Open Kamerbeta

Kamervragen

Titel
Status
Indiener (persoon)
Indiener (partij)
63 kamervragen gevonden
beantwoord onbeantwoord uitgesteld
Alle
23 april 2021 - 2 juni 2021
Het bericht ‘Powering pandemic response in the Netherlands’
Lisa van Ginneken (D66)
Ferdinand Grapperhaus (minister justitie en veiligheid) (CDA)
1. Palantir.blog: 14 februari 2021 https://blog.palantir.com/powering-pa…
  • Vraag 1

    Bent u bekend met het bericht «Powering pandemic response in the Netherlands»?1

    Ja.

  • Vraag 2

    Kunt u aangeven met wie specifiek Palantir het contract voor deze opdracht heeft getekend?

    Het betreft een deelcontract tussen de zes zuidelijke Veiligheidsregio’s en Palantir voor een pilot binnen het samenwerkingsproject Fieldlab Zuid6 van deze zes veiligheidsregio’s. De directeur van de veiligheidsregio Limburg-Noord heeft mij gemeld dat hij namens de directeuren van de zes regio’s het contract met Palentir heeft ondertekend. Binnen het Fieldlab Zuid6 werken zij samen aan innovaties op het gebied van informatiegestuurde veiligheid.

  • Vraag 3

    Kunnen de precieze afspraken die met Palantir gemaakt zijn openbaar gemaakt worden? Zo nee, waarom niet?

    De overeenkomsten van Fieldlab Zuid6 met Palantir bestaan uit één overeenkomst voor de pilot, twee tussentijdse verlengingen (één verlenging voor 3 maanden en één verlenging voor 3 weken) en een beëindigingsovereenkomst. Deze zijn als vertrouwelijk gemarkeerd. Hoewel deze overeenkomsten om concurrentieredenen de status «vertrouwelijk» hebben gekregen, heeft de directeur van de Veiligheidsregio Limburg-Noord mij gemeld dat ze indien nodig openbaar gemaakt kunnen worden.

  • Vraag 4

    Is voor deze opdracht een Data Protection Impact Assessment (DPIA) uitgevoerd? Zo nee, waarom niet? Zo ja, kan deze openbaar gemaakt worden?

    Er is voor deze opdracht geen DPIA uitgevoerd, omdat in deze pilot alleen openbare en publiek toegankelijk data is gehanteerd. Een DPIA is alleen nodig als het project een risico oplevert in verband met de verwerking van persoonsgegevens. Dat was in dit project niet van toepassing. Omdat er in deze pilot geen persoonsgegevens zijn verwerkt, werd een DPIA niet noodzakelijk geacht op grond van de AVG (artikel 35).

  • Vraag 5

    Tot welke informatie en data had Palantir toegang tijdens deze opdracht?

    In deze pilot is alleen openbare en publiek toegankelijke data gebruikt2.

  • Vraag 6

    Hoe is erop toegezien dat Palantir alleen tot de hoogstnoodzakelijke informatie en data toegang had en deze alleen kon gebruiken voor de duur van de opdracht?

    De pilot vond plaats in een cloud omgeving, gehost in Europa, die los stond van de informatie-infrastructuur van de veiligheidsregio’s. In die cloud omgeving werd alleen gewerkt met bovengenoemde data. Palantir had geen toegang tot andere data van de veiligheidsregio’s.

  • Vraag 7

    Was u op de hoogte van de reputatie van Palantir voordat dit contract gesloten werd?

    Bij aanvang van het project waren de ondertekenaars niet op de hoogte van eventuele vraagtekens bij de reputatie van Palantir.

  • Vraag 8

    Welke afspraken zijn met Palantir nog meer gemaakt voor toekomstige opdrachten en projecten?

    Over toekomstige opdrachten en projecten zijn met Palantir binnen het Fieldlab Zuid6 geen afspraken gemaakt.

  • Vraag 9

    Kunt u deze vragen elk afzonderlijk beantwoorden?

    Ja.

20 april 2021 - 12 mei 2021
Het ILT Onderzoeksrapport Stichting Waternet
Lisa van Ginneken (D66), Tjeerd de Groot (D66)
Cora van Nieuwenhuizen (minister infrastructuur en waterstaat) (VVD)
  • Vraag 1

    Hoe beoordeelt de Minister de conclusie van de Inspectie Leefomgeving en Transport (ILT) dat er een verhoogd – maar moeilijk te kwantificeren – risico aanwezig is op een cyberincident met mogelijke gevolgen voor de kwaliteit en/of de continuïteit van drinkwater?

    Ik ga uit van het oordeel dat de ILT in het inspectierapport over de cyberweerbaarheid bij Waternet heeft gegeven. Er wordt op het gebied van cybersecurity niet voldaan aan de Wet beveiliging netwerk- en informatiesystemen (Wbni) en de Drinkwaterwet. Waternet staat daarom onder verscherpt toezicht. Het is de eerste keer in Nederland dat een drinkwaterbedrijf door de ILT onder verscherpt toezicht wordt geplaatst omdat de grip op de cyberweerbaarheid niet op orde is. Voor Waternet is het nu de opgave om er met prioriteit voor te zorgen dat de cyberverdediging weer op orde is. Hiertoe heeft Waternet op 29 april jl. een verbeterplan bij de ILT ingediend. Het is nu aan de ILT om in het kader van het verscherpt toezicht de uitvoering van het verbeterplan actief te bewaken.

  • Vraag 2

    Taxeert de Minister dat dit risico aanvaardbaar is, hangende het verscherpte toezicht? En zo nee, wat gaat de Minister doen om de risico’s beter in beeld te krijgen en te beheersen?

    Op dit moment doen zich voor zover mij bekend geen acute risico’s voor bij Waternet ten aanzien van de veiligstelling van de openbare drinkwatervoorziening die aanleiding zouden kunnen zijn tot verdere interventies. De ILT heeft tot op heden geen incidentmeldingen ingevolge de Wbni of Drinkwaterwet met betrekking tot de levering en kwaliteit van drinkwater ontvangen die kunnen worden gerelateerd aan het geconstateerde verhoogde risico voor cyberincidenten. In mijn Kamerbrief van 4 november 20201 heb ik toegelicht dat de eindverantwoordelijkheid voor cybersecurity bij Waternet (drinkwaterrelevante deel) primair bij het bestuur van de gemeente Amsterdam ligt. De ILT constateert dat het risicomanagement bij Waternet onvoldoende op orde is. Het is daarom in de eerste plaats aan het Stichtingsbestuur van Waternet en de gemeente Amsterdam om invulling te geven aan de bestuurlijke taxatie van de risicoacceptatie van de digitale beveiliging in relatie tot de bedrijfscontinuïteit. Dit overeenkomstig de bepalingen omtrent de risicogebaseerde aanpak in de bijlage bij artikel 3a, eerste lid, van het Besluit beveiliging netwerk- en informatiesystemen (Bbni).2
    Waternet heeft op basis van de gesignaleerde tekortkomingen in het ILT-rapport een verbeterplan ingediend. De ILT zal beoordelen of de onderbouwing van de risicoacceptatie en daarbij gehanteerde systematiek (en prioriteit van te nemen risicobeheersingsmaatregelen) van Waternet voldoende is. Vervolgens moet Waternet de noodzakelijke risicobeheersingsmaatregelen treffen om de cybersecurity in voldoende mate op orde te krijgen. Daar kan ik nu niet op vooruit lopen.

  • Vraag 3

    Wat is de Minister voornemens te doen om het tempo te verhogen van het implementeren van de door de ILT voorgestelde oplossingen?

    In het verbeterplan dat door Waternet aan de ILT is aangeboden is voor alle in het ILT-rapport vermelde tekortkomingen aangegeven hoe en wanneer deze zijn opgelost, inclusief de stappen op weg daarnaartoe. Het is aan de ILT om te beoordelen of de planning en uitvoering van de voorgestelde maatregelen voldoet en de voortgang daarvan gedurende het verscherpte toezicht te bewaken.

  • Vraag 4

    Wordt er in het verscherpte toezicht ook nader gekeken naar de organisatiestructuur en de besturing van de organisatie, en de bijdrage die dat volgens het ILT-onderzoek levert aan de tekortkomingen in de cybersecurity? Zo ja, op welke manier? Zo nee, waarom niet?

    Ja. Het oplossen van de tekortkomingen in de besturing, zoals in het onderzoek aangegeven, maakt onderdeel uit van het verbeterplan van Waternet. Waternet pakt zaken op die op korte termijn verbeterd kunnen worden en evalueert de zaken waarvoor een meer structurele verandering noodzakelijk is die meer voorbereiding vraagt. Gedurende het onderzoek heeft Waternet al stappen gezet die bijdragen aan de verbetering van de cybersecurity, bijvoorbeeld door de aanstelling van een CIO (Chief Information Officer). Bij het verscherpt toezicht onderhoudt de ILT intensief contact met Waternet over de voortgang van de verbeteringen.

  • Vraag 5

    Zijn er naast het verscherpte toezicht nog andere stappen die door u of de ILT worden gezet om te zorgen dat de cybersecurity bij Waternet structureel verbetert? Welke stappen worden er door de organisatie van Waternet zelf precies gezet en dragen die naar uw mening voldoende bij aan het voorkomen van cyberincidenten?

    De ILT beoordeelt eerst het verbeterplan dat door Waternet is opgesteld. Waternet is nu aan zet om de gesignaleerde tekortkomingen te verbeteren. De ILT monitort de voortgang daarvan.
    Voor wat betreft de andere stappen heb ik u in mijn brief van 2 april 20213 toegezegd om u ten behoeve van de commissievergadering Water en Wadden van 10 juni as. schriftelijk te informeren over de vervolgacties in het kader van het versterken van cybersecurity in watersector. De instrumenten die in het kader van dit programma worden ontwikkeld, zijn ook bedoeld voor de structurele verbetering van de cyberweerbaarheid van Waternet. Hierbij gaat het onder andere om de Ministeriële Regeling beveiliging netwerk- en informatiesystemen die voor alle AED’s van IenW per 1 juli as. in werking treedt en om de ontwikkeling van een brede cyberstandaard/handreiking voor de procesautomatisering als aanvulling op deze regeling en de Baseline Informatiebeveiliging Overheid (BIO). Daarnaast wordt specifiek voor de drinkwatersector een haalbaarheidsstudie gestart naar de samenwerkingsopties voor een security operations centre (SOC) en is een serious game op het gebied van cybersecurity, crisismanagement en operationele technologie ontwikkeld. Verder wordt een Red Team Blue Team training voor professionals in de watersector aangeboden, waaraan ook Waternet deelneemt.

  • Vraag 6

    Kunt u deze vragen elk afzonderlijk beantwoorden?

    Ja.

15 april 2021 - 31 mei 2021
Het bericht ‘'Gluurapparatuur' in trek door thuiswerken, vakbonden bezorgd’.
Lisa van Ginneken (D66), Steven van Weyenberg (D66)
Wouter Koolmees (minister sociale zaken en werkgelegenheid, viceminister-president ) (D66)
1. NOS, 9 april 2021, https://nos.nl/artikel/2375956-gluurapparatuur-in-…
  • Vraag 1

    Bent u bekend met het bericht ««Gluurapparatuur» in trek door thuiswerken, vakbonden bezorgd»?1

    Ja.

  • Vraag 2

    Bent u het eens dat de inzet van gluurapparatuur door werkgevers bij werknemers thuis te ver gaat?

    Vertrouwen tussen werkgever en werknemer is de basis voor een goede arbeidsrelatie. Het is in sommige gevallen toegestaan om werknemers te controleren, maar hieraan zijn wel strikte voorwaarden gesteld om de privacy van werknemers te waarborgen. Bijvoorbeeld als mensen in toenemende mate thuis of op afstand werken. Zo moet de werkgever goed beargumenteren waarom het noodzakelijk is om werknemers te controleren. De werkgever moet ook beargumenteren waarom het bedrijfsbelang zwaarder weegt dan het belang van de werknemer, namelijk het recht op privacy. Ook dient de werkgever de werknemer vooraf te informeren dat er gecontroleerd kan worden. Daarnaast heeft een ondernemingsraad (OR) op grond van de Wet op de Ondernemingsraden (WOR) instemmingsrecht ten aanzien van voorgenomen besluiten van de ondernemer inzake regelingen betreffende personeelsvolgsystemen en omtrent het verwerken van en de bescherming van persoonsgegevens van de personen die in de onderneming werkzaam zijn.
    De belangrijkste voorwaarden voor de controle op werknemers zijn vastgelegd in de Algemene verordening gegevensbescherming (AVG) en de Uitvoeringswet AVG (UAVG). Op de website van de Autoriteit Persoonsgegevens (AP) is een overzicht van en toelichting op alle voorwaarden te vinden.2
    Het maakt niet uit of het werk thuis of op de werkplek plaatsvindt. De regels voor controle van werknemers zijn in beide gevallen gelijk. De werkgever mag de werknemer dus niet opeens intensiever monitoren omdat het werk vanuit huis wordt uitgevoerd.

  • Vraag 3

    Aan welke waarborgen moet toezicht op de werkplek thuis voldoen?

    Zie het antwoord op vraag twee.

  • Vraag 4

    Constaterende dat de Autoriteit Persoonsgegevens (AP) eerder aanbevelingen voor privacy bij digitaal thuisonderwijs heeft gepubliceerd, bent u bereid de AP te verzoeken om soortgelijke aanbevelingen op te stellen met betrekking tot thuiswerken en privacy?

    Op dit moment zie ik geen aanleiding om de AP te verzoeken om aanvullende informatie over thuiswerken en privacy te publiceren. Op de website van het AP3 staat uitgebreide informatie over de voorwaarden die gelden voor het controleren van werknemers. Zoals aangegeven maakt het niet uit of het werk thuis of op de werkplek plaatsvindt. De regels voor controle van werknemers zijn in beide gevallen gelijk. Tot slot dient te worden opgemerkt dat de AP uiteraard zelf gaat over het inrichten van zijn toezicht en daarbij eigen keuzes en afwegingen maakt.

  • Vraag 5

    Op welke manier hebben vakbonden of de ondernemingsraden een rol in het vaststellen van beleid op toezicht bij thuiswerken?

    Zoals aangegeven heeft de OR op grond van de WOR instemmingsrecht ten aanzien van voorgenomen besluiten van de ondernemer tot vaststelling, wijziging of intrekking van een regeling inzake voorzieningen die gericht zijn op of geschikt zijn voor waarneming van of controle op aanwezigheid, gedrag of prestaties van de in de onderneming werkzame personen. Besluiten omtrent de vaststelling, wijziging of intrekking van een regeling omtrent personeelscontrole- of personeelsvolgsystemen, zoals monitoringssoftware, dienen dus vooraf aan de OR te worden voorgelegd ter instemming. De OR heeft ook instemmingsrecht ten aanzien van een regeling omtrent het verwerken van en de bescherming van de persoonsgegevens van de in de onderneming werkzame personen. Daarnaast heeft de OR adviesrecht ten aanzien van een voorgenomen besluit tot invoering of wijziging van een belangrijke technologische voorziening.
    Werknemersorganisaties zouden het onderwerp toezicht bij thuiswerken mee kunnen nemen in het cao-overleg met werkgevers(organisaties). Het is echter aan werkgevers en werknemers om afspraken te maken over arbeidsvoorwaarden en een cao af te sluiten. Zij bepalen dan ook welke onderwerpen zij in dat kader willen bespreken.

  • Vraag 6

    Welke rechten hebben werknemers wanneer zij thuiswerken en hun werkgever wil controleren of zij wel of niet aan het werk zijn? Verschilt dat van de situatie dat iemand op kantoor werkt?

    Zoals aangegeven in het antwoord op vraag twee maakt het niet uit of het werk thuis of op de werkplek plaatsvindt. De regels voor controle van werknemers zijn in beide gevallen hetzelfde. De werkgever mag de werknemer dus niet opeens intensiever monitoren omdat het werk vanuit huis wordt uitgevoerd.

  • Vraag 7

    Wanneer is er sprake van een privacy-schending en in welke gevallen is het raadzaam dat mensen de overtreding melden bij de AP?

    In het antwoord op vraag twee ben ik ingegaan op de voorwaarden die gelden voor de controle op werknemers. Als een werknemer vermoedt dat deze voorwaarden worden overtreden dan kan hij hierover eerst in gesprek gaan met zijn werkgever. Ook kan hij hiervoor terecht bij de ondernemingsraad of de vertrouwenspersoon, indien aanwezig. Ook kan er een melding worden gedaan bij de AP. Op de website van de AP staat informatie over het melden van een klacht.4 In het uiterste geval heeft de werkgever of de werknemer de mogelijkheid om naar de kantonrechter te stappen als binnen de arbeidsrelatie geen overeenstemming bereikt kan worden over de mate waarin of de wijze waarop het controleren van de werknemer door de werkgever plaatsvindt.5

  • Vraag 8

    Welke rol heeft de Inspectie SZW bij het toezicht op thuiswerken door werkgevers, bijvoorbeeld in het kader van recht op een veilige werkplek?

    De werkgever is verantwoordelijk voor het bieden van een gezonde en veilige werkplek. Het laten thuiswerken kan één van de maatregelen zijn, waarmee de werkgever de werkplek veiliger kan maken. Ook in de thuiswerksituatie moet de werkgever werknemers zoveel mogelijk beschermen. De werkgever is verplicht een actuele risico-inventarisatie en evaluatie (RI&E) te hebben waar onder andere rekening wordt gehouden met alle risico’s die er in verband met het werk, en dus ook met thuiswerken, aan de orde zouden kunnen zijn. De RI&E vormt daarmee een ingang voor de Inspectie SZW om te controleren of werkgevers de risico’s in verband met thuiswerken onderkennen en vervolgens maatregelen treffen. Het toezicht op de thuiswerkplek richt zich voor de Inspectie SZW op het controleren van het beleid van de werkgever ten aanzien van thuiswerken.
    Met betrekking tot de monitoringsoftware biedt de Arbeidsomstandighedenwet geen grondslag voor de Inspectie SZW om toezicht te houden op dergelijke controlemechanismen. De gegevens die worden verzameld door de toepassing van monitoringsoftware kunnen direct worden gelinkt aan individuele medewerkers. Om deze reden zijn deze gegevens te beschouwen als persoonsgegevens in de zin van de AVG. Het onrechtmatig en disproportioneel verwerken van persoonsgegevens is een overtreding van de AVG. Het toezicht op de naleving van de AVG ligt bij de Autoriteit Persoonsgegevens (AP).

  • Vraag 9

    Bent u bereid om in uw gesprekken met sociale partners over criteria voor thuiswerken ook het toezicht & controle op de werkplek thuis te agenderen en te kijken of er tot goede afspraken kan worden gekomen?

    Ik voer structureel overleg met de sociale partners over de gevolgen van het langdurig en grootschalig thuiswerken tijdens de corona-pandemie. Het is goed dat de vakbonden met de signalen die zij ontvangen het gesprek aangaan met werkgevers. Thuiswerken zal waarschijnlijk ook na de coronacrisis in veel sectoren een rol blijven spelen. Het is dus verstandig dat werkgevers en werknemers alvast in gesprek gaan over de mogelijke gevolgen hiervan. Om werkgevers en werknemers hierbij te ondersteunen heeft het demissionaire kabinet eind maart jl. de SER om een breed advies gevraagd over de toekomst van hybride werken. Met hybride werken wordt de combinatie van thuiswerken en werken op locatie (bijvoorbeeld op kantoor) bedoeld. Met het advies van de SER in de hand kan het nieuwe kabinet een Agenda voor de toekomst van hybride werken vormgeven. Het doel van deze agenda is dat de samenleving, werkgevers, werknemers, het kabinet en andere relevante partijen beter kunnen anticiperen op de ontwikkelingen rond hybride werken na de coronacrisis.