te melden als zij een onregelmatigheid detecteren die kan wijzen op onderzees aftappen door een buitenlandse mogendheid? Kunt u hiernaast ook aangeven in hoeverre dergelijke meldingen al dan niet plaatsvinden?

Zoals eerder genoemd zijn hebben aanbieders van openbare elektronische communicatienetwerken en -diensten op grond van artikel 11a.2, eerste lid Tw een meldplicht van incidenten. Dat betekent dat zij incidenten waarbij er sprake is van een inbreuk op de veiligheid of een verlies van integriteit waardoor de continuïteit van openbare elektronische communicatienetwerken en openbare elektronische communicatiediensten in belangrijke mate worden onderbroken moeten melden bij toezichthouder Agentschap Telecom. In Nederland zijn geen incidenten gemeld bij het Agentschap Telecom op dit vlak.
Ook dienen aanbieders op grond van artikel 11.3 Tw technische en organisatorische maatregelen te treffen ten behoeve van de veiligheid en beveiliging van de door hen aangeboden netwerken en diensten in het belang van de bescherming van de persoonsgegevens en de bescherming van de persoonlijke levenssfeer van abonnees en gebruikers. Indien een inbreuk op die beveiliging zich voordoet heeft de aanbieder van een openbare elektronische communicatiedienst op grond van artikel 11.3a Tw de verplichting die inbreuk, onverwijld nadat hij die inbreuk heeft geconstateerd, te melden bij de Autoriteit Persoonsgegevens. Bij de Autoriteit Persoonsgegevens zijn geen meldingen bekend op dit vlak.

Vraag 12

Zijn bedrijven die eigenaar of beheerder zijn van de datakabels verplicht om detectiesystemen te hebben die het kunnen signaleren als een derde partij onder zee aan hun kabel zit?

Een aanbieder van openbare elektronische communicatienetwerken en -diensten moeten op basis van artikel 11a.1 van de Tw passende technische en organisatorische maatregelen nemen voor het beheersen van de risico’s voor de veiligheid en integriteit van hun netwerken en diensten. Detectie kan daar een onderdeel van zijn, net zoals andere maatregelen zoals sterke encryptie.

Vraag 13

Als de verplichtingen uit bovenstaande vragen niet bestaan, kunt u dan aangeven of er landen binnen de NAVO of de EU zijn die een dergelijke verplichting wel hebben?

Zie antwoord vraag 12.

Vraag 14

Welke capaciteiten heeft de Nederlandse marine om Nederlandse datakabels te monitoren en te beschermen, en in hoeverre worden deze capaciteiten daarvoor ingezet?

De Koninklijke Marine heeft op dit moment geen capaciteiten om Nederlands datakabels te monitoren en te beschermen. De Koninklijke Marine beschikt wel over capaciteiten (als fregatten, onderzeeboten en NH90 helikopters) voor indirecte datakabel bescherming en kan daarmee oppervlakte eenheden en onderzeeboten detecteren, volgen en eventueel neutraliseren.

Vraag 15

Welke meerwaarde bieden onderzeeboten bij het beschermen van datakabels?

Datakabels, of in bredere zin onderzeese infrastructuur, kunnen worden bedreigd door onderzeeboten die speciaal zijn toegerust voor dit doel. Op deze manier kan een potentiele tegenstander die over zulke onderzeeboten beschikt, onopgemerkt en dus ongehinderd zijn doel bereiken. Deze heimelijke wijze van het bedrijven van offensieve seabed warfare vormt een actuele en reële dreiging. Een effectief middel voor het bestrijden van onderzeeboten, zijn eigen onderzeeboten. Dit is een kerntaak van de huidige en toekomstige onderzeeboten van de Koninklijke Marine. De meerwaarde van onze eigen onderzeeboten is onder andere het kunnen detecteren, monitoren en eventueel neutraliseren van onderzeeboten gericht op seabed warfare. De wetenschap alleen al van mogelijke inzet van onderzeeboten dwingt de opponent zijn eigen eenheden te beschermen, waardoor hij zijn heimelijke capaciteiten minder makkelijk kan inzetten.

Vraag 16

Welke meerwaarde biedt een gespecialiseerd monitoringsschip zoals de Britse marine gaat kopen als aangekondigd in de Britse defensievisie «Defence in a Competitive Age»?

Over de concrete meerwaarde van het genoemde monitoringsschip kan ik u op dit moment niets toelichten omdat ik geen zicht heb op de volledige capaciteit hiervan.

Vraag 17

In hoeverre zijn Nederlandse datakabels straks minder beveiligd dan de Britse als Nederland niet over een dergelijk schip beschikt?

Hierop kan ik u geen concreet antwoord geven omdat ik op dit moment geen volledig zicht heb op de capaciteit van de Britten op dit vlak. Wel kan ik aangeven dat de beveiliging van de fysieke zeekabels en de data die hierover getransporteerd wordt altijd een internationale aangelegenheid zal zijn. We zijn hierover in gesprek binnen het bondgenootschap.

Vraag 18

Welk risico’s voor sabotage van de kabels zijn er? Kunt u hierbij ook ingaan op de mogelijkheid dat verdachte Russische activiteiten niet alleen dienen voor het aftappen van gegevens, maar ook dienen als verkenning voor mogelijke latere sabotage, of dienen om apparatuur te plaatsen die eventueel in een later stadium de kabels kan saboteren?

Er is een dreiging tegen onderzeese kabels en andere zeebodem-gebonden infrastructuur. Over de precieze aard van deze potentiele dreiging kunnen we om operationele redenen niet in gaan.

Vraag 19

Welke risico’s en kwetsbaarheden brengen bovengenoemde mogelijke Russische voorbereidingshandelingen met zich mee voor de geopolitieke en militaire positie van Nederland en de NAVO in het geval van een gewapend conflict of een escalatie van spanningen door middel van hybride middelen?

In de huidige gemondialiseerde samenleving, waarin het economische en maatschappelijke belang van met name internetverkeer steeds verder toeneemt, is het essentieel dat de veiligheid van zeekabels gegarandeerd blijft. De NAVO houdt de ontwikkelingen rond de veiligheid van zeekabels in de gaten. Zeekabels spelen thans ook een rol bij de civiele en militaire communicatie tussen NAVO-bondgenoten. De bondgenootschappelijke afschrikking en verdediging is daarom ook in het onderwaterdomein van groot belang. Sinds 2014 heeft de NAVO de bondgenootschappelijke afschrikking en verdediging versterkt. De NAVO heeft in dit kader de beschikking over zowel militaire als niet-militaire capaciteiten en middelen om uitdagingen en dreigingen te adresseren in de vijf operationele domeinen van het bondgenootschap, die naast zee ook land, lucht, de ruimte en cyber betreffen.

Vraag 20

Kunt u bovenstaande vragen afzonderlijk beantwoorden?

Ja.

Vraag 1

Bent u bekend met het artikel «Duizend inhuurkrachten WhatsApp lezen mee met chats»?1 Vraagt 2 Klopt het dat een gebruiker van de berichtendienst WhatsApp een ontvangen bericht van een andere gebruiker kan rapporteren en dat WhatsApp dan inzicht krijgt in de laatste vijf verstuurde berichten? Zo ja, hoe beoordeelt u het feit dat WhatsApp naar zijn gebruikers beveiligde end-to-endencrypte communicatie belooft en tegelijkertijd via een omweg het alsnog mogelijk heeft gemaakt om berichten van zijn gebruikers in te zien?

Ja.

Vraag 2

Klopt het dat het ontvangen van de berichten door WhatsApp erop kan duiden dat de sleutels, die uiteindelijk toegang geven tot de volledige gespreksgeschiedenis, doorgestuurd worden? Zo nee, hoe controleert WhatsApp de echtheid van de doorgestuurde, gerapporteerde berichten?

De website ProPublica heeft het artikel waarnaar het in vraag 1 aangehaalde bericht verwijst, op 8 september jl. gerectificeerd.2 Aan het stuk is toegevoegd dat de eerdere versie voor onbedoelde verwarring heeft gezorgd en dat de end-to-end-encryptie niet wordt doorbroken. Wanneer een WhatsApp-gebruiker een andere WhatsApp-gebruiker rapporteert, dan stuurt de rapporterende gebruiker aan WhatsApp – via de applicatie, door middel van de rapporteerfunctie – de meest recente ontvangen berichten van de andere gebruiker. Deze berichten worden dan ook door de gebruiker gedeeld met WhatsApp, zodat er geen sprake van is dat de end-to-end encryptie tussen de gebruikers of groep wordt doorbroken. WhatsApp kan niet op eigen instigatie verdere berichten van gebruikers of groepen inzien, de beveiligde communicatie tussen deze gebruikers en groepen blijft dan ook overeind.3 Op welke wijze WhatsApp de echtheid van de gerapporteerde berichten controleert is mij niet bekend.

Vraag 3

Deelt u de mening dat bedrijven die diensten leveren, zoals WhatsApp, open en eerlijk dienen te communiceren of en, zo ja, hoe er toegang tot welke data gegeven kan worden met welke reden, zodat er transparantie is voor de miljoenen Nederlanders die gebruik maken van deze communicatiediensten? Zo nee, waarom niet?

Zie antwoord vraag 2.

Vraag 4

Hoe verhoudt de praktijk die WhatsApp lijkt toe te passen zich tot artikel 12 van de AVG, waarin is vastgelegd dat verwerkingsverantwoordelijken moeten kunnen aantonen dat zij op een transparante wijze persoonsgegevens verwerken?

Deze mening deel ik.

Vraag 1

Bent u bekend met het bericht «Miljoenenstrop dreigt voor vier grote zenders bij verlenging FM-vergunning»?1

Ja.

Vraag 2

Hoe rijmt u de aangenomen motie-Grinwis c.s. (Kamerstuk 24 095, nr. 537) om in goede samenspraak met VCR en NLCR te komen tot een vergoeding met de genoemde starre opstelling van EZK-ambtenaren en de opmerking dat de gesprekken muurvast zitten?

Conform de procedure die ook gevolgd is bij de eerdere verlengingen van deze vergunningen zijn betrokken partijen in de gelegenheid gesteld om te reageren op het conceptrapport van SEO door middel van een zgn. preconsultatie. Gedurende de afgelopen weken hebben diverse gesprekken plaatsgevonden tussen vertegenwoordigers van de Verenging voor Commerciële Radio (VCR) en vertegenwoordigers van het Ministerie van EZK over het conceptrapport.
Op 16 juli 2021 heeft de VCR ook nog een schriftelijke reactie ingediend.
De VCR heeft daarbij aangegeven het ministerie erkentelijk te zijn dat zij kennis heeft mogen nemen van het conceptrapport van SEO en in de gelegenheid is gesteld om (via de preconsultatie) te mogen reageren op het rapport alvorens het wordt vastgesteld.
De binnengekomen reactie is zorgvuldig gewogen met inachtneming van het geldende wettelijk kader waar ik aan gehouden ben. Naast een deugdelijke juridische motivering van de verschuldigde verlengingsprijzen ben ik ook gehouden aan een correcte toepassing van het Europese staatssteunkader. De economische waarde van de vergunningen dient (geheel) in de verlengingsprijs tot uitdrukking te worden gebracht. Zowel met het oog op doelmatig frequentiegebruik als om te voorkomen dat de verlenging kan worden aangemerkt als een verboden vorm van staatssteun aan de huidige vergunninghouders. Daarnaast is het belangrijk om een verstoring van het gelijke speelveld (het level playing field) te voorkomen. Een marktconforme verlengingsprijs dient daartoe.
De ingebrachte reactie van de VCR van 16 juli jl. heeft SEO geen aanleiding gegeven om grote aanpassingen in het conceptrapport door te voeren. Het rapport met de daarin opgenomen berekeningen is daarmee dan ook definitief vastgesteld.

Vraag 3

Bent u het ermee eens dat hoe hoger de prijs van de noodverlenging, hoe lager de investeringen zullen zijn in digitale etherradio en daarmee het ingezette beleid met als uitgangspunt digitalisering van de radiosector wordt gestremd en er dus voor de langere termijn minder stabiliteit en rust is op de commerciële radiomarkt? (Kamerstuk 24 095, nr. 545.) Zo niet, waarom?

De radiosector en de Kamer hebben gevraagd om de commerciële radiovergunningen te verlengen voor een periode van drie jaar. Doel van deze verlenging is – conform de motie-Van den Berg2 – om commerciële radiopartijen in staat te stellen additionele financiering aan te trekken en zo de gevolgen van de coronacrisis te mitigeren en de continuïteit van de sector te waarborgen. Partijen die wensen te verlengen dienen hiervoor wel een marktconforme vergoeding te betalen die is vastgesteld conform de daarvoor geldende wet- en regelgeving, met inachtneming van de meest recente economische vooruitzichten. Hiervoor heeft SEO de berekeningen gemaakt in lijn met de eerder haar gehanteerde methodiek (zie verder ook het antwoord op vraag 5).
Ik ben bereid om de commerciële vergunningen te verlengen voor de gevraagde periode van drie jaar. Dit zorgt voor de beoogde rust en stabiliteit in de sector, in ieder geval tot 2025. Daarnaast blijkt uit het rapport van SEO en uit projecties van het CPB dat de vooruitzichten voor de commerciële radiosector gunstig zijn (zie ook het antwoord op vraag 5). Ik zie daarom niet in waarom bij een verlenging van 3 jaar tegen een marktconforme prijs de investeringen in digitalisering afgeremd zouden worden.

Vraag 4

Bent u het ermee eens dat beleid dat leidt tot lagere investeringen in de digitalisering van radio en daarmee vertraging van die digitalisering niet strookt met de aangenomen motie-Bruins c.s. (Kamerstuk 24 095, nr. 523) en niet strookt met de afspraken die gemaakt zijn met de commerciële radiosector om jaarlijks te investeren in digitalisering? Zo niet, waarom?

In mijn brief van 8 juli 2021 ben ik uitgebreid ingegaan op de digitalisering van de Nederlandse etherradio (via DAB+) en op alle beleidsacties en initiatieven die hiertoe in de afgelopen jaren alsmede in de toekomst worden genomen.3 Digitalisering is overigens niet alleen een zaak van de houders van de vier landelijke commerciële radiovergunningen die nu een marktconforme vergoeding moeten betalen voor de driejarige verlenging van hun (ongeclausuleerde) vergunning. De digitalisering van de etherradio is een (internationaal) samenspel van een diverse groep van landelijke, regionale en lokale radiostations (zowel publiek als commercieel), netwerk operators, de retailsector en de automotive industrie die hier ieder op zijn eigen manier een bijdrage aan levert.
Voor wat betreft de toezegging van landelijke commerciële radiosector om additioneel te investeren in digitalisering (bijvoorbeeld in marketing), ga ik er vanuit dat zij hiermee ook na 2022 onverminderd doorgaan aangezien dit ook in hun eigen belang is.

Vraag 5

Vindt u een vergoeding voor de noodverlenging die het 7- tot 13-voudige kost van de huidige vergunningsprijs proportioneel en daarmee maatschappelijk verantwoord? Zo nee, hoe rijmt u dan de aangenomen motie-Grinwis c.s. (Kamerstuk 24 095, nr. 537) met de genoemde verveelvoudiging?

De bepaling van de hoogte van de verlengingsprijzen voor de landelijke commerciële radiovergunningen voor een periode van drie jaar dient binnen de juridische context van de Telecommunicatiewet plaats te vinden, rekening houdend met alle belangen in de desbetreffende markt.
Ik heb daarom, net als bij eerdere verlengingen, SEO Economisch Onderzoek (SEO) gevraagd met een onafhankelijk advies te komen. SEO heeft in lijn met de al eerder door haar gehanteerde methodiek – de verlengingsprijzen berekend. SEO heeft bij de waardebepalingen van het radiospectrum in de afgelopen jaren invulling gegeven aan het juridisch kader van de Telecommunicatiewet door de economische waarde te berekenen op basis van de zgn. opportuniteitskosten. Dit is de waarde die een efficiënte nieuwe toetreder toekent aan de vergunning, rekening houdend met de looptijd ervan. Deze waarde is tevens gelijk aan de uitkomst van een hypothetische veiling. De waarderingsmethode voor een verlenging van drie jaar moet zo dicht mogelijk aansluiten bij de eerder door SEO gehanteerde systematiek.
Het gaat bij deze tijdelijke verlenging om een zeer korte periode, waardoor het niet mogelijk is om daarvoor een zelfstandige verlengingsprijs te berekenen. Daarom heeft SEO bij het vaststellen van de verlengingsprijs de drie jaar van de komende verlenging opgeteld bij de lopende verlengingsperiode van vijf jaar (2017–2022).
Het is juist dat de bedragen dit keer hoger uitvallen dan bij de vorige verlenging in 2017. Als de nieuwe bedragen voor drie jaar verlengen echter worden opgeteld bij de bedragen van de vorige verlenging (van vijf jaar) dan zijn de bedragen voor een totale periode van acht jaar nog steeds aanmerkelijk lager dan de bedragen die zijn betaald voor de zesjarige verlengingsperiode in het tijdvak 2011–2017. Dit plaatst de bedragen in een breder perspectief en er kan dus niet in algemene zin gesteld worden dat partijen nu velen malen meer moeten betalen dan voorheen.
Om de verlengingsprijzen te berekenen voor toekomstige jaren is het van belang om inschattingen c.q. prognoses te maken. SEO heeft daarom voor de berekeningen van de verlengingsprijzen gebruik gemaakt van de projecties van het Centraal Plan Bureau (CPB) voor de groei van het bruto binnenlands product (en het bijbehorende prijspeil) in de periode tot en met 2025. SEO gaat daarbij uit van de meest conservatieve inschattingen hoewel de economie aan het herstellen is.
De prognoses zijn echter dusdanig gunstig dat het verdienpotentieel van de ongeclausuleerde landelijke vergunningen voor de komende drie jaar circa het viervoudige is van hetgeen deze partijen moeten afdragen.
Het verdienpotentieel van een vergunning is van cruciaal belang bij het vaststellen van een marktconforme vergoeding op grond van artikel 3.15 van de Telecommunicatiewet. Naast een deugdelijke motivering van de verschuldigde bedragen ben ik ook gehouden aan een correcte toepassing van het staatsteunkader. De reële economische waarde van de vergunningen op basis van recente economische vooruitzichten dient daarom (geheel) in het bedrag te worden uitgedrukt, zowel met het oog op doelmatig frequentiegebruik als om te voorkomen dat de verlenging kan worden aangemerkt als een verboden vorm van staatssteun aan de huidige vergunninghouders.
Onder een proportionele en daarmee maatschappelijk verantwoorde vergoeding versta ik dan ook een marktconforme vergoeding die – conform de Telecommunicatiewet – aansluit bij de reële waarde die deze vergunningen in de toekomst vertegenwoordigen. In de berekeningen van SEO zijn overigens ook de gevolgen van de coronacrisis verdisconteerd met als gevolg dat de bedragen hierdoor lager uitvallen. De bovengenoemde bedragen voor een verlenging met een termijn van drie jaar houden derhalve eveneens rekening met de economische schade aan en krimp van de markt waar de motie-Grinwis c.s. naar verwijst en waar ik uitvoering aan geef.

Vraag 6

Bent u het ermee eens dat een vergoeding die tientallen miljoenen euro’s meer kost haaks staat op de oorspronkelijke reden van de noodverlenging, namelijk het opvangen van geleden verliezen als gevolg van de Coronacrisis en het bevorderen van economisch herstel?

De effecten van de coronacrisis, die ons allemaal raakt, heeft vorig jaar ook grote gevolgen gehad voor de commerciële radiopartijen door het teruglopen van de advertentie-inkomsten. Ik ben daarom conform de wens van uw Kamer overgegaan tot een tijdelijke verlenging voor een termijn van drie jaar. Doel van deze verlenging is – conform de motie-Van den Berg4 – om commerciële radiopartijen in staat te stellen additionele financiering aan te trekken om zo de gevolgen van de coronacrisis te mitigeren en de continuïteit van de sector te waarborgen. Het verlengen van de commerciële radiovergunningen heeft uitdrukkelijk niet tot doel om geleden verliezen c.q. geleden schade te vergoeden. De Telecommunicatiewet geeft hiertoe ook geen ruimte. Indien partijen een verlenging wensen, dienen zij wel bereid te zijn een marktconforme vergoeding te betalen die is vastgesteld conform de daarvoor geldende wet- en regelgeving, met inachtneming van de meest recente economische vooruitzichten. Voor de hoogte van deze verlengingsprijzen is het toekomstige verdienpotentieel daarbij het uitgangspunt.

Vraag 7

Hoe beoordeelt u de rekenmethode die door SEO is gebruikt om te komen tot een vergoeding voor de noodverlenging, waarbij gerekend wordt alsof de vergunning bij aanvang voor 8 jaar zou zijn afgegeven in plaats van dat naar de huidige context wordt gekeken?

Zoals eerder door mij aangegeven dient bij een verlenging – zowel met het oog op doelmatig frequentiegebruik als om te voorkomen dat de verlenging kan worden aangemerkt als een verboden vorm van staatssteun aan de huidige vergunninghouders een marktconforme verlengingsprijs berekend te worden. De economische waarde van de vergunningen dient (geheel) in die prijs tot uitdrukking gebracht te worden. Onderzoeksbureau SEO is door mij gevraagd om de verlengingsprijzen te berekenen. De waarderingsmethode voor de verlenging moet daarbij zo dicht mogelijk aansluiten bij de eerder door SEO gehanteerde systematiek. Temeer daar deze systematiek is getoetst en goedgekeurd door het College van Beroep voor het bedrijfsleven (CBb).
SEO berekent de verlengingsprijzen op basis van de zgn. opportuniteitskosten. Dit is de waarde die een efficiënte nieuwe toetreder toekent aan de vergunning, rekening houdend met de looptijd ervan. Deze waarde is tevens gelijk aan de uitkomst van een hypothetische veiling. Omdat het hier gaat om een tijdelijke verlenging voor een zeer korte periode, is het niet mogelijk is om daarvoor een zelfstandige verlengingsprijs te berekenen. Daarom heeft SEO bij het vaststellen van de verlengingsprijs de drie jaar van de komende verlenging opgeteld bij de lopende verlengingsperiode van vijf jaar. Ik vind dit, gelet op de omstandigheden, een goede uitkomst en de conclusies uit het SEO-rapport neem ik daarom over.

Vraag 8

Hoe gaat u ervoor zorgen dat de bovengenoemde moties Bruins c.s. en Grinwis c.s. goed en compleet uitgevoerd worden en conform deze moties en de roep en welwillendheid van de sector u komt tot een prijs voor de noodverlenging van de FM-vergunningen die proportioneel en maatschappelijk verantwoord is, recht doet aan de oorspronkelijke reden van de noodverlenging en de beleidsdoelen van het ministerie rondom DAB+?

Onder een proportionele en daarmee maatschappelijk verantwoorde vergoeding versta ik een marktconforme vergoeding die conform de Telecommunicatiewet aansluit bij de reële waarde die deze vergunningen in de toekomst vertegenwoordigen. In de berekeningen van SEO zijn overigens ook de gevolgen van de coronacrisis verdisconteerd met als resultaat dat de bedragen hierdoor lager uitvallen. De bedragen voor een verlenging met een termijn van drie jaar houden derhalve eveneens rekening met de economische schade aan en krimp van de markt waar de motie-Grinwis c.s. naar verwijst en waar ik dus uitvoering aan geef.
Over de motie-Bruins heb ik u uitgebreid geïnformeerd in mijn brief van 8 juli 20215 (zie ook het antwoord op vraag 4).

Vraag 9

Kunt u deze vragen één voor één beantwoorden?

Zie bovenstaand.

Vraag 1

Bent u bekend met het bericht «Grote hack bij ROC Mondriaan: computers plat en bestanden ontoegankelijk»?1

Ja.

Vraag 2

Is er sprake van ransomware (gijzelsoftware)? Indien er sprake is van ransomware, zijn er al losgeldeisen van de criminele hackers bekend bij ROC Mondriaan en/of de Minister?2

Er is inderdaad sprake van ransomware. Hierbij is er losgeld gevraagd aan ROC Mondriaan.

Vraag 3

Indien er al losgeldeisen bekend zijn, heeft ROC Mondriaan het losgeld aan de hackers al betaald? Zo nee, heeft ROC Mondriaan besloten het losgeld te betalen?

ROC Mondriaan heeft geen losgeld betaald aan de hackers.

Vraag 4

Wat is het beleid van de Minister omtrent de betaling van losgeld aan criminelen om schoolsystemen weer toegankelijk te maken? Deelt u de mening dat er geen losgeld betaald dient te worden, omdat misdaad niet mag lonen?

Het uitgangspunt van het kabinet is dat het onwenselijk is om losgeld te betalen, omdat de regering van mening is dat er geen geld naar criminelen toe moet vloeien.

Vraag 5

Is er ook sprake van een datalek, nu de systemen zijn gehackt? Zo ja, is er data buitgemaakt van de 20.000 studenten, 5.000 cursisten en/of 2.100 medewerkers? Zo ja, zijn alle studenten, cursisten en/of medewerkers hier inmiddels van op de hoogte gesteld?

De hackers hebben op 14 september 2021 voor het eerst gegevens op het internet gepubliceerd. Op dit moment wordt door een gespecialiseerd IT-bedrijf onderzocht om welke informatie het precies gaat. Het is al wel duidelijk dat het om informatie gaat zoals klassenlijsten, mails en financiële gegevens van ROC Mondriaan. ROC Mondriaan zal de studenten, cursisten en medewerkers die het betreft zo snel mogelijk hierover informeren.

Vraag 6

Is er contact geweest tussen het sectorale computer emergency response team SURFcert en ROC Mondriaan? Zo ja, heeft het ROC Mondriaan dit geïnitieerd om het beveiligingsincident te melden? Wat is er uit dit contact gekomen qua ondersteuning vanuit SURFcert?

Zodra ROC Mondriaan de hack constateerde, heeft de instelling SURFcert ingelicht en een gespecialiseerd forensisch IT-bedrijf ingeschakeld. SURF ondersteunt ROC Mondriaan in het onderzoek naar de oorzaak en omvang van de hack.

Vraag 7

Is het datalek al gemeld bij de Autoriteit Persoonsgegevens? Zo ja, is er verder contact geweest tussen ROC Mondriaan en Autoriteit Persoonsgegevens? Zo nee, waarom niet?

ROC Mondriaan heeft meteen na het ontdekken van de hack de Autoriteit Persoonsgegevens ingelicht. Vrijdag 4 september en dinsdag 14 september is er wederom contact geweest met de Autoriteit Persoonsgegevens om hen bij te praten met de laatste stand van zaken. Ook is de afspraak gemaakt dat ROC Mondriaan de Autoriteit Persoonsgegevens informeert zodra er meer relevante informatie beschikbaar is.

Vraag 8

Kunt u aangeven welk volwassenheidsniveau ROC Mondriaan heeft met het oog op de benchmark IBP-E op basis van de toetsingskaders Informatiebeveiliging, Privacy en Examinering, waarvan het maturity level 1 het laagst en 5 het hoogst is?3

Uitsluitend de instelling zelf ziet de eigen scores en kan deze vergelijken met het landelijk gemiddelde. De scores van de benchmark IBP-E van de individuele instellingen zijn niet openbaar en ik kan dan ook geen uitspraken doen over de scores van individuele instellingen.

Vraag 9

Welk benchmark IBP-E-resultaat had ROC Mondriaan in 2018, 2019 en 2020? Is er de afgelopen jaren sprake geweest van groei en verbetering van de resultaten van de benchmark IBP-E?

De scores van de benchmark IBP-E van de individuele instellingen zijn niet openbaar. Ik kan dan ook geen uitspraken doen over de scores van individuele instellingen. In algemene zin is het volwassenheidsniveau van de benchmark IBP-E de afgelopen jaren gegroeid: voor informatiebeveiliging was de gemiddelde score in 2018 een 2,4, in 2019 een 2,5 en in 2020 een 2,8 op een schaal van 1 tot 5.

Vraag 10

Klopt het dat het eindresultaat van de benchmark IBP-E MBO voor alle onderdelen in 2020 uitkwam op een gemiddelde volwassenheid van 2,8? Heeft u inzichtelijk wat de resultaten van de benchmark IBP-E van individuele mbo-instellingen zijn? Zo ja, bent u bereid dit met de Kamer te delen? Zo nee, waarom niet?

De benchmark IBP-E meet aan de hand van ruim 100 statements de volwassenheid van de informatiebeveiliging van de instelling op een schaal van 1 tot 5. Daarbij is niveau 3 het ambitieniveau. Een gemiddeld volwassenheidsniveau van 3 wordt beschouwd als een goede balans tussen kosten en baten van de informatiebeveiliging. Het klopt dat het volwassenheidsniveau van de benchmark IBP-E gemiddeld uitkwam op 2,8. Net onder het gestelde ambitieniveau. De benchmark IBP-E heeft een tweeledig doel. Enerzijds geeft deze een goed beeld van de gemiddelde volwassenheid van de mbo-sector op het gebied van informatiebeveiliging. Anderzijds geeft deze benchmark individuele mbo-instellingen inzicht in de mate waarin hun maatregelen rond informatiebeveiliging succesvol zijn geïmplementeerd en levert zo een roadmap voor de mbo-instelling. Voor de betrouwbaarheid – en daarmee het nut – van deze benchmark is het belangrijk dat de mbo-instellingen zonder enige terughoudendheid hun kwetsbaarheden kunnen aangeven. Daarom is ervoor gekozen om de resultaten anoniem te verwerken: uitsluitend de instelling zelf ziet de eigen scores en kan deze vergelijken met het landelijk gemiddelde. Een tweede belangrijke reden om deze resultaten niet openbaar te maken is dat het hier om gevoelige informatie gaat.
Ik ga met de mbo-sector in gesprek over de impact van de hack bij ROC Mondriaan op de door de sector te nemen maatregelen. Ik neem hierin de aanbevelingen uit het Inspectierapport over de digitale weerbaarheid in het Hoger Onderwijs mee4.

Vraag 11

Hoeveel werknemers van ROC Mondriaan zijn doorgaans betrokken bij het informatieveiligheidsproces?

Bij ROC Mondriaan zijn vijf personen betrokken bij de informatiebeveiliging. Een incident zoals de hack bij ROC Mondriaan is vaak het gevolg van menselijk handelen. Informatiebeveiliging gaat daarmee elke medewerker, docent en student aan.

Vraag 12

Worden de gegevens van de studenten, cursisten en medewerkers al op internet aangeboden? Zo ja, zijn de studenten, cursisten en medewerkers hiervan op de hoogte gesteld?

De hackers hebben op 14 september jl. buitgemaakte gegevens op het internet gepubliceerd. Op dit moment wordt door een gespecialiseerd IT-bedrijf onderzocht om welke informatie het precies gaat. Het is al wel duidelijk dat het om informatie gaat zoals klassenlijsten, mails en financiële gegevens van ROC Mondriaan. ROC Mondriaan zal de studenten, cursisten en medewerkers die het betreft zo snel mogelijk hierover informeren.

Vraag 13

Kunnen de studenten van ROC Mondriaan vanaf maandag 30 augustus 2021 wel gewoon naar school en krijgen ze fysiek les van docenten? Wat houdt les krijgen in een «aangepaste vorm» precies in?

Maandag 30 augustus jl. zijn de scholen van ROC Mondriaan open gegaan en kregen de studenten ook weer fysiek les. Dit ging wel in aangepaste vorm, omdat bestanden en de meeste applicaties niet toegankelijk waren. De vorm waarin het onderwijs wordt gegeven hangt uiteraard af van hoe afhankelijk een opleiding is van de geautomatiseerde systemen. Een ict-opleiding is uiteraard meer afhankelijk van de inzet van digitale leermiddelen dan andere mbo-opleidingen.

Vraag 14

Aangezien benodigde bestanden, applicaties en systemen volgens ROC Mondriaan vooralsnog ontoegankelijk zijn, kan er al een inschatting worden gemaakt van de verwachte onderwijsachterstand van studenten en cursisten eind 2021? Zo nee, wanneer kan zo’n inschatting wel worden gemaakt?

Op dit moment is er nog geen duidelijk beeld of en in welke mate er sprake is van door deze situatie ontstane onderwijsachterstanden. ROC Mondriaan zet alles op alles om er voor te zorgen dat het onderwijs zo goed mogelijk door gaat. Om dit te bereiken worden bijvoorbeeld, in het belang van de continuïteit van het onderwijs, examens afgenomen bij andere instellingen.

Vraag 15

Kunt u al een inschatting maken van de schade en kosten die deze hack heeft veroorzaakt?

ROC Mondriaan is nog druk bezig met de herstelwerkzaamheden als gevolg van de hack. Er is nog geen inschatting van de schade en kosten.

Vraag 16

Kunt u bovenstaande vragen afzonderlijk beantwoorden?

Ja.

Vraag 17

Kunt u bovenstaande vragen voor het commissiedebat «Digitalisering in het onderwijs» van 30 september 2021 beantwoorden?

Ja.

Vraag 1

Hoeveel mensen zijn de dupe geworden van dit datalek als het gaat om de gevolgen voor hun vakantieplannen? Welke alternatieve mogelijkheden worden de getroffen mensen proactief geboden om een test voor reizen te kunnen krijgen om toch tijdig gereed te zijn voor hun vakantie c.q. reis? Hoe is of wordt hierover gecommuniceerd met de betrokken mensen?

Testaanbieder Testcoronanu BV heeft aangegeven dat op het moment van het incident 17.638 mensen nog een testafspraak hadden staan. Ik heb Testcoronanu BV verzocht om mensen die al wel getest waren en op korte termijn reizen hun testuitslag op een veilige andere wijze (bijvoorbeeld op papier) te verstrekken. Daarnaast is Testcoronanu BV verzocht om alle personen die nog een testafspraak hadden staan persoonlijk te informeren en door te verwijzen naar andere testaanbieders via het afsprakenportaal. Reeds uitgegeven QR-codes bleven geldig.

Vraag 2

Klopt het dat in de brief te lezen is dat de testaanbieder verantwoordelijk is te onderzoeken of anderen dan de RTL-journalist zich toegang hebben verschaft tot de database? Gaat u erop toezien dat dit onderzoek degelijk wordt uitgevoerd en dat de bevindingen met u gedeeld worden?

Dit klopt. Het Ministerie van VWS maakt het voor testaanbieders mogelijk om aan te sluiten op CoronaCheck en beoordeelt deze aanvragen. In dat kader doet het ministerie onderzoek naar de juistheid van de aangeleverde bewijsstukken door Testcoronanu BV. Testcoronanu BV is zelf verantwoordelijk voor de veiligheid van hun systemen en persoonsgegevens. De testaanbieder heeft aangegeven een extern onderzoeksbureau te hebben ingeschakeld om dit incident nader te onderzoeken. Ik heb van de testaanbieder begrepen dat hierbij ook wordt nagegaan of anderen, naast de RTL-journalist, zich toegang hebben verschaft tot de betreffende database. In het kader van stelselbewaking (zie ook artikel 14 van de aansluitvoorwaarden) heb ik Testcoronanu BV gevraagd om de uitkomsten van dit onderzoek, zodra dit kan, ook met mij te delen.

Vraag 3

Deelt u de mening dat het wenselijk is te weten hoeveel mensen uiteindelijk misbruik hebben gemaakt van dit lek en negatieve testbewijzen hebben gegenereerd? Wat gaat u met deze informatie doen? In hoeverre kunnen deze onterecht verkregen negatieve testbewijzen alsnog worden ingetrokken?

Deze mening deel ik. De testaanbieder doet hier nu nader onderzoek. Zie hiervoor ook het antwoord op vraag 2.

Vraag 4

Klopt het dat in de database gegevens van 60.000 mensen te vinden waren inclusief hun volledige namen, woonadressen, e-mailadressen, telefoonnummers, Burgerservicenummers, paspoortnummers en medische gegevens? Zijn er indicaties dat deze gegevens door criminelen zijn buitgemaakt? Zo ja, wat gaat u doen om te voorkomen dat deze mensen slachtoffer worden van bijvoorbeeld phising of identiteitsfraude?

De testaanbieder heeft aangegeven dat vanaf het moment van aansluiten tot zaterdag 17 juli de gegevens van in totaal 60.541 personen in de betreffende database hebben gestaan. De database in kwestie werd, aldus de testaanbieder echter periodiek opgeschoond en daarom wordt dit aantal door de testaanbieder als bovengrens gehanteerd. Er hebben ons geen signalen bereikt dat anderen dan de RTL-journalist zich toegang hebben verschaft tot de database teneinde gegevens in te zien of te wijzigen. Zoals ook in de beantwoording op vraag 2 is aangegeven, doet de testaanbieder hier momenteel nader onderzoek naar.

Vraag 5

De Begeleidingscommissie Digitale Ondersteuning Bestrijding Covid-19 heeft in februari en april van dit jaar geadviseerd over privacybescherming en een toelatingskader voor apps met vaccinatie en/of testbewijzen, wat is er met deze adviezen gedaan?

In de stand van zaken covid-19 brief van 23 februari jl.1ben ik nader ingegaan op het advies van de Begeleidingscommissie Digitale Ondersteuning Covid-19 over het toelatingskader voor apps met vaccinatie- en/of testbewijzen.2 Dit advies zag op applicaties van derden en is nog niet aan de orde geweest omdat ik mijn aandacht vooralsnog richt op door de overheid gerealiseerde toepassingen voor zowel digitale als niet digitale test-, vaccinatie- en herstelbewijzen, in dit geval CoronaCheck. De adviezen gegeven in april jl. met betrekking tot het Europees Digitaal Covid Certificaat (DCC) zijn meegenomen in de uitwerking van het DCC. Hierover heb ik uw Kamer in de stand van zaken covid-19 brief van 28 mei jl. geïnformeerd.3

Vraag 6

Klopt het dat in de brief is te lezen dat elke testaanbieder na aansluiting periodiek en actief wordt gemonitord? Wat is het verschil tussen monitoring, actieve en periodieke monitoring en hoe dragen deze verschillende soorten monitoring bij aan de veiligheidswaarborgen?

Het Ministerie van VWS stelt aan testaanbieders die aangesloten willen worden op CoronaCheck strenge aansluitvoorwaarden. Deze voorwaarden zijn ook openbaar in te zien via rijksoverheid.nl.4 Na aansluiting is de testaanbieder zelf verantwoordelijk voor het loggen en monitoren van hun systeem. Het Ministerie van VWS monitort in het kader van stelselcontrole of aangesloten testaanbieders de aansluitvoorwaarden naleven en met pentesten of er kwetsbaarheden zijn die moeten worden opgelost. Bevindingen uit deze monitoring worden met de testaanbieders gedeeld zodat zij deze kunnen oplossen. Indien nodig kan in voorkomende gevallen tot afsluiting worden over gegaan zoals bij Testcoronanu BV het geval is geweest.

Vraag 7

In de brief is te lezen dat testaanbieders een pentestrapportage moeten overhandigen, welke eisen worden gesteld aan de pentest? Wat wordt de testaanbieder geacht te doen met de uitkomsten van de pentest en hoe ziet u hierop toe?

Testaanbieders moeten ervoor zorgdragen dat de aansluiting op CoronaCheck op een wijze is beveiligd die in overeenstemming is met geldende wet- en regelgeving, waaronder in het bijzonder de AVG en de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg. Als onderdeel van de aansluitprocedure wordt gevraagd om ter ondersteuning hiervan bewijsstukken aan te leveren die onder meer bestaan uit een DPIA en een pentestrapportage. De eisen aan de pentestrapportage staan in artikel 9 van de eisen voor informatiebeveiliging en privacybescherming.5
De pentesten moeten opgesteld zijn aan de hand van de internationale standaard Penetration Execution Standard (PTES). De aangeleverde pentestrapportage mag geen openstaande bevindingen met een CVSS-score (Common Vulnerability Scoring System) van 4,0 of hoger bevatten. Gevonden risicovolle bevindingen moeten zijn opgelost en er moet een hertest hebben plaatsgevonden. Naast de door de testaanbieder aan te leveren pentestrapportage wordt in de aansluitprocedure nu ook door het Ministerie van VWS een extra controle ter verificatie van de pentest uitgevoerd. Ook hiervoor geldt dat bevindingen opgelost moeten zijn voordat kan worden overgegaan op formele aansluiting van de testaanbieder op CoronaCheck.
Zoals ik in mijn antwoord op vraag 2 aangeef, loopt er een onderzoek vanuit het ministerie naar de juistheid van de aangeleverde bewijsstukken door Testcoronanu BV.

Vraag 8

Softwarecode is doorgaans aan verandering onderhevig, welke criteria stelt u aan het opnieuw uitvoeren van een pentest na het wijzigen van de softwarecode?

Bij substantiële wijzigingen van bijvoorbeeld de softwarecode moet dit door de aangesloten testaanbieders aan VWS gemeld worden. Er wordt vervolgens nagegaan in welke gevallen een nieuwe beoordeling, en dan ook een nieuwe pentest, voor de aansluiting op CoronaCheck noodzakelijk is.

Vraag 9

Heeft Testcoronanu gebruik gemaakt van externe mensen of partijen bij het maken van hun digitale product? Zo ja, zijn deze mensen of partijen ook betrokken bij andere digitale overheidsoplossingen en deelt u de mening dat die andere oplossingen gecontroleerd moeten worden op privacy, veiligheid en betrouwbaarheid?

De testaanbieder heeft aangegeven dat er sprake is van een of meerdere externe dienstverleners die betrokken zijn geweest bij de ontwikkeling. Ik heb geen zicht op de opdrachtenportefeuille van deze dienstverleners.

Vraag 10

Worden de bewijsstukken van alle aanbieders onderzocht, voordat tot aansluiting wordt overgegaan? Zo ja, hoe worden de bewijsstukken gecontroleerd en beoordeeld?

Testaanbieders moeten ter aansluiting op CoronaCheck voldoen aan een uitgebreide set aansluitvoorwaarden met betrekking tot technische vereisten en informatiebeveiliging. Deze zijn openbaar en te vinden via de website van de rijksoverheid. De aansluitvoorwaarden vormen een juridische overeenkomst tussen de Staat der Nederlanden (het Ministerie van VWS) en de testaanbieder bij de aansluiting op de app. Hieruit moet blijken dat voldaan wordt aan wet- en regelgeving én aan de geldende normen voor informatiebeveiliging in de zorg (waaronder NEN7510, 7512, 7513). De aansluiting vindt via een aantal stappen plaats waarbij er ook naar bewijsstukken zoals een DPIA en pentestrapportage wordt gevraagd. Deze stukken worden met behulp van een beoordelingssjabloon (zie ook bijlage)6 gecontroleerd en beoordeeld aan de hand van de aansluitvoorwaarden. Pas na volledige beoordeling hiervan en mits er geen risicovolle bevindingen meer zijn geconstateerd kan worden overgegaan op formele aansluiting van de testaanbieder op CoronaCheck.

Vraag 11

Klopt het dat Testcoronanu een (tweede data)lek heeft veroorzaakt door alle emailadressen van de mensen waarvan hun coronatest werd geannuleerd, in de CC te zetten? Hoe beoordeelt u dit?

Net als u ben ik bekend met de berichtgeving hierover. In het algemeen moet met persoonsgegevens zeer zorgvuldig worden omgegaan, in het bijzonder met medische persoonsgegevens. Het is in deze aan de Autoriteit Persoonsgegevens om hierop toe te zien.

Vraag 12

Bent u bereid de bevindingen van hun onderzoek naar de aangeleverde stukken, zoals een Data Protection Impact Assessment (DPIA) en pentestrapportage met de Tweede Kamer te delen? Zo nee, waarom niet? Zo ja, wanneer kan de Kamer deze verwachten?

Het Ministerie van VWS heeft nader onderzoek gestart naar de juistheid van de aangeleverde bewijsstukken. Indien deze bevindingen aanleiding geven om de aansluitvoorwaarden aan te passen zal ik deze uiteraard met uw Kamer delen. Ik kan echter niet toezeggen dat ook de door de testaanbieder aangeleverde DPIA’s en pentestrapportages met uw Kamer worden gedeeld. Conform de aansluitvoorwaarden zijn zij zelf verwerkingsverantwoordelijke in het kader van de AVG en voeren eigenstandig een DPIA en beveiligingsonderzoeken uit.

Vraag 1

Bent u bekend met het bericht «Coronavirus en de uitfasering van Interconnecting Leased Lines (ILL) en (WLR) ISDN 15/20/30/30CPA1»? Wat vindt u daarvan?

Ja, ik ben bekend met dit bericht. De uitfasering van de genoemde diensten en onderliggende technieken is de laatste stap in het uitfaseren van de traditionele technologieplatformen van KPN. KPN is sinds 2017 bezig met het afschakelen van deze technieken.2 Het aantal gebruikers van deze traditionele diensten neemt namelijk al jaren gestaag af door de opkomst van digitale alternatieven zoals Voice over IP, hoogwaardige IP-breedbanddiensten en gebruik van mobiele telefonie. Ook is het onderhouden van verouderde technieken en bijbehorende diensten ingewikkeld, benodigde onderdelen van de apparatuur worden schaarser en maatwerkoplossingen bij de klant om de levensduur te rekken vergroten de kans op storingen. Ik vind het een logische en goede ontwikkeling dat de overstap naar hoogwaardigere technieken gemaakt wordt. Dit is in het belang van zowel de telecomaanbieder als de eindgebruiker. Oude technieken in de lucht houden voor een sterk afgenomen aantal klanten past daar niet bij. Uitfasering van diensten die aan het einde van hun levensduur zijn is onvermijdelijk en kan ook niet tegenhouden worden. Ik vind wel dat uitfasering zorgvuldig moet gebeuren en tijdig en duidelijk moet worden aangekondigd, en dat samen met de klanten die nog gebruik maken van de betreffende dienstverlening gekeken moet worden naar een passend alternatief. Dit vraagt om tijdige actie van zowel de telecomaanbieder als de klant zelf. Zoals in het door de vraagsteller aangehaalde bericht is vermeld, heeft KPN reeds op 20 juli 2018 aangekondigd dat deze dienstverlening wordt uitgefaseerd. Tele2, die voor de dienstverlening het KPN-netwerk gebruikt, heeft evenwel gecommuniceerd niet te gaan stoppen met de IDSN-30-dienstverlening.3 Dit heeft gezorgd voor verwarring bij klanten over het al dan niet moeten migreren naar andere technieken. Dit is onwenselijk en vraagt een passende oplossing. In het antwoord op de vragen 2 t/m 4 ga ik hier nader op in.

Vraag 2

Bent u ervan op de hoogte dat voor de uitfasering van ISDN30 en andere technieken door KPN een deadline wordt gehanteerd van 1 april 2022 en dat Tele2 een deadline hanteert van 1 oktober 2021 in plaats van april 2022? Bent u ervan op de hoogte dat belangenverenigingen Federatie Veilig Nederland (waaronder particuliere alarmcentrales) & WDTM (zorgtechnologie, e-health en zorginnovatie) aangeven dat, mede door de coronapandemie, de Tele2-deadline van 1 oktober 2021 veel te krap is, en dat een aantal leden van deze twee belangenverenigingen aangeeft de migratie naar een nieuwe oplossing voor tienduizenden cliënten niet tijdig te kunnen realiseren? Hoe beoordeelt u het risico dat alarmberichten en de daarachterliggende hulpvraag na 1 oktober wellicht niet meer worden ontvangen door de zorg- en alarmcentrales?

Vraag 3

Deelt u de de mening dat het onwenselijk is dat door een niet betrouwbaar netwerk de dienstverlening van de betreffende zorg- en alarmcentrales, veiligheidsrisico’s ontstaan? Zo nee, waarom niet?

Vraag 4

Bent u bereid te kijken naar een tijdelijke oplossing waarbij de continuïteit van de dienstverlening gewaarborgd blijft, zodat de cliënten en hun naasten zich geen zorgen hoeven te maken over de stabiliteit van hun netwerk en dus hun eigen veiligheid? Welke oplossing zou dat kunnen zijn?

Vraag 5

Kunt u deze vragen zo snel mogelijk beantwoorden, in ieder geval ruim voor 1 oktober 2021?

Ja.