Vraag 1

Bent u bekend met het bericht «Politiechefs spreken zich uit tegen versleutelde chatberichten» (NU.nl, 22 april)?1

Ja

Vraag 2

Wat is uw reactie op de oproep van Europese politiechefs om actie te ondernemen tegen online platforms die berichten end-to-end versleutelen? Heeft u hierover contact gehad met uw Europese collega's? Welke acties verbinden u en uw collega's aan deze oproep?

Vraag 3

Wat is uw standpunt en wat is het standpunt de Nederlandse politie over end-to-end versleuteling? Onder welke concrete voorwaarden vindt u het verbreken van end-to-end versleuteling gerechtvaardigd, zowel individueel gericht als via het inbouwen van een generieke achterdeur bij versleutelde berichtenplatforms?

De Kamer heeft in juli 2022 middels de motie van het lid Van Raan c.s. de regering verzocht end-to-end-encryptie in stand te houden en voorstellen die dat onmogelijk maken niet te steunen. Het vorige kabinet heeft, in antwoord op dit verzoek, toegezegd uitvoering te geven aan deze motie.3 Dit standpunt staat hier niet ter discussie.
Wel wil ik, zoals mijn voorganger vaak heeft benadrukt, het belang onderstrepen dat wij moeten blijven zoeken naar mogelijkheden om rechtmatige toegang tot gegevens mogelijk te maken en/of te behouden. Zoals de Kamer is geïnformeerd wordt onder andere in Europees verband naar oplossingen gezocht.4 Dat is echter een lang proces, waarbij nog geen concrete oplossingen in zicht zijn.
Overigens geeft (vooral) het Wetboek van Strafvordering bevoegdheden voor de opsporing van strafbare feiten. Deze bevoegdheden, zoals de bevoegdheid tot binnendringen in een geautomatiseerd werk, kunnen leiden tot een inbreuk op de persoonlijke levenssfeer en zijn daarom met voorwaarden en waarborgen omkleed. Deze wettelijke bepalingen zijn in beginsel techniek-neutraal. Of een inbreuk op de persoonlijke levenssfeer gerechtvaardigd is, wordt derhalve niet bepaald door de keuze van de beveiligingstechniek van de verdachte.

Vraag 4

Heeft u contact gehad met Europol en de nationale politie over deze gezamenlijke oproep? Ontvangt u dergelijke signalen ook van Nederlandse politiechefs? Zo ja, wat is uw reactie?

Vraag 5

Deelt u de mening van politiechefs dat end-to-end versleuteling in stand kan blijven met een achterdeurtje die alleen voor de politie beschikbaar is? Zo ja, hoe ziet u dat voor zich? Hoe stelt u voor dat dit technisch kan zonder dat deze achterdeur algemeen beschikbaar komt en daarmee een einde maakt aan end-to-end versleuteling?

De hoofden van politie wijzen op de uitdagingen voor de opsporing bij de rechtmatige toegang tot gegevens. Zij roepen op tot het mogelijk houden dan wel maken van die rechtmatige toegang, waarbij zij tevens vermelden dat de technische oplossingen hiervoor kunnen verschillen voor diverse platforms of vormen van toegang. Zoals gemeld wordt momenteel onder andere in Europees verband naar oplossingen gezocht.
De politie geeft in haar verklaring niet aan dat «end-to-end versleuteling in stand kan blijven met een achterdeurtje die alleen voor de politie beschikbaar is». Het is van belang te zoeken naar mogelijkheden om te voorkomen dat er vrijplaatsen voor criminele activiteiten ontstaan, die tevens recht doen aan het belang van het in stand houden van end-to-end encryptie.

Vraag 6

In de Staat van de Unie 20232 schrijft u dat «end-to-end encryptie niet onmogelijk (mag) worden gemaakt,» tegelijkertijd stelt u in eerdere antwoorden op Kamervragen van de leden Kuik en Slootweg3 dat «het van belang [is] dat er mogelijkheden zijn om onder bepaalde omstandigheden toegang tot (end-to-end versleuteld) berichtenverkeer te krijgen, onder passende voorwaarden en waarborgen.» Hoe verenigt u deze standpunten? Zou toegang onder bepaalde voorwaarden en waarborgen end-to-end versleuteling niet per definitie onmogelijk maken?

Een inperking van de privacy door de overheid moet steeds voldoen aan de eisen van noodzakelijkheid, proportionaliteit en subsidiariteit. Waar nodig worden in wettelijke regelingen daarover waarborgen opgenomen, zoals een rechterlijke machtiging voor het inperken van de vertrouwelijkheid van communicatie. In het kader van de opsporing van strafbare feiten betreft dergelijke wetgeving vooral het Wetboek van Strafvordering. Deze wettelijke bepalingen zijn in beginsel techniek-neutraal geformuleerd. Welke beveiligingsmethodiek wordt toegepast, is niet van belang voor de vraag of een inbreuk op de privacy gerechtvaardigd is.
Toegang tot informatie in specifieke gevallen leidt niet noodzakelijkerwijs tot het onmogelijk maken van end-to-end-encryptie. Wanneer informatie wordt getransporteerd tussen twee punten («end-to-end») kan deze worden beveiligd (versleuteld) worden met end-to-end-encryptie. Deze beveiligingsmethode zorgt er voor dat tijdens het transport van die informatie derden dit bericht niet in leesbare vorm kunnen onderscheppen. Om toch toegang tot het berichtenverkeer te verkrijgen, bijvoorbeeld omdat op grond van wettelijke bevoegdheden tot toegang tot de berichten van een verdachte in het kader van een opsporingsonderzoek is besloten, zijn er in theorie diverse mogelijkheden. Het bericht kan bijvoorbeeld versleuteld worden onderschept en later worden ontsleuteld. Dit blijkt echter tegenwoordig in de praktijk vaak technisch niet mogelijk. Een andere mogelijkheid is dat de aanbieder van de communicatiedienst de encryptie voor de berichten van een specifieke verdachte niet toepast en de berichten onversleuteld aan de autoriteiten verstrekt, zoals ook aanbieders van openbare telecommunicatiediensten verplicht zijn de versleuteling ongedaan te maken in het geval van het aftappen van telecommunicatie. De end-to-end-versleuteling wordt voor berichten van en naar deze specifieke verdachte dan uitgezet. Zoals eerder is toegelicht aan uw Kamer staat deze methode los van andere processen die plaatsvinden op een apparaat.7 Een manieren waarop inzicht in informatie kan worden verkregen op het apparaat is bijvoorbeeld het binnendringen in een geautomatiseerd werk. Met een dergelijke methode is er toegang tot de gegevens op het apparaat in plaats van tijdens het transport. De berichten zijn dan veelal in leesbare vorm, omdat deze op het apparaat nog niet zijn versleuteld voor het transport, of reeds zijn ontsleuteld na het transport.
Deze mogelijkheden kunnen een meer dan geringe inbreuk op de privacy opleveren en zijn daarom met passende wettelijke voorwaarden en waarborgen omkleed. Zo moeten zij onder meer voldoen aan de eisen van noodzakelijkheid, proportionaliteit en subsidiariteit. Voor een nadere toelichting wil ik verwijzen naar brieven van 8 mei, 28 juni en 18 september 2023 aan uw Kamer.8

Vraag 7

Bent u bekend met cryptotelefoons? Zo ja, hoe denkt u te voorkomen dat criminelen gebruik maken van deze devices in plaats van reguliere end-to-end versleutelde berichtenplatforms? Hoe weegt u de effectiviteit van de inbreuk op de privacy van miljoenen mensen tegenover de georganiseerde misdaad die vervolgens via cryptotelefoons anoniem kan blijven communiceren?

Ja, ik ben bekend met cryptotelefoons. Deze zijn op zichzelf niet verboden. Voor handhavingsautoriteiten is het probleem bij cryptotelefoons niet anders dan bij andere sterk versleutelde diensten: iedereen, inclusief gerechtelijke autoriteiten in Europese lidstaten die handelen op basis van wettelijke bevoegdheden, wordt toegang ontzegd tot de inhoud van deze berichten door het platform dat de communicatie mogelijk maakt. Dit gebrek aan rechtmatige toegang tot digitale gegevens raakt tevens de kern van de zorg die wordt uitgesproken door de nationale hoofden van politie in hun verklaring d.d. 18 april.9

Vraag 8

Wat is het staande beleid ten opzichte van de strategie «store-now-decrypt-later»? Wordt er nu al door veiligheidsdiensten versleutelde informatie opgeslagen, om deze op een later moment te ontsleutelen? Hoe lang mag de politie deze informatie dan hiervoor opslaan?

Ik ben bekend met het store-now-decrypt-later-begrip en de mogelijkheid om versleutelde informatie op te slaan om deze op een later moment te kunnen ontsleutelen indien er in de toekomst een kwantumcomputer beschikbaar komt. In dat verband wil ik wijzen op de strategie die de rijksoverheid heeft ontwikkeld om organisaties te helpen de risico’s van kwantumtechnologie op cryptografie op tijd te beheersen, door tijdig te migreren naar zogenaamde post-quantum cryptografie.10 Deze vorm van cryptografie biedt weerstand tegen het eerder genoemde store-now-decrypt-later-scenario.
Op uw vraag over de veiligheidsdiensten wijs ik erop dat over de precieze werkwijze van de inlichtingen- en veiligheidsdiensten in het openbaar geen uitspraken worden gedaan. Voor de politie in Nederland geldt dat zij in het kader van de opsporing versleutelde persoonsgegevens rechtmatig kunnen vergaren op grond van diverse bevoegdheden uit het Wetboek van Strafvordering. De wettelijke bewaartermijnen voor politiegegevens, zoals onder andere opgenomen in de Wet politiegegevens, maken geen onderscheid tussen versleutelde en onversleutelde gegevens.

Vraag 9

Bent u bekend met de uitspraak van het Europese Hof voor de Rechten van de Mens (EHRM) op 13 februari 2024 in de zaak Podchasov v. Rusland?4 Bent u eveneens bekend met de gezamenlijke reactie van de European Data Protection Board (EDPB) van 13 februari 2024 op de Verordening ter voorkoming en bestrijding van seksueel kindermisbruik (CSAM)?5 Bent u bovendien bekend met het standpunt van het Europese Hof van Justitie dat generieke toegang tot versleutelde berichten nooit rechtmatig kan zijn?6

Ja, ik ben bekend met de uitspraak in de zaak Podchasov v. Rusland.
Daarnaast ben ik bekend met de verklaring van het Europees Comité voor gegevensbescherming van 13 februari 2024. Dit betreft echter geen reactie op de Verordening ter bestrijding en voorkoming van seksueel kindermisbruik zoals voorgesteld door de commissie, maar op het (tegen)voorstel zoals gedaan door het Europees Parlement op 22 november 2023.14 Ten slotte ben ik bekend met de uitspraak van het Europese Hof in de zaak Schrems. Versleutelde berichten of versleuteling speelden echter geen rol in deze zaak.

Vraag 10

Onderschrijft u de conclusies van deze zwaarwegende uitspraken omtrent end-to-end versleuteling volledig? Kunt u op de uitspraken en standpunten van de drie organisaties afzonderlijk reageren?

In de zaak Podchasov v. Rusland is klager een Russische onderdaan, en gebruiker van de berichtenapplicatie Telegram. Telegram is door de Russische staat aangemerkt als «Internet organisator van communicatie». Als gevolg hiervan is het bij wet verplicht om alle communicatiegegevens op te slaan voor de duur van een jaar en de inhoud van alle communicatie gedurende zes maanden. Verder is bepaald dat deze gegevens kunnen worden voorgelegd aan de rechtshandhavingsinstanties of veiligheidsdiensten, samen met de informatie die nodig is om versleutelde berichten te kunnen ontsleutelen.15 Het EHRM overweegt dat het opslaan van de gegevens van klager een inmenging is in het recht op privéleven (artikel 8 van het Europees Verdrag voor de Rechten van de Mens (EVRM)). Deze inmenging kan gerechtvaardigd zijn indien deze heeft plaatsgevonden in overeenstemming met de wet, een legitiem doel dient en noodzakelijk is in een democratische samenleving. Het EHRM overweegt dat nationale wetgeving voldoende waarborgen moet bieden met betrekking tot onder andere de duur, de opslag, het gebruik, de toegang van derden, procedures voor het bewaren van de integriteit en vertrouwelijkheid van gegevens en procedures voor de vernietiging ervan, zodat er voldoende garanties zijn tegen het risico van misbruik en willekeur, om te voorkomen dat persoonsgegevens in strijd met artikel 8 EVRM worden gebruikt. De nationale wetgeving moet er met name voor zorgen dat de bewaarde gegevens relevant en niet buitensporig zijn in verhouding tot de doeleinden waarvoor ze worden bewaard, en dat ze in een vorm die het mogelijk maakt de betrokkenen te identificeren, niet langer worden bewaard dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor ze worden bewaard. Daarnaast moet de wetgeving aan het voorzienbaarheidsvereiste voldoen.
Het EHRM overweegt dat Russische wetgeving communicatieaanbieders verplicht tot het installeren van technieken die directe toegang door de Russische veiligheidsdiensten tot de communicatie mogelijk maken. De Russische opsporingsautoriteiten moeten weliswaar een rechterlijke machtiging verkrijgen alvorens deze gegevens te kunnen raadplegen, maar er bestaat geen verplichting om die machtiging ook aan de communicatieaanbieder te tonen.16 Gezien het risico van misbruik dat een dergelijke regeling in het leven roept, moet de wet voldoende waarborgen bevatten tegen willekeur en misbruik. Het EHRM oordeelt dat daar in deze zaak onvoldoende sprake van is.
Met betrekking tot de verplichting tot medewerking van Telegram aan het ontsleutelen van alle end-to-end versleutelde communicatie overweegt het EHRM:
«Deze maatregelen kunnen naar verluidt niet worden beperkt tot specifieke individuen en zouden zonder onderscheid iedereen treffen, inclusief individuen die geen bedreiging vormen voor een legitiem overheidsbelang. Het verzwakken van de encryptie door het creëren van achterdeuren zou het blijkbaar technisch mogelijk maken om routinematige, algemene en willekeurige surveillance van persoonlijke elektronische communicatie uit te voeren.»
Het EHRM overweegt dat onder die omstandigheden de bovengenoemde verplichting die Rusland oplegde aan Telegram niet proportioneel is ten aanzien van het beoogde doel.17 Het EHRM concludeert dat de bestreden Russische wetgeving onvoldoende adequate waarborgen tegen misbruik bevat en de kern van artikel 8 EVRM aantast – het recht op eerbiediging van het privéleven.
Het vorige kabinet heeft aangegeven uitvoering te geven aan de motie-Van Raan en heeft dit standpunt uitgebreid weergegeven en onderbouwd. Dit standpunt, dat hier niet ter discussie staat, staat haaks op het creëren van enige verplichting tot afzwakking, uitschakeling of algehele ontsleuteling van end-to-end versleutelde informatie.
Het Europese Hof in de zaak Schrems schreef dat «een regeling op grond waarvan de autoriteiten veralgemeend toegang kunnen krijgen tot de inhoud van elektronische communicatie [moet] worden beschouwd als een aantasting van de wezenlijke inhoud van het grondrecht op eerbiediging van het privéleven zoals door artikel 7 van het Handvest gewaarborgd».18
Hoewel ik deze conclusie van het Hof onderschrijf, wil ik erop wijzen dat versleutelde berichten of versleuteling als zodanig geen rol speelde in deze zaak.
Het kabinet onderschrijft de conclusie van het Europees Comité voor gegevensbescherming dat end-to-end versleuteling een belangrijk middel is om de vertrouwelijkheid van elektronische communicatie te kunnen bewerkstelligen.

Vraag 11

Is uw standpunt over end-to-end versleuteling veranderd naar aanleiding van de recente uitspraken van het EHRM en EDPB? Zo ja, op welke wijze draagt u dit uit bij lopende onderhandelingen in Europa en het binnenland over wet- en regelgeving? Zo niet, kan u met voorbeelden onderbouwen dat het huidige kabinetsstandpunt voldoende invulling geeft aan de uitspraken van de rechter en de EDPB?

Nee. Dit standpunt, zoals aangehaald en beschreven in mijn beantwoording op uw vorige vragen, is niet strijdig met voornoemde uitspraken.

Vraag 12

Biedt het geactualiseerde Grondwetsartikel 13 over het brief- en telecommunicatiegeheim een absolute garantie dat er geen verzwakkingen van end-to-end versleuteling mogen plaatsvinden in Nederland? Zijn de aanbevelingen van de staatscommissie-Grondwet 2010 hiermee volledig geïmplementeerd?7

De doelstelling van artikel 13 Grondwet (Gw) betreft het beschermen van de vertrouwelijkheid van communicatie. Die bescherming geldt met en zonder encryptie: ook als de inhoud van communicatie niet versleuteld is, mag die niet zomaar worden bekeken. Encryptie is een technische manier om de inhoud van de communicatie te beschermen tegen inzage door anderen, naast andere manieren om daartegen te beschermen. Artikel 13 schrijft niet voor of en op welke wijze private partijen hun communicatie dienen te beschermen.20 Dat een beveiligingsmethode eventueel gekraakt kan worden doet aan de juridische bescherming niet af.21 Overigens biedt artikel 13 Gw expliciet de mogelijkheid inperkingen te maken op het communicatiegeheim. Beperking van dit recht is mogelijk in de gevallen bij de wet bepaald met machtiging van de rechter of, in het belang van de nationale veiligheid, door of met machtiging van hen die daartoe bij de wet zijn aangewezen. Een voorbeeld van een dergelijke beperking is inzet van de interceptiebevoegdheid ten behoeve van de opsporing van strafbare feiten. Voorafgaande machtiging van de rechter is dan vereist.
In 2010 adviseerde de Staatscommissie om de bescherming van artikel 13 Gw te beperken tot de transportfase van de informatie en de inhoud van de communicatie buiten de bescherming van artikel 13 te laten vallen.22 In de memorie van toelichting bij de herziening van dit grondwetsartikel, alsmede tijdens debatten over het wetsvoorstel in de Tweede Kamer, is toegelicht waarom voor een andere, tevens techniek-onafhankelijke benadering is gekozen bij de vormgeving van dit grondwetsartikel.23 In de kern komt het erop neer dat bij de bescherming van het telecommunicatiegeheim is gekozen om niet het middel dat bescherming kan bieden, maar bescherming van de inhoud van de communicatie zelf centraal te stellen.24

Vraag 13

Bent u bereid om samen met de nationale politie en de Autoriteit Persoonsgegevens tot een eenduidig standpunt te komen over het borgen van end-to-end versleuteling, dat recht doet aan de uitspraken van het EHRM, EHJ en de EDPB, en dit blijvend uit te dragen in Nederland en Europa?

Zoals gezegd is voornoemd standpunt inzake end-to-end-encryptie niet strijdig met voornoemde uitspraken. Voor nadere uitleg verwijs ik naar mijn puntsgewijze beantwoording van vraag 10.

Vraag 14

Kunt u deze vragen apart van elkaar beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht «Meta schort AI-plannen in Europa op na druk toezichthouders»?1

Ja, ik heb kennisgenomen van dit bericht.

Vraag 2

Hoe lang is bij u al bekend dat Meta werkt aan het plan om foto's en uitingen van miljoenen eindgebruikers te gebruiken om een eigen AI-model te trainen? Is dit wat u betreft acceptabel?

In mei van dit jaar heeft Meta haar (nieuwe) plannen gepubliceerd om onder meer AI-modellen te trainen met publieke en niet-publieke gebruikersdata. Sindsdien zijn deze plannen ook bij het kabinet bekend. Ik begrijp dat u vragen heeft over de plannen van Meta. Het is echter niet aan het kabinet om te beoordelen of deze acceptabel zijn, maar in de eerste plaats aan de toezichthouder. In antwoord 3 wordt nader ingegaan op de relevante wetgeving en eventuele handhavingsmogelijkheden van toezichthouders. Wel deel ik de zorg dat Meta mogelijk vormen van verwerking van persoonsgegevens hanteert die niet in overeenstemming zijn met de regels van het gegevensbeschermingsrecht, waaronder de Algemene Verordening Gegevensbescherming (AVG).

Vraag 3

Is het Meta onder de bestaande privacywetgeving, de Digital Services Act, de Digital Markets Act en de aanstaande AI Act, toegestaan om foto's – vaak met herkenbare gezichten in beeld – en uitingen te gebruiken om een AI mee te trainen? Welke gevolgen zijn er als dit in strijd is met bestaande wetten en / of richtlijnen?

Voor een rechtmatige verwerking van persoonsgegevens vereist de AVG dat daarvoor een grondslag bestaat. In artikel 6, eerste lid, van de AVG zijn zes limitatieve grondslagen opgesomd. Wanneer een verwerking niet op een van die grondslagen gebaseerd kan worden, is zij onrechtmatig. Het toezicht op de naleving van de AVG is een taak van de onafhankelijke toezichthouder, in Nederland de Autoriteit Persoonsgegevens (AP). De AP heeft een ruim mandaat en uitgebreide bevoegdheden om te onderzoeken of partijen voldoen aan hun verplichtingen uit de AVG en op grond daarvan de nodige corrigerende en sanctionerende maatregelen te nemen.
Het toezicht op de verschillende digitale verordeningen die worden benoemd is voor een deel nog in ontwikkeling, waardoor het te vroeg is om definitieve conclusies te trekken over de toelaatbaarheid van deze praktijken van Meta in relatie tot haar AI-tools. Hieronder wordt daarom aangegeven welke bepalingen een rol kunnen spelen bij het bepalen of het Meta is toegestaan om haar AI-modellen te trainen met genoemde persoonsgegevens. De praktijk moet de komende periode uitwijzen of deze praktijken in strijd zijn met bepaalde wet- of regelgeving.
De (Digital Markets Act) DMA kent geen specifieke bepalingen voor AI-diensten. Voor de toepassing van de DMA worden kernplatformdiensten technologieneutraal gedefinieerd, zo volgt uit overweging 14 van de DMA. Meta is door de Europese Commissie aangewezen als poortwachter onder de DMA voor verschillende kernplatformdiensten. Zo zijn bijvoorbeeld de online socialemediadiensten van Meta aangewezen als kernplatformdienst vallend onder het toepassingsgebied van de DMA. Dit betekent dat Meta moet zorgen voor effectieve naleving van de maatregelen in de DMA. Zo mag Meta op grond van artikel 5, tweede lid, van de DMA bijvoorbeeld niet zonder toestemming persoonsgegevens van eindgebruikers die zijn verzameld via een kernplatformdienst combineren of gebruiken bij andere diensten die Meta afzonderlijk aanbiedt. Het is denkbaar dat het trainen van AI-modellen met persoonsgegevens verkregen via de kernplatformdiensten van Meta onder het toepassingsbereik van deze bepaling kan vallen. Het is uiteindelijk aan de Europese Commissie om te bepalen of sprake is van strijd met de bepalingen in de DMA. Structurele niet-naleving van de DMA door poortwachters kan bestraft worden met hoge sancties.
Onder de AI-verordening worden er eisen gesteld aan aanbieders van AI-modellen voor algemene doeleinden. Het generatieve AI-model van Meta kan hier ook onder vallen. Een van de eisen is dat de aanbieder een voldoende gedetailleerde samenvatting over de content die voor het trainen van het AI-model voor algemene doeleinden is gebruikt, moet opstellen en openbaar maken. Hiermee moet het voor rechthebbenden makkelijker worden om inzicht te krijgen in wat er met hun data is gebeurd.
AI-systemen die worden gebruikt of in de handel worden gebracht die databanken voor gezichtsherkenning aanleggen of aanvullen door ongerichte scraping van gezichtsafbeeldingen van internet of CCTV-beelden, worden door de AI-verordening verboden. Voor de niet-naleving van deze bepalingen kunnen geldboeten worden opgelegd.
De Digital Services Act (DSA) stelt geen regels voor het trainen van een AI-model.

Vraag 4

Heeft Meta volgens u een «legitiem belang» om foto's en uitingen van vele miljoenen eindgebruikers te gebruiken voor commerciële doeleinden, zoals de mogelijke integratie van Meta AI in Apple-producten?2 Weegt dit zwaarder dan de belangen van miljoenen eindgebruikers, ook met inachtneming van de eerdere uitspraak van het Europese Hof van Justitie dat Meta geen «legitiem belang» had om gericht te adverteren?3

Een verwerking van persoonsgegevens kan als gezegd alleen rechtmatig zijn als deze voldoet aan ten minste één van de zes gronden die zijn opgesomd in het eerste lid van artikel 6 AVG. Daartoe behoort ook de grondslag «gerechtvaardigd belang», die te vinden is in artikel 6, eerste lid, aanhef en onder f, van de AVG. Op grond hiervan is een verwerking van persoonsgegevens rechtmatig indien en voor zover de verwerking noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.
De AP stelt dat een gerechtvaardigd belang een in een wet vastgesteld en/of een tot de wet behorend belang moet zijn. Een commercieel belang behoort daar niet toe, aldus de AP. De rechtbank Amsterdam heeft prejudiciële vragen aan het Europese Hof van Justitie gesteld om meer duidelijkheid op dit punt te krijgen4. Het Hof heeft deze vragen nog niet beantwoord. Ik wil niet vooruitlopen op de duiding van het Hof.

Vraag 5

Is de opvatting van Meta dat zij «legitiem belang» heeft bij het verwerken van foto's en uitingen in lijn met hoofdstuk 3, artikel 5, tweede lid, van de Digital Markets Act, die verbiedt dat persoonsgegevens van verschillende diensten van dezelfde aanbieder gecombineerd worden en stelt dat «legitiem belang», zoals gedefinieerd in artikel 6, eerste lid, onderdeel f, van de Algemene verordening gegevensbescherming (AVG), geen geldige rechtsgrond is? Wat is hierover de opvatting van de Autoriteit Consument & Markt (als toezichthouder) en de Europese Commissie (als handhaver)?

Ik ben niet op de hoogte op basis van welke rechtsgrond Meta van plan was gebruikersgegevens te verwerken. Het is ook niet aan het kabinet om te beoordelen of Meta een geslaagd beroep kan doen op legitiem belang als rechtsgrond. Het toezien op de rechtmatigheid van gegevensverwerkingen in concrete zaken, is aan de toezichthouder en uiteindelijk de rechter. Ik heb naar aanleiding van uw vraag de Autoriteit Consument & Markt (ACM) en de Europese Commissie om hun opvattingen gevraagd.
Volgens de ACM moeten aangewezen poortwachters zich houden aan de verplichtingen inzake persoonsgegevens zoals Artikel 5(2) DMA bepaalt. Een poortwachter behoudt de mogelijkheid om zo nodig een beroep te doen op artikel 6, lid 1, punten c, d en e van de AVG voor wat betreft de mogelijkheid tot het rechtmatig verwerken van persoonsgegevens. Of Meta in dit concrete geval in lijn met de DMA en de AVG een beroep kan doen op een «legitiem belang» bij het verwerken van foto's en uitingen zou moeten volgen uit een eventueel onderzoek.
De Europese Commissie is op het moment in ieder geval in gesprek met Meta over de implicaties van de DMA op haar AI-tool.

Vraag 6

Komen er in de plannen van Meta mogelijk online kinderrechten in het geding, gezien de grote hoeveelheid minderjarige gebruikers op sociale media als Facebook en Instagram, die bovendien niet altijd hun leeftijd eerlijk opgeven?

Wanneer posts van minderjarigen of waarop minderjarigen te zien of te horen zijn op sociale media worden gebruikt voor het trainen van AI-modellen, kunnen verschillende kinderrechten in het geding komen.
Kinderen genieten specifieke bescherming als het gaat om het verwerken van hun persoonlijke gegevens. De AVG vereist expliciete toestemming van de ouders of wettelijke voogden voor de verwerking van gegevens van kinderen onder de zestien jaar. Ook kan het gebruiken van posts van kinderen voor dergelijke doeleinden in strijd zijn met hun vrijheid van meningsuiting en kan er sprake zijn van economische exploitatie, wanneer hun data commercieel wordt gebruikt zonder compensatie of toestemming. Het is bekend dat kinderen online vaak een onjuiste leeftijd opgeven. Dit vergroot de kans dat de aanvullende bescherming waar kinderen recht op hebben, niet kan worden geboden en dat daarmee hun rechten worden geschonden. De toezichthouders moeten er op toezien dat deze rechten niet worden geschonden. Dat hebben zij hier ook gedaan, door proactief te hebben gehandeld en hierover met Meta het gesprek te zijn aangegaan.

Vraag 7

Weet u voor hoe lang Meta van plan is om de uitrol van de nieuwe dataverzameling te «pauzeren», zoals hen is opgelegd door de Ierse privacywaakhond? Zo niet, kunt u dit navragen en duidelijkheid bieden?

Dit is mij niet bekend. Het kabinet verkeert ook niet in de positie om navraag te doen. Dit is een taak voor de AP als onafhankelijke toezichthouder. Ik heb contact gezocht met de AP hierover. Zij heeft desgevraagd laten weten dat de Ierse toezichthouder (Data Protection Commission, DPC) op dit moment in gesprek is met Meta. Zij houdt het publiek op de hoogte middels persberichten op haar website5. De AP is hierover in direct contact met de Ierse toezichthouder. Aanvullende informatie kan de AP hierover niet verstrekken omwille van vertrouwelijkheid.

Vraag 8

Is het volgens u voldoende duidelijk voor gebruikers dat zij het gebruik van hun data voor deze nieuwe functie kunnen afwijzen? Wat kan u doen om gebruikers proactief te wijzen op deze keuze, zodat men maximale regie over de eigen data houdt?

Zoals aangegeven in het antwoord op vraag 2 deel ik de zorg dat Meta mogelijk vormen van verwerking van persoonsgegevens hanteert die niet in overeenstemming zijn met de regels van het gegevensbeschermingsrecht, waaronder de Algemene Verordening Gegevensbescherming (AVG). Het is echter niet aan het kabinet om te beoordelen of Meta in dit specifieke geval aan de voorwaarden voor toestemming en de transparantie- en informatieverplichtingen uit de AVG heeft voldaan.
In het algemeen acht het kabinet het van groot belang dat burgers regie hebben op de gegevens die over ze worden verzameld. Het is daarbij onder meer belangrijk dat de toestemming van gebruikers voor het trainen van AI-modellen gebeurt conform bestaande wet- en regelgeving. Wanneer er sprake is van een gerechtvaardigd belang, een van de verwerkingsgronden uit de AVG, moet er de mogelijkheid zijn om via een opt-out mechanisme als gebruiker bezwaar te maken tegen de beoogde gegevensverwerking. De mogelijkheid tot het doen van een opt-out moet eenvoudig en toegankelijk zijn. Hier ligt een belangrijke rol voor de desbetreffende verwerkingsverantwoordelijke. Ook zet de AP zich in om de bewustwording op het gebied van privacy- en gegevensbeschermingsrecht te vergroten.

Vraag 9

Is het mogelijk dat u als bewindspersoon namens alle Nederlandse gebruikers grootschalig bezwaar maakt op deze dataverzameling door Meta, gezien het bedrijf heeft toegezegd dat alle bezwaren van Nederlanders ingewilligd zullen worden? Zo ja, bent u bereid dit zo snel mogelijk te doen? Zo nee, welke andere mogelijkheden ziet u om alsnog maximaal op te komen voor de belangen van Nederlandse gebruikers?

Ik ben het met u eens dat het belangrijk is dat gebruikers (collectief) bezwaar kunnen maken als zij van mening zijn dat inbreuk wordt gemaakt op hun rechten. De AVG biedt in artikel 80, eerste lid, de mogelijkheid dat een organisatie namens meerdere betrokkenen (onder meer) een klacht kan indienen bij de toezichthoudende autoriteit of een civiele procedure kan starten tegen de verantwoordelijke of verwerker. Het is echter niet aan bewindspersonen om dit te doen.
Het kabinet kan worden aangesproken op het stelsel van het gegevensbeschermingsrecht, zoals de wetgeving en het beleid op dat terrein, maar het is niet aan het kabinet om in individuele gevallen te interveniëren. Dat is aan betrokkenen zelf en de door hen eventueel aan te wijzen (juridische) vertegenwoordigers.

Vraag 10

Acht u een «opt-in-systeem», waar gebruikers actief moeten aangeven als zij wel data willen afstaan voor het trainen van de Meta AI, niet beter in lijn met bestaande privacyregels vanuit de AVG?

Het valt niet op voorhand te zeggen of een dergelijke aanpassing beter in lijn zou zijn met de regels van de AVG. Bovendien is het zoals eerder aangegeven niet aan het kabinet om dat in concrete gevallen te beoordelen, maar aan de toezichthouder.
In het algemeen is het van belang dat iedere verwerking van persoonsgegevens berust op een rechtsgrondslag uit artikel 6 AVG. Als daarvoor de grondslag «toestemming» wordt gehanteerd, moet deze toestemming ondubbelzinnig en in vrijheid gegeven zijn op basis van duidelijke informatie. Ongeacht de specifieke verwerkingsgrondslag gelden ook voor elke verwerking de beginselen inzake de verwerking van persoonsgegevens, die zijn neergelegd in artikel 5 AVG. Deze vereisen onder meer dat gegevens ten aanzien van de betrokkene rechtmatig, transparant en op behoorlijke wijze worden verwerkt en alleen voor welbepaalde en specifiek omschreven doelen. Ook geldt het principe van dataminimalisatie, dat met zich brengt dat altijd moet worden gekozen voor het minst ingrijpende systeem waarvoor zo min mogelijk gegevens worden verwerkt. Het is aan de organisatie die verantwoordelijk is voor verwerking van persoonsgegevens (de verwerkingsverantwoordelijke) om aan te tonen dat zij een wettelijke grondslag heeft om persoonsgegevens rechtmatig te verwerken. Voor zover het gaat om verwerkingen van persoonsgegevens waar de hoofdvestiging van Meta in Ierland verwerkingsverantwoordelijke voor is, is het in de eerste plaats aan de Ierse toezichthouder om de rechtmatigheid van deze verwerkingen te beoordelen. De Ierse toezichthouder werkt daarbij samen met de andere Europese privacy-toezichthouders, waaronder de Autoriteit Persoonsgegevens. In het algemeen geldt voor toestemming dat die niet rechtsgeldig door middel van een opt-out-systeem kan worden verkregen.

Vraag 11

Is er reeds overleg geweest tussen de European Data Protection Board, waaronder de nationale toezichthouders, en Meta over dit besluit? Kunt u uitleggen welke bezwaren er zijn geuit en welke verbeteringen Meta heeft toegezegd?

Op dit moment is de Ierse toezichthouder in gesprek met Meta. De Ierse toezichthouder houdt de andere Europese privacy-toezichthouders hiervan op de hoogte. Ook de AP is hierover in direct contact met de Ierse toezichthouder. Aanvullende informatie kan hierover niet worden verstrekt omwille van de vertrouwelijkheid.

Vraag 12

Heeft de Autoriteit Persoonsgegevens een zienswijze op de voorgenomen plannen van Meta? Zo ja, kunt u deze delen? Zo nee, kunt u de toezichthouder om een reactie vragen?

De AP volgt de voorgenomen plannen van Meta op de voet. Ook bij de AP zijn klachten binnengekomen over Meta ten aanzien van het mogelijk gebruik van persoonsgegevens voor het trainen van Al. Op dit moment houdt de Ierse toezichthouder de AP en de andere Europese privacy-toezichthouders actief op de hoogte over de voortgang van dit dossier. De verstrekte informatie stelt de AP in staat om ook zelfstandig een, weliswaar voorlopig, oordeel te vormen over de plannen. De AP heeft vertrouwen in een goede samenwerking met haar Europese collega-toezichthouders, in het bijzonder de Ierse toezichthouder, om deze kwestie voortvarend en doelgericht te adresseren.

Vraag 13

Is er reeds overleg geweest tussen uzelf en collega-bewindspersonen uit de Europese Unie over de voorgenomen plannen van Meta? Werkt u aan een gezamenlijk standpunt?

Er is geen overleg tussen mij en collega-bewindspersonen geweest over de voorgenomen plannen van Meta. Aan een gezamenlijk standpunt tussen Europese regeringen wordt op dit moment niet gewerkt.

Vraag 14

Wat is uw reactie op de zeer korte tijd tussen het moment dat Meta de plannen heeft aangekondigd (10 juni) en het moment dat deze nieuwe vorm van dataverzameling in werking zou treden (26 juni)?4 Geeft dit wat u betreft voldoende tijd voor overheden om adequaat te reageren en voor gebruikers om bezwaar aan te tekenen? Wat kan u samen met Europese collega's doen om niet nogmaals door Meta overvallen te worden door een dergelijk besluit?

Vooropgesteld moet worden dat Meta de plannen voor de uitrol van de nieuwe dataverzameling van EU-gebruikers tot nader order heeft opgeschort. Dit betekent dat de Ierse toezichthouder op dit moment, in goede samenwerking met de andere Europese privacy-toezichthouders, waaronder de AP, met Meta in gesprek kan gaan over de voorgenomen verwerkingen en de plannen nader kan bekijken. Het is niet aan het kabinet om te beoordelen of de plannen van Meta acceptabel zijn, maar in de eerste plaats aan de toezichthouder.

Vraag 15

Kunt u deze vragen afzonderlijk van elkaar beantwoorden en nog voor de «pauze» van Meta voorbij is?

Ja.

Vraag 1

Bent u bekend met het bericht «Serieus toezicht op webwinkels als Temu ontbreekt: «Oneerlijke concurrentie»»?1

Ja.

Vraag 2

Deelt u de zorgen van de Consumentenbond en toezichthouders zoals de Autoriteit Consument en Markt (ACM) over oneerlijke handelspraktijken door met name Chinese webshops als Temu, Shein en AliExpress?

De razendsnelle opkomst van deze online marktplaatsen is voor een belangrijk deel het gevolg van het grote productaanbod, de lage prijzen die zij hanteren en hun grootschalige marketingcampagnes. Zo besteedt Temu naar schatting meer dan 450 miljoen euro per kwartaal aan marketing.1 De berichten van consumentenorganisaties2 dat Temu onveilige producten zou aanbieden, cruciale informatie achterhoudt voor consumenten en manipulatieve online technieken (dark patterns) toepast, vind ik zorgelijk. Deze opkomst van niet-Europese online marktplaatsen beïnvloedt de concurrentiepositie van Nederlandse en andere Europese online marktplaatsen. Ik vind het van belang dat consumenten erop kunnen vertrouwen dat ze veilig en op basis van betrouwbare informatie hun aankopen kunnen doen. Op Europees niveau zijn er maatregelen genomen om dit te waarborgen. Deze maatregelen licht ik in de antwoorden op uw overige vragen toe.

Vraag 3

Deelt u de zorgen dat de razendsnelle opkomst van deze webshops, aangejaagd door het gebruik van oneerlijke handelspraktijken, negatieve gevolgen heeft voor de concurrentiepositie van Europese en Nederlandse webshops?

Zie antwoord vraag 2.

Vraag 4

Vallen verleidingstechnieken op de website en app van Temu, zoals «flitsaanbiedingen» met aftelklokken en het gebruik van spelletjes gericht op kinderen onder verboden dark patterns? Kunt u hier per voorbeeld op ingaan?

Op grond van de Richtlijn Oneerlijke Handelspraktijken (OHP) is het bedrijven niet toegestaan om commerciële dark patterns te gebruiken wanneer deze oneerlijke handelspraktijken zijn, zoals bedoeld in de Richtlijn OHP. Dark patterns zijn manipulatieve of misleidende technieken die consumenten ertoe aan kunnen zetten om keuzes te maken die niet in hun belang zijn. De Autoriteit Consument en Markt (hierna: ACM) geeft in haar Leidraad Bescherming van de Online Consument aan wat volgens haar de normen zijn als het gaat om verschillende dark patterns.
Het gebruik van flitsaanbiedingen met aftelklokken mag consumenten niet misleiden. Het bedrieglijk beweren dat een product slechts voor een zeer beperkte tijd beschikbaar is, met als doel om de consument onder druk te zetten tot het nemen van een aankoopbeslissing, is op grond van de Richtlijn OHP onder geen enkele omstandigheid toegestaan. Het aanbieden van spelletjes gericht op kinderen is op grond van de Richtlijn OHP ook niet toegestaan als deze spelletjes worden ingezet als reclamemiddel met als doel om kinderen geadverteerde producten te laten kopen.
Bij een overtreding van de Richtlijn OHP kan de ACM handhavend optreden. Zo heeft de ACM in juni 2023 tientallen webshops bevolen te stoppen met het gebruikmaken van misleidende countdowntimers.3

Vraag 5

Als de genoemde verleidingstechnieken op dit moment niet onder verboden handelspraktijken vallen, bent u bereid om de Europese lijst met verboden handelspraktijken te herzien en aan te vullen met misleidende technieken die door Temu worden gebruikt?

Zoals aangegeven in het antwoord op vraag 4 kunnen dark patterns op grond van de Richtlijn OHP nu al worden aangepakt. Sommige van de genoemde verleidingstechnieken staan al op de zogenaamde «zwarte lijst» van verboden handelspraktijken.
Verder onderzoekt de Europese Commissie momenteel of de huidige regels consumenten ook online voldoende beschermen (fitness check).4 Mogelijk wordt de Richtlijn OHP herzien op basis van de uitkomsten van de fitness check. De resultaten van de fitness check worden in het najaar van 2024 verwacht.

Vraag 6

Wat vindt u van de oproep van de ACM om met nieuwe wetgeving te komen tegen oneerlijke handelspraktijken door webshops? Welke stappen neemt u hierin?

De ACM heeft in het kader van de fitness check van de Europese Commissie op 21 november 2022 een non-paper uitgebracht met haar inzet. 5 De ACM is van mening dat de Europese consumentenregels aangescherpt moeten worden om consumenten online voldoende te beschermen. Zo pleit de ACM voor het expliciet verbieden van bepaalde schadelijke en oneerlijke online handelspraktijken.
Dit standpunt is in lijn met de eerdere oproep van mijn ministerie aan de Europese Commissie.6 Daarbij is benadrukt dat de ontwikkelingen in de digitale economie snel gaan en dat het niveau van consumentenbescherming hierdoor onder druk kan komen te staan, bijvoorbeeld als gevolg van het ontwerp van websites en apps. Het verdient dan ook aanbeveling om consumentenwetgeving te flexibiliseren om hier sneller op te kunnen reageren. Ik wacht de uitkomsten van de fitness check van de Europese Commissie hierover met interesse af.

Vraag 7

Klopt het dat Temu, Shein en AliExpress onder de Digital Services Act (DSA) zijn aangewezen als Very Large Online Platforms and Search Engines (VLOPS), waardoor extra regels voor toezicht gelden?

Ja. De Europese Commissie houdt op haar website een openbare lijst bij van de diensten die zijn aangewezen als Very Large Online Platforms en Search Engines.7

Vraag 8

Kunt u aangeven of u verwacht dat deze webshops binnen de gestelde termijnen zullen voldoen aan de verplichtingen uit de DSA?

Ik heb geen reden om aan te nemen dat deze webshops niet van plan zijn om aan hun verplichtingen uit de DSA te voldoen. Het toezicht op de naleving van de DSA door zeer grote online platforms ligt overigens primair bij de Europese Commissie, en daarnaast (mede) bij de bevoegde autoriteiten uit de lidstaten waar die diensten gevestigd zijn, of waar zij hun wettelijk vertegenwoordiger hebben gekozen. Voor Shein en Temu is dat de digitaledienstencoördinator van Ierland. Voor AliExpress is dat de ACM als digitaledienstencoördinator in Nederland.

Vraag 9

Bent u bereid om bij de Europese Commissie, die uit hoofde van de DSA toezicht houdt op VLOPS, te pleiten voor het openen van onderzoek naar oneerlijke handelspraktijken door Temu en Shein, in lijn met het onderzoek dat naar AliExpress is geopend?

Oneerlijke handelspraktijken zijn gereguleerd door middel van de Richtlijn OHP. Daar wordt toezicht op gehouden door onafhankelijke nationale markttoezichthouders, zoals in Nederland de ACM. Het onderzoek naar eventuele overtredingen van de DSA door AliExpress ziet niet op eventuele oneerlijke handelspraktijken, maar onder meer op de inrichting van het mechanisme voor het melden van illegale inhoud, de interne klachtenprocedure, en de verrichte systeemrisicoanalyse van AliExpress.
Ook het toezicht op de DSA is belegd bij onafhankelijke markttoezichthouders. Het is aan deze markttoezichthouders om al dan niet een onderzoek te starten. Overigens heeft de Europese Commissie recentelijk een informatieverzoek over de verplichtingen uit de DSA verzonden aan Temu en Shein. De ACM is de beoogde Digitale Diensten Coördinator (DDC) in Nederland. Zodra de uitvoeringswet DSA in werking is getreden, kan de ACM, wanneer zij van mening is dat Temu of Shein de DSA overtreedt, de Digitale Diensten Coördinator van de lidstaat van vestiging of de Europese Commissie een onderbouwd handhavingsverzoek sturen.

Vraag 10

Bent u bereid om de ACM te verzoeken om hun bevoegdheden als nationale toezichthouder in te zetten om onderzoek te doen naar oneerlijke handelspraktijken door Temu, AliExpress en Shein in Nederland?

De ACM is een onafhankelijke markttoezichthouder. Het besluit om al dan niet een onderzoek te starten naar een bedrijf ligt dan ook bij de ACM.

Vraag 11

Wat is uw beeld van de arbeidsomstandigheden in fabrieken waar producten voor Temu worden gemaakt, gezien de lage prijzen van veel producten? Is hier volgens u voldoende zicht op en zo nee, wat wilt u hieraan doen?

Het kabinet houdt geen toezicht op arbeidsomstandigheden in de waardeketens van buitenlandse bedrijven en kan daarom geen uitspraken doen over individuele casussen. Uiteraard kan er in het algemeen een verband zijn tussen lage prijzen van producten enerzijds en gebrekkige arbeidsomstandigheden of niet-leefbare lonen in de keten anderzijds. Het kabinet neemt dit thema serieus en bevordert daarom internationaal maatschappelijk verantwoord ondernemen (IMVO). Het IMVO-beleid heeft als doel dat bedrijven gepaste zorgvuldigheid toepassen om negatieve gevolgen van hun activiteiten, producten of diensten op mens en milieu te identificeren en aan te pakken in hun waardeketens, ongeacht het land waarin die impact zich voordoet.
Op 24 mei jl. is de brede Europese IMVO-wet Corporate Sustainability Due Diligence Directive (CSDD) aangenomen. Voor nationale implementatie van de CSDDD zullen de gebruikelijke procedures doorlopen worden. Het vormgeven van onafhankelijk toezicht zal daar ook een belangrijk onderdeel van zijn. De richtlijn gaat gelden voor in de EU gevestigde bedrijven met meer dan 1.000 medewerkers en een netto jaaromzet van meer dan EUR 450 miljoen, en voor niet in de EU gevestigde bedrijven met een netto jaaromzet van meer dan EUR 450 miljoen in de EU. Dit bevordert een gelijk speelveld met andere bedrijven in de EU en leidt tot een grotere impact bij het Europees en mondiaal bevorderen van arbeids- en mensenrechten. Na publicatie in het EU Publicatieblad en inwerkingtreding hebben lidstaten twee jaar de tijd om de CSDDD om te zetten in nationale wetgeving.

Vraag 12

Wat is uw reactie op onderzoeken die laten zien dat producten zoals speelgoed in webshops als Temu vrijwel nooit voldoen aan de Europese eisen voor productveiligheid?

De uitkomsten van de onderzoeken naar productveiligheid op online marktplaatsen zijn zorgwekkend.8 Het is van belang dat consumenten erop kunnen vertrouwen dat de producten die zij kopen veilig zijn. Ten aanzien van speelgoed gelden strenge veiligheidseisen in de EU waar bedrijven die ontwerpen, produceren of verhandelen zich aan moeten houden.9 Deze regels gelden ook voor partijen die buiten de Unie zijn gevestigd en hun product op de interne markt aanbieden. De NVWA houdt toezicht op de Speelgoed Veiligheidsrichtlijn. De inwerkingtreding van de Algemene Productveiligheidsverordening per december van dit jaar vormt een belangrijke ontwikkeling op het gebied van productveiligheidsregelgeving. Onder deze verordening worden Europese marktdeelnemers en niet-Europese online marktplaatsen en fabrikanten meer verantwoordelijk voor de veiligheid van producten die niet onder productspecifieke wetgeving vallen, zogeheten niet-geharmoniseerde producten. Voor dergelijke producten moet zo dadelijk een verantwoordelijke partij in de EU gevestigd zijn. Dit kan de fabrikant óf een juridische vertegenwoordiger van de fabrikant zijn. Anders mag een product niet worden aangeboden op de interne markt. Indien de online marktplaats niet in de EU is gevestigd, dan kunnen markttoezichthouders deze via de gemachtigde vertegenwoordiger verplichten om de inhoud (productpagina) van de online-interface te verwijderen of een expliciete waarschuwing bij producten te tonen.

Vraag 13

Hebben toezichthouders op dit moment voldoende handvatten om voorraden en/of producten van internationale webshops te inspecteren? Zo nee, wat is daarvoor nodig?

Om goed toezicht te houden is het van belang dat markttoezichthouders met de juiste bevoegdheden kunnen optreden tegen partijen die onveilige producten aanbieden. De realiteit is echter ook dat vorig jaar bijna twee miljoen e-commerce zendingen per dag via Nederland de EU binnen kwamen.10Deze enorme instroom aan goederen maakt het onmogelijk voor markttoezichthouders om alle producten te controleren. Door middel van steekproeven en risico gebaseerd toezicht werken markttoezichthouders – ondanks de hoge volumes – hard aan het weren van onveilige producten. De afgelopen jaren zette mijn ministerie zich in Europa in voor het verbreden van de bevoegdheden van markttoezichthouders om beter toezicht te kunnen houden op online marktplaatsen, zoals bij de totstandkoming van de Algemene Productveiligheidsverordening en de DSA (zie het antwoord op vraag 12). Ook is het beheersbaar maken van de grote stroom van e-commerce zendingen een belangrijke prioriteit van Nederland in de onderhandelingen over het nieuwe Douane Wetboek van de Unie.
Daarom heb ik de Europese Commissie voorgesteld dat de verplichting tot het aanwijzen van een verantwoordelijke persoon, zoals onder de algemene productveiligheidsverordening, ook moet gaan gelden voor producten die reeds onder sectorspecifieke regelgeving vallen maar waarvoor deze (nieuwe) verplichting nog niet geldt. Producten waarvoor al sectorspecifieke regelgeving bestaat zijn te herkennen aan hun CE-markering. Bovendien zijn handvatten voor risico-gebaseerd toezicht hierbij essentieel. Mijn inzet is daarom dat het Digitale Product Paspoort (DPP) voor alle producten verplicht wordt. Het DPP maakt het makkelijker voor autoriteiten om de meest actuele informatie van producten snel in te zien. Daarnaast zet ik in Nederland een uniforme meldwijzer op waar consumenten en ondernemers onveilige producten kunnen melden. Dit draagt bij aan betere data voor markttoezichthouders voor hun risico-gebaseerd toezicht. Deze meldwijzer komt in het najaar online.

Vraag 14

Deelt u de mening dat wat niet in Europa geproduceerd mag worden, ook niet in Europa verkocht zou mogen worden? Zo ja, hoe weert u onveilige producten die via Temu verkocht worden van de Europese markt?

Het is belangrijk dat producten die zowel in de winkel als online verkocht worden veilig zijn, of deze nu uit Europa komen of daarbuiten. In de vorige antwoorden licht ik toe welke mogelijkheden de toezichthouder heeft en krijgt om dit te waarborgen.

Vraag 15

Wat is uw reactie op de zorgen over de inbreuk op privacy door met name de app van Temu, zoals bijvoorbeeld blijkt uit onderzoek door de Belgische VRT? Bent u bereid om de Autoriteit Persoonsgegevens te vragen hier onderzoek naar te doen?

Het houden van toezicht op en het handhaven van de rechtmatigheid van gegevensverwerkingen in de private sector is geen taak van het kabinet, maar van de Autoriteit Persoonsgegevens. Deze toezichthouder is onafhankelijk en heeft een ruim mandaat en uitgebreide bevoegdheden om te onderzoeken of partijen voldoen aan hun verplichtingen uit de Algemene Verordening Gegevensbescherming (AVG).

Vraag 16

Deelt u de mening dat de app van Temu mogelijk een nog grotere «datastofzuiger» is dan TikTok?

De toezichthouder Autoriteit Persoonsgegevens ziet via het stelsel van de AVG toe op het verzamelen en gebruik van persoonsgegevens. Als bewindspersoon beschik ik niet over informatie omtrent dataverzameling door specifieke bedrijven.

Vraag 17

Wilt u ervoor zorgen dat de app van Temu net als TikTok niet meer gebruikt kan worden op werktelefoons van Rijksambtenaren?

De Kamer is op 24 november 2023 vertrouwelijk geïnformeerd over technische risicobeperkende maatregelen die genomen zijn in het kader van het appbeleid rijksoverheid. Door deze vertrouwelijkheid kan ik dan ook niet verder ingaan op deze maatregelen. Ik kan u wel melden dat deze maatregelen met enige regelmaat worden geëvalueerd, waarin ook Temu onder de loep is genomen.

Vraag 18

Wat is uw reactie op berichten over de banden van Temu met de Chinese overheid? Ziet u risico’s in de opkomst van webshops als Temu voor onze strategische autonomie? Bent u bereid hier onderzoek naar te doen?

Onze strategische autonomie ziet op het borgen en het versterken van de weerbaarheid en de publieke belangen Nederland en de EU. In de berichtgeving over online marktplaatsen als Temu zien deze publieke belangen op privacy-, data- en consumentenbescherming. Ter bescherming van deze factoren kent de EU wetgeving waaraan bedrijven moeten voldoen die actief zijn of willen zijn op de Europese interne markt. Dit geldt ook voor bedrijven die mogelijkerwijs banden hebben met de overheid in hun land van herkomst of voor webshops en e-commerce ondernemingen van buiten de EU die op de interne markt hun producten aanbieden. Bedrijven dienen zich hierbij ook te houden aan het Europese consumentenrecht. Het tegengaan van schendingen hiervan is belangrijk. De verantwoordelijkheid hiervoor ligt in de eerste plaats bij de aangewezen toezichthouder(s), waaronder de ACM.

Vraag 19

Wat vindt u ervan dat juist bij de genoemde webshops het gebruik van Buy Now Pay Later wordt gepromoot, bijvoorbeeld via een paginabrede button van Klarna op de website van Temu, terwijl steeds meer duidelijk wordt wat daarvan de schadelijke gevolgen zijn met name voor kinderen en jongeren?

In antwoorden op Kamervragen over Buy Now Pay Later (BNPL)-diensten hebben de Ministers voor Armoedebeleid, Participatie en Pensioenen, voor Rechtsbescherming en van Financiën hun zorg uitgesproken over het gebruik van BNPL-diensten door jongeren.11 Die zorg deel ik. Ik sta dan ook achter de aangekondigde maatregelen die het gebruik van BNPL-diensten door jongeren tegen moeten gaan. Zo hebben aanbieders van Nederlandse BNPL-diensten, waaronder de Nederlandse tak van Klarna, hun gedragscode op dit punt aangescherpt. Daarnaast gaan vanaf november 2026 voor BNPL-diensten in heel Europa dezelfde strenge regels gelden als voor aanbieders van consumptief krediet op grond van de herziene richtlijn consumentenkrediet (CCD2). Ook onderzoekt het kabinet de mogelijkheden om leeftijdscontrole verplicht te stellen bij BNPL.

Vraag 1

Klopt de berichtgeving van Nieuwsuur dat de kwetsbaarheid in Cisco Webex bestond door de voorspelbaarheid van URLs?1 2 Wordt binnen de Rijksoverheid bij de implementatie van systemen standaard een controle uitgevoerd op de afwezigheid van dergelijke basale configuratiefouten?

Ja. Dit betrof geen configuratiefout van de Rijksvideodienst (Belastingdienst). De inrichting is gecheckt in samenwerking met CIO Rijk en de AIVD/NBV. Hiervoor is onder andere een BSPA3 en DPIA4 uitgevoerd. Wel kon er via enumeratie5, door een voorspelbare logische volgordelijkheid in de unieke internetadressen van websites (URL’s genoemd), metadata van andere vergaderingen worden ingezien door ongeautoriseerde gebruikers. Volgens Cisco was dit mogelijk door kwetsbaarheden in specifiek de Cloud-applicaties van Cisco Webex meetings. De Rijksoverheid heeft aanbevolen veiligheidsinstellingen en werkt veelal niet met de cloud versie, maar met de client versie van Webex.

Vraag 2

Klopt de berichtgeving van de Volkskrant dat het in het verleden mogelijk was om telefonisch in te bellen op de Webex-omgeving van de Rijksoverheid? Zo ja, zouden buitenlandse inlichtingendiensten daardoor ongemerkt vertrouwelijke Nederlandse videovergaderingen kunnen hebben bijgewoond?3

Het is mogelijk gebleken dat ongeautoriseerde gebruikers onder bepaalde voorwaarden vertrouwelijke videovergaderingen hebben kunnen bijwonen. Cisco ondersteunt namelijk de mogelijkheid in te bellen via het Public Switched Telephone Network op Cisco Webex Meetings.
Binnen Nederland zijn echter geen gevallen bekend waarbij ongeautoriseerde gebruikers vertrouwelijke videovergaderingen van de Rijksoverheid hebben bijgewoond. Uit zowel onderzoek van Cisco als uit eigen onderzoek van het Nationaal Cyber Security Centrum (NCSC) is geen indicatie van misbruik naar voren gekomen. Dit komt mede door de standaardtoepassingen van beveiligingsmaatregelen bij het gebruik van Cisco Webex binnen de Rijksoverheid.

Vraag 3

Wilt u nader toelichten wat het concreet betekent dat Cisco Webex «niet gebruikt [mag] worden voor overleggen die als zeer vertrouwelijk zijn aangemerkt of waar staatsgeheime informatie wordt besproken»? Waar legt het kabinet de lat voor «zeer vertrouwelijk»?

Webex kan, net als bijvoorbeeld regulier telefonisch contact, gebruikt worden voor informatie tot en met «Departementaal VERTROUWELIJK (Dep.V.)» gerubriceerd, anders niet.
Informatie wordt als Dep.V. gerubriceerd indien kennisname door niet geautoriseerden schade kan toebrengen aan de belangen van één of meerdere ministeries. Informatie wordt als Staatsgeheim CONFIDENTIEEL/GEHEIM/ZEER GEHEIM gerubriceerd indien kennisname door niet geautoriseerden respectievelijk schade/ernstige schade/zeer ernstige schade kan toebrengen aan een van de vitale belangen van de staat of zijn bondgenoten. «Zeer vertrouwelijk» valt onder de eigen beoordelingsruimte van de medewerker.

Vraag 4

Mogen er Departementaal Vertrouwelijk (Dep.V)-gerubriceerde gesprekken gevoerd worden via Cisco Webex? Zo ja, heeft het kabinet ook na dit incident nog voldoende vertrouwen in het beveiligingsniveau van Cisco Webex als product en het beveiligingsbewustzijn van Cisco als fabrikant om gesprekken op dit rubriceringsniveau te laten plaatsvinden?

Webex kan, net als bijvoorbeeld regulier telefonisch contact, gebruikt worden voor informatie tot en met «Departementaal VERTROUWELIJK (Dep.V.)» gerubriceerd, anders niet.
Door ontwikkeling van de techniek kunnen systemen die aanvankelijk veilig werden bevonden, nieuwe kwetsbaarheden bevatten. Daarnaast worden er continu nieuwe aanvalstechnieken ontwikkeld. Door het mitigeren van de kwetsbaarheden en nemen van aanvullende maatregelen wordt een systeem weer veilig. Dit is een regulier, normaal proces waar alle IT aan onderhavig is. Het probleem in deze casus was ook niet zozeer dat er een kwetsbaarheid ontdekt was, maar dat deze niet per direct aan de Rijksoverheid gemeld werd, omdat Cisco geen verdachte activiteiten waargenomen heeft op de Rijksoverheid tenant. Hierover zijn gesprekken met Cisco gevoerd, naar aanleiding waarvan Cisco hun meldingsproces gaat herinrichten om een dergelijke kwestie in de toekomst te voorkomen. CIO Rijk is betrokken bij deze herinrichting.

Vraag 5

Zijn bewindspersonen en ambtenaren in de praktijk voldoende geëquipeerd om videogesprekken op het juiste rubriceringsniveau te voeren? Hoe wordt hierop toegezien?

Cisco Webex is geschikt voor het voeren van videogesprekken tot en met het niveau Departementaal Vertrouwelijk. Dit is ook duidelijk uitgelegd in de handleiding van Webex voor rijksambtenaren. Voor mobiele telefoongesprekken tot en met het niveau Staatsgeheim Geheim is de Sectra Tiger/S telefoon goedgekeurd door de AIVD.

Vraag 6

Kunt u illustreren wat voor soort gevoelige gesprekken wel via Cisco Webex gevoerd mogen worden, maar niet als «zeer vertrouwelijk» worden beschouwd of Stg-gerubriceerd zijn?

Een voorbeeld hiervan zouden personeels- en/of functioneringsgesprekken kunnen zijn.

Vraag 7

Mogen er via Cisco Webex gesprekken gevoerd worden waarin militair gevoelige informatie besproken wordt?

Indien de informatie tot en met «Departementaal VERTROUWELIJK (Dep.V.)» gerubriceerd is wel, anders niet.
Informatie wordt als Dep.V. gerubriceerd indien kennisname door niet geautoriseerden schade kan toebrengen aan de belangen van één of meerdere ministeries. Informatie wordt als Staatsgeheim CONFIDENTIEEL/GEHEIM/ZEER GEHEIM gerubriceerd indien kennisname door niet geautoriseerden respectievelijk schade/ernstige schade/zeer ernstige schade kan toebrengen aan een van de vitale belangen van de staat of zijn bondgenoten.

Vraag 8

Mogen er via Cisco Webex gesprekken gevoerd worden waarin internationaal gevoelige informatie besproken wordt, zoals diplomatieke terugkoppelingen?

Zie antwoord vraag 7.

Vraag 9

Mogen er via Cisco Webex gesprekken gevoerd worden die, indien ze zouden uitlekken, de Nederlandse economische positie of economische veiligheid kunnen schaden, zoals aankomende investeringen, fusies en overnames of bedrijfsgevoelige informatie?

Zie antwoord vraag 7.

Vraag 10

Mogen er via Cisco Webex gesprekken gevoerd worden die, indien ze zouden uitlekken, de nationale veiligheid, de veiligheid van individuen of de openbare orde zouden kunnen schaden?

Zie antwoord vraag 7.

Vraag 11

Bestaat er een risico dat de vertrouwelijke identiteit van ambtenaren, waaronder medewerkers van de AIVD en MIVD, gelekt is via deze kwetsbaarheid?

Medewerkers van de Rijksoverheid maken gebruik van Webex. Bij het gebruik maken van een communicatiesysteem via het publieke internet hoort een bepaald beveiligingsniveau. Gekoppeld daaraan worden beslissingen genomen over vertrouwelijkheid.
Over de operationele werkwijzen van de inlichtingen- en veiligheidsdiensten worden in het openbaar geen uitspraken gedaan. In algemene zin houden de AIVD en MIVD altijd rekening met het beveiligingsniveau van een publieke communicatie-infrastructuur.

Vraag 12

Wat zijn de in de SLA (service level agreement) opgenomen afspraken met Cisco inzake dergelijke kwetsbaarheden en de opvolging hiervan, waaronder communicatie en afgesproken termijn voor reparatie?

Er is geen SLA met Cisco afgesloten, maar met BIS. Hierin zijn geen afspraken opgenomen omtrent kwetsbaarheden en de opvolging daarvan. Naar aanleiding van het incident wordt op korte termijn overleg met Cisco ingepland om Cisco’s beleid en processen t.a.v. mogelijke toekomstig geconstateerde kwetsbaarheden/incidenten aan te passen.

Vraag 13

Hoe beoordeelt het kabinet het «coordinated vulnerability disclosure»-beleid (voor het melden van onbekende kwetsbaarheden) van Cisco en de uitvoering daarvan in de praktijk?

Het betrof kwetsbaarheden in specifiek de Cloud-applicaties van Cisco Webex meetings, waardoor het doorvoeren van updates van kwetsbare software door afnemers niet mogelijk was. Deze software is namelijk in beheer in de Cloud-omgeving van Cisco. Cisco heeft ervoor gekozen om in dit geval een andere procedure dan de coordinated vulnerability disclosure (CVD) procedure te volgen en geen kenmerken toe te kennen aan de kwetsbaarheden.
Naar aanleiding van het incident wordt op korte termijn overleg met Cisco gevoerd om Cisco’s beleid en processen t.a.v. mogelijke toekomstig geconstateerde kwetsbaarheden/incidenten aan te passen.

Vraag 14

Bent u het met ons eens dat het «coordinated vulnerability disclosure»-beleid van producenten en de uitvoering daarvan in de praktijk een belangrijke afweging zou moeten zijn bij inkopen en aanbestedingen door de overheid? Hoe en in welke mate wordt dit nu door departementen meegewogen?

Het beschikken over een CVD-beleid is een concrete maatregel. In de Algemene Rijksinkoopvoorwaarden bij IT-opdrachten (ARBIT) is in art. 19 opgenomen dat wederpartij zorg draagt voor een niveau van Informatiebeveiliging dat van een redelijk handelend en bekwame IT-leverancier mag worden verwacht. Tevens moeten eventuele inbreuken zo spoedig mogelijk gemeld worden.
In Nederland is het CVD-beleid van het NCSC breed gecommuniceerd. Op de website van het Nationaal Cyber Security Centrum (NCSC) is veel informatie te vinden over Coordinated Vulnerability Disclosures (CVD). Dit betreft onder meer informatie over hoe personen een CVD-melding kunnen doen om technische kwetsbaarheden te melden bij het Nationaal Cyber Security Centrum (NCSC). Binnen de community van onderzoekers en ethische hackers is het CVD-beleid van het Nationaal Cyber Security Centrum (NCSC) over het algemeen goed bekend. In het buitenland zijn vergelijkbare standaarden van toepassing.

Vraag 15

Bent u het met ons eens dat dit incident, in combinatie met eerdere incidenten gerelateerd aan deze fabrikant, de noodzaak benadrukt voor een hogere mate van Nederlandse digitale autonomie op het gebied van het voeren van vertrouwelijke videogesprekken? Is hier specifiek aandacht voor binnen de Nationale Cryptostrategie (NCS)?

Binnen de Nationale Cryptostrategie (NCS) worden de behoeftes van de Rijksoverheid voor informatiebeveiligingsproducten voor gerubriceerde informatie, met een focus op staatsgeheimen, besproken. Deze behoeftelijst is gerubriceerd en derhalve kunnen wij geen uitspraak doen over de inhoud hiervan.

Vraag 16

Bent u bereid om een open source alternatief voor Webex te overwegen? Zo nee, waarom niet?

De selectie van een leverancier voor het rijksbreed videoconferencing platform heeft middels een openbare aanbesteding plaatsgevonden. Geen van de inschrijvende partijen had een open source oplossing aangeboden. Uiteraard houden wij ons graag op de hoogte van de ontwikkelingen in de markt, maar we zien dat wat betreft de schaalgrootte en de complexiteit van de organisatie van de Rijksoverheid er op dit moment geen gelijkwaardige alternatieven beschikbaar zijn.

Vraag 1

Bent u bekend met het bericht «Meta schort AI-plannen in Europa op na druk toezichthouders»?1

Ja, ik heb kennisgenomen van dit bericht.

Vraag 2

Hoe lang is bij u al bekend dat Meta werkt aan het plan om foto's en uitingen van miljoenen eindgebruikers te gebruiken om een eigen AI-model te trainen? Is dit wat u betreft acceptabel?

In mei van dit jaar heeft Meta haar (nieuwe) plannen gepubliceerd om onder meer AI-modellen te trainen met publieke en niet-publieke gebruikersdata. Sindsdien zijn deze plannen ook bij het kabinet bekend. Ik begrijp dat u vragen heeft over de plannen van Meta. Het is echter niet aan het kabinet om te beoordelen of deze acceptabel zijn, maar in de eerste plaats aan de toezichthouder. In antwoord 3 wordt nader ingegaan op de relevante wetgeving en eventuele handhavingsmogelijkheden van toezichthouders. Wel deel ik de zorg dat Meta mogelijk vormen van verwerking van persoonsgegevens hanteert die niet in overeenstemming zijn met de regels van het gegevensbeschermingsrecht, waaronder de Algemene Verordening Gegevensbescherming (AVG).

Vraag 3

Is het Meta onder de bestaande privacywetgeving, de Digital Services Act, de Digital Markets Act en de aanstaande AI Act, toegestaan om foto's – vaak met herkenbare gezichten in beeld – en uitingen te gebruiken om een AI mee te trainen? Welke gevolgen zijn er als dit in strijd is met bestaande wetten en / of richtlijnen?

Voor een rechtmatige verwerking van persoonsgegevens vereist de AVG dat daarvoor een grondslag bestaat. In artikel 6, eerste lid, van de AVG zijn zes limitatieve grondslagen opgesomd. Wanneer een verwerking niet op een van die grondslagen gebaseerd kan worden, is zij onrechtmatig. Het toezicht op de naleving van de AVG is een taak van de onafhankelijke toezichthouder, in Nederland de Autoriteit Persoonsgegevens (AP). De AP heeft een ruim mandaat en uitgebreide bevoegdheden om te onderzoeken of partijen voldoen aan hun verplichtingen uit de AVG en op grond daarvan de nodige corrigerende en sanctionerende maatregelen te nemen.
Het toezicht op de verschillende digitale verordeningen die worden benoemd is voor een deel nog in ontwikkeling, waardoor het te vroeg is om definitieve conclusies te trekken over de toelaatbaarheid van deze praktijken van Meta in relatie tot haar AI-tools. Hieronder wordt daarom aangegeven welke bepalingen een rol kunnen spelen bij het bepalen of het Meta is toegestaan om haar AI-modellen te trainen met genoemde persoonsgegevens. De praktijk moet de komende periode uitwijzen of deze praktijken in strijd zijn met bepaalde wet- of regelgeving.
De (Digital Markets Act) DMA kent geen specifieke bepalingen voor AI-diensten. Voor de toepassing van de DMA worden kernplatformdiensten technologieneutraal gedefinieerd, zo volgt uit overweging 14 van de DMA. Meta is door de Europese Commissie aangewezen als poortwachter onder de DMA voor verschillende kernplatformdiensten. Zo zijn bijvoorbeeld de online socialemediadiensten van Meta aangewezen als kernplatformdienst vallend onder het toepassingsgebied van de DMA. Dit betekent dat Meta moet zorgen voor effectieve naleving van de maatregelen in de DMA. Zo mag Meta op grond van artikel 5, tweede lid, van de DMA bijvoorbeeld niet zonder toestemming persoonsgegevens van eindgebruikers die zijn verzameld via een kernplatformdienst combineren of gebruiken bij andere diensten die Meta afzonderlijk aanbiedt. Het is denkbaar dat het trainen van AI-modellen met persoonsgegevens verkregen via de kernplatformdiensten van Meta onder het toepassingsbereik van deze bepaling kan vallen. Het is uiteindelijk aan de Europese Commissie om te bepalen of sprake is van strijd met de bepalingen in de DMA. Structurele niet-naleving van de DMA door poortwachters kan bestraft worden met hoge sancties.
Onder de AI-verordening worden er eisen gesteld aan aanbieders van AI-modellen voor algemene doeleinden. Het generatieve AI-model van Meta kan hier ook onder vallen. Een van de eisen is dat de aanbieder een voldoende gedetailleerde samenvatting over de content die voor het trainen van het AI-model voor algemene doeleinden is gebruikt, moet opstellen en openbaar maken. Hiermee moet het voor rechthebbenden makkelijker worden om inzicht te krijgen in wat er met hun data is gebeurd.
AI-systemen die worden gebruikt of in de handel worden gebracht die databanken voor gezichtsherkenning aanleggen of aanvullen door ongerichte scraping van gezichtsafbeeldingen van internet of CCTV-beelden, worden door de AI-verordening verboden. Voor de niet-naleving van deze bepalingen kunnen geldboeten worden opgelegd.
De Digital Services Act (DSA) stelt geen regels voor het trainen van een AI-model.

Vraag 4

Heeft Meta volgens u een «legitiem belang» om foto's en uitingen van vele miljoenen eindgebruikers te gebruiken voor commerciële doeleinden, zoals de mogelijke integratie van Meta AI in Apple-producten?2 Weegt dit zwaarder dan de belangen van miljoenen eindgebruikers, ook met inachtneming van de eerdere uitspraak van het Europese Hof van Justitie dat Meta geen «legitiem belang» had om gericht te adverteren?3

Een verwerking van persoonsgegevens kan als gezegd alleen rechtmatig zijn als deze voldoet aan ten minste één van de zes gronden die zijn opgesomd in het eerste lid van artikel 6 AVG. Daartoe behoort ook de grondslag «gerechtvaardigd belang», die te vinden is in artikel 6, eerste lid, aanhef en onder f, van de AVG. Op grond hiervan is een verwerking van persoonsgegevens rechtmatig indien en voor zover de verwerking noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.
De AP stelt dat een gerechtvaardigd belang een in een wet vastgesteld en/of een tot de wet behorend belang moet zijn. Een commercieel belang behoort daar niet toe, aldus de AP. De rechtbank Amsterdam heeft prejudiciële vragen aan het Europese Hof van Justitie gesteld om meer duidelijkheid op dit punt te krijgen4. Het Hof heeft deze vragen nog niet beantwoord. Ik wil niet vooruitlopen op de duiding van het Hof.

Vraag 5

Is de opvatting van Meta dat zij «legitiem belang» heeft bij het verwerken van foto's en uitingen in lijn met hoofdstuk 3, artikel 5, tweede lid, van de Digital Markets Act, die verbiedt dat persoonsgegevens van verschillende diensten van dezelfde aanbieder gecombineerd worden en stelt dat «legitiem belang», zoals gedefinieerd in artikel 6, eerste lid, onderdeel f, van de Algemene verordening gegevensbescherming (AVG), geen geldige rechtsgrond is? Wat is hierover de opvatting van de Autoriteit Consument & Markt (als toezichthouder) en de Europese Commissie (als handhaver)?

Ik ben niet op de hoogte op basis van welke rechtsgrond Meta van plan was gebruikersgegevens te verwerken. Het is ook niet aan het kabinet om te beoordelen of Meta een geslaagd beroep kan doen op legitiem belang als rechtsgrond. Het toezien op de rechtmatigheid van gegevensverwerkingen in concrete zaken, is aan de toezichthouder en uiteindelijk de rechter. Ik heb naar aanleiding van uw vraag de Autoriteit Consument & Markt (ACM) en de Europese Commissie om hun opvattingen gevraagd.
Volgens de ACM moeten aangewezen poortwachters zich houden aan de verplichtingen inzake persoonsgegevens zoals Artikel 5(2) DMA bepaalt. Een poortwachter behoudt de mogelijkheid om zo nodig een beroep te doen op artikel 6, lid 1, punten c, d en e van de AVG voor wat betreft de mogelijkheid tot het rechtmatig verwerken van persoonsgegevens. Of Meta in dit concrete geval in lijn met de DMA en de AVG een beroep kan doen op een «legitiem belang» bij het verwerken van foto's en uitingen zou moeten volgen uit een eventueel onderzoek.
De Europese Commissie is op het moment in ieder geval in gesprek met Meta over de implicaties van de DMA op haar AI-tool.

Vraag 6

Komen er in de plannen van Meta mogelijk online kinderrechten in het geding, gezien de grote hoeveelheid minderjarige gebruikers op sociale media als Facebook en Instagram, die bovendien niet altijd hun leeftijd eerlijk opgeven?

Wanneer posts van minderjarigen of waarop minderjarigen te zien of te horen zijn op sociale media worden gebruikt voor het trainen van AI-modellen, kunnen verschillende kinderrechten in het geding komen.
Kinderen genieten specifieke bescherming als het gaat om het verwerken van hun persoonlijke gegevens. De AVG vereist expliciete toestemming van de ouders of wettelijke voogden voor de verwerking van gegevens van kinderen onder de zestien jaar. Ook kan het gebruiken van posts van kinderen voor dergelijke doeleinden in strijd zijn met hun vrijheid van meningsuiting en kan er sprake zijn van economische exploitatie, wanneer hun data commercieel wordt gebruikt zonder compensatie of toestemming. Het is bekend dat kinderen online vaak een onjuiste leeftijd opgeven. Dit vergroot de kans dat de aanvullende bescherming waar kinderen recht op hebben, niet kan worden geboden en dat daarmee hun rechten worden geschonden. De toezichthouders moeten er op toezien dat deze rechten niet worden geschonden. Dat hebben zij hier ook gedaan, door proactief te hebben gehandeld en hierover met Meta het gesprek te zijn aangegaan.

Vraag 7

Weet u voor hoe lang Meta van plan is om de uitrol van de nieuwe dataverzameling te «pauzeren», zoals hen is opgelegd door de Ierse privacywaakhond? Zo niet, kunt u dit navragen en duidelijkheid bieden?

Dit is mij niet bekend. Het kabinet verkeert ook niet in de positie om navraag te doen. Dit is een taak voor de AP als onafhankelijke toezichthouder. Ik heb contact gezocht met de AP hierover. Zij heeft desgevraagd laten weten dat de Ierse toezichthouder (Data Protection Commission, DPC) op dit moment in gesprek is met Meta. Zij houdt het publiek op de hoogte middels persberichten op haar website5. De AP is hierover in direct contact met de Ierse toezichthouder. Aanvullende informatie kan de AP hierover niet verstrekken omwille van vertrouwelijkheid.

Vraag 8

Is het volgens u voldoende duidelijk voor gebruikers dat zij het gebruik van hun data voor deze nieuwe functie kunnen afwijzen? Wat kan u doen om gebruikers proactief te wijzen op deze keuze, zodat men maximale regie over de eigen data houdt?

Zoals aangegeven in het antwoord op vraag 2 deel ik de zorg dat Meta mogelijk vormen van verwerking van persoonsgegevens hanteert die niet in overeenstemming zijn met de regels van het gegevensbeschermingsrecht, waaronder de Algemene Verordening Gegevensbescherming (AVG). Het is echter niet aan het kabinet om te beoordelen of Meta in dit specifieke geval aan de voorwaarden voor toestemming en de transparantie- en informatieverplichtingen uit de AVG heeft voldaan.
In het algemeen acht het kabinet het van groot belang dat burgers regie hebben op de gegevens die over ze worden verzameld. Het is daarbij onder meer belangrijk dat de toestemming van gebruikers voor het trainen van AI-modellen gebeurt conform bestaande wet- en regelgeving. Wanneer er sprake is van een gerechtvaardigd belang, een van de verwerkingsgronden uit de AVG, moet er de mogelijkheid zijn om via een opt-out mechanisme als gebruiker bezwaar te maken tegen de beoogde gegevensverwerking. De mogelijkheid tot het doen van een opt-out moet eenvoudig en toegankelijk zijn. Hier ligt een belangrijke rol voor de desbetreffende verwerkingsverantwoordelijke. Ook zet de AP zich in om de bewustwording op het gebied van privacy- en gegevensbeschermingsrecht te vergroten.

Vraag 9

Is het mogelijk dat u als bewindspersoon namens alle Nederlandse gebruikers grootschalig bezwaar maakt op deze dataverzameling door Meta, gezien het bedrijf heeft toegezegd dat alle bezwaren van Nederlanders ingewilligd zullen worden? Zo ja, bent u bereid dit zo snel mogelijk te doen? Zo nee, welke andere mogelijkheden ziet u om alsnog maximaal op te komen voor de belangen van Nederlandse gebruikers?

Ik ben het met u eens dat het belangrijk is dat gebruikers (collectief) bezwaar kunnen maken als zij van mening zijn dat inbreuk wordt gemaakt op hun rechten. De AVG biedt in artikel 80, eerste lid, de mogelijkheid dat een organisatie namens meerdere betrokkenen (onder meer) een klacht kan indienen bij de toezichthoudende autoriteit of een civiele procedure kan starten tegen de verantwoordelijke of verwerker. Het is echter niet aan bewindspersonen om dit te doen.
Het kabinet kan worden aangesproken op het stelsel van het gegevensbeschermingsrecht, zoals de wetgeving en het beleid op dat terrein, maar het is niet aan het kabinet om in individuele gevallen te interveniëren. Dat is aan betrokkenen zelf en de door hen eventueel aan te wijzen (juridische) vertegenwoordigers.

Vraag 10

Acht u een «opt-in-systeem», waar gebruikers actief moeten aangeven als zij wel data willen afstaan voor het trainen van de Meta AI, niet beter in lijn met bestaande privacyregels vanuit de AVG?

Het valt niet op voorhand te zeggen of een dergelijke aanpassing beter in lijn zou zijn met de regels van de AVG. Bovendien is het zoals eerder aangegeven niet aan het kabinet om dat in concrete gevallen te beoordelen, maar aan de toezichthouder.
In het algemeen is het van belang dat iedere verwerking van persoonsgegevens berust op een rechtsgrondslag uit artikel 6 AVG. Als daarvoor de grondslag «toestemming» wordt gehanteerd, moet deze toestemming ondubbelzinnig en in vrijheid gegeven zijn op basis van duidelijke informatie. Ongeacht de specifieke verwerkingsgrondslag gelden ook voor elke verwerking de beginselen inzake de verwerking van persoonsgegevens, die zijn neergelegd in artikel 5 AVG. Deze vereisen onder meer dat gegevens ten aanzien van de betrokkene rechtmatig, transparant en op behoorlijke wijze worden verwerkt en alleen voor welbepaalde en specifiek omschreven doelen. Ook geldt het principe van dataminimalisatie, dat met zich brengt dat altijd moet worden gekozen voor het minst ingrijpende systeem waarvoor zo min mogelijk gegevens worden verwerkt. Het is aan de organisatie die verantwoordelijk is voor verwerking van persoonsgegevens (de verwerkingsverantwoordelijke) om aan te tonen dat zij een wettelijke grondslag heeft om persoonsgegevens rechtmatig te verwerken. Voor zover het gaat om verwerkingen van persoonsgegevens waar de hoofdvestiging van Meta in Ierland verwerkingsverantwoordelijke voor is, is het in de eerste plaats aan de Ierse toezichthouder om de rechtmatigheid van deze verwerkingen te beoordelen. De Ierse toezichthouder werkt daarbij samen met de andere Europese privacy-toezichthouders, waaronder de Autoriteit Persoonsgegevens. In het algemeen geldt voor toestemming dat die niet rechtsgeldig door middel van een opt-out-systeem kan worden verkregen.

Vraag 11

Is er reeds overleg geweest tussen de European Data Protection Board, waaronder de nationale toezichthouders, en Meta over dit besluit? Kunt u uitleggen welke bezwaren er zijn geuit en welke verbeteringen Meta heeft toegezegd?

Op dit moment is de Ierse toezichthouder in gesprek met Meta. De Ierse toezichthouder houdt de andere Europese privacy-toezichthouders hiervan op de hoogte. Ook de AP is hierover in direct contact met de Ierse toezichthouder. Aanvullende informatie kan hierover niet worden verstrekt omwille van de vertrouwelijkheid.

Vraag 12

Heeft de Autoriteit Persoonsgegevens een zienswijze op de voorgenomen plannen van Meta? Zo ja, kunt u deze delen? Zo nee, kunt u de toezichthouder om een reactie vragen?

De AP volgt de voorgenomen plannen van Meta op de voet. Ook bij de AP zijn klachten binnengekomen over Meta ten aanzien van het mogelijk gebruik van persoonsgegevens voor het trainen van Al. Op dit moment houdt de Ierse toezichthouder de AP en de andere Europese privacy-toezichthouders actief op de hoogte over de voortgang van dit dossier. De verstrekte informatie stelt de AP in staat om ook zelfstandig een, weliswaar voorlopig, oordeel te vormen over de plannen. De AP heeft vertrouwen in een goede samenwerking met haar Europese collega-toezichthouders, in het bijzonder de Ierse toezichthouder, om deze kwestie voortvarend en doelgericht te adresseren.

Vraag 13

Is er reeds overleg geweest tussen uzelf en collega-bewindspersonen uit de Europese Unie over de voorgenomen plannen van Meta? Werkt u aan een gezamenlijk standpunt?

Er is geen overleg tussen mij en collega-bewindspersonen geweest over de voorgenomen plannen van Meta. Aan een gezamenlijk standpunt tussen Europese regeringen wordt op dit moment niet gewerkt.

Vraag 14

Wat is uw reactie op de zeer korte tijd tussen het moment dat Meta de plannen heeft aangekondigd (10 juni) en het moment dat deze nieuwe vorm van dataverzameling in werking zou treden (26 juni)?4 Geeft dit wat u betreft voldoende tijd voor overheden om adequaat te reageren en voor gebruikers om bezwaar aan te tekenen? Wat kan u samen met Europese collega's doen om niet nogmaals door Meta overvallen te worden door een dergelijk besluit?

Vooropgesteld moet worden dat Meta de plannen voor de uitrol van de nieuwe dataverzameling van EU-gebruikers tot nader order heeft opgeschort. Dit betekent dat de Ierse toezichthouder op dit moment, in goede samenwerking met de andere Europese privacy-toezichthouders, waaronder de AP, met Meta in gesprek kan gaan over de voorgenomen verwerkingen en de plannen nader kan bekijken. Het is niet aan het kabinet om te beoordelen of de plannen van Meta acceptabel zijn, maar in de eerste plaats aan de toezichthouder.

Vraag 15

Kunt u deze vragen afzonderlijk van elkaar beantwoorden en nog voor de «pauze» van Meta voorbij is?

Ja.

Vraag 1

Bent u bekend met het volgende bericht van de heer Musk?1

Ja, ik heb kennisgenomen van dit bericht.

Vraag 2

Bent u bekend met het vijf dagen eerder verschenen artikel «Het rommelt bij OpenAI, de maker van ChatGPT: kritiek op veilig gebruik van artificial intelligence komt van binnen en buiten» gepubliceerd door Business Insiders Nederland op 5 juni 2024?2

Ja, ik heb kennisgenomen van dit bericht.

Vraag 3

Deelt u de opvatting van de heer Musk dat de integratie van OpenAI op OS-niveau van Apple producten, zoals verkondigd door Apple op de WWDC (Worldwide Developers Conference), een potentieel veiligheidsrisico kan vormen voor deze apparaten? Zo nee, waarom niet?

Het integreren van producten van derde partijen in Apple producten, maar ook producten van vergelijkbare partijen, is een veel voorkomend proces. Dit integratieproces kan veiligheidsrisico's met zich mee brengen, waarbij de potentiële kwetsbaarheden over het algemeen toenemen naarmate de integratie diepgaander wordt. In het specifieke geval van AI-integratie binnen een besturingssysteem, zoals de integratie van OpenAI op OS-niveau, worden deze risico's verder geïntensiveerd. Deze vorm van integratie vereist namelijk toegang tot gevoelige gegevens en kerncomponenten van het OS, wat verder gaat dan conventionele integraties. Apple heeft aangegeven in openbare berichtgeving dat er in dit proces data wordt uitgewisseld met externe partijen. Ook heeft Apple in openbare berichtgeving aangegeven maatregelen te hebben getroffen om de cybersecurity en dataprivacy te borgen. Daar zijn geen technische details over openbaar gemaakt. Uiteraard moeten dergelijke integraties voldoen aan de relevante wet- en regelgeving, zoals verder staat toegelicht in de beantwoording van vragen 7 en 8.
Apple heeft overigens de uitrol van de integratie van ChatGTP van OpenAI binnen de EU uitgesteld (zie hiervoor ook de beantwoording van vraag 6, 7 en 8).

Vraag 4

Deelt u de mening dat de scheidingslijn tussen «lokaal opgeslagen» en «opgehaald/gedeeld middels geautoriseerde apps» geen heldere barrière kent en derhalve flinterdun genoemd mag worden? Graag een onderbouwing van uw beantwoording.

De scheidingslijn tussen lokaal opgeslagen gegevens en gedeelde gegevens is technisch gezien duidelijk, namelijk dat lokaal opgeslagen gegevens zich bevinden op het apparaat van de gebruiker, terwijl gedeelde gegevens worden overgedragen naar externe servers. Tegelijkertijd is voor gebruikers niet altijd duidelijk wat er wel of niet gebeurt met hun gegevens. Dit komt door de complexiteit van moderne besturingssystemen en de voortdurende balans tussen gebruiksgemak en beveiliging. Hierdoor kan lokale informatie op verschillende manieren, zowel actief (aangevinkt door de gebruiker) als automatisch (bijvoorbeeld via virusscans, en spellingcheckers), met externen worden gedeeld zonder dat de gebruiker zich hiervan bewust is.

Vraag 5

Vindt u dat dergelijk potentieel veiligheidsrisico voor een overheidsorgaan onwenselijk is? Zo nee, waarom niet?

In algemene zin kunnen veiligheidsrisico’s die ontstaan door integraties van producten van derde partijen in een besturingssysteem onwenselijk zijn voor de overheid. Zo is een risico van oneigenlijk delen en verwerken van gegevens van smartphonegebruikers onwenselijk. Tegelijkertijd zijn er maatregelen mogelijk om deze risico’s te mitigeren. Ook moeten dergelijke integraties voldoen aan de relevante wet- en regelgeving, zoals verder staat toegelicht in de beantwoording van vragen 7 en 8. Apple geeft aan te werken aan uitgebreide bescherming van persoonsgegevens voor hun AI-toepassingen, bijvoorbeeld middels «Private Cloud Compute (PCC)»3. De PCC ontvangt gegevens van het toestel van de gebruiker voor het uitvoeren van een AI-toepassing wanneer deze niet op het toestel zelf kunnen worden uitgevoerd. Na ontvangst worden de gegevens gebruikt voor het uitvoeren en worden deze na gebruik gelijk verwijderd. Gegevens in de PCC worden volgens Apple niet gedeeld met derden en zouden ook niet door Apple verder worden verwerkt.

Vraag 6

Wat bent u voornemens te gaan doen om hieraan gerelateerde potentiële veiligheidsrisico’s in kaart te brengen en tevens in te perken?

Voor het inzetten van AI-toepassing binnen de Rijksoverheid gelden verschillende risico mitigerende maatregelen. Deze maatregelen zijn verwerkt in zowel (EU) wet- en regelgeving alsook de inkoopvoorwaarden voor ICT. Dit betekent enerzijds dat Apple zelf verantwoordelijk is voor het naleven van de inkoopvoorwaarden en anderzijds zij op wet- en regelgeving getoetst en gecontroleerd worden door Rijksoverheidsorganisaties en toezichthouders.
Voor het gebruik van generatieve AI-toepassingen, zoals die van Apple, geldt nog steeds het voorlopige standpunt generatieve AI over het gebruik door Rijksorganisaties van generatieve AI.4 Hierin staat dat voor het inzetten van een AI-toepassing, deze onderworpen moet worden aan een Impact Assessment Mensenrechten Algoritme (IAMA) en een Data Protection Impact Assessment (DPIA). De uitkomsten van de DPIA en IAMA dienen voor inzet van de toepassing ter advies aan de (departementale) Chief Information Officer (CIO) en de Functionaris Gegevensbescherming (FG) te worden voorgelegd. Door middel van deze maatregelen worden potentiële veiligheidsrisico’s op tijd gesignaleerd en kan er doelmatig ingegrepen worden.
Leveranciers hebben ook een eigen verantwoordelijkheid om te voldoen aan wetgeving en inkoopvoorwaarden. Zoals in antwoord op vraag 3 benoemd, heeft Apple vooralsnog de uitrol van de AI integratie binnen de EU uitgesteld.

Vraag 7

In hoeverre past een integratie van AI op OS-niveau binnen de kaders van de DMA, DSA, AI-Act en andere relevante wetten, regels en verordeningen?

Het is aan de toezichthouders en uiteindelijk aan de rechters op Europees en nationaal niveau om te bepalen in hoeverre een integratie van AI op OS-niveau binnen de bestaande kaders van relevante wet- en regelgeving past. In de Digital Markets Act (DMA) en de AI-verordening staan bepalingen die ingaan op onder andere interoperabiliteitsverplichtingen en de verantwoordelijkheden binnen de waardeketen van AI. Besturingssystemen vallen niet binnen de reikwijdte van de Digital Services Act (DSA).
Apple is door de Europese Commissie aangewezen als poortwachter onder de DMA voor verschillende kernplatformdiensten. De iOS-diensten van Apple vallen onder het toepassingsgebied van de DMA en zijn door de Commissie aangewezen als kernplatformdienst in de categorie besturingssysteem (artikel 2, tweede lid, onder f). Dit betekent dat Apple moet zorgen voor effectieve naleving van de maatregelen in de DMA die van toepassing zijn op besturingssystemen, zoals het verbod op het combineren van data of de interoperabiliteitsverplichtingen. Op basis van artikel 5, tweede lid, van de DMA mag Apple bijvoorbeeld niet zonder toestemming persoonsgegevens gebruiken in andere diensten die Apple afzonderlijk aanbiedt.
Onder de DMA zijn diensten die gebruikmaken van AI niet opgenomen als afzonderlijke kernplatformdienst. Uit overweging 14 van de DMA volgt echter dat de definitie van kernplatformdiensten voor de toepassing van deze verordening technologieneutraal is en ook diensten omvat die langs verschillende wegen worden aangeboden. De onderliggende technologie waar het besturingssysteem op leunt, kan op deze wijze dus ook onder het toepassingsgebied van de DMA komen te vallen. Dat betekent echter niet dat de DMA zich verzet tegen een integratie van AI op OS-niveau, mits Apple zich voor haar iOS-diensten houdt aan de verplichtingen en verboden die volgen uit de DMA.
Onder de AI-verordening zijn aanbieders van AI-modellen voor algemene doeleinden met ingang van 2 augustus 2025 verplicht om informatie en documentatie op te stellen, up-to-date te houden en beschikbaar te stellen voor toezichthouders en aanbieders die dat AI-model in hun AI-systemen willen integreren. De bedoeling is dat deze informatie en documentatie inzicht geeft in de capaciteiten en beperkingen van het AI-model voor algemene doeleinden en daarmee aanbieders verderop in de waardeketen die met dit model verder bouwen aan specifiekere AI-modellen of -systemen in staat stelt aan hun verplichtingen uit de AI-verordening te voldoen.
Als AI-modellen voor algemene doeleinden voor systeemrisico’s kunnen zorgen, dan moeten ze volgens de AI-verordening aan extra eisen voldoen. Dit kan het geval zijn als er zeer veel computerkracht gebruikt is bij het trainen van het model, maar ook het aantal eindgebruikers kan een relevante factor zijn bij de beoordeling of een AI-model voor systeemrisico’s kan zorgen. Modellen met systeemrisico’s moeten onder andere modelevaluaties uitvoeren, risico’s beoordelen en beperken en zorgen voor een passend niveau van cybersecurity. Ook moeten incidenten zo snel mogelijk gemeld worden bij het Europese AI-bureau, dat toezicht houdt op deze modellen.

Vraag 8

Wat gaat u doen om de privacy van onze burgers te borgen?

De privacy van burgers binnen het digitale domein wordt op verschillende manieren geborgd. Binnen de EU wordt het grondrecht op gegevensbescherming wettelijk beschermd via de Algemene Verordening Gegevensbescherming (AVG). Toezicht en handhaving op de rechtmatigheid van gegevensverwerking in de publiek en private sector wordt in Nederland gedaan door de Autoriteit Persoonsgegevens (AP).
De AP is een onafhankelijke toezichthouder en heeft ruim mandaat en uitgebreide bevoegdheden om te onderzoeken of partijen voldoen aan hun verplichtingen uit de AVG. Zo heeft de AP als toezichthoudend autoriteit de bevoegdheid om organisaties te gelasten alle informatie voor hun onderzoek te verstrekken (art. 58, AVG). Ook is de AP bevoegd om sancties op te leggen als een organisatie de privacywetgeving overtreedt. Sancties die de AP kan opleggen zijn: waarschuwingen, berispingen, last onder dwangsom, boetes (maximaal 20 miljoen of 4% van de wereldwijde jaaromzet) of een verwerkingsverbod.
In de casus van Apple wordt het toezicht niet door de AP opgepakt, maar door de Ierse privacyautoriteit. Het Europese hoofdkantoor van Apple is namelijk gevestigd in Cork, Ierland. Dit houdt in dat, aangezien de hoofdvestiging zich in Ierland bevindt, de leidende toezichthoudende autoriteit conform artikel 56 uit de AVG de Ierse toezichthouder is. De Ierse toezichthouder heeft eenzelfde mandaat en bevoegdheden als de Nederlandse AP en zij werken bij grensoverschrijdende gegevensverwerkingen nauw samen. Deze samenwerking vindt plaats middels de European Data Protection Board (EDPB).

Vraag 1

Klopt de berichtgeving van Nieuwsuur dat de kwetsbaarheid in Cisco Webex bestond door de voorspelbaarheid van URLs?1 2 Wordt binnen de Rijksoverheid bij de implementatie van systemen standaard een controle uitgevoerd op de afwezigheid van dergelijke basale configuratiefouten?

Ja. Dit betrof geen configuratiefout van de Rijksvideodienst (Belastingdienst). De inrichting is gecheckt in samenwerking met CIO Rijk en de AIVD/NBV. Hiervoor is onder andere een BSPA3 en DPIA4 uitgevoerd. Wel kon er via enumeratie5, door een voorspelbare logische volgordelijkheid in de unieke internetadressen van websites (URL’s genoemd), metadata van andere vergaderingen worden ingezien door ongeautoriseerde gebruikers. Volgens Cisco was dit mogelijk door kwetsbaarheden in specifiek de Cloud-applicaties van Cisco Webex meetings. De Rijksoverheid heeft aanbevolen veiligheidsinstellingen en werkt veelal niet met de cloud versie, maar met de client versie van Webex.

Vraag 2

Klopt de berichtgeving van de Volkskrant dat het in het verleden mogelijk was om telefonisch in te bellen op de Webex-omgeving van de Rijksoverheid? Zo ja, zouden buitenlandse inlichtingendiensten daardoor ongemerkt vertrouwelijke Nederlandse videovergaderingen kunnen hebben bijgewoond?3

Het is mogelijk gebleken dat ongeautoriseerde gebruikers onder bepaalde voorwaarden vertrouwelijke videovergaderingen hebben kunnen bijwonen. Cisco ondersteunt namelijk de mogelijkheid in te bellen via het Public Switched Telephone Network op Cisco Webex Meetings.
Binnen Nederland zijn echter geen gevallen bekend waarbij ongeautoriseerde gebruikers vertrouwelijke videovergaderingen van de Rijksoverheid hebben bijgewoond. Uit zowel onderzoek van Cisco als uit eigen onderzoek van het Nationaal Cyber Security Centrum (NCSC) is geen indicatie van misbruik naar voren gekomen. Dit komt mede door de standaardtoepassingen van beveiligingsmaatregelen bij het gebruik van Cisco Webex binnen de Rijksoverheid.

Vraag 3

Wilt u nader toelichten wat het concreet betekent dat Cisco Webex «niet gebruikt [mag] worden voor overleggen die als zeer vertrouwelijk zijn aangemerkt of waar staatsgeheime informatie wordt besproken»? Waar legt het kabinet de lat voor «zeer vertrouwelijk»?

Webex kan, net als bijvoorbeeld regulier telefonisch contact, gebruikt worden voor informatie tot en met «Departementaal VERTROUWELIJK (Dep.V.)» gerubriceerd, anders niet.
Informatie wordt als Dep.V. gerubriceerd indien kennisname door niet geautoriseerden schade kan toebrengen aan de belangen van één of meerdere ministeries. Informatie wordt als Staatsgeheim CONFIDENTIEEL/GEHEIM/ZEER GEHEIM gerubriceerd indien kennisname door niet geautoriseerden respectievelijk schade/ernstige schade/zeer ernstige schade kan toebrengen aan een van de vitale belangen van de staat of zijn bondgenoten. «Zeer vertrouwelijk» valt onder de eigen beoordelingsruimte van de medewerker.

Vraag 4

Mogen er Departementaal Vertrouwelijk (Dep.V)-gerubriceerde gesprekken gevoerd worden via Cisco Webex? Zo ja, heeft het kabinet ook na dit incident nog voldoende vertrouwen in het beveiligingsniveau van Cisco Webex als product en het beveiligingsbewustzijn van Cisco als fabrikant om gesprekken op dit rubriceringsniveau te laten plaatsvinden?

Webex kan, net als bijvoorbeeld regulier telefonisch contact, gebruikt worden voor informatie tot en met «Departementaal VERTROUWELIJK (Dep.V.)» gerubriceerd, anders niet.
Door ontwikkeling van de techniek kunnen systemen die aanvankelijk veilig werden bevonden, nieuwe kwetsbaarheden bevatten. Daarnaast worden er continu nieuwe aanvalstechnieken ontwikkeld. Door het mitigeren van de kwetsbaarheden en nemen van aanvullende maatregelen wordt een systeem weer veilig. Dit is een regulier, normaal proces waar alle IT aan onderhavig is. Het probleem in deze casus was ook niet zozeer dat er een kwetsbaarheid ontdekt was, maar dat deze niet per direct aan de Rijksoverheid gemeld werd, omdat Cisco geen verdachte activiteiten waargenomen heeft op de Rijksoverheid tenant. Hierover zijn gesprekken met Cisco gevoerd, naar aanleiding waarvan Cisco hun meldingsproces gaat herinrichten om een dergelijke kwestie in de toekomst te voorkomen. CIO Rijk is betrokken bij deze herinrichting.

Vraag 5

Zijn bewindspersonen en ambtenaren in de praktijk voldoende geëquipeerd om videogesprekken op het juiste rubriceringsniveau te voeren? Hoe wordt hierop toegezien?

Cisco Webex is geschikt voor het voeren van videogesprekken tot en met het niveau Departementaal Vertrouwelijk. Dit is ook duidelijk uitgelegd in de handleiding van Webex voor rijksambtenaren. Voor mobiele telefoongesprekken tot en met het niveau Staatsgeheim Geheim is de Sectra Tiger/S telefoon goedgekeurd door de AIVD.

Vraag 6

Kunt u illustreren wat voor soort gevoelige gesprekken wel via Cisco Webex gevoerd mogen worden, maar niet als «zeer vertrouwelijk» worden beschouwd of Stg-gerubriceerd zijn?

Een voorbeeld hiervan zouden personeels- en/of functioneringsgesprekken kunnen zijn.

Vraag 7

Mogen er via Cisco Webex gesprekken gevoerd worden waarin militair gevoelige informatie besproken wordt?

Indien de informatie tot en met «Departementaal VERTROUWELIJK (Dep.V.)» gerubriceerd is wel, anders niet.
Informatie wordt als Dep.V. gerubriceerd indien kennisname door niet geautoriseerden schade kan toebrengen aan de belangen van één of meerdere ministeries. Informatie wordt als Staatsgeheim CONFIDENTIEEL/GEHEIM/ZEER GEHEIM gerubriceerd indien kennisname door niet geautoriseerden respectievelijk schade/ernstige schade/zeer ernstige schade kan toebrengen aan een van de vitale belangen van de staat of zijn bondgenoten.

Vraag 8

Mogen er via Cisco Webex gesprekken gevoerd worden waarin internationaal gevoelige informatie besproken wordt, zoals diplomatieke terugkoppelingen?

Zie antwoord vraag 7.

Vraag 9

Mogen er via Cisco Webex gesprekken gevoerd worden die, indien ze zouden uitlekken, de Nederlandse economische positie of economische veiligheid kunnen schaden, zoals aankomende investeringen, fusies en overnames of bedrijfsgevoelige informatie?

Zie antwoord vraag 7.

Vraag 10

Mogen er via Cisco Webex gesprekken gevoerd worden die, indien ze zouden uitlekken, de nationale veiligheid, de veiligheid van individuen of de openbare orde zouden kunnen schaden?

Zie antwoord vraag 7.

Vraag 11

Bestaat er een risico dat de vertrouwelijke identiteit van ambtenaren, waaronder medewerkers van de AIVD en MIVD, gelekt is via deze kwetsbaarheid?

Medewerkers van de Rijksoverheid maken gebruik van Webex. Bij het gebruik maken van een communicatiesysteem via het publieke internet hoort een bepaald beveiligingsniveau. Gekoppeld daaraan worden beslissingen genomen over vertrouwelijkheid.
Over de operationele werkwijzen van de inlichtingen- en veiligheidsdiensten worden in het openbaar geen uitspraken gedaan. In algemene zin houden de AIVD en MIVD altijd rekening met het beveiligingsniveau van een publieke communicatie-infrastructuur.

Vraag 12

Wat zijn de in de SLA (service level agreement) opgenomen afspraken met Cisco inzake dergelijke kwetsbaarheden en de opvolging hiervan, waaronder communicatie en afgesproken termijn voor reparatie?

Er is geen SLA met Cisco afgesloten, maar met BIS. Hierin zijn geen afspraken opgenomen omtrent kwetsbaarheden en de opvolging daarvan. Naar aanleiding van het incident wordt op korte termijn overleg met Cisco ingepland om Cisco’s beleid en processen t.a.v. mogelijke toekomstig geconstateerde kwetsbaarheden/incidenten aan te passen.

Vraag 13

Hoe beoordeelt het kabinet het «coordinated vulnerability disclosure»-beleid (voor het melden van onbekende kwetsbaarheden) van Cisco en de uitvoering daarvan in de praktijk?

Het betrof kwetsbaarheden in specifiek de Cloud-applicaties van Cisco Webex meetings, waardoor het doorvoeren van updates van kwetsbare software door afnemers niet mogelijk was. Deze software is namelijk in beheer in de Cloud-omgeving van Cisco. Cisco heeft ervoor gekozen om in dit geval een andere procedure dan de coordinated vulnerability disclosure (CVD) procedure te volgen en geen kenmerken toe te kennen aan de kwetsbaarheden.
Naar aanleiding van het incident wordt op korte termijn overleg met Cisco gevoerd om Cisco’s beleid en processen t.a.v. mogelijke toekomstig geconstateerde kwetsbaarheden/incidenten aan te passen.

Vraag 14

Bent u het met ons eens dat het «coordinated vulnerability disclosure»-beleid van producenten en de uitvoering daarvan in de praktijk een belangrijke afweging zou moeten zijn bij inkopen en aanbestedingen door de overheid? Hoe en in welke mate wordt dit nu door departementen meegewogen?

Het beschikken over een CVD-beleid is een concrete maatregel. In de Algemene Rijksinkoopvoorwaarden bij IT-opdrachten (ARBIT) is in art. 19 opgenomen dat wederpartij zorg draagt voor een niveau van Informatiebeveiliging dat van een redelijk handelend en bekwame IT-leverancier mag worden verwacht. Tevens moeten eventuele inbreuken zo spoedig mogelijk gemeld worden.
In Nederland is het CVD-beleid van het NCSC breed gecommuniceerd. Op de website van het Nationaal Cyber Security Centrum (NCSC) is veel informatie te vinden over Coordinated Vulnerability Disclosures (CVD). Dit betreft onder meer informatie over hoe personen een CVD-melding kunnen doen om technische kwetsbaarheden te melden bij het Nationaal Cyber Security Centrum (NCSC). Binnen de community van onderzoekers en ethische hackers is het CVD-beleid van het Nationaal Cyber Security Centrum (NCSC) over het algemeen goed bekend. In het buitenland zijn vergelijkbare standaarden van toepassing.

Vraag 15

Bent u het met ons eens dat dit incident, in combinatie met eerdere incidenten gerelateerd aan deze fabrikant, de noodzaak benadrukt voor een hogere mate van Nederlandse digitale autonomie op het gebied van het voeren van vertrouwelijke videogesprekken? Is hier specifiek aandacht voor binnen de Nationale Cryptostrategie (NCS)?

Binnen de Nationale Cryptostrategie (NCS) worden de behoeftes van de Rijksoverheid voor informatiebeveiligingsproducten voor gerubriceerde informatie, met een focus op staatsgeheimen, besproken. Deze behoeftelijst is gerubriceerd en derhalve kunnen wij geen uitspraak doen over de inhoud hiervan.

Vraag 16

Bent u bereid om een open source alternatief voor Webex te overwegen? Zo nee, waarom niet?

De selectie van een leverancier voor het rijksbreed videoconferencing platform heeft middels een openbare aanbesteding plaatsgevonden. Geen van de inschrijvende partijen had een open source oplossing aangeboden. Uiteraard houden wij ons graag op de hoogte van de ontwikkelingen in de markt, maar we zien dat wat betreft de schaalgrootte en de complexiteit van de organisatie van de Rijksoverheid er op dit moment geen gelijkwaardige alternatieven beschikbaar zijn.

Vraag 1

Bent u bekend met het bericht dat werknemers in een brief stellen dat OpenAI roekeloos is en dat het ontbreekt aan toezicht?1 Herkent u de zorgen zoals geuit in de brief van huidig en voormalig werknemers van OpenAI? Zo ja, hoe ziet de Minister het mogelijke gevaar van het versterken van ongelijkheid en het verspreiden van desinformatie door AI (in Nederland)? Welke gevaren ziet de Minister nog meer?

Ja, hier ben ik mee bekend. Ik herken de risico’s die worden genoemd in de brief en de bezorgdheid over het effect dat artificiële intelligentie (AI) kan hebben op het creëren en verspreiden van mis- en desinformatie.
Generatieve AI zoals de producten van OpenAI maken het in potentie makkelijker om mis- en desinformatie te creëren. Om deze risico’s te beperken zijn regels opgesteld in de AI-verordening. Zo moeten aanbieders van AI-systemen die synthetische content2 genereren ervoor zorgen dat de output van het AI-systeem wordt gemarkeerd in een machineleesbaar formaat en detecteerbaar zijn als kunstmatig gegenereerd of gemanipuleerd. Dit maakt het makkelijker voor grote online platforms om systeemrisico’s die kunnen voortvloeien uit de verspreiding van kunstmatig gegenereerde of gemanipuleerde content te identificeren en te beperken. Verder geldt dat AI-systemen die bedoeld zijn om te worden gebruikt voor het beïnvloeden van de uitslag van een verkiezing of referendum, of van het stemgedrag bij verkiezingen of referenda als hoog-risico worden geclassificeerd vanuit de AI-verordening. Aanbieders van deze systemen moeten dan ook voldoen aan de eisen en verplichtingen voor AI-systemen met een hoog risico, zoals het identificeren en voorkomen van risico’s. OpenAI verbiedt dan ook het gebruik van hun producten voor politieke beïnvloeding.
Het kabinet wil dat deze risico’s van generatieve AI worden ingeperkt en aangepakt, maar ook de kansen van generatieve AI benutten voor het tegengaan van desinformatie. In de Voortgangsbrief Rijksbrede strategie voor de effectieve aanpak van desinformatie3, die onlangs vanuit mijn ambtsvoorgangers, aan uw Kamer is verzonden, wordt dieper ingegaan op de impact van generatieve AI en het verspreiden van desinformatie.
Het kabinet erkent ook het risico dat AI kan hebben op groeiende ongelijkheid en de sociaaleconomische implicaties. Daarom steunt zij ook het eerder aangevraagd advies van het vorige kabinet hierover aan de Sociaal Economische Raad4, zodat het kabinet samen met werkgevers en werknemers actie kan ondernemen om de impact van AI op de samenleving op een verantwoorde manier een vervolg te geven. De AI-verordening heeft als doel om risico’s van AI-systemen aan te pakken, waaronder het risico op discriminatie wat ongelijkheid veroorzaakt en kan vergroten. De AI-verordening bepaalt dat onder meer risico’s op aantasting van fundamentele rechten zoals het recht op non-discriminatie moeten worden aangepakt bij de ontwikkeling van AI-systemen en bij de inzet van AI-systemen door overheidsinstanties.

Vraag 2

Hoe ziet u in algemene zin het spanningsveld tussen het feit dat de AI Act pas in haar volledige vorm over enkele jaren in werking treedt en dat het op dit moment wenselijk kan zijn om toezicht te houden en daar waar nodig in te grijpen bij organisatie die maatschappij veranderende technieken uitbrengen, zoals kunstmatige intelligentie en large language models?

Als het gaat om het reguleren van AI als product binnen de EU en in Nederland, vormt de AI-verordening hiervoor het juridisch fundament. De AI-verordening is in werking getreden op 1 augustus jl. en wordt stapsgewijs van toepassing. Zo zijn bepaalde AI-praktijken al na 6 maanden verboden. De eisen voor AI-modellen voor algemene doeleinden (waar Large Language Models zoals GPT van OpenAI naar verwachting ook onder vallen) zijn al na 12 maanden van toepassing. Hieronder vallen ook de zwaardere eisen wanneer deze modellen ook voor systeemrisico’s kunnen zorgen. Voor de eisen aan hoog-risico AI-toepassingseisen gelden termijnen van 24 en 36 maanden. Het is belangrijk dat ontwikkelaars en gebruiksverantwoordelijken van deze AI-modellen en systemen voldoende tijd hebben om zich goed te kunnen voorbereiden op het van toepassing worden van de eisen.
Het kabinet neemt nu al stappen om risico’s van (generatieve) AI te adresseren. Daarom wordt in Nederland al hard gewerkt aan het versterken van het toezicht op AI, mede in voorbereiding op de AI-verordening. Zo is onder de Autoriteit Persoonsgegevens (AP) de Directie Coördinatie Algoritmes (DCA) opgericht om het toezicht op algoritmes en AI in Nederland te versterken. Dit doet zij door risico’s van algoritmes en AI te signaleren en analyseren, samenwerking tussen toezichthouders te versterken en guidance te bevorderen. Daarnaast hebben de Rijksinspectie Digitale Infrastructuur (RDI) en de DCA in 2024 samen 3,1 miljoen euro ontvangen van het Ministerie van Economische Zaken om Nederland te kunnen voorbereiden op het inrichten van toezicht op de AI-verordening. De RDI en DCA bieden in de loop van dit jaar een definitief advies aan over de inrichting van het toezicht op de AI-verordening aan de bewindspersonen van Economische Zaken, Binnenlandse Zaken en Koninkrijksrelaties en Justitie en Veiligheid. Daarna wordt de voorgenomen inrichting van het toezicht opgenomen in de uitvoeringswet die aan het parlement wordt voorgelegd via de gebruikelijke wegen.
Onder de AI-verordening zijn aanbieders van AI-modellen voor algemene doeleinden met ingang van 1 augustus 2025 verplicht om informatie en documentatie op te stellen, up-to-date te houden en beschikbaar te stellen voor toezichthouders en aanbieders die dat AI-model in hun AI-systemen willen integreren. De bedoeling is dat deze informatie en documentatie inzicht geeft in de capaciteiten en beperkingen van het AI-model voor algemene doeleinden en daarmee aanbieders verderop in de waardeketen die met dit model verder bouwen aan specifiekere AI-modellen of -systemen in staat stellen aan hun verplichtingen uit de AI-verordening te voldoen.
Als AI-modellen voor algemene doeleinden voor systeemrisico’s kunnen zorgen, dan moeten ze volgens de AI-verordening aan extra eisen voldoen. Dit kan het geval zijn als er zeer veel computerkracht gebruikt is bij het trainen van het model, maar ook het aantal eindgebruikers kan een relevante factor zijn bij de beoordeling of een AI-model voor systeemrisico’s kan zorgen. Modellen met systeemrisico’s moeten onder andere modelevaluaties uitvoeren, risico’s beoordelen en beperken en zorgen voor een passend niveau van cybersecurity. Ook moeten incidenten zo snel mogelijk gemeld worden bij het Europese AI-bureau, dat toezicht houdt op deze modellen.
Het AI-bureau («AI Office») van de Europese Commissie is bevoegd om toezicht te houden op AI-modellen voor algemene doeleinden. De eisen voor deze modellen treden 1 augustus 2025 in werking, waarna het AI-bureau kan gaan controleren of deze worden nageleefd.
Er wordt niet gewacht tot de AI-verordening van toepassing is om veilige ontwikkeling en gebruik van AI te bevorderen. Zo heeft de Europese Commissie recent het «AI Pact» gelanceerd. Dit AI Pact heeft als doel om organisaties vroegtijdig aan de AI-verordening te laten voldoen. Aan de ene kant door informatie en best practices tussen organisaties uit te wisselen, en aan de andere kant door organisaties te motiveren om toe te zeggen dat ze vroegtijdig aan de eisen zullen voldoen. Daarnaast ontwikkelt het AI-bureau al verschillende instrumenten die bijdragen aan een effectieve uitvoering van de AI-verordening, zoals richtsnoeren en lagere wetgeving die de AI-verordening verder duidelijk maken, praktijkcodes, benchmarks en het ondersteunen en bundelen van kennis uit de verschillende adviesorganen. Daarbij draagt de Commissie namens de Europese lidstaten bij aan internationale gedragscodes voor geavanceerde AI-systemen, zoals de Hiroshima gedragscode van de G7.5 Nederland volgt deze ontwikkelingen nauw en werkt tijdens de implementatie van de AI-verordening via verschillende adviesorganen nauw samen met het Europese AI-bureau.
Daarnaast bestaan er al verschillende wetten die niet specifiek over AI gaan, maar die wel normen bevatten waarmee de inzet van AI wordt gereguleerd. De Algemene Verordening Persoonsgegevens (AVG) biedt bijvoorbeeld juridische kaders bij geautomatiseerde besluitvorming met behulp van AI en bij het verwerken van persoonsgegevens voor het trainen of gebruik van AI. Op grond van de AVG hebben EU privacy toezichthouders ervoor gezorgd dat ChatGPT extra privacy waarborgen biedt. De Algemene wet bestuursrecht (Awb) stelt normen aan de kwaliteit van overheidsbesluiten en de motivering daarvan, ook als daar AI voor wordt gebruikt. De Algemene wet gelijke behandeling (Awgb) beschermt tegen discriminatie als AI-systemen worden gebruikt bij het aanbieden van bijvoorbeeld werk, goederen en diensten.
Tenslotte zijn er de afgelopen jaren verschillende (niet-regulerende) beleidsacties op nationaal niveau opgezet die ook bijdragen aan een verantwoorde inzet van AI. Voorbeelden hiervan zijn het algoritmeregister voor AI dat wordt gebruikt door de overheid6, de ELSA-labs7, het investeringsprogramma AiNed, het ROBUST programma en het impact assessment mensenrechten algoritmes (IAMA).

Vraag 3

Welke mogelijkheden zijn er in afwachting van de volledige inwerkingtreding van de AI-Act om de negatieve risico’s van AI op de samenleving te mitigeren? Zijn er mogelijkheden om op te treden tegen activiteiten en handelingen die nu formeel nog niet als illegaal bestempeld zijn onder de AI-Act, maar dat wel gaan zijn zodra de volledige AI-Act in werking zal treden?

Het is pas mogelijk om juridisch op te treden tegen activiteiten en handelingen op het moment dat zij illegaal zijn. Alhoewel de AI-verordening nog niet (volledig) van toepassing is, kunnen bepaalde activiteiten en handelingen op dit moment al wel illegaal zijn op grond van bestaande juridische kaders, zoals non-discriminatiewetgeving. Bijvoorbeeld als deze activiteiten en handelingen onrechtmatig zijn.
Overigens is het denkbaar dat activiteiten en handelingen illegaal zijn, terwijl het toezicht daarop en de handhaving daarvan op dat moment nog niet zijn gerealiseerd. Zo zijn de verboden in de AI-verordening van toepassing met ingang van 1 februari 2025, terwijl het toezicht op en de handhaving van de verboden pas 6 maanden later geregeld hoeft te zijn.8 Voor het inzetten van toezichtsbevoegdheden of handhavend optreden is een grondslag in de nationale (formele) wet noodzakelijk.9 Tot die tijd is een overtreding van de verboden wel onrechtmatig en kan een procedure gestart worden bij de civiele rechter. Tevens kan een toezichthouder, na de aanwijzing bij of krachtens formele wet, zo nodig met terugwerkende kracht handhaven.

Vraag 4

Wat kan er nu al gedaan worden om te voorkomen dat (de toepassing van) generatieve en specifieke AI gevaarlijk wordt? Deelt de Minister de mening dat het belangrijk is om niet te wachten op de AI-Act en nu al stappen te ondernemen, gezien de snelle ontwikkelingen als het gaat om (de toepassing van) verschillende soorten AI? Welke maatregelen neemt de Minister hiervoor? Zo nee, waarom niet?

Zie antwoord vraag 2.

Vraag 5

Deelt u de mening dat de AI-adviesraad, zoals om gevraagd in de motie-Rajkowski (Kamerstuk 21501-33-1041), er zo snel mogelijk moet komen om na te kunnen denken over mogelijke acties als het gaat om (de toepassing van) AI op het gebied van veiligheid, weerbaarheid, wenselijkheid, innovatie en strategische autonomie? Op welke termijn kunnen we een dergelijke raad verwachten? Welke maatregelen of besluiten moeten er nog genomen worden?

Genoemde motie vraagt de regering om te onderzoeken of een Nederlands adviserend orgaan van toegevoegde waarde kan zijn om de overheid op korte termijn te adviseren bij ontwikkelingen rondom kunstmatige intelligentie. Door het vorige kabinet is gemeld dat er een verkenning wordt gedaan naar het inrichten van een AI-adviesraad en de laatste stand van zaken van vóór de zomer10. Die verkenning continueert het huidig kabinet. Aan de nadere vormgeving van de adviesraad, inbegrepen haar bevoegdheden, wordt nog gewerkt. Hierbij wordt er ook juridisch bekeken welke mogelijkheden de Kaderwet Adviescolleges hiertoe biedt. Ik verwacht dit najaar de uitkomsten van dit onderzoek met uw Kamer te kunnen delen.

Vraag 6

Deelt u de mening dat het wenselijk is om in te zetten op Nederlandse/Europese ontwikkeling van kunstmatige intelligentie met de focus op publieke waarden met positieve maatschappelijke en economische effecten en dat een AI-fabriek hier een interessant instrument voor kan zijn? Deelt u de mening dat het wenselijk kan zijn om een AI-fabriek, eventueel in Europese samenwerking, te plaatsen in Nederland en het daarmee een mooie aanvulling kan zijn op ons digitale knooppunt en het versterken van onze digitale economie van de toekomst? Zo ja, op welke manier gaat u zich hiervoor inzetten in Europa? Zo nee, waarom niet?

Het AI-beleid in Nederland heeft zich sinds 2019 gericht op het versterken van het waardengedreven AI-ecosysteem waar onze publieke belangen, zoals fundamentele rechten, zijn geborgd en we de maatschappelijke en economische kansen verzilveren. Dit gebeurt onder meer via de publiek-private Nederlandse AI Coalitie (NLAIC), het AiNed investeringsprogramma (Nationaal Groeifonds) en de inzet voor de AI-verordening. Om het Europese AI-ecosysteem verder te versterken, heeft de Europese Commissie in januari 2024 het AI-innovatiepakket gelanceerd. In de BNC-fiches hierover is positief gereageerd op het voorstel van de Commissie om AI-fabrieken te ontwikkelen.11 Het voorstel voor amendering van de verordening omtrent de voortzetting van de gemeenschappelijke onderneming voor High Performance Computing (HPC) is 23 mei jl. goedgekeurd door de Raad van Concurrentievermogen.
In de Kamerbrief «Verkenning mogelijkheden AI-faciliteit»12 van 4 juni jl. is uw Kamer onlangs geïnformeerd over drie scenario’s die de Ministeries van OCW, BZK en EZ momenteel aan het verkennen zijn, namelijk: 1) bestaande middelen gebruiken, 2) meer investeringen in Europese AI-faciliteiten binnen EuroHPC, en 3) AI-faciliteit in Nederland, waarbij deze faciliteit onderdeel uitmaakt van het bredere Europese supercomputerecosysteem (gemeenschappelijke onderneming EuroHPC). Per scenario brengen de betrokken ministeries momenteel de meerwaarde en haalbaarheid in kaart. Hierin is onder meer aandacht voor de impact op maatschappelijke en economische belangen.
De scenario-aanpak is bedoeld om een zorgvuldige afweging te kunnen maken door het kabinet, omdat er aanzienlijke investeringen mee gemoeid kunnen zijn.

Vraag 7

Bent u bereid om, eventueel met Europese collega’s in gesprek te gaan met de Europese Commissie over hoe er op korte termijn gezorgd kan worden dat OpenAI openheid geeft over een aantal zaken zodat we het tegengaan van misbruik van kunstmatige intelligentie en andere onwenselijke effecten kunnen mitigeren? Zo nee, waarom niet?

Zoals ook aangegeven in het antwoord op vraag 2 tot en met 4, zal het AI-bureau van de Europese Commissie toezicht gaan houden op AI-modellen voor algemene doeleinden (waar Large Language Models zoals GPT van OpenAI ook onder vallen). Om ervoor te zorgen dat de aanbieders van deze modellen weten hoe ze aan de gestelde eisen moeten voldoen, worden er codes of practice opgesteld. Dit zijn praktische richtsnoeren die in samenwerking met de lidstaten en andere belanghebbenden worden opgesteld.
Hoewel de Commissie na een jaar bevoegdheden heeft om naleving van de regels te eisen, treedt zij in het kader van het opstellen van de codes of practice daarvoor al wel in dialoog met onder andere aanbieders en gebruikers van AI-modellen voor algemene doeleinden. Indien de Commissie signalen krijgt over de negatieve gevolgen van deze AI-modellen, kan hierover ook de dialoog aangegaan worden met de ontwikkelaars.
Via de recent opgerichte AI-Board is Nederland actief betrokken bij deze ontwikkelingen en staan we in nauw contact met de Europese Commissie over de bredere uitwerking van de AI-verordening.

Vraag 1

Bent u bekend met het bericht «Serieus toezicht op webwinkels als Temu ontbreekt: «Oneerlijke concurrentie»»?1

Ja.

Vraag 2

Deelt u de zorgen van de Consumentenbond en toezichthouders zoals de Autoriteit Consument en Markt (ACM) over oneerlijke handelspraktijken door met name Chinese webshops als Temu, Shein en AliExpress?

De razendsnelle opkomst van deze online marktplaatsen is voor een belangrijk deel het gevolg van het grote productaanbod, de lage prijzen die zij hanteren en hun grootschalige marketingcampagnes. Zo besteedt Temu naar schatting meer dan 450 miljoen euro per kwartaal aan marketing.1 De berichten van consumentenorganisaties2 dat Temu onveilige producten zou aanbieden, cruciale informatie achterhoudt voor consumenten en manipulatieve online technieken (dark patterns) toepast, vind ik zorgelijk. Deze opkomst van niet-Europese online marktplaatsen beïnvloedt de concurrentiepositie van Nederlandse en andere Europese online marktplaatsen. Ik vind het van belang dat consumenten erop kunnen vertrouwen dat ze veilig en op basis van betrouwbare informatie hun aankopen kunnen doen. Op Europees niveau zijn er maatregelen genomen om dit te waarborgen. Deze maatregelen licht ik in de antwoorden op uw overige vragen toe.

Vraag 3

Deelt u de zorgen dat de razendsnelle opkomst van deze webshops, aangejaagd door het gebruik van oneerlijke handelspraktijken, negatieve gevolgen heeft voor de concurrentiepositie van Europese en Nederlandse webshops?

Zie antwoord vraag 2.

Vraag 4

Vallen verleidingstechnieken op de website en app van Temu, zoals «flitsaanbiedingen» met aftelklokken en het gebruik van spelletjes gericht op kinderen onder verboden dark patterns? Kunt u hier per voorbeeld op ingaan?

Op grond van de Richtlijn Oneerlijke Handelspraktijken (OHP) is het bedrijven niet toegestaan om commerciële dark patterns te gebruiken wanneer deze oneerlijke handelspraktijken zijn, zoals bedoeld in de Richtlijn OHP. Dark patterns zijn manipulatieve of misleidende technieken die consumenten ertoe aan kunnen zetten om keuzes te maken die niet in hun belang zijn. De Autoriteit Consument en Markt (hierna: ACM) geeft in haar Leidraad Bescherming van de Online Consument aan wat volgens haar de normen zijn als het gaat om verschillende dark patterns.
Het gebruik van flitsaanbiedingen met aftelklokken mag consumenten niet misleiden. Het bedrieglijk beweren dat een product slechts voor een zeer beperkte tijd beschikbaar is, met als doel om de consument onder druk te zetten tot het nemen van een aankoopbeslissing, is op grond van de Richtlijn OHP onder geen enkele omstandigheid toegestaan. Het aanbieden van spelletjes gericht op kinderen is op grond van de Richtlijn OHP ook niet toegestaan als deze spelletjes worden ingezet als reclamemiddel met als doel om kinderen geadverteerde producten te laten kopen.
Bij een overtreding van de Richtlijn OHP kan de ACM handhavend optreden. Zo heeft de ACM in juni 2023 tientallen webshops bevolen te stoppen met het gebruikmaken van misleidende countdowntimers.3

Vraag 5

Als de genoemde verleidingstechnieken op dit moment niet onder verboden handelspraktijken vallen, bent u bereid om de Europese lijst met verboden handelspraktijken te herzien en aan te vullen met misleidende technieken die door Temu worden gebruikt?

Zoals aangegeven in het antwoord op vraag 4 kunnen dark patterns op grond van de Richtlijn OHP nu al worden aangepakt. Sommige van de genoemde verleidingstechnieken staan al op de zogenaamde «zwarte lijst» van verboden handelspraktijken.
Verder onderzoekt de Europese Commissie momenteel of de huidige regels consumenten ook online voldoende beschermen (fitness check).4 Mogelijk wordt de Richtlijn OHP herzien op basis van de uitkomsten van de fitness check. De resultaten van de fitness check worden in het najaar van 2024 verwacht.

Vraag 6

Wat vindt u van de oproep van de ACM om met nieuwe wetgeving te komen tegen oneerlijke handelspraktijken door webshops? Welke stappen neemt u hierin?

De ACM heeft in het kader van de fitness check van de Europese Commissie op 21 november 2022 een non-paper uitgebracht met haar inzet. 5 De ACM is van mening dat de Europese consumentenregels aangescherpt moeten worden om consumenten online voldoende te beschermen. Zo pleit de ACM voor het expliciet verbieden van bepaalde schadelijke en oneerlijke online handelspraktijken.
Dit standpunt is in lijn met de eerdere oproep van mijn ministerie aan de Europese Commissie.6 Daarbij is benadrukt dat de ontwikkelingen in de digitale economie snel gaan en dat het niveau van consumentenbescherming hierdoor onder druk kan komen te staan, bijvoorbeeld als gevolg van het ontwerp van websites en apps. Het verdient dan ook aanbeveling om consumentenwetgeving te flexibiliseren om hier sneller op te kunnen reageren. Ik wacht de uitkomsten van de fitness check van de Europese Commissie hierover met interesse af.

Vraag 7

Klopt het dat Temu, Shein en AliExpress onder de Digital Services Act (DSA) zijn aangewezen als Very Large Online Platforms and Search Engines (VLOPS), waardoor extra regels voor toezicht gelden?

Ja. De Europese Commissie houdt op haar website een openbare lijst bij van de diensten die zijn aangewezen als Very Large Online Platforms en Search Engines.7

Vraag 8

Kunt u aangeven of u verwacht dat deze webshops binnen de gestelde termijnen zullen voldoen aan de verplichtingen uit de DSA?

Ik heb geen reden om aan te nemen dat deze webshops niet van plan zijn om aan hun verplichtingen uit de DSA te voldoen. Het toezicht op de naleving van de DSA door zeer grote online platforms ligt overigens primair bij de Europese Commissie, en daarnaast (mede) bij de bevoegde autoriteiten uit de lidstaten waar die diensten gevestigd zijn, of waar zij hun wettelijk vertegenwoordiger hebben gekozen. Voor Shein en Temu is dat de digitaledienstencoördinator van Ierland. Voor AliExpress is dat de ACM als digitaledienstencoördinator in Nederland.

Vraag 9

Bent u bereid om bij de Europese Commissie, die uit hoofde van de DSA toezicht houdt op VLOPS, te pleiten voor het openen van onderzoek naar oneerlijke handelspraktijken door Temu en Shein, in lijn met het onderzoek dat naar AliExpress is geopend?

Oneerlijke handelspraktijken zijn gereguleerd door middel van de Richtlijn OHP. Daar wordt toezicht op gehouden door onafhankelijke nationale markttoezichthouders, zoals in Nederland de ACM. Het onderzoek naar eventuele overtredingen van de DSA door AliExpress ziet niet op eventuele oneerlijke handelspraktijken, maar onder meer op de inrichting van het mechanisme voor het melden van illegale inhoud, de interne klachtenprocedure, en de verrichte systeemrisicoanalyse van AliExpress.
Ook het toezicht op de DSA is belegd bij onafhankelijke markttoezichthouders. Het is aan deze markttoezichthouders om al dan niet een onderzoek te starten. Overigens heeft de Europese Commissie recentelijk een informatieverzoek over de verplichtingen uit de DSA verzonden aan Temu en Shein. De ACM is de beoogde Digitale Diensten Coördinator (DDC) in Nederland. Zodra de uitvoeringswet DSA in werking is getreden, kan de ACM, wanneer zij van mening is dat Temu of Shein de DSA overtreedt, de Digitale Diensten Coördinator van de lidstaat van vestiging of de Europese Commissie een onderbouwd handhavingsverzoek sturen.

Vraag 10

Bent u bereid om de ACM te verzoeken om hun bevoegdheden als nationale toezichthouder in te zetten om onderzoek te doen naar oneerlijke handelspraktijken door Temu, AliExpress en Shein in Nederland?

De ACM is een onafhankelijke markttoezichthouder. Het besluit om al dan niet een onderzoek te starten naar een bedrijf ligt dan ook bij de ACM.

Vraag 11

Wat is uw beeld van de arbeidsomstandigheden in fabrieken waar producten voor Temu worden gemaakt, gezien de lage prijzen van veel producten? Is hier volgens u voldoende zicht op en zo nee, wat wilt u hieraan doen?

Het kabinet houdt geen toezicht op arbeidsomstandigheden in de waardeketens van buitenlandse bedrijven en kan daarom geen uitspraken doen over individuele casussen. Uiteraard kan er in het algemeen een verband zijn tussen lage prijzen van producten enerzijds en gebrekkige arbeidsomstandigheden of niet-leefbare lonen in de keten anderzijds. Het kabinet neemt dit thema serieus en bevordert daarom internationaal maatschappelijk verantwoord ondernemen (IMVO). Het IMVO-beleid heeft als doel dat bedrijven gepaste zorgvuldigheid toepassen om negatieve gevolgen van hun activiteiten, producten of diensten op mens en milieu te identificeren en aan te pakken in hun waardeketens, ongeacht het land waarin die impact zich voordoet.
Op 24 mei jl. is de brede Europese IMVO-wet Corporate Sustainability Due Diligence Directive (CSDD) aangenomen. Voor nationale implementatie van de CSDDD zullen de gebruikelijke procedures doorlopen worden. Het vormgeven van onafhankelijk toezicht zal daar ook een belangrijk onderdeel van zijn. De richtlijn gaat gelden voor in de EU gevestigde bedrijven met meer dan 1.000 medewerkers en een netto jaaromzet van meer dan EUR 450 miljoen, en voor niet in de EU gevestigde bedrijven met een netto jaaromzet van meer dan EUR 450 miljoen in de EU. Dit bevordert een gelijk speelveld met andere bedrijven in de EU en leidt tot een grotere impact bij het Europees en mondiaal bevorderen van arbeids- en mensenrechten. Na publicatie in het EU Publicatieblad en inwerkingtreding hebben lidstaten twee jaar de tijd om de CSDDD om te zetten in nationale wetgeving.

Vraag 12

Wat is uw reactie op onderzoeken die laten zien dat producten zoals speelgoed in webshops als Temu vrijwel nooit voldoen aan de Europese eisen voor productveiligheid?

De uitkomsten van de onderzoeken naar productveiligheid op online marktplaatsen zijn zorgwekkend.8 Het is van belang dat consumenten erop kunnen vertrouwen dat de producten die zij kopen veilig zijn. Ten aanzien van speelgoed gelden strenge veiligheidseisen in de EU waar bedrijven die ontwerpen, produceren of verhandelen zich aan moeten houden.9 Deze regels gelden ook voor partijen die buiten de Unie zijn gevestigd en hun product op de interne markt aanbieden. De NVWA houdt toezicht op de Speelgoed Veiligheidsrichtlijn. De inwerkingtreding van de Algemene Productveiligheidsverordening per december van dit jaar vormt een belangrijke ontwikkeling op het gebied van productveiligheidsregelgeving. Onder deze verordening worden Europese marktdeelnemers en niet-Europese online marktplaatsen en fabrikanten meer verantwoordelijk voor de veiligheid van producten die niet onder productspecifieke wetgeving vallen, zogeheten niet-geharmoniseerde producten. Voor dergelijke producten moet zo dadelijk een verantwoordelijke partij in de EU gevestigd zijn. Dit kan de fabrikant óf een juridische vertegenwoordiger van de fabrikant zijn. Anders mag een product niet worden aangeboden op de interne markt. Indien de online marktplaats niet in de EU is gevestigd, dan kunnen markttoezichthouders deze via de gemachtigde vertegenwoordiger verplichten om de inhoud (productpagina) van de online-interface te verwijderen of een expliciete waarschuwing bij producten te tonen.

Vraag 13

Hebben toezichthouders op dit moment voldoende handvatten om voorraden en/of producten van internationale webshops te inspecteren? Zo nee, wat is daarvoor nodig?

Om goed toezicht te houden is het van belang dat markttoezichthouders met de juiste bevoegdheden kunnen optreden tegen partijen die onveilige producten aanbieden. De realiteit is echter ook dat vorig jaar bijna twee miljoen e-commerce zendingen per dag via Nederland de EU binnen kwamen.10Deze enorme instroom aan goederen maakt het onmogelijk voor markttoezichthouders om alle producten te controleren. Door middel van steekproeven en risico gebaseerd toezicht werken markttoezichthouders – ondanks de hoge volumes – hard aan het weren van onveilige producten. De afgelopen jaren zette mijn ministerie zich in Europa in voor het verbreden van de bevoegdheden van markttoezichthouders om beter toezicht te kunnen houden op online marktplaatsen, zoals bij de totstandkoming van de Algemene Productveiligheidsverordening en de DSA (zie het antwoord op vraag 12). Ook is het beheersbaar maken van de grote stroom van e-commerce zendingen een belangrijke prioriteit van Nederland in de onderhandelingen over het nieuwe Douane Wetboek van de Unie.
Daarom heb ik de Europese Commissie voorgesteld dat de verplichting tot het aanwijzen van een verantwoordelijke persoon, zoals onder de algemene productveiligheidsverordening, ook moet gaan gelden voor producten die reeds onder sectorspecifieke regelgeving vallen maar waarvoor deze (nieuwe) verplichting nog niet geldt. Producten waarvoor al sectorspecifieke regelgeving bestaat zijn te herkennen aan hun CE-markering. Bovendien zijn handvatten voor risico-gebaseerd toezicht hierbij essentieel. Mijn inzet is daarom dat het Digitale Product Paspoort (DPP) voor alle producten verplicht wordt. Het DPP maakt het makkelijker voor autoriteiten om de meest actuele informatie van producten snel in te zien. Daarnaast zet ik in Nederland een uniforme meldwijzer op waar consumenten en ondernemers onveilige producten kunnen melden. Dit draagt bij aan betere data voor markttoezichthouders voor hun risico-gebaseerd toezicht. Deze meldwijzer komt in het najaar online.

Vraag 14

Deelt u de mening dat wat niet in Europa geproduceerd mag worden, ook niet in Europa verkocht zou mogen worden? Zo ja, hoe weert u onveilige producten die via Temu verkocht worden van de Europese markt?

Het is belangrijk dat producten die zowel in de winkel als online verkocht worden veilig zijn, of deze nu uit Europa komen of daarbuiten. In de vorige antwoorden licht ik toe welke mogelijkheden de toezichthouder heeft en krijgt om dit te waarborgen.

Vraag 15

Wat is uw reactie op de zorgen over de inbreuk op privacy door met name de app van Temu, zoals bijvoorbeeld blijkt uit onderzoek door de Belgische VRT? Bent u bereid om de Autoriteit Persoonsgegevens te vragen hier onderzoek naar te doen?

Het houden van toezicht op en het handhaven van de rechtmatigheid van gegevensverwerkingen in de private sector is geen taak van het kabinet, maar van de Autoriteit Persoonsgegevens. Deze toezichthouder is onafhankelijk en heeft een ruim mandaat en uitgebreide bevoegdheden om te onderzoeken of partijen voldoen aan hun verplichtingen uit de Algemene Verordening Gegevensbescherming (AVG).

Vraag 16

Deelt u de mening dat de app van Temu mogelijk een nog grotere «datastofzuiger» is dan TikTok?

De toezichthouder Autoriteit Persoonsgegevens ziet via het stelsel van de AVG toe op het verzamelen en gebruik van persoonsgegevens. Als bewindspersoon beschik ik niet over informatie omtrent dataverzameling door specifieke bedrijven.

Vraag 17

Wilt u ervoor zorgen dat de app van Temu net als TikTok niet meer gebruikt kan worden op werktelefoons van Rijksambtenaren?

De Kamer is op 24 november 2023 vertrouwelijk geïnformeerd over technische risicobeperkende maatregelen die genomen zijn in het kader van het appbeleid rijksoverheid. Door deze vertrouwelijkheid kan ik dan ook niet verder ingaan op deze maatregelen. Ik kan u wel melden dat deze maatregelen met enige regelmaat worden geëvalueerd, waarin ook Temu onder de loep is genomen.

Vraag 18

Wat is uw reactie op berichten over de banden van Temu met de Chinese overheid? Ziet u risico’s in de opkomst van webshops als Temu voor onze strategische autonomie? Bent u bereid hier onderzoek naar te doen?

Onze strategische autonomie ziet op het borgen en het versterken van de weerbaarheid en de publieke belangen Nederland en de EU. In de berichtgeving over online marktplaatsen als Temu zien deze publieke belangen op privacy-, data- en consumentenbescherming. Ter bescherming van deze factoren kent de EU wetgeving waaraan bedrijven moeten voldoen die actief zijn of willen zijn op de Europese interne markt. Dit geldt ook voor bedrijven die mogelijkerwijs banden hebben met de overheid in hun land van herkomst of voor webshops en e-commerce ondernemingen van buiten de EU die op de interne markt hun producten aanbieden. Bedrijven dienen zich hierbij ook te houden aan het Europese consumentenrecht. Het tegengaan van schendingen hiervan is belangrijk. De verantwoordelijkheid hiervoor ligt in de eerste plaats bij de aangewezen toezichthouder(s), waaronder de ACM.

Vraag 19

Wat vindt u ervan dat juist bij de genoemde webshops het gebruik van Buy Now Pay Later wordt gepromoot, bijvoorbeeld via een paginabrede button van Klarna op de website van Temu, terwijl steeds meer duidelijk wordt wat daarvan de schadelijke gevolgen zijn met name voor kinderen en jongeren?

In antwoorden op Kamervragen over Buy Now Pay Later (BNPL)-diensten hebben de Ministers voor Armoedebeleid, Participatie en Pensioenen, voor Rechtsbescherming en van Financiën hun zorg uitgesproken over het gebruik van BNPL-diensten door jongeren.11 Die zorg deel ik. Ik sta dan ook achter de aangekondigde maatregelen die het gebruik van BNPL-diensten door jongeren tegen moeten gaan. Zo hebben aanbieders van Nederlandse BNPL-diensten, waaronder de Nederlandse tak van Klarna, hun gedragscode op dit punt aangescherpt. Daarnaast gaan vanaf november 2026 voor BNPL-diensten in heel Europa dezelfde strenge regels gelden als voor aanbieders van consumptief krediet op grond van de herziene richtlijn consumentenkrediet (CCD2). Ook onderzoekt het kabinet de mogelijkheden om leeftijdscontrole verplicht te stellen bij BNPL.

Vraag 1

Klopt het dat in de door de informateurs gedeelde hoofdfiche Digitalisering1 een verwijzing wordt gemaakt naar in totaal 27 Fiches die betrekking hebben op Digitale Zaken?

Ja, dat klopt.

Vraag 2

Zijn er bij u meer Fiches bekend die betrekking hebben op Digitale Zaken?

Het hoofdfiche digitalisering is ten behoeve van de formatietafel opgesteld onder auspiciën van de Ambtelijke Commissie Digitalisering (ACD). Alle departementen zijn op hoog-ambtelijk niveau in deze commissie vertegenwoordigd.
De onderliggende fiches zijn gemaakt door verschillende departementen. Om een integraal beeld te bieden, hebben departementen aangegeven welke fiches zij hebben opgesteld die kunnen worden verbonden aan de opgaven op het gebied van digitalisering die in het hoofdfiche digitalisering worden genoemd. Deze onderliggende fiches zijn niet vastgesteld in de ACD. De verschillende departementen zijn zelf verantwoordelijk voor deze fiches en hebben dan ook zelf een afweging gemaakt om een bepaald fiche te verbinden aan het hoofdfiche digitalisering.
Ik ben niet bekend met eventuele andere fiches die raken aan digitale zaken dan de zeventwintig fiches die in het hoofdfiche zijn opgenomen.

Vraag 3

Kunt u alle onderliggende Fiches, waar naar verwezen wordt in de hoofdfiche Digitalisering en die anderzijds bekend bij u zijn, zo spoedig mogelijk openbaar maken en delen met de Tweede Kamer?

Uit artikel 5.4 van de Wet open overheid (Woo) volgt dat in beginsel geldt dat documenten die ten behoeve van de formatie zijn opgesteld – zoals de onderhavige fiches – uitgezonderd zijn van openbaarheid totdat de formatie is afgerond. Deze bepaling werkt ook door in de wijze waarop ik met het verzoek vanuit uw Kamer dien om te gaan.
Dit betekent dat alle fiches eventueel pas openbaar gemaakt kunnen worden als de formatie is afgerond. Hierbij geldt, als in antwoord op vraag 2 genoemd, dat het hier gaat om fiches van verschillende departementen. De afweging om de fiches nadien openbaar te maken is aan de dan verantwoordelijke bewindspersonen. Hierbij geldt als gedeeld uitgangspunt dat dergelijke stukken in beginsel openbaar kunnen worden gemaakt, met dien verstande dat er ook redenen kunnen zijn om dat niet te doen, dan wel om gedeeltelijk te verstrekken.

Vraag 1

Bent u bekend met het bericht «Politiechefs spreken zich uit tegen versleutelde chatberichten» (NU.nl, 22 april)?1

Ja

Vraag 2

Wat is uw reactie op de oproep van Europese politiechefs om actie te ondernemen tegen online platforms die berichten end-to-end versleutelen? Heeft u hierover contact gehad met uw Europese collega's? Welke acties verbinden u en uw collega's aan deze oproep?

Vraag 3

Wat is uw standpunt en wat is het standpunt de Nederlandse politie over end-to-end versleuteling? Onder welke concrete voorwaarden vindt u het verbreken van end-to-end versleuteling gerechtvaardigd, zowel individueel gericht als via het inbouwen van een generieke achterdeur bij versleutelde berichtenplatforms?

De Kamer heeft in juli 2022 middels de motie van het lid Van Raan c.s. de regering verzocht end-to-end-encryptie in stand te houden en voorstellen die dat onmogelijk maken niet te steunen. Het vorige kabinet heeft, in antwoord op dit verzoek, toegezegd uitvoering te geven aan deze motie.3 Dit standpunt staat hier niet ter discussie.
Wel wil ik, zoals mijn voorganger vaak heeft benadrukt, het belang onderstrepen dat wij moeten blijven zoeken naar mogelijkheden om rechtmatige toegang tot gegevens mogelijk te maken en/of te behouden. Zoals de Kamer is geïnformeerd wordt onder andere in Europees verband naar oplossingen gezocht.4 Dat is echter een lang proces, waarbij nog geen concrete oplossingen in zicht zijn.
Overigens geeft (vooral) het Wetboek van Strafvordering bevoegdheden voor de opsporing van strafbare feiten. Deze bevoegdheden, zoals de bevoegdheid tot binnendringen in een geautomatiseerd werk, kunnen leiden tot een inbreuk op de persoonlijke levenssfeer en zijn daarom met voorwaarden en waarborgen omkleed. Deze wettelijke bepalingen zijn in beginsel techniek-neutraal. Of een inbreuk op de persoonlijke levenssfeer gerechtvaardigd is, wordt derhalve niet bepaald door de keuze van de beveiligingstechniek van de verdachte.

Vraag 4

Heeft u contact gehad met Europol en de nationale politie over deze gezamenlijke oproep? Ontvangt u dergelijke signalen ook van Nederlandse politiechefs? Zo ja, wat is uw reactie?

Vraag 5

Deelt u de mening van politiechefs dat end-to-end versleuteling in stand kan blijven met een achterdeurtje die alleen voor de politie beschikbaar is? Zo ja, hoe ziet u dat voor zich? Hoe stelt u voor dat dit technisch kan zonder dat deze achterdeur algemeen beschikbaar komt en daarmee een einde maakt aan end-to-end versleuteling?

De hoofden van politie wijzen op de uitdagingen voor de opsporing bij de rechtmatige toegang tot gegevens. Zij roepen op tot het mogelijk houden dan wel maken van die rechtmatige toegang, waarbij zij tevens vermelden dat de technische oplossingen hiervoor kunnen verschillen voor diverse platforms of vormen van toegang. Zoals gemeld wordt momenteel onder andere in Europees verband naar oplossingen gezocht.
De politie geeft in haar verklaring niet aan dat «end-to-end versleuteling in stand kan blijven met een achterdeurtje die alleen voor de politie beschikbaar is». Het is van belang te zoeken naar mogelijkheden om te voorkomen dat er vrijplaatsen voor criminele activiteiten ontstaan, die tevens recht doen aan het belang van het in stand houden van end-to-end encryptie.

Vraag 6

In de Staat van de Unie 20232 schrijft u dat «end-to-end encryptie niet onmogelijk (mag) worden gemaakt,» tegelijkertijd stelt u in eerdere antwoorden op Kamervragen van de leden Kuik en Slootweg3 dat «het van belang [is] dat er mogelijkheden zijn om onder bepaalde omstandigheden toegang tot (end-to-end versleuteld) berichtenverkeer te krijgen, onder passende voorwaarden en waarborgen.» Hoe verenigt u deze standpunten? Zou toegang onder bepaalde voorwaarden en waarborgen end-to-end versleuteling niet per definitie onmogelijk maken?

Een inperking van de privacy door de overheid moet steeds voldoen aan de eisen van noodzakelijkheid, proportionaliteit en subsidiariteit. Waar nodig worden in wettelijke regelingen daarover waarborgen opgenomen, zoals een rechterlijke machtiging voor het inperken van de vertrouwelijkheid van communicatie. In het kader van de opsporing van strafbare feiten betreft dergelijke wetgeving vooral het Wetboek van Strafvordering. Deze wettelijke bepalingen zijn in beginsel techniek-neutraal geformuleerd. Welke beveiligingsmethodiek wordt toegepast, is niet van belang voor de vraag of een inbreuk op de privacy gerechtvaardigd is.
Toegang tot informatie in specifieke gevallen leidt niet noodzakelijkerwijs tot het onmogelijk maken van end-to-end-encryptie. Wanneer informatie wordt getransporteerd tussen twee punten («end-to-end») kan deze worden beveiligd (versleuteld) worden met end-to-end-encryptie. Deze beveiligingsmethode zorgt er voor dat tijdens het transport van die informatie derden dit bericht niet in leesbare vorm kunnen onderscheppen. Om toch toegang tot het berichtenverkeer te verkrijgen, bijvoorbeeld omdat op grond van wettelijke bevoegdheden tot toegang tot de berichten van een verdachte in het kader van een opsporingsonderzoek is besloten, zijn er in theorie diverse mogelijkheden. Het bericht kan bijvoorbeeld versleuteld worden onderschept en later worden ontsleuteld. Dit blijkt echter tegenwoordig in de praktijk vaak technisch niet mogelijk. Een andere mogelijkheid is dat de aanbieder van de communicatiedienst de encryptie voor de berichten van een specifieke verdachte niet toepast en de berichten onversleuteld aan de autoriteiten verstrekt, zoals ook aanbieders van openbare telecommunicatiediensten verplicht zijn de versleuteling ongedaan te maken in het geval van het aftappen van telecommunicatie. De end-to-end-versleuteling wordt voor berichten van en naar deze specifieke verdachte dan uitgezet. Zoals eerder is toegelicht aan uw Kamer staat deze methode los van andere processen die plaatsvinden op een apparaat.7 Een manieren waarop inzicht in informatie kan worden verkregen op het apparaat is bijvoorbeeld het binnendringen in een geautomatiseerd werk. Met een dergelijke methode is er toegang tot de gegevens op het apparaat in plaats van tijdens het transport. De berichten zijn dan veelal in leesbare vorm, omdat deze op het apparaat nog niet zijn versleuteld voor het transport, of reeds zijn ontsleuteld na het transport.
Deze mogelijkheden kunnen een meer dan geringe inbreuk op de privacy opleveren en zijn daarom met passende wettelijke voorwaarden en waarborgen omkleed. Zo moeten zij onder meer voldoen aan de eisen van noodzakelijkheid, proportionaliteit en subsidiariteit. Voor een nadere toelichting wil ik verwijzen naar brieven van 8 mei, 28 juni en 18 september 2023 aan uw Kamer.8

Vraag 7

Bent u bekend met cryptotelefoons? Zo ja, hoe denkt u te voorkomen dat criminelen gebruik maken van deze devices in plaats van reguliere end-to-end versleutelde berichtenplatforms? Hoe weegt u de effectiviteit van de inbreuk op de privacy van miljoenen mensen tegenover de georganiseerde misdaad die vervolgens via cryptotelefoons anoniem kan blijven communiceren?

Ja, ik ben bekend met cryptotelefoons. Deze zijn op zichzelf niet verboden. Voor handhavingsautoriteiten is het probleem bij cryptotelefoons niet anders dan bij andere sterk versleutelde diensten: iedereen, inclusief gerechtelijke autoriteiten in Europese lidstaten die handelen op basis van wettelijke bevoegdheden, wordt toegang ontzegd tot de inhoud van deze berichten door het platform dat de communicatie mogelijk maakt. Dit gebrek aan rechtmatige toegang tot digitale gegevens raakt tevens de kern van de zorg die wordt uitgesproken door de nationale hoofden van politie in hun verklaring d.d. 18 april.9

Vraag 8

Wat is het staande beleid ten opzichte van de strategie «store-now-decrypt-later»? Wordt er nu al door veiligheidsdiensten versleutelde informatie opgeslagen, om deze op een later moment te ontsleutelen? Hoe lang mag de politie deze informatie dan hiervoor opslaan?

Ik ben bekend met het store-now-decrypt-later-begrip en de mogelijkheid om versleutelde informatie op te slaan om deze op een later moment te kunnen ontsleutelen indien er in de toekomst een kwantumcomputer beschikbaar komt. In dat verband wil ik wijzen op de strategie die de rijksoverheid heeft ontwikkeld om organisaties te helpen de risico’s van kwantumtechnologie op cryptografie op tijd te beheersen, door tijdig te migreren naar zogenaamde post-quantum cryptografie.10 Deze vorm van cryptografie biedt weerstand tegen het eerder genoemde store-now-decrypt-later-scenario.
Op uw vraag over de veiligheidsdiensten wijs ik erop dat over de precieze werkwijze van de inlichtingen- en veiligheidsdiensten in het openbaar geen uitspraken worden gedaan. Voor de politie in Nederland geldt dat zij in het kader van de opsporing versleutelde persoonsgegevens rechtmatig kunnen vergaren op grond van diverse bevoegdheden uit het Wetboek van Strafvordering. De wettelijke bewaartermijnen voor politiegegevens, zoals onder andere opgenomen in de Wet politiegegevens, maken geen onderscheid tussen versleutelde en onversleutelde gegevens.

Vraag 9

Bent u bekend met de uitspraak van het Europese Hof voor de Rechten van de Mens (EHRM) op 13 februari 2024 in de zaak Podchasov v. Rusland?4 Bent u eveneens bekend met de gezamenlijke reactie van de European Data Protection Board (EDPB) van 13 februari 2024 op de Verordening ter voorkoming en bestrijding van seksueel kindermisbruik (CSAM)?5 Bent u bovendien bekend met het standpunt van het Europese Hof van Justitie dat generieke toegang tot versleutelde berichten nooit rechtmatig kan zijn?6

Ja, ik ben bekend met de uitspraak in de zaak Podchasov v. Rusland.
Daarnaast ben ik bekend met de verklaring van het Europees Comité voor gegevensbescherming van 13 februari 2024. Dit betreft echter geen reactie op de Verordening ter bestrijding en voorkoming van seksueel kindermisbruik zoals voorgesteld door de commissie, maar op het (tegen)voorstel zoals gedaan door het Europees Parlement op 22 november 2023.14 Ten slotte ben ik bekend met de uitspraak van het Europese Hof in de zaak Schrems. Versleutelde berichten of versleuteling speelden echter geen rol in deze zaak.

Vraag 10

Onderschrijft u de conclusies van deze zwaarwegende uitspraken omtrent end-to-end versleuteling volledig? Kunt u op de uitspraken en standpunten van de drie organisaties afzonderlijk reageren?

In de zaak Podchasov v. Rusland is klager een Russische onderdaan, en gebruiker van de berichtenapplicatie Telegram. Telegram is door de Russische staat aangemerkt als «Internet organisator van communicatie». Als gevolg hiervan is het bij wet verplicht om alle communicatiegegevens op te slaan voor de duur van een jaar en de inhoud van alle communicatie gedurende zes maanden. Verder is bepaald dat deze gegevens kunnen worden voorgelegd aan de rechtshandhavingsinstanties of veiligheidsdiensten, samen met de informatie die nodig is om versleutelde berichten te kunnen ontsleutelen.15 Het EHRM overweegt dat het opslaan van de gegevens van klager een inmenging is in het recht op privéleven (artikel 8 van het Europees Verdrag voor de Rechten van de Mens (EVRM)). Deze inmenging kan gerechtvaardigd zijn indien deze heeft plaatsgevonden in overeenstemming met de wet, een legitiem doel dient en noodzakelijk is in een democratische samenleving. Het EHRM overweegt dat nationale wetgeving voldoende waarborgen moet bieden met betrekking tot onder andere de duur, de opslag, het gebruik, de toegang van derden, procedures voor het bewaren van de integriteit en vertrouwelijkheid van gegevens en procedures voor de vernietiging ervan, zodat er voldoende garanties zijn tegen het risico van misbruik en willekeur, om te voorkomen dat persoonsgegevens in strijd met artikel 8 EVRM worden gebruikt. De nationale wetgeving moet er met name voor zorgen dat de bewaarde gegevens relevant en niet buitensporig zijn in verhouding tot de doeleinden waarvoor ze worden bewaard, en dat ze in een vorm die het mogelijk maakt de betrokkenen te identificeren, niet langer worden bewaard dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor ze worden bewaard. Daarnaast moet de wetgeving aan het voorzienbaarheidsvereiste voldoen.
Het EHRM overweegt dat Russische wetgeving communicatieaanbieders verplicht tot het installeren van technieken die directe toegang door de Russische veiligheidsdiensten tot de communicatie mogelijk maken. De Russische opsporingsautoriteiten moeten weliswaar een rechterlijke machtiging verkrijgen alvorens deze gegevens te kunnen raadplegen, maar er bestaat geen verplichting om die machtiging ook aan de communicatieaanbieder te tonen.16 Gezien het risico van misbruik dat een dergelijke regeling in het leven roept, moet de wet voldoende waarborgen bevatten tegen willekeur en misbruik. Het EHRM oordeelt dat daar in deze zaak onvoldoende sprake van is.
Met betrekking tot de verplichting tot medewerking van Telegram aan het ontsleutelen van alle end-to-end versleutelde communicatie overweegt het EHRM:
«Deze maatregelen kunnen naar verluidt niet worden beperkt tot specifieke individuen en zouden zonder onderscheid iedereen treffen, inclusief individuen die geen bedreiging vormen voor een legitiem overheidsbelang. Het verzwakken van de encryptie door het creëren van achterdeuren zou het blijkbaar technisch mogelijk maken om routinematige, algemene en willekeurige surveillance van persoonlijke elektronische communicatie uit te voeren.»
Het EHRM overweegt dat onder die omstandigheden de bovengenoemde verplichting die Rusland oplegde aan Telegram niet proportioneel is ten aanzien van het beoogde doel.17 Het EHRM concludeert dat de bestreden Russische wetgeving onvoldoende adequate waarborgen tegen misbruik bevat en de kern van artikel 8 EVRM aantast – het recht op eerbiediging van het privéleven.
Het vorige kabinet heeft aangegeven uitvoering te geven aan de motie-Van Raan en heeft dit standpunt uitgebreid weergegeven en onderbouwd. Dit standpunt, dat hier niet ter discussie staat, staat haaks op het creëren van enige verplichting tot afzwakking, uitschakeling of algehele ontsleuteling van end-to-end versleutelde informatie.
Het Europese Hof in de zaak Schrems schreef dat «een regeling op grond waarvan de autoriteiten veralgemeend toegang kunnen krijgen tot de inhoud van elektronische communicatie [moet] worden beschouwd als een aantasting van de wezenlijke inhoud van het grondrecht op eerbiediging van het privéleven zoals door artikel 7 van het Handvest gewaarborgd».18
Hoewel ik deze conclusie van het Hof onderschrijf, wil ik erop wijzen dat versleutelde berichten of versleuteling als zodanig geen rol speelde in deze zaak.
Het kabinet onderschrijft de conclusie van het Europees Comité voor gegevensbescherming dat end-to-end versleuteling een belangrijk middel is om de vertrouwelijkheid van elektronische communicatie te kunnen bewerkstelligen.

Vraag 11

Is uw standpunt over end-to-end versleuteling veranderd naar aanleiding van de recente uitspraken van het EHRM en EDPB? Zo ja, op welke wijze draagt u dit uit bij lopende onderhandelingen in Europa en het binnenland over wet- en regelgeving? Zo niet, kan u met voorbeelden onderbouwen dat het huidige kabinetsstandpunt voldoende invulling geeft aan de uitspraken van de rechter en de EDPB?

Nee. Dit standpunt, zoals aangehaald en beschreven in mijn beantwoording op uw vorige vragen, is niet strijdig met voornoemde uitspraken.

Vraag 12

Biedt het geactualiseerde Grondwetsartikel 13 over het brief- en telecommunicatiegeheim een absolute garantie dat er geen verzwakkingen van end-to-end versleuteling mogen plaatsvinden in Nederland? Zijn de aanbevelingen van de staatscommissie-Grondwet 2010 hiermee volledig geïmplementeerd?7

De doelstelling van artikel 13 Grondwet (Gw) betreft het beschermen van de vertrouwelijkheid van communicatie. Die bescherming geldt met en zonder encryptie: ook als de inhoud van communicatie niet versleuteld is, mag die niet zomaar worden bekeken. Encryptie is een technische manier om de inhoud van de communicatie te beschermen tegen inzage door anderen, naast andere manieren om daartegen te beschermen. Artikel 13 schrijft niet voor of en op welke wijze private partijen hun communicatie dienen te beschermen.20 Dat een beveiligingsmethode eventueel gekraakt kan worden doet aan de juridische bescherming niet af.21 Overigens biedt artikel 13 Gw expliciet de mogelijkheid inperkingen te maken op het communicatiegeheim. Beperking van dit recht is mogelijk in de gevallen bij de wet bepaald met machtiging van de rechter of, in het belang van de nationale veiligheid, door of met machtiging van hen die daartoe bij de wet zijn aangewezen. Een voorbeeld van een dergelijke beperking is inzet van de interceptiebevoegdheid ten behoeve van de opsporing van strafbare feiten. Voorafgaande machtiging van de rechter is dan vereist.
In 2010 adviseerde de Staatscommissie om de bescherming van artikel 13 Gw te beperken tot de transportfase van de informatie en de inhoud van de communicatie buiten de bescherming van artikel 13 te laten vallen.22 In de memorie van toelichting bij de herziening van dit grondwetsartikel, alsmede tijdens debatten over het wetsvoorstel in de Tweede Kamer, is toegelicht waarom voor een andere, tevens techniek-onafhankelijke benadering is gekozen bij de vormgeving van dit grondwetsartikel.23 In de kern komt het erop neer dat bij de bescherming van het telecommunicatiegeheim is gekozen om niet het middel dat bescherming kan bieden, maar bescherming van de inhoud van de communicatie zelf centraal te stellen.24

Vraag 13

Bent u bereid om samen met de nationale politie en de Autoriteit Persoonsgegevens tot een eenduidig standpunt te komen over het borgen van end-to-end versleuteling, dat recht doet aan de uitspraken van het EHRM, EHJ en de EDPB, en dit blijvend uit te dragen in Nederland en Europa?

Zoals gezegd is voornoemd standpunt inzake end-to-end-encryptie niet strijdig met voornoemde uitspraken. Voor nadere uitleg verwijs ik naar mijn puntsgewijze beantwoording van vraag 10.

Vraag 14

Kunt u deze vragen apart van elkaar beantwoorden?

Ja.

Vraag 1

Ontvangt u signalen dat beeldmateriaal van mensen met een beperking onterecht wordt afgeschermd en verwijderd van Facebook?

In algemene zin merk ik dat de moderatiekeuzes van grote platforms kunnen leiden tot gefronste wenkbrauwen in de samenleving. Content zou onterecht verwijderd worden, of juist onterecht worden gehandhaafd. Ook is er discussie over of platforms bepaalde inhoud minder zichtbaar maken in hun netwerk. Over het door u genoemde geval heb ik geen signalen ontvangen. Laat ik heel helder zijn: discriminatie door grote platformbedrijven wordt niet geaccepteerd.
Sinds de komst van de Europese digitaledienstenverordening (DSA) worden platforms verplicht hun moderatiepraktijken duidelijk kenbaar te maken, en waarborgen te bieden aan gebruikers bij het modereren van inhoud. Voorop staat in ieder geval dat de vrijheid van meningsuiting en het discriminatieverbod daarin duidelijk moeten worden meegenomen.

Vraag 2

Staat het een groot sociale media platform als Facebook vrij om alledaagse foto’s en video’s van mensen met een amputatie te verwijderen omdat dit aangemerkt wordt als «het vieren van lijden of vernedering» en «overmatig gewelddadig» zou zijn? Is dit volgens u in lijn met nationaal en Europees beleid?

Grote sociale media platforms mogen op basis van hun algemene voorwaarden aan moderatie van inhoud doen. Inhoud die in strijd is met de algemene voorwaarden, mogen zij minder zichtbaar maken of verwijderen.
Dat is echter geen vrijbrief: de DSA stelt voorwaarden met betrekking tot de transparantie over inhoudsmoderatie. Zo moet elk moderatiebesluit gemotiveerd worden en moeten gebruikers geïnformeerd worden over de mogelijkheden in beroep te gaan of bezwaar aan te tekenen via het intern klachtenafhandelingssysteem van het platform, of waar mogelijk bij een onafhankelijk geschillenbeslechtingsorgaan.
Bovendien mogen platforms bij het aanbieden van hun diensten niet discrimineren op grond van handicap. Artikel 5b van de Wet gelijke behandeling op grond van handicap of chronische ziekte (Wgbh/cz) verbiedt het maken van onderscheid bij het aanbieden van of verlenen van toegang tot goederen of diensten en bij het sluiten, uitvoeren of beëindigen van overeenkomsten ter zake. Dit verbod richt zich ook tot sociale media platforms die in Nederland actief zijn. Op basis van deze wet is het ook mogelijk om een uitspraak te vragen van het College voor de rechten van de mens ten aanzien van de vraag of en wanneer er sprake is van ongeoorloofd onderscheid (art. 12 Wgbh/cz, in samenhang met artikel 10 Wet College voor de rechten van de mens).

Vraag 3

Hoe beoordeelt u het verwijderen en afschermen van foto's en video's van mensen met een zichtbare beperking door sociale media platforms als het gaat om uitingen geplaatst door mensen die zelf een beperking hebben, belangenorganisaties en journalistieke organisaties? Kunt u op iedere doelgroep apart ingaan?

Het verwijderen van content mag nooit leiden tot discriminatie. Grote sociale media platforms doen aan moderatie van de inhoud en maken daarbij constant afwegingen tussen verschillende belangen en rechten. Daarbij dienen sociale media platforms rekening te houden met het verbod van onderscheid, zoals opgenomen in de Wgbh/cz. Het verwijderen van foto’s en video’s van mensen met een zichtbare beperking die deze personen op eigen accounts hebben geplaatst, is mogelijk discriminerend. De platforms dienen zich ten opzichte van alle aanwezige content te houden aan dit verbod. Dat geldt dus voor content geplaatst door individuen, belangenorganisaties en journalistieke organisaties (of journalisten).
Zoals ook opgemerkt in het vorige antwoord kunnen mensen met een zichtbare beperking die vermoeden dat beeldmateriaal ten onrechte van hun account wordt verwijderd een klacht indienen via het intern klachtenafhandelingssysteem van het platform zelf of waar mogelijk via een onafhankelijk geschillenbeslechtingsorgaan. Daarnaast kunnen ze het College voor de rechten van de mens verzoeken om een oordeel over de vraag of het sociale media platform daarmee handelt in strijd met de Wgbh/cz. Ook organisaties die in overeenstemming met hun statuten de belangen behartigen van diegenen in wier bescherming de Wgbh/cz beoogt te voorzien, kunnen een beroep doen op de bescherming van deze wet. Tot slot staat natuurlijk een gang naar de rechter open.

Vraag 4

Bent u het met eens met de stelling dat het vrij kunnen delen van foto's en video's van mensen met een zichtbare beperking bijdraagt aan de representatie en normalisatie van deze doelgroep?

Iedereen hoort zich vrij te kunnen voelen om foto’s en video’s van zichzelf te delen. Ik ben het eens met de vragenstellers dat het delen van foto’s en video’s van mensen met een zichtbare beperking kan bijdragen aan de representatie en normalisatie van deze doelgroep, afhankelijk van het beeld of videomateriaal en in welke context dit wordt gedeeld.

Vraag 5

Wat gaat u verder doen om mensen met een zichtbare beperking in uw eigen uitingen een prominentere plek te geven, bijvoorbeeld door inclusieve stockfoto's te gebruiken en beschikbaar te stellen voor derden?

Ik erken het belang van representatie en inclusie in de communicatie-uitingen, en zal me blijvend inzetten om beeld te ontwikkelen en te gebruiken conform de aanbevelingen uit het onderzoek «Diversiteit in Beeld» van de Dienst Publiek en Communicatie en de tips die daarin zijn opgenomen voor inclusief beeldgebruik.1

Vraag 6

Welke Nederlandse en Europese wetgeving stelt eisen aan de wijze waarop content op grote online platforms gemodereerd moet worden? Welke zekerheid wordt hierin geboden dat mensen met een zichtbare beperking foto’s en video’s van zichzelf kunnen plaatsen op hun eigen sociale media kanalen net als iedere andere gebruiker?

De DSA legt voorwaarden op aan de manier waarop inhoudsmoderatie moet worden uitgevoerd. Zo moet een besluit om inhoud te verwijderen gemotiveerd worden en moet een vorm van bezwaar of beroep openstaan. Indien een sociaal media platform inhoud modereert, dan verplicht de DSA bovendien om daarbij gepaste aandacht te hebben voor de rechten en legitieme belangen van alle betrokkenen, waaronder de fundamentele rechten uit het handvest zoals de vrijheid van meningsuiting en het recht van non-discriminatie.
Zoals in het antwoord op vraag 2 ook is opgemerkt, dienen online platforms die actief zijn in Nederland rekening te houden met de Wgbh/cz. Deze wet bevat onder meer een verbod op discriminatie bij het aanbieden van diensten, waaronder ook online dienstverlening wordt begrepen (vergelijk College voor de rechten van de mens, oordeel 2020-106, overweging 6.1).
Kort gezegd beschermt de DSA de vrijheid van meningsuiting van burgers om niet-illegale inhoud te uiten, en bijvoorbeeld in bezwaar te gaan tegen moderatiebesluiten zoals verwijdering. Daarnaast verplicht het platforms om hun systemen zo in te richten dat systeemrisico’s en negatieve effecten op de samenleving worden beperkt.
Artikel 34, eerste lid, onder b en c, van de DSA verplicht platforms rekening te houden met «eventuele werkelijke of voorzienbare negatieve effecten met betrekking tot ernstige negatieve gevolgen voor het geestelijke welzijn van de persoon», en met «werkelijke of voorzienbare negatieve effecten op de uitoefening van de grondrechten, met name het in artikel 21 van het Handvest verankerde grondrecht op non-discriminatie.»
Aanbieders van zeer grote online platforms en van zeer grote online zoekmachines moeten met name rekening houden met de vraag of en hoe het ontwerp van hun aanbevelingssystemen en andere relevante algoritmische systemen, hun inhoudsmoderatiesystemen, de toepasselijke algemene voorwaarden en de handhaving ervan, systemen voor de selectie en weergave van reclame en data-gerelateerde praktijken van de aanbieder van invloed zijn op deze systeemrisico’s.
Onder artikel 35 van de DSA worden aanbieders van zeer grote online platforms en van zeer grote online zoekmachines verplicht om redelijke, evenredige en doeltreffende risicobeperkende maatregelen te nemen die zijn toegesneden op de specifieke systeemrisico’s. Dergelijke maatregelen omvatten aanpassing van het ontwerp, de kenmerken of de werking van hun diensten, met inbegrip van hun online-interfaces, aanpassing van hun algemene voorwaarden en de handhaving ervan, aanpassing van inhoudsmoderatieprocedures, testen en aanpassing van hun algoritmische systemen, met inbegrip van hun aanbevelingssystemen, het nemen van bewustmakingsmaatregelen en aanpassing van hun online-interface om de gebruikers van de dienst meer informatie te verschaffen.

Vraag 7

Welke Nederlandse en Europese wetgeving beschermt het recht van mensen met een zichtbare beperking om beeldmateriaal van zichzelf te delen op het internet? Op welke wijze kan u sociale media platforms verplichten om dergelijke foto’s en video’s niet ten onrechte af te schermen of te verwijderen?

Het delen van informatie op internet, waaronder beeldmateriaal, valt onder het recht op de vrijheid van meningsuiting (zoals neergelegd in artikel 7 Grondwet, artikel 10 EVRM en artikel 11 van het EU-Grondrechtenhandvest). Dit recht beschermt mensen tegen een ongerechtvaardigde beperking van de vrije meningsuiting door de overheid. In het geval van sociale media platforms gaat het om een horizontale relatie tussen bedrijven en mensen, waarvoor de DSA regels geeft, zoals transparantie over inhoudsmoderatie. In 2016 heeft Nederland het VN-verdrag inzake de rechten van personen met een handicap geratificeerd. In het verlengde daarvan is de Wgbh/cz uitgebreid met een verbod van onderscheid op grond van handicap of chronische ziekte bij het aanbieden van en het verlenen van toegang tot goederen en diensten. De wet biedt mensen met een zichtbare beperking dus bescherming tegen discriminatie op grond van hun zichtbare handicap bij online dienstverlening.

Vraag 8

Welke rol speelt de Digital Services Act (DSA) in het handhaven op de gelijke behandeling van internetgebruikers met een zichtbare beperking als zij foto’s en video’s van zichzelf delen en hun ervaringen openlijk delen?

De DSA stelt regels aan aanbieders van tussenhandeldiensten, met name als het gaat om hun rol en verantwoordelijkheid bij inhoud die als illegaal of onverzoenbaar met de algemene voorwaarden wordt aangemerkt. Eén van de doelen van de DSA is om daarin ook de mensenrechten te beschermen. Dat doet de DSA onder meer door ervoor te zorgen dat inhoudsmoderatie gebeurt met waarborgen, en door rechten te bieden aan mensen die zich daarin benadeeld voelen. Voor een uiteenzetting verwijs ik graag naar het antwoord op vraag 6.

Vraag 9

Op welke manieren kan iemand melding doen als zij vermoeden dat beeldmateriaal van mensen met een zichtbare beperking ten onrechte wordt verwijderd? Wat is de rol van de overheid en nationale toezichthouders om in te grijpen als er sprake is van discriminatie?

Op grond van de DSA kunnen gebruikers hun recht halen door direct bij het platform te klagen via een intern klachtenafhandelingssysteem, indien mogelijk een buitenrechtelijke geschillenprocedure te starten, of naar de rechter te stappen. Ook kunnen zij een klacht indienen bij de zogenoemde «digitaledienstencoördinator», ofwel de primaire toezichthouder op de DSA. In Nederland is dat de Autoriteit Consument en Markt (ACM).
Daarnaast kunnen mensen met een zichtbare beperking die vermoeden dat beeldmateriaal ten onrechte van hun account wordt verwijderd het College voor de rechten van de mens verzoeken om een oordeel over de vraag of het sociale media platform daarmee handelt in strijd met de Wgbh/cz.

Vraag 10

Hoe vaak heeft u overleg met vertegenwoordigers van sociale media platforms over de naleving van Nederlandse en Europese wetgeving over anti-discriminatie? Doen platforms in uw beleving voldoende om de gelijke rechten van gebruikers met en zonder zichtbare beperking te beschermen? Zo niet, hoe gaat u platforms dwingen tot verbetering?

Het toezicht op de naleving van de DSA door zeer grote online platforms ligt primair bij de Europese Commissie. De toezichthouder in de lidstaat waar zo’n platform gevestigd is, is gedeeltelijk mede bevoegd. Zo is de toezichthouder in Ierland mede bevoegd voor bijvoorbeeld Instagram, TikTok en YouTube. Terwijl de ACM (mede) bevoegd is voor sociale media platforms zoals Snap, Reddit en Discord. De toezichthouders gaan toezien op de naleving en deze zo nodig verbeteren. Daarbij zullen ze waarschijnlijk ook in gesprek gaan met de platforms indien er klachten zijn binnengekomen of als uit onderzoek daar een noodzaak toe blijkt.
Omdat het toezicht elders is belegd, heb ik zelf geen zicht op welke manier platforms zorgen dat de gelijke rechten van gebruikers met en zonder zichtbare beperking worden beschermd. Ik vind het wel van belang dat deze gebruikers niet worden gediscrimineerd.

Vraag 11

Bent u bereid in gesprek te gaan met ervaringsdeskundigen en vertegenwoordigers van mensen met een beperking om in beeld te brengen op welke manieren grote online platforms mensen met een beperking nu benadelen? Kunt u dit vervolgens aankaarten bij de nationale en Europese vertegenwoordigers van grote online platforms?

Vanuit mijn coördinerende rol als Staatssecretaris van Digitalisering vind ik het belangrijk dat de zorgen van ervaringsdeskundigen en vertegenwoordigers van mensen met een beperking worden gehoord. In de «Voortgangsbrief Rijksbrede strategie voor de effectieve aanpak van desinformatie en aankondiging nieuwe acties» vertel ik dat het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties de volgende stap zet in een verkenning van een meldvoorziening, een geschillenbeslechtingsorgaan (zoals in artikel 21 van de DSA) en een kenniscentrum. Hier zouden burgers over de hele EU terecht kunnen voor geschillenbeslechting betreffende contentmoderatie besluiten van online platformen. Onderdeel van deze volgende stap is het ophalen van de ervaringen en behoeften van mensen en groepen die nadelen ondervinden van contentmoderatie besluiten van sociale media platformen. Zoals mensen met een beperking. Zodat we samen een effectief orgaan kunnen vormgeven en ongelijke behandeling door sociale media platformen kunnen tegengaan.
Daarnaast hebben de Ministers van Binnenlandse Zaken en Koninkrijksrelaties, Justitie en Veiligheid, Sociale Zaken en Werkgelegenheid, Onderwijs, Cultuur en Wetenschap en Langdurige Zorg en Sport uw Kamer op 22 februari 2023 een Kamerbrief2 gestuurd over de aanpak van online discriminatie, racisme en hate speech. In de brief is een inventarisatie gemaakt van lopend beleid en wordt benadrukt dat het kabinet de komende jaren inzet op een meer geïntegreerde, samenhangende en gestructureerde aanpak. Deze aanpak krijgt vorm aan de hand van de pijlers ondersteuning van slachtoffers, bewustwording, verantwoordelijkheden van en samenwerking met internetpartijen, consequenties voor daders en betere registratie en onderzoek, zoals ook wordt opgeroepen in de aanbeveling van de Raad van Europa. Deze pijlers worden op dit moment uitgewerkt tot concrete acties door een interdepartementale werkgroep. Deze uitwerking vindt onder andere plaats door sessies met het veld over deze thematiek. Deze uitwerking zal voor het einde van de zomer aan uw Kamer worden gestuurd.

Vraag 12

Kunt u deze vragen afzonderlijk beantwoorden?

Ja.

Vraag 1

Kunt u een beleidsreactie geven op de aanbevelingen die gedaan worden in het artikel «Uitvoeringsorganisaties moeten aanbevelingen uit evaluaties opvolgen» in Economische Statistische Berichten (ESB) van 29 maart 2024?1

De in het ESB-artikel genoemde correlatie tussen productiviteit en het opvolgen van aanbevelingen uit evaluaties is een mooi en tegelijkertijd goed voorstelbaar inzicht. De sterk overschatte positieve impact van fusies op productiviteit was mij bekend. Net als uiteraard de zich aandienende grenzen aan de wervingsmogelijkheden van nieuw personeel.
In reactie op de gesuggereerde outsourcing van o.a. IT kan ik melden dat bij een recente beschouwing van de IT bij de overheid in Denemarken het beeld zich nadrukkelijk opdringt dat een meer nadrukkelijke centrale regie (daar vormgegeven in een regieorganisatie met vergaande bevoegdheden en taken) een belangrijke impuls kan geven aan de modernisering van het overheids-IT-landschap. Naar eigen zeggen heeft deze moderniseringsslag de Denen naast een verbetering van de dienstverlening ook een kostenbesparing op IT opgeleverd van ca. 25%.
Het spreekt verder voor zich dat het eerder in de Staat van de Uitvoering (2023) gedane appel aan politiek en beleid om de complexiteit van de wetgeving en de stapeling van nieuw beleid te reduceren, ook zeer kan bijdragen aan een productiviteitsstijging en daarmee de toekomstbestendigheid van de publieke dienstverlening.
Ik voeg daar overigens -om de verwachtingen wat te temperen- gelijk aan toe dat verbetersuggesties rond IT en complexiteitsreductie al tientallen jaren opgeld doen in diverse rapporten.
De onderzoekers benadrukken terecht het vraagstuk van de arbeidsintensiteit van de uitvoering ook in het licht van de huidige en toekomstige arbeidstekorten. Dat levert zeer serieuze uitdagingen op. Bij ongewijzigd beleid zal de overheidsdienstverlening nog verder onder druk komen te staan. We zijn dus genoodzaakt de arbeidsintensiteit van de overheidsdienstverlening terug te dringen. Daar dienen zich zoals ook hierboven vermeld diverse aanknopingspunten voor aan. Ik kan daar nog aan toevoegen dat:

Vraag 2

Kunt u een goede inschatting geven hoe de ontwikkeling dat de demografische druk met tien procentpunt stijgt tot 80 procent doorwerkt in uitvoeringsorganisaties?

Over een exacte berekening/onderbouwing beschik ik niet. De toename van de demografische druk leidt, zoals ook de SER in het advies nr. 23/01 «Waardevol werk: publieke dienstverlening onder druk» aangeeft, tot een structurele krapte op de arbeidsmarkt. Dit raakt zowel de publieke en semipublieke als de marktsector. Om tekorten te voorkomen, stelt het CPB daarom dat maatregelen gericht op het verhogen van het arbeidsaanbod niet voldoende zijn. Er zijn ook maatregelen nodig aan de vraagzijde waardoor het werk met minder mensen gedaan kan worden.

Vraag 3

Wordt de productiviteit van uitvoeringsorganisaties structureel gemonitord op een manier zoals in eerdere onderzoeken van het Instituut voor Publieke Sector Efficiëntie Studies (IPSE Studies) en in dit onderzoek gedaan is? Zo ja, wat zijn daarvan de resultaten? Zo nee, waarom niet?2

Al vele jaren heeft het Ministerie van BZK een partner- en subsidierelatie met het instituut IPSE-Studies (https://www.ipsestudies.nl/), dat o.a. voor een aantal grotere uitvoeringsorganisaties (zbo’s en agentschappen) meerjarig de productiviteitsontwikkeling in kaart brengt. De uitkomsten daarvan zijn online via een geheel transparante database toegankelijk voor iedere gebruiker (https://www.trendsinuitvoeringsorganisaties.nl/). Op dit moment brengt de monitor de trends van veertien belangrijke uitvoeringsorganisaties vanaf 2006 in beeld. In termen van fte’s gaat het om ongeveer 75% van alle uitvoeringsorganisaties van de centrale overheid in Nederland (exclusief de uitvoerende dienstonderdelen van de ministeries).
De laatste geïntegreerde analyse van de resultaten van deze monitor is in april 2024 gepubliceerd en laat voor de periode 2006 – 2022 een gemengd beeld zien (Uitvoeringstrends in perspectief, Factsheet productiviteitstrends uitvoeringsorganisaties, 2006–2022; IPSE-Studies, Jos Blank en Alex van Heezik, april 2024 Factsheet_TiU_2006-2022.pdf (ipsestudies.nl)).
De conclusies van deze analyse zijn als volgt:
Het beeld, dat uit deze analyse van IPSE-Studies naar voren komt accentueert nogmaals de urgentie om de productiviteit van de uitvoering te verbeteren en de arbeidsintensiteit terug te dringen, zowel met het oog op de toename van de tekorten op de arbeidsmarkt, als vanuit het oogpunt van kostenbeheersing.

Vraag 4

Komt het beeld van een afnemende productiviteit van uitvoeringsorganisaties dat kwalitatief rijst uit de Staat van de Uitvoering en kwantitatief naar voren komt uit studies van IPSE Studies en recent in de ESB overeen met de cijfers en ervaringen zoals die bij u bekend zijn?3

Zie antwoord vraag 3.

Vraag 5

Kunt u toelichten hoe de resultaten van een afnemende productiviteit van uitvoeringsorganisaties zoals dat voortkomt uit studies van IPSE Studies en recent in de ESB zich verhouden tot de productiviteitsstijging waarmee het Centraal Planbureau (CPB) heeft gerekend in Keuzes in Kaart en mogelijk het regeerakkoord, en wat de consequenties hiervan zijn voor de beschikbare middelen voor de uitvoering in de Rijksbegroting voor de komende jaren?4 5

Ik veronderstel, dat hier gerefereerd wordt aan het uitgangspunt van het CPB, dat efficiencykortingen van 0,5% per jaar op het ambtelijk apparaat haalbaar zijn.
De afgelopen periode zijn mede naar aanleiding van de crises in de uitvoering aanvullende budgetten beschikbaar gesteld aan de rijksorganisaties (inclusief ZBO’s). Met deze middelen is in de periode 2017–2023 een totale personeelsgroei tot stand gekomen van 34%. De groei van het aantal arbeidsplaatsen bij de uitvoeringsorganisaties is lager en bedraagt 27,7%, ofwel 4,2% per jaar.
In het perspectief van deze volumeontwikkeling lijkt het CPB-uitgangspunt goed hanteerbaar.

Vraag 6

Komt de schatting van de wervingsbehoefte van 40.000 fte in 2032 en 95.000 fte inclusief het opvangen van natuurlijk verloop overeen met het beeld dat het ministerie heeft? Zo nee, waarom niet?

De door Moons e.a. (2024) geschatte wervingsbehoefte is gebaseerd op een trendextrapolatie, waarbij is verondersteld dat de toename van het arbeidsvolume de komende jaren (2023–2032) doorzet. Het is echter onwaarschijnlijk dat ook de komende periode zich weer een dergelijk omvangrijke groei gaat herhalen. De geraamde wervingsbehoefte van 40.000 fte in de periode (20230–2032) lijkt mij dan ook niet realistisch.
De uitstroom vanwege natuurlijk verloop wordt geraamd op +/– 55.000 fte (in de periode 2023–2032). Prognoses t.b.v. de Staat van de Uitvoering (nog te verschijnen) tonen voor de periode 2023–2032 een pensioenuitstroom van ca. 38.000 fte, maar daarbij zijn diverse uitvoeringsorganisaties uit de ESB-publicatie buiten beschouwing gelaten6. De raming van 55.000 (5.000 fte per jaar) lijkt mij derhalve redelijk accuraat.

Vraag 7

Zijn er arbeidsmarktstudies gedaan in hoeverre het haalbaar is dat uitvoeringsorganisaties in deze mate personeel werven en wat daarvan de effecten zijn op andere arbeidsmarktsectoren?

Ten behoeve van de Staat van de Uitvoering wordt momenteel een arbeidsmarktverkenning uitgevoerd. Deze verkenning richt zich op de publieke dienstverleners en bevat o.a. een prognose van de vervangingsvraag. Uit trendcijfers blijkt dat de werkgelegenheid bij de uitvoeringsorganisaties de afgelopen jaren (2017 t/m 2023) met 4,2% per jaar is toegenomen. De totale vraag naar personeel was vanwege natuurlijk verloop nog groter. De komende jaren schommelt de pensioenuitstroom (bij de 28 publieke dienstverleners waarvoor een prognose gemaakt is) rond de 2,3 procent en de «overige» uitstroom rond de 5%. Deze percentages zijn vergelijkbaar met die in de afgelopen jaren.
Hoewel de uitvoering de afgelopen jaren is gegroeid, is een reductie van de arbeidsvraag de komende jaren dringend gewenst, vooral vanwege de toegenomen krapte op de arbeidsmarkt.

Vraag 8

Deelt u de conclusie dat 28 procent van de aanbevelingen uit evaluaties van uitvoeringsorganisaties niet uitgevoerd wordt?

Ik heb geen reden te twijfelen aan de calculatie die door PwC is gemaakt. Echter uw stelling dat 28% van de aanbevelingen niet wordt opgevolgd vraagt om enige nuancering. In figuur 3 van het betreffende artikel staat vermeld dat 11% van de aanbevelingen niet wordt opgevolgd en 17% gedeeltelijk.

Vraag 9

Waarom wordt 28 procent van de aanbevelingen niet uitgevoerd?

Ik heb hierover geen informatie maar veronderstel dat aan het niet of slechts gedeeltelijk opvolgen van aanbevelingen een serieuze afweging van de betreffende dienstverlener en het betrokken departement ten grondslag ligt.

Vraag 10

Welk gevolg vindt u dat deze conclusie dient te hebben voor de manier van evalueren en aansturing bij uitvoeringsorganisaties?

In de Staat van de Uitvoering 2023 werd gesteld dat zbo-evaluaties vaak een plichtmatig karakter hebben.
In het ten behoeve van de Staat van de Uitvoering uitgevoerde onderzoek «Leren van evalueren: een onderzoek naar zbo-evaluaties» worden door de onderzoekers een aantal tips gegeven om het evaluatieproces te verbeteren, waar ik mij graag bij aansluit.
Om evaluaties meer in te zetten om van te leren en te verbeteren, kan gedacht worden aan meer «lerend evalueren»: door gezamenlijk het evaluatieproces te ondergaan, kunnen departementen en zbo’s beter inzicht krijgen in zichzelf en elkaar, wat bijdraagt aan de samenwerking en uiteindelijk ook aan de maatschappelijk beoogde prestaties.
Een andere tip die in dit artikel naar voren komt, is om in de evaluaties meer onderwerpen te kiezen die aansluiten bij de soms specifieke context van het zbo.
Tot slot sluit ik mij aan bij de conclusie uit het aangehaalde ESB-artikel dat het aanbevelenswaardig is om evaluaties daadwerkelijk te laten plaatsvinden. Agendering en inhoudelijke behandeling door de Tweede Kamer helpt uiteraard ook.

Vraag 11

Op welke manieren zouden ervaringen vanuit private partijen om uitvoeringsprocessen te verbeteren gebruikt kunnen worden, gelet op de constatering dat overheidsorganisaties een achterstand van vijftien procent in productiviteit hebben opgelopen ten opzichte van de markt?

Zoals bij de beantwoording van vraag 1 al werd aangegeven is er sprake van een dringende noodzaak om te investeren in de vermindering van de arbeidsintensiteit. Het betrekken van private partijen, maar ook kennisinstellingen, en het leren van succesvolle buitenlandse praktijken is daarbij essentieel.

Vraag 12

Hoe beoordeelt u de conclusie dat het outsourcen van diensten slechts beperkt helpt en hoe verhoudt zich dit tot het gegeven dat een groot deel van de ministeries de Roemernorm niet haalt?

De vraag of outsourcen van diensten slechts beperkt helpt is in zijn algemeenheid lastig te beantwoorden. Dat hangt sterk af van het type diensten en taken en de context waarin gewerkt moet worden en van de politieke en ambtelijke beoordeling op welke wijze de publieke en organisatiedoelen effectief, efficiënt, legitiem en veilig gerealiseerd kunnen worden. En die is bij de veelal unieke organisaties waar het hier om gaat telkens weer anders. Daarnaast liggen er doorgaans andere afwegingen ten grondslag aan het outsourcen van diensten/taken dan het inhuren van externen voor de uitvoering van taken in eigen beheer binnen de staande organisatie.

Vraag 13

Vindt u dat er genoeg instrumenten of prikkels zijn voor uitvoeringsorganisaties om aanbevelingen op te volgen en hun productiviteit te verbeteren?

Productiviteit van uitvoeringsorganisaties staat volop in de belangstelling. Op verzoek van de Tweede Kamer is ook de Algemene Rekenkamer inmiddels actief op dit terrein.
Benchmarken is een krachtig instrument bij het verbeteren van de prestaties van organisaties. De meeste zbo’s en agentschappen zijn weliswaar unieke organisaties, maar desalniettemin is het vergelijkenderwijze leren van onderlinge prestatiesverschillen en alternatieve werkwijzen van grote waarde. Met de RBB-groep (een community waar 47 uitvoeringsorganisaties lid van zijn) is er een platform aanwezig om dergelijke activiteiten te ondernemen.
Ten aanzien van de evaluaties merk ik nog op dat in de Handleiding evaluatie zbo’s, opgesteld door het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties en het Ministerie van Financiën, wordt aangegeven dat het goed is om in opeenvolgende evaluaties te bezien of de aanbevelingen zijn opgevolgd en wat het effect daarvan is geweest.
Tegelijkertijd is er de constatering dat Rijksoverheid de afgelopen jaren in arbeidsvolume een aanmerkelijke groei heeft doorgemaakt.

Vraag 14

Welke beleidstrajecten lopen er om achterlopende ICT-systemen bij uitvoeringsorganisaties te identificeren en snel te verhelpen indien dit aantoonbaar de productiviteit van de organisatie verbetert?

Er wordt volop inzet gepleegd op de aanpak van problematische verouderde ICT-systemen bij de Rijksoverheid. In 2022 is het rijksbrede Life Cycle Management (LCM) convenant opgesteld en is een rijksbrede LCM-community opgericht om de afspraken in het convenant gezamenlijk op te pakken. Met als doel om rijksbreed beter inzicht te krijgen welke systemen en applicaties er zijn en in welke staat deze zich bevinden. Aanvullend is recent de rijksbrede visie op IT-assetmanagement vastgesteld, zodat er een eenduidig beeld ontstaat van de IT-systemen. Daarnaast wordt beoogd dat elk departement en daaronder ressorterende uitvoeringsorganisaties een aanpak of strategie opstellen om tot ICT-renovatie te komen. Een dergelijke aanpak zal leiden tot een betere risico- en kostenbeheersing en heeft mogelijk ook een positieve impact op productiviteit.

Vraag 15

Herkent u dat gemeenten terughoudend zijn met incidentele investeringen in ICT vanwege structurele tekorten, ondanks dat zij voldoende incidentele ruimte daarvoor hebben? Zo ja, bent u bereid met gemeenten in gesprek te gaan op welke manier deze investeringen toch gedaan zouden kunnen worden?

Over exacte informatie hierover beschik ik niet.
IT-investeringen zijn doorgaans kostbaar, en de autonomie van gemeenten en ZBO’s is ook op IT-terrein relevant. Bij de terughoudendheid om tot vernieuwing te komen spelen overigens meer factoren. Schaarse IT-Kennis, angst voor het maken van fouten (rond publicitair gevoelige IT-projecten niet ondenkbeeldig) en ook wantrouwen richting marktpartijen lijken in deze van betekenis. Dat laatste punt bleek eens te meer bij het beschouwen van de Deense aanpak waar met een niet op wantrouwen gebaseerde publiek-private samenwerking aanmerkelijk betere resultaten geboekt worden.
De Deense aanpak heeft ook de gemeenten/VNG geïnspireerd om hun aanpak rond «common ground» nader te beschouwen.

Vraag 16

Bent u bereid om een visie op te stellen op welke manier kunstmatige intelligentie veilig en betrouwbaar gebruikt kan worden bij uitvoeringsorganisaties zodat hier een duidelijk afwegingskader voor komt?

We beschikken met het Algoritmekader voor de overheid (https://minbzk.github.io/Algoritmekader/) al over een gedegen overzicht van de vereisten die gelden bij de inzet van kunstmatige intelligentie door de overheid. Momenteel wordt gewerkt aan de praktische vertaling van deze wettelijke vereisten. Dit wordt gedaan met een brede vertegenwoordiging van overheidsorganisaties, waaronder uitvoeringsorganisaties. Ook de vereisten die voortvloeien uit de Europese AI-verordening worden daarin meegenomen. Het is daarom niet nodig een aparte visie te ontwikkelen.

Vraag 17

Bent u bereid productiviteit en efficiëntie kwantitatief uit te lichten voor alle uitvoerders in de eerstvolgende Staat van de Uitvoering?

De stuurgroep van de Staat van de Uitvoering is verantwoordelijk voor de inhoud van de Staat van de Uitvoering. De kennisverwerving voor de Staat van de Uitvoering 2024 is geheel afgerond en de scribenten zijn op dit moment aan de slag om dit om te zetten in een nieuwe publicatie. Het Ministerie van BZK is natuurlijk graag bereid uw verzoek over te brengen aan de voorzitter van de stuurgroep met het oog op de voorbereidingen van de Staat van de Uitvoering 2025.
Daarbij is het wel op voorhand noodzakelijk de verwachtingen te temperen ten aanzien van de reikwijdte van een dergelijke analyse. In dit stadium is het namelijk niet haalbaar alle uitvoeringsorganisaties daarin mee te nemen. Dat hangt o.a. samen met het feit, dat lang niet van alle uitvoeringsorganisaties alle noodzakelijke data en gegevens beschikbaar zijn voor een betrouwbare en betekenisvolle meerjarige productiviteitsanalyse. IPSE-Studies heeft twee keer (2017 en 2022) een verkenning uitgevoerd ter identificering van de uitvoeringsorganisaties waarvoor voldoende relevante data/gegevens beschikbaar waren.
Het Ministerie van BZK heeft bij de laatste evaluatie van de Kaderwet ZBO’s, in samenwerking met het Ministerie van Financiën en IPSE-Studies, de ministeries en uitvoeringsorganisaties een methode aangereikt ter ondersteuning van de aanpak om op doelmatigheidsbevordering en productiviteitsontwikkeling te sturen. De methode helpt ook bij de identificering van de juiste indicatoren voor de systematische verzameling van relevante data. Zonder een dergelijke systematische verzameling van data is sturing op doelmatigheid en productiviteit lastig en een analyse van de productiviteitsontwikkeling problematisch.

Vraag 18

Kunt u de antwoorden op deze vragen de Kamer toesturen voor de aanbieding van de verantwoordingsstukken?

Vanzelfsprekend. Uit deze antwoorden blijkt dat een reductie van de arbeidsvraag de komende jaren dringend gewenst is, vooral in relatie tot de toegenomen krapte op de arbeidsmarkt. Ik zal een brede aanpak voorbereiden om hierop – op rijksniveau – sturing mogelijk te maken. Dat zal onvermijdelijk een meervoudige aanpak moeten zijn. Denk hierbij aan het snoeien in en sterk vereenvoudigen van interne regels en procedures binnen de overheid (de zogenoemde «red tape»). Ook het veel nadrukkelijker bevorderen van innovatie, alsmede het onderling vergelijken en van elkaar leren («benchmarken») hoort daarbij. Tenslotte sluit ik centrale sturing op de organisatie en formatie van het Rijk niet uit. Bij deze brede aanpak gaat het niet alleen om een technische operatie, maar zeker ook om het stellen van prioriteiten en andere politieke keuzes. Ik zal de Kamer, zo mogelijk in september, nader informeren over de mogelijkheden om hierop sturend op te treden.

Vraag 1

Bent u bekend met het feit dat er door DUO jarenlang een risicoprofiel is gehanteerd waarbij mbo de hoogste risicofactor gaf, hbo de middelste risicofactor en wo de laagste risicofactor?1

Ja. In de kabinetsreactie op het onderzoeksrapport van PwC is het kabinet ingegaan op onder meer het risicoprofiel in het controleproces van DUO bij de uitwonendenbeurs. Deze kabinetsreactie is op 1 maart jl. aan uw Kamer verzonden.2 Tevens heeft de Minister van OCW uw Kamer op 22 mei een brief gestuurd naar aanleiding van vervolgonderzoek.3

Vraag 2

Kunt u een overzicht geven van alle risicoprofielen/algoritmes binnen de overheid waarbij opleidingsniveau een risico-indicator is voor fraude?

Het kabinet kan dat Rijksbrede overzicht op dit moment niet geven, omdat dit overzicht er nu niet volledig is. Het kabinet wil dit overzicht verkrijgen door het verder vullen van het landelijk algoritmeregister voor de overheid.4 Met departementen is afgesproken dat zij uiterlijk 2025 ten minste door hen gebruikte algoritmes met een hoog risico geregistreerd hebben in het algoritmeregister. In het register kan worden geregistreerd welke gegevens daarbij worden gebruikt. Op dit moment hebben wij in het algoritmeregister geen algoritmes rondom fraudebestrijding gevonden waarbij opleidingstype benoemd wordt als risico-indicator. Wel zijn er algoritmen die opleidingstype gebruiken voor bijvoorbeeld het matchen van werkzoekenden met werkgevers. Hierbij merken wij op dat het niet altijd wenselijk noch mogelijk is om volledig transparant te zijn over welke gegevens gebruikt worden bij fraudebestrijding, omdat dit het makkelijker maakt de controle te ontwijken. Om diezelfde reden bestaat in de Wet Open Overheid (WOO) een uitzondering voor inspectie en controle en toezicht door bestuursorganen5.
De Staatssecretaris van BZK werkt aan het algoritmekader. Daarin wordt aanbevolen om bij de ontwikkeling van impactvolle algoritmes gebruik te maken van een mensenrechtentoets zoals het Impact Assessment Mensenrechten en Algoritmes (IAMA). Het IAMA is een hulpmiddel om alle relevante aandachtspunten bij de inzet van algoritmen, waaronder eventueel opleidingstype als selectiecriterium, op een gestructureerde manier aan bod te laten komen en grondig te doordenken.

Vraag 3

Kunt u bij elk voorbeeld aangeven of dit risicoprofiel wetenschappelijk is onderbouwd?

Zie antwoord vraag 2.

Vraag 4

Kunt u bij elk voorbeeld aangeven waarom u het ethisch juist vindt om mensen met een mbo-opleiding minder te vertrouwen dan mensen met een hbo of wo-opleiding?

Als kabinet vinden wij het onwenselijk om de mate van vertrouwen in mensen te koppelen aan het type opleiding dat zij volgen en/of gevolgd hebben.
Ons uitgangspunt is dat grote terughoudendheid op zijn plaats is bij gebruik van opleidingstype als risico-indicator voor fraude bij toeslagen, beurzen, belastingen en uitkeringen. Tenzij een opleiding een voorwaarde is voor het recht, er een andere expliciet gemotiveerde onderbouwing voor is. Zoals toegelicht bij het antwoord op vraag 2, is het noodzakelijk dat hoogrisico en impactvolle algoritmes in het algoritmeregister worden vermeld om zo een beeld te krijgen van het gebruik en te zorgen voor meer transparantie.
Onderscheid maken op basis van onderwijstype kan in sommige gevallen gerechtvaardigd zijn. Bijvoorbeeld als het gaat om het aannemen van werknemers voor beroepen waarvoor opleidingseisen gelden. Het gaat dan niet om vertrouwen, maar om het gebruiken van onderwijstype als criterium daar waar het onderwijstype van de (oud-)student relevant is voor de keuze die wordt gemaakt. Daarbij moet aangetekend worden dat vanwege de bestaande kansenongelijkheid in het onderwijs sommige groepen bijvoorbeeld over- of ondervertegenwoordigd zijn in de verschillende typen vervolgonderwijs. Opleiding als criterium kan daardoor wellicht onbedoeld indirecte discriminatie tot gevolg hebben. Daarom vraagt het gebruik van opleidingstype als risico-indicator grote terughoudendheid.
In het risicoprofiel bij DUO dat in juni 2023 buiten werking is gesteld, werd ook onderscheid gemaakt op basis van onderwijstype. Onderwijstype was één van de drie criteria in het risicoprofiel, waarbij mbo-studenten een hogere risicoscore kregen dan hbo-studenten en hbo-studenten een hogere risicoscore kregen dan wo-studenten. Het uitgevoerde interne onderzoek van DUO over onder meer de risicoprofielen leert ons dat er in dit geval onvoldoende statistisch verband was bij het hanteren van het criterium onderwijstype met onrechtmatig gebruik van de beurs.6 Hiermee was wat ons betreft onderwijstype geen gerechtvaardigd selectiecriterium in het risicoprofiel. Met andere woorden: onderwijstype was een onvoldoende relevant criterium om op basis daarvan onderscheid te maken in het controleproces uitwonendenbeurs.
Zoals benoemd in het debat over de controles bij de uitwonendenbeurs op 21 maart jl., valt opleidingstype niet onder het toepassingsbereik van de Algemene wet gelijke behandeling. Enkel de specifiek genoemde persoonskenmerken, zoals afkomst of nationaliteit, vallen hieronder. Onderwijstype wordt in de Algemene wet gelijke behandeling niet als discriminatiegrond genoemd. Voor de maatschappelijke herwaardering van het mbo heeft de Minister van Binnenlandse Zaken, mede namens de Minister van Onderwijs Cultuur en Wetenschap, een adviesaanvraag ingediend bij het College voor de Rechten van de Mens. Deze adviesaanvraag loopt nog en gaat over de toevoeging van opleidingstype als discriminatiegrond aan de Algemene wet gelijke behandeling. Hiermee geef ik uitvoering aan de motie van Bouchallikht (GroenLinks) en De Hoop (PvdA).7

Vraag 5

Hoe verhoudt het gebruik van opleidingsniveau als risico-indicator voor fraude zich tot alle goede voornemens van dit kabinet om de opleidingskloof te verkleinen en elke vorm van onderwijs gelijk te waarderen?

Het is inderdaad het voornemen van dit kabinet om elke vorm van onderwijs gelijk te waarderen. In plaats van een ladder van «laag» naar «hoog», zien we het onderwijsstelsel als een waaier waarin verschillende opleidingen gelijkwaardig naast elkaar bestaan, ieder met hun eigen kwaliteiten, en met ruimte voor excellentie. We willen alleen onderscheid naar onderwijstype maken als dat een relevant en onderbouwd criterium is om te onderscheiden, waarbij er een oorzakelijke relatie is tussen het frauderisico en de specifieke opleiding. Denk aan de eerdergenoemde beroepen waarvoor opleidingseisen gelden of om opleidingen waar een specifieke vooropleiding voor nodig is.
Een belangrijke voorwaarde bij een nieuw risicogericht controleproces is dat het degelijk onderbouwd is. Dat was mede aanleiding om excuses aan te bieden. Daarnaast is het belangrijk om het controleproces zo in te richten dat het systeem geen indirecte discriminatie op grond van wettelijk beschermde persoonskenmerken, zoals afkomst en nationaliteit, teweegbrengt. Bovendien moet een risicogericht controleproces periodiek gevalideerd worden om te waarborgen dat de onderliggende aannames nog steeds kloppen. In de voormalige controlewerkwijze was het gebruik van het criterium onderwijstype niet gerechtvaardigd. DUO zal dan ook het criterium opleidingstype niet langer hanteren als risico-indicator, tenzij in de specifieke situaties zoals hierboven beschreven.

Vraag 1

Herinnert u zich uw antwoorden op eerdere schriftelijke vragen van de leden van GroenLinks-PvdA over Russische desinformatiecampagnes?1

Vraag 2

Bent u van mening dat de in uw antwoord vermelde maatregelen en acties afdoende zijn om Nederland te beschermen tegen Russische desinformatie, of ziet u noodzaak aanvullende maatregelen te treffen? Zo ja, welke? Zo nee, waarom niet?

Vraag 3

Bent u bekend met het artikel «Tsjechisch desinformatie-netwerk met Russische inmenging werd opgericht in Nederland» van De Groene Amsterdammer van 28 maart jongstleden?2

Vraag 4

Heeft u de Tsjechische regering verzocht om de informatie over Russische financiering van Nederlandse politici met u te delen? Zo ja, bent u bereid die informatie openbaar te maken? Zo nee, gaat u dat alsnog doen?

Vraag 5

Herinnert u zich de uitspraak van de Minister van Binnenlandse Zaken en Koninkrijksrelaties dat er geen tekenen waren van buitenlandse inmenging bij de verkiezingen? Staat u nog steeds achter deze uitspraak?

Vraag 6

Hoe verhoudt deze uitspraak zich tot de onthulling van de Tsjechische geheime dienst dat de Voice of Europe een Russische desinformatie-outlet blijkt te zijn dat fungeerde als doorgeefluik voor financiële transacties tussen het Kremlin en Nederlandse politici?

Vraag 7

Deelt u de zorgen dat Rusland via dit soort outlets het Nederlandse publieke debat verstoort en daarmee onze verkiezingen beïnvloedt?

Vraag 8

Bent u bereid om een onderzoek in te stellen of er meerdere soortgelijke outlets in Nederland en andere lidstaten van de Europese Unie bestaan?

Vraag 9

Wanneer ontvangt de Kamer van het kabinet de voortgangsbrief over de Rijksbrede strategie voor de effectieve aanpak van desinformatie?

Vraag 10

Is het kabinet naar aanleiding van de onthulling over Voice of Europe en met het oog op de aanstaande Europese verkiezingen bereid aanvullende investeringen doen in de capaciteit van de Rijksoverheid om de dreiging van desinformatie tegen te gaan?

Vraag 11

Bent u bereid om deze schriftelijke vragen te beantwoorden voorafgaand aan het plenaire debat over het bericht dat volgens de Tsjechische geheime dienst Rusland cash betaalde aan Nederlandse en Europese politici van dinsdag 2 april aanstaande?

Vraag 1

Bent u bekend met en wat is uw reactie op het onderzoek van Radar waarin staat dat ongefundeerde en onjuiste medische informatie steeds vaker wordt verspreidt op sociale media, met name op apps zoals TikTok, Instagram, LinkedIn en X en dat dit ernstige schadelijke gevolgen kan hebben voor de gezondheid en veiligheid van Nederlanders?1

Des- en misinformatie is een groeiend probleem in de samenleving. Het is belangrijk om in het kader van deze vragen en antwoorden onderscheid te maken tussen desinformatie en misinformatie. Het doelbewust verspreiden van misleidende informatie, vaak met kwade bedoelingen wordt desinformatie genoemd. Desinformatie wordt verspreid om meningen te beïnvloeden. Misinformatie is valse of misleidende informatie die niet goed begrepen wordt en wordt verspreid zonder schadelijke bedoelingen.2 Een belangrijk goed is de bescherming van de vrijheid van meningsuiting; dat elke mening mag bestaan tot op een bepaalde hoogte. Ondanks dat de vrijheid van meningsuiting een groot goed is, kunnen de effecten van het verspreiden van onjuiste informatie, of dat bewust of onbewust gebeurt, nog steeds schadelijk zijn.
Des- en misinformatie zijn een complex probleem waar niet een kant-en-klare oplossing voor is. Online platformen hebben hierin verantwoordelijkheid. Onder de Digital Services Act (DSA) hebben Very Large Online Platforms (VLOPs) de verplichting systeemrisico’s te mitigeren. Het verspreiden van medische misinformatie kan zo een systeemrisico zijn. Het is aan Europese Commissie om toezicht te houden op naleving van de DSA. Wat zij ook actief doen. Dat blijkt uit de formele procedure die zij zijn gestart tegen Facebook en Instagram3, TikTok4 en X5.
Nederland zal de problematiek van desinformatie in gremia als de Health Security Committee aankaarten. In het beschermen van de integriteit van online informatie is een belangrijke rol weggelegd voor zowel de overheid als de internetsector. Daarom zal Nederland een dialoog met de sector stimuleren. En ervoor pleiten dat namens de EU gesprekken worden gevoerd met Big Tech bedrijven over handelingsperspectieven met betrekking tot mis- en desinformatie op sociale media die een negatieve impact kan hebben op de volksgezondheid.
Sinds een aantal jaar neemt het kabinet maatregelen om de impact van mis- en desinformatie te verminderen, o.a. met de Rijksbrede strategie voor een effectieve aanpak van desinformatie. Ook op het gebied van vaccineren is desinformatie aanwezig en dit vormt een mogelijke bedreiging voor de volksgezondheid. Daarom gaat er met de Inspectie Gezondheidszorg en Jeugd, de Reclame Code Commissie en de KNMG6 verkend worden hoe toegankelijkheid tot juiste informatie kan worden vergroot en mis- en desinformatie kan worden verminderd. De Staatssecretaris van VWS is voornemens uw Kamer hierover in de zomer te informeren middels de brief over de voortgang op de aanpak Vol vertrouwen in vaccinaties.

Vraag 2

Kunt u een reactie geven op de huidige trend betreft groeiend aantal «influencers» die medische misinformatie verspreiden op sociale media?

Het bestempelen van mis- en desinformatie is geen taak van de overheid. Vrijheid van meningsuiting moet voorop staan. En het controleren van de juistheid van informatie ligt bij professionals, factcheckers en onafhankelijke media. We herkennen dat bij online informatie en informatie gepresenteerd op sociale media het vaak niet transparant is wat de bron is van deze informatie, wat de betrouwbaarheid onduidelijk maakt. Daar willen we dan ook gepast op reageren door middel van het stimuleren van het online delen van betrouwbare medische informatie door zorgprofessionals.
We weten uit onderzoek dat het beschikbaar stellen van de juiste informatie vele malen beter werkt in het tegengaan van mis- en desinformatie dan het ontkrachten van desinformatie (prebunken in plaats van debunken)7 8. Daarnaast weten we dat voor een grote groep mensen de zorgverlener een belangrijke en betrouwbare bron van informatie is. Vanuit de COVID-pandemie hebben we geleerd dat het vertrouwen in zorgprofessionals hoog is en dat mensen zich het meest gehoord voelen door zorgprofessionals. We zijn dan ook zeer verheugd over initiatieven zoals «Dokters Vandaag», waarbij zorgprofessionals via sociale media de juiste medische informatie verspreiden.
We hebben goede gesprekken gevoerd met deze initiatieven. Hierbij is geconstateerd dat het belangrijk is dat we op korte termijn deze hoogwaardige en betrouwbare informatie vanuit artsen gaan opschalen. We zien dat de informatiebehoefte groot is en dat een zeer groot aantal zorgorganisaties en -professionals wil aansluiten om betrouwbare informatie te delen. Ook wordt onderzocht hoe het opschalen van initiatieven waarbij onafhankelijke artsen op sociale media antwoord geven op medische vragen gefaciliteerd kan worden.

Vraag 3

Bent u het ermee eens dat verspreiding van medische misinformatie bijdraagt aan wantrouwen jegens onder andere vaccinaties, anticonceptiemiddelen en geboortezorg?

Ja, wij vinden de verspreiding van medische misinformatie en gebrek aan transparantie en duidelijkheid over de betrouwbaarheid van deze informatie een probleem. Maar of dit ook daadwerkelijk bijdraagt aan wantrouwen jegens onder andere vaccinaties, anticonceptiemiddelen en geboortezorg is niet bekend.
We zien dat mensen in toenemende mate hun informatie ten aanzien van vaccinaties, anticonceptiemethoden en geboortezorg vergaren via sociale media9. Omdat de informatie die hier door individuen wordt verspreid niet altijd klopt en het lastig is om juiste van onjuiste informatie te onderscheiden kan dit mogelijk bijdragen aan een wantrouwen jegens bovengenoemde onderwerpen. Deze signalen ontvangen we ook van zorgverleners. Uiteraard staat het iedereen vrij om zelf te beslissen of je kiest voor een bepaalde vaccinatie of anticonceptiemethode, maar het is daarbij belangrijk dat deze afweging op basis van juiste of betrouwbare informatie kan worden gemaakt. Tevens is het delen van informatie over hormoonvrije anticonceptiemethodes (zoals de kalendermethode), vaccinaties en geboortezorg in principe niet illegaal en dus beschermd onder de vrijheid van meningsuiting.

Vraag 4

Kunt u toelichten wat de huidige maatregelen zijn om deze misinformatie tegen te gaan?

De strategie van het kabinet tegen des-en misinformatie10 kent diverse actielijnen, waaronder preventie en het verstevigen van de informatiepositie. Preventieve acties hebben als doel te voorkomen dat desinformatie impact heeft en zich verspreidt. Een voorbeeld hiervan is www.isdatechtzo.nl. Deze website publiceert artikelen met het doel mensen te informeren over hoe desinformatie werkt. Zij besteden daarbij extra aandacht aan speciale thema’s zoals verkiezingen en medische berichten.11 Maar ook de samenwerking met het Rathenau in de vorm van een meerjarig dialogen programma heeft als doel om bewustzijn over online informatie en online gedrag te vergroten.
Daarnaast wordt er op verschillende manieren geïnvesteerd in betrouwbare informatie over gezondheid, onder andere via websites zoals die van de rijksoverheid en het RIVM bieden we deze informatie. Ook wordt juiste informatie beschikbaar gesteld door het initiatief «Dokters Vandaag». Het is belangrijk dat op korte termijn betrouwbare informatie over diverse medische onderwerpen vanuit artsen voor een groter publiek toegankelijk wordt. Er wordt onderzocht hoe het opschalen gefaciliteerd kan worden.
Wat betreft de verspreiding van onjuiste informatie over specifiek vaccinaties, anticonceptie en geboortezorg wordt er ook in specifieke beleidsinzet aandacht besteedt aan des-en misinformatie. In de Kamerbrief van 3 april 202412 is uitgebreid ingegaan op des- en misinformatie in relatie tot vaccinaties. Hierbij is aangekondigd dat er verkend gaat worden welke handelingsperspectieven de Reclame Code Commissie, de Inspectie Gezondheidszorg en Jeugd en KNMG hebben om de toegankelijkheid van de juiste informatie te vergroten en mis- en desinformatie te verminderen. Ook wordt gekeken naar de mogelijkheid of vrijwillige afspraken met techplatforms zinvol kunnen zijn. Ook zal Nederland het probleem van des- en misinformatie in relatie tot vaccinaties aankaarten in gremia als de Health Security Committee.
Wat betreft misinformatie rondom anticonceptie zetten we via het Stimuleringsprogramma Relaties en Seksualiteit in op collectieve preventie van onbedoelde zwangerschappen middels brede relationele en seksuele vorming op school. Hierbij komen alle thema’s op het gebied van relaties en seksualiteit aan bod. Anticonceptie is hier vanzelfsprekend onderdeel van. Sinds 1 juli 2023 is anticonceptiecounseling geïntensiveerd in de abortusklinieken. Samen met de abortusarts en/of verpleegkundige en de vrouw wordt er bekeken welke anticonceptiemethode het beste past bij de situatie en wensen van de vrouw of het stel. Tevens ondersteunen we organisaties zoals Sense, Soa Aids Nederland en Rutgers in het geven van algemene betrouwbare informatie over anticonceptie. Zo zijn er verschillende websites met informatie over anticonceptie: sense.info; seksualiteit.nl; anticonceptievoorjou.nl. En jongeren kunnen terecht bij de GGD voor een Sense consult.
In de geboortezorg is het uitgangspunt dat de cliënt centraal staat en dat de (aanstaande) moeder gelijkwaardig partner is in de zorgverlening. Het gaat dan nadrukkelijk over samen beslissen, dus tijdig het gesprek tussen zorgverlener en zwangere over de wensen tijdens de zwangerschap en de bevalling. Beroeps- en patiëntorganisaties werken daar al jaren aan en het College Perinatale Zorg faciliteert dit voor de sector. Zo zijn er diverse hulpmiddelen ontwikkeld om zorgverleners hierin te ondersteunen en/of zwangeren te informeren.

Vraag 5

Vindt u dat tech-bedrijven en sociale mediabedrijven voldoende maatregelen nemen om deze misinformatie te bestrijden, in lijn met de Europese Digital Services Act (DSA)?2

De Digital Services Act («DSA») heeft onder meer ten doel om de bestrijding van illegale inhoud te verbeteren, en een kader te bieden voor de omgang met zeer schadelijke des- of misinformatie door de allergrootste online platformen en zoekmachines. Dit onderscheid is belangrijk omdat des- en misinformatie veelal niet illegaal is en daarom een terughoudende en andersoortige aanpak vraagt dan illegale inhoud. Dit ter bescherming van de vrijheid van meningsuiting.
De DSA verplicht zogenaamde zeer grote online platforms en zoekmachines om tenminste jaarlijks een risico-analyse te verrichten om te onderzoeken of hun diensten vatbaar zijn voor zogenaamde systeemrisico’s. De verspreiding van medische misinformatie kan zo’n systeemrisico vormen als de verspreiding daarvan via een online platform leidt tot «werkelijke of voorzienbare negatieve effecten met betrekking tot (...) de volksgezondheid (...)» (artikel 34, eerste lid, onder d, DSA). Eenzelfde risico-analyse moeten ze ook laten verrichten door externe onafhankelijke auditors (artikel 37 DSA), en erkende onderzoekers toegang tot data geven ten behoeve van onafhankelijk onderzoek (artikel 40).
Als zeer grote online platforms en zoekmachines of de auditors vaststellen dat er systeemrisico’s zijn dan moet het platform of de zoekmachine maatregelen treffen (artikel 35 DSA). Het is vervolgens aan de Europese Commissie als bevoegde toezichthouder om daar toezicht op te houden. Die kan daarbij een beroep doen op de nationale onafhankelijke DSA-toezichthouder in het land waar een zeer groot online platform is gevestigd. Zo zijn AliExpress, Booking.com en Snap bijvoorbeeld in Nederland gevestigd waardoor wij daar mede verantwoordelijk voor zijn. Terwijl bijvoorbeeld Meta, TikTok en X in Ierland zijn gevestigd en onder die jurisdictie vallen.
De DSA is sinds 25 augustus 2023 van toepassing op zeer grote online platforms en zoekmachines. Zij hebben inmiddels een eerste systeemrisico-analyse verricht. Zodra de externe audits ook zijn verricht worden die systeemrisico-analyses (deels) openbaar. Het is nu nog te vroeg om te kunnen beoordelen of zeer grote online platforms en zoekmachines voldoende maatregelen nemen om dat risico te mitigeren. Dat oordeel is in de eerste plaats aan de onafhankelijk toezichthouders op de DSA, en niet aan ons. De toezichthouders kunnen ook handhavingsmaatregelen nemen als ze van mening zijn dat de DSA niet wordt nageleefd. Zo kan de Europese Commissie bijvoorbeeld een maximale boete opleggen tot 6% van de globale omzet van een zeer groot online platform.

Vraag 6

In hoeverre bent u van plan om actie te ondernemen richting deze bedrijven, bijvoorbeeld door de toezichthouder, een onderzoek in te laten stellen?

De Europese Commissie is toezichthouder voor zeer grote online platforms en zoekmachines. Voldoen online platformen niet aan de DSA, dan kunnen zij een boete krijgen die kan oplopen tot 6% van hun wereldwijde jaaromzet. Uit onderzoek blijkt dat verschillende platformen hun verantwoordelijkheid in naleving van de DSA onvoldoende nemen. De Europese Commissie is daarom inmiddels een formele procedure gestart tegen Facebook en Instagram14, TikTok15 en X16.

Vraag 7

Bent u het er mee eens dat maatregelen betreft het tegen gaan van deze misinformatie niet alleen overgelaten kan worden aan de organisaties van deze sociale mediabedrijven en de overheid hierin verantwoordelijk is voor ingrijpen? Kunt u aangeven op welke wijze u voornemens bent om dit te doen?

Het uitgangspunt is dat de overheid niet bepaalt welke informatie geclassificeerd kan worden als desinformatie. Onafhankelijke media, factcheckers en wetenschappers hebben hierin een belangrijke taak. Het kabinet erkent dat het voor jongeren onduidelijk kan zijn of influencers een medische achtergrond hebben en dat zij daardoor moeite kunnen hebben om onderscheid te maken tussen medische informatie en des- of misinformatie op sociale media. De overheid zet zich dan ook actief in om de digitale weerbaarheid bij burgers en jongeren te vergroten en hen te helpen kritischer te zijn ten opzichte van de informatie die ze online tegenkomen. Voorbeelden zijn www.isdatechtzo.nl of de campagne «Goed in gesprek over verkeerde informatie» van Netwerk Mediawijsheid.
De overheid definieert desinformatie als het doelbewust, veelal heimelijk, verspreiden van misleidende informatie, met het doel om schade toe te brengen aan het publieke debat, democratische processen, de open en kenniseconomie of volksgezondheid. Daarmee kan het de nationale veiligheid raken. Het is een vorm van schadelijk, maar vaak legaal, gedrag. Wanneer de nationale veiligheid, de volksgezondheid of het verkiezingsproces in het geding is, kan de overheid reageren op des- of misinformatie. Het ministerie dat verantwoordelijk is voor het onderwerp waar deze misleidende informatie over wordt verspreid, is ook verantwoordelijk voor een passende reactie.
In de voortgangsbrief Rijksbrede strategie desinformatie die voor de zomer naar de kamer wordt verzonden, staan verschillende initiatieven met betrekking tot mis- en desinformatie die invloed kan hebben op de volksgezondheid.

Vraag 8

Wat vindt u van de oplossing om de uitingen en content van influencers betreft medische informatie net als bij financiële informatieverspreiding op sociale media te laten binden aan regels?3

Het is een oplossing die wordt meegenomen in een onderzoek naar mogelijke handlingsperspectieven in relatie dot misinformatie en volksgezondheid. Dit wordt aangekondigd in de voortgang van de aanpak desinformatie die in het voorjaar wordt gepresenteerd. Hierin worden nieuwe acties voorgesteld om de negatieve impact van desinformatie tegen te gaan. Daarnaast wordt er specifiek actie ondernomen om het vertrouwen in het Rijsvaccinatieprogramma te vergroten. Zoals het inzetten van sleutelfiguren in de gemeente, samenwerking tussen het RIVM en de Twijfeltelefoon en het versterken van relevante en betrouwbare online informatie. Onder andere door middel van uitbreiding van de digitale Groeigids.18

Vraag 9

Wat vindt u van de oplossing om mensen die (via sociale media) informatie willen verspreiden over zorg en gezondheid verplicht over een BIG-registratie moeten beschikken?

Hoewel wij het verspreiden van desinformatie op social media zeer onwenselijk vinden, is de vrijheid van meningsuiting een groot goed en achten wij regulering hiervan niet wenselijk. De Wet BIG is hiervoor niet bedoeld. Een BIG-registratie geldt voor een aantal in de Wet BIG genoemde beroepen en geeft de betreffende zorgverleners het recht op het voeren van een wettelijk beschermde beroepstitel en de bevoegdheid om werkzaam te zijn (voorbehouden handelingen) op bepaalde gebieden van de individuele gezondheidszorg. Zorg die rechtstreeks betrekking heeft op een persoon en niet op het verspreiden van informatie over de zorg. Met de Wet BIG wordt beoogd om alleen beroepen te reguleren als dit vanwege de risico’s voor de kwaliteit en veiligheid van patiënten noodzakelijk is. Uitgangspunt is dat die risico’s de noodzaak bepalen voor de mate van regulering. Dit geeft invulling aan het proportionaliteitsbeginsel, wat inhoudt dat er bij minder risico ook minder noodzaak is om te reguleren. Onnodige restricties kunnen immers het aantal potentiële beoefenaars en de mobiliteit beperken en dit kan weer leiden tot arbeidsmarkttekorten en prijsopdrijvende effecten. In het kader van de huidige krapte op de arbeidsmarkt is het daarom wenselijk om zo min mogelijk te reguleren. Gezien het voorgaande is het dan ook niet wenselijk om een BIG-registratie als voorwaarde te stellen voor het verstrekken van informatie over zorg en gezondheid.

Vraag 10

Kunt u aangeven welke rol toezichthouders zoals de Inspectie Gezondheidszorg en Jeugd (IGJ) en de Nederlandse voedsel-en warenautoriteit kunnen spelen in het voorkomen van het verspreiden van (medische) misinformatie?

De IGJ handelt als volgt in geval van signalen over onjuiste informatievoorziening:
De IGJ ziet daarnaast onder meer toe op de reclameregels in de Geneesmiddelenwet. Die reclameregels gelden voor iedereen, dus niet alleen voor zorgverleners, maar ook voor influencers. De gegeven (medische) onjuiste informatie mag sowieso niet in strijd zijn met deze reclameregels.
De NVWA gebruikt de bevoegdheden van de Geneesmiddelenwet alleen in specifieke gevallen. De NVWA houdt toezicht in geval van medische claims op producten die deze medische werking in de meeste gevallen niet hebben. Een medische claim is een aanprijzing van een product die iets zegt over het genezen of voorkomen van een ziekte, gebrek, wond of pijn bij de mens. De NVWA acteert alleen op medische misinformatie die gelinkt is aan producten. De NVWA werkt samen met de IGJ aan een strategie om influencers zich te laten realiseren dat ze zichzelf aan regels moeten houden bij het reclame maken voor producten.

Vraag 11

Bent u het er mee eens dat de huidige mediawet ook kan bijdragen aan het tegen gaan van (medische) desinformatie door regels hierin aan te scherpen?4

De Mediawet bevat geen aanknopingspunt om inhoudelijke eisen te stellen aan content, daar dit op gespannen voet kan staan met de vrijheid van meningsuiting. De Mediawet biedt een kader voor de bescherming van minderjarigen tegen mogelijk schadelijke content en voor transparantie over reclame. Influencers die als mediadienst kunnen worden aangemerkt, moeten zich aan de Mediawet houden. Het Commissariaat voor de Media houdt hier toezicht op.

Vraag 12

Wat vindt u van de oplossing om hierin ook artsen te ondersteunen die zich inzetten tegen desinformatie op sociale media?5

Wij waarderen het enorm als artsen niet alleen in de spreekkamer in gesprek gaan over desinformatie, maar ook op sociale media desinformatie weerleggen. We zullen dan ook in onze communicatie en via onze sociale media kanalen ondersteunende aandacht geven aan initiatieven van artsen die desinformatie tegengaan.

Vraag 1

Bent u bekend met het bericht «Incassobedrijf gebruikt AI om kwetsbare schuldenaar te spotten: «Kan bizarre situaties opleveren»»?1

Ja.

Vraag 2

Zijn er bij u meer voorbeelden bekend van incassobureau’s en andere organisaties die toezien op (problematische) schulden die gebruik maken of willen maken van kunstmatige intelligentie? Om hoe veel bedrijven gaat dit?

Het kabinet acht het aannemelijk dat steeds meer incassodienstverleners gebruik zullen maken van kunstmatige intelligentie (hierna: AI) tijdens het minnelijke of buitengerechtelijke incassotraject. Bijvoorbeeld de PAIR Finance Group doet dit al.2 Het kabinet tekent hier in het algemeen bij aan dat de toepassing van AI zorgvuldig en binnen de kaders van (privacy)wetgeving moet gebeuren. Voorts blijkt uit de praktijk ook steeds meer dat de consument te woord wordt gestaan door een chatbot die de eerste vragen afvangt. Deze ontwikkeling beperkt zich dan ook niet tot incassodienstverleners.
Gebruik van chatbots en in het algemeen «het opnemen van contact» waar het buitengerechtelijke incassoactiviteiten betreft, sluiten aan bij het kwaliteitskader dat sinds 1 april 2024 geldt voor buitengerechtelijke incassodienstverlening op grond van de Wet kwaliteit incassodienstverlening (hierna ook: WKI). De kwaliteit van de incassodienstverlening staat centraal, ongeacht de techniek die daarbij wordt ingezet. Het aantal incassodienstverleners dat daadwerkelijk gebruikmaakt van AI wordt niet bijgehouden en is niet bekend.

Vraag 3

Is het u bekend welke techniek precies zal worden toegepast door Intrum voor het scannen van correspondentie van mensen met schulden? Op welke data is dit systeem getraind en wat gebeurt er met de input van mensen met schulden? Voldoet het bedrijf hiermee aan dataminimalisatie?

Uit het artikel worden de precieze methoden of werkwijzen van Intrum mij niet duidelijk. Datzelfde geldt voor het gebruik van data door Intrum en wat er gebeurt met de input van mensen met schulden. Vanuit het Ministerie van Binnenlandse Zaken & Koninkrijksrelaties (BZK) is er contact met incassobureau Intrum. Medewerkers van het Ministerie van BZK en van het Ministerie van Justitie en Veiligheid (JenV) plannen een gesprek in met incassobureau Intrum om rond het zomerreces over de breedte van dit thema te spreken met elkaar. In het contact met uw Kamer worden de relevante opbrengsten van het gesprek betrokken.
In hoeverre Intrum voldoet aan de vereisten, waaronder die met betrekking tot dataminimalisatie,3 die op grond van de Algemene Verordening Gegevensbescherming (AVG) gelden is ter beoordeling van diens Functionaris Gegevensbescherming en aan de toezichthouder, te weten de Autoriteit Persoonsgegevens (AP). Dat is mij op dit moment niet bekend.

Vraag 4

Ziet u risico’s bij het inzetten van zelflerende kunstmatige intelligentie door incassobureau’s, zoals het aanleren van discriminerende vooroordelen, gebrek aan transparante besluitvorming en inbreuk op privacy bij het scannen van mogelijk gevoelige correspondentie?

Ja, het kabinet ziet dat de inzet van AI door incassobureaus gepaard kan gaan met bepaalde risico’s. Hier wijst de organisatie Bits of Freedom in het aangehaalde bericht ook op. Gelet op voornoemde vindt het kabinet het belangrijk om erop te wijzen dat bij de toepassing van AI al de nodige waarborgen en regels gelden. De risicogebaseerde aanpak van de Europese AI-verordening, met als vuistregel hoe hoger de (potentiële) impact van een AI-systeem op de burger hoe strenger de eisen, sluit hierbij aan. Als daarnaast bij het trainen of gebruiken van algoritmes persoonsgegevens worden verwerkt, bijvoorbeeld afkomstig uit gevoelige correspondentie, dan is de AVG van toepassing. Het is aan de toezichthouder om op de naleving toe te zien en hierop te handhaven.

Vraag 5

Deelt u de mening dat organisaties in de schuldenindustrie uiterst terughoudend moeten zijn met het inzetten van kunstmatige intelligentie en algoritmes? Kunt u onderbouwen waarom?

Te allen tijde moet voorkomen worden dat mensen met schulden verder in de problemen komen door toepassing van AI. Zoals het kabinet hiervoor al aangeeft dient de professionaliteit en de kwaliteit van incassodienstverlening voorop te staan. Dit om in het verleden geconstateerde misstanden bij de inning van geldvorderingen tegen te gaan. Daarbij dienen de belangen van zowel de schuldeisers bij inning van de vordering als de bescherming van de schuldenaren tegen het ontstaan van problematische schulden in balans te zijn. De genoemde balans gaat ook op bij het doel van de inzet van AI. De verantwoordelijkheid voor het naleven van de geldende wet- en regelgeving, bijvoorbeeld op grond van de AVG en WKI, ligt bij de incassodienstverleners en andere ondernemingen die incassowerkzaamheden verrichten. In gesprekken met de branche besteedt het kabinet hier aandacht aan.

Vraag 6

Kunt u garanderen dat het gebruik van kunstmatige intelligentie voor consumenten altijd optioneel is en dat consumenten nooit onder druk gezet mogen worden om de persoonlijke correspondentie door een dergelijk systeem te laten controleren?

Nee, dat kan het kabinet niet garanderen. Dat laat onverlet dat er eisen gelden voor de wijze van benaderen van de schuldenaar op grond van de WKI.4 Ook in het geval door een incassodienstverlener AI wordt ingezet, zal deze partij zich moeten verhouden tot de WKI. Mensen met schulden mogen bijvoorbeeld niet oneigenlijk onder druk worden gezet. Daarbij geldt dat ten aanzien van persoonlijke correspondentie incassodienstverleners gehouden zijn aan de AVG die bescherming biedt bij de verwerking van (bijzondere) persoonsgegevens van alle betrokkenen. Aan de inzet van AI zullen op termijn expliciete eisen worden gesteld ten aanzien van de techniek die wordt gebruikt.

Vraag 7

Intrum geeft aan dat deze AI-toepassing «een bewezen succes is in het Verenigd Koninkrijk,» kunt u toelichten op welke manier het Verenigd Koninkrijk AI-toepassingen in de schuldenindustrie momenteel gebruikt? Welke invloed heeft dit gehad op personen met schulden, hoe is hun privacy geborgd en hoe is het toezicht daarop geregeld?

Het onderzoek naar de praktijk uit het Verenigd Koninkrijk is mij onbekend. Daarom is er contact met Intrum voor een toelichting en om hierover van gedachten te wisselen. Dat gesprek zal tussen in ieder geval medewerkers van BZK, van JenV (JenV is verantwoordelijk voor de WKI) en Intrum plaatsvinden. Zie ook mijn antwoord op vraag 3.

Vraag 8

Welke kaders gelden er momenteel voor het gebruik van kunstmatige intelligentie door incassobureau’s en schuldeisers? Zijn er bestaande kaders voor het gebruik van algoritmes, die ook van toepassing zijn op kunstmatige intelligentie?

Om te beginnen moet het gebruik van AI als daarin persoonsgegevens worden verwerkt voldoen aan de AVG, bovendien treedt vanaf de zomer de AI-verordening gefaseerd in werking. De AI-verordening bevat regels voor het gebruik van AI in de EU en regelt ook het toezicht op die regelgeving.

Vraag 9

Past de voorgestelde AI-toepassing van Intrum binnen de kabinetsvisie Generatieve AI en de Werkagenda Waardengedreven Digitaliseren? Zo ja, kunt u toelichten op welke punten deze AI-toepassing in de schuldenindustrie bijdraagt aan maatschappelijk waardevolle digitalisering? Zo niet, kunt u uiteenzetten op welke vlakken deze AI-toepassing in strijd is met het kabinetsstandpunt? Welke consequenties verbindt u daar aan?

In algemene zin kunnen AI-toepassingen die mensen helpen om hun positie te versterken – zeker mensen in meer kwetsbare posities – op bijval van het kabinet rekenen. Uiteraard dienen deze AI-toepassingen met waarborgen omkleed te worden. Dat wil zeggen dat aan bestaande wet- en regelgeving (zie ook het antwoord op vraag 8) en aan nieuwe eisen die voortvloeien uit de AI-verordening (zie het antwoord op vraag 11) moet worden voldaan, maar ook dat bredere morele overwegingen over de inzet van dergelijke toepassingen aan de orde moeten zijn.

Vraag 10

Welke instrumenten zal de Europese AI-verordening bieden om zo nodig in te grijpen of op de rem te trappen als kunstmatige intelligentie op een onwenselijke manier te werk gaat in de publieke- en private sector?

Op 21 mei jl. heeft de Telecomraad van de EU de AI-verordening aangenomen waarna de implementatie van de AI-verordening in gang wordt gezet en fasegewijs in werking zal treden. De AI-verordening stelt eisen aan de ontwikkeling van risicovolle AI-systemen, nog voordat ze op de markt worden gebracht of in gebruik worden genomen met als doel om ervoor te zorgen dat ze veilig zijn en mensenrechten respecteren. De verordening stelt een risicogebaseerde benadering voor en stelt verplichtingen aan aanbieders en gebruikers afhankelijk van het risiconiveau dat een AI-systeem met zich meebrengt. De AI-verordening zal van toepassing zijn op alle sectoren, waaronder ook de schuldenindustrie. De verordening heeft een algemeen karakter en is niet beperkt tot een specifieke branche. Alleen bij inzet voor opsporings- en veiligheidsdiensten gelden aangepaste regels.

Vraag 11

Bent u bereid om nu al te werken aan duidelijke kaders voor het gebruik van kunstmatige intelligentie, vooruitlopend op de AI-verordening, bij organisaties die verstrekkende financiële besluiten maken over mensen en gevoelige persoonsgegevens verwerken?

Verschillende bepalingen uit de AI-verordening worden na inwerkingtreding gefaseerd van kracht, te beginnen met de bepalingen over verboden praktijken na een half jaar. Het streven is dat in juni 2025 verplichtingen gaan gelden voor aanbieders van generieke AI-toepassingen (die ten grondslag liggen aan concrete AI-toepassingen). Daarbij is de verwachting ook dat dan het nationale toezicht op AI is geregeld. Weer een jaar later, in juni 2026, treden de vereisten voor hoog risico in werking. Vanwege de fasegewijze invoer neemt het kabinet daarom verschillende stappen om de implementatie van deze verordening optimaal te laten verlopen. Het kabinet is in gesprek met bedrijven en (mede)overheden om de impact van de AI-verordening in kaart te brengen. Het kabinet zal een uitvoeringswet maken en waar nodig bestaande wetgeving daarop aanpassen. Het toezicht op de AI-verordening wordt verder ingericht in samenwerking met toezichthouders.

Vraag 12

Kunt u aan de hand van de verboden categorieën, zoals beschreven in artikel 5, lid 1c, van de AI-verordening2 beoordelen of de AI-screening door een incassobureau van mensen met (mogelijk) problematische schulden gerechtvaardigd is? Kunt u afzonderlijk ingaan op hoofdartikel 5, lid 1c en sub-onderdelen i en ii?

De AI-verordening kent een aantal verboden, waaronder een verbod op social scoring waar u naar refereert met artikel 5. Dan gaat het om AI-toepassingen met de intentie om die in de handel te nemen, of om door, of namens, overheidsinstanties ingezet te worden op basis van data afgeleid uit sociaal gedrag, om mensen te classificeren en te beoordelen. Een toevoeging in lid 1c en subonderdelen i en ii, is dat de toepassingen leiden tot ongunstige of onrechtvaardige benadeling van groepen. Het kabinet geeft geen oordeel of een toepassing geoorloofd is of niet. Dat is aan de toezichthouders en in voorkomend geval uiteindelijk aan de rechter.

Vraag 13

Valt de schuldenindustrie onder het toepassingsbereik van het verbod op emotieherkenning op de werkplek en in het onderwijs, die de AI-verordening voorschrijft? Zo niet, bent u bereid om een dergelijke uitbreiding van het toepassingsbereik te onderzoeken en indien mogelijk in de nationale uitvoeringswet te verwerken?

De schuldenindustrie valt onder het toepassingsbereik van het verbod op emotieherkenning indien gebruik wordt gemaakt van AI-technieken voor social scoring en het gebruik daarvan nadelige en ongunstige gevolgen heeft voor personen zoals omschreven in artikel 5 lid 1c i en ii.

Vraag 14

Wordt er in de schuldenindustrie en soortgelijke sectoren waar veel gevoelige persoonsgegevens worden verwerkt actief meegekeken door de Autoriteit Persoonsgegevens op het gebruik van AI? Welke rol speelt de Inspectie Justitie en Veiligheid bij het toezicht op algoritme- en AI-toepassingen in de sector, nu de Wet kwaliteit incassodienstverlening per 1 april 2024 in werking treedt?

Hoewel de AI-verordening nog niet in werking is getreden is de AVG wel van toepassing en is een toezichthouder (AP) actief die op de juiste toepassing van deze wetgeving toeziet. Dit geldt ook waar het de verwerking van (bijzondere) persoonsgegevens betreft door incassodienstverleners. De AVG is bovendien van toepassing indien (bijzondere) persoonsgegevens worden verwerkt bij het gebruik van AI. De AP is coördinerend toezichthouder op algoritmes en AI die risico’s met zich meebrengen voor publieke waarden en grondrechten.6Bijna alle algoritmes verwerken persoonsgegevens en vallen daarmee onder het toezicht van de AP. Verder heeft de AP in haar «Focus AP 2020–2023» aangegeven dat «algoritmes & AI» één van haar focusgebieden is.7, 8 Het belangrijkste aandachtsgebied binnen dit focusgebied is het stelsel van toezicht op AI en algoritmes waarin persoonsgegevens worden gebruikt. De AP stelt dat het hierbij van belang is dat bedrijven en organisaties die geautomatiseerd besluiten nemen aan de eisen uit de AVG voldoen, zoals de informatieplicht, transparantie, uitlegbaarheid en menselijke tussenkomst.
Naast eisen uit de AVG gelden de regels uit de Wet kwaliteit incassodienstverlening. De WKI regelt de verplichte registratie in het Register incassodienstverlening9 door en stelt kwaliteitseisen aan buitengerechtelijke incassodienstverleners. Het toezicht en de handhaving op de naleving van de kwaliteitseisen van de WKI zijn primair belegd bij de Inspectie Justitie en Veiligheid (hierna: de Inspectie).10 De Inspectie kan via regulier toezicht langsgaan bij incassodienstverleners of informatie opvragen. De Inspectie kan geen individuele klachten van schuldenaren of schuldeisers in behandeling nemen. Op haar website kan via het «Klachtenformulier Wet kwaliteit incassodienstverleners» wel een melding worden gemaakt. De Inspectie gebruikt deze meldingen om keuzes te maken in haar toezicht en om te bepalen welke incassodienstverleners worden onderzocht.

Vraag 15

Op welke termijn verwacht u aan de Kamer wet- en regelgeving voor te leggen die kaders stelt en normen bepaalt voor de toepassingen van kunstmatige intelligentie in de publieke- en private sector?

De AI-verordening is op 21 mei jl. door de Europese Telecomraad aangenomen en treedt naar verwachting vanaf de zomer fasegewijs in werking. Zie antwoord op vraag 11 voor de inwerkingtreding van alle categorieën van AI.

Vraag 16

Kunt u deze vragen afzonderlijk beantwoorden?

Ja. Zie voorgaand.

Vraag 1

Kent u het bericht «Cyberaanval legt websites van meerdere provincies plat»?1

Ja

Vraag 2

Kunt u informatie verschaffen over wat de reden was van de onbereikbaarheid van de provinciewebsites? Betreft het bijvoorbeeld een technische storing of een cyberaanval? Zo nee, waarom niet?

Naar het zich laat aanzien zijn de betreffende provinciewebsites overbelast geraakt door zogenaamde Distributed Denial of Service (DDoS)-aanvallen. Organisaties kunnen een DDoS-aanval op een onlinedienst niet voorkomen, maar wel de effecten ervan beperken. Er zijn enkele technische maatregelen die organisaties kunnen treffen voor adequate detectie van en respons op een DDoS-aanval. Een DDoS- aanval is een poging van onbevoegden om een website onbereikbaar te maken voor gebruikers door ontzettend veel verzoeken naar deze website te versturen. Hierdoor raakt een website en het computersysteem erachter overbelast, en is het systeem onbereikbaar.
De getroffen provincies hebben de nodige maatregelen getroffen. De websites zijn op dezelfde dag weer in werking getreden.
Ik onderschrijf het belang dat de overheid open communiceert over het verloop van dergelijke incidenten om de burger het vertrouwen te geven in een goede en veilig functionerende overheid.

Vraag 3

Kunt u aangeven of de attributie aan Russische hackers die in sommige media wordt gedaan klopt? Zo ja, waarom wel? Over welke aanwijzingen beschikt u? Zo nee, waarom niet?

Een hactivistische pro-Russische groepering claimt de DDoS-aanvallen; of dit terecht is, is zeer moeilijk vast te stellen. Met name de oorlog in Oekraïne heeft gezorgd voor een opleving van dit soort hactivistische activiteiten, ook tegen Nederlandse doelen. Dit soort DDoS-aanvallen passen dan ook in het dreigingsbeeld, zoals het Cybersecuritybeeld Nederland (CSBN) 2023 laat zien.

Vraag 4

Wat zijn voor particulieren en bedrijven de gevolgen geweest van de onbereikbaarheid van de provinciewebsites?

Mij is niet bekend of de korte uitval tot schade bij burgers of bedrijven heeft geleid. Naar waarschijnlijkheid is de impact beperkt gebleven door de korte uitvalduur en/of door de scheiding tussen de dienstverlening en bedrijfsvoering van de provinciewebsites.

Vraag 5

Heeft de dienstverlening van de getroffen provincies door de onbereikbaarheid van de websites geleden? Zo ja, wat waren de gevolgen daarvan?

Hierbij verwijs ik naar de beantwoording in vraag 4.

Vraag 6

Is er een overheidsbrede richtlijn voor overheden over hoe om te gaan met de mogelijke negatieve gevolgen voor particulieren en bedrijven door de onbereikbaarheid van overheidswebsites als gevolg van een cyberaanval? Zo ja, wordt deze richtlijn door alle provincies gevolgd?

De beveiligingsrichtlijn van de overheid de Baseline Informatieveiligheid Overheid (BIO) geeft aan dat maatregelen getroffen moeten worden om DDoS-aanvallen te signaleren en hierop te reageren. Naleving over het volgen van deze richtlijn is een zelfstandige verantwoordelijkheid van provincies waarover zij verantwoording afleggen aan de provinciale staten.
Diverse organisaties zoals het Nationaal Cyber Security Centrum (NCSC), de AIVD en ook private organisaties geven technische achtergronden over hoe dit aan te pakken. Het NCSC heeft verschillende kennisproducten uitgebracht die organisaties kunnen helpen bij de mitigatie van DDoS-aanvallen.

Vraag 7

Indien deze richtlijn niet bestaat: kunt u een dergelijke richtlijn laten opstellen? Zo ja, wanneer denkt u een dergelijke richtlijn gereed te hebben? Zo nee, waarom niet?

Er bestaat een richtlijn. Hierbij verwijs ik naar de beantwoording in vraag 6.

Vraag 8

Kunt u aangeven hoe vaak overheidswebsites te maken krijgen met DDoS-aanvallen? Hoe vaak worden DDoS-aanvallen succesvol afgeslagen en hoe vaak slagen deze? Wat is de gemiddelde downtime als gevolg van DDoS-aanvallen op overheidswebsites? Zo nee, waarom niet?

Er is geen overzicht van DDoS-aanvallen binnen de overheid. Het NCSC ontvangt niet altijd meldingen over DDoS-aanvallen, daardoor beschikt het NCSC niet over een volledig beeld of statistieken. De impact van dergelijke aanvallen is vaak beperkt en symbolisch van aard. Toch kan een DDoS-aanval wel (tijdelijke) invloed hebben op de informatieverstrekking en/of dienstverlening van getroffen websites (zie hiervoor ook de beantwoording in vraag 2).

Vraag 9

Bent u bekend met de Anti-DDoS-coalitie?2

Ja.

Vraag 10

Maken de rijksoverheid en provincies gebruik van de kennis van deze coalitie om DDoS-aanvallen op hun websites af te slaan? Indien nee, welke niet en waarom niet?

Verschillende overheden nemen deel aan de coalitie, waaronder het NCSC en het Digital Trust Center (DTC). BZK en de gezamenlijke provincies hebben in het kader van de tweede Netwerk- en Informatiebeveiligingsrichtlijn (NIS2)3 het voornemen de provincies aan te sluiten op het NCSC voor de uitvoering van hun Cyber Security Incident Response Team (CSIRT) taken. Zo krijgen zij directe toegang tot actuele dreigingsinformatie vanuit het NCSC. De CSIRT-samenwerking tussen de provincies en het NCSC wordt hierdoor versterkt. Binnen het CSIRT-stelsel wordt reeds actief samengewerkt in geval van dreigingen of incidenten. Hiermee worden niet direct DDoS-aanvallen afgeslagen, maar kan wel tijdig en in samenwerking gereageerd worden op incidenten. Verder zijn de getroffen provincies inmiddels aangesloten op een zogenaamde DDoS-wasstraat. Een wasstraat vergroot de weerbaarheid tegen DDoS-aanvallen door de bundeling van capaciteit, technologie, kennis en kunde.

Vraag 11

Bent u van zins om de provincies te wijzen op het bestaan van de Anti-DDoS-coalitie om de impact van mogelijke toekomstige DDoS-aanvallen te verkleinen? Indien nee, waarom niet?

Hierbij verwijs ik naar de beantwoording in vraag 10.

Vraag 12

Kunt u deze vragen afzonderlijk beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht «Politie vindt steeds vaker met AI gemaakte kinderporno: groot probleem»?1

Ja ik ben bekend met dit bericht.

Vraag 2

Klopt het dat het aantal kinderpornografische afbeeldingen gemaakt door, of met behulp van, AI sterk toeneemt? Heeft u enig inzicht in om hoeveel afbeeldingen dit gaat in Nederland?

Ja, het aantal afbeeldingen van seksueel kindermisbruik gemaakt door of met behulp van kunstmatige intelligentie neemt toe. Hoewel er geen exacte cijfers beschikbaar zijn omdat het totaal aantal afbeeldingen niet wordt geregistreerd, geeft het Team ter bestrijding van Kinderpornografie en Kindersekstoerisme (TBKK) aan dat er wel een toename van AI-gegenereerd materiaal wordt waargenomen. Omdat een afbeelding van seksueel kindermisbruik altijd strafbaar is, maakt het voor politie niet uit hoe een afbeelding is gegenereerd.
Uit onderzoek van de Internet Watch Foundation (IWF) blijkt evenwel dat van de totale hoeveelheid materiaal van seksueel kindermisbruik, de hoeveelheid door kunstmatige intelligentie gegenereerd materiaal op dit moment nog een relatief klein deel betreft.2 Wel merkt de IWF op dat dit aandeel in potentie exponentieel kan groeien, mede gezien daders dergelijk materiaal met rechtmatig te verkrijgen software kunnen creëren en de ontwikkeling van generatieve kunstmatige intelligentie snel gaat. Ook het aantal meldingen van afbeeldingen gegenereerd met behulp van kunstmatige intelligentie bij het National Center for Missing & Exploited Children (NCMEC) is wereldwijd sterk gestegen.

Vraag 3

Klopt het dat het bezit en veelvuldig bekijken van dit soort materiaal op termijn fysiek misbruik van kinderen in de hand werkt?

Het is duidelijk dat blootstelling aan online materiaal van seksueel kindermisbruik risicovol is. Dergelijk materiaal bestendigt een cultuur van geweld en draagt bij aan de ontmenselijking, uitbuiting en seksualisering van kinderen. Daarnaast draagt de gemakkelijke toegang tot materiaal van seksueel kindermisbruik bij aan de normalisering van seksueel geweld tegen kinderen.
In die context is AI-gegenereerd materiaal volstrekt onacceptabel en moeten we er alles aan doen om dit verwerpelijke materiaal op te sporen en ontoegankelijk te maken. Politie en openbaar ministerie zetten dan ook in op de opsporing van de personen die dergelijk materiaal online delen en uitwisselen. Ook worden de online communicatiediensten die dit faciliteren gewezen op hun wettelijke verplichtingen.
Hoewel er nog geen onderzoek is dat een direct causaal verband aantoont tussen het kijken van (door kunstmatige intelligentie gegenereerd) materiaal van seksueel kindermisbruik en het op termijn daadwerkelijk fysiek seksueel misbruiken van kinderen, zijn er meerdere onderzoeken waarvan de conclusies suggereren dat er een verband kán bestaan. Zo is er wetenschappelijk onderzoek uitgevoerd waarin respondenten aangaven dat de herhaaldelijke blootstelling aan online materiaal van seksueel kindermisbruik ervoor had gezorgd dat ze een seksuele interesse in kinderen hadden ontwikkeld.3 Het is echter de vraag of deze seksuele interesse door het kijken van dergelijk materiaal wordt ontdekt of ontwikkeld. Meerdere onderzoeken suggereren wel dat gebruikers van legale pornografie de neiging hebben om in de loop van de tijd extremere content te gaan bekijken.4 Dit wordt toegeschreven aan een vermindering van het opwindingsniveau met betrekking tot dezelfde stimuli bij herhaaldelijke blootstelling aan deze stimuli. Ook heeft recent onderzoek gesuggereerd dat regulier of overmatig gebruik van pornografie voor volwassenen een mogelijke weg is naar het kijken van materiaal van seksueel misbruik van kinderen.5 Tot slot zijn er wetenschappelijke studies gedaan naar de verschillende stadia die een potentiële dader doorloopt tot deze daadwerkelijk overgaat tot fysiek misbruik. Fantaseren over potentieel seksueel kindermisbruik wordt hierin beschreven als een stap in de spiraal die uiteindelijk leidt tot seksueel kindermisbruik.6

Vraag 4

In hoeverre is het mogelijk het identificeren of herkennen van AI-gegenereerde afbeeldingen te vergemakkelijken, zodat de politie/het Team ter bestrijding van Kinderpornografie en Kindersekstoerisme (TBKK) hier minder tijd aan kwijt is? Bestaan er mogelijkheden om te traceren waar of door wie dit soort afbeeldingen gemaakt worden?

Op dit moment is het voor Team ter bestrijding van Kinderpornografie en Kindersekstoerisme (TBKK) vaak nog redelijk snel te herkennen wanneer het door kunstmatige intelligentie gegenereerd materiaal van seksueel kindermisbruik betreft. Door de nog niet zo vergevorderde techniek is het dan duidelijk dat manipulatie van beelden heeft plaatsgevonden. Ook stuit TBKK incidenteel op daders die gezichten van andere kinderen op het gezicht van een slachtoffer in een reeds bekende misbruikvideo plakken, waardoor manipulatie van de beelden duidelijk te herkennen is. Het ligt in de lijn der verwachting dat herkenning steeds lastiger wordt omdat de technologie van generatieve kunstmatige intelligentie snel aan het verbeteren is.
Op dit moment bestaat nog geen sluitende technologie om te traceren door wie of waar dit soort beeldmateriaal wordt gemaakt. Dit geldt evenzo voor het bepalen of het AI-gegenereerd materiaal betreft. Het bepalen van de authenticiteit van materiaal is van belang gezien de prioriteit om daadwerkelijke slachtoffers zo snel mogelijk te identificeren. Het is de vraag of dergelijke sluitende technologie in de toekomst wel zal bestaan. Generatieve kunstmatige intelligentie ontwikkelt in rap tempo waarbij enerzijds wordt gewerkt aan technologie om gegenereerd of gemanipuleerd materiaal te herkennen en anderzijds aan technologie om op steeds accuratere wijze te genereren en manipuleren. Dit doet uiteraard niets af aan het belang om dergelijke technologie dat dit soort materiaal kan herkennen te ontwikkelen.

Vraag 5

Ondersteunt u de oproep van landelijk coördinator van het TBKK Van Mierlo aan techbedrijven om hun verantwoordelijkheid te pakken? Zo ja, hoe jaagt u dit aan?

De oproep van de heer van Mierlo zag met name toe op de bedrijven met wiens generatieve kunstmatige intelligentie materiaal wordt gegenereerd. Uiteraard dragen de bedrijven via wiens diensten het wordt verspreid ook een verantwoordelijkheid. Hier zal ik in het kader van online platforms in het antwoord op vraag 6 op reflecteren.
De oproep sluit aan bij de internationale oproep aan bedrijven in januari 2024 van een aantal politiekorpsen, verenigd in de «Virtual Global Taskforce»7, om hen aan te sporen actief deel te nemen in de strijd tegen de gevolgen van kunstmatige intelligentie op dit specifieke terrein. De politieorganisaties zitten in dit kader ook met (tech-)bedrijven aan tafel. Ook het kabinet hecht er groot belang aan dat (generatieve) kunstmatige intelligentie veilig en rechtmatig wordt ontwikkeld en gebruikt. De zorgen rondom de risico’s die generatieve kunstmatige intelligentie biedt voor het sneller generen en verspreiden van illegale content, zoals materiaal van seksueel kindermisbruik, worden gedeeld. Het kabinet zit niet stil en neemt verschillende stappen om gerelateerde risico’s te adresseren. In het kader van de overheidsbrede visie op generatieve kunstmatige intelligentie wordt onder meer ingezet op het versterken van digitale vaardigheden en digitaal bewustzijn van mensen in Nederland zodat zij bewust, kritisch en actief kunnen omgaan met AI-toepassingen.8
Vanzelfsprekend dragen techbedrijven ook verantwoordelijkheid om zorg te dragen dat de systemen die zij ontwikkelen niet gebruikt worden om materiaal van seksueel kindermisbruik te genereren. In het kader van «safety by design» zouden zij hun dienst dusdanig moeten inrichten dat deze door gebruikers zo min mogelijk kan worden misbruikt.9 Gezien het zelflerend vermogen van AI-systemen en de mogelijk beperkte grip op het gebruik van deze systemen door de ontwerper is het moeilijk om illegaal gebruik van generatieve kunstmatige intelligentie geheel uit te sluiten.

Vraag 6

Deelt u de mening van de VVD-fractie dat online platforms ook een rol hebben om dit soort content te identificeren en uit de lucht te halen? Zo ja, hoe ziet u daarop toe?

Het door middel van kunstmatige intelligentie genereren van kinderpornografisch materiaal is strafbaar op basis van artikel 240b van het Wetboek van Strafrecht. Het huidige artikel 240b van het Wetboek van Strafrecht, dat wordt vervangen door het nieuwe artikel 252 dat per 1 juli a.s. in werking treedt (Wet seksuele misdrijven, Stb. 2024, 59), kent geen beperking in de wijze van vervaardiging van kinderpornografisch materiaal. Het gaat er om dat het vervaardigde materiaal aan de vereisten voldoet die in de strafbepaling worden gesteld. Strafbaar is dus ook degene die met behulp of door gebruik van kunstmatige intelligentie een visuele weergave van seksuele aard of met een onmiskenbaar seksuele strekking waarbij een kind is betrokken of schijnbaar is betrokken (virtueel kinderpornografisch materiaal), vervaardigt. Vereist is dat het een realistische weergave van seksuele aard of met een onmiskenbaar seksuele strekking betreft.
Online platforms hebben zeker een grote verantwoordelijkheid om dit soort content uit de lucht te halen na meldingen. Dit geldt voor alle vormen van online illegale content. Op grond van artikel 16 van de Digital Services Act dienen online platforms een systeem te hebben waarmee illegale inhoud bij hen kan worden gemeld. Zodra het online platform een dergelijke melding ontvangt moet het die tijdig, zorgvuldig, niet-willekeurig en objectief behandelen. Als er inderdaad sprake is van illegale inhoud dan moet het online platform zodra het daar van weet – bijvoorbeeld als gevolg van een melding – prompt handelen om de illegale inhoud te verwijderen of de toegang daartoe onmogelijk te maken. Doet een online platform dat niet dan kan het zowel privaat- als strafrechtelijk aansprakelijk worden gesteld voor die illegale inhoud. Het toezicht op naleving van de DSA ligt bij de toezichthouder van het land waar een online platform is gevestigd, en als het een zeer groot online platform betreft deels (exclusief) bij de Europese Commissie. Het kabinet heeft voorgesteld om de Autoriteit Consument en Markt (ACM) aan te wijzen als de onafhankelijk toezichthouder op de DSA in Nederland.
Recent is het platform Telegram veel in de media verschenen over besloten groepen waar schokkend pornografisch materiaal wordt gedeeld.10 Ook door uw Kamer zijn vragen gesteld specifiek over Telegram. Met betrekking tot Telegram verwijs ik u daarom graag door naar de beantwoording van de betreffende Kamervragen.11
Daarnaast wordt in de wet bestuursrechtelijke aanpak online kinderpornografisch materiaal (Kamerstukken II 36 377, nr. 2) voorgesteld dat hosting service providers die in Nederland gevestigd zijn en materiaal van seksueel kindermisbruik – ook met AI gegenereerd – opslaan of doorgeven een bindende aanwijzing van de Autoriteit Terroristisch en Kinderpornografisch Materiaal (ATKM) krijgen. De aanwijzing attendeert de dienstverlener op de aanwezigheid van het materiaal en houdt het bevel in dit materiaal binnen een korte termijn ontoegankelijk te maken. Naleving van de aanwijzing kan worden afgedwongen met een last onder dwangsom of een bestuurlijke boete. Binnenkort zal dit wetsvoorstel door Uw Kamer worden behandeld.
Tenslotte wordt er vanuit de Europese Unie al enige tijd onderhandeld over een voorstel voor een verordening betreffende voorschriften ter voorkoming en bestrijding van seksueel kindermisbruik. Het voorstel bestaat uit regels die aanbieders van hostingdiensten en interpersoonlijke communicatiediensten verplichten om het risico te beoordelen dat hun diensten worden gebruikt voor het verspreiden van materiaal van CSA (Child Sexual Abuse) en het benaderen van kinderen voor seksuele doeleinden (grooming). Ook dienen zij dit materiaal te melden aan het nieuw op te richten Europees Centrum en het materiaal te verwijderen. Onder bepaalde omstandigheden kunnen bedrijven ook worden verplicht om materiaal van CSA te detecteren.

Vraag 7

In hoeverre draagt de Europese AI-verordening bij aan het bestrijden van AI-kinderporno?

De Europese AI-verordening verplicht aanbieders van AI-systemen (ontwikkelaars of degene die het op de markt brengt) waarmee content zoals video en tekst gemaakt kan worden om ervoor te zorgen dat met kunstmatige intelligentie gegenereerde of gemanipuleerde content als zodanig detecteerbaar is. Dit is mede door de Nederlandse inzet tijdens de onderhandelingen in de verordening opgenomen. Hiermee wordt het voor platforms, opsporingsdiensten en eindgebruikers makkelijker om gegeneerde content te onderscheiden van echte content. Hoewel dit het verspreiden van kinderpornografisch materiaal nooit volledig zal kunnen voorkomen, levert deze verplichting zo een bijdrage aan het tegengaan AI genereerd kinderpornografisch materiaal.

Vraag 8

In hoeverre draagt de Europese DSA-verordening bij aan het bestrijden van AI-kinderporno?

De DSA bevat diverse verplichtingen die kunnen helpen bij het bestrijden van illegale inhoud zoals AI-kinderpornografisch materiaal. Zoals in het antwoord op vraag 6 beschreven dienen platforms en aanbieders van hostingdiensten illegale inhoud te verwijderen na melding daarvan. Ook dienen zeer grote online platforms (Very Large Online Platforms, VLOP’s) op grond van artikel 34 DSA jaarlijks een risicobeoordeling te maken van mogelijke systeemrisico’s die hun diensten bevatten. Waaronder de verspreiding van illegale inhoud en eventuele of werkelijke negatieve effecten op de bescherming van minderjarigen. Indien die risico’s bestaan moeten ze risicobeperkende maatregelen nemen (artikel 35 DSA).
Daarnaast versterkt de Digital Services Act ook de verplichtingen voor aanbieders van hostingdiensten. Naast verspreiding via online platforms kan AI-kinderporno ook worden verspreid via hostingdiensten. Aanbieders van hostingdiensten dienen op grond van artikel 11 DSA een contactpunt te hebben voor nationale autoriteiten zoals rechtshandhavingsinstellingen. Op grond van artikel 13 moeten aanbieders van hostingdiensten en online platforms die geen vestiging in de Unie hebben een wettelijke vertegenwoordiger in de EU aanwijzen wanneer zij hier diensten aanbieden.12 Deze verplichtingen moeten het contact met aanbieders van deze diensten en handhaving van de DSA vergemakkelijken, bijvoorbeeld voor het verrichten van meldingen van illegale inhoud.

Vraag 9

In hoeverre wordt het met de Wet bestuursrechtelijke aanpak online kinderporno beter mogelijk om deze vorm van kinderpornografisch materieel aan te pakken en in hoeverre is de Autoriteit Online Terroristisch en Kinderpornografisch Materiaal (AKTM) voldoende toegerust en geëquipeerd om deze vorm van kinderpornografisch materiaal aan te pakken?

Het wetsvoorstel bestuursrechtelijke aanpak online kinderpornografisch materiaal maakt het mogelijk om een binnen Nederland gevestigde dienstverlener (hosting service provider of communicatiedienst) die kinderpornografisch materiaal – ook met AI gegenereerd – opslaat of doorgeeft een bindende aanwijzing te geven. De aanwijzing attendeert de dienstverlener op de aanwezigheid van het materiaal en houdt het bevel in dit materiaal binnen een korte termijn ontoegankelijk te maken. Naleving van de aanwijzing kan worden afgedwongen met een last onder dwangsom of een bestuurlijke boete.
De in dit wetsvoorstel voorgestelde bestuursrechtelijke maatregelen vormen het sluitstuk van het bestaande regime van zelfregulering. Daarbij dienen zij ter aanvulling op de bestaande strafrechtelijke aanpak waarmee wordt opgetreden tegen diegenen die zich met de productie of het bezit van kinderpornografisch materiaal bezighouden. Deze aanvulling is noodzakelijk, gelet op de grote hoeveelheid online kinderpornografisch materiaal die in Nederland wordt opgeslagen en doorgegeven en de snelle verspreiding daarvan. Dit wetsvoorstel is er (louter) op gericht online kinderpornografisch materiaal zo snel mogelijk ontoegankelijk te doen maken. Het wetsvoorstel ligt voor in uw Kamer.

Vraag 10

De politie ziet steeds meer mensen – met name jongeren – die afgeperst worden met naaktbeelden die door AI gemaakt zijn; op hoeveel mensen heeft de politie zicht? Wordt hier aangifte voor gedaan? Zo nee, waarom niet en hoe kan de aangiftebereidheid verhoogd worden?

In internationaal verband is al langere tijd bekend dat daders, ook buiten Nederland, jongeren benaderen met gefingeerde profielen, vaak gegenereerd door toepassing van kunstmatige intelligentie of soortgelijke technieken. Zij doen zich bijvoorbeeld voor als een leeftijdsgenoot en proberen het vertrouwen van de slachtoffers te wekken waarna zij de slachtoffers overtuigen tot het versturen van seksueel beeldmateriaal. Het beeldmateriaal wordt daarna ingezet om de slachtoffers af te persen. Dit is een wereldwijd fenomeen met vele slachtoffers die zich vaak niet melden. Ook in Nederland komt dit voor en is sprake van verschillende typen daders, zo gaat het in sommige gevallen ook om leeftijdgenoten van het slachtoffer.
Er wordt door de politie geen cijfermatige informatie bijgehouden over de exacte handelwijze bij deze afpersingen en er wordt niet geregistreerd of er gebruik is gemaakt van kunstmatige intelligentie. De politie hecht groot belang aan het realiseren van een zo hoog mogelijke aangiftebereidheid, en zet zich daarnaast stevig in om slachtoffers te bereiken met het juiste hulpaanbod. Gezien de kwetsbaarheid van deze slachtoffers, is adequate hulp van groot belang. Zo wijs ik graag op de ondersteuning van slachtoffers door organisaties zoals HelpWanted, onderdeel van Offlimits, of stichting 113.

Vraag 11

Klopt het dat de overheid meldpunten faciliteert voor dienstverleners binnen de internetsector om illegale content/deepfakes aan te geven? Is het hier ook mogelijk om dit soort AI-gegeneerde pornografische afbeeldingen te melden? Hoe vlot de ontwikkeling van een laagdrempelige voorziening waar evident onrechtmatige content gemeld kan worden?

Het klopt dat de overheid voorzieningen financiert waar mensen online content kunnen melden die na beoordeling door de voorziening onder de aandacht kan worden gebracht bij internettussenpersonen. Strafbare online content kan worden gemeld bij Meld.Online Discriminatie (MOD) en het Meldpunt Kinderporno. Dit geldt ook voor gevallen van deepfakes die discriminatoir van karakter zijn of als het seksueel kindermisbruik betreft. Hiernaast wordt in samenwerking met Helpwanted momenteel een pilot uitgevoerd als onderdeel van het voornemen om een laagdrempelige meldvoorziening in te richten voor slachtoffers van onrechtmatige content. In dit kader kunnen ook onrechtmatige deepfakes worden gemeld, bijvoorbeeld als mensen door de deepfake in de persoon worden geschaad. Naar verwachting neemt het kabinet later dit jaar een besluit over de laagdrempelige meldvoorziening.

Vraag 12

Wat is de stand van zaken van het onderzoeksprogramma van het Nederland Forensisch Instituut (NFI) met als doel de mogelijkheden voor deepfakedetectie in de rechtspraktijk verder te verbeteren?

Het Nederlands Forensisch Instituut (NFI) en de Universiteit van Amsterdam (UvA) zijn in 2021 gestart met gezamenlijk onderzoek naar computermodellen om deepfakes en verborgen berichten te helpen herkennen.13 Binnen dit AI4Forensics Lab doen zij onderzoek naar het fenomeen deepfakes. Zij analyseren de nieuwste methodes om deepfakes te herkennen en evalueren deze op forensische bruikbaarheid. De onderzoekers hebben al een aantal nieuwe methodes aan hun gereedschapskist toegevoegd om deepfakes te herkennen. Zo laat bijvoorbeeld iedere camera een vingerafdruk achter, of kan met behulp van een tijdlijn van de elektriciteitsfrequentie worden vastgesteld of bijvoorbeeld het hoofd op een ander tijdstip is gefilmd dan de rest van de video. Ook doen het NFI en de UvA onderzoek naar uitlegbare AI om deepfakes te herkennen.14 De vorm, noodzaak en mogelijkheden voor voortzetting van het deepfake onderzoek binnen het AI4Forensic Lab zal eind 2024 worden geëvalueerd.
Het NFI heeft inmiddels deepfakes onderzocht in enkele strafrechtelijke onderzoeken. Het gaat dan om video’s waarbij lichamen en gezichten van personen gemanipuleerd zijn. Gezien deepfakes steeds beter en realistischer worden, erkent het NFI de noodzaak om onderzoek te blijven doen en nieuwe methodes te ontdekken, om daarmee criminelen voor te blijven.

Vraag 1

Bent u op de hoogte van het artikel «Ministerraad bevestigt: Alida Francis gezaghebber»?1

Ja.

Vraag 2

Waarom heeft u het advies van de vertrouwenscommissie van de eilandsraad, die tijdens de sollicitatieprocedure gesprekken heeft gevoerd met kandidaten voor de functie van gezaghebber en uiteindelijk unaniem een sterke voorkeur heeft uitgesproken voor een kandidaat, naast u neergelegd en een andere kandidaat voorgedragen als gezaghebber?

De procedure voor de benoeming van een gezaghebber is vertrouwelijk. Dit betekent dat ik geen (inhoudelijke) informatie mag geven over onderdelen van de gevolgde procedure, waaronder het advies van de vertrouwenscommissie.

Vraag 3

Bent u op de hoogte van het sentiment op Sint-Eustatius over dit besluit, en ziet u geen bezwaren in de toekomstige samenwerking tussen de nieuwe gezaghebber en de eilandraad? Heeft u daarmee rekening gehouden in uw besluitvorming?

Direct na de ministerraad, waarin de voordracht van mevrouw Francis als gezaghebber van het openbaar lichaam Sint Eustatius aan de orde is geweest, heb ik hier met het eilandsbestuur gesprekken over gevoerd. Ik heb, gelet op haar ervaring en competenties, waaronder haar ruime politiek-bestuurlijke ervaring, alle vertrouwen in het functioneren van mevrouw Francis en een constructieve samenwerking met het eilandsbestuur.

Vraag 1

Kent u het bericht «Duizenden «vergeten» gemeentelijke websites in ontluisterende staat»?1

Ja, ik heb hier kennis van genomen.

Vraag 2

Deelt u de mening dat het zeer onwenselijk is dat van de 10.000 gemeentelijke websites slechts 28 procent aan de voor overheden verplichte beveiligingsstandaarden voldoet? Zo ja, waarom? Zo nee, waarom niet?

Ja, het is onwenselijk dat gemeentelijke websites niet voldoen aan de voor de overheden verplichte beveiligingsstandaarden. Uit de meest recente Meting Informatieveiligheidstandaarden overheid van Forum Standaardisatie blijkt echter dat 54% procent van de gemeentelijke websites voldoen aan de veiligheidsstandaarden2. Overheden hebben de verantwoordelijkheid richting de burger om online overheidsinformatie en diensten transparant, toegankelijk, betrouwbaar en veilig aan te bieden. Overheden hebben daarbij een voorbeeldfunctie als het gaat om de informatiebeveiliging. Een veilige website is daar onderdeel van.
Daarbij hoort onder meer dat overheden alle websites beveiligen volgens de wettelijke verplichte standaarden (Wdo)3, en de informatieveiligheidsstandaarden van de «pas-toe-of-leg-uit»-lijst van het Forum Standaardisatie toepassen, zoals ook is toegelicht in de beantwoording op eerdere Kamervragen.4 Overheden hebben zichzelf met het gezamenlijke beveiligingsnormenkader voor de gehele overheid, de Baseline Informatiebeveiliging Overheid (BIO), verplicht hun informatiesystemen, waaronder websites, te beveiligen. In de BIO wordt benadrukt dat de overheid de standaarden volgt die op de «pas toe of leg uit»-lijst van het Forum Standaardisatie staan.

Vraag 3

Deelt u de mening dat ook bij vergeten of niet meer gebruikte websites er wel degelijk een gevaar kan ontstaan dat in het geval die websites niet aan de verplichte veiligheidsstandaarden voldoen ze misbruikt kunnen worden om andere delen van een gemeentelijk netwerk binnen te dringen en daar schade te veroorzaken? Zo ja, waarom? Zo nee, waarom niet?

Ja, om websites veilig te houden moeten ze continu beheerd worden. Zodra websites niet meer beheerd worden ontstaat een grotere kans op misbruik van de website. Dat betekent dat een website bijvoorbeeld gebruikt kan worden door een kwaadwillende om zich voor te doen als een overheid, data te lekken of malware te verspreiden. Wat het exacte risico is bij het niet naleven van een standaard hangt af van de situatie en kan per website verschillen.

Vraag 4

Deelt u de mening dat overheden een voorbeeldfunctie hebben ook als het gaat om de beveiliging van websites en het nakomen van regels dienaangaande? Zo ja, wat gaat u doen om ervoor te zorgen dat gemeenten die voorbeeldfunctie gaan waarmaken? Zo nee, waarom niet?

Ja, overheden hebben een voorbeeldfunctie als het gaat om de beveiliging van websites en het volgen van de standaarden.
In opdracht van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties meet het Forum Standaardisatie halfjaarlijks de implementatie van de standaarden. Zoals ik in mijn Kamerbrief Digitalisering december 20235 heb toegelicht, blijkt uit de meest recente meting Informatieveiligheidstandaarden overheid medio 20236 dat 54% van de gemeten gemeentelijke websites voldoet aan de afgesproken websitestandaarden voor veilig en modern webverkeer (exclusief IPv6 en RPKI). Terwijl uit de meting blijkt dat gemeenten het beter doen dan in 2022 is er nog steeds een groep achterblijvers en volgt uit de meting dat er relatief slecht zicht is op domeinnamen van decentrale overheden.
In het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) zijn afspraken gemaakt tussen het Rijk, VNG, IPO en UvW om te sturen op de voortgang en knelpunten om zo per overheidsorganisatie de adoptie te versnellen. De voortgang zal twee keer per jaar geagendeerd worden in het OBDO.
Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties zet zich ook in voor beter domeinportfoliobeheer. Portfoliobeheer draagt niet alleen bij aan de veiligheid van een website, maar ook bij aan het naleven van wet- en regelgeving voor digitoegankelijkheid en het voorkomen van online tracking.
In dit kader werkt het ministerie aan het Register Internetdomeinen Overheid (RIO). Vanaf eind 2023 zijn in het RIO de publieke internetdomeinen van de rijksoverheid geregistreerd. In 2024 krijgen medeoverheden de mogelijkheid hun (publieke) portfolio aan internetdomeinen op deze centrale plek vast te leggen. Het register kan gebruikt worden om te beoordelen of je te maken hebt met een overheidswebsite of niet.
Daarnaast steun ik het initiatief op basisbeveiliging.nl van de Internet Cleanup Foundation (ICF). Op deze website is met open data voor iedereen in te zien wat de stand is van de publiek meetbare digitale beveiliging van websites van overheidsorganisaties. Organisaties kunnen zich hieraan spiegelen en optrekken. ICF houdt ook regelmatig bijeenkomsten om te kijken welke websites van de overheid nog niet geïndexeerd zijn.
Om samen te werken aan een veiligere digitale samenleving vind ik het van belang dat beveiligingsonderzoekers kwetsbaarheden melden bij de desbetreffende overheidsorganisatie. Onbeheerde websites vallen daar ook onder. Onderzoekers kunnen de contactgegevens en afspraken vinden in een zogenaamde security.txt. Dit bestand moet verplicht publiek worden gepubliceerd. Daarnaast kunnen meldingen voor gemeenten ook direct gedaan worden via de Informatiebeveiligingsdienst (IBD).

Vraag 5

Deelt u de mening dat het onwenselijk is dat een van de redenen dat gemeenten laks omspringen met (de beveiliging van) vergeten of niet gebruikte websites is dat er niet gehandhaafd wordt op beveiligingseisen? Zo ja, wat gaat u doen om ervoor te zorgen dat er gehandhaafd wordt? Zo nee, waarom niet?

Het is onwenselijk dat gemeenten nog niet voldoen aan de verplichte beveiligingseisen. Zeker wanneer overheidsorganisaties niet aan de wettelijke verplichte veiligheidstandaarden voldoen. Zoals aangegeven in beantwoording van vraag 7 zijn gemeentes bezig met het implementeren van de standaarden. Vanuit het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties wordt hierop gemonitord7 door een meting van het Forum Standaardisatie. In het kader van de Wet digitale overheid (Wdo) ben ik aan het verkennen hoe het toezicht op de wettelijke verplichte standaarden steviger kan worden ingericht. Door het niet toepassen van verplichte standaarden, lopen overheidsorganisaties een beveiligingsrisico.

Vraag 6

Wat gaat de Network and Information Security Directive (NIS2) voor gemeenten betekenen als het om de beveiliging van hun websites gaat? Hoeveel gemeenten voldoen nu al aan die richtlijn? Hoe groot acht u de kans dat gemeenten eind 2024 nog niet voldoen aan de NIS2? En wat zijn de gevolgen daarvan?

In lijn met bestaande toepassing van de Baseline Informatiebeveiliging Overheid (BIO), gaat de NIS2-richtlijn uit van de verantwoordelijkheid van organisaties zelf, zoals gemeenten, om passende en evenredige maatregelen te nemen voor het beveiligen van netwerk- en informatiesystemen. Waar de BIO zelfregulering is, leidt de toekomstige Cybersecuritywet (de implementatiewet van NIS2) tot een wettelijk verplichte zorgplicht.
Overheden, waaronder gemeenten, worden met de Cybersecuritywet verplicht om significante incidenten te melden bij het CSIRT en de toezichthouder. Ook kunnen gemeenten op vrijwillige basis incidenten die niet kwalificeren als significant, bijna-incidenten en cyberdreigingen melden bij het CSIRT. Deze incidenten en dreigingen kunnen gerelateerd zijn aan websites.
Tevens verplicht de Cybersecuritywet onafhankelijk toezicht. Voor de sector overheid is stelseltoezicht op informatieveiligheid nieuw. Het gegeven dat er toezicht komt, geeft overheidsorganisaties een extra prikkel om informatieveiligheid procesmatig in te richten. De beoogde toezichthouder voor NIS2 bij de overheid is de Rijksinspectie voor Digitale Infrastructuur (RDI) en zal beschikken over handhavingsbevoegdheden.
Het is tot slot niet goed mogelijk om betekenis te geven aan de vraag in hoeverre gemeenten voldoen aan NIS2 en de kans dat gemeenten eind 20248 nog niet voldoen aan de NIS2. Gemeenten passen immers momenteel de Baseline Informatiebeveiliging Overheid (BIO) toe binnen hun organisaties. Dit doen zij op basis van risicoafweging, passend bij hun eigen specifieke situatie, en kan dus verschillen per gemeente. In deze aanpak is informatiebeveiliging geen einddoel, maar een continu proces waarin risicoanalyses worden geactualiseerd en maatregelen worden bijgesteld. Informatiebeveiliging is en blijft een cyclisch proces.

Vraag 7

Wat gaat u in overleg met gemeenten doen om ervoor te zorgen dat slecht beveiligde gemeentelijke websites die niet meer gebruikt worden uit de lucht worden genomen of beter beveiligd gaan worden? Kunt u de Kamer voor het komend zomerreces laten weten welke stappen er gezet zijn of gaan worden?

Samen met de VNG en IBD zorgen wij voor continue aandacht voor het goed beheren van websites. Zie ook de beantwoording op vraag 2 t/m 6 over de verschillende stappen die ik neem om overheidsorganisaties, waaronder ook gemeenten vallen, te ondersteunen in de toepassing van veiligheidstandaarden en het verbeteren van hun domeinportfoliobeheer.
Verder informeert de VNG-Informatiebeveiligingsdienst IBD gemeenten dagelijks over kwetsbaarheden en dreigingen en adviseert en ondersteunt op informatiebeveiligingsvraagstukken. De IBD monitort de websites en IT-infrastructuur van gemeenten en levert informatie over kwetsbaarheden direct, automatisch, door. Afhankelijk van de ernst neemt de IBD direct contact op met de gemeente. In april 2024 is de monitoringtool na een pilotfase uitgerold naar alle gemeenten.9 De gemeenten hebben zelf ook toegang tot het portaal in de tool. Deze dienstverlening van de IBD is een aanvulling op de interne logging, monitoring en detectie door gemeenten zelf. Gemeenten kunnen hierbij onder andere gebruik maken van de monitoring en response diensten uit de raamcontracten die door VNG zijn afgesloten met diverse aanbieders.10 Met de halfjaarlijkse Informatieveiligheidmeting van het Forum Standaardisatie worden de gemeenten periodiek extra geattendeerd, specifiek op websites, portalen en mailvoorzieningen.
Ik blijf uw Kamer ook informeren over deze stand van zaken. In de Verzamelbrief Waardengedreven Digitaliseren Q3 zal ik u informeren over de volgende halfjaarlijkse meting Informatieveiligheidstandaarden van het Forum Standaardisatie.

Vraag 1

Kent u het bericht «Caribische eilanden krijgen gelijk na gemopper over bureaucratie Nederland»?1

Ja. In opdracht van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties heeft adviesbureau IdeeVersa in de zomer van 2023 onderzoek gedaan naar de eilandelijke taken en financiële middelen van de openbare lichamen Bonaire, Saba en Sint Eustatius. Het eindrapport heb ik op 29 september jl. aan uw Kamer aangeboden.2 Het onderzoek richt zich op de benodigde hoogte van de vrije uitkering van de eilanden in verhouding tot de taken van de openbare lichamen. Vervolgens heb ik de Raad voor het Openbaar Bestuur (ROB) gevraagd te reflecteren op de uitkomsten en aanbevelingen van dit rapport, als ook vanuit de expertise van het ROB naar de financiële en bestuurlijke verhoudingen te kijken. Het artikel op NU.nl verwijst naar dit advies. Ik ben de ROB zeer erkentelijk dat ze dit hebben willen doen en voor de uitgebrachte adviezen en aanbevelingen.

Vraag 2

Deelt u de zorgen van de openbare lichamen Bonaire, Sint Eustatius en Saba over de bureaucratische wijze waarop zij extra budgetten moeten aanvragen voor extra taken die zij moeten uitvoeren, zoals het onderhouden van een zeehaven of een luchthaven? Zo nee, waarom niet?

Ik zie het advies van de ROB als een steun in de rug van het traject dat ik met de eilanden en overige departementen volg op weg naar verbetering van de financiële en bestuurlijke verhoudingen. Daarbij is de problematiek van structurele financiering en de knelpunten rondom investering, onderhoud en vervanging van infrastructuur, zoals een zeehaven of een luchthaven, inderdaad een zorgpunt. Hier heb ik ook bij het aanbieden van het rapport van IdeeVersa aan uw Kamer aandacht aan besteed.

Vraag 3

Deelt u de mening van de Raad voor het Openbaar Bestuur dat de huidige procedures «onnodig belastend» zijn voor de BES-eilanden en dat het «de besturen van de eilanden belet om een afgewogen financieel beleid te voeren»? Zo nee, waarom niet?

Zoals uw Kamer bekend is, ben ik bezig met een wetsvoorstel tot wijziging van de Wet openbare lichamen Bonaire, Sint-Eustatius en Saba (WolBES) en de Wet financiën openbare lichamen BES (FinBES). De internetconsultatie is eind september afgerond en ik ben nu met de openbare lichamen in gesprek over hun reactie op de herziening van deze wetten. Eén van de voornemens die is opgenomen in de herziening van de FinBES is om de openbare lichamen meer ruimte te gaan bieden, door onder meer een getrapt financieel toezichtmodel te introduceren. Hiermee wordt maatwerk per openbaar lichaam mogelijk. Verder onderzoek ik de leenmogelijkheden van de openbare lichamen.

Vraag 4

Bent u voornemens om conform het advies van de ROB de BES-eilanden een vaster budget te geven? Zo nee, waarom niet?

Het is van belang om verbeteringen in de financiële verhoudingen door te voeren. Dat tonen het onderzoek van IdeeVersa en ook het ROB-advies ook aan. Ik ben in gesprek met departementen over de financiering van de eilandelijke taken, de toereikendheid van de vrije uitkering en in hoeverre bijzondere uitkeringen structureel kunnen worden gemaakt of aan de vrije uitkering kunnen worden toegevoegd. Daarnaast onderzoek ik de mogelijkheden tot het introduceren van een Bestuurlijk Overleg Financiële verhoudingen (BOFv) voor Caribisch Nederland, waarin de openbare lichamen en het Rijk periodiek reflecteren op de uitvoering van de bestaande en nieuwe eilandelijke taken en de financiering daarvan. Via dit bestuurlijk overleg kan snel worden ingespeeld op veranderingen die van invloed zijn op de uitvoering van eilandelijke taken. Dit draagt daarmee bij aan de robuustheid en toekomstbestendigheid van het stelsel. Over de uitkomsten van de besprekingen zal ik uw Kamer informeren voor de zomer. Dit ook in de wetenschap dat verbeteringen in de financiële verhouding met de eilanden ook de aandacht zal moeten krijgen van een nieuw kabinet.

Vraag 5

Deelt u de mening dat het takenpakket van de BES-eilanden zeker niet in alle opzichten gelijkwaardig is aan dat van de gemeenten in Europees Nederland en dat het daarom logisch is dat de financiële bijdrage daarop passend moet worden afgestemd? Zo nee, waarom niet?

Ik deel de mening dat het takenpakket van de BES-eilanden zeker niet in alle opzichten gelijkwaardig is. Dit heeft te maken met het gegeven dat de openbare lichamen ook taken uitvoeren die vergelijkbaar zijn met taken van onder meer waterschappen en provincies in Europees Nederland. Verder is er sprake van een geïsoleerde ligging op een ander continent en met een ander klimaat. Dit maakt dat de kostenstructuur afwijkt ten opzichte van Europees Nederlandse gemeenten. Onderzoeksbureau IdeeVersa heeft dit gegeven dan ook betrokken in zijn onderzoeksrapport.

Vraag 6

Kunt u een overzicht geven van de taken die de BES-eilanden uitvoeren waarvoor zij op dit moment geen vast budget krijgen en waarvoor zij dus extra budget moeten aanvragen? Kunt u hierbij ook aangeven om welke bedragen dit per eiland gaat over de afgelopen vijf jaren?

De financiering van de BES-eilanden is net als bij Europees Nederlandse gemeenten een complex geheel van taken en middelen in de vrije uitkering, bijzondere uitkeringen en eigen inkomsten. Dit is dan ook de reden dat ik onderzoek heb laten doen door IdeeVersa. In het onderzoek (kenmerk: 36 410 IV, nr. 8), met bijbehorende bijlagen, zijn alle financiële stromen in beeld gebracht. Om hier beter zicht op te krijgen ben ik gestart met het inrichten van een onderhoudssysteem, zoals gebruikelijk bij het gemeentefonds, waardoor de uitgaven van de openbare lichamen beter gevolgd kunnen worden.

Vraag 7

Kunt u aangeven op welke wijze de extra taken die de eilanden moeten uitvoeren op het gebied van openbaar vervoer van/naar de eilanden zijn georganiseerd? Op welke wijze wordt voorkomen dat de kosten voor inwoners die bijvoorbeeld een reis naar een ander eiland moeten maken voor studie, werk of medische redenen te duur worden?

Vanaf 2024 heeft het kabinet € 30 miljoen extra uitgetrokken om de koopkracht van de inwoners van Bonaire, Saba en Sint Eustatius te verbeteren. Vanaf 2025 wordt dit bedrag verhoogd naar jaarlijks € 32 miljoen. Onderdeel van het pakket is dat er jaarlijks extra geld gaat naar beter openbaar vervoer op de 3 eilanden en lagere vervoerskosten.
Studenten afkomstig van de BES-eilanden kunnen op grond van de Wet Studiefinanciering BES in aanmerking komen voor studiefinanciering voor een studie op een van de (andere) BES-eilanden, de overige Caribische regio, de VS of Canada. De bedragen in de Wsf BES verschillen per bestemming. Hierbij is rekening gehouden met de verschillende kostenniveaus op die bestemmingen. Studenten ontvangen een hoger bedrag wanneer zij op een ander eiland studeren, dan wanneer zij op het eigen eiland blijven studeren. Naast deze beurs is er de mogelijkheid voor studenten om een lening aan te gaan tegen gunstige voorwaarden.
Indien er sprake is van intereilandelijk woon-werkverkeer betreffen de reiskosten in eerste instantie een aangelegenheid tussen werkgevers en werknemers. Daarnaast werkt het Ministerie van Sociale Zaken en Werkgelegenheid (SZW) momenteel aan een uitkering om betaald verlof mogelijk te maken voor werknemers die als begeleider optreden bij medische uitzending.
Verder komt het in Caribisch Nederland in de praktijk vaak voor dat men voor medisch onderzoek of -behandeling genoodzaakt is om buiten het eiland waar ment woont zich te laten behandelen of onderzoeken. De zorgverzekering BES is de zorgverzekering voor inwoners van Bonaire, Sint Eustatius en Saba. De grondslag voor deze verzekering is vastgelegd in het Besluit Zorgverzekering BES. Zorg en Jeugd Caribisch Nederland (ZJCN), een directie van het Ministerie van VWS, is verantwoordelijk voor het uitvoeren van dit Besluit. Indien verzekerde inwoners een verwijzing hebben en zij voor medische redenen een reis moeten maken wordt vervoer geregeld door ZJCN. Hiervoor zijn er geen kosten voor de verzekerde. Onder vervoer wordt verstaan vluchten naar een ander eiland of land en het vervoer bij aankomst van het vliegveld naar de accommodatie. Verder betreft dit het vervoer tussen accommodatie en specialist. Indien verzekerden een langer verblijf hebben vanwege medische redenen kunnen zij 1 keer per week vervoer inzetten voor het halen van boodschappen. Indien de verzekerde opgenomen moet worden kan er één keer per dag een beroep gedaan worden op het heen en terug brengen van begeleiders/bezoek. ZJCN heeft hiervoor contracten met reisorganisaties en aanbieders van luchtvervoer en grondvervoer welke speciaal ingezet worden voor patiënten. Op het eiland waar de inwoner woonachtig is, is deze in principe zelf verantwoordelijk voor vervoer naar het vliegveld. Inwoners krijgen hiervoor een transportvergoeding. Verder krijgen inwoners die op medische uitzending moeten een daggeldvergoeding. Deze vergoeding is bedoeld als tegemoetkoming in de kosten om te kunnen eten en drinken. De hoogte van de vergoeding verschilt per bestemming. Naast vervoer voor medische uitzendingen, kunnen inwoners die rolstoelgebonden zijn, ook op het eiland waar zij woonachtig zijn (Bonaire, Saba of St. Eustatius) een beroep doen op vervoer naar medische afspraken. Hier zijn geen kosten aan verbonden. Voor de inzet van vervoer is voorafgaande toestemming van ZJCN nodig, tenzij er sprake is van een noodsituatie.

Vraag 8

Op welke wijze worden de BES-eilanden (financieel) ondersteund bij het op orde krijgen en houden van medische voorzieningen?

De directie Zorg en Jeugd Caribisch Nederland (ZJCN) van het Ministerie van VWS is verantwoordelijk voor het zorgbeleid en de wetgeving van de zorg in Caribisch Nederland. Daarbij zorgt de directie voor de uitvoering van de zorgverzekering en de tweedelijns jeugdzorg. Sinds 2010 draagt het Ministerie van VWS zelf de verantwoordelijkheid voor de financiering van zorg en jeugdzorg. Hiervoor gaat ZJCN (zorg)contracten aan met lokale zorgaanbieders op de eilanden. De lokale eilandsbesturen hebben geen verantwoordelijkheid in het organiseren van medische voorzieningen in het kader van de zorgverzekering. Er vindt echter wel regelmatig afstemming plaats tussen de lokale overheden en ZJCN.

Vraag 9

Kunt u bovenstaande vragen afzonderlijk van elkaar beantwoorden voorafgaand aan het geplande commissiedebat Verzameldebat BES?

Ja. Daarnaast ben ik voornemens voorafgaand aan het debat een verzamelbrief aan u toe te zenden met de laatste ontwikkelingen rondom Caribisch Nederland.

Vraag 1

Vindt u het acceptabel dat Nederland achterloopt met het implementeren van de Uitvoeringswet digitaledienstenverordening, gezien de noodzaak voor het reguleren van verslavende en polariserende online diensten?

Uiteraard is het spijtig dat het wetsvoorstel voor de Uitvoeringswet digitaledienstenverordening op 17 februari jl. nog niet tot wet verheven en in werking getreden was. Er wordt al sinds de totstandkoming van de digitaledienstenverordening (in het Engels: de Digital Services Act, hierna «DSA») aan het ontwerpwetsvoorstel voor de uitvoeringswet gewerkt. De DSA heeft een complex karakter en een breed toepassingsbereik en heeft gevolgen voor bestaande wetgeving, onder meer het Burgerlijk Wetboek, het Wetboek van Strafvordering en de Algemene wet bestuursrecht. Het zorgvuldig opstellen van het wetsvoorstel en bijbehorende memorie van toelichting in afstemming met alle betrokken partijen en het doorlopen van alle stappen van het wetgevingsproces, waaronder verplichte raadplegingen en toetsen1, hebben ervoor gezorgd dat het niet mogelijk was om de uitvoeringswetgeving binnen de termijn die de DSA voorschrijft (15 maanden) tot stand te doen komen.
In dit verband zij opgemerkt dat een uitvoeringstermijn van 15 maanden erg kort is als de uitvoering op het niveau van een formele wet dient plaats te vinden, zoals bij de DSA het geval is. Niet voor niets heeft de Nederlandse regering tijdens de onderhandelingen gepleit voor een langere uitvoeringstermijn van ten minste 18, maar liever 24 maanden. Ook in 10 andere lidstaten is tijdige uitvoering niet gelukt (zie verder antwoord op vraag 12).
Dat neemt niet weg dat we uiteraard de urgentie voelen om de bevoegde autoriteiten in Nederland aan te wijzen en van de benodigde bevoegdheden te voorzien. Om die reden heeft de Minister van Economische Zaken en Klimaat op 11 februari jl., vooruitlopend op de verdere totstandkoming en inwerkingtreding van de Uitvoeringswet digitaledienstenverordening een ministerieel aanwijzingsbesluit genomen waarin de Autoriteit Consument & Markt («ACM») voorlopig wordt aangewezen als bevoegde autoriteit en digitaledienstencoördinator.2 Dit besluit stelt de ACM in staat om een aantal handelingen ter uitvoering van de DSA alvast te verrichten. Inmiddels is het advies van de Afdeling advisering van de Raad van State van 7 februari jl. verwerkt. Het ontwerpvoorstel voor de uitvoeringswet is gereed en wordt op korte termijn voorgelegd aan de ministerraad. Naar verwachting wordt het wetsvoorstel daardoor binnenkort bij uw Kamer ingediend.
We hechten er verder aan te benadrukken dat het niet zo is dat online (tussenhandel)diensten op dit moment niet gereguleerd zijn. De DSA is sinds 17 februari jl. volledig van toepassing. Tussenhandeldiensten moeten dus aan de daarin neergelegde regels voldoen en gebruikers kunnen hun rechten onder de DSA inroepen. Bovendien moeten aangewezen «zeer grote online platforms» en «zeer grote online zoekmachines» al sinds 25 augustus 2023 volledig aan de regels uit de DSA voldoen. Laatstgenoemde diensten vallen primair onder het toezicht van de Europese Commissie, die deze taak serieus neemt en voortvarend oppakt.3

Vraag 2

Ziet u met oog op de aankomende Europese verkiezingen de noodzaak voor het snel implementeren van de Uitvoeringswet om desinformatie zo goed mogelijk te kunnen bestrijden en de toegang tot betrouwbare informatie juist te versterken?

We zien sowieso de noodzaak om zo snel mogelijk goed en volledig uitvoering te geven aan de DSA. Het streven en de verwachting is dat het voorstel voor de uitvoeringswet op korte termijn kan worden aangeboden aan uw Kamer.
Voor wat betreft de bestrijding van desinformatie in relatie tot het Europese verkiezingsproces wordt opgemerkt dat de aanpak hiervan valt onder de DSA-regels gericht op het identificeren en beperken van systeemrisico’s door zogenaamde «zeer grote online platforms» en «zeer grote online zoekmachines», waarvan er thans 22 zijn aangewezen.4 Desinformatie kan zo’n systeemrisico vormen. Deze verplichtingen gelden uitsluitend voor de aangewezen zeer grote online platforms- en zoekmachines. Op grond van artikel 56, tweede lid, van de DSA houdt de Europese Commissie exclusief toezicht op de naleving van deze regels. Dat doet zij al sinds 25 augustus 2023. De lidstaten – en dus de op nationaal niveau aangewezen/aan te wijzen bevoegde autoriteiten – hebben geen bevoegdheid tot toezicht en handhaving ten aanzien van deze verplichtingen. Dat de nationale uitvoeringswet nog niet in werking is getreden heeft daarop geen invloed.
Waar het gaat om maatregelen voor het tegengaan van desinformatie en de toegang tot betrouwbare informatie zullen bij de Europese verkiezingen dezelfde maatregelen worden genomen als bij de Tweede Kamerverkiezingen van afgelopen november. Zie hierover de brief van de Minister van BZK over de weerbaarheid van het verkiezingsproces5.

Vraag 3

Heeft u zonder deze Uitvoeringswet voldoende gereedschap om online platforms te dwingen tot actie als er willens en wetens desinformatie en nepnieuws wordt gedeeld op hun kanalen? Welke bevoegdheden vanuit de digitaledienstenverordening zouden u hierbij helpen?

Zoals toegelicht in het antwoord op vraag 2, valt de aanpak van desinformatie (zoals nepnieuws) onder het bereik van de regels gericht op het voorkomen van systeemrisico’s door zeer grote online platforms en zeer grote online zoekmachines (artikelen 34 en 35 van de DSA). De Europese Commissie is exclusief bevoegd voor het toezicht op en de handhaving van de verplichtingen die uitsluitend gelden ten aanzien van aanbieders van zeer grote online platforms en zeer grote online zoekmachines, waaronder de verplichtingen ten aanzien van systeemrisico’s.
De eerste 19 aangewezen zeer grote online platforms – zoals Facebook, Instagram, TikTok, X en YouTube – moeten sinds 25 augustus 2023 al aan de DSA voldoen. Sindsdien kan het strijd met de verordening opleveren als zij niet-optreden tegen desinformatie die een systeemrisico vormt. De Commissie kan daarop handhaven. Daar is de Nederlandse uitvoeringswet niet voor nodig.

Vraag 4

Bent u het met de indieners eens dat het een zwaktebod is dat het Nederland niet is gelukt om de digitaledienstenverordening op tijd als nationale wet in te voeren, ondanks de regelmaat waarmee het kabinet verwijst naar deze verordening als voorbeeld van effectieve en noodzakelijke regulering van online diensten?

Het is spijtig dat de uitvoeringswet op 17 februari jl. nog niet tot wet verheven en in werking getreden was en de toezichthouders nog niet bevoegd zijn om toezicht te houden en te handhaven. Zoals toegelicht in het antwoord op vraag 1, was de uitvoeringstermijn echter te kort voor een zorgvuldig wetgevingsproces.
Dat de uitvoeringswet er nog niet is, betekent overigens niet dat online tussenhandeldiensten nu niet gereguleerd zijn. Vanaf 17 februari jl. moeten online diensten die onder de DSA vallen volledig aan de verplichtingen uit de verordening voldoen. De ACM en de Autoriteit persoonsgegevens (AP) kunnen, zodra de Uitvoeringswet er is, zo nodig met terugwerkende kracht optreden tegen aanbieders van tussenhandeldiensten die in Nederland gevestigd zijn of hier hun wettelijke vertegenwoordiger hebben aangewezen.
Ook wordt er opgemerkt dat een goede uitvoering van een verordening zoals de DSA meer behelst dan enkel het tot stand brengen van de uitvoeringswet. Zo wordt er sinds de adoptie van de DSA met onder meer de ACM en AP als beoogd toezichthouders samengewerkt, bijvoorbeeld om informatie over de DSA onder de aandacht te brengen van de bedrijven die er straks aan moeten voldoen en van de gebruikers en belanghebbenden die door de DSA nieuwe rechten krijgen. De ACM is bijvoorbeeld in contact gebracht met partijen die geïnteresseerd zijn in het verwerven van de status van «trusted flagger» of «erkend onderzoeker». Verder heeft de Minister van Economische Zaken en Klimaat in 2023 reeds middelen voor beide toezichthouders beschikbaar gesteld zodat zij zich kunnen voorbereiden op het moment dat de DSA volledig van toepassing wordt en zij toezicht kunnen gaan houden. Ook voor 2024 en verder zijn er inmiddels (structurele) middelen beschikbaar gesteld aan de toezichthouders. Verder heeft de Minister van Economische Zaken en Klimaat, vooruitlopend op de uitvoeringswet, het Besluit voorlopige aanwijzing ACM als bevoegde autoriteit en digitaledienstencoördinator digitaledienstenverordening genomen (zie het antwoord op vraag 1).

Vraag 5

Deelt u de mening dat het herhaaldelijk missen van deadlines voor de invoering van digitale wetgeving de rol van Nederland als koploper binnen Europa verzwakt?

Uiteraard streeft het kabinet ernaar om uitvoeringstermijnen te halen. In de praktijk blijken de termijnen die hiervoor worden gegeven in Europese regelgeving echter vaak te krap om nationaal de vereiste formele wet tot stand te brengen.
De uitvoering van wetgeving behelst, zoals in het antwoord op vraag 4 toegelicht, meer dan enkel het zorgvuldig tot stand brengen van uitvoeringswetgeving. Daar is veel op bereikt. Daarom denken we dat de beperkte vertraging die Nederland in dit geval oploopt geen substantieel negatief effect heeft op het vertrouwen in Nederland als onderdeel van de kopgroep in digitalisering.

Vraag 6

Kunt u toelichten wat de gevolgen zijn van het niet tijdig invoeren van de wet? Kunt u ook uitleggen waarom het niet is gelukt om de Uitvoeringswet vóór de formele inwerkstelling op 17 februari 2024 nationaal in te voeren?

Dat de Uitvoeringswet nog niet tot wet verheven is, betekent dat de ACM en de AP als beoogd toezichthouders op dit moment nog geen toezichtsbevoegdheden kunnen inzetten of handhavend kunnen optreden tegen overtredingen van de DSA door diensten die onder hun bevoegdheid vallen. De redenen voor het niet tijdig invoeren van de wet zijn beschreven in de antwoorden op vragen 1, 4, en 5. Zoals toegelicht bij het antwoord op vraag 9, kan de ACM op basis van het aanwijzingsbesluit bepaalde onderdelen van de verordening wel al uitvoeren.

Vraag 7

Wanneer verwacht u dat de invoeringswet wél is geïmplementeerd? Welke deadlines volgen er nog voor het invoeren van de digitaledienstenverordening en wat zijn de gevolgen als we deze missen?

Op 7 februari jl. heeft de Raad van State advies uitgebracht over het ontwerpwetsvoorstel. Dat advies is inmiddels verwerkt en het wetsvoorstel zal na akkoord van de ministerraad bij uw Kamer worden ingediend. Naar verwachting wordt het wetsvoorstel medio/eind maart 2024 aan uw Kamer aangeboden. De uiteindelijke datum van inwerkingtreding is afhankelijk van de behandeling door uw Kamer en de Eerste Kamer.
Er volgen verder geen deadlines meer. De DSA is sinds 17 februari jl. volledig van toepassing.

Vraag 8

Bent u gezien het verstrijken van de deadline in staat om het zeer recente advies van de Raad van State (14 februari 2024) op fatsoenlijke manier te verwerken en tevens genoeg tijd aan de Kamer te laten om de wet goed te controleren en zo nodig te amenderen?1

Ja. Het advies van de Raad van State is inmiddels verwerkt en het wetsvoorstel wordt op korte termijn bij uw Kamer ingediend. Het is daarna vanzelfsprekend aan uw Kamer, in haar rol als medewetgever, om te bepalen op welke wijze zij het wetsvoorstel wenst te behandelen. In dit verband hechten we er aan om op te merken dat het wetsvoorstel zich beperkt tot datgene wat noodzakelijk is voor de uitvoering van de DSA in Nederland. Daarbij gaat het om de aanwijzing van bevoegde autoriteiten en de digitaledienstencoördinator, het stellen van regels met betrekking tot hun bevoegdheden en samenwerking en de benodigde wijzigingen van andere wetten. Het wetsvoorstel zelf bevat geen nadere regels waar aanbieders van tussenhandeldiensten zich aan moeten houden. Dat zou ook niet mogelijk zijn omdat de DSA een verordening is, die rechtstreeks werkt en voorziet in maximumharmonisatie.

Vraag 9

Welke bevoegdheid heeft de Autoriteit Consument en Markt (ACM) precies om toezicht te houden op de digitaledienstenverordening, nu hun taak niet wettelijk is vastgelegd en zij slechts «beoogd toezichthouder» is?

Bij het Besluit voorlopige aanwijzing ACM als bevoegde autoriteit en digitaledienstencoördinator digitaledienstenverordening is de ACM, vooruitlopend op de verdere totstandkoming van voornoemde uitvoeringswet, aangewezen als bevoegde autoriteit en als digitaledienstencoördinator. De aanwijzing stelt de ACM in staat bepaalde onderdelen van de verordening die het karakter hebben van uitvoeringshandelingen alvast uit te voeren. Een voorbeeld is het ontvangen van contactgegevens van in Nederland gevestigde wettelijke vertegenwoordigers van buiten de Unie gevestigde aanbieders van tussenhandeldiensten (artikel 13, vierde lid, DSA). De ACM zal door de aanwijzing tevens fungeren als aanspreekpunt voor de digitaledienstencoördinatoren van andere lidstaten en de Europese Commissie in het kader van de wederzijdse bijstand (artikel 57 DSA) en in die hoedanigheid informatie kunnen uitwisselen die nodig is voor een goede uitvoering van de verordening. Daarnaast zal de ACM deel uitmaken van de digitaledienstenraad – de onafhankelijke adviesgroep van digitaledienstencoördinatoren – en kunnen deelnemen aan de besluitvorming daarin.
De ACM kan op basis van het besluit nog geen uitvoeringstaken uitvoeren die de uitoefening van openbaar gezag behelzen. Dit betekent dat de ACM nog geen toezichtsbevoegdheden kan inzetten of handhavend op kan treden. Ook is zij nog niet bevoegd om besluiten met rechtsgevolgen te nemen, zoals het certificeren van buitengerechtelijke geschilbeslechtingsorganen of het toekennen van de status van «betrouwbare flagger» of «erkende onderzoeker». Die taken kan de ACM pas uitvoeren op het moment dat de uitvoeringswet in werking is getreden.
Zoals toegelicht in het antwoord op vraag 4, beschikt de ACM wel al over financiële middelen waarmee zij al volop voorbereidingen treft om bovenstaande taken wel uit te kunnen voeren als de uitvoeringswet eenmaal tot wet verheven is. Zo heeft de ACM onder meer een meldingenloket ingericht en een leidraad opgesteld over de DSA.7
De reden dat tot dusver steeds is gesproken over «beoogd» toezichthouders, heeft te maken met het feit dat het ontwerpwetsvoorstel nog niet is aangenomen door de Tweede en Eerste Kamer. Pas als dat het geval is, is hun aanwijzing definitief.

Vraag 10

Is de ACM in staat om te handelen volgens haar conceptleidraad zonder implementatie van de Uitvoeringswet?2 Zijn de verplichtingen in deze leidraad afdwingbaar als online platforms deze niet naleven?

De verplichtingen vloeien rechtstreeks voort uit de verordening en tussenhandeldiensten moeten daar sinds 17 februari jl. volledig aan voldoen. Gebruikers kunnen de rechten die zij op grond van de DSA hebben jegens online diensten inroepen. De DSA is dus wel degelijk afdwingbaar. Zoals toegelicht in het antwoord op vraag 9, kan de ACM op dit moment echter nog niet handhavend optreden. De leidraad gaat in op de zorgvuldigheidsverplichtingen voor tussenhandeldiensten die zijn neergelegd in de DSA en hoe de ACM die interpreteert. Zij vormt een hulpbron voor tussenhandeldiensten die uitvoering moeten geven aan de verplichtingen uit de DSA.

Vraag 11

Hoe vaak heeft u contact met de ACM om vast te leggen wat precies haar bevoegdheden zijn? Is de Uitvoeringswet hiervoor noodzakelijk?

De ACM is intensief betrokken bij de totstandkoming van het ontwerpwetsvoorstel. Ook heeft zij een Uitvoerbaarheids- en handhaafbaarheidstoets verricht op het ontwerpwetsvoorstel.
De uitvoeringswet is noodzakelijk om de ACM als beoogd toezichthouder te voorzien van de bevoegdheden die zij op grond van (artikel 50 van) de DSA moet hebben.

Vraag 12

Zijn er andere landen die de wet niet tijdig hebben ingevoerd? Welke landen zijn dit?

Ja. De Europese Commissie houdt een website bij met daarop een overzicht van de aangewezen digitaledienstencoördinatoren.9 Uit dit overzicht blijkt dat België, Estland, Frankrijk, Duitsland, Griekenland, Letland, Litouwen, Malta, Polen, Slowakije, überhaupt nog geen digitaledienstencoördinator hebben aangewezen. Een aantal landen heeft, net als Nederland, (voorlopig) een digitaledienstencoördinator aangewezen, vooruitlopend op uitvoeringswetgeving die nog niet is aangenomen. Voor hoeveel landen dit geldt is niet bekend.

Vraag 13

Kunt u een overzicht geven van de wetten die betrekking hebben op digitale zaken, die momenteel niet zijn ingevoerd ondanks de verstreken deadline? Wat zijn de financiële gevolgen geweest voor het missen van de deadlines?

Verordening
Deadline1
Stand van zaken
Gevolgen2
Platform to Business Verordening (P2B) – 2019/1150/EU
Geen, verordening is sinds juli 2020 van toepassing.
Wetsvoorstel om ACM als toezichthouder aan te wijzen is in december 2022 aangeboden aan uw Kamer.3
De verordening verplicht lidstaten om te voorzien in een adequate en doeltreffende handhaving van de verordening, maar schrijft niet voor hoe dat vormgegeven moet worden. Sinds de inwerkingtreding vindt in Nederland privaatrechtelijke handhaving van de P2B door de rechter plaats. Nadien is ervoor gekozen om ook de ACM te belasten met de handhaving van de P2B-verordening. Hiertoe is een wetsvoorstel bij uw Kamer ingediend. De ACM heeft zich al voorbereid op haar toekomstige taak, onder andere door het opstellen van een leidraad waarmee zij de regels uit de verordening verder verduidelijkt. Zolang het wetsvoorstel niet is aangenomen en in werking treedt, kan de ACM niet handhavend optreden. De Europese Commissie is van oordeel dat Nederland had moeten voorzien in specifieke nationale uitvoeringsbepalingen ter handhaving van de verordening en heeft Nederland daarom in gebreke gesteld. Het wetsvoorstel neemt de bezwaren van de Commissie weg.
Data Governance Verordening (DGA) – 2022/868/EU
24 september 2023
Het voorstel uitvoeringswet DGA is in oktober 2023 aangeboden aan uw Kamer.4 De nota n.a.v. het verslag wordt op korte termijn aan uw Kamer verstuurd.
Als onderdeel van de DGA geldt een registratieverplichting voor databemiddelingsdiensten, data-altruïstische organisaties kunnen zich vrijwillig registreren. Daarnaast kunnen zij een EU-label aanvragen om het vertrouwen in hun dienst te vergroten. Zo wordt voor iedereen zichtbaar welke partijen betrouwbaar met data omgaan. Een registratie of een EU-label aanvraag is pas mogelijk vanaf het moment dat de ACM met de inwerkingtreding van de uitvoeringswet formeel wordt aangewezen als toezichthouder. Aanbieders kunnen vanaf nu wel al een pre-notificatie van registratie en EU-label indienen bij de ACM. Dit zorgt ervoor dat het registratieproces efficiënt doorlopen kan worden zodra de ACM formeel is aangewezen als toezichthouder. Ook is er nog geen bevoegd orgaan aangewezen om overheidsorganisaties bij te staan in het kader van het tweede hoofdstuk van de verordening. Daarnaast kan de ACM nog niet formeel als toezichthouder deelnemen aan het Europees Comité voor Gegevensinnovatie.
Digitale Markten Verordening (DMA) – 2022/1925/EU
Geen.
Het voorstel uitvoeringswet DMA is in januari 2024 aan uw Kamer aangeboden.5
De Commissie is als enige bevoegd tot handhaving van de DMA. Voor lidstaten is er geen verplichting om nationale toezichthouders aanvullende onderzoeksbevoegdheden te geven, maar de verordening biedt wel die mogelijkheid. In het wetsvoorstel wordt voorgesteld om de ACM deze aanvullende onderzoeksbevoegdheden te geven.
Digitale Diensten Verordening (DSA) – 2022/2065/EU
17 februari 2024
Het voorstel uitvoeringswet wordt binnen enkele weken aangeboden aan uw Kamer.
Zie het antwoord op vraag 6.
Die de verordening stelt voor de uitvoeringswetgeving.
Er zijn vooralsnog geen financiele gevolgen voorzien.
Kamerstuk 36285.
Kamerstuk 36451.
Kamerstuk 36495.

Vraag 14

Hoe gaat u ervoor zorgen dat digitale wetgeving voortaan tijdig en degelijk wordt ingevoerd, zodat de Kamer deze ook grondig kan behandelen en tijd heeft om deze nog te amenderen?

Vanzelfsprekend streeft het kabinet altijd naar tijdige implementatie of uitvoering van Europese (digitale) wetgeving. Dat lukt echter alleen met een realistische implementatie- of uitvoeringstermijn die ruimte laat voor de vereiste nationale afstemming en wetgevingsprocedures van alle lidstaten. Daar maakt het kabinet zich hard voor tijdens het Europese wetgevingsproces en dat zal zij ook in de toekomst blijven doen. Die pogingen zijn soms succesvol en soms niet.
Dat één of meerdere implementatie/uitvoeringswetten op of na de betreffende termijn bij de Kamer worden ingediend, doet overigens niet af aan de rol en bevoegdheden van de Kamer als medewetgever.

Vraag 15

Bent u het met de indieners eens dat het niet op tijd voorleggen van wetgeving de controlerende en medewetgevende taak van de Kamer verslechtert?

Het aan de Kamer voorleggen van wetsvoorstellen na het verstrijken van de uitvoerings- of implementatietermijn neemt naar de mening van het kabinet niet weg dat de Kamer haar controlerende en medewetgevende taak voldoende kan verrichten. Ten overvloede zij opgemerkt dat de Kamer ook tijdens de onderhandelingen over de DSA is geïnformeerd.

Vraag 16

Deelt u de mening dat regulering van het digitale domein noodzakelijk is en we hier in het verleden te veel steken hebben laten vallen?

Regulering van het digitale domein is inderdaad wenselijk en het kabinet heeft zich daarom ook proactief opgesteld bij de totstandkoming van diverse wetgeving in het digitale domein op Europees niveau.

Vraag 17

Kunt u deze vragen zo spoedig mogelijk en apart van elkaar beantwoorden?

Ja.

Vraag 1

Kan de Staatssecretaris inzichtelijk maken hoeveel zakelijke vliegreizen sinds 2018 jaarlijks door ambtenaren van de Rijksoverheid zijn gemaakt en deze uitsplitsen tussen business en economyclass?1

Ik beperk mij in mijn antwoorden tot de situatie bij de sector Rijk. Het Ministerie van Defensie is daardoor niet meegenomen in de beantwoording.
Onderstaande tabel geeft een overzicht van het aantal vliegreizen van de sector Rijk, uitgesplitst tussen economyclass (EC) en businessclass (BC). Vanwege het reisbeleid (zie mijn beantwoording van vraag 6) zijn vluchten in businessclass in principe verre afstandsvluchten (vluchten van zes uur of meer). Percentueel kan de verhouding van vliegkilometers tussen economy- en businessclass daarom anders liggen.
Aantal EC
Aantal BC
EC%
BC%
Jaar 2018
21.918
4.902
82%
18%
Jaar 2019
34.713
5.181
87%
13%
Jaar 2020
11.831
721
94%
6%
Jaar 2021
11.268
1.290
90%
10%
Jaar 2022
23.683
4.144
85%
15%
Jaar 2023
30.512
4.962
86%
14%

Vraag 2

Bestaat er een duidelijk kader om de noodzakelijkheid van een zakelijke vliegreis voor overheidsambtenaren te toetsen? Zo nee, is de Staatssecretaris voornemens zo’n toets op te stellen?

Volgens de CAO Rijk is een dienstreis een door de werkgever noodzakelijk geachte reis in verband met het verrichten van werkzaamheden op een andere locatie dan de eigen werklocatie. Dit bepaalt de leidinggevende, maar ministeries kennen hiervoor ook hun eigen kaders. Vanuit het Rijksbrede programma Denk Doe Duurzaam is een checklist beschikbaar.2
De CAO Rijk geeft vervolgens regels over wanneer een buitenlandse dienstreis met de trein moet worden afgelegd en wanneer deze met het vliegtuig mag worden gemaakt. Treinreizen is daarbij het uitgangspunt. Deze regels zijn in 2020 aangescherpt, waardoor niet meer het aantal kilometers, maar het aantal uur leidend is. De dienstreis wordt per trein gemaakt als de reistijd per trein maximaal acht uur is. Is de reistijd meer dan acht uur, maar minder dan anderhalf keer de reistijd per vliegtuig, wordt de reis alsnog met de trein gemaakt. Hierbij geldt als reistijd de tijd die met het reizen is gemoeid, berekend vanaf de werklocatie van de werknemer tot de plek van bestemming. Dit is inclusief het voor- en natransport naar station of vliegveld en inclusief wachttijd (inchecktijd).
Werkgever Rijk en vakbonden hebben in het akkoord over de CAO Rijk 2022–2024 werkgevers en werknemers bij organisatieonderdelen die veel internationaal reizen opgeroepen om actief het gesprek te (blijven) voeren en maatregelen te treffen, zoals het verder inperken van businessclass reizen, zo veel mogelijk rechtstreekse vluchten in te zetten en online overleg in plaats van reizen te overwegen.

Vraag 3

Deelt de Staatssecretaris de mening dat de cao van de Rijksoverheid een voorbeeldfunctie heeft om duurzame arbeidsvoorwaarden te stimuleren?

De sector Rijk heeft zich verbonden aan een duurzame bedrijfsvoering. In relatie tot het reizen leidt dit tot keuzes om reizen te beperken tot het noodzakelijke, het gebruik van het openbaar vervoer te bevorderen en het toepassen van klimaatcompensatie.
De werkgever Rijk is de grootste werkgever van Nederland en heeft in die hoedanigheid een verantwoordelijkheid en een voorbeeldrol, ook in het kader van duurzaamheid. De werkgever Rijk zet daarom ook in op verduurzaming van de arbeidsvoorwaarden. Een recent voorbeeld is de afspraak in het akkoord over de CAO Rijk 2022–2024 dat werknemers een werkgeversbijdrage en IKB-budget kunnen besteden aan verduurzaming van de woning. Naar aanleiding van hetzelfde cao-akkoord is daarnaast 2023 de Pilot duurzame cao gestart. Ook tijdens de nieuwe cao-onderhandelingen zet de werkgever Rijk in op verduurzaming van de arbeidsvoorwaarden.

Vraag 4

Binnen de Pilot duurzame cao2 worden vliegreizen niet meegenomen in het duurzame reisgedrag, waarom niet?

Tijdens de onderhandelingen over de CAO Rijk 2022–2024 hebben vakbonden en werkgever Rijk een pilot afgesproken voor verduurzaming van de cao. De bedoeling van deze pilot is om duurzame ideeën uit te proberen, om ze daarna als dat kan rijksbreed door te voeren. Uit de ruim 300 ingestuurde ideeën zijn er veertien geselecteerd, aan de hand van zes vuistregels: originaliteit, uitvoerbaarheid, schaalbaarheid, impact, gedragsverandering en inclusiviteit. Tegelijkertijd bestond de wens ook om een spreiding over de verschillende aspecten van verduurzaming binnen de cao en bedrijfsvoering te creëren. Binnen de Pilot duurzame cao zijn vier andere ideeën die te maken hebben met reizen of mobiliteit uitgewerkt. Zoals in mijn beantwoording op vraag 1 al benoemd, hebben werkgever Rijk en vakbonden in hetzelfde cao-akkoord wel opgeroepen om actief het gesprek te (blijven) voeren en maatregelen te treffen in relatie tot internationaal reizen.

Vraag 5

Hoe waardeert de Staatssecretaris het initiatief van andere grote werkgevers om hun werknemers standaard in economy(plus) te laten vliegen, gezien een vlucht in de businessclass 2,6 tot 4,3 keer zoveel CO2-uitstoot oplevert?3

De sector Rijk werkt op vele manieren aan het terugdringen van de CO2-uitstoot. Onderdeel hiervan is dat de sector Rijk het zakelijke verkeer van alle rijksambtenaren wil verduurzamen. De ministeries moeten hiermee zelf aan de slag. Het beperken van vliegen in businessclass en vliegreizen in het algemeen zijn manieren om dat te doen. Werkgevers die daarop inzetten, leveren dan ook een positieve bijdrage.
De CAO Rijk geeft regels over het reizen in economy- dan wel businessclass. Bij een vlucht van minder dan zes uur, wordt de reis in economyclass gemaakt. Het reizen in businessclass is toegestaan als de vlucht zes uur of meer bedraagt, maar dit is geen verplichting. Economyclass is voor uitgezonden werknemers (bij verlof, opleiding in Nederland, overplaatsing en familiebezoek / gezinshereniging) de standaard.
Over arbeidsvoorwaardelijke afspraken uit de CAO Rijk moet ik overeenstemming bereiken met de vakbonden en deze kan ik dus niet eenzijdig aanpassen. De werkgever rijk zet ook tijdens de nieuwe cao-onderhandelingen in op verduurzaming van de arbeidsvoorwaarden.
Overigens geldt dat naast dat reisbeleid duurzaam moet zijn, er ook andere overwegingen spelen. De werkgever moet ervoor zorgen dat de werknemer de reis veilig en verantwoord kan maken, mede met het oog op de gezondheid van de werknemer. Zo moet het reisbeleid de werknemer bijvoorbeeld in staat stellen zijn werkzaamheden zowel na aankomst op de plaats van bestemming als na terugkomst in zijn woonplaats en zo nodig tijdens de heen- en terugreis optimaal te verrichten en fit te zijn en te blijven.

Vraag 6

Kan de Staatssecretaris toezeggen om vliegen in economy(plus) voor zakelijke vliegreizen door ambtenaren van de Rijksoverheid de standaard te maken? Zo nee, waarom niet?

Zie antwoord vraag 5.