Vraag 1

Kent u het bericht «Problemen bij belastingaangifte»1 en de brief van Stichting Door en Voor daarover2?

Ja, ik ken het bericht «Problemen bij belastingaangifte» en de brief van Stichting Door en Voor daarover.

Vraag 2

Is het waar dat vanwege het afschaffen van de elektronische handtekening bij het doen van belastingaangifte het voor anderen, waaronder de genoemde stichting, moeilijker is geworden om kwetsbare burgers die daartoe niet zelf in staat zijn te helpen bij hun belastingaangifte? Zo nee, wat is er dan niet waar?

Uit overwegingen van veiligheid heeft de Belastingdienst besloten niet langer de mogelijkheid te bieden door middel van een pincode de belastingaangifte te ondertekenen. Voor een aantal zogeheten maatschappelijke intermediairs is voor de belastingaangiften over 2012 en 2013 nog een uitzondering gemaakt, waarbij onder voorwaarden een pincode ter beschikking is gesteld. Daarbij is telkens aangegeven dat sprake was van een overgangssituatie omdat de mogelijkheid van het aangifteprogramma met pincode gebruik te maken definitief werd uitgefaseerd. Maatschappelijke intermediairs zijn vanuit de Belastingdienst vorig jaar ook nog actief met deze mededeling benaderd; bij die gesprekken zijn ook de beschikbare alternatieven geschetst. Het beeld is op dit moment als volgt:
Er zijn organisaties die kiezen voor een oplossing met commerciële software met een ingebouwd certificaat. De kosten hierbij zijn vaak gestaffeld afhankelijk van het aantal aangiften.
Er zijn organisaties die kiezen voor een oplossing met DigiD en machtigen. Aan DigiD en machtigen zijn geen kosten verbonden.
Er zijn organisaties die de burger zelf «aan het toetsenbord laten zitten», burger logt zelf in, invuller vult aangifte in, burger ondertekent zelf. Omdat er zelf aangifte wordt gedaan, brengt deze oplossing geen extra kosten met zich mee.
Er zijn organisaties die kiezen voor een oplossing met E-Herkennen en machtigen. De kosten bestaan uit een vast bedrag en een bedrag per invuller.
Er zijn organisaties die samenwerking zoeken met andere organisaties die een van de bovenstaande oplossingen gebruiken.
Er zijn organisaties die stoppen met de service en doorverwijzen naar andere organisaties.
Waar nodig zijn organisaties geholpen bij de implementatie van de door hen gekozen oplossing, bijvoorbeeld door ze enkele dagen te begeleiden in het gebruik van het door hen gekozen alternatief. Een dergelijk aanbod geldt uiteraard ook voor de Stichting Door en Voor.

Vraag 3

Deelt u de mening van de Stichting Door en Voor dat het aanvragen van DigiD-codes voor honderden mensen praktisch niet haalbaar is en bovendien onwenselijk om privacy redenen? Zo nee, waarom niet?

DigiD-codes kunnen alleen worden aangevraagd door de burger zelf. Het aanvragen van «honderden» DigiD-codes door een maatschappelijk intermediair is dus niet mogelijk en zeker niet gewenst. Er zijn, zoals in het antwoord op vraag 2 is aangegeven, andere mogelijkheden waardoor hulp geboden kan worden aan mensen die niet zelf in staat zijn aangifte te doen of om een DigiD-code aan te vragen.

Vraag 4

Zijn u meer signalen bekend dat sinds het doen van belastingaangifte met een elektronische handtekening niet meer kan, kwetsbare burgers problemen hebben met het doen van aangifte? Zo ja, waar bestaan die signalen uit en hoeveel burgers betreft het naar schatting? Zo nee, bent u bereid zich in deze problematiek te verdiepen en de Kamer daarover op korte termijn te rapporteren?

Er zijn andere partijen geweest die aangegeven hebben een probleem te hebben. Deze partijen zijn zoals in antwoord op vraag 2 is aangegeven, gewezen op de beschikbare alternatieven en waar nodig geholpen bij de implementatie van de door hen gekozen oplossing.

Vraag 5

Ziet ook u de problemen die de genoemde stichting in haar brief schetst namelijk dat het doen van aangifte via DigiD voor deze groep te gecompliceerd is en dat professionele hulp niet altijd betaalbaar is? Zo ja, wat gaat u doen om deze groep te helpen bij het doen van aangifte en op welke termijn gaat u dit doen? Zo nee, waarom ziet u die problemen niet?

Zoals in het antwoord op vraag 2 is aangegeven zijn er verschillende mogelijkheden om als maatschappelijk intermediair belastingaangifte te doen voor een burger die dat niet zelf kan en die ook niet zelf een DigiD kan aanvragen. Bovendien is er de Hulp bij Aangifte die door de Belastingdienst zelf wordt geboden. Voor de in de vraag bedoelde groep zijn er naar mijn oordeel voldoende mogelijkheden om (gratis) hulp te krijgen bij het doen van de belastingaangifte.

Vraag 1

Is het waar dat op 10 februari 2015 de website www.rijksoverheid.nl meerdere uren onbereikbaar was? Zo ja, welke overheidssites zijn nog meer door deze storing getroffen?

Ja. De storing betrof in ieder geval de twee grote websites rijksoverheid.nl en Defensie.nl, die een belangrijke functie hebben in het communiceren van informatie van de rijksoverheid naar het algemeen publiek. Daarnaast zijn diverse kleine websites geraakt, die zijn gericht op de communicatie met specifieke groepen. De websites van Geenstijl en Telfort zijn ook getroffen.

Vraag 2

Waardoor werd deze storing veroorzaakt en waarom duurde deze zolang?

De storing werd veroorzaakt door een DDoS aanval. De storing duurde zo lang, omdat deze vanwege de complexiteit door de leverancier in eerste instantie als een technische storing en niet als een DDoS aanval werd beoordeeld. Toen de conclusie was, dat het een DDoS aanval betrof, was deze binnen enkele uren afgeslagen.

Vraag 3

Welke impact heeft deze storing gehad op het werk van de rijksoverheid en op mensen die overheidsinformatie zochten?

De impact op medewerkers van de rijksoverheid is beperkt tot medewerkers die voor rijksoverheid.nl of de andere getroffen websites werken. Redacteuren konden gedurende de storing geen informatie op de websites plaatsen. De publieksvoorlichters van het loket «Informatie rijksoverheid» konden gedurende de storing de website niet als bron gebruiken voor het beantwoorden van vragen per telefoon of e-mail
Mensen die tijdens de storing informatie van de rijksoverheid zochten, hebben hiervoor rijksoverheid.nl of de andere getroffen websites niet kunnen gebruiken. De vragen van mensen die de publieksvoorlichting «Informatie rijksoverheid» hebben gebeld zijn genoteerd. Na het oplossen van de storing zijn alle vragen, afhankelijk van de voorkeur van de vragensteller, per e-mail of telefoon alsnog beantwoord.
Voor informatie, zoals brieven van de ministers aan de Staten-Generaal, is rijksoverheid.nl niet de enige bron. Deze zijn als Kamerstukken bijvoorbeeld ook op de website van de Tweede Kamer te vinden.

Vraag 4

Welke technische maatregelen zijn genomen om te voorkomen dat de centrale informatiesite van de rijksoverheid langdurig onbereikbaar is? Waardoor hebben deze maatregelen niet gewerkt?

Voor de site rijksoverheid.nl en de andere getroffen sites van de rijksoverheid is een set aan beveiligingsmaatregelen (inclusief back-up) genomen, die normaliter afdoende is om DDoS aanvallen te weerstaan of binnen korte tijd op te lossen. Regelmatig vinden DDoS aanvallen plaats. In vrijwel alle gevallen worden deze met succes afgeslagen en blijft de aanval onopgemerkt voor het publiek. Heel 2014 had rijksoverheid.nl een uitval van 0%. Echter, in dit geval is dit niet afdoende gebleken omdat de leverancier eerst aan een andere oorzaak van de storing dacht (zoals in vraag 2 is vermeld).

Vraag 5

Wat voor acties overweegt u om een urenlange onbereikbaarheid van de website van de rijksoverheid in de toekomst te voorkomen?

De leverancier zal een verbeterplan opstellen, waarbij het Ministerie van Algemene Zaken en het Nationaal Cyber Security Centrum (NCSC) nauw betrokken zijn. De analysemethode zal daarvan onderdeel zijn.
Daarnaast is het goed om te beseffen dat ondanks alle inspanningen er altijd een kans blijft op incidenten. Kwaadwillende personen vinden steeds weer mogelijkheden om nieuwe en aanvullende beveiligingsmaatregelen te doorbreken. Deze terugkerende aanvallen vragen om een continue inspanning en toenemende investeringen in tooling en maatregelen Het gaat erom om tegen aanvaardbare kosten de risico’s zo minimaal mogelijk te maken.

Vraag 6

Worden voor dienstverlenende overheidswebsites waarbij onbereikbaarheid een zeer grote impact heeft, zoals de Rijksdienst voor het Wegverkeer (RDW) of de Belastingdienst, extra technische maatregelen genomen om de bereikbaarheid te waarborgen? Zo ja, welke? Hadden die deze storing kunnen voorkomen of verkorten? Zo nee, waarom niet?

Zowel de RDW als de Belastingsdienst hebben beveiligingsmaatregelen genomen om DDoS aanvallen te weerstaan of binnen korte te tijd af te slaan, een zg. anti-DDoS wasstraat, die verschillende technieken omvat. Zij hebben geen last van deze DDoS aanval gehad. De DDoS aanvallen zijn de laatste tijd tot nu toe zonder al te veel problemen voor de bereikbaarheid afgeweerd.
Het NCSC ondersteunt de overheid en de vitale sectoren onder andere door nieuwe beschikbare informatie over cyberaanvallen te delen met de overheidsorganisaties om er lering uit te trekken en te bezien of (nieuwe) extra maatregelen moeten worden genomen.
Gezien de rapportage van de leverancier zelf (zie vraag 2) heeft de duur van de storing niet gelegen aan de beveiligingsmaatregelen, maar aan de analyse van de storing.

Vraag 1

Heeft u kennisgenomen van de reactie van uw Belgische collega Tommelein op de nieuwe gebruikersvoorwaarden van Facebook en het daarop volgende verzoek van Facebook voor een gesprek?1 Herinnert u zich uw antwoorden op eerdere Kamervragen over het privacybeleid van Facebook van 23 december 2014?2

Ja.

Vraag 2

Deelt u de mening van uw Belgische collega dat politieke stellingname de toezichthouders op privacy kan steunen in hun werk, met name waar het grote multinationals betreft? Zo nee, waarom niet? Zo ja, wat is uw mening over de nieuwe gebruiksvoorwaarden van Facebook?

De wetgever heeft het toezicht op de naleving en de handhaving van de Wet bescherming persoonsgegevens opgedragen aan een onafhankelijk orgaan, het College bescherming persoonsgegevens (CBP). De onafhankelijke positie van het CBP moet worden gerespecteerd. Daarbij past het dat leden van de regering grote terughoudendheid betrachten met het doen van uitspraken over de privacyvoorwaarden die bedrijven of instellingen, van welke aard en omvang dan ook, hanteren. Een oordeel over de privacyvoorwaarden van Facebook moet ik dan ook aan het CBP laten.

Vraag 3

Bent u ook van mening dat de Europese landen samen moeten optrekken in de verdediging van privacy, in het bijzonder als het gaat om grote buitenlandse bedrijven? Zo ja, hoe gebeurt dit en wat is de rol van de regering daarin? Zo nee, waarom niet?

Ik zie zeker ruimte voor het gezamenlijk verdedigen van het recht op bescherming van persoonsgegevens door Europese landen. Nederland doet daar op actieve wijze aan mee, in de Europese Unie en in de Raad van Europa. Uw Kamer wordt driemaandelijks op gedetailleerde wijze op de hoogte gehouden van de wijze waarop Nederland zich in deze internationale organisaties sterk maakt voor gegevensbescherming.

Vraag 4

Heeft u ook zorgen over het privacybeleid van Facebook, die u graag in een persoonlijk gesprek zou willen uiten? Zo nee, waarom niet? Zo ja, wat gaat u doen om een gesprek te organiseren?

Het CBP onderzoekt welke gevolgen de nieuwe voorwaarden hebben voor de privacy van Facebook-gebruikers in Nederland. Zoals ik in de beantwoording op eerdere Kamervragen3 reeds heb aangegeven, zal ik dit onderzoek afwachten. De vraag hoe de positie van Nederland ten aanzien van Facebook zich verhoudt tot die van andere landen, zal eerst dan kunnen worden beantwoord. Ik acht het niet juist om het onderzoek van het CBP te doorkruisen door zelf in contact te treden met Facebook.

Vraag 1

Bent u bekend met het artikel «Beveiligingslek banken maakte phishing mogelijk»?1

Ja.

Vraag 2

Deelt u de mening dat het onacceptabel is dat de websites van banken zo eenvoudig aan te passen zijn door kwaadwillenden? Bent u er ook zo van geschrokken dat bij alle grote Nederlandse consumentenbanken dit beveiligingslek is geconstateerd?

De websites van banken dienen robuust te zijn en een veilig betalingsverkeer te waarborgen. Het is goed dat de onderzoeker het betreffende lek heeft gemeld. Dit maakt dat banken maatregelen kunnen nemen om het probleem te verhelpen. De Nederlandse banken en de overheid spannen zich in om een zo veilig mogelijke dienstverlening te leveren. De beveiliging zal in de praktijk echter nooit voor honderd procent waterdicht zijn.
De bancaire sector heeft onder meer een beleid voor responsible disclosure opgesteld en dit breed ingevoerd.2 In dit openbaringsbeleid kunnen personen die kwetsbaarheden signaleren in een bancair systeem op een verantwoordelijke wijze dit melden bij de betreffende bank, waarna het vervolgens wordt opgelost. In deze casus is gehandeld conform het door de banken opgestelde responsible disclosure beleid.
Gezien de ontwikkeling van cyberdreigingen heeft DNB de eisen die zij stelt aan onder toezicht staande instellingen wat betreft de analyse en beheersing van IT-risico’s vanaf dit jaar verzwaard. Banken moeten aantonen hun beheersprocessen continu te evalueren en (indien nodig) te verbeteren. De complexiteit van de IT-infrastructuur en de maatregelen die de detectie van en reactie op cyberdreigingen verbeteren, zijn daarbij belangrijke aandachtspunten.

Vraag 3

Is dit beveiligingslek gebruikt door criminelen voor phishingpraktijken? Volgens het artikel komen soortgelijke beveiligingslekken vaak voor; in hoeverre is die constatering correct? Bent u bekend met eerder gebruik van soortgelijke beveiligingslekken?

De banken testen zelf op beveiligingslekken en zorgen dat hun systemen regelmatig worden geüpdate. Banken nemen bij het testen voor de invoering van software mitigerende maatregelen om kwetsbaarheden in productie te voorkomen. Het probleem van de in het artikel genoemde «cross site scripting» is vaker geconstateerd en eerder aangepakt door de banken. De Betaalvereniging Nederland heeft aangegeven niet bekend te zijn met aanvallen waarin gebruik werd gemaakt van het aangekaarte lek of vergelijkbare lekken.

Vraag 4

Wordt er gegarandeerd dat iedere consument of ondernemer die middels deze phishingpraktijken gedupeerd is snel en volledig de schade door banken vergoed krijgt?

Volgens de Betaalvereniging Nederland zal bij de aangekaarte vorm van phising er niet snel sprake zijn van grove nalatigheid. Het uitgangspunt is dat indien consumenten schade leiden, de banken de schade vergoeden tenzij er sprake is van grove nalatigheid. Voor de beantwoording van deze vraag verwijs ik u graag naar de Kamerbrief «Initiatiefnota over veilig en betrouwbaar bankieren in de 21e eeuw» d.d. 18 december 2014.(Kamerstuk 34 033, nr. 3)

Vraag 5

Vindt u dat banken genoeg investeren in het beveiligen van hun ICT-infrastructuur? In hoeverre werken banken samen op het gebied van digitale beveiliging? Zijn banken verplicht beveiligingsproblemen die zij ontdekken te delen met concurrerende banken? Zou dit de veiligheid van online bankomgevingen ten goede kunnen komen?

Banken en andere schakels in het betalingsverkeer investeren in het beveiligen van de interbancaire infrastructuur. DNB beoordeelt als toezichthouder op de bedrijfsvoering van banken in hoeverre deze investeringen afdoende zijn. Banken bewaken zelf continu de veiligheid van hun websites en gebruiken tevens het responsible disclosure beleid hiervoor.
Het delen van informatie en samenwerking tussen banken op dit terrein vindt al plaats. Banken hebben diverse overleggen, waarin ze onderling, maar ook samen met de overheid overleggen over potentiële beveiligingsproblemen en mogelijk te nemen maatregelen. Hier wordt ook informatie gedeeld over het responsible disclosure beleid en de ervaringen hiermee.

Vraag 6

In het verleden heeft ook DigiD vergelijkbare beveiligingsproblemen gehad; in hoeverre zijn dit soort beveiligingsproblemen uit te sluiten? Hoe kwetsbaar zijn andere overheidsloketten, zoals van gemeentes, provincies en de politie?

Dergelijke beveiligingsproblemen zijn nooit helemaal uit te sluiten. Voor het veiliger ontwikkelen, beheren en aanbieden van webapplicaties en bijbehorende infrastructuur kunnen partijen binnen maar ook buiten de overheid gebruik maken van de ICT-beveiligingsrichtlijnen voor webapplicaties van het Nationaal Cyber Security Centrum (NCSC). Deze ICT- beveiligingsrichtlijnen voor webapplicaties van het NCSC zijn in samenwerking met de Auditdienst Rijk (ADR), Logius, OWASP Nederland, Kwaliteitsinstituut Nederlandse Gemeenten (KING), Belastingdienst, diverse gemeenten en marktpartijen tot stand gekomen.3

Vraag 1

Heeft u kennisgenomen van het bericht «Alleen Duitsers straks nog baas op Facebook»?1

Ja.

Vraag 2

Is het waar dat Duitsers straks een unieke positie hebben doordat zij als enige Europeanen Facebook voor de rechter kunnen dagen als hun naam, foto’s en video’s gebruikt worden en gebruikers in andere landen, waaronder Nederland, dit recht niet hebben? Zo ja, hoe en waarom kunnen Duitsers dit recht wel blijven behouden en hoe kan het dat er specifieke voorwaarden gelden die alleen op Duitsland van toepassing zijn? Zo nee, wat is er dan niet waar?2

Facebook heeft eind november aangekondigd per 1 januari 2015 wereldwijd nieuwe privacyvoorwaarden door te voeren. Het CBP gaat onderzoeken welke gevolgen dit heeft voor de privacy van Facebook-gebruikers in Nederland, onder meer hoe toestemming wordt verkregen voor het gebruiken van hun persoonsgegevens. Ik zal dit onderzoek afwachten en acht daarom de vraag hoe de positie van Nederland ten aanzien van Facebook zich verhoudt tot die van Duitsland, nu nog niet aan de orde.

Vraag 3

Is het waar dat de Europese activiteiten van Facebook, door het hoofdkantoor in Dublin, onder de Ierse wet en privacyvoorwaarden vallen? Zo ja, wat betekent dit voor de bescherming van de privacy in Nederland van Nederlandse gebruikers van Facebook en de toepasselijkheid van Nederlands recht? Zo nee, welke wettelijke en privacyvoorwaarden zijn dan wel van toepassing?

Het College bescherming persoonsgegevens (CBP) heeft aangegeven dat Facebook een vestiging heeft in Nederland, persoonsgegevens van inwoners in Nederland verwerkt en dat het CBP bevoegd is om als toezichthouder op te treden. Dit is in lijn met een uitspraak van het Europese Hof van Justitie in de zaak Google tegen Spanje van 13 mei 2014.

Vraag 4

Is de inhoud van het genoemde bericht voor u aanleiding om de vernieuwde Facebook voorwaarden te laten onderzoeken door het College bescherming persoonsgegevens (CBP) of ziet u aanleiding om andere stappen te ondernemen? Zo ja, waar richt het onderzoek zich dan op of welke andere acties overweegt u? Zo nee, waarom niet?

Het CBP is een onafhankelijke toezichthouder en bepaalt zelf waarnaar het onderzoek doet. Het CBP heeft op 16 december 2014 aangekondigd het door Facebook aangekondigde nieuwe privacybeleid te onderzoeken. De aanleiding is de recente aankondiging van het bedrijf dat per 1 januari 2015 nieuwe privacyvoorwaarden zullen gelden voor Facebook-gebruikers. De privacyvoorwaarden geven Facebook onder meer het recht om gegevens en foto’s uit Facebook-profielen te gebruiken voor commerciële doeleinden. Het CBP heeft Facebook in een brief verzocht te wachten met het doorvoeren van het nieuwe privacybeleid tot de resultaten van het onderzoek bekend zijn.

Vraag 5

Deelt u de mening dat de privacybescherming van Nederlandse gebruikers van Facebook minimaal gelijk moet zijn aan de bescherming van gebruikers uit andere EU-landen? Zo ja, hoe gaat u dit bewerkstelligen en op welke termijn? Zo nee, waarom niet?

Alle EU-landen dienen zich in ieder geval minimaal aan de EU-richtlijnen inzake privacy-bescherming te houden. Voor verdere inhoudelijke oordelen wacht ik de resultaten van het door het CBP aangekondigde onderzoek af. Ik verwijs ook naar de antwoorden op de vragen 1 en 4.

Vraag 1

Heeft u kennisgenomen van het bericht «Licence fine forces town to drop move to alternative office tools»1, waarin staat dat de gemeente Arnhem, bij wijze van boete voor het ongelicentieerd gebruik van office-software, gedwongen zou zijn een licentie van drie jaar te kopen voor € 600.000?

Binnen de gemeente Arnhem wordt Office-software gebruikt waarvan een deel toe was aan vervanging. In de begroting voor 2014 zijn de kosten van vervanging begroot, maar is ten onrechte het aantal thuiswerkplekken niet meegeteld. Dit is in overleg met de leverancier duidelijk geworden en gecorrigeerd. Samen met een te lage inschatting van vervangende software (de nieuwe software bleek duurder dan verwacht), verklaren de extra licenties voor de thuiswerkplekken de extra kosten die gemaakt moesten worden, te weten 600.000 euro. Er is geen sprake van een boete die zou zijn opgelegd.

Vraag 2

Is het waar dat de gemeente Arnhem dit bedrag heeft moeten betalen om verdere juridische stappen te voorkomen ten gevolge van onrechtmatig gebruik in het verleden en daarmee voor de komende jaren een licentie heeft op het betreffende softwarepakket? Zo nee, wat is de feitelijke situatie?

Vraag 3

Deelt u de mening dat deze werkwijze leidt tot gedwongen winkelnering door de leverancier van de software, doordat de gemeente gedwongen wordt om nieuwe licenties voor de huidige software te kopen en de overstap naar open source software onvoordelig wordt? Zo nee, waarom deelt u die mening niet?

Nee. Gebruikers van software weten dat aan het gebruik van de software gebruiksvoorwaarden zijn verbonden en, in het geval van closed source software, dat daaraan ook licentiekosten verbonden zijn. Licentiekosten kunnen een reden zijn om over te stappen op open source software, maar, als men een dergelijke overstap wil doen, gaat dat niet van stel op sprong gezien de onderlinge verwevenheid van de binnen de organisatie gebruikte ICT systemen. Bij de gemeente Arnhem is geen sprake van gedwongen winkelnering om vast te houden aan de gesloten software.

Vraag 4

Herkent u het beeld dat gemeenten die aankondigen over te willen stappen naar open source software extra streng gecontroleerd worden door hun huidige aanbieders van closed source software? Wilt u inventariseren hoeveel gemeenten hiermee geconfronteerd zijn?

Zie antwoord vraag 3.

Vraag 5

Bent u van mening dat er sprake is van een handelspraktijk die onwenselijk is? Zo nee, waarom niet? Zo ja, wat kunnen gemeenten of u hiertegen doen?

Zie antwoord vraag 3.

Vraag 6

Deelt u de mening dat gemeenten in optimale vrijheid de keus moeten kunnen maken tussen closed en open source software? Zo ja, hoe wilt u gemeenten helpen om de dreiging met boetes wegens ongeoorloofd gebruik tot redelijke proporties terug te brengen, en zodanig vorm te geven dat ze de toekomstige keus voor software niet beïnvloeden?

Gemeenten hebben hun eigen verantwoordelijkheid in aankoopbeleid. De overheid hanteert een pas-toe-of-leg-uit-beleid ter stimulering van het gebruik van open standaarden die vrij zijn om te gebruiken en door iedere leverancier in software kunnen worden ingebouwd. Dit leidt tot een eenvoudiger uitwisseling van gegevens, vergroot de keuzevrijheid van overheden en stimuleert de marktwerking. Het Forum Standaardisatie – dat uit vertegenwoordigers van het bedrijfsleven, de wetenschap en de overheid bestaat – adviseert de overheid over de te gebruiken open standaarden.

Vraag 1

Kent u het bericht «Koper breekijzer in regio Ede krijgt aandacht politie»?1

Ja.

Vraag 2

Is het waar dat de politie in de regio Ede camerabeelden en verkoopregistratiegegevens van bouwmarkten gaat controleren met betrekking tot kopers van specifiek gereedschap? Zo nee, wat is er dan niet waar?

De betreffende politie-eenheid is een samenwerking aangegaan met de plaatselijke bouwmarkten. De deelnemende bouwmarkten zagen het als hun maatschappelijke verantwoordelijkheid om de politie informatie te verschaffen over aankopen die naar hun inschatting verdacht zijn en mogelijk te maken hebben met de voorbereiding van een inbraak. Het is dus niet zo dat de politie beelden of gegevens vordert. De bouwmarkten bepalen zelf welke voorvallen zij onder de aandacht van de politie willen brengen naar aanleiding van verdacht gedrag en/of verdachte interesse voor (onlogische combinaties van) gereedschap. Zo blijkt uit ervaringen van de bouwmarkten onder meer dat de grootste exemplaren voorhamers slechts enkele keren per jaar bij een vestiging worden verkocht en dat een aanzienlijk deel van die aankopen verdacht is. De politie beoordeelt of zij de aangedragen situaties ook verdacht vindt en bekijkt vervolgens de betreffende beelden.

Vraag 3

Op welk gereedschap gaat de politie concreet controleren? Hoe wordt bepaald of een bepaalde soort gereedschap al dan niet geschikt is om inbraken mee te plegen?

Zie antwoord vraag 2.

Vraag 4

Wat zegt het in strafrechtelijke zin als iemand die eerder voor een strafbaar feit is veroordeeld een grote schroevendraaier in een bouwmarkt in Ede koopt? Wat kan de politie concreet doen met dergelijke informatie?

Dit project is gericht op het opwerpen van barrières voor het aanschaffen van gereedschap met als doel om dit te gebruiken bij het plegen van woninginbraken. Dit project is dus niet rechtstreeks gericht op opsporing in strafrechtelijke zin. Als op de camerabeelden personen te zien zijn die de politie herkent als actieve inbrekers, dan kan zij deze personen hierop aanspreken. Dit kan op zichzelf al een preventieve werking hebben. Ook kunnen uit dit contact al dan niet gecombineerde met informatie uit andere bronnen aanwijzingen naar voren komen dat er sprake is van strafbare (voorbereidings)handelingen. In dat geval zal verdere actie volgen.

Vraag 5

Hoe vaak is – of wordt naar verwachting – een koper van een gereedschap door de politie aangesproken in verband met zijn aankoop? Op welke manier vindt dat contact plaats?

Dit is tot op heden nog niet voorgekomen.

Vraag 6

Op grond van welke bevoegdheid mag de politie de administratie van winkels gebruiken om te zien wie welke bouwmaterialen heeft gekocht zonder concrete aanwijzingen voor een misdrijf?

Het gaat bij dit project niet om de inzet van een opsporingsmiddel, maar om het kennisnemen van informatie over verdachte situaties die de deelnemende bouwmarkten uit eigen initiatief onder de aandacht van de politie brengen. De politie is op grond van artikel 3 van de Politiewet 2012 bevoegd, en zelfs verplicht, om dergelijke tips te onderzoeken. Onder deze algemene politietaak wordt immers ook begrepen het voorkomen van strafbare feiten, in dit geval het tegengaan van inbraken in woningen.

Vraag 7

Is er bijzondere aanleiding om te veronderstellen dat inbrekers hun inbrekerstuig bij bouwmarkten in de regio Ede kopen en dan daarmee ook nog in die regio inbraken plegen? Zo ja, waaruit blijkt dat? Zo nee, wat zegt dat over de noodzaak en de effectiviteit van het nakijken van camerabeelden en het doorzoeken van administratie?

Fenomeenonderzoek wijst uit dat circa 80% van de inbraken gepleegd wordt door lokale daders. Uit opsporingsonderzoek is meermaals gebleken dat verdachten van misdrijven gereedschappen bij (één of meer van) deze bouwmarkten hebben gekocht die gebruikt zijn bij het plegen van dergelijke strafbare feiten.

Vraag 8

In hoeverre wordt door het bekijken van camerabeelden en het gebruiken van verkoopgegevens de privacy van vele klanten van bouwmarkten geschonden?

De bouwmarkten hebben, net als veel andere winkeliers, een privacyreglement dat mede omvat het houden van toezicht met camera’s en een registratie van betaalgegevens. De politie is op grond van de Wet politiegegevens bevoegd om kennis te nemen van informatie die in de vorm van tips wordt aangeboden. Van een ongeoorloofde schending van de privacy is dan ook geen sprake. Overigens worden door de politie geen gegevens in de vorm van kassabonnen of camerabeelden meegenomen. Hoe effectief deze aanpak in de praktijk is, ook in relatie tot de benodigde inspanning, zal een evaluatie over een langere periode moeten uitwijzen.

Vraag 9

Hoeveel tijd en fte zijn er gemoeid met deze manier van opsporen? Is dit in verhouding met het resultaat van deze opsporingsmethode?

Zie antwoord vraag 8.

Vraag 10

Acht u dit middel proportioneel ten aanzien van enerzijds het doel van het opsporen van inbrekers en anderzijds de effectiviteit van dat middel en de schending van de persoonlijke levenssfeer? Zo ja, waarom? Zo nee, waarom niet?

Zie antwoord vraag 8.

Vraag 11

Deelt u de mening dat de hoop van de politie in Ede dat hun plannen landelijk navolging krijgen voorbarig is zolang niet duidelijk is of die plannen noodzakelijk, effectief en proportioneel ten opzichte van privacyschendingen zijn? Zo ja, hoe gaat u voorkomen dat de plannen van Ede landelijk worden nagevolgd? Zo nee, waarom deelt u die mening niet en krijgt de nationale politie dan de opdracht om het voorbeeld van Ede te volgen?

Ik volg deze aanpak met belangstelling. Hoe effectief deze aanpak in de praktijk is en in hoeverre het de gewenste resultaten oplevert, zal zoals gezegd evaluatie over een langere periode moeten uitwijzen. Voorts is het aan de lokale bouwmarkten in overleg met het lokale gezag om deze aanpak al dan niet verder te ontplooien.

Vraag 1

Waarom heeft u de Kamer niet eigenstandig, maar pas nadat de Kamer daar expliciet om vroeg en het convenant reeds was gesloten, geïnformeerd over de gegevensuitwisseling tussen de Belastingdienst, Algemene Inlichtingen- en Veiligheidsdienst (AIVD), politie en justitie?1

Zoals ik uw Kamer heb bericht in mijn brief van 3 oktober 20142 mogen op grond van artikel 67 van de Algemene wet inzake rijksbelastingen (AWR) de gegevens van de Belastingdienst niet verder worden bekendgemaakt dan noodzakelijk is voor de uitvoering van de belastingwet of voor de invordering, tenzij hier een wettelijke basis voor is. Dat houdt in dat de Belastingdienst nooit gegevens verstrekt met alleen een convenant als basis. Het vereiste van een wettelijke basis is uitgewerkt in artikel 67, tweede lid, AWR dat er voor zover hier van belang op neer komt dat de geheimhoudingsplicht niet geldt:
indien er een wettelijk voorschrift is dat tot de bekendmaking verplicht (een dergelijk voorschrift is bijvoorbeeld 126nd Wetboek van Strafvordering waarin het vorderingsrecht van de officier van justitie is neergelegd);
indien het bekendmaking aan een bestuursorgaan betreft dat is opgenomen in artikel 43c van de Uitvoeringsregeling AWR, omdat de bekendmaking noodzakelijk is voor een goede publiekrechtelijke taakvervulling van dat bestuursorgaan. Ik vermeld in dit verband artikel 43c, eerste lid, onderdeel b, Uitvoeringsregeling AWR voor de AIVD, artikel 43c, eerste lid, onderdeel c, Uitvoeringsregeling AWR voor de MIVD, artikel 43c, eerste lid, onderdelen m en w Uitvoeringsregeling AWR voor de politie en artikel 43c, eerste lid, onderdelen l, m en w Uitvoeringsregeling AWR voor het OM.
De convenanten die zijn afgesloten met de AIVD, politie en OM zijn uitsluitend een uitwerking binnen de grenzen van die wettelijke basis voor de uitvoeringspraktijk. Er bestond dus geen aanleiding deze convenanten aan uw Kamer te doen toekomen.

Vraag 2

Wat houdt het medegebruik door de Belastingdienst van de Automatic Number Plate Recognition (ANPR)-camera’s» van de politie precies in, zoals opgenomen in het onlangs herziene convenant?

Het medegebruik door de Belastingdienst van vaste ANPR-camera’s van de politie op een beperkt aantal locaties op doorgaande wegen houdt in dat de Belastingdienst er uit praktische overwegingen voor heeft gekozen om niet zelf camera’s te plaatsen naast die van de politie, maar de politiecamera’s te gebruiken om foto’s te maken. De door de Belastingdienst gemaakte beelden met de ANPR-camera’s worden rechtstreeks (in real-time) en zonder opslag in een politieomgeving naar de Belastingdienst gezonden. Overigens slaat de Belastingdienst vervolgens niet onbeperkt alle kentekengegevens op. Pas als het fiscaal relevant is, bijvoorbeeld voor het bepalen of er terecht geen bijtelling met betrekking tot de auto van de zaak plaatsvindt, worden de kentekengegevens opgeslagen. Alle niet fiscaal relevante kentekengegevens worden dus niet bewaard in de database van de Belastingdienst.

Vraag 3

Hoe beschouwt u deze nieuwe toepassing van ANPR door gegevens aan de Belastingdienst ter beschikking te stellen dan wel de Belastingdienst zelf ANPR te laten toepassen, tegen de achtergrond dat van een zogeheten function creep, waarbij gegevensverzamelingen voor andere dan het oorspronkelijke doel worden gebruikt, geen sprake mag zijn?

Nadrukkelijk zij vermeld dat er geen sprake is van «ter beschikking stellen van gegevens». Door middel van het medegebruik van de camera's, verzamelt de Belastingdienst zelf gegevens ten behoeve van voor het doel waarvoor ze zijn verzameld, namelijk het uitvoeren van de belastingwetgeving en andere wetgeving waarvan de handhaving is opgedragen aan de Belastingdienst. Zoals in het antwoord op vraag 2 aangegeven bewaart de Belastingdienst daarbij geen gegevens die niet bijdragen aan die taken. De gegevensverzameling van de Belastingdienst wordt dus niet gebruikt voor een ander doel en er is derhalve ook geen sprake van function creep. Van een nieuwe toepassing van de gegevens is geen sprake.

Vraag 4

In hoeverre geldt hier het principe: «Selecteer voor je verzamelt en houdt het sober», teneinde te voorkomen dat alle passanten op de Nederlandse wegen als potentiële verdachten, fraudeurs en belastingontduikers in een centrale database terecht komen?

De Belastingdienst past het genoemde principe ten algemene toe bij het verwerken van gegevens in het kader van de uitvoering van zijn taken, zo ook bij het vastleggen van ANPR-gegevens. De voertuigpassagegegevens worden alleen opgeslagen en bewaard als blijkt dat ze fiscaal relevant zijn. Als dat niet het geval is worden de gegevens direct verwijderd.
Bij de toepassing van ANPR door de politie worden alleen de gegevens bewaard die direct voor de opsporing en de handhaving van belang zijn. De politie voert in het systeem referentielijsten in, waarop de kentekens staan van personen die bijvoorbeeld een boete moeten betalen of die worden gezocht in verband met een misdrijf. Alleen die kentekens leveren, wanneer ze de camera passeren, een hit op. Uitsluitend de hits worden bewaard ten behoeve van een verdere opvolging. Zo draagt het systeem juist bij aan een gerichte handhaving van wet- en regelgeving. Er is dus geen sprake van dat alle passagegegevens in een database worden opgeslagen.

Vraag 5

Hoe verhouden de afspraken in het convenant waarmee de Belastingdienst toegang krijgt tot ANPR gegevens zich tot de conclusie van het College bescherming persoonsgegevens (CBP), die al over ANPR heeft aangegeven dat automatische ketenregistratie van alle passanten op de Nederlandse wegen inbreuk maakt op de persoonlijke levenssfeer van een groot aantal burgers en geen sprake is van aangetoonde noodzakelijkheid, subsidiariteit of proportionaliteit?

Als wordt gedoeld op het convenant dat het gedeeld cameragebruik regelt, dan is het van belang op te merken dat de Belastingdienst alleen de passagegegevens vastlegt van voertuigen die fiscaal relevant zijn. Dit is pas te bepalen nadat de gegevens zijn verzameld. Niet relevante gegevens worden direct verwijderd. Daarmee neemt de Belastingdienst de uitgangspunten van noodzakelijkheid, subsidiariteit en proportionaliteit in acht. Dit convenant bevat geen bepalingen inzake gegevensuitwisseling tussen Belastingdienst en politie/OM omtrent ANPR-gegevens.

Vraag 6

Hoe verhoudt het gebruik van ANPR door de Belastingdienst zich tot de privacywetgeving nu de Belastingdienst die gegevens maar liefst zeven jaar mag bewaren, daar vergaande gevolgen aan kan verbinden aangezien een inspecteur autonoom op basis van die gegevens en waarnemingen een aanslag kan opleggen en zelfs kan menen dat sprake is van fraude en op basis van die gegevens dus een opsporingsonderzoek door de FIOD kan worden geëntameerd met eventuele grote financiële en zelfs vrijheidsbenemende gevolgen van dien, terwijl de politie die gegevens zelf niet mag bewaren?

De bevoegdheden van de Belastingdienst om kentekengegevens te verzamelen, op te vragen en te bewaren zolang dat nodig kan zijn voor de uitvoering van de belastingwetgeving hebben alle een wettelijke basis, meestal de AWR. Datzelfde geldt voor de bevoegdheden van de FIOD, waarbij de bevoegdheden van de FIOD (behalve in de AWR) tevens zijn neergelegd in het Wetboek van Strafvordering. Deze expliciete wettelijke basis en het toepassen van de waarborgen van noodzakelijkheid en proportionaliteit maakt dat de uitoefening van de bevoegdheden van de Belastingdienst bij deze vorm van gegevensuitwisseling in overeenstemming zijn met de eisen van de privacywetgeving.
Zoals blijkt uit mijn antwoord op vraag 2 slaat de Belastingdienst niet alle kentekengegevens afkomstig van de ANPR-camera’s op. Pas als zij fiscaal relevant zijn, worden de kentekengegevens opgeslagen. Alle fiscaal niet-relevante kentekengegevens worden niet bewaard in de database van de Belastingdienst en kunnen dus ook in een later stadium niet meer op een vordering van de officier van justitie worden verstrekt.

Vraag 7

Deelt u de opvatting dat ook het toezicht en de controle op gegevensverzameling en -verwerking door de Belastingdienst aan strikte privacyregels horen te voldoen en actief toezicht noodzakelijk is, juist gezien de verstrekkende mogelijkheden voor de Belastingdienst om over allerhande gegevens van burgers te kunnen beschikken? Zo ja, hoe wordt expliciet ten aanzien van de Belastingdienst voorzien in privacywaarborgen voor burgers?

Ja. De Belastingdienst beschikt in het kader van de aan hem opgedragen taken over veel en ook privacygevoelige gegevens. Daarom is in artikel 67 AWR een strenge geheimhoudingsplicht ter zake van fiscale gegevens opgenomen. Op grond van deze wettelijke geheimhoudingsplicht mogen deze gegevens niet verder worden bekendgemaakt dan noodzakelijk voor de uitvoering van de belastingwet of voor de invordering, tenzij er een wettelijke basis voor die bekendmaking is. Waar de Wet bescherming persoonsgegevens (Wbp) van toepassing is bij iedere vorm van verwerking van persoonsgegevens, gelden de betreffende verplichtingen ook voor de Belastingdienst. De Belastingdienst neemt die verplichtingen in acht bij de verschillende vormen van verwerking van persoonsgegevens waaronder de uitwisseling van gegevens met derden. Actief toezicht op het voldoen van gegevensverwerkingen aan de eisen van de Wbp wordt ingevuld via de functionaris gegevensbescherming. Zie tevens het antwoord op vraag 9.
De Belastingdienst heeft op zijn website een brochure gepubliceerd3 waarin duidelijk wordt gemaakt welk rechten een burger in dit opzicht heeft, zoals het recht op inzage van zijn gegevens en het correctierecht.

Vraag 8

Welke concrete toezichtsinstrumenten zijn georganiseerd om er op toe te zien dat de verstrekking en het gebruik van gegevens verloopt binnen de wettelijke kaders?

De Belastingdienst heeft zijn gegevensverwerkingen op grond van artikel 27 Wbp gemeld bij de functionaris voor de gegevensbescherming zoals bedoeld in artikel 62 van de Wbp. Daarnaast is bij het Ministerie van Financiën een functionaris gegevensbescherming aangesteld die intern toezicht houdt op de verwerking van gegevensbescherming. Zo ziet deze functionaris onder meer toe op het opstellen van Privacy Impact Assessments bij maatregelen waarbij verwerking van persoonsgegevens aan de orde is, en op het juist en tijdig melden van nieuwe verwerkingen van persoonsgegevens bij het CBP.
Zowel voor het verkrijgen door, als het verder verwerken van gegevens binnen de politie en het OM bestaan heldere wettelijke kaders, onder meer de Wet politiegegevens en het Wetboek van Strafvordering, alsmede de Wet Justitiële en Strafvorderlijke Gegevens. Hierop wordt zowel intern als extern toezicht (CBP) uitgeoefend. Wanneer er strafvorderlijke maatregelen worden genomen op basis van de betreffende gegevens, zijn de regels van het procesrecht van toepassing. Betrokkene kan bijvoorbeeld de rechter vragen om uitsluiting van de gegevens, wanneer hij van mening is dat in strijd met de regels is gehandeld (art. 359a Sv).

Vraag 9

Welke bevoegdheden en mogelijkheden hebben het CBP en de interne toezichthouders om actief toezicht te houden? Op welke wijze controleren zij de gegevensverstrekking en gebruik op rechtmatigheid? Vindt deze vooraf en/of achteraf plaats of alleen in geval van klachten?

Voor het antwoord op deze vraag wordt verwezen naar het antwoord op vraag 6 van het lid Gesthuizen (SP) dat gelijktijdig met de beantwoording van deze vragen naar uw Kamer is gestuurd.

Vraag 10

Wordt per individueel geval vastgesteld of sprake is van «noodzakelijke» gegevensinwinning? Zo ja, hoe wordt de noodzakelijkheid bepaald? Zo nee, waar wordt de noodzakelijkheid van de gegevensuitwisseling in concrete gevallen dan op gebaseerd en op welke wijze is die noodzakelijkheid inzichtelijk en toetsbaar voor de rechter?

De inspecteur maakt bij behandeling van een bepaald dossier een afweging omtrent de noodzaak van inwinning van gegevens bij de belastingplichtige zelf en bij derden. In de beschikking die hij mede op basis van deze gegevens neemt, motiveert hij zijn beslissing met verwijzing naar de gegevens en bescheiden die hij heeft ingewonnen en gebruikt om een bepaalde post te toetsen. Deze afweging is toetsbaar voor de rechter in geval tegen de beschikking beroep wordt ingesteld.

Vraag 11

Welke rechtswaarborgen zijn door de betrokken diensten en door u verbonden aan de afspraken in het convenant?

De betrokken diensten handelen binnen de voor hen geldende wettelijke kaders, zoals de Wbp, het Wetboek van strafvordering, de Wet politiegegevens, de AWR en de aan die wetten verbonden uitvoeringsregelingen. Wat betreft het convenant inzake gedeeld cameragebruik tussen Belastingdienst en politie geldt dat dit convenant geen bepalingen bevat inzake onderlinge gegevensuitwisseling van ANPR-gegevens. Waar dat wel het geval is, is de rechtsgrondslag elders gelegen, zoals hiervoor is aangegeven.

Vraag 12

In hoeverre worden burgers extra belast in hun rechtspositie ten opzichte van de overheid doordat gegevens kunnen worden gekoppeld door de Belastingdienst, AIVD dan wel de opsporingsdiensten? Welke rechtsmiddelen staan burgers ter beschikking indien onterecht gegevens zijn verzameld en gebruikt en onjuiste conclusies ten aanzien van personen zijn getrokken op grond van die gegevens?

De uitwisseling van gegevens brengt geen verandering in de rechtspositie van burgers teweeg. Op grond van artikel 359a Sv kan de rechter indien blijkt dat bij het voorbereidend onderzoek vormen zijn verzuimd die niet meer kunnen worden hersteld en de rechtsgevolgen hiervan niet uit de wet blijken, bepalen dat de hoogte van de straf in verhouding tot de ernst van het verzuim, zal worden verlaagd, indien het door het verzuim veroorzaakte nadeel langs deze weg kan worden gecompenseerd, dat de resultaten van het onderzoek die door het verzuim zijn verkregen, niet mogen bijdragen aan het bewijs van het tenlastegelegde feit en dat het Openbaar Ministerie niet ontvankelijk is, indien door het verzuim geen sprake kan zijn van een behandeling van de zaak die aan de beginselen van een behoorlijke procesorde voldoet.
Bij de toepassing van deze bepaling houdt de rechter rekening met het belang dat het geschonden voorschrift dient, de ernst van het verzuim en het nadeel dat daardoor wordt veroorzaakt.
Indien de Belastingdienst onjuiste conclusies trekt uit de door hem verzamelde gegevens zal dit uiteindelijk zijn weerslag vinden in een voor bezwaar vatbare beschikking vaak een belastingaanslag. In eerste instantie kan daartegen bezwaar worden gemaakt bij de Belastingdienst. Vervolgens kan beroep worden ingesteld bij de belastingrechter. Het in algemene zin aan de orde stellen van (vermeend) onterecht verzamelen en verwerken van gegevens door de Belastingdienst kan via een beroep op onrechtmatige daad bij de civiele rechter.

Vraag 13

Op welke wijze geeft u invulling aan de wettelijke eis dat burgers op de hoogte moeten kunnen zijn van de gegevens die over hem of haar worden verzameld en opgeslagen, anders dan alleen middels algemene informatie op de website van de Belastingdienst?

Op grond van artikel 35 Wbp kan een betrokkene zich tot de verantwoordelijke voor de verwerking van persoonsgegevens wenden met een verzoek om een overzicht van de gegevens die over hem worden verwerkt. Een verzoek tot inzage in verwerking van persoonsgegevens kan worden ingediend bij het belastingkantoor waaronder de betrokkene ressorteert. Informatie over het indienen van dergelijke verzoeken is gepubliceerd in de brochure De Belastingdienst en de Wbp (zie ook het antwoord op vraag 7).

Vraag 14

Wat houdt het recht op inzage van eigen gegevens precies in en hoe toegankelijk is de procedure voor burgers om inzage te krijgen in de eigen gegevens en eventueel te corrigeren indien sprake blijkt van onjuistheid?2

Hiervoor verwijs ik naar het antwoord op de vragen 7 en 13.

Vraag 15

Vindt gegevensverstrekking van de Belastingdienst richting de politie in het geheel niet plaats of zijn er andere afspraken dan wel andere convenanten op grond waarvan die verstrekking wel mogelijk is, gelet op het feit dat u in uw brief van 3 oktober 2014 aangeeft dat in dit convenant geen zodanige gegevensverstrekking is geregeld? Zo ja, op grond van welke afspraken is die gegevensverstrekking van de Belastingdienst aan de politie wel mogelijk? Kunt u de Kamer een overzicht toesturen waarin alle afspraken en convenanten aangaande gegevensuitwisseling tussen de Belastingdienst, AIVD, politie, justitie en gemeenten worden weergegeven, inclusief de wettelijke grondslag?3

Voor de goede orde merk ik op, dat er sprake is van een convenant tussen Belastingdienst en politie dat het gedeeld cameragebruik regelt en er is het Convenant ten behoeve van bestuurlijke en geïntegreerde aanpak van georganiseerde criminaliteit, bestrijding handhavingsknelpunten en bevordering integriteitsbeoordelingen, dat de Belastingdienst voor de uitwisseling van gegevens heeft gesloten met een aantal overheidsinstanties ten behoeve van de doeleinden van dit convenant. Op dit laatste convenant doelde ik in mijn brief van 3 oktober 20146 waarin gesteld is dat de Belastingdienst nooit gegevens verstrekt met uitsluitend een convenant als grondslag voor de verstrekking. In convenanten worden alleen werkafspraken vastgelegd voor operationalisering van de gegevensuitwisseling binnen de in het betreffende wettelijke voorschrift opgenomen kaders.
Een groot deel van deze convenanten en protocollen ter uitwerking van artikel 67 AWR en 43c Uitvoeringsregeling AWR is gepubliceerd op de website van de Belastingdienst. Er wordt gewerkt aan completering van dit overzicht.
In die gevallen waarin de politie onder leiding van een officier van justitie bezig is met een strafrechtelijk onderzoek, is gegevensverstrekking door de Belastingdienst aan de politie mogelijk als de officier van justitie daartoe een vordering op basis van het Wetboek van Strafvordering doet.

Vraag 16

Hoe verhoudt het convenant waarmee de Belastingdienst toegang krijgt tot ANPR-gegevens en die vervolgens zeven jaar mag bewaren zich tot het feit dat het wetsvoorstel over ANPR (waarmee de politie diezelfde gegevens over alle passanten op Nederlandse wegen vier weken zou mogen bewaren) door de Kamer is aangehouden juist om naar aanleiding van een uitspraak over dataretentie van het Europees Hof van Justitie een nader advies van de Afdeling advisering van de Raad van State en het CBP te vragen om de internationaalrechtelijke houdbaarheid van ANPR vast te stellen?

Zoals in het antwoord op vraag 2 is uiteengezet, is er sprake van gedeeld cameragebruik, waarbij zowel de Belastingdienst als de politie op basis van een eigen wettelijke grondslag en met een eigen doel gegevens verzamelen die zij rechtstreeks aan de bron (namelijk de gedeelde camera) onttrekken. Feitelijk en juridisch zijn dit twee van elkaar gescheiden gegevensstromen, elk voor het eigen doel en vervolgens gedekt door het geëigende privacyregime, de Wpg voor de politie en de Wbp voor de Belastingdienst. De Belastingdienst krijgt dus geen toegang tot ANPR-gegevens van de politie, maar verzamelt en bewaart zelf gegevens op basis van de AWR. De Belastingdienst verwerkt deze gegevens met als doel de uitvoering van de belastingwetgeving. Volledigheidshalve, maar wellicht ten overvloede benadruk ik dat er in deze opzet dus geen sprake is van gegevensverstrekking door de politie aan de Belastingdienst, en ook niet van gegevensverstrekking door Belastingdienst aan de politie.
De uitspraak van het Europese Hof van Justitie over dataretentie is gebaseerd op het centrale kenmerk dat gegevensverwerking plaatsvindt met als doel de opsporing en vervolging van strafbare feiten. Dat is naar zijn aard een ander doel dan belastingheffing waarvoor andere voorwaarden en overwegingen gelden. Aangezien het wetsvoorstel ANPR ook als doel heeft de opsporing en vervolging van strafbare feiten te dienen is de uitspraak van het Hof relevant voor dat wetsvoorstel, en is het daarom aangehouden. Dat geldt echter niet zonder meer voor de uitvoering van andere overheidstaken, zoals belastingheffing, waarbij sprake is van een ander doel. Anders dan bij hetgeen waar het wetsvoorstel over ANPR op ziet, is dus geen wetswijziging nodig om de wijze van gegevensverwerking in het kader van de belastingheffing mogelijk te maken. De duur van de bewaartermijn van passagegegevens in het wetsvoorstel ANPR is vier weken. Bij de keuze van deze duur is een parallel gemaakt met de bewaartermijn van gemeentelijk cameratoezicht, die ook vier weken is.
Over de gevolgen van de uitspraak van het Hof heeft de Minister van V&J uw Kamer geïnformeerd bij brief van 18 november 2014.

Vraag 1

Heeft u kennisgenomen van het item over beveiligingsproblemen bij Digid in de Uitzending van Opgelicht?1

Ja

Vraag 2

Is het waar dat er een lek in de beveiliging van Digid bij meerdere gemeenten en instanties is of was? Zo nee, hoeveel en welke gemeenten en andere organisaties waren gevoelig voor dit lek?

Nee, er was geen lek in de beveiliging van DigiD. In september van dit jaar is bij Logius door een softwareleverancier melding gemaakt van een kwetsbaarheid in een specifieke versie van hun ContentManagementSysteem (CMS). Na onderzoek van Logius bleek bij 12 gemeenten de koppeling van het betreffende CMS met DigiD zodanig te zijn opgebouwd dat er een potentieel risico bestond dat DigiD misbruikt kon worden.
Logius heeft de namen van de betrokken gemeenten en andere organisaties niet bekend gemaakt omdat het aan de betrokken organisaties zelf is om daar wel of geen mededelingen over te doen. Het betrof immers een kwetsbaarheid in een CMS dat door die organisaties wordt gebruikt.

Vraag 3

Kunt u uitleggen hoe het lek ontstaan is, op welke wijze er gebruik van gemaakt kon worden en welke informatie daarmee verkregen kon worden?

Het betrof een kwetsbaarheid in een specifieke versie van een ContentManagementSysteem. Hackers zouden deze kwetsbaarheid hebben kunnen misbruiken om kwaadaardige software te plaatsen en daarmee in theorie de mogelijkheid hebben om allerlei gegevens en handelingen van bezoekers aan betreffende gemeentesites af te vangen.

Vraag 4

Sinds wanneer zijn de betrokken gemeenten en Logius op de hoogte van het lek? Wat is in de tussentijd gedaan om het lek te dichten en te onderzoeken of er daadwerkelijk mensen slachtoffer zijn geworden van dit lek?

Op 25 september van dit jaar is bij Logius door een softwareleverancier melding gemaakt van een kwetsbaarheid in hun ContentManagementSysteem (CMS). De kwetsbaarheid was volgens de softwareleverancier van het CMS binnen 24 uur na ontdekking (18 september) gedicht. De softwareleverancier heeft een patch ontwikkeld en toegepast bij de getroffen gemeenten om de specifieke kwetsbaarheid te verhelpen. De softwareleverancier heeft de gemeenten daarover geïnformeerd.
Naar aanleiding van het onderzoek uitgevoerd door de softwareleverancier, met ondersteuning van een gerenommeerd beveiligingsbureau, zijn geen sporen aangetroffen die aannemelijk maken dat de systemen gecompromitteerd zijn.
Logius heeft het Nationaal Cyber Security Center (NCSC), de informatiebeveiligingsdienst voor gemeenten (IBD) en het Ministerie van BZK geïnformeerd over de kwetsbaarheid en de gekozen oplossing. De betreffende gemeenten zijn ook onverwijld geïnformeerd door hun leverancier en door Logius.
Hetzelfde gespecialiseerde beveiligingsbureau heeft in opdracht van Logius de kwaliteit van de oplossing van de kwetsbaarheid onderzocht alsook de toepassing op de systemen. Daarbij is vastgesteld dat de kwetsbaarheid door middel van de oplossing is verholpen en niet meer op de getroffen systemen aanwezig is.
Afrondend is ook onderzoek gedaan door Logius naar mogelijke aan deze kwetsbaarheid te relateren onregelmatigheden bij DigiD gebruik. Ook daar is geen reden gevonden te vrezen dat DigiD gegevens in handen van derden zijn gevallen. Dit onderzoek is bij alle 12 gemeenten uitgevoerd. Omdat er in dit geval geen enkele concrete aanwijzing was van exploitatie van deze kwetsbaarheid is van nader onderzoek verder afgezien.

Vraag 5

Zijn alle mensen waarvan de gegevens kwetsbaar geweest zijn door dit lek door de desbetreffende gemeenten en instanties geïnformeerd? Zo nee, waarom niet? Zo ja, wordt hun aangeraden om maatregelen te nemen naar aanleiding van dit lek?

Het al dan niet informeren van burgers is een verantwoordelijkheid van de organisaties zelf.
Naar aanleiding van het onderzoek uitgevoerd door de softwareleverancier, met ondersteuning van een gerenommeerd beveiligingsbureau, zijn geen sporen aangetroffen die aannemelijk maken dat de systemen gecompromitteerd zijn.
Afrondend is ook onderzoek gedaan door Logius naar mogelijke aan deze kwetsbaarheid te relateren onregelmatigheden bij DigiD gebruik. Ook daar is geen reden gevonden te vrezen dat DigiD gegevens in handen van derden zijn gevallen. Dit onderzoek is bij alle 12 gemeenten gedaan.
Voor wat betreft wachtwoorden is het regelmatig wijzigen daarvan een standaardadvies dat Logius continu geeft, onder meer via de website www.digid.nl. Ook zijn de eisen voor DigiD-wachtwoorden sinds mei 2014 verscherpt, waardoor gebruikers met een zwak wachtwoord een nieuw – sterker – wachtwoord moeten aanmaken. Voor nieuwe aanvragen gold deze eis al langer. Deze casus is geen aanleiding geweest om daar gericht nog meer aandacht aan te geven dan al voortdurend wordt gedaan.

Vraag 6

Deelt u de mening dat zeer grondig onderzocht moet worden of er mensen slachtoffer zijn geworden van dit lek in DigiD? Zo ja, klopt het bericht van Fox-IT dat niet bij alle kwetsbare gemeenten en instanties onderzoek is gedaan naar misbruik van het lek? Wilt u alsnog opdracht geven om bij alle betrokken gemeenten en instanties onderzoek te doen naar misbruik van het lek, om een maximale inspanning te doen om alle slachtoffers te achterhalen?

Naar aanleiding van het onderzoek uitgevoerd door de softwareleverancier, met ondersteuning van een gerenommeerd beveiligingsbureau, zijn geen sporen aangetroffen die aannemelijk maken dat de systemen gecompromitteerd zijn. Dit onderzoek is onder een aantal gemeenten uitgevoerd.
Afrondend is ook onderzoek gedaan door Logius naar mogelijke aan deze kwetsbaarheid te relateren onregelmatigheden bij DigiD gebruik. Ook daar is geen reden gevonden te vrezen dat DigiD gegevens in handen van derden zijn gevallen. Dit onderzoek is bij alle 12 gemeenten uitgevoerd.
Omdat in beide onderzoeken geen enkele concrete aanwijzing is gevonden van exploitatie van deze kwetsbaarheid ben ik nog steeds van mening dat nader onderzoek niet nodig is.

Vraag 7

Is het waar dat DigiD gebruik maakt van certificaten die niet voldoen aan de moderne beveiligingseisen? Zo ja, wanneer wordt dit opgelost en waarom zijn deze certificaten niet eerder vervangen?

In de uitzending werd gesteld dat DigiD gebruik zou maken van een certificaat dat niet zou voldoen aan de moderne beveiligingseisen. Dat is niet juist. De in de uitzending getoonde cryptografie maakt geen onderdeel uit van het certificaat. De cryptografie waarmee DigiD wordt beveiligd staat in het certificaat zelf onder het tabblad bij het veld «handtekening hash-algoritme». Het certificaat van DigiD maakt gebruik van het moderne en veilige algoritme SHA256 en niet zoals in de uitzending werd gesuggereerd het minder veilige SHA1 algoritme.

Vraag 8

Deelt u de mening dat het zorgelijk is dat gemeenten belangrijke onderdelen van de infrastructuur voor de digitale overheid zo slecht beheren? Is dit voor u reden om de decentrale infrastructuur, waarbij iedereen verantwoordelijk is voor de beveiliging van zijn eigen systemen, te heroverwegen en bijvoorbeeld een standaard (kern)website voor gemeenten te ontwikkelen?

Nee, ik deel deze mening niet. Er is geen sprake van een zorgelijke situatie. De gemeenten hebben juist een goed informatieveiligheidsbeleid opgezet. In november 2013 hebben gemeenten onderling goede afspraken gemaakt over informatieveiligheidsbeleid in de resolutie Informatieveiligheid, randvoorwaarde voor de professionele gemeenten. De in januari 2013 opgerichte gemeentelijke Informatiebeveiligingsdienst (IBD), ondersteunt gemeenten in bewustwording en met het op een hoger plan tillen van hun informatieveiligheidsbeleid. De IBD heeft, zoals het tot haar taak behoort, adequaat gereageerd op kwetsbaarheden, die er nu eenmaal kunnen zijn in ICT.
Het kwaliteitsinstituut voor Nederlandse Gemeenten (KING) onderzoekt momenteel de mogelijkheid om gemeenten gebruik te kunnen laten maken van een meer gestandaardiseerde (kern)website.

Vraag 9

Welke van de getroffen gemeenten en instanties heeft een positieve audit uit laten voeren op zijn DigiD-systemen? Wat zegt dit over de waarde en de betrouwbaarheid van de audits en welke conclusies verbindt u hieraan?

Gemeenten zijn, net als alle afnemers van DigiD, gehouden te voldoen aan een DigiD beveiligingsassessment. Bij dit beveiligingsassessment worden een selectie van beveiligingsnormen uit de ICT-beveiligingsrichtlijnen voor webapplicaties van het NCSC, door gecertificeerde auditors getoetst. Dat is ook gedaan bij de betrokken organisaties. Deze kwetsbaarheid is niet gebleken in het assessment traject. Logius heeft inmiddels overleg gevoerd met NOREA, de beroepsorganisatie van IT-auditors. Naar aanleiding hiervan is NOREA gestart met een verkennend onderzoek. Overigens is de betreffende kwetsbaarheid door een beveiligingsaudit ontdekt. Dit onderschrijft het nut en de noodzaak voor het uitvoeren van audits.

Vraag 1

Is het «Overzicht organisaties die het Burgerservicenummer gebruiken»1 zoals dat op de website van de rijksoverheid staat volledig en actueel?

Het overzicht zoals dat op de website van de rijksoverheid staat vermeld van organisaties die het Burgerservicenummer gebruiken, is niet volledig en actueel. Hiervoor in de plaats is de website http://www.wiekrijgtmijngegevens.nl/ gekomen waar informatie over welke organisaties het BSN verstrekt krijgen, is opgenomen.

Vraag 2

Is het waar dat scholen die aan derden (bijvoorbeeld ouders) een onkostenvergoeding betalen hiervoor het BSN (of kopie ID-bewijs) van de begunstigde nodig hebben? Zo ja, waarvoor hebben scholen deze gegevens nodig? Waar kan een dergelijk verzoek om BSN in het genoemde overzicht worden teruggevonden?

Scholen moeten hun uitgaven, waaronder een onkostenvergoeding rechtmatig verantwoorden. Daarvoor is nodig dat gedocumenteerd wordt dat onkostenvergoedingen worden uitbetaald aan de rechthebbende. Wat betreft de belastingheffing over die vergoedingen regelt de Algemene wet inzake rijksbelastingen (AWR) in artikel 47, lid 1 dat ieder is gehouden desgevraagd de belastinginspecteur de informatie te geven die van belang kan zijn voor de belastingheffing, waaronder de stukken waarvan de raadpleging van belang kan zijn voor de vaststelling van de feiten die van invloed kunnen zijn op de belastingheffing. In dit verband wordt in artikel 47b van de AWR het Burgerservicenummer met name genoemd en is in artikel 53 geregeld dat deze verplichting ook geldt ten aanzien van de belastingheffing van derden. Zonder het Burgerservicenummer is de koppeling «persoon – bedrag» vrijwel onmogelijk, dus eveneens vrijwel onmogelijk vast te stellen of een eventuele belastingvrijstelling terecht is toegepast.

Vraag 3

Is het waar dat particuliere verzekeraars voor het uitbetalen van een bedrag het BSN (of kopie ID-bewijs) van de begunstigde nodig hebben? Zo ja, waarvoor hebben particuliere verzekeraars deze gegevens nodig? Waar kan een dergelijk verzoek om BSN in het genoemde overzicht worden teruggevonden?

In zijn algemeenheid kan gesteld worden dat particuliere verzekeraars geen BSN (of kopie ID-bewijs) nodig hebben voor het uitbetalen van een bedrag aan een begunstigde. Het gaat hier immers om een commerciële relatie tussen een bedrijf en klant. Een uitzondering hierop vormen verzekeraars die uit hoofde van een wettelijke verplichting het BSN moeten opnemen in hun administratie, zoals zorgverzekeraars en verzekeraars die pensioenregelingen uitvoeren. Zij krijgen voor het uitvoeren van hun werkzaamheden, die op grond van de Wet BRP worden aangemerkt als werkzaamheden met een gewichtig maatschappelijk belang, gegevens uit de BRP verstrekt, waaronder het BSN.

Vraag 4

Bent u bekend met het gebruik dat organisaties die betalingen willen doen aan derden, die hun BSN niet willen afstaan, een speciaal tarief in rekening brengen op de betaling (een zogenaamd «anoniemtarief»)? Zo ja, is dit toegestaan en waarom is dit toegestaan?

Ja, daar ben ik mee bekend. Een inhoudingsplichtige moet het anoniementarief onder meer toepassen indien hij de identiteit van de werknemer niet volgens de wettelijke voorschriften heeft kunnen vaststellen. Het BSN maakt onderdeel uit van de identificerende gegevens. Achtergrond voor het anoniementarief is het beperken van de mogelijkheid tot identiteitsfraude. Daarnaast is het een middel om mogelijk financieel voordeel als gevolg van het niet identificeren te voorkomen.

Vraag 5

Op welke wijze treedt de overheid op tegen organisaties die ten onrechte om het BSN (of kopie ID-bewijs) van burgers vragen? Vindt u deze wijze voldoende effectief? Welke sancties staan op het herhaaldelijk ten onrechte vragen naar het BSN?

Veel organisaties vragen meer gegevens van hun klanten dan ze nodig hebben. Onder andere een kopie van een identiteitsbewijs, waar het BSN op staat. Dit is vooral een kwestie van onbekendheid. Vorig jaar heb ik met de campagne «Laat u niet zomaar kopiëren» het thema onder de aandacht gebracht bij burgers. Die campagne wordt nu gevolgd door een bredere communicatieaanpak, onder het motto «Een veilig ID.» Er wordt met diverse partijen in publieke en private sector gesproken over de vraag naar kopietjes van identiteitsbewijzen en over veilige alternatieven. Daarbij zal onder andere de app «KopieID» een rol spelen: een eenvoudige toepassing voor smartphones waarmee burgers het BSN op een kopie van hun identiteitsbewijs kunnen doorstrepen en datum en doel van de kopie als watermerk op de kopie kunnen aanbrengen. Van de effectiviteit van deze gezamenlijke aanpak met partners in publieke en private sector heb ik goede verwachtingen: er is een gedeeld belang bij het voorkomen van identiteitsfraude. Bij het herhaaldelijk ten onrechte vragen naar meer gegevens dan noodzakelijk en toegestaan, kan het CBP sanctionerend optreden. Zie ook de beantwoording bij vraag 6.

Vraag 6

Hoe luidt het advies van de overheid richting burgers indien organisaties die niet op het overzicht voorkomen toch naar het BSN (of kopie ID-bewijs) vragen? Naar welke instantie(s) kunnen burgers stappen indien zij menen dat hen ten onrechte om het BSN (of kopie ID-bewijs) gevraagd wordt? Hoeveel meldingen komen hiervan bij deze instanties op jaarbasis binnen?

Als organisaties ten onrechte om een BSN vragen, of een kopie van een ID bewijs, dan is het advies aan burgers om deze organisaties te wijzen op de website www.mijnprivacy.nl van het CBP. Daar is overzichtelijk aangegeven wie welke gegevens mag vragen. Burgers die van mening zijn dat een organisatie ten onrechte vraagt om een BSN kunnen een klacht indienen bij het Ministerie van Binnenlandse Zaken. Deze worden doorgeleid naar de Functionaris Gegevensbescherming Burgerservicenummer (FG BSN) die in het kader van de wet BSN is ingesteld door het Ministerie van BZK. De FG BSN zal de klacht in behandeling nemen en zo nodig de organisatie aanspreken. Indien dit niet afdoende is dan zal de FG BSN contact opnemen met het CBP en verzoeken de behandeling van de klacht over te nemen. Het CBP kan sanctionerend optreden waar de FG BSN deze mogelijkheid wettelijk niet heeft.

Vraag 7

Deelt u de mening dat het voor burgers inzichtelijk moet zijn welke organisaties naar het BSN (of kopie ID-bewijs) kunnen vragen? Zo ja, bent u van mening dat het bestaande, op de website van de rijksoverheid gepubliceerde overzicht dit inzicht biedt?

Ja, die mening deel ik. Burgers kunnen voor deze informatie terecht op de website www.mijnprivacy.nl van het CBP, waar inzicht wordt gegeven in wie welke gegevens mag vragen. Daarnaast kan de burger op de website www.wiekrijgtmijngegevens.nl informatie vinden over welke organisaties het BSN verstrekt krijgen. In de memorie van toelichting wordt wel benadrukt dat het gaat om een algemeen overzicht van de werking van het BSN-stelsel en de gegevensuitwisselingen, dat door middel van internet beschikbaar zal worden gesteld. Er is dus géén sprake van een verplichting van de Minister van BZK om informatie ter beschikking te stellen over het gebruik van een specifiek, tot een persoon herleidbaar, BSN.

Vraag 8

Kunt u deze vragen beantwoorden vóór de begrotingsbehandeling Binnenlandse Zaken (gepland op 4, 5 en/of 6 november 2014)?

Ja.

Vraag 1

Bent u op de hoogte van de berichtgeving over de ogenschijnlijk verplichte overstap van Cogas-klanten van Ziggo naar Caiway?1 2

Ja.

Vraag 2

Waarom verdwijnt Ziggo van de kabel? Waarom wil Ziggo geen medewerking geven aan glasvezelkabel in de regio rondom Almelo?

Cogas wil zijn netwerk verglazen en klanten laten overstappen van kabel naar glas. Cogas heeft Ziggo daarom gevraagd naast diensten over de kabel ook diensten over glas aan te bieden. Ziggo heeft aangegeven dat niet te willen. Het geschikt maken van de diensten zou van Ziggo een investering vergen die op het aantal klanten in de regio rondom Almelo niet terugverdiend kan worden. Cogas heeft vervolgens Caiway bereid gevonden dit wel te doen.

Vraag 3

Is het waar dat mensen op kosten worden gejaagd,doordat onder andere e-mail adressen moeten worden aangepast en andere apparatuur, zoals een router, moet worden aangesloten? Gaat Cogas deze kosten vergoeden?

Caiway poogt zijn aanbod naar eigen zeggen wat betreft prijs en inhoud zo goed mogelijk te laten aansluiten op het bestaande aanbod van Ziggo. E-mailadressen zullen moeten worden aangepast. Er moet andere apparatuur (modem, router) worden aangesloten, maar deze wordt door Caiway gratis verstrekt.

Vraag 4

Is het waar dat allerlei diensten wegvallen, zoals Ziggo mobiel bellen, gratis bellen tussen Ziggo klanten onderling, Ziggo Pluspakket, Ziggo on demand en Ziggo Wifi Spots en daarnaast alarmlijnen voor ouderen?

Doordat Ziggo niet langer de provider is op het netwerk van Cogas, zullen de diensten die Ziggo over dit netwerk levert wegvallen. Ziggo mobiel bellen blijft wel beschikbaar, bij deze dienst wordt immers geen gebruik gemaakt van de kabel.

Vraag 5

Is het waar dat de nieuwe abonnementen ook duurder zullen zijn dan de bestaande? Is het waar dat er sprake is van alles-in-1 pakketten waardoor de kosten in de praktijk hoger zullen zijn dan nu?

Het is waar dat Caiway alles-in-1 pakketten aanbiedt. Ook kunnen consumenten alleen een TV-dienst afnemen bij Caiway of andere combinaties van diensten. Er kan niet eenduidig worden gesteld dat kosten hoger zullen zijn dan nu, doordat abonnementen niet alleen verschillen in prijs, maar ook in de diensten die worden geleverd (o.a. ten aanzien van het aantal televisiezenders en de video-on demand diensten).

Vraag 6

Welke alternatieven zijn er voor de consument op het gebied van TV, bellen en internet? Hoe kan informatie worden verkregen over de mogelijkheden om over te stappen?

De consument kan overstappen naar diverse providers die gebruik maken van het koper- en glasvezelnetwerk van KPN, en voor tv ook naar aanbieders via satelliet of Digitenne. Er bestaan diverse commerciële vergelijkssites die informatie geven over deze alternatieve providers.

Vraag 7

Wat zijn de voor- en nadelen van het (voor de provider verplichte) behoud van het e-mailadres bij overstap, de «e-mail portabiliteit», zoals er voor telefoonnummers ook nummerportabiliteit is?

Behoud van het e-mailadres bij overstap maakt thans geen deel uit van de verplichtingen die zijn opgenomen in de Telecommunicatiewet. De voordelen voor de klant die zijn e-mailadres kan behouden zijn evident. De nadelen zijn de kosten voor de aanbieder van het oude e-mailadres, die betrekking hebben op extra servercapaciteit, beheersactiviteiten en administratieve handelingen.

Vraag 8

Kunt u de Autoriteit Consument en Markt verzoeken om een onderzoek te starten naar de plannen van Cogas? Is hier sprake van misbruik van economische machtspositie (art. 24 Mededingingswet)?

Navraag bij de ACM leert dat zij geen aanleiding ziet voor een onderzoek naar de vraag of er sprake is van een mogelijke overtreding van artikel 24 Mededingingswet.

Vraag 1

Bent u bekend met het bericht «KPN voelt zich benadeeld bij fusie van Ziggo en UPC»?1

Ja.

Vraag 2

Wat is uw oordeel over de overname van Ziggo door Liberty Global en de mogelijke gevolgen voor respectievelijk de (vaste) telefonie-, TV- en internetmarkt, dus zowel voor de gehele triple play markt als de deelmarkten die daar onderdeel van zijn?

De overname van Ziggo door Liberty Global past in de Europese consolidatieslag die zichtbaar is in de telecommunicatiesector. Schaalgrootte levert bedrijven kostenvoordelen op, wat van belang is in een markt waar grote investeringen in netwerken gedaan moeten worden om de groeiende vraag naar capaciteit aan te kunnen. Met de overname transformeert de Nederlandse consumentenmarkt zich van een structuur met één sterke speler en twee sterke regionale spelers, naar een markt met twee spelers die beiden op nationaal niveau actief zijn.
Voor Nederland betekent de overname dat er een sterke speler naast KPN ontstaat op de (vaste) telefonie-, televisie- en internetmarkt. Dat er naast KPN een tweede sterke nationale speler ontstaat, is op zichzelf een goede zaak. De Europese Commissie heeft op 10 oktober 2014 haar besluit bekendgemaakt met daarin haar onafhankelijk oordeel over de gevolgen van de overname. De Europese Commissie heeft geconcludeerd dat er, met een aantal voorwaarden die de Europese Commissie stelt aan Liberty Global, geen extra mededingingsproblemen zijn te verwachten als gevolg van de overname. Het is aan de ACM om, gegeven het besluit van de Europese Commissie, te beoordelen welke regulering onder de huidige marktomstandigheden nodig is.
De ACM heeft op 31 oktober 2014 haar onafhankelijk oordeel bekend gemaakt over de vraag welke ex-ante marktregulering in de komende jaren nodig is, om te borgen dat de Nederlandse telecommunicatiemarkt effectief concurrerend is. In dat oordeel heeft de ACM de gevolgen van de overname van Ziggo door Liberty Global meegewogen. De ACM heeft geconcludeerd dat er een risico is dat een gefuseerd Ziggo/UPC en KPN niet voldoende met elkaar concurreren. Daarnaast constateert de ACM dat er een risico is dat KPN op de zakelijke markten over aanmerkelijke marktmacht beschikt. De ACM constateert verder dat op de kabelnetwerken geen vorm van toegang mogelijk is, die vergelijkbaar is met de «ontbundelde» toegang tot het netwerk van KPN. Omdat regelgeving vraagt om concurrentieproblemen op deze markten allereerst op het niveau van de «ontbundelde toegang» op te lossen, oordeelt de ACM dat de verplichting voor KPN om die «ontbundelde toegang» te leveren in de komende drie jaar gecontinueerd moet worden. De ACM komt tot de conclusie dat met het reguleren van de toegang tot de netwerken van KPN, er voldoende andere aanbieders op de internetmarkt zijn die concurreren met KPN en Ziggo/UPC. Met die ontbundelde toegang kunnen concurrenten van KPN en Ziggo/UPC zelf bepalen welke diensten zij aanbieden over de aansluitnetwerken van KPN.
Het is aan de ACM om binnen het kader van de Telecommunicatiewet te beoordelen wat de noodzakelijke toegangsregulering is om effectieve concurrentie op de Nederlandse telecommunicatiemarkten te borgen in de komende jaren. Het kabinet zou het wenselijk vinden dat niet alleen KPN, maar ook kabelbedrijven zoals Ziggo en UPC direct worden geprikkeld door het toelaten van concurrenten op hun netwerk. Gezien de conclusies van de ACM is daar, onder de huidige marktomstandigheden, een aanpassing van het Europese ex-ante marktreguleringskader voor nodig.

Vraag 3

Kunt u aangeven hoe de nieuwe marktstructuur op deze markten er uit zal zien? Welke marktaandelen ontstaan er? Is straks in één of meerdere van deze markten sprake van een economische machtspositie in de zin van art. 24 van de Mededingingswet? Kunt u de Autoriteit Consument en Markt (ACM) verzoeken hier onderzoek naar te doen? Op welke termijn kan de Kamer deze analyse tegemoet zien?

Op de consumentenmarkten ontstaat na de overname van Ziggo door Liberty Global een marktstructuur met twee sterke, vergelijkbare partijen. Onderzoeksbureau Telecompaper rapporteert over het tweede kwartaal van 2014 de volgende marktaandelen in de onder vraag 2 genoemde markten.
Televisie
Internet
Vaste Telefonie
Triple play
Ziggo/UPC
59,8%
44,1%
41,4%
61%
KPN
20,9%
39,9%
41,8%
21%
Overig
19,3%
16%
16,8%
18%
Marktaandelen consumentenmarkten (bron: Telecompaper)
Daarnaast zijn de verhoudingen in de zakelijke en mobiele markten van belang. De ACM concludeert dat er zonder regulering een risico bestaat dat KPN een machtspositie op de zakelijke markten heeft. De ACM rapporteert over de zakelijke markten en de mobiele markt de volgende marktaandelen.
Bedrijfsnetwerken
Tweevoudige telefoonaansluitingen
Meervoudige telefoonaansluitingen
Mobiele Telefonie
Ziggo/UPC
5–10%
10–15%
5–10%
0–5%
KPN
55–60%
80–85%
45–50%
30–35%
Overig
25–40%
5–10%
35–40%
65–70%
Marktaandelen zakelijke en mobiele markten (bron: ACM)
De ACM heeft in het marktonderzoek dat ten grondslag ligt aan het ontwerpbesluit dat zij op 31 oktober 2014 heeft bekendgemaakt, rekening gehouden met de overname van Ziggo door Liberty Global. Dat betekent dat de ACM in haar bevindingen rekening heeft gehouden met bovenstaande marktverhoudingen. De ACM concludeert dat KPN op de wholesalemarkt voor ontbundelde toegang beschikt over aanmerkelijke marktmacht. Om de uit die machtspositie voortvloeiende mededingingsproblemen op te lossen, legt de ACM regulering op aan KPN.
Het begrip aanmerkelijke marktmacht uit de Telecommunicatiewet komt overeen met het begrip economische machtspositie uit het mededingingsrecht. Omdat deze begrippen overeenkomen, ligt het niet voor de hand om de telecommunicatiemarkten die de ACM op grond van de Telecommunicatiewet heeft onderzocht en gereguleerd, vervolgens te onderzoeken op basis van artikel 24 van de Mededingingswet. De ACM kan desondanks, wanneer zij daartoe aanleiding ziet, een onderzoek starten naar de vraag of een partij misbruik maakt van een economische machtspositie. Die aanleiding kan liggen in bijvoorbeeld een klacht van een concurrent. Het is op zichzelf niet verboden om te beschikken over een economische machtpositie. Wel is het verboden voor een partij met een economische machtspositie om misbruik te maken van die sterke positie. Van misbruik kan sprake zijn als een dominante partij bijvoorbeeld concurrenten uitsluit ten koste van de consument. Het is aan de ACM om te beslissen of zij aanleiding ziet een onderzoek te starten. De ACM heeft desgevraagd aangegeven daar op dit moment geen aanleiding toe te zien.

Vraag 4

Kan de nieuwe marktstructuur zo spoedig mogelijk meegenomen worden in nieuwe en lopende marktanalyses? Wanneer kunnen deze analyses verwacht worden? Bent u bereid met ACM af te spreken dat zij daarbij ook kijken naar de effecten op de markt voor analoge TV, digitale TV, snel internet en telefonie? Zo nee, waarom niet?

De ACM heeft de nieuwe marktstructuur en de gevolgen van de overname van Ziggo door Liberty Global al meegewogen in het door haar op 31 oktober 2014 gepubliceerde ontwerpbesluit. Dat betekent dat de effecten van de overname van Ziggo op de geanalyseerde markten voor internet, telefonie en de zogenaamde zakelijke netwerkdiensten door de ACM zijn geanalyseerd, en ten grondslag liggen aan de door de ACM bekendgemaakte voorgenomen regulering van KPN. De ACM heeft de televisiemarkt niet afzonderlijk geanalyseerd. In december 2011 heeft de ACM geconcludeerd dat deze markt naar haar oordeel niet langer in aanmerking komt voor regulering. Dat oordeel is door het College van Beroep voor het bedrijfsleven geaccepteerd. De ACM heeft aangegeven op dit moment geen aanleiding te zien om haar oordeel over de televisiemarkt te heroverwegen.

Vraag 5

Acht u de gestelde voorwaarden bij de overname, namelijk het afstoten van Film1 en het creëren van meer ruimte voor TV via internet, afdoende? Zo ja, waarom? Zo nee, kunt u of de ACM hier nog maatregelen aan toevoegen? Hoe beziet u in dit licht de positie van andere partijen die met de kabelaanbieders concurreren en:2 hun eigen diensten over het kabelnetwerk zouden willen aanbieden en/of3 diensten van de fusiecombinatie zouden willen wederverkopen als onderdeel van hun eigen bundels?

Ik merk allereerst op dat de Europese Commissie tot een onafhankelijk oordeel is gekomen over de vraag wat de gevolgen voor de concurrentie zijn van de overname van Ziggo door Liberty Global. In de door de haar gestelde voorwaarden onderkent de Europese Commissie het belang van het ongehinderd kunnen leveren van televisiediensten over het internet. Netneutraliteit is voor Nederland een belangrijke pijler die de concurrentiemogelijkheden van dienstenaanbieders over het internet moet borgen. De Europese Commissie laat zien dat ook zij daarvoor aandacht heeft.
De Europese Commissie concludeert dat, omdat Ziggo en UPC actief zijn in verschillende geografische gebieden en niet met elkaar concurreren om dezelfde eindgebruikers, de overname de concurrentie in de televisie, internet en telefoniemarkt niet aanzienlijk beperkt. De Europese Commissie onderkent daarnaast weliswaar een risico dat de Nederlandse marktstructuur onvoldoende concurrentie borgt, maar heeft niet kunnen vaststellen dat dit door de overname van Ziggo door Liberty Global wordt veroorzaakt of versterkt. Gezien de wijze waarop de Europese Commissie de overname heeft beoordeeld, is deze uitkomst niet onverwacht.
De ACM is de onafhankelijke autoriteit die, gegeven het besluit van de Europese Commissie, op grond van de Telecommunicatiewet beoordeelt welke regulering onder de huidige marktomstandigheden nodig is. Op grond van die bevoegdheid kan de ACM, wanneer er sprake is van een of meer partijen met aanmerkelijke marktmacht op een relevante markt, passende toegangsregulering opleggen.
De conclusie die de ACM op 31 oktober 2014 heeft bekendgemaakt, is dat KPN beschikt over aanmerkelijke marktmacht op de markt voor ontbundelde toegang en gereguleerd wordt.
De conclusies van de Europese Commissie en de ACM betekenen dat andere partijen die hun diensten via het kabelnetwerk van Ziggo/UPC willen aanbieden dit over het internet kunnen doen (zogenaamde «over the top» diensten). Voor andere mogelijkheden, zoals het wederverkopen van de diensten van Ziggo/UPC of het aanbieden van eigen diensten over het kabelnetwerk, geldt dat partijen hierover commercieel zullen moeten onderhandelen met Ziggo/UPC. Wel kunnen andere partijen gebruik maken van de gereguleerde toegang op de netwerken van KPN en op die wijze concurreren met Ziggo/UPC.

Vraag 6

Deelt u nog steeds de mening dat «two is not enough» omdat hiermee sprake is van onvoldoende concurrentie en innovatie op de telecom, TV en internetmarkten? Zo ja, welke stappen gaat u ondernemen en op welke termijn mogen die stappen verwacht worden?

Ja, die mening deel ik nog steeds. Dat betekent wat mij betreft dat er structureel sprake moet zijn van toegangsmogelijkheden tot deze netwerken. Ik heb ook aangegeven dat het wat mij betreft logisch zou zijn om beide netwerken te reguleren.
Ik heb onder andere in de middellangetermijnvisie op telecommunicatie, media en internet aangegeven, zorgen te hebben over de vraag of het Europese kader voldoende is toegerust om concurrentie te waarborgen in convergerende telecommunicatiemarkten. Twee grote spelers is wat mij betreft niet genoeg voor een duurzaam concurrerende markt. Dat betekent dat toegangsregulering wat betreft het kabinet ook nodig is in een markt met twee grote spelers. Het kabinet zou het wenselijk vinden dat niet alleen KPN, maar ook kabelbedrijven direct worden geprikkeld door het toelaten van concurrenten op hun netwerk. Gezien de conclusies van de ACM is daar, onder de huidige marktomstandigheden, een aanpassing van het Europese ex-ante marktreguleringskader voor nodig. Om dat te realiseren is het noodzakelijk om anderen in Europa te overtuigen van ons standpunt dat het onder dit soort marktomstandigheden wenselijk is beide netwerken te reguleren. Dat betekent dat wat betreft Nederland de lat voor het reguleren van beide netwerken lager moet worden gelegd, zodat het makkelijker wordt om twee partijen te reguleren.
Het kabinet heeft in het afgelopen jaar op nationaal niveau gesproken met de sector over de wenselijke en noodzakelijke aanpassingen in het huidige marktreguleringskader. Daarnaast heeft het kabinet zich ingezet om een evaluatie en de discussie over de noodzakelijk aanpassingen in het Europese kader op de Europese agenda te krijgen. De Europese Commissie start mogelijk in 2015 met het proces van herziening van de Europese telecommunicatierichtlijnen. Een evaluatie en herziening van het Europese kader is een proces dat een aantal jaren in beslag zal nemen.
Ik zal in 2015 in Europa aandacht blijven vragen voor de noodzaak om het Europese kader te heroverwegen en geschikt te maken voor convergerende markten. De ACM zal de marktontwikkelingen nauwlettend monitoren en ik heb de ACM verzocht mij een jaar na haar definitieve besluit te informeren over de ontwikkelingen in de internet-, televisie- en vaste telefoniemarkt.

Vraag 7

Is uw mening over toegangsregulering ongewijzigd gebleven, namelijk dat de toegang tot het netwerk van KPN in stand moet blijven zoals het nu is? Zo ja, waarom? Zo nee, waarom niet? Kunt u uw antwoord gedetailleerd toelichten?

Ik vind het van groot belang dat effectieve toegang tot het netwerk van KPN verzekerd blijft. Of deze in stand moet blijven zoals dat het geval was, is aan de ACM om te beoordelen. Daarbij moet de ACM een afweging maken tussen de effectiviteit van de toegangsregulering en de mogelijkheden voor KPN om met Ziggo/UPC te concurreren. Ik vind het van belang dat beide goed geborgd zijn.

Vraag 8

Wat vindt u van de uitspraken van KPN in de media, namelijk dat deregulering van KPN nu voor de hand zou liggen? Hoe beoordeelt u die roep om deregulering?

Ik ben van mening dat de Nederlandse telecommunicatiemarkt gebaat is bij open netwerken en dat een marktstructuur met twee partijen voldoende aanleiding vormt om te reguleren.
Na het bekendmaken van de voorlopige bevindingen van de ACM, volgt nu allereerst een nationale consultatie. KPN kan in de nationale consultatie haar zienswijze geven op de conclusies van de ACM. De ACM zal daar vervolgens op reageren, waarna een Europese consultatie volgt. Uiteindelijk is het aan het College van Beroep voor het bedrijfsleven om, indien daarom wordt gevraagd, zich een oordeel te vormen over het besluit van de ACM.

Vraag 9

Kunt u een analyse geven van de overeenkomsten en verschillen tussen KPN en de fusiecombinatie op de telecom, TV en internetmarkten? Zo ja, wilt u dan ook ingaan op de verschillen in markt- en machtspositie met betrekking tot de consumenten-, business tot business-, retail- en wholesalemarkt? Wilt u per markt aangeven of, en zo ja, en welke vorm van regulering wenselijk is? Zo nee, waarom niet?

Ik verwijs voor de marktposities naar mijn antwoord op vraag 3. Uit de marktaandelen blijkt dat de posities van KPN en de fusiecombinatie Ziggo/UPC op de telefonie-, internet- en televisiemarkten voor consumenten in toenemende mate vergelijkbaar zijn. De fusiecombinatie kent een sterkere positie op televisie, de verhouding op de internetmarkt is vrijwel gelijk en KPN heeft een sterkere positie op vaste telefonie. Op de zakelijke markten en mobiele markten heeft KPN een significant sterkere positie dan Ziggo/UPC. De ACM constateert dat er in de zakelijke markten een risico bestaat dat KPN over een machtspositie beschikt.
De ACM concludeert in haar onderzoek dat de kabel, omdat zij geen vergelijkbaar toegangsproduct kan bieden, niet actief is op de wholesalemarkt voor ontbundelde toegang. Dat is de markt voor het leveren van aansluitingen aan concurrerende aanbieders, die daarmee hun eigen diensten kunnen aanbieden aan eindgebruikers. KPN heeft op die wholesalemarkt een marktaandeel van nagenoeg 100 procent.
Op grond van de geldende regelgeving is het voorbehouden aan de ACM om zich een onafhankelijk oordeel te vormen over de vraag welke regulering, gezien deze marktverhoudingen, op welke markt noodzakelijk is. De ACM heeft dat nu gedaan voor de wholesalemarkt voor ontbundelde toegang en heeft geconcludeerd dat regulering van KPN noodzakelijk is. De ACM zal ook binnen enkele maanden bekendmaken welke regulering op de telefoniemarkt zij noodzakelijk acht.

Vraag 10

Acht u het wenselijk dat beide netwerken onder dezelfde regelgeving vallen om zo tot eerlijke concurrentie te komen? Zo ja, hoe gaat u dat bewerkstelligen? Zo nee, waarom niet?

Ik acht dat zeker wenselijk. Beide netwerken vallen ook onder dezelfde regelgeving. De ACM is de bevoegde autoriteit om relevante telecommunicatiemarkten te onderzoeken, en, indien dat nodig is, daar maatregelen op te leggen. De ACM heeft dat inmiddels gedaan.
Het is de vraag of de uitgangspunten van het Europese ex-ante marktreguleringskader in de toekomst ongewijzigd gehandhaafd moeten blijven. Zo is in het Europese kader een voorkeur neergelegd voor het reguleren van de zogenaamde «ontbundelde toegang» tot netwerken. Dat is een vorm van toegang waarbij een aanbieder een aansluitlijn huurt van bijvoorbeeld KPN, en die aansluit op zijn eigen netwerk. Het kader heeft die voorkeur, omdat concurrenten met die toegang worden gestimuleerd hun eigen infrastructuur aan te leggen en zich goed kunnen onderscheiden in hun dienstenaanbod. Het Europese kader sorteert daarmee voor op regulering van die netwerken die technisch geschikt zijn om die vorm van toegang te bieden. Het is de vraag of dat uitgangspunt in de toekomst gehandhaafd moet blijven. Ik ben van plan dat Europees ter discussie te stellen. Ik vind het meer voor de hand liggen om de concurrentiesituatie op de retailmarkten leidend te laten zijn, voor het beantwoorden van de vraag op welke netwerken regulering nodig is. Dat kan dan zijn op één netwerk of op meerdere netwerken. Het is aan de toezichthouders om op basis van de marktverhoudingen in de retailmarkten te bepalen op welke netwerken regulering nodig is. Vervolgens, bij het formuleren van de toegangsverplichtingen op die netwerken, kan de toezichthouder dan rekening houden met de technische mogelijkheden van een netwerk.
Daarnaast geldt er op grond van het Europese kader voor de ACM een additionele bewijslast wanneer de ACM aanleiding zou zien de televisiemarkt te onderzoeken. De televisiemarkt is niet door de Europese Commissie vooraf aangemerkt als een verplicht te onderzoeken telecommunicatiemarkt. De ACM moet in dat geval aantonen dat deze markt in aanmerking komt voor ex-ante regulering door deze aan drie criteria te toetsen. Alleen als de markt aan die drie criteria voldoet, komt deze voor ex-ante regulering in aanmerking en kan de ACM onderzoeken of er sprake is van effectieve concurrentie of dat een of meer partijen beschikken over aanmerkelijke marktmacht. De ACM heeft in 2011 geoordeeld dat de televisiemarkt niet aan deze drie criteria voldoet en daarmee niet voor ex-ante regulering in aanmerking komt. Het College van Beroep voor het bedrijfsleven heeft dit oordeel bevestigd.
Het is de vraag of dit onderscheid tussen de televisiemarkt en de traditionele telecommunicatiemarkten voor internet en telefonie gehandhaafd moet blijven, gezien de mate waarin deze inmiddels met elkaar verweven zijn. Ik zal bij de nog te starten herziening van het regelgevend kader in Europa pleiten voor een vereenvoudiging van het systeem en mogelijk een ander reguleringsmodel. Ik zal eveneens aan de orde stellen dat, in geval van het handhaven van het huidige systeem, bovenstaande uitgangspunten heroverwogen worden.

Vraag 11

Kunt u of de ACM toegang tot de kabel van de fusiecombinatie afdwingen? Welke bevoegdheden staan u of de ACM daarbij ter beschikking? Welke bevoegdheden bent u of de ACM voornemens in dit dossier concreet in te zetten en op welke termijn mag die inzet verwacht worden? Indien verdere regulering van de kabel niet mogelijk is, welke Europese danwel nationale wetgeving staat dat niet toe? Wat vindt u daarvan?

Op 29 oktober 2014 heb ik, mede namens de Staatssecretaris van Onderwijs, Cultuur en Wetenschap, de nota naar aanleiding van het verslag bij het voorstel van wet tot wijziging van de Telecommunicatiewet en de Mediawet 2008 omtrent verplichtingen voor aanbieders van programmadiensten aan de Kamer gestuurd(Kamerstuk 33 991, nr. 5)Daarin geef ik aan dat uit de uitspraak van het Hof van Justitie van 7 november 2013 (C-518, UPC/Hilversum, PvEU 2014 C9) volgt dat het elektronisch transport over het kabelnetwerk als een elektronische communicatiedienst moet worden gekwalificeerd. Dat betekent dat de levering van internettoegang, televisiediensten en vaste telefonie door kabelbedrijven onder het Europese telecommunicatiekader vallen en alleen gereguleerd kunnen worden op basis van het Europese regime dat in hoofdstuk 6a van de Telecommunicatiewet is opgenomen. In het Europese kader is eveneens bepaald dat de taken benoemd in hoofdstuk 6a van de Telecommunicatiewet moeten worden uitgevoerd door een onafhankelijke nationale regelgevende instantie, die dit op onpartijdige en transparante wijze uitvoeren. In Nederland is dit de ACM. In het Europese kader zijn voorts regels neergelegd om een zorgvuldige procedure te borgen. Deze zijn in hoofdstuk 6b van onze Telecommunicatiewet opgenomen. Zo moet de ACM wanneer een voorgenomen besluit aanzienlijke gevolgen heeft voor de desbetreffende markt, haar voornemen volgens de uitgebreide voorbereidingsprocedure van de Algemene wet bestuursrecht nationaal consulteren.
De ACM is in Nederland de bevoegde autoriteit die op grond van hoofdstuk 6a van de Telecommunicatiewet toegang tot de kabel kan afdwingen. Aan een dergelijk besluit van de ACM dient op grond van artikel 6a.1 van de Telecommunicatiewet een bepaling van de relevante markt en een onderzoek naar de concurrentiesituatie op die relevante markt ten grondslag te liggen. Wanneer uit dat onderzoek blijkt dat een relevante markt niet daadwerkelijk concurrerend is, legt de ACM de onderneming of ondernemingen die beschikken over een aanmerkelijke marktmacht passende verplichtingen op. De ACM is nu tot een oordeel gekomen over de noodzakelijke regulering en dat onafhankelijk oordeel respecteer ik. Zoals gezegd, zal ik in Europa pleiten voor aanpassing van het Europese ex-ante marktreguleringskader.

Vraag 12

Bent u van plan de Europese Commissie en de lidstaten een voorstel te doen om de regulering van de kabel gelijk te stellen aan die van het telecomnetwerk? Zo nee, waarom niet?

Ja. Ik zal pleiten voor een snel te starten herziening van het regelgevend kader. Ik heb al eerder bij Eurocommissaris Kroes aandacht gevraagd voor de wijze waarop het Europese ex-ante telecomkader uitpakt in de Nederlandse marktstructuur. Het is mijn inzet om aan de Europese Commissie en lidstaten een alternatief reguleringsmodel voor te leggen. Het is mijn inzet is om te komen tot een eenvoudiger reguleringsmodel waarbij het makkelijker wordt om toegangsregulering bij twee, technologisch verschillende, vaste netwerken, te realiseren.

Vraag 13

Bent u bereid deze vragen te beantwoorden vóór het Algemeen overleg Telecom voorzien op 12 november a.s.?

Ja.

Vraag 1

Kent u het bericht «Overlast door criminelen in dure Amsterdamse appartementen»1 en kent u het Jaarverslag Regionaal Informatie- en Expertise Centrum en het Landelijk Informatie- en Expertise Centrum RIEC-LIEC 2013?2

Ja.

Vraag 2

In hoeverre worden woningen in Nederland gebruikt door burgers die zich niet laten inschrijven om van daaruit criminele activiteiten te ontplooien?

Het gegeven dat er burgers zijn die zich niet in de basisregistratie laten inschrijven, met als mogelijk doel zich aan het zicht van de overheid te onttrekken en criminele activiteiten te ontplooien, is ons bekend. Hierover is geen (overzichts-)informatie uit de bestaande registratiesystemen te halen.

Vraag 3

Bestaan de in het artikel genoemde overlast en diverse vormen van criminaliteit ook in andere gemeenten? Zijn er gemeenten die daar structureel mee te maken hebben? Zo ja, welke gemeenten betreft dit?

Ik ga er vanuit dat deze problematiek ook in andere gemeenten voorkomt. Het betreft hier vormen van ondermijnende criminaliteit, waartegen in heel Nederland door de overheid in gezamenlijkheid wordt opgetreden, zoals ook gerapporteerd in het Jaarverslag Regionaal Informatie- en Expertise Centrum en het Landelijk Informatie- en Expertise Centrum RIEC-LIEC 2013.

Vraag 4

Wat is de stand van zaken ten aanzien van het geschatte aantal «spookburgers» in Nederland en de aanpak daarvan?

Onder de term spookburgers wordt verstaan burgers die staan geregistreerd in de Basisregistratie personen (BRP) als Vertrokken Onbekend Waarheen (VOW; ambtshalve geregistreerd als geëmigreerd naar een onbekend adres buiten Nederland), maar waarvan signalen zijn dat ze toch feitelijk in Nederland wonen. Op basis van bestandsvergelijkingen is de schatting dat het gaat om maximaal 100.000 personen, van de in totaal 443.068 VOW’ers in Nederland (telling van 15 september 2014). Hierover is Uw Kamer door de Minister van Binnenlandse Zaken en Koninkrijksrelaties in augustus jl in antwoord op Kamervragen reeds geïnformeerd3. Nadrukkelijk wijs ik erop dat het getal van 100.000 geen enkele indicatie geeft over het aantal personen binnen deze populatie die zich met criminele activiteiten bezighoudt. Zoals vermeld in antwoord op vraag 2 is dat aantal niet bekend.
In ruim een half jaar is het totaal aantal VOW-ers overigens gedaald met ruim 8.000, terwijl het de voorgaande jaren telkens steeg met zo'n 25.000 per jaar. Dit kan vooral toegeschreven worden aan feitelijke emigratie van personen.

Vraag 5

Over welke middelen beschikken gemeentebesturen, politie en anderen om tegen te gaan dat «spookburgers» onopgemerkt vanuit huurwoningen criminele activiteiten ontplooien?

Doel van de overheid is om criminele activiteiten tegen te gaan, ongeacht door wie ze gepleegd worden en of de daders al dan niet correct ingeschreven staan in de basisregistraties. Er zijn geen specifieke middelen om tegen te gaan dat spookburgers vanuit huurwoningen criminele activiteiten ontplooien. Iedereen die crimineel en dus strafbaar gedrag vertoont, maakt zich mogelijk onderwerp van opsporing en vervolging. Wel worden, om bewoning zonder inschrijving tegen te gaan, door gemeenten gerichte adrescontroles en huisbezoeken verricht.

Vraag 6

Zijn woningeigenaren die hun woning verhuren op enige wijze verplicht te controleren of de huurder zich in de gemeente heeft ingeschreven? Zo ja, op grond waarvan? Zo nee, waarom niet? Zo nee, zou u dit wenselijk achten?

Nee. De verhuurder sluit een privaatrechtelijke huurovereenkomst met de huurder waarop het huurrecht van toepassing is. Op basis van het huurrecht is er geen grond voor een dergelijke controleverplichting voor de verhuurder. Ook in specifieke wetgeving die geldt voor woningcorporaties zijn geen gronden te vinden voor een dergelijke controleplicht voor verhuurders.
Ik zie geen reden een dergelijke verplichting aan verhuurders op te leggen: het is aan de gemeenten om de inschrijvingsplicht te handhaven.

Vraag 7

In hoeverre kunnen ook niet-bestuursorganen zoals woningeigenaren aangezet worden om onjuiste of ontbrekende inschrijvingen aan gemeenten te melden? Over welke middelen daartoe beschikken gemeenten?

Vanaf 1 januari 2010 zijn bestuursorganen verplicht om terug te melden op authentieke gegevens in de BRP indien ze gerede twijfel hebben dat een gegeven in de BRP niet klopt. Voor niet-bestuursorganen gelden deze verplichtingen niet. Gemeenten kunnen wel nadere afspraken maken met bijvoorbeeld woningeigenaren, met inachtneming van regels omtrent privacy. Gemeenten doen dat ook en dit is zeker een goede ontwikkeling gezien de verantwoordelijkheid van gemeenten voor het bijhouden van de BRP.

Vraag 8

Kent u het project van het RIEC Amsterdam-Amstelland om criminelen uit hun anonimiteit te halen? Zo ja, hoe effectief is dat project? Zijn er naast de gemeente Amsterdam andere gemeenten waarbij door RIEC's projecten zijn opgezet met als doel criminelen uit hun anonimiteit te halen? Zo ja, welke gemeenten of RIEC's zijn dat? Zo nee, waarom niet?

Ja, ik ken het project van RIEC Amsterdam-Amstelland. Zowel in 2013 als in 2014 is dit project uitgevoerd door het cluster woonfraude. Hierin was sprake van een samenwerking tussen gemeenten, politie, belastingdienst en de inspectie SZW. Er zal nog een evaluatie van dit project volgen. Op dit moment zijn mij geen andere projecten bekend met als specifiek doel criminelen uit hun anonimiteit te halen. Wel is er in bredere zin een focus op fenomenen als woonfraude en fraude basisregistratie personen (BRP). Onderdeel hiervan is ook het fysiek controleren van adressen. Met dit thema worden bijvoorbeeld binnen het RIEC Noord Holland enkele projecten uitgevoerd. Uitgangspunt blijft dat ieder RIEC zijn eigen handhavingsknelpunten en (regionale) prioriteiten heeft en op basis hiervan acteert.

Vraag 1

Kent u het bericht «digitale dienstverlening decentralisaties schiet ernstig tekort»?1

Ja

Vraag 2

Deelt u de mening dat het voor de dienstverlening in het sociale domein van groot belang is dat digitale informatievoorziening en -dienstverlening bij gemeenten op tijd op orde zijn? Zo ja, waarom? Zo nee, waarom niet?

Ten dele, de transitie van de decentralisaties in het sociaal domein is niet afhankelijk van digitale informatievoorziening en -dienstverlening, wel liggen er kansen om met digitalisering de dienstverlening verder te verbeteren en efficiency te realiseren.
Het is van groot belang dat gemeenten spoedig binnen de wettelijke kaders eigen beleid vormen en uitvoeringsmaatregelen nemen voor de decentralisaties in het sociaal domein, om continuïteit van zorg en maatschappelijke ondersteuning te bieden.
Om gemeenten hierbij te ondersteunen heeft de VNG het programma Informatievoorziening Sociaal Domein (VISD) ontwikkeld. Doel van dit programma is gemeenten te ondersteunen bij de inrichting van de informatievoorziening door het ontwikkelen van standaarden. Voorbeelden van onderdelen van het programma zijn: het ontwikkelen van een regiesysteem, het ontwikkelen van een gegevensset van de gemeentelijke monitor sociaal domein en het verminderen van risico’s voor informatiebeveiliging.

Vraag 3

Is het waar dat «gemeenten flink achter [lopen] op schema met hun digitale informatievoorziening en dienstverlening in het sociale domein» van de decentralisaties? Zo ja, hoe komt dat? Zo nee, waar blijkt het tegendeel uit en hoe verhoudt zich dat tot de constateringen in het genoemde artikel?

De conclusie dat gemeenten op schema achter lopen laat ik voor de rekening van de onderzoekers. Er bestaat momenteel geen wettelijke verplichting voor gemeenten om hun informatievoorziening en dienstverlening -ook niet in het in het sociale domein- digitaal aan te bieden. Wel verwachten burgers steeds meer digitale dienstverlening van de overheid.
Uit de peiling van het Transitievolgsysteem van het Ministerie van VWS blijkt dat alle gemeenten in de back office hard werken aan de inbedding van de nieuwe taken in de organisatie, maar dat op het vlak van administratieve processen en ICT nog een aantal stappen moeten worden gezet. In de algemene ledenvergadering van de VNG op 17 juni jl. is een resolutie breed gesteund waarin de VNG haar leden oproept landelijke standaarden die in het kader van de decentralisaties zijn ontwikkeld toe te passen. Via het VISD programma wordt hier invulling aangegeven.
Daarnaast is half september de website www.hoeverandertmijnzorg.nl live gegaan. Via deze website kunnen burgers informatie krijgen over de dienstverlening in het sociaal domein. De website is onderdeel van het Informatiepunt Langdurige Zorg en Jeugd. Het informatiepunt werkt nauw samen met de gemeentelijke informatiepunten (telefonisch, loket, digitaal). Voor alle gemeenten zijn de contactgegevens verzameld, zodat burgers vanuit het Informatiepunt adequaat kunnen worden doorverwezen naar hun eigen gemeente.
Omdat burgers steeds meer digitale dienstverlening verwachten van de overheid en omdat digitalisering kansen om de dienstverlening efficiënter uit te voeren, is het beleid van het kabinet er op gericht dat burgers en bedrijven hun zaken met de overheid overwegend digitaal kunnen gaan afhandelen. In mijn visiebrief van 23 mei 2013 over de Digitale overheid heb ik uw Kamer uiteengezet hoe ik deze doelstelling voor burgers aanpak en op 23 juni 2014 heb ik u geïnformeerd over de tussenstand van de digitale overheid.
Om te bevorderen dat de kansen die het digitale kanaal biedt beter worden benut, ook in het sociale domein, zal ik in het kader van de uitvoeringsagenda Digitale overheid nadere afspraken maken met onder anderen de VNG.
Tevens bereid ik samen met mijn collega van EZ wetgeving voor, die het online beschikbaar stellen van informatie verplicht, en ontwikkelen wij een monitor digitale overheid die de voortgang over het aanbod en gebruik van digitale diensten periodiek zal meten.

Vraag 4

Betekent dit achterlopen dat er het risico bestaat dat vanaf 1 januari 2015 burgers bij sommige gemeenten niet of onvoldoende terecht kunnen voor dienstverlening op het gebied van werk, inkomen en zorg? Zo ja, wat kunt u doen om er voor te zorgen dat die dienstverlening per die datum wel op orde is? Zo nee, waarom niet?

In de verschillende decentralisatie wetten is neergelegd dat gemeenten per 1 januari toegang tot de zorg en maatschappelijke ondersteuning geregeld moeten hebben. Op welke wijze zij deze toegang regelen en of ze hierbij gebruik maken van digitale dienstverlening is aan de gemeenten zelf. Het ontbreken van toegang via het digitale kanaal betekent niet dat burgers niet of onvoldoende terecht kunnen voor dienstverlening op het gebied van werk, inkomen en zorg en maatschappelijke ondersteuning. Juist in het sociaal domein lijkt een persoonlijke benadering in bepaalde gevallen het meest opportuun.

Vraag 5

In hoeverre kunnen gemeenten die achterlopen bij het introduceren van digitale informatievoorziening en dienstverlening in het sociale domein leren van gemeenten die dit wel op orde hebben? Wat kunt u hierin betekenen?

Door het Rijk en de VNG zijn er reeds verschillende instrumenten ingericht om de gemeenten te ondersteunen. Hiervoor hebben de departementen gezamenlijk met de VNG het ondersteuningsteam decentralisatie ingericht. Daarnaast is er het VISD programma, waar de nieuwe praktijk in zogenaamde livings labs wordt beproefd en via een kennisplatform worden de inzichten verzameld en gedeeld met alle andere gemeenten.
Het benutten van de ervaringen van voorlopers van digitale dienstverlening krijgt ook een plaats in de uitvoeringsagenda digitale overheid.

Vraag 1

Kent u de berichten «Apple schendt cookiewet EU met U2-album»1 en «Apple negeert cookiewet met gratis U2 album»?2

Ja.

Vraag 2

Is het waar dat voordat een aanbieder als Apple gegevens, zoals een muziekbestand, automatisch naar een computer, tablet of smartphone stuurt en daar opslaat, er eerst expliciet toestemming verkregen moet zijn van de gebruiker van het apparaat? Zo ja, heeft Apple in het geval van het plaatsen op iPads of andere apparaten van het genoemde U2-album aan die voorwaarde voldaan en zo ja, op welke manier? Zo nee, wat is dan niet waar?

Op grond van artikel 11.7a van de Telecommunicatiewet is voor het plaatsen van informatie op een randapparaat van een gebruiker de toestemming van die gebruiker nodig. Bovendien moet de plaatser van de informatie de gebruiker vooraf adequaat informeren over de doeleinden van de plaatsing. Het is de regering niet bekend of Apple in dit geval aan de eisen van artikel 11.7a heeft voldaan, het is aan toezichthouder ACM om dit te beoordelen.

Vraag 3

Moet het vragen van dergelijke toestemming voorafgegaan worden van een heldere uitleg? Zo ja, heeft Apple in het geval van het plaatsen op iPads of andere apparaten van het genoemde U2-album aan die voorwaarde voldaan en zo ja, op welke manier? Zo nee, waarom niet?

Zie antwoord vraag 2.

Vraag 4

Is het waar dat dergelijke toestemming te allen tijde weer ingetrokken moet kunnen worden? Zo ja, heeft Apple in het geval van het plaatsen op iPads of andere apparaten van het genoemde U2-album aan die voorwaarde voldaan en zo ja, op welke manier? Zo nee, wat is er dan niet waar?

Een toestemming die voor langere tijd is gegeven voor het plaatsen/lezen van informatie op een randapparaat moet te allen tijde weer ingetrokken kunnen worden. Als het gaat om een eenmalige toestemming voor het plaatsen van bepaalde informatie dan is het echter niet zo dat het intrekken van die toestemming tot gevolg heeft dat de plaatser van de informatie deze zou moeten verwijderen.

Vraag 5

Is het waar dat deze toestemming niet impliciet verkregen kan worden als gevolg van het accepteren van algemene voorwaarden? Zo ja, heeft Apple in het geval van het plaatsen op iPads of andere apparaten van het genoemde U2-album aan die voorwaarde voldaan en zo ja, op welke manier? Zo nee, wat is er dan niet waar?

Toestemming voor het plaatsen en lezen van informatie moet voldoende specifiek zijn. Daarom kan in de regel toestemming niet worden gegeven door het accepteren van algemene voorwaarden. Wel is het denkbaar dat iemand die een muziekdienst afneemt via de algemene voorwaarden akkoord gaat met het af en toe ontvangen van een gratis cd. Een dergelijke gang van zaken zou niet in strijd zijn met artikel 11.7a van de Telecommunicatiewet. De precieze situatie in dit specifieke geval is mij niet bekend.

Vraag 6

Is het waar dat Apple muziek via iTunes verkoopt en levert vanuit Luxemburg? Zo ja, op welke wijze kan handhavend opgetreden worden tegen een bedrijf als Apple dat de verkoop en levering van dit soort bestanden vanuit een Luxemburgs juridische entiteit laat plaatsvinden? Zo nee, op welke andere wijze kan hierin vanuit Nederland handhavend opgetreden worden?

In het geval informatie op een zich in Nederland bevindend randapparaat wordt geplaatst, is artikel 11.7a van de Telecommunicatiewet hierop van toepassing, ook al gebeurt dit vanuit het buitenland. Dit betekent dat ook in dat geval de informatieplicht en het toestemmingsvereiste van artikel 11.7a gelden. Voor wat betreft de handhaving zijn de mogelijkheden echter beperkt. Zo kan het in de praktijk lastig zijn voor ACM om boetes in het buitenland te innen waardoor de handhaving aan effectiviteit verliest. De Nederlandse regering heeft daarom in Europees verband aandacht gevraagd voor dit probleem.

Vraag 7

Gebruikt Apple gebruiksstatistieken van (U2)-luistergedrag van individuele gebruikers, bijvoorbeeld van muziekverzamelingen op iPhone en iPads, voor profilerings- en/of andere doeleinden?

Dat is de regering niet bekend.

Vraag 8

Bent u bereid er bij de Autoriteit Consument en Markt en bij het College bescherming persoonsgegevens op aan te dringen een onderzoek in te stellen?

De regering vindt het primair een zaak van de toezichthouders zelf in welke gevallen zij overgaan tot een onderzoek. Alleen bij het vermoeden van zeer ernstige schendingen vindt de regering het vragen van een onderzoek op zijn plaats.

Vraag 1

Bent u op de hoogte van de invoering van het schriftelijkheidsvereiste per 13 juni 2014, wat inhoudt dat een telefonische verkoop schriftelijk met een handtekening bevestigd moet worden?

Ja.

Vraag 2

Is het waar dat het telecombedrijf Pretium zich niet houdt aan deze nieuwe regel?1

De Autoriteit Consument en Markt (ACM) houdt toezicht op de naleving van het schriftelijkheidsvereiste. Het is aan haar om te beoordelen of individuele bedrijven zich aan dit vereiste houden.

Vraag 3

Kunt u contact opnemen met dit bedrijf om te zorgen dat ook Pretium zich aan deze nieuwe wetgeving gaat houden?

De ACM houdt toezicht op de naleving van het schriftelijkheidsvereiste. Ik heb deze Kamervragen onder haar aandacht gebracht. Indien de ACM van oordeel is dat een bedrijf zich niet houdt aan het schriftelijkheidsvereiste heeft zij verschillende instrumenten om handhavend op te treden.

Vraag 4

Kunt u de Autoriteit Consument en Markt verzoeken om erop toe te zien dat Pretium, en alle andere bedrijven, zich aan deze nieuwe wetgeving gaan houden?

Het schriftelijkheidsvereiste – opgenomen in de Implementatiewet richtlijn consumentenrechten – is met ingang van 13 juni 2014 van kracht. De ACM heeft op verschillende wijze zowel handelaren als consumenten geïnformeerd over de nieuwe regels waaronder dit vereiste. Zo heeft zij eind maart 2014 informatie op haar website geplaatst over de nieuwe consumentenregels. Ook op het informatieloket ConsuWijzer is informatie geplaatst over de nieuwe regels, zodat consumenten weten wat hun rechten zijn. Daarnaast heeft de ACM een presentatie gegeven over de nieuwe regels voor de leden van VNO NCW, persberichten uitgebracht over de nieuwe regels en in het programma Kassa! uitleg gegeven over deze regels (het schriftelijkheidsvereiste kwam toen prominent aan bod). Met deze communicatie heeft de ACM getracht de nieuwe regels kenbaar te maken zodat handelaren en consumenten weten wat de nieuwe regels inhouden. Vanzelfsprekend heeft het de aandacht van ACM of de nieuwe regels worden nageleefd.

Vraag 1

Kent u het bericht «Hackers boos om «criminalisatie» door OM»1, kent u de in het bericht genoemde aan u gestuurde open brief van bestuursleden van elf hackersgroepen2 en kent u de site van het OM «Uw mening over straffen voor hacken»3?

Ja.

Vraag 2

Worden mede aan de hand van de antwoorden op vragen van de genoemde site van het OM richtlijnen over straffen aangepast? Zo ja, op welke wijze? Zo nee, waar zijn de antwoorden voor de vragen dan wel voor bedoeld?

Bij het maken of aanpassen van strafvorderingsrichtlijnen gebruikt het Openbaar Ministerie (OM) de input van experts, ketenpartners en de samenleving. Het laatste gebeurt door het op diverse plaatsen organiseren van burgerfora en jongerenfora en het plaatsen van een enquête op de site OM.nl. Het OM probeert op die manier vooral te vernemen wat burgers als strafverzwarende omstandigheden zien bij een bepaald delict. De burgerraadpleging over de strafbaarheid van computervredebreuk (artikel 138ab Wetboek van Strafrecht) heeft plaatsgevonden omdat het OM bezig is een strafvorderingsrichtlijn voor dit misdrijf op te stellen.

Vraag 3

Deelt u de mening van de bestuursleden van de genoemde hackersgroepen dat «hacken op creatieve wijze meer doen met techniek [is] dan de makers zelf hadden bedacht, het opzoeken van de grenzen van het mogelijke en het verkennen van de ethische en maatschappelijke consequenties van de ontdekte mogelijkheden»? Zo ja, waarom wordt hacken op de site van het OM dan in de context van criminaliteit geplaatst? Zo nee, waarom niet?

Als voorlichting wordt gegeven, sluit het OM zoveel mogelijk aan bij het taalgebruik en de terminologie zoals die in de maatschappij gangbaar zijn. De term «hacker» heeft daarin een meervoudige betekenis. Enerzijds wordt daarmee gedoeld op de in technologie geïnteresseerde hobbyist of professional die actief de grenzen van de techniek op zoekt of die zich heeft gespecialiseerd in het testen van de beveiliging van computersystemen en -netwerken. Anderzijds wordt de term ook gebruikt voor individuen die zich in strafrechtelijke zin schuldig maken aan (in het bijzonder) computervredebreuk.
Bij de voorlichting over concrete opsporingsonderzoeken naar computervredebreuk is het gebruik van de term «hacker» naar de mening van het OM steeds voldoende duidelijk. In gevallen waarin die context niet duidelijk is spreekt het OM in haar publieke uitingen van «criminele hackers» of «criminelen». Op de OM-site zal door middel van een disclaimer nog uitdrukkelijk worden aangegeven dat hacken in deze betekenis wordt bedoeld.
Bij het OM leeft geenszins het idee dat alle hackers criminelen zijn. Integendeel, het OM erkent de meervoudige betekenis van de term en is zich ten volle bewust van de meerwaarde die hackers (in de eerste betekenis van het woord) hebben bij het verhogen van de digitale veiligheid van onze maatschappij. In dat kader treedt het OM ook met regelmaat in gesprek met personen uit de gemeenschap van hackers, onder andere over de vraag waar de grens ligt tussen crimineel hacken en niet-crimineel hacken. Op de in de open brief aangehaalde themadag is het OM bijvoorbeeld met hen in gesprek gegaan over het door het OM (kort daarvoor gepubliceerde) beleid ten aanzien van «responsible disclosure». Het OM gaat ook in de toekomst deze dialoog over hacken graag aan, zonder vooroordelen over de betrokkenheid bij enig strafbaar feit.

Vraag 4

In hoeverre wordt hacken in het algemene spraakgebruik gelijk gesteld aan computerhuisvredebreuk of vergelijkbare strafbare feiten door middel van computers? Deelt u de mening dat het algemene spraakgebruik ten aanzien van hacken niet het uitgangspunt voor het bepalen van strafvorderingsrichtlijnen van het OM mag zijn, maar dat daarvoor de juridisch juiste termen dienen te worden gebruikt?

Zie antwoord vraag 3.

Vraag 5

Deelt u de mening dat niet in alle gevallen van de op de genoemde site van het OM gebezigde voorbeelden sprake is van hacken? Zo ja, waarom? Zo nee, waarom is er dan wel sprake van hacken?

De bedoelde enquête zag op hacken in de zin van computervredebreuk. De in de voorbeelden beschreven handelingen zijn strafbaar gesteld in artikel 138ab van het Wetboek van Strafrecht.

Vraag 6

Op welke strafbare feiten hebben de voorbeelden op de OM site betrekking?

Zie antwoord vraag 5.

Vraag 7

Deelt u de mening dat hacken enerzijds «computervredebreuk» of andere strafbare feiten en anderzijds verschillende zaken betreffen? Zo ja, waar bestaan de verschillen uit? Zo nee, waarom deelt u de mening niet?

Het opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk of in een deel daarvan is strafbaar gesteld in artikel 138ab van het Wetboek van Strafrecht. Tegelijk is het samenwerken aan de veiligheid van informatiesystemen en het verstandig en doeltreffend gebruik maken van capaciteiten in de samenleving een belangrijk onderdeel van het kabinetsbeleid op het vlak van cyber security. Het samenwerken via responsible disclosure is daarvan een voorbeeld. In januari 2013 heb ik uw Kamer hierover geïnformeerd en de «leidraad om te komen tot een praktijk van responsible disclosure» toegezonden (Kamerstuk 26 643, nr. 264). Op de website van het Nationaal Cyber Security Centrum is vermeld welke handelingen in ieder geval vermeden dienen te worden. Bovendien worden er verwachtingen en diverse voorbeelden van responsible disclosure benoemd. Zie verder het antwoord op vragen 3 en 4, waarin is aangegeven dat het OM door een welbewust gebruik, onder andere in zijn voorlichting, van de term hacken onnodige criminalisering van hackers voorkomt.

Vraag 8

Deelt u de mening dat hackers van belang kunnen zijn bij het melden van kwetsbaarheden in informatiesystemen (bijvoorbeeld door middel van responsible disclosure)? Zo ja, hoe verhoudt zich dat tot het in de context van de criminaliteit plaatsen van hackers? Zo nee, waarom deelt u die mening niet?

Zie antwoord vraag 7.

Vraag 9

Deelt u de mening van de hackersgroepen dat zij door de website van het OM gecriminaliseerd worden en dat de goede naam en reputatie van hackers wordt aangetast? Zo ja, waarom en wat gaat u doen om hier verandering in aan te brengen? Zo nee, waarom niet?

Zie antwoord vraag 7.

Vraag 1

Kent u het bericht «Veel gebroken links en nauwelijks nieuwe data op open data portaal overheid»1 en herinnert u zich de antwoorden op eerdere vragen over dit onderwerp?2

Ja, ik ken het bericht. Ik heb op eerdere vragen een aantal acties aangekondigd die ook in uitvoering zijn genomen.

Vraag 2

Is het waar dat «het aantal toegankelijke datasets op data.overheid.nl zelfs afgenomen (is)ten opzichte van een jaar geleden»? Zo ja, waarom is dat? Zo nee, wat is er niet waar aan het gestelde en waaruit blijkt het tegendeel?

Bekend is dat het aantal daarbij fluctueert omdat datasets worden toegevoegd, onttrokken of samengevoegd. Er wordt namelijk constant gewerkt aan zowel een kwantitatieve als kwalitatieve verbetering in het aanbod van data-sets. Er wordt gewerkt aan een upgrade van het data.overheid.nl waarmee dat inzichtelijk wordt gemaakt.

Vraag 3

Waarom voegden «de ministeries met de grootste uitgaven op de rijksbegroting (...) het afgelopen jaar geen data toe (...) aan data.overheid.nl»?

Voor zover dat de ministeries van SZW en VWS betreft:
Het ministerie van SZW biedt via het open data portaal al gegevens aan uit het Landelijk Register Kinderopvang en Peuterspeelzalen: https://data.overheid.nl/data/dataset/gegevens-kinderopvanglocaties-lrkp
Ook vraagt SZW gegevens uit bij CBS. CBS heeft een proef met open data gedaan waarbij honderdvijftig datasets zijn ontsloten via een speciaal ontwikkelde interface. Deze zomer zal het CBS alle 3200 datasets in StatLine als open data gaan aanbieden. Ten slotte wordt via DANS (Data Archiving and Networked Services) data aangeboden dat gegeneerd is via onderzoek. Een deel van de data die namens SZW gegeneerd wordt, wordt dus als open data ontsloten. Bovendien verkent SZW het komend half jaar welke data SZW structureel meer als open data kan aanbieden.
Bij VWS wordt aan open data in het zorgdomein gewerkt. Voor de stand van zaken daarin, verwijs ik graag naar de aangekondigde brief van de minister van VWS om u te informeren over de voortgang op het verzoek van de leden Dijkstra en Voortman (TK 28 828, nr. 34) om meer zorgdata als open data openbaar beschikbaar te stellen.

Vraag 4

Waarom betreffen de meeste open data die wel beschikbaar zijn vooral verwijzingen naar geo-informatie en bevatten de datasets nauwelijks informatie «over overheidsuitgaven, economie, gezondheidszorg en werkgelegenheid»?

Dit laat zich historisch verklaren doordat er met betrekking tot geo-informatie al veel data beschikbaar en gestandaardiseerd was. Voor andere data geldt dat dit een nieuw ontwikkelingsterrein is voor zowel aanbieders als hergebruikers.

Vraag 5

Is het waar dat op data.overheid.nl van de 8.159 bestanden slechts 4.500 bestanden geraadpleegd kunnen worden, waarvan 3.591 een gebroken link weergeven, en dat van de 1.334 valide locaties er maar 826 een valide respons geven? Zijn er uiteindelijk slechts 271 unieke bestanden via data.overheid.nl te raadplegen? Zo ja, deelt u dan de mening dat dit een bedroevende constatering is, en wat doet u om dit te verbeteren? Zo nee, wat is er dan niet waar en wat zijn de juiste cijfers?

Mij is bekend dat een aanzienlijk deel van de bestanden waarnaar data.overheid.nl verwijst nog niet direct raadpleegbaar is. Het gaat hier om bestanden die vooralsnog alleen op verzoek van een hergebruiker, leverbaar zijn. Omdat deze bestanden daarmee niet voldoen aan de definitie van open data wordt er aan gewerkt om deze bestanden, conform bestuurlijke toezegging, per 1 januari 2015 ook direct via data.overheid.nl beschikbaar te hebben.

Vraag 6

Hoe verhoudt de in het genoemde artikel opgenomen stelling dat «Nederland nog altijd achter loopt met het ontsluiten van overheidsinformatie als open data» zich tot uw inzet om het aanbod van beschikbare en herbruikbare data te vergroten?

Ik deel de stelling dat Nederland achter zou lopen niet maar wel de mening dat daaraan een stevige impuls zou moeten worden gegeven leidend tot een grotere beschikbaarheid van open data. Het Kabinet zal u eind september informeren over de wijze waarop hieraan op een beter gestructureerde wijze invulling kan worden gegeven.

Vraag 7

In hoeverre komt het daadwerkelijke beleid ten aanzien van open data van de rijksoverheid nog overeen met uw eerdere antwoord «dat openbaar beschikbare en herbruikbare data een centrale rol kunnen spelen bij het verbeteren van openbaar bestuur en het stimuleren van economische groei»?

Daarin is niets gewijzigd. Duidelijk is dat om die centrale rol daadwerkelijk te kunnen vervullen, extra inzet op ontsluiting en hergebruik wenselijk is.

Vraag 8

Wat gaat u doen om de beschikbaarheid van open data daadwerkelijk op een hoger plan te tillen?

Het Kabinet zal u eind september over de aanpak nader informeren.

Vraag 1

Herinnert u zich de antwoorden die uw collega van Volksgezondheid, Welzijn en Sport, mede namens u, op 14 november 2013 aan de Kamer gestuurd heeft op vragen van de leden Van Laar, Oosenbrug en Otwin van Dijk over de nieuwe telefoonbemiddelingsdienst?1

Ja.

Vraag 2

Zijn er inmiddels nieuwe aanbieders van Total Conversation-software toegetreden tot de Nederlandse markt? Zo nee, weet u waarom dit nog niet gebeurd is?

Er zijn tot nu toe geen nieuwe aanbieders van Total Conversation (TC)-software toegetreden tot de Nederlandse markt.
KPN is met Omnitor, een Zweeds bedrijf, en Ives, een Frans bedrijf, al enige tijd geleden een procedure gestart om de TC-producten van deze bedrijven toegankelijk te maken voor KPN Teletolk.
De procedure met Omnitor is afgerond en er is aangetoond dat KPN Teletolk toegankelijk is voor het product EcTouch van Omnitor. Dit product wordt nog niet aangeboden op de Nederlandse markt. De procedure met Ives is nog niet afgerond en er moet nog een aantal technische problemen worden opgelost.

Vraag 3

Is het waar dat de software voor KPN Teletolk en SignCall geleverd worden door hetzelfde bedrijf waardoor de facto een met subsidie en premiegeld gefinancierd monopolie bestaat? Zo ja, hoe beoordeelt u deze situatie? Zo nee, waarom is dit niet waar?

De software voor het platform van KPN Teletolk en voor Signcall is geleverd door nWise, een Zweeds bedrijf.
Deze software is door SignCall in 2012 geïntroduceerd op de Nederlandse markt om de weggevallen tekstdienst van AnnieS op te vangen. Dit bedrijfje leverde indertijd een tekstdienst voor doven via de Blackberry. Na het faillissement van AnnieS was dringend een interim-oplossing nodig om de gevolgen voor de dovenwereld op te vangen. Dat is toen mogelijk gemaakt door een financiële bijdrage van de Ministeries van Economische Zaken, Landbouw en Innovatie, van Volkshuisvesting, Welzijn en Sport en van Veiligheid en Justitie. De introductie van deze software staat volledig los van de introductie van KPN Teletolk.

Vraag 4

Bent u op de hoogte van signalen dat het systeem van KPN Teletolk niet voldoet aan de open standaard van Total Conversation? Betekent het dat wanneer het systeem van KPN Teletolk hier niet aan voldoet, KPN niet voldoet aan de eisen van de Telecommunicatiewet?

De Total Conversation-standaard die het systeem van KPN Teletolk gebruikt is de standaard die is voorgeschreven in de desbetreffende wetgeving. KPN voldoet daarmee aan de eisen die de Telecommunicatiewet stelt. Binnen de standaard zijn er echter op details verschillende mogelijkheden voor implementatie, waardoor voor volledige interoperabiliteit soms overleg tussen aanbieders van verschillende varianten nodig is. Dat vergt van beide kanten bereidheid tot overleg en technische afstemming. KPN heeft mij bericht dat zij steeds met haar leveranciers overleg voert en zo nodig diepgaand onderzoek laat doen om technische problemen die zich voordoen op te lossen.

Vraag 5

Op welke wijze dwingt u af dat de standaard van Total Conversation op correcte wijze door KPN geïmplementeerd wordt? Waar kunnen organisaties en bedrijven die hieraan twijfelen hun bevindingen overleggen?

De klachten zijn mij bekend. Het gaat hier om een Frans bedrijf. Zoals bij het antwoord op vraag 4 is aangegeven, kunnen binnen de voorgeschreven standaard op detail verschillen bestaan. Het is daarom zaak dat de betrokken bedrijven deze met elkaar afstemmen. Dat kan betekenen dat beide partijen aanpassingen zullen moeten doen om volledige interoperabiliteit te bereiken waarbij de beste oplossing voor de gebruiker voorop moet staan. Voorts kan een partij zich tot de ACM, de toezichthouder op de naleving van de Telecomwetgeving, wenden, indien zij denkt dat de Telecommunicatiewet niet of niet correct wordt nageleefd.

Vraag 6

Kent u klachten van aanbieders van Total Conversation-software dat zij technische problemen hebben bij het aansluiten op het platform van KPN Teletolk? Wat raadt u deze bedrijven aan om te doen?

Zie antwoord vraag 5.

Vraag 7

Deelt u de mening dat het voor gezonde marktverhoudingen goed zou zijn wanneer er meerdere aanbieders van Total Conversation-software actief worden op de Nederlandse markt? Zo ja, wat gaat u doen om te bewerkstelligen dat dit binnen zes maanden gerealiseerd is?

Ja. De Total Conversation-software die in het kader van de bemiddelingsdienst wordt gebruikt, is gebaseerd op open standaarden en is voor iedereen beschikbaar en iedereen kan daar op aansluiten. Dat is zo geregeld in het Besluit en de Regeling universele dienstverlening en eindgebruikersbelangen. Er is dus beoogd te voorzien in een open markt, waarop meerdere aanbieders van Total Conversation-software actief kunnen zijn. Met het Franse bedrijf, zo heeft KPN mij meegedeeld, vindt nog steeds afstemming plaats en naar verwachting zal dit binnen zes maanden tot een oplossing leiden.

Vraag 1

Heeft u kennisgenomen van het bericht «Politie plundert particuliere data»?1

Ja

Vraag 2

Is het waar dat het bedrijf ARS Traffic & Transport Technology langs de Nederlandse snelwegen kentekens registreert en dat deze door politie en justitie opgevraagd worden voor opsporing en vervolging? Zo nee, wat is hier onjuist aan?

Ja, ARS T&TT registreert in opdracht van verschillende wegbeheerders kentekens langs Nederlandse (snel)wegen voor verkeers(management)doeleinden. Deze kentekens kunnen in strafrechtelijke onderzoeken worden gevorderd door de officier van justitie op grond van artikel 126nd van het Wetboek van Strafvordering. Er moet dan sprake zijn van een concrete verdenking voor een feit waarvoor voorlopige hechtenis is toegelaten en de gegevens moeten van belang zijn voor het onderzoek. De gegevens worden vervolgens verwerkt op grond van de Wet politiegegevens dan wel de Wet justitiële en strafvorderlijke gegevens.

Vraag 3

Op welke juridische basis legt ARS Traffic & Transport Technology deze gegevens vast? Is hier sprake van opslag van persoonsgegevens, waarvoor toestemming van de betrokkenen vereist is? Zo nee, waarom is hier geen sprake van opslag van persoonsgegevens?

Voertuigkentekens moeten in beginsel worden aangemerkt als persoonsgegevens. ARS T&TT handelt in opdracht van wegbeheerders die een publiekrechtelijke taak uitoefenen. Volgens de Wet bescherming persoonsgegevens (WBP) mogen die instellingen persoonsgegevens verwerken, waaronder vastleggen, mits dat noodzakelijk is voor de uitvoering van hun taak (artikel 8e WBP) en voldaan wordt aan de eisen van proportionaliteit en subsidiariteit. Wanneer met toepassing van deze rechtvaardigingsgrond persoonsgegevens worden verwerkt, is het vragen van toestemming aan de betrokkene niet nodig.

Vraag 4

Zijn er meer bedrijven die langs de openbare weg Automatic NumberPlate Recognition (ANPR) toepassen? Zo ja, welke bedrijven? Kunnen deze bedrijven een landelijk dekkend ANPR netwerk leveren? Hoe lang worden deze gegevens opgeslagen?

Ja, er zijn meerdere marktpartijen langs de openbare wegen die ANPR toepassen. Dit zijn voor Rijkswaterstaat (RWS) (inclusief de Nationale Databank Wegverkeersgegevens (NDW)), naast ARS T&TT, de partijen Connection Systems en Vialis. Deze partijen slaan variërend van een aantal dagen tot maximaal 15 werkweken (versleuteld) kentekens op.
Met de kentekenregistraties die plaatsvinden in opdracht van RWS en NDW kan geen landelijk dekkend netwerk worden geleverd. Bij RWS betreft het veelal kortstondige lokale en regionale projecten. NDW verzamelt wegverkeersgegevens over een netwerk van 6.000 km aan rijkswegen, provinciale wegen en doorgaande gemeentelijke wegen. Van alle NDW-meetlocaties is minder dan 10% uitgerust met ANPR-camera’s.

Vraag 5

Welke andere technieken (zoals bluetooth- en wifitracking) worden breed ingezet langs de openbare weg voor het analyseren van vervoersstromen? Worden deze gegevens ook opgevraagd door politie en justitie?

Andere technieken die worden ingezet voor het inwinnen van verkeersgegevens voor verkeersmanagement zijn inductielussen in de weg, Bluetooth-metingen, Passive Infrared en GPS. Deze technieken werken niet met kentekenregistratie.
Deze gegevens kunnen, indien relevant voor het strafrechtelijk onderzoek naar aanleiding van een concrete verdenking en met gebruikmaking van bevoegdheden uit het Wetboek van Strafvordering, ook opgevraagd worden door politie en justitie.

Vraag 6

Hoe vaak worden particuliere ANPR-databases en andere verkeersdatabases door politie en justitie bevraagd? Hoe specifiek is deze bevraging in tijd en kenteken?

Het is niet aan te geven hoe vaak particuliere ANPR-databases en andere verkeersdatabases worden bevraagd, omdat er bij de registratie geen onderscheid gemaakt wordt naar de bedrijven/diensten die camerabeelden opvragen.

Vraag 7

Bent u op de hoogte van het oordeel van het College bescherming persoonsgegevens (CBP) over de verschillende vormen van analyse van verkeersstromen? Zo ja, hoe luidt dit ten aanzien van ANPR door particuliere bedrijven? Zo nee, bent u bereid het oordeel van het CBP te vragen?

Een oordeel van het CBP over ANPR-toepassingen is gevraagd middels de Reparatiewet Infrastructuur en Milieu 2014, die aan het CBP is voorgelegd voor advies. In dit wetsvoorstel worden de grondslagen voor het ANPR-gebruik verder verduidelijkt. Het voorstel strekt er onder meer toe om de doelen waarvoor kentekens mogen worden verwerkt concreter vast te leggen, te weten: het in stand houden van de weg, het waarborgen van de bruikbaarheid daarvan en de veiligheid van het verkeer. In een algemene maatregel van bestuur worden de procedures die hiervoor gelden voor alle wegbeheerders op een uniforme wijze uitgewerkt.
Het CBP heeft op dat punt geen aanmerkingen. Het wetsvoorstel ligt momenteel bij de Raad van State voor advies.

Vraag 8

Deelt u het oordeel dat een koppeling tussen particulier verzamelde ANPR-gegevens en de RDW-database met kentekengegevens informatie oplevert die als persoonsgegevens gekenmerkt kunnen worden? Mag een dergelijke koppeling gelegd worden door het particuliere bedrijf dat deze ANPR-data verzamelt, door Rijkswaterstaat of door opsporingsdiensten? Welke juridische waarborgen zijn er voor de privacy van betrokkenen?

Ja, een koppeling tussen verzamelde ANPR-gegevens en de RDW-database levert persoonsgegevens op.
RWS kan met toepassing van artikel 9, eerste lid, van de WBP de verzamelde gegevens, na de voorgeschreven belangenafweging, verder verwerken voor andere doeleinden. De bedoelde koppeling voor specifieke doeleinden (bijv. verkeersonderzoeken) moet als een dergelijke verdere verwerking worden aangemerkt. Het particuliere bedrijf handelt in opdracht van RWS en voert zijn taken uit binnen de met RWS gemaakte afspraken.
Zo wordt met het bedrijf een bewerkersovereenkomst gesloten, is de verwerking gemeld bij de Functionaris Gegevensbescherming van het Ministerie van Infrastructuur en Milieu en worden de gegevens niet langer bewaard dan voor het doel noodzakelijk. Registraties worden vooraf aangekondigd met een persbericht. Overigens heeft een ieder een inzagerecht op grond van de WBP. Tenslotte heeft RWS een privacystatement opgesteld dat op de website van RWS staat en voor elke weggebruiker toegankelijk is.
Politie en justitie kunnen in gevallen van concrete verdenkingen en met gebruikmaking van de bevoegdheden in het Wetboek van Strafvordering zowel de oorspronkelijk verzamelde gegevens, als de verder verwerkte gegevens vorderen. De Wet Justitiële en Strafvorderlijke Gegevens (WJSG) en de Wet Politiegegevens (WPG) bevatten de waarborgen voor de bescherming van deze gegevens.

Vraag 9

Deelt u de mening dat met het gebruik door politie en justitie van particuliere ANPR-gegevens mogelijkheden voor het volgen van voertuigbewegingen bestaan die de mogelijkheden van de voorgestelde wijziging van het wetboek van strafvordering voor ANPR ver overtreffen? Zo ja, deelt u de mening dat dit zeer onwenselijk is? Zo nee, waarom niet?

Zoals in antwoord op vraag 2 is gezegd, kan ten behoeve van het oplossen van strafbare feiten informatie die in opdracht van RWS voor verkeersdoeleinden is vastgelegd door de officier van justitie worden gevorderd op grond van artikel 126nd van het Wetboek van Strafvordering. Het vorderen van de gegevens is slechts mogelijk voor zover sprake is van een concrete verdenking van een misdrijf waarvoor voorlopige hechtenis is toegelaten en dit in het belang van het onderzoek is.
Deze voorwaarden komen overeen met de voorwaarden waaronder de politie de door politiecamera’s vastgelegde ANPR-gegevens mag raadplegen indien het wetsvoorstel tot wijziging van het Wetboek van Strafvordering in verband met de regeling van het vastleggen en bewaren van kentekengegevens door de politie (Kamerstukken 33 542) wordt aanvaard en in werking treedt. De gegevens mogen op grond van het in dat wetsvoorstel voorgestelde artikel 126jj van het Wetboek van Strafvordering geraadpleegd worden in geval van verdenking van een misdrijf waarvoor voorlopige hechtenis is toegelaten, ten behoeve van de opsporing van dat misdrijf.

Vraag 10

Kunt u deze vragen beantwoorden voor aanvang van plenaire behandeling in tweede termijn van het wetsvoorstel tot wijziging van het Wetboek van Strafvordering in verband met de regeling van het vastleggen en bewaren van kentekengegevens door de politie (Kamerstukken 33 542) in de Tweede Kamer?

Ja