Open Kamerbeta

Kamervragen

Titel
Status
Indiener (persoon)
Indiener (partij)
11 kamervragen gevonden
beantwoord onbeantwoord uitgesteld
Recent beantwoord
4 oktober 2023 - 30 oktober 2023
Het bericht «Experts sabelen overheid neer om belangrijke websites als DigiD: «Pas nu domeinnaam aan»»
Hawre Rahimi (VVD), Queeny Rajkowski (VVD)
Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD), Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66)
1. AD, 2023. Experts sabelen overheid neer om belangrijke websites als D…
2. Zie ook de toezegging aan het lid Rahimi (VVD) tijdens het commissiedebat Digitaliserende overheid van 28 juni 2023. TZ202307–069.
3. Toezegging aan het lid Rajkowski (VVD) tijdens het commissiedebat Cybercrime d.d. 30 maart 2023. TZ202303–121.
4. Toezegging aan het lid Rajkowski (VVD) tijdens het commissiedebat Online veiligheid en cybersecurity d.d. 29 juni 2023. TZ202307–065.
  • Vraag 1

    Bent u bekend met het bericht «Experts sabelen overheid neer om belangrijke websites als DigiD: «Pas nu domeinnaam aan»»?1

    Ja.

  • Vraag 2

    Deelt u de mening dat het gebruik van topleveldomeinnamen, zoals ook gevraagd tijdens het commissiedebat Digitaliserende overheid d.d. 28 juni jl. een goed idee is en wat is de status hiervan2?

    Zoals opgenomen in de Werkagenda Waardengedreven Digitaliseren3, heb ik onder de pijler 2: Iedereen kan de digitale wereld vertrouwen, opgenomen te komen tot de invoering van een second-level-domein (SLD) voor de overheid. Als voorbeeld is in de Werkagenda opgenomen de SLD overheid.nl, daarnaast wordt ook gov.nl overwogen.
    Met de toename van domeinnamen van de overheid is de herkenbaarheid van overheidswebsites in het geding gekomen. Een eigen topleveldomeinnaam (TLD) zoals bijvoorbeeld .gov, .overheid of .nld is nu niet mogelijk. De TLD .gov is al in bezit van de Amerikaanse overheid en kan dus niet gebruikt worden door de Nederlandse overheid.
    In 2012, tijdens de laatste uitbreiding van TLD’s heeft de Internet Corporation for Assigned Names and Numbers (ICANN), de organisatie waar je een TLD moet aanvragen, de regel gehandhaafd dat 3 letterige ISO country codes TLD (ccTLD) zoals .nld niet uitgegeven worden.4 Nederland gebruikt op dit moment de 2 letterige ccTLD .nl en het huidige .nl domein werkt goed [zie Kamerstuk 26 643, nr. 947]. ICANN zal de regel over niet toekennen van 3 letterige ccTLD zeer waarschijnlijk ook handhaven in de volgende uitbreidingsronde van TLD door ICANN. Verwacht wordt dat ICANN waarschijnlijk in 2026 de aanmelding voor een volgende uitbreidingsronde voor TLD’s opent. Tot die tijd zou Nederland geen aanvraag voor een TLD kunnen indienen.
    Veel landen hanteren specifiek voor overheidswebsites de SLD extensie .gov zoals het Verenigd Koninkrijk (gov.uk), Tsjechië (gov.cz), Polen (gov.pl), Griekenland (gov.gr) en Portugal (gov.pt). Het is inmiddels een internationale standaard voor overheidswebsites én herkenbaar, korter en daardoor ook veiliger. Uit recent onderzoek5 van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) blijkt aantoonbaar dat een uniforme extensie burgers helpt te bepalen of een website van de overheid is of niet.
    Momenteel wordt gewerkt aan een implementatie-aanpak voor één extensie. Over de gemaakte keuze en aanpak wil ik uw Kamer via de Voortgangsrapportage van de Werkagenda Waardengedreven Digitaliseren eind dit jaar nader informeren. Voor de daadwerkelijke implementatie zal er vervolgens enige tijd nodig zijn; dit zal nader toegelicht worden in de implementatie-aanpak.

  • Vraag 3

    Zo ja, op welke termijn verwacht u dit door te kunnen voeren?

    Zie antwoord vraag 2.

  • Vraag 4

    Waarom hebben namen van websites als DigiD en andere websites van de overheid (nog) geen specifieke domeinnamen?

    Overheden zijn nu vrij domeinnamen voor hun websites te kiezen. Voor Rijksoverheden wordt deze vrijheid begrensd door de afspraken die zijn vastgelegd in het Domeinnaambeleid Rijksoverheid.6 De afspraken bevatten onder meer criteria voor het gebruik van topleveldomeinen door de Rijksoverheid zoals .nl, .eu, .com, .aw-, .cw- en .sx. En verder zijn er afspraken dat overige TLD’s zoals bijvoorbeeld .nu, .org, .net, .gov, .info, .biz, .mil niet gebruikt worden voor Nederlandse Rijksoverheidsdoeleinden.

  • Vraag 5

    Hoe beoordeelt u dat er wordt gesteld dat de overheid domeinnamen van de eigen websites zo snel mogelijk moet aanpassen naar .gov of .overheid om de opmars van cybercriminaliteit de pas af te snijden?

    De invoering van een uniform domeinnaamachtervoegsel zal de herkenbaarheid van de overheid online vergroten, zoals ik ook vermeldde in de «Werkagenda Waardengedreven Digitaliseren» die ik eind 2022 met u deelde. Het is echter geen middel om cybercriminaliteit met online overheidsdiensten volledig te voorkomen.
    Zoals toegelicht in vraag 2 is de invoering van een top-level domeinnaam (TLD) voor de overheid nu niet mogelijk. De second-level domeinnamen (SLD) overheid.nl en gov.nl zijn al in bezit van de Nederlandse overheid. Deze domeinnamen kunnen als uniform achtervoegsel (ook wel suffix of extensie genoemd) worden gebruikt voor domeinnamen van de overheid. Daaronder kunnen dan domeinnamen voor organisaties worden geregistreerd zoals bijv. minbzk.overheid.nl of minbzk.gov.nl. Verschillende andere landen hanteren al een vergelijkbare aanpak of werken aan de invoering ervan, zoals Groot-Brittannië (gov.uk), Tsjechië (gov.cz), Griekeland (gov.gr), Polen (gov.pl) en Portugal (gov.pt). Ik ben voorstander van het invoeren van een SLD-extensie en zal me daarvoor ook blijven inzetten, maar een volledige overstap zal tijd kosten.

  • Vraag 6

    Deelt u de mening dat er spoedig specifieke domeinnamen moeten komen voor de hiervoor genoemde websites? Zo neen, waarom niet?

    Ik vind het belangrijk dat de digitale overheid herkenbaar en veilig is voor burgers en uit recent burgeronderzoek7 is gebleken dat één uniforme domeinnaamextensie zoals bijvoorbeeld overheid.nl of gov.nl bijdraagt aan de herkenbaarheid van de overheid. Een dergelijk extensie kan, na invoering, ook worden toegepast op websites zoals DigiD.

  • Vraag 7

    Bent u voornemens de domeinnamen spoedig te veranderen? Zo neen, waarom niet? Zo ja, wanneer zou dat gerealiseerd kunnen zijn?

    Op dit moment werkt het Ministerie van BZK interdepartementaal de mogelijkheid uit om één uniforme domeinnaamextensie voor alle publieksgerichte websites van de overheid in te voeren. Dat zal gebaseerd zijn op een SLD zoals overheid.nl of gov.nl. Ook is het Nationaal Cyber Security Centrum gevraagd een advies uit te brengen over welk extensiegebruik (gov.nl of overheid.nl) vanuit digitale veiligheid de voorkeur geniet.
    Verder is begin oktober het Register van Overheidsorganisaties (ROO) uitgebreid met de bèta-versie van het Register Internetdomeinen Overheid (RIO).8 In het register staan alle publieke domeinen en -registraties van de Rijksoverheid opgenomen. Aan de hand van het register kunnen burgers nu al controleren of een domeinnaam die men bezoekt bij de overheidsorganisatie hoort die wordt verwacht. Vanaf begin 2024 worden ook de domeinen van andere overheden in het register vindbaar en zal meer bekendheid gegeven worden aan het RIO.

  • Vraag 8

    Wanneer kan de voortgangsrapportage integrale aanpak onlinefraude worden verwacht, die zoals toegezegd tijdens het commissiedebat Cybercrime d.d. 30 maart jl.3, informatie bevat over de pilot gegevensuitwisseling, gezien banken, politie en het OM informatie hebben die helaas nog te weinig bij elkaar wordt gebracht, waardoor cybercriminelen vrij spel lijken te hebben?

    De Minister van Justitie en Veiligheid zendt u uiterlijk begin 2024 de toegezegde voortgangsrapportage over 2023.

  • Vraag 9

    In het debat Online veiligheid en cybersecurity van 29 juni 2023 is toegezegd4 om informatie over terugvalopties en de hele weerbaarheidsanalyse terug te laten komen in de update van de versterkte aanpak bescherming vitale infrastructuur: hoe staat het met de uitwerking van deze toezegging?

    Uw Kamer wordt voor het einde van dit jaar door de Minister van Justitie en Veiligheid geïnformeerd over deze toezegging en over de motie Rajkowski en Van Raan over het in kaart brengen in hoeverre terugvalopties nodig zijn voor het versterken van de digitale weerbaarheid (26 643 nr. 1053).

  • Vraag 10

    Bent u voornemens het onderzoek van Interpolis, waarnaar verwezen wordt in het artikel, mee te nemen in de aanpak tegen phishing en andere vormen van cybercriminaliteit? Zo ja, op welke manier zal dit terugkomen en wanneer verwacht het kabinet een update over de aanpak te kunnen geven? Zo nee, waarom niet?

    De in het artikel genoemde noties over online weerbaarheid, en het herkennen en voorkomen van cybercriminaliteit zijn bekend. Dat wordt door de Minister van Justitie en Veiligheid meegenomen in de aanpak tegen cybercrime, en de aanpak tegen online fraude. Een voorbeeld hiervan is de campagne «Laat je niet interneppen», die op 10 oktober is gestart. Er wordt rekening gehouden met de verschillende (online) belevingswerelden van verschillende leeftijdsgroepen. Daarom is het eerste deel van de campagne met name gericht op jongeren tussen 15 en 23 jaar oud. Volgende delen zullen zich op andere doelgroepen richten.
    In het voorjaar van 2024 zal de Minister van Justitie en Veiligheid een volgende update over de integrale aanpak cybercrime naar uw Kamer zenden.

  • Vraag 11

    De drempel om te starten met cybercrime zoals phishing ligt steeds lager en daders worden steeds jonger. De Minister heeft eerder toegezegd programma’s als «Hack_Right» meer in te zetten om jongeren op het juiste pad te zetten: hoe staat het hiermee? Hoe vaak is een hack_right traject in 2023 tot dus ver opgelegd?

    Er zijn verschillende interventies die door de politie en HALT worden ingezet om jongeren op het juiste te pad te houden of te zetten. Een voorbeeld hiervan is Re_B00tcmp, een terugkerend regionaal evenement voor jongeren met interesse in IT, en die de neiging hebben online grenzen op te zoeken. Tijdens het evenement leren zij middels verschillende presentaties van publieke en private partijen over online grenzen en positieve kansen van IT. Ook is er lesmateriaal ontwikkeld, dat ondersteuning biedt aan ouders, docenten en wijkagenten om jongeren met interesse in IT naar diverse positieve alternatieven te begeleiden. Ook is een aantal online interventies ontwikkeld, zoals de game Framed, en de inkoop van online advertenties om mensen die naar cybercriminele activiteiten (zoals DDoS) zoeken een advertentie van de politie te laten zien die informeert over de strafbaarheid en mogelijke consequenties. In 2023 zijn er tot dusver twee Hack_Right-trajecten opgelegd. Daarnaast is Hack_Right twee keer geadviseerd, eenmaal door de Raad van de Kinderbescherming, en eenmaal door de Reclassering. De rechter heeft daarover nog geen uitspraak gedaan.

21 juni 2023 - 26 juli 2023
Het bericht 'Ambtenaar vervalste meerdere rapporten over beveiliging DigiD-aansluiting'
Hawre Rahimi (VVD), Ulysse Ellian (VVD)
Franc Weerwind (minister zonder portefeuille justitie en veiligheid) (D66), Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66)
1. Security (2023). Ambtenaar vervalste meerdere rapporten over beveili…
  • Vraag 1

    Bent u bekend met het bericht «Ambtenaar vervalste meerdere rapporten over beveiliging DigiD-aansluiting» van security.nl van 14 juni 2023?1

    Ja.

  • Vraag 2

    In opdracht van wie heeft deze ambtenaar deze taken uitgevoerd?

    De betreffende ambtenaar voerde zijn taken uit in dienst van Justis. De vervalsing van rapporten maakte daar vanzelfsprekend geen onderdeel van uit.

  • Vraag 3

    Is hier het vierogenprincipe gebruikt door een andere persoon? Zo ja, is deze persoon in zicht en zo nee, kunt u uitleggen waarom geen gebruik is gemaakt van het vierogenprincipe?

    Voor het betreffende proces binnen Justis werd tot maart 2023 geen gebruik gemaakt van het vierogenprincipe. De invoering van het vierogenprincipe is wel één van de verbeteracties die naar aanleiding van dit incident is doorgevoerd.

  • Vraag 4

    Heeft de desbetreffende ambtenaar ook op andere ministeries gewerkt? Zo ja, op welke?

    Nee.

  • Vraag 5

    Is er aan de hand van het digitaal forensisch onderzoek aanleiding om ook binnen andere ministeries en uitvoeringsorganisatie te onderzoeken of daar ook dergelijke praktijken plaatsvinden of hebben gevonden?

    Er is naar aanleiding van het uitgevoerde digitaal forensisch onderzoek geen reden om aan te nemen dat bij andere ministeries of uitvoeringsorganisaties dergelijke praktijken plaatsvinden of hebben gevonden. Zie voor de volledigheid ook het antwoord op vraag 6.

  • Vraag 6

    Welke structurele oplossingen ziet u om dit in de toekomst te voorkomen?

    Op dit moment is het zo dat organisaties bij het gebruik van DigiD jaarlijks moeten aantonen dat zij aan 21 informatieveiligheidseisen voldoen. Sinds 1 januari 2023 vindt digitale ondertekening plaats op de elektronisch ingediende assessments door de onafhankelijke auditor. Zonder deze digitale ondertekening neemt Logius de assessments niet in behandeling. Elke vorm van bewerking in het digitale document, nadat er is getekend, zorgt ervoor dat de geldigheid van de digitale handtekening komt te vervallen. In de afgelopen assessmentronde werd 98% van de assessments digitaal ingediend. Vanaf 1 januari 2024 kunnen assessments uitsluitend digitaal worden ingediend. Hiermee wordt manipulatie van assessments, of rapporten daarover, zo goed als onmogelijk gemaakt. Na de constatering van de manipulatie is bij Justis het auditproces verbeterd en aangescherpt, zo is bijvoorbeeld het vierogenprincipe ingevoerd (zie ook de beantwoording van de vragen 3 en 10).

  • Vraag 7

    Wat is er in het rapport voor Suwinet van 2020 aangepast en waarom?

    In de aangepaste versies zijn meerdere bevindingen van de Suwinet-auditrapportages afgezwakt of weggelaten. Hierbij zijn sommige negatieve bevindingen aangepast zodat deze positiever overkomen of zijn deze bevindingen volledig weggelaten. Voor meer specifieke informatie verwijs ik naar de managementsamenvatting van het forensisch digitaal onderzoek van Fox-IT, dat ik uw Kamer eerder toestuurde.2 De vraag waarom deze wijzigingen op de originele auditrapportage van de ADR zijn gemaakt, is geen onderdeel geweest van het digitaal forensisch onderzoek van Fox-IT.

  • Vraag 8

    Wat zijn de verschillen tussen de beveiligingsassessments van DigiD die de Auditdienst Rijk (ADR) aan Justis levert en de beveiligingsassessments die Justis naar Logius stuurt? Is de informatieveiligheid in gevaar geweest en/of zijn er gegevens gelekt?

    In de rapporten zijn oordelen van de ADR dat de toepassing van een beveiligingsnorm «niet voldoet» aangepast naar «voldoet». Op dit moment zijn er geen signalen die wijzen op concreet gevaar voor de informatieveiligheid of het lekken van gegevens. In de tweede fase van het onderzoek wordt een risico-inschatting gemaakt naar aanleiding van de gemaakte wijzigingen in de DigiD-auditrapportages. Na het afronden van deze fase zal naar verwachting meer duidelijk zijn over de risico’s die op het gebied van informatieveiligheid hebben bestaan.

  • Vraag 9

    Kan de Staatssecretaris ons mededelen of de weggestuurde persoon betrokken was bij de opzet van de exploited audit en zo ja, welke andere personen in een identieke rol betrokken waren, of mogelijk betrokken zijn? En zijn deze personen ook betrokken bij het implementeren van de reparatie van deze exploit?

    Voor de beantwoording van deze vraag interpreteer ik de term «exploited audit» als «het (frauduleus) aanpassen van de bedoelde rapportages». In die context kan ik bevestigen dat de bedoelde persoon inderdaad was betrokken. Zoals ook uit het onderzoek van Fox-IT blijkt, zijn er echter geen sporen aangetroffen die aantonen dat anderen op de hoogte zijn geweest van de aanpassingen of betrokken zijn geweest bij het aanpassen of namaken van de rapporten. Bij de implementatie en reparatie zijn dus geen medewerkers betrokken die ook betrokken waren bij de aanpassing of het namaken van rapporten.

  • Vraag 10

    Zien de toegezegde vervolgacties op de verbetering van de interne auditfunctie of op de compliance office bij Justis zelf?

    De vervolgacties zien op het aanscherpen en verbeteren van het auditproces binnen Justis, om manipulatie van assessments, of rapporten daarover, zo goed als onmogelijk te maken (zie ook mijn antwoorden op vragen 3 en 6).
    Er vinden op dit moment nog twee onderzoeken plaats: het onderzoek naar risico’s zoals benoemd in het antwoord op vraag 8 en een onderzoek naar hoe dit heeft kunnen gebeuren. Het is mijn verwachting dat ook hieruit concrete aanbevelingen komen voor verdere verbeteringen om soortgelijke situaties in de toekomst te voorkomen.

  • Vraag 11

    Is er vastgesteld of de betrokken fraudeur ook andere mogelijke exploits heeft gezocht bij Justis en bij Suwinet in die vijf jaren?

    Voor de beantwoording van deze vraag interpreteer ik de term «exploits» als «het (frauduleus) aanpassen van rapportages». In die context kan ik u melden dat uit het digitaal forensisch onderzoek niet is gebleken dat dit het geval is.

  • Vraag 12

    Heeft het onderzoek kunnen vaststellen of deze medewerkers ook zicht en vermoedens hebben gehad dat deze medewerker deze vervalsingen kon en wilde aanleggen?

    Voor de beantwoording van deze vraag interpreteer ik de term «deze medewerkers» als «alle medewerkers van Justis behalve betrokkene». Tijdens het onderzoek van Fox-IT zijn geen sporen aangetroffen die erop wijzen dat anderen dan betrokkene op de hoogte waren van de aanpassingen in de rapporten, of betrokken waren bij het aanpassen of namaken van de rapporten.

8 juni 2023 - 9 juni 2023
Het bericht 'Digitale identiteit voor burgers: doelen behaald, maar nog onduidelijkheid over toekomstige inlogmiddelen'
Evert Jan Slootweg (CDA), Hawre Rahimi (VVD)
Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66)
1. Algemene Rekenkamer. «Digitale identiteit voor burgers: doelen behaal…
  • Vraag 1

    Bent u bekend met het rapport van de Algemene Rekenkamer «Digitale identiteit voor burgers: doelen behaald, maar nog onduidelijkheid over toekomstige inlogmiddelen» van de Algemene Rekenkamer van 29 maart 2023?1

    Ja, ik ben bekend met het bericht en het betreffende rapport van de Algemene Rekenkamer.

  • Vraag 2

    Deelt u de mening dat het onwenselijk is dat door strengere beveiligingsmaatregelen, die per 1 juli met de ingang van de Wet digitale overheid ingaan, een grote groep burgers, die normaal gebruik maakt van sms-codes om in te loggen bij DigiD, dit straks niet meer kunnen omdat het technisch aansluitpunt dat moet komen zodat uitvoerende organisaties zoals de UWV, de Belastingdienst en gemeenten slechts op één centraal punt aan hoeven te sluiten, er nog niet is?

    Op 1 juli aanstaande zijn er nog geen directe gevolgen voor burgers en bedrijven voor de digitale toegang tot de overheidsdienstverlening op grond van de Wet Digitale Overheid (WDO). Inloggen met SMS blijft op 1 juli beschikbaar.
    De Wet Digitale Overheid zal op 1 juli 2023 gefaseerd in werking treden. De wet vormt onder andere de juridische basis voor het nog in ontwikkeling zijnde stelsel Toegang. Het stelsel Toegang maakt het technisch mogelijk dat in de nabije toekomst kan worden ingelogd met zowel publieke inlogmiddelen, zoals DigiD, als met erkende private middelen. Deze middelen dienen te beschikken over de vereiste betrouwbaarheidsniveaus, conform de eIDAS-verordening, hetgeen nu in de wet is vastgelegd. De dienstverleners bepalen zelf op welk betrouwbaarheidsniveau een burger of bedrijf moet inloggen.
    Hogere betrouwbaarheidsniveaus maken de dienstverlening veiliger en maken een nauwkeuriger identiteitsvaststelling mogelijk, maar vragen altijd nadrukkelijke aandacht voor digitale toegankelijkheid voor burgers. De afweging tussen veiligheid en toegankelijkheid staat daarom centraal bij de doorontwikkeling van inlogmiddelen en bij het onderzoek naar de toepassing van hogere betrouwbaarheidsniveaus.
    Voor burgers kan het lastig zijn om volwaardig digitaal mee te doen. Er moet om die reden altijd een goed werkend en toegankelijk fysiek alternatief zijn om in contact te treden met publieke dienstverleners. Burgers kunnen bij digitale dienstverlening onder andere geholpen worden bij de Informatiepunten Digitale Overheid (IDO’s) en de helpdesk van DigiD en eHerkenning. Daarnaast ben ik bezig met het verder ontwikkelen van voorzieningen voor digitaal machtigen en vertegenwoordigen, zodat een burger ook aan iemand anders kan vragen iets voor hem of haar te regelen.
    Het is belangrijk dat inloggen met DigiD bij de overheid en bij andere organisaties veilig, betrouwbaar en toegankelijk is en blijft. Voor veel overheidsdiensten loggen mensen nu in met de DigiD-app of een SMS-code naast hun gebruikersnaam en wachtwoord. Daarbij merk ik op, zoals ik eerder al aan uw Kamer heb gemeld2, dat de mogelijkheid om in te loggen via SMS-authenticatie vooralsnog behouden blijft. Ik heb aangegeven dat ik in overleg met uw Kamer zal treden voordat er wijzigingen plaatsvinden in dit beleidsuitgangspunt.

  • Vraag 3

    Deelt u de mening dat dat dit een potentieel maatschappelijk ontwrichtende werking heeft als dit aansluitpunt niet voor 1 juli 2023 gereed is en er niet meer ingelogd kan worden bij verschillende organisaties?

    U geeft aan dat bij de ontwikkeling van het nieuwe stelsel een centraal aansluitpunt ontbreekt. In plaats van een centraal aansluitpunt wordt gewerkt aan een standaard koppelvlak waarop publieke dienstverleners kunnen aansluiten.
    Er wordt momenteel gewerkt aan dit koppelvlak. Belangrijk is te benadrukken dat de aansluiting van publieke dienstverleners op het nieuwe stelsel Toegang niet in één keer, maar geleidelijk gaat. Dienstverleners sluiten na zorgvuldige voorbereiding geleidelijk aan op het stelsel Toegang. Deze geleidelijke aansluiting is voorzien in de periode 2024–2026 en zal worden vastgelegd in een aansluitschema.
    Zolang een dienstverlener niet is aangesloten op het nieuwe technische stelsel zal de bestaande techniek met inloggen via DigiD en eHerkenning beschikbaar zijn.

  • Vraag 4

    Zo ja, wat gaat u doen om er voor te zorgen dat deze grote groep burgers wél gebruik kan (blijven) maken van de digitale faciliteiten van de overheid? Met andere woorden, wat gaat u doen om voor 1 juli 2023 dat aansluitpunt wel te regelen?

    Zie de antwoorden op vraag 2 en 3.

  • Vraag 5

    In hoeverre is het niet nakomen van het organiseren van een ordentelijk aansluitpunt in strijd met de wet Markt en Overheid?

    Zoals in vraag 3 geantwoord wordt momenteel gewerkt aan een standaard koppelvlak. Het aansluiten op het stelsel Toegang heeft zijn basis in de Wet Digitale Overheid.

  • Vraag 6

    Kunt u deze vragen voor het wetgevingsoverleg dat gepland staat op 13 juni a.s. over de Slotwet 2022, Jaarverslag 2022 en rapport resultaten verantwoordingsonderzoek 2022 ARK over het Ministerie van JenV, BZK en van EZK, voor zover het onderwerpen betreft die zien op digitalisering, beantwoorden?

    Ja.

8 maart 2023 - 13 april 2023
De berichten 'Naaktbeelden borstkankerpatiënten VS gepubliceerd om ziekenhuis af te persen' en 'Paspoorten van dokters op straat na hack bij oudereninstelling Gelderland'
Queeny Rajkowski (VVD), Sophie Hermans (VVD), Hawre Rahimi (VVD)
Kuipers , Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD)
1. RTLnieuws, 6 maart 2023, «Naaktbeelden borstkankerpatiënten VS gepubl…
2. RTL Nieuws, 7 maart 2023, «Paspoorten van dokters op straat na hack b…
3. Vragen van de leden Tielen en Rajkowski (beiden VVD) aan de Ministers van Volksgezondheid, Welzijn en Sport en van Justitie en Veiligheid over het bericht «Pro-Russische DDoS-aanvallers vallen Nederlandse ziekenhuizen aan» (ingezonden 2 februari 2023).
  • Vraag 1

    Bent u bekend met de berichten: «Naaktbeelden borstkankerpatiënten VS gepubliceerd om ziekenhuis af te persen», en «Paspoorten van dokters op straat na hack bij oudereninstelling Gelderland»?1, 2

    Ja.

  • Vraag 2

    Is bekend of meer Nederlandse ziekenhuizen of zorginstellingen slachtoffer zijn (geweest), of doelwit zijn van ransomware-aanvallen waarbij patiëntgegevens en gegevens van (zorg)medewerkers zoals foto’s en persoonsinformatie buit zijn gemaakt? Om hoeveel gevallen gaat het? Welke stappen zijn gezet om de schade voor patiënten zo veel mogelijk te beperken?

    De afgelopen jaren zijn meerdere ziekenhuizen en zorginstellingen slachtoffer geweest van ransomware-aanvallen. Uit het dreigingsbeeld cybersecurity van het Computer Emergency Response Team voor de zorg (Z-CERT) blijkt dat er in 2022 vijf ransomware-incidenten bij Nederlandse zorginstellingen zijn geregistreerd door Z-CERT.3 In het jaar 2021 betrof dit ook vijf geregistreerde ransomware incidenten. In 2023 is er voorlopig sprake van twee genoteerde incidenten.4 Het is mij niet bekend bij hoeveel van deze incidenten er gegevens van patiënten of (zorg-)medewerkers zijn ontvreemd.
    Zorgaanbieders die geraakt worden door ransomware kunnen (technische) experts inzetten om de gevolgen van het incident te beperken. Zorgaanbieders die zijn aangesloten bij Z-CERT kunnen hierbij rekenen op ondersteuning door Z-CERT. Het is daarnaast van belang dat zorginstellingen contact opnemen met de betrokken patiënten of medewerkers om hen te informeren over de gevolgen die het incident voor hen heeft, en in overleg met de ICT-leverancier maatregelen treffen ten behoeve van de informatieveiligheid.

  • Vraag 3

    Welke veiligheidsmaatregelen worden getroffen door Nederlandse ziekenhuizen en zorginstellingen om patiëntgegevens, gegevens van (zorg)medewerkers en andere gevoelige data zo goed mogelijk te beschermen, de continuïteit van zorgprocessen te borgen en om cybercriminelen buiten de deur te houden? In hoeverre wordt de zorgsector hierbij ondersteund door Z-CERT? In hoeverre wordt Z-CERT ook actief benaderd en betrokken door de zorgsector zelf wanneer het gaat om bijstand bij cyberaanvallen? Is Z-CERT ook in het verleden betrokken geweest bij cyberaanvallen op Nederlandse ziekenhuizen en andere zorginstellingen? Zo ja, wat was hun rol?

    Zorginstellingen nemen maatregelen om de gevolgen van cyberaanvallen te beperken en zo spoedig mogelijk te mitigeren. Deze maatregelen vloeien voort uit hun verantwoordelijkheden en zijn uitgewerkt in wettelijk verplicht gestelde normen voor informatiebeveiliging in de zorg. Dit betreft de NEN7510, 7512 en 7513. Kern hierbij is de NEN 7510 norm, die met name voorschrijft dat zorginstellingen de risico’s voor informatiebeveiliging in kaart brengen en hiervoor passende maatregelen nemen. De norm vereist ook beheersmaatregelen voor de bescherming van netwerken, bedrijfscontinuïteit en bereikbaarheid. De aanvullende normen NEN 7512 en 7513 zien er daarnaast op toe dat er wordt voldaan aan eisen voor veilige gegevensuitwisseling en logging.
    Op dit moment zijn meer dan 300 instellingen uit verschillende sub-sectoren aangesloten bij Z-CERT. Z-CERT voorziet hun deelnemers van advies en dreigingsinformatie, en in het geval van een incident kan Z-CERT een zorginstellingen ondersteunen bij het mitigeren van de gevolgen van een cyberaanval. Z-CERT heeft dit in het verleden ook gedaan, bijvoorbeeld tijdens de recente DDoS-aanvallen op Nederlandse ziekenhuizen. Door gebruik te maken van de diensten van Z-CERT zoals het Zorgdetectienetwerk, kunnen zorginstellingen informatie over incidenten met elkaar delen. Z-CERT monitort daarnaast actief op signalen van incidenten bij haar deelnemers. Ook scant Z-CERT op internet naar kwetsbare systemen bij de deelnemers en informeert deze daarover om zo mogelijke incidenten te voorkomen.
    Het Ministerie van VWS ondersteunt het gefaseerd aansluiten van de gehele zorgsector op basis van een risicogebaseerde aansluitstrategie, zodat steeds meer zorginstellingen deelnemer worden van Z-CERT. Het Ministerie van VWS blijft zich inzetten om de dienstverlening van Z-CERT zo breed mogelijk beschikbaar te stellen binnen de gehele zorgsector.

  • Vraag 4

    Welke maatregelen worden genomen om te voorkomen dat een klik op een verkeerde link door een (zorg)medewerker cybercriminelen toegang geeft tot de meest gevoelige en kwetsbare informatie van patiënten?

    Bewustwording van risico’s en het belang van zorgvuldig handelen door eigen medewerkers is essentieel voor goede informatieveiligheid, ook in de zorg. Het Ministerie van VWS zet daarom ten eerste in op het stimuleren van informatieveilig gedrag van zorgprofessionals. In de brief «Voortgang op elektronische gegevensuitwisseling» van 15 december 2022 heb ik u hier nader over geïnformeerd.5 In 2019 is het Ministerie van VWS het project informatieveilig gedrag gestart. Via dit project werkt het ministerie aan een gestructureerde methode voor gedragsverandering op het gebied van informatieveiligheid, toegespitst op de Nederlandse zorgsector. De methode is uitgewerkt in een Wegwijzer, waarin manieren zijn opgenomen om informatie veilig gedrag in de zorg te bevorderen. Hierin wordt onder andere ingegaan op welke interventies mogelijk zijn om te voorkomen dat (zorg)medewerkers slachtoffer worden van phishing.
    Daarnaast heeft Z-CERT een publicatie over phishing gemaakt waarin maatregelen en een handelingsperspectief beschreven worden.6 Deze publicatie is terug te vinden op website van Z-CERT en is door Z-CERT verspreid onder haar deelnemers. Hierin staan naast bewustwordingsmaatregelen ook technische maatregelen die zorginstellingen kunnen toepassen om beter beschermd te zijn tegen phishing.

  • Vraag 5

    Welke maatregelen neemt Z-CERT om de cyberbewustwording en weerbaarheid bij Nederlandse ziekenhuizen en zorginstellingen te verhogen?

    Z-CERT biedt hun deelnemers een breed pakket aan diensten om hun cybersecurity bewustwording en weerbaarheid te verhogen. Zoals ik in mijn antwoord op vraag 3 heb aangegeven gaat het hierbij onder andere om het verspreiden van dreigingsinformatie, adviseren over preventieve maatregelen en het ondersteunen bij het mitigeren van de impact van een cyberaanval. Concreet gaat het bijvoorbeeld om adviezen over hoe te reageren op een ransomwareaanval, en hoe e-mailstandaarden en monitoring te implementeren.7 Z-CERT helpt hun deelnemers daarnaast bij het organiseren van cybercrisisoefeningen, en Z-CERT informeert deelnemers geregeld over cyberbewustwordingsonderwerpen. Op de website van Z-CERT is eveneens een kennisbank te vinden met daarin documentatie die informatie bevat over verschillende thema’s. Het doel van deze publicaties is om het zorgveld cyberweerbaar en cyberbewust te maken. Deze informatie is voor iedereen toegankelijk.

  • Vraag 6

    Hoe hoog wordt het dreigingsniveau van eventuele aanvallen door cybercriminelen op Nederlandse ziekenhuizen en zorginstellingen, maar ook breder dan deze sector, geschat? Hoe beoordeelt u de digitale weerbaarheid van Nederlandse sectoren in vergelijking met de huidige toenemende digitale dreiging waar Nederland nu mee te maken heeft? Welke maatregelen worden op dit moment in Nederland genomen om weerstand te bieden aan deze toenemende dreiging, ook in aanloop naar de implementatie van de NIS2?

    In het dreigingsbeeld cybersecurity 2022 geeft Z-CERT per type cyberdreiging voor het zorgveld een risico-inschatting. Zo wordt het dreigingsniveau met betrekking tot de impact van ransomware-aanvallen op Nederlandse ziekenhuizen en zorginstellingen aangemerkt als «hoog».8
    In het meest recente Cybersecuritybeeld Nederland staat genoteerd dat er sprake is van een scheefgroei tussen de toenemende dreiging en de ontwikkeling van de weerbaarheid.9 Omdat digitale systemen het «zenuwstelsel» van onze maatschappij vormen, maakt het kabinet zich daarom hard voor de versterking van onze digitale weerbaarheid via de verschillende ambities die omschreven staan in de Nederlandse Cybersecuritystrategie (NLCS), zodat deze scheefgroei geadresseerd wordt.10 In het actieplan van de NLCS staan de maatregelen waarmee deze ambities worden gerealiseerd en wie daarvoor verantwoordelijk is.

  • Vraag 7

    Hoe staat het met de toezegging dat Nederland zich inzet om de zwaarste cybercriminelen op Europese sanctielijsten te krijgen? Deelt u de mening dat de cybercriminelen van onder andere Black Cat en Qilin hier ook op thuishoren? Zo nee, waarom niet? Zo ja, wat gaat u doen om dit te bereiken?

    Als internationaal recht en in VN-verband overeengekomen normen geschonden worden door cyberaanvallen, kunnen diplomatieke maatregelen in coalitieverband worden genomen. In EU-verband hebben we hiertoe de Cyber Diplomacy Toolbox, die mede door Nederland tot stand is gekomen. Het EU Cyber Sanctie Regime is onderdeel van deze Toolbox. Inmiddels zijn acht personen en vier entiteiten die verantwoordelijk zijn voor de meest schadelijke cyberaanvallen op de sanctielijst van de EU geplaatst. Op de sanctielijst staan onder andere de verantwoordelijken voor de verstoorde Russische cyberoperatie tegen de Organisatie voor het Verbod op Chemische Wapens (OPCW). Daarnaast kregen personen en entiteiten uit China en Noord-Korea sancties opgelegd. Op dit moment wordt de Cyber Diplomacy Toolbox herzien, met als doel daadkrachtiger op te kunnen treden tegen ontwrichtende cyberoperaties, hier speelt Nederland wederom een actieve rol in. Welke respons opportuun is, zal afhankelijk zijn van de ernst en impact van het incident. Voor inzet van het sanctiemiddel is bovendien unanimiteit vereist in de EU-besluitvorming.

  • Vraag 8

    Hoe gaat u er zorg voor dragen dat de KopieID-app van de rijksoverheid, waarmee identiteitsbewijzen veilig gekopieerd, verstuurd en getraceerd kunnen worden, meer bekendheid en gebruikers krijgt, zodat in geval van diefstal en lekken locaties sneller te achterhalen zijn?

    Vanaf juni dit jaar wordt de KopieID-app extra onder de aandacht gebracht. Dat zal gebeuren via social media, advertorials en bij bibliotheken waar de Informatiepunten Digitale Overheid zijn. De KopieID-app zelf zal in juni ook gebruiksvriendelijker zijn dan de huidige app. Zo is de app straks in meer talen te gebruiken en kunnen documenten automatisch worden herkend zodat men niet meer zelf met de vinger onderdelen onzichtbaar hoeft te maken te maken. De app herkent dan ook documenten als de Sédula, de identiteitskaarten die gebruikt worden in het Caribisch deel van het Koninkrijk.

  • Vraag 9

    Hoe kan er zorg voor gedragen worden dat «vervuilde data», zoals verlopen paspoorten, sneller opgeruimd worden, zodat deze niet meer onderdeel kunnen worden van een cyberaanval? Hoe groot is het probleem van vervuilde data in Nederland?

    De kopieën van de identiteitsbewijzen in het artikel en «Paspoorten van dokters op straat na hack bij oudereninstelling Gelderland» waren van werknemers. Die kopieën worden gemaakt als iemand in dienst treedt bij een werkgever. Werkgevers zijn verplicht om deze kopieën, zonder doorgestreepte elementen, te bewaren. Dat moet tot vijf jaar nadat een werknemer weg is bij deze werkgever. Het komt dus voor dat er terecht kopieën worden bewaard van identiteitsbewijzen die inmiddels zijn verlopen. Werkgevers dienen kopieën van oud-werknemers niet onnodig lang te bewaren. Of en hoeveel kopieën onnodig worden bewaard, is onbekend.11

  • Vraag 10

    Ziet u mogelijkheden om, in het kader van de toenemende internationale cyberdreiging, aanvullende maatregelen te nemen op de korte termijn om de digitale weerbaarheid van de zorgsector en andere sectoren te vergroten? Zo ja, welke concrete maatregelen bent u bereid te treffen? Zo nee, waarom niet?

    Zoals in het antwoord op vraag 6 is aangegeven staan in het actieplan van de NLCS alle acties die het kabinet uit zal voeren om de algehele digitale weerbaarheid van de maatschappij te versterken. Hierin vindt u dus ook welke concrete maatregelen op korte termijn getroffen (zullen) worden. Een voorbeeld van belangrijke maatregelen die de digitale weerbaarheid op korte termijn zullen vergroten is het bieden van meer zicht op cyberincidenten, -dreigingen en -risico’s aan organisaties door meer en efficiëntere informatie-uitwisseling. Daarnaast wordt er dit jaar geoefend met het Landelijk Crisisplan Digitaal middels de nationale oefening ISIDOOR.
    Het actieplan 2022–2023 van de NLCS is het startpunt. Het actieplan wordt jaarlijks geactualiseerd, waardoor adequaat ingespeeld kan worden op de snelle ontwikkeling van het cybersecurity domein en bijgestuurd kan worden als hier aanleiding toe is. De komende jaren geeft het kabinet samen met medeoverheden, bedrijfsleven en wetenschap invulling aan de noodzakelijke vervolgstappen richting een digitaal veilig Nederland.

  • Vraag 11

    Herinnert u zich de eerdere schriftelijke vragen over de Pro-Russische DDoS-aanval op Nederlandse ziekenhuizen? Kunt u toezeggen deze en bovenstaande schriftelijke vragen te beantwoorden vóór het aanstaande commissiedebat Cybercrime d.d. 30 maart 2023?3

    Ja.

Alle
4 oktober 2023 - 30 oktober 2023
Het bericht «Experts sabelen overheid neer om belangrijke websites als DigiD: «Pas nu domeinnaam aan»»
Hawre Rahimi (VVD), Queeny Rajkowski (VVD)
Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD), Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66)
1. AD, 2023. Experts sabelen overheid neer om belangrijke websites als D…
2. Zie ook de toezegging aan het lid Rahimi (VVD) tijdens het commissiedebat Digitaliserende overheid van 28 juni 2023. TZ202307–069.
3. Toezegging aan het lid Rajkowski (VVD) tijdens het commissiedebat Cybercrime d.d. 30 maart 2023. TZ202303–121.
4. Toezegging aan het lid Rajkowski (VVD) tijdens het commissiedebat Online veiligheid en cybersecurity d.d. 29 juni 2023. TZ202307–065.
  • Vraag 1

    Bent u bekend met het bericht «Experts sabelen overheid neer om belangrijke websites als DigiD: «Pas nu domeinnaam aan»»?1

    Ja.

  • Vraag 2

    Deelt u de mening dat het gebruik van topleveldomeinnamen, zoals ook gevraagd tijdens het commissiedebat Digitaliserende overheid d.d. 28 juni jl. een goed idee is en wat is de status hiervan2?

    Zoals opgenomen in de Werkagenda Waardengedreven Digitaliseren3, heb ik onder de pijler 2: Iedereen kan de digitale wereld vertrouwen, opgenomen te komen tot de invoering van een second-level-domein (SLD) voor de overheid. Als voorbeeld is in de Werkagenda opgenomen de SLD overheid.nl, daarnaast wordt ook gov.nl overwogen.
    Met de toename van domeinnamen van de overheid is de herkenbaarheid van overheidswebsites in het geding gekomen. Een eigen topleveldomeinnaam (TLD) zoals bijvoorbeeld .gov, .overheid of .nld is nu niet mogelijk. De TLD .gov is al in bezit van de Amerikaanse overheid en kan dus niet gebruikt worden door de Nederlandse overheid.
    In 2012, tijdens de laatste uitbreiding van TLD’s heeft de Internet Corporation for Assigned Names and Numbers (ICANN), de organisatie waar je een TLD moet aanvragen, de regel gehandhaafd dat 3 letterige ISO country codes TLD (ccTLD) zoals .nld niet uitgegeven worden.4 Nederland gebruikt op dit moment de 2 letterige ccTLD .nl en het huidige .nl domein werkt goed [zie Kamerstuk 26 643, nr. 947]. ICANN zal de regel over niet toekennen van 3 letterige ccTLD zeer waarschijnlijk ook handhaven in de volgende uitbreidingsronde van TLD door ICANN. Verwacht wordt dat ICANN waarschijnlijk in 2026 de aanmelding voor een volgende uitbreidingsronde voor TLD’s opent. Tot die tijd zou Nederland geen aanvraag voor een TLD kunnen indienen.
    Veel landen hanteren specifiek voor overheidswebsites de SLD extensie .gov zoals het Verenigd Koninkrijk (gov.uk), Tsjechië (gov.cz), Polen (gov.pl), Griekenland (gov.gr) en Portugal (gov.pt). Het is inmiddels een internationale standaard voor overheidswebsites én herkenbaar, korter en daardoor ook veiliger. Uit recent onderzoek5 van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) blijkt aantoonbaar dat een uniforme extensie burgers helpt te bepalen of een website van de overheid is of niet.
    Momenteel wordt gewerkt aan een implementatie-aanpak voor één extensie. Over de gemaakte keuze en aanpak wil ik uw Kamer via de Voortgangsrapportage van de Werkagenda Waardengedreven Digitaliseren eind dit jaar nader informeren. Voor de daadwerkelijke implementatie zal er vervolgens enige tijd nodig zijn; dit zal nader toegelicht worden in de implementatie-aanpak.

  • Vraag 3

    Zo ja, op welke termijn verwacht u dit door te kunnen voeren?

    Zie antwoord vraag 2.

  • Vraag 4

    Waarom hebben namen van websites als DigiD en andere websites van de overheid (nog) geen specifieke domeinnamen?

    Overheden zijn nu vrij domeinnamen voor hun websites te kiezen. Voor Rijksoverheden wordt deze vrijheid begrensd door de afspraken die zijn vastgelegd in het Domeinnaambeleid Rijksoverheid.6 De afspraken bevatten onder meer criteria voor het gebruik van topleveldomeinen door de Rijksoverheid zoals .nl, .eu, .com, .aw-, .cw- en .sx. En verder zijn er afspraken dat overige TLD’s zoals bijvoorbeeld .nu, .org, .net, .gov, .info, .biz, .mil niet gebruikt worden voor Nederlandse Rijksoverheidsdoeleinden.

  • Vraag 5

    Hoe beoordeelt u dat er wordt gesteld dat de overheid domeinnamen van de eigen websites zo snel mogelijk moet aanpassen naar .gov of .overheid om de opmars van cybercriminaliteit de pas af te snijden?

    De invoering van een uniform domeinnaamachtervoegsel zal de herkenbaarheid van de overheid online vergroten, zoals ik ook vermeldde in de «Werkagenda Waardengedreven Digitaliseren» die ik eind 2022 met u deelde. Het is echter geen middel om cybercriminaliteit met online overheidsdiensten volledig te voorkomen.
    Zoals toegelicht in vraag 2 is de invoering van een top-level domeinnaam (TLD) voor de overheid nu niet mogelijk. De second-level domeinnamen (SLD) overheid.nl en gov.nl zijn al in bezit van de Nederlandse overheid. Deze domeinnamen kunnen als uniform achtervoegsel (ook wel suffix of extensie genoemd) worden gebruikt voor domeinnamen van de overheid. Daaronder kunnen dan domeinnamen voor organisaties worden geregistreerd zoals bijv. minbzk.overheid.nl of minbzk.gov.nl. Verschillende andere landen hanteren al een vergelijkbare aanpak of werken aan de invoering ervan, zoals Groot-Brittannië (gov.uk), Tsjechië (gov.cz), Griekeland (gov.gr), Polen (gov.pl) en Portugal (gov.pt). Ik ben voorstander van het invoeren van een SLD-extensie en zal me daarvoor ook blijven inzetten, maar een volledige overstap zal tijd kosten.

  • Vraag 6

    Deelt u de mening dat er spoedig specifieke domeinnamen moeten komen voor de hiervoor genoemde websites? Zo neen, waarom niet?

    Ik vind het belangrijk dat de digitale overheid herkenbaar en veilig is voor burgers en uit recent burgeronderzoek7 is gebleken dat één uniforme domeinnaamextensie zoals bijvoorbeeld overheid.nl of gov.nl bijdraagt aan de herkenbaarheid van de overheid. Een dergelijk extensie kan, na invoering, ook worden toegepast op websites zoals DigiD.

  • Vraag 7

    Bent u voornemens de domeinnamen spoedig te veranderen? Zo neen, waarom niet? Zo ja, wanneer zou dat gerealiseerd kunnen zijn?

    Op dit moment werkt het Ministerie van BZK interdepartementaal de mogelijkheid uit om één uniforme domeinnaamextensie voor alle publieksgerichte websites van de overheid in te voeren. Dat zal gebaseerd zijn op een SLD zoals overheid.nl of gov.nl. Ook is het Nationaal Cyber Security Centrum gevraagd een advies uit te brengen over welk extensiegebruik (gov.nl of overheid.nl) vanuit digitale veiligheid de voorkeur geniet.
    Verder is begin oktober het Register van Overheidsorganisaties (ROO) uitgebreid met de bèta-versie van het Register Internetdomeinen Overheid (RIO).8 In het register staan alle publieke domeinen en -registraties van de Rijksoverheid opgenomen. Aan de hand van het register kunnen burgers nu al controleren of een domeinnaam die men bezoekt bij de overheidsorganisatie hoort die wordt verwacht. Vanaf begin 2024 worden ook de domeinen van andere overheden in het register vindbaar en zal meer bekendheid gegeven worden aan het RIO.

  • Vraag 8

    Wanneer kan de voortgangsrapportage integrale aanpak onlinefraude worden verwacht, die zoals toegezegd tijdens het commissiedebat Cybercrime d.d. 30 maart jl.3, informatie bevat over de pilot gegevensuitwisseling, gezien banken, politie en het OM informatie hebben die helaas nog te weinig bij elkaar wordt gebracht, waardoor cybercriminelen vrij spel lijken te hebben?

    De Minister van Justitie en Veiligheid zendt u uiterlijk begin 2024 de toegezegde voortgangsrapportage over 2023.

  • Vraag 9

    In het debat Online veiligheid en cybersecurity van 29 juni 2023 is toegezegd4 om informatie over terugvalopties en de hele weerbaarheidsanalyse terug te laten komen in de update van de versterkte aanpak bescherming vitale infrastructuur: hoe staat het met de uitwerking van deze toezegging?

    Uw Kamer wordt voor het einde van dit jaar door de Minister van Justitie en Veiligheid geïnformeerd over deze toezegging en over de motie Rajkowski en Van Raan over het in kaart brengen in hoeverre terugvalopties nodig zijn voor het versterken van de digitale weerbaarheid (26 643 nr. 1053).

  • Vraag 10

    Bent u voornemens het onderzoek van Interpolis, waarnaar verwezen wordt in het artikel, mee te nemen in de aanpak tegen phishing en andere vormen van cybercriminaliteit? Zo ja, op welke manier zal dit terugkomen en wanneer verwacht het kabinet een update over de aanpak te kunnen geven? Zo nee, waarom niet?

    De in het artikel genoemde noties over online weerbaarheid, en het herkennen en voorkomen van cybercriminaliteit zijn bekend. Dat wordt door de Minister van Justitie en Veiligheid meegenomen in de aanpak tegen cybercrime, en de aanpak tegen online fraude. Een voorbeeld hiervan is de campagne «Laat je niet interneppen», die op 10 oktober is gestart. Er wordt rekening gehouden met de verschillende (online) belevingswerelden van verschillende leeftijdsgroepen. Daarom is het eerste deel van de campagne met name gericht op jongeren tussen 15 en 23 jaar oud. Volgende delen zullen zich op andere doelgroepen richten.
    In het voorjaar van 2024 zal de Minister van Justitie en Veiligheid een volgende update over de integrale aanpak cybercrime naar uw Kamer zenden.

  • Vraag 11

    De drempel om te starten met cybercrime zoals phishing ligt steeds lager en daders worden steeds jonger. De Minister heeft eerder toegezegd programma’s als «Hack_Right» meer in te zetten om jongeren op het juiste pad te zetten: hoe staat het hiermee? Hoe vaak is een hack_right traject in 2023 tot dus ver opgelegd?

    Er zijn verschillende interventies die door de politie en HALT worden ingezet om jongeren op het juiste te pad te houden of te zetten. Een voorbeeld hiervan is Re_B00tcmp, een terugkerend regionaal evenement voor jongeren met interesse in IT, en die de neiging hebben online grenzen op te zoeken. Tijdens het evenement leren zij middels verschillende presentaties van publieke en private partijen over online grenzen en positieve kansen van IT. Ook is er lesmateriaal ontwikkeld, dat ondersteuning biedt aan ouders, docenten en wijkagenten om jongeren met interesse in IT naar diverse positieve alternatieven te begeleiden. Ook is een aantal online interventies ontwikkeld, zoals de game Framed, en de inkoop van online advertenties om mensen die naar cybercriminele activiteiten (zoals DDoS) zoeken een advertentie van de politie te laten zien die informeert over de strafbaarheid en mogelijke consequenties. In 2023 zijn er tot dusver twee Hack_Right-trajecten opgelegd. Daarnaast is Hack_Right twee keer geadviseerd, eenmaal door de Raad van de Kinderbescherming, en eenmaal door de Reclassering. De rechter heeft daarover nog geen uitspraak gedaan.

21 juni 2023 - 26 juli 2023
Het bericht 'Ambtenaar vervalste meerdere rapporten over beveiliging DigiD-aansluiting'
Hawre Rahimi (VVD), Ulysse Ellian (VVD)
Franc Weerwind (minister zonder portefeuille justitie en veiligheid) (D66), Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66)
1. Security (2023). Ambtenaar vervalste meerdere rapporten over beveili…
  • Vraag 1

    Bent u bekend met het bericht «Ambtenaar vervalste meerdere rapporten over beveiliging DigiD-aansluiting» van security.nl van 14 juni 2023?1

    Ja.

  • Vraag 2

    In opdracht van wie heeft deze ambtenaar deze taken uitgevoerd?

    De betreffende ambtenaar voerde zijn taken uit in dienst van Justis. De vervalsing van rapporten maakte daar vanzelfsprekend geen onderdeel van uit.

  • Vraag 3

    Is hier het vierogenprincipe gebruikt door een andere persoon? Zo ja, is deze persoon in zicht en zo nee, kunt u uitleggen waarom geen gebruik is gemaakt van het vierogenprincipe?

    Voor het betreffende proces binnen Justis werd tot maart 2023 geen gebruik gemaakt van het vierogenprincipe. De invoering van het vierogenprincipe is wel één van de verbeteracties die naar aanleiding van dit incident is doorgevoerd.

  • Vraag 4

    Heeft de desbetreffende ambtenaar ook op andere ministeries gewerkt? Zo ja, op welke?

    Nee.

  • Vraag 5

    Is er aan de hand van het digitaal forensisch onderzoek aanleiding om ook binnen andere ministeries en uitvoeringsorganisatie te onderzoeken of daar ook dergelijke praktijken plaatsvinden of hebben gevonden?

    Er is naar aanleiding van het uitgevoerde digitaal forensisch onderzoek geen reden om aan te nemen dat bij andere ministeries of uitvoeringsorganisaties dergelijke praktijken plaatsvinden of hebben gevonden. Zie voor de volledigheid ook het antwoord op vraag 6.

  • Vraag 6

    Welke structurele oplossingen ziet u om dit in de toekomst te voorkomen?

    Op dit moment is het zo dat organisaties bij het gebruik van DigiD jaarlijks moeten aantonen dat zij aan 21 informatieveiligheidseisen voldoen. Sinds 1 januari 2023 vindt digitale ondertekening plaats op de elektronisch ingediende assessments door de onafhankelijke auditor. Zonder deze digitale ondertekening neemt Logius de assessments niet in behandeling. Elke vorm van bewerking in het digitale document, nadat er is getekend, zorgt ervoor dat de geldigheid van de digitale handtekening komt te vervallen. In de afgelopen assessmentronde werd 98% van de assessments digitaal ingediend. Vanaf 1 januari 2024 kunnen assessments uitsluitend digitaal worden ingediend. Hiermee wordt manipulatie van assessments, of rapporten daarover, zo goed als onmogelijk gemaakt. Na de constatering van de manipulatie is bij Justis het auditproces verbeterd en aangescherpt, zo is bijvoorbeeld het vierogenprincipe ingevoerd (zie ook de beantwoording van de vragen 3 en 10).

  • Vraag 7

    Wat is er in het rapport voor Suwinet van 2020 aangepast en waarom?

    In de aangepaste versies zijn meerdere bevindingen van de Suwinet-auditrapportages afgezwakt of weggelaten. Hierbij zijn sommige negatieve bevindingen aangepast zodat deze positiever overkomen of zijn deze bevindingen volledig weggelaten. Voor meer specifieke informatie verwijs ik naar de managementsamenvatting van het forensisch digitaal onderzoek van Fox-IT, dat ik uw Kamer eerder toestuurde.2 De vraag waarom deze wijzigingen op de originele auditrapportage van de ADR zijn gemaakt, is geen onderdeel geweest van het digitaal forensisch onderzoek van Fox-IT.

  • Vraag 8

    Wat zijn de verschillen tussen de beveiligingsassessments van DigiD die de Auditdienst Rijk (ADR) aan Justis levert en de beveiligingsassessments die Justis naar Logius stuurt? Is de informatieveiligheid in gevaar geweest en/of zijn er gegevens gelekt?

    In de rapporten zijn oordelen van de ADR dat de toepassing van een beveiligingsnorm «niet voldoet» aangepast naar «voldoet». Op dit moment zijn er geen signalen die wijzen op concreet gevaar voor de informatieveiligheid of het lekken van gegevens. In de tweede fase van het onderzoek wordt een risico-inschatting gemaakt naar aanleiding van de gemaakte wijzigingen in de DigiD-auditrapportages. Na het afronden van deze fase zal naar verwachting meer duidelijk zijn over de risico’s die op het gebied van informatieveiligheid hebben bestaan.

  • Vraag 9

    Kan de Staatssecretaris ons mededelen of de weggestuurde persoon betrokken was bij de opzet van de exploited audit en zo ja, welke andere personen in een identieke rol betrokken waren, of mogelijk betrokken zijn? En zijn deze personen ook betrokken bij het implementeren van de reparatie van deze exploit?

    Voor de beantwoording van deze vraag interpreteer ik de term «exploited audit» als «het (frauduleus) aanpassen van de bedoelde rapportages». In die context kan ik bevestigen dat de bedoelde persoon inderdaad was betrokken. Zoals ook uit het onderzoek van Fox-IT blijkt, zijn er echter geen sporen aangetroffen die aantonen dat anderen op de hoogte zijn geweest van de aanpassingen of betrokken zijn geweest bij het aanpassen of namaken van de rapporten. Bij de implementatie en reparatie zijn dus geen medewerkers betrokken die ook betrokken waren bij de aanpassing of het namaken van rapporten.

  • Vraag 10

    Zien de toegezegde vervolgacties op de verbetering van de interne auditfunctie of op de compliance office bij Justis zelf?

    De vervolgacties zien op het aanscherpen en verbeteren van het auditproces binnen Justis, om manipulatie van assessments, of rapporten daarover, zo goed als onmogelijk te maken (zie ook mijn antwoorden op vragen 3 en 6).
    Er vinden op dit moment nog twee onderzoeken plaats: het onderzoek naar risico’s zoals benoemd in het antwoord op vraag 8 en een onderzoek naar hoe dit heeft kunnen gebeuren. Het is mijn verwachting dat ook hieruit concrete aanbevelingen komen voor verdere verbeteringen om soortgelijke situaties in de toekomst te voorkomen.

  • Vraag 11

    Is er vastgesteld of de betrokken fraudeur ook andere mogelijke exploits heeft gezocht bij Justis en bij Suwinet in die vijf jaren?

    Voor de beantwoording van deze vraag interpreteer ik de term «exploits» als «het (frauduleus) aanpassen van rapportages». In die context kan ik u melden dat uit het digitaal forensisch onderzoek niet is gebleken dat dit het geval is.

  • Vraag 12

    Heeft het onderzoek kunnen vaststellen of deze medewerkers ook zicht en vermoedens hebben gehad dat deze medewerker deze vervalsingen kon en wilde aanleggen?

    Voor de beantwoording van deze vraag interpreteer ik de term «deze medewerkers» als «alle medewerkers van Justis behalve betrokkene». Tijdens het onderzoek van Fox-IT zijn geen sporen aangetroffen die erop wijzen dat anderen dan betrokkene op de hoogte waren van de aanpassingen in de rapporten, of betrokken waren bij het aanpassen of namaken van de rapporten.

8 juni 2023 - 9 juni 2023
Het bericht 'Digitale identiteit voor burgers: doelen behaald, maar nog onduidelijkheid over toekomstige inlogmiddelen'
Evert Jan Slootweg (CDA), Hawre Rahimi (VVD)
Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66)
1. Algemene Rekenkamer. «Digitale identiteit voor burgers: doelen behaal…
  • Vraag 1

    Bent u bekend met het rapport van de Algemene Rekenkamer «Digitale identiteit voor burgers: doelen behaald, maar nog onduidelijkheid over toekomstige inlogmiddelen» van de Algemene Rekenkamer van 29 maart 2023?1

    Ja, ik ben bekend met het bericht en het betreffende rapport van de Algemene Rekenkamer.

  • Vraag 2

    Deelt u de mening dat het onwenselijk is dat door strengere beveiligingsmaatregelen, die per 1 juli met de ingang van de Wet digitale overheid ingaan, een grote groep burgers, die normaal gebruik maakt van sms-codes om in te loggen bij DigiD, dit straks niet meer kunnen omdat het technisch aansluitpunt dat moet komen zodat uitvoerende organisaties zoals de UWV, de Belastingdienst en gemeenten slechts op één centraal punt aan hoeven te sluiten, er nog niet is?

    Op 1 juli aanstaande zijn er nog geen directe gevolgen voor burgers en bedrijven voor de digitale toegang tot de overheidsdienstverlening op grond van de Wet Digitale Overheid (WDO). Inloggen met SMS blijft op 1 juli beschikbaar.
    De Wet Digitale Overheid zal op 1 juli 2023 gefaseerd in werking treden. De wet vormt onder andere de juridische basis voor het nog in ontwikkeling zijnde stelsel Toegang. Het stelsel Toegang maakt het technisch mogelijk dat in de nabije toekomst kan worden ingelogd met zowel publieke inlogmiddelen, zoals DigiD, als met erkende private middelen. Deze middelen dienen te beschikken over de vereiste betrouwbaarheidsniveaus, conform de eIDAS-verordening, hetgeen nu in de wet is vastgelegd. De dienstverleners bepalen zelf op welk betrouwbaarheidsniveau een burger of bedrijf moet inloggen.
    Hogere betrouwbaarheidsniveaus maken de dienstverlening veiliger en maken een nauwkeuriger identiteitsvaststelling mogelijk, maar vragen altijd nadrukkelijke aandacht voor digitale toegankelijkheid voor burgers. De afweging tussen veiligheid en toegankelijkheid staat daarom centraal bij de doorontwikkeling van inlogmiddelen en bij het onderzoek naar de toepassing van hogere betrouwbaarheidsniveaus.
    Voor burgers kan het lastig zijn om volwaardig digitaal mee te doen. Er moet om die reden altijd een goed werkend en toegankelijk fysiek alternatief zijn om in contact te treden met publieke dienstverleners. Burgers kunnen bij digitale dienstverlening onder andere geholpen worden bij de Informatiepunten Digitale Overheid (IDO’s) en de helpdesk van DigiD en eHerkenning. Daarnaast ben ik bezig met het verder ontwikkelen van voorzieningen voor digitaal machtigen en vertegenwoordigen, zodat een burger ook aan iemand anders kan vragen iets voor hem of haar te regelen.
    Het is belangrijk dat inloggen met DigiD bij de overheid en bij andere organisaties veilig, betrouwbaar en toegankelijk is en blijft. Voor veel overheidsdiensten loggen mensen nu in met de DigiD-app of een SMS-code naast hun gebruikersnaam en wachtwoord. Daarbij merk ik op, zoals ik eerder al aan uw Kamer heb gemeld2, dat de mogelijkheid om in te loggen via SMS-authenticatie vooralsnog behouden blijft. Ik heb aangegeven dat ik in overleg met uw Kamer zal treden voordat er wijzigingen plaatsvinden in dit beleidsuitgangspunt.

  • Vraag 3

    Deelt u de mening dat dat dit een potentieel maatschappelijk ontwrichtende werking heeft als dit aansluitpunt niet voor 1 juli 2023 gereed is en er niet meer ingelogd kan worden bij verschillende organisaties?

    U geeft aan dat bij de ontwikkeling van het nieuwe stelsel een centraal aansluitpunt ontbreekt. In plaats van een centraal aansluitpunt wordt gewerkt aan een standaard koppelvlak waarop publieke dienstverleners kunnen aansluiten.
    Er wordt momenteel gewerkt aan dit koppelvlak. Belangrijk is te benadrukken dat de aansluiting van publieke dienstverleners op het nieuwe stelsel Toegang niet in één keer, maar geleidelijk gaat. Dienstverleners sluiten na zorgvuldige voorbereiding geleidelijk aan op het stelsel Toegang. Deze geleidelijke aansluiting is voorzien in de periode 2024–2026 en zal worden vastgelegd in een aansluitschema.
    Zolang een dienstverlener niet is aangesloten op het nieuwe technische stelsel zal de bestaande techniek met inloggen via DigiD en eHerkenning beschikbaar zijn.

  • Vraag 4

    Zo ja, wat gaat u doen om er voor te zorgen dat deze grote groep burgers wél gebruik kan (blijven) maken van de digitale faciliteiten van de overheid? Met andere woorden, wat gaat u doen om voor 1 juli 2023 dat aansluitpunt wel te regelen?

    Zie de antwoorden op vraag 2 en 3.

  • Vraag 5

    In hoeverre is het niet nakomen van het organiseren van een ordentelijk aansluitpunt in strijd met de wet Markt en Overheid?

    Zoals in vraag 3 geantwoord wordt momenteel gewerkt aan een standaard koppelvlak. Het aansluiten op het stelsel Toegang heeft zijn basis in de Wet Digitale Overheid.

  • Vraag 6

    Kunt u deze vragen voor het wetgevingsoverleg dat gepland staat op 13 juni a.s. over de Slotwet 2022, Jaarverslag 2022 en rapport resultaten verantwoordingsonderzoek 2022 ARK over het Ministerie van JenV, BZK en van EZK, voor zover het onderwerpen betreft die zien op digitalisering, beantwoorden?

    Ja.

8 maart 2023 - 13 april 2023
De berichten 'Naaktbeelden borstkankerpatiënten VS gepubliceerd om ziekenhuis af te persen' en 'Paspoorten van dokters op straat na hack bij oudereninstelling Gelderland'
Queeny Rajkowski (VVD), Sophie Hermans (VVD), Hawre Rahimi (VVD)
Kuipers , Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD)
1. RTLnieuws, 6 maart 2023, «Naaktbeelden borstkankerpatiënten VS gepubl…
2. RTL Nieuws, 7 maart 2023, «Paspoorten van dokters op straat na hack b…
3. Vragen van de leden Tielen en Rajkowski (beiden VVD) aan de Ministers van Volksgezondheid, Welzijn en Sport en van Justitie en Veiligheid over het bericht «Pro-Russische DDoS-aanvallers vallen Nederlandse ziekenhuizen aan» (ingezonden 2 februari 2023).
  • Vraag 1

    Bent u bekend met de berichten: «Naaktbeelden borstkankerpatiënten VS gepubliceerd om ziekenhuis af te persen», en «Paspoorten van dokters op straat na hack bij oudereninstelling Gelderland»?1, 2

    Ja.

  • Vraag 2

    Is bekend of meer Nederlandse ziekenhuizen of zorginstellingen slachtoffer zijn (geweest), of doelwit zijn van ransomware-aanvallen waarbij patiëntgegevens en gegevens van (zorg)medewerkers zoals foto’s en persoonsinformatie buit zijn gemaakt? Om hoeveel gevallen gaat het? Welke stappen zijn gezet om de schade voor patiënten zo veel mogelijk te beperken?

    De afgelopen jaren zijn meerdere ziekenhuizen en zorginstellingen slachtoffer geweest van ransomware-aanvallen. Uit het dreigingsbeeld cybersecurity van het Computer Emergency Response Team voor de zorg (Z-CERT) blijkt dat er in 2022 vijf ransomware-incidenten bij Nederlandse zorginstellingen zijn geregistreerd door Z-CERT.3 In het jaar 2021 betrof dit ook vijf geregistreerde ransomware incidenten. In 2023 is er voorlopig sprake van twee genoteerde incidenten.4 Het is mij niet bekend bij hoeveel van deze incidenten er gegevens van patiënten of (zorg-)medewerkers zijn ontvreemd.
    Zorgaanbieders die geraakt worden door ransomware kunnen (technische) experts inzetten om de gevolgen van het incident te beperken. Zorgaanbieders die zijn aangesloten bij Z-CERT kunnen hierbij rekenen op ondersteuning door Z-CERT. Het is daarnaast van belang dat zorginstellingen contact opnemen met de betrokken patiënten of medewerkers om hen te informeren over de gevolgen die het incident voor hen heeft, en in overleg met de ICT-leverancier maatregelen treffen ten behoeve van de informatieveiligheid.

  • Vraag 3

    Welke veiligheidsmaatregelen worden getroffen door Nederlandse ziekenhuizen en zorginstellingen om patiëntgegevens, gegevens van (zorg)medewerkers en andere gevoelige data zo goed mogelijk te beschermen, de continuïteit van zorgprocessen te borgen en om cybercriminelen buiten de deur te houden? In hoeverre wordt de zorgsector hierbij ondersteund door Z-CERT? In hoeverre wordt Z-CERT ook actief benaderd en betrokken door de zorgsector zelf wanneer het gaat om bijstand bij cyberaanvallen? Is Z-CERT ook in het verleden betrokken geweest bij cyberaanvallen op Nederlandse ziekenhuizen en andere zorginstellingen? Zo ja, wat was hun rol?

    Zorginstellingen nemen maatregelen om de gevolgen van cyberaanvallen te beperken en zo spoedig mogelijk te mitigeren. Deze maatregelen vloeien voort uit hun verantwoordelijkheden en zijn uitgewerkt in wettelijk verplicht gestelde normen voor informatiebeveiliging in de zorg. Dit betreft de NEN7510, 7512 en 7513. Kern hierbij is de NEN 7510 norm, die met name voorschrijft dat zorginstellingen de risico’s voor informatiebeveiliging in kaart brengen en hiervoor passende maatregelen nemen. De norm vereist ook beheersmaatregelen voor de bescherming van netwerken, bedrijfscontinuïteit en bereikbaarheid. De aanvullende normen NEN 7512 en 7513 zien er daarnaast op toe dat er wordt voldaan aan eisen voor veilige gegevensuitwisseling en logging.
    Op dit moment zijn meer dan 300 instellingen uit verschillende sub-sectoren aangesloten bij Z-CERT. Z-CERT voorziet hun deelnemers van advies en dreigingsinformatie, en in het geval van een incident kan Z-CERT een zorginstellingen ondersteunen bij het mitigeren van de gevolgen van een cyberaanval. Z-CERT heeft dit in het verleden ook gedaan, bijvoorbeeld tijdens de recente DDoS-aanvallen op Nederlandse ziekenhuizen. Door gebruik te maken van de diensten van Z-CERT zoals het Zorgdetectienetwerk, kunnen zorginstellingen informatie over incidenten met elkaar delen. Z-CERT monitort daarnaast actief op signalen van incidenten bij haar deelnemers. Ook scant Z-CERT op internet naar kwetsbare systemen bij de deelnemers en informeert deze daarover om zo mogelijke incidenten te voorkomen.
    Het Ministerie van VWS ondersteunt het gefaseerd aansluiten van de gehele zorgsector op basis van een risicogebaseerde aansluitstrategie, zodat steeds meer zorginstellingen deelnemer worden van Z-CERT. Het Ministerie van VWS blijft zich inzetten om de dienstverlening van Z-CERT zo breed mogelijk beschikbaar te stellen binnen de gehele zorgsector.

  • Vraag 4

    Welke maatregelen worden genomen om te voorkomen dat een klik op een verkeerde link door een (zorg)medewerker cybercriminelen toegang geeft tot de meest gevoelige en kwetsbare informatie van patiënten?

    Bewustwording van risico’s en het belang van zorgvuldig handelen door eigen medewerkers is essentieel voor goede informatieveiligheid, ook in de zorg. Het Ministerie van VWS zet daarom ten eerste in op het stimuleren van informatieveilig gedrag van zorgprofessionals. In de brief «Voortgang op elektronische gegevensuitwisseling» van 15 december 2022 heb ik u hier nader over geïnformeerd.5 In 2019 is het Ministerie van VWS het project informatieveilig gedrag gestart. Via dit project werkt het ministerie aan een gestructureerde methode voor gedragsverandering op het gebied van informatieveiligheid, toegespitst op de Nederlandse zorgsector. De methode is uitgewerkt in een Wegwijzer, waarin manieren zijn opgenomen om informatie veilig gedrag in de zorg te bevorderen. Hierin wordt onder andere ingegaan op welke interventies mogelijk zijn om te voorkomen dat (zorg)medewerkers slachtoffer worden van phishing.
    Daarnaast heeft Z-CERT een publicatie over phishing gemaakt waarin maatregelen en een handelingsperspectief beschreven worden.6 Deze publicatie is terug te vinden op website van Z-CERT en is door Z-CERT verspreid onder haar deelnemers. Hierin staan naast bewustwordingsmaatregelen ook technische maatregelen die zorginstellingen kunnen toepassen om beter beschermd te zijn tegen phishing.

  • Vraag 5

    Welke maatregelen neemt Z-CERT om de cyberbewustwording en weerbaarheid bij Nederlandse ziekenhuizen en zorginstellingen te verhogen?

    Z-CERT biedt hun deelnemers een breed pakket aan diensten om hun cybersecurity bewustwording en weerbaarheid te verhogen. Zoals ik in mijn antwoord op vraag 3 heb aangegeven gaat het hierbij onder andere om het verspreiden van dreigingsinformatie, adviseren over preventieve maatregelen en het ondersteunen bij het mitigeren van de impact van een cyberaanval. Concreet gaat het bijvoorbeeld om adviezen over hoe te reageren op een ransomwareaanval, en hoe e-mailstandaarden en monitoring te implementeren.7 Z-CERT helpt hun deelnemers daarnaast bij het organiseren van cybercrisisoefeningen, en Z-CERT informeert deelnemers geregeld over cyberbewustwordingsonderwerpen. Op de website van Z-CERT is eveneens een kennisbank te vinden met daarin documentatie die informatie bevat over verschillende thema’s. Het doel van deze publicaties is om het zorgveld cyberweerbaar en cyberbewust te maken. Deze informatie is voor iedereen toegankelijk.

  • Vraag 6

    Hoe hoog wordt het dreigingsniveau van eventuele aanvallen door cybercriminelen op Nederlandse ziekenhuizen en zorginstellingen, maar ook breder dan deze sector, geschat? Hoe beoordeelt u de digitale weerbaarheid van Nederlandse sectoren in vergelijking met de huidige toenemende digitale dreiging waar Nederland nu mee te maken heeft? Welke maatregelen worden op dit moment in Nederland genomen om weerstand te bieden aan deze toenemende dreiging, ook in aanloop naar de implementatie van de NIS2?

    In het dreigingsbeeld cybersecurity 2022 geeft Z-CERT per type cyberdreiging voor het zorgveld een risico-inschatting. Zo wordt het dreigingsniveau met betrekking tot de impact van ransomware-aanvallen op Nederlandse ziekenhuizen en zorginstellingen aangemerkt als «hoog».8
    In het meest recente Cybersecuritybeeld Nederland staat genoteerd dat er sprake is van een scheefgroei tussen de toenemende dreiging en de ontwikkeling van de weerbaarheid.9 Omdat digitale systemen het «zenuwstelsel» van onze maatschappij vormen, maakt het kabinet zich daarom hard voor de versterking van onze digitale weerbaarheid via de verschillende ambities die omschreven staan in de Nederlandse Cybersecuritystrategie (NLCS), zodat deze scheefgroei geadresseerd wordt.10 In het actieplan van de NLCS staan de maatregelen waarmee deze ambities worden gerealiseerd en wie daarvoor verantwoordelijk is.

  • Vraag 7

    Hoe staat het met de toezegging dat Nederland zich inzet om de zwaarste cybercriminelen op Europese sanctielijsten te krijgen? Deelt u de mening dat de cybercriminelen van onder andere Black Cat en Qilin hier ook op thuishoren? Zo nee, waarom niet? Zo ja, wat gaat u doen om dit te bereiken?

    Als internationaal recht en in VN-verband overeengekomen normen geschonden worden door cyberaanvallen, kunnen diplomatieke maatregelen in coalitieverband worden genomen. In EU-verband hebben we hiertoe de Cyber Diplomacy Toolbox, die mede door Nederland tot stand is gekomen. Het EU Cyber Sanctie Regime is onderdeel van deze Toolbox. Inmiddels zijn acht personen en vier entiteiten die verantwoordelijk zijn voor de meest schadelijke cyberaanvallen op de sanctielijst van de EU geplaatst. Op de sanctielijst staan onder andere de verantwoordelijken voor de verstoorde Russische cyberoperatie tegen de Organisatie voor het Verbod op Chemische Wapens (OPCW). Daarnaast kregen personen en entiteiten uit China en Noord-Korea sancties opgelegd. Op dit moment wordt de Cyber Diplomacy Toolbox herzien, met als doel daadkrachtiger op te kunnen treden tegen ontwrichtende cyberoperaties, hier speelt Nederland wederom een actieve rol in. Welke respons opportuun is, zal afhankelijk zijn van de ernst en impact van het incident. Voor inzet van het sanctiemiddel is bovendien unanimiteit vereist in de EU-besluitvorming.

  • Vraag 8

    Hoe gaat u er zorg voor dragen dat de KopieID-app van de rijksoverheid, waarmee identiteitsbewijzen veilig gekopieerd, verstuurd en getraceerd kunnen worden, meer bekendheid en gebruikers krijgt, zodat in geval van diefstal en lekken locaties sneller te achterhalen zijn?

    Vanaf juni dit jaar wordt de KopieID-app extra onder de aandacht gebracht. Dat zal gebeuren via social media, advertorials en bij bibliotheken waar de Informatiepunten Digitale Overheid zijn. De KopieID-app zelf zal in juni ook gebruiksvriendelijker zijn dan de huidige app. Zo is de app straks in meer talen te gebruiken en kunnen documenten automatisch worden herkend zodat men niet meer zelf met de vinger onderdelen onzichtbaar hoeft te maken te maken. De app herkent dan ook documenten als de Sédula, de identiteitskaarten die gebruikt worden in het Caribisch deel van het Koninkrijk.

  • Vraag 9

    Hoe kan er zorg voor gedragen worden dat «vervuilde data», zoals verlopen paspoorten, sneller opgeruimd worden, zodat deze niet meer onderdeel kunnen worden van een cyberaanval? Hoe groot is het probleem van vervuilde data in Nederland?

    De kopieën van de identiteitsbewijzen in het artikel en «Paspoorten van dokters op straat na hack bij oudereninstelling Gelderland» waren van werknemers. Die kopieën worden gemaakt als iemand in dienst treedt bij een werkgever. Werkgevers zijn verplicht om deze kopieën, zonder doorgestreepte elementen, te bewaren. Dat moet tot vijf jaar nadat een werknemer weg is bij deze werkgever. Het komt dus voor dat er terecht kopieën worden bewaard van identiteitsbewijzen die inmiddels zijn verlopen. Werkgevers dienen kopieën van oud-werknemers niet onnodig lang te bewaren. Of en hoeveel kopieën onnodig worden bewaard, is onbekend.11

  • Vraag 10

    Ziet u mogelijkheden om, in het kader van de toenemende internationale cyberdreiging, aanvullende maatregelen te nemen op de korte termijn om de digitale weerbaarheid van de zorgsector en andere sectoren te vergroten? Zo ja, welke concrete maatregelen bent u bereid te treffen? Zo nee, waarom niet?

    Zoals in het antwoord op vraag 6 is aangegeven staan in het actieplan van de NLCS alle acties die het kabinet uit zal voeren om de algehele digitale weerbaarheid van de maatschappij te versterken. Hierin vindt u dus ook welke concrete maatregelen op korte termijn getroffen (zullen) worden. Een voorbeeld van belangrijke maatregelen die de digitale weerbaarheid op korte termijn zullen vergroten is het bieden van meer zicht op cyberincidenten, -dreigingen en -risico’s aan organisaties door meer en efficiëntere informatie-uitwisseling. Daarnaast wordt er dit jaar geoefend met het Landelijk Crisisplan Digitaal middels de nationale oefening ISIDOOR.
    Het actieplan 2022–2023 van de NLCS is het startpunt. Het actieplan wordt jaarlijks geactualiseerd, waardoor adequaat ingespeeld kan worden op de snelle ontwikkeling van het cybersecurity domein en bijgestuurd kan worden als hier aanleiding toe is. De komende jaren geeft het kabinet samen met medeoverheden, bedrijfsleven en wetenschap invulling aan de noodzakelijke vervolgstappen richting een digitaal veilig Nederland.

  • Vraag 11

    Herinnert u zich de eerdere schriftelijke vragen over de Pro-Russische DDoS-aanval op Nederlandse ziekenhuizen? Kunt u toezeggen deze en bovenstaande schriftelijke vragen te beantwoorden vóór het aanstaande commissiedebat Cybercrime d.d. 30 maart 2023?3

    Ja.

2 februari 2023 - 24 februari 2023
Het bericht ‘Oude ict kost fiscus miljoenen’
Hawre Rahimi (VVD), Folkert Idsinga (VVD)
Marnix van Rij (staatssecretaris financiën) (CDA)
1. Derk Stokmand & Stefan Vermeulen. 13 januari 2023. NRC. https://www.n…
  • Vraag 1

    Bent u bekend met het bericht «Oude ict kost fiscus miljoenen»?1

    Ja.

  • Vraag 2

    Kunt u per jaar vanaf 2010 tot heden een overzicht geven van de kosten die de belastingdienst aan ICT heeft uitgegeven? Kunt u deze uitgesplitst in interne en externe inhuur met daarbij de overschrijdingen aangegeven?

    In het overzicht hieronder ziet u de jaarlijkse budgetten van de ICT-organisatie van de Belastingdienst in de periode 2010–2022. De middelen voor de ICT-organisatie zijn bestemd voor zowel personele als materiële uitgaven. De personele uitgaven zijn als onderdeel van de totale ICT-uitgaven (kolom 1) apart inzichtelijk gemaakt, met daarbij ook een nadere splitsing naar eigen personeel en externe inhuur.
    In de reguliere begrotingscyclus wordt gedurende het jaar inzicht gegeven in tussentijdse bijstellingen van beschikbare middelen op basis van de verwachte kasuitgaven. Ten opzichte van de tweede suppletoire begroting bij Najaarsnota hebben er in de periode 2010 t/m 2022 over het algemeen geen overschrijdingen van personeelsbudgetten plaatsgevonden. De gemiddelde onderschrijding lag rond de 3%. Uitzondering hierop zijn de jaren 2015 en 2016 waarin sprake was van een overschrijding van de personele budgetten van respectievelijk 5% en 8%. De overschrijding zat in deze jaren met name op externe inhuur en werd veroorzaakt door een grote opdrachtenstroom die niet volledig gerealiseerd kon worden met de bezetting eigen personeel. Op het niveau van de totale ICT-uitgaven waren de overschrijdingen in deze jaren overigens kleiner (4% in 2015 en <1% in 2016).

  • Vraag 3

    Kunt u een overzicht geven van de verhouding tussen uitgaven aan onderhoud van bestaande systemen en de modernisering daarvan?

    Afgelopen jaren zijn vanuit de voorjaarsbesluitvorming en Werk aan Uitvoering middelen beschikbaar gekomen voor de ICT-organisatie van de Belastingdienst. Inmiddels bedraagt het budget van de ICT-organisatie van de Belastingdienst in 2023 circa € 860 mln. Een groot gedeelte hiervan, circa 60%, is bestemd voor personele uitgaven. Met het personeel dat van deze budgetten wordt betaald, zowel eigen personeel als inhuur van externen, worden IV-dagen gerealiseerd. Voor 2023 wordt gewerkt met 626.000 IV-dagen.
    Jaarlijks is circa 60% van de beschikbare IV-dagen nodig voor beheer en onderhoud. Onderdeel van beheer en onderhoud zijn de activiteiten voor het Datacenter van de Belastingdienst, de printstraat, regulier lifecycle-management en het bewaken van de digitale veiligheid in het Security Operations Center (SOC). Aan modernisering wordt circa 10% van de totaal beschikbare capaciteit besteed. Aan vernieuwing wordt circa 14% besteed. Onder vernieuwing vallen dienstverlening, integrale beveiliging, initiatieven met betrekking tot gegevens, toezicht en bedrijfsvoering. Onderstaande tabel geeft dit weer.
    Portfolio categorieën in IV-dagen
    2019
    2020
    2021
    2022
    Beheer en onderhoud
    Data Center Services
    163.400
    152.400
    155.700
    152.700
    Regulier Beheer en Onderhoud
    162.200
    185.200
    186.200
    206.200
    Projecten
    Wetgeving
    33.900
    31.600
    47.000
    45.500
    Modernisering
    61.800
    64.600
    80.400
    74.800
    Vernieuwing
    57.300
    72.100
    93.300
    81.500
    Jaaraanpassingen

  • Vraag 4

    Per wanneer kunnen de ICT-systemen uit bijvoorbeeld de jaren 70, of waarvoor geen expertise meer in huis is, worden omgezet in moderne ICT-systemen met moderne programmeerta(a)l(en)?

    Het hebben van ICT-systemen uit de jaren «70 uit zich in technische schuld. De Belastingdienst is bezig met het reduceren van die technische schuld. Sinds 2018 is deze gehalveerd van 52% naar 26%. Deze modernisering is desondanks complex en wordt daarom in kleinere stappen uitgevoerd, zodat er grip is op deze projecten.
    Voor alle ketens wordt aan de modernisering gewerkt. Het is de planning om het overgrote deel van het achterstallig onderhoud, dat wijzigingen belemmert, in 2026 opgelost te hebben. Of dat tijdpad gehaald wordt is afhankelijk van veel factoren, zoals de beschikbaarheid van ICT-personeel, tussentijdse onvoorziene ontwikkelingen (zoals box 3, energiemaatregelen, etc.) en het verloop van aanbestedingen.
    Voor de volgende ketens geldt dat er na 2026 nog gemoderniseerd moet worden: inning en betalingsverkeer, omzetbelasting en gegevens. Bij inning en betalingsverkeer komt dit onder andere door werkzaamheden rondom het herstel toeslagen, FSV en corona uitstelbeleid die voorrang kregen boven modernisering. De binnenlandse omzetbelasting wordt gemoderniseerd met als planning dat in 2026 een nieuw systeem operationeel is. In deze keten dienen na 2026 ook andere regelingen nog gemoderniseerd te worden. Voor de keten gegevens is na 2026 nog een forse inspanning nodig, omdat er veel applicaties van lokale applicaties omgezet moeten worden naar centrale applicaties en de gegevenshuishouding verbeterd moet worden.

  • Vraag 5

    Waarom is de aanbesteding voor het moderniseren van het nieuwe systeem voor de omzetbelasting nog niet uitgeschreven? Kunt u aangeven welke stappen u zet om deze en andere aanbestedingen te versnellen?

    In 2021 heeft een marktconsultatie plaatsgevonden waaruit bleek dat er oplossingen in de markt beschikbaar zijn voor een nieuw systeem voor de omzetbelasting. Een extern advies in 2022 heeft dit bevestigd. De aanbesteding bevindt zich nu in de voorbereidende fase. Er zijn nog verschillende go en no-go momenten. Ik ben terughoudend om u in deze fase uitgebreid over de planning te informeren, zie ook antwoord 6.
    Een versnelling in deze of andere aanbestedingen leidt tot risico’s en kan afbreuk doen aan de kwaliteit van het proces van aanbesteden of aan de aanbestede dienst of product. Ondanks dat ik de wens begrijp om een aanbesteding te versnellen om zo bijvoorbeeld sneller te beschikken over een modern systeem, wil ik zorgvuldigheid boven snelheid stellen.

  • Vraag 6

    Welke andere aanbestedingen moeten nog worden uitgeschreven?

    De Belastingdienst voert jaarlijks een groot aantal ICT-aanbestedingen uit met wisselende inhoud en omvang. In aanbestedingen die in voorbereiding zijn of in de nabije toekomst op de markt zullen worden gebracht, wordt door de Belastingdienst geen inzage vooraf gegeven. Dit kan marktverstorend werken of de juridische positie van de Belastingdienst schaden.

  • Vraag 7

    Hoe duidt u de uitspraak in het artikel, gebasseerd op interne documenten, dat door personeelstekorten en achterstanden in de ICT het belastingmoraal van burgers en ondernemers kan worden aangetast?

    De Belastingdienst heeft als taak om belastingen eerlijk en zorgvuldig te heffen en innen. Iedere burger, elk bedrijf en elke andere belastingplichtige organisatie moet erop kunnen vertrouwen dat hij of zij het juiste deel aangeeft en betaalt en dat hij of zij ook (terug)krijgt waar hij of zij recht op heeft. Daarnaast moeten burgers en bedrijven er ook op kunnen vertrouwen dat de Belastingdienst ervoor zorgt dat andere burgers en bedrijven hun bijdrage leveren. Als dat vertrouwen afneemt kan dat effect hebben op de belastingmoraal.
    De Belastingdienst voert deze taak nog steeds naar behoren uit, in die zin is er geen sprake van een aantasting van de belastingmoraal. Dit komt ook naar voren in de fiscale monitor die jaarlijks wordt uitgevoerd en uw Kamer bij het jaarplan Belastingdienst 2023 heeft ontvangen. De situatie is nu ook anders dan in 2018. Er was toen sprake van een groot personeelsverloop en achterstand in de ICT. Inmiddels is meer personeel aangetrokken en worden ICT-systemen vernieuwd. Daardoor kan personeel efficiënter en mogelijk anders worden ingezet.
    Dat laat onverlet dat de Belastingdienst nog stappen moet zetten. Zo is er nog sprake van een tekort aan (ICT-)personeel en wordt er in sommige ketens nog gewerkt met verouderde systemen.

  • Vraag 8

    Kunt u aangeven bij welke ICT-systemen continuiteitsrisico’s spelen en welke delen van de bedrijfsvoering van de Belastingdienst hiervan afhankelijk zijn?

    De urgentie voor modernisering wordt bepaald door risico’s. Systemen met de grootste risico’s op het gebied van continuïteit door verouderde technologie, zijn als eerste gemoderniseerd, zoals het systeem voor autobelastingen. De systemen voor omzetbelasting, loonheffing en inkomensheffing worden de komende tijd vervangen. Tot die systemen volledig zijn vervangen, ziet de Belastingdienst voor deze ketens risico’s. Om deze risico’s te beheersen, zijn aanvullende maatregelen genomen. In figuur 5 en 6 van de begeleidende brief ziet u hoe de technische schuld per keten nu is en wat de ambitie is qua ontwikkeling tot en met 2026.

  • Vraag 9

    Kunt u de vragen één voor één beantwoorden?

    Ja.

8 september 2022 - 10 november 2022
Het bericht 'Stille ramp in bakkerswereld: ’We kunnen straks geen brood meer bakken’'
Hawre Rahimi (VVD)
Micky Adriaansens (minister economische zaken) (VVD)
1. Telegraaf, 1 september 2022 (https://www.telegraaf.nl/nieuws/14568678…
  • Vraag 1

    Bent u bekend met het bericht «Stille ramp in bakkerswereld: «We kunnen straks geen brood meer bakken»»?1

    Ja.

  • Vraag 2

    Deelt u de mening dat we alles op alles moeten zetten om te voorkomen dat mkb’ers (midden- en kleinbedrijf), zoals de bakkers, slagers en andere bedrijven, omvallen doordat ze door verschillende crises getroffen worden, aangezien deze mkb-ondernemers cruciaal zijn voor leefbaarheid en sociale cohesie in onze steden en dorpen?

    Mkb’ers zijn belangrijk voor de leefbaarheid, sociale cohesie en (lokale) economie in dorpen en steden. Om deze reden heb ik ook de Tegemoetkoming Energiekosten voor het energie-intensieve mkb (TEK-regeling) aangekondigd. Hiermee neemt de overheid een deel van de gestegen energiekosten over van in de kern gezonde mkb’ers die het in deze tijd moeilijk hebben.
    Bedrijven met liquiditeitsproblemen zullen daarnaast een aanvraag voor belastinguitstel kunnen indienen bij de Belastingdienst voor maatwerk. Het beleid rondom uitstel van betaling van belasting van ondernemers is versoepeld per 1 oktober. Banken hebben daarnaast aangegeven graag welwillend te zijn om hun klanten van voorschotten te voorzien in de overbruggingsperiode, wanneer het aannemelijk is dat zij subsidie uit de TEK gaan ontvangen. Banken willen en kunnen snel met deze overbruggingsfinanciering starten.
    Zoals ik eerder heb aangegeven, is het wel zo dat we niet iedereen kunnen helpen. Het kabinet heeft vele miljarden beschikbaar gesteld om de impact van de hoge energieprijzen op burgers en bedrijven te dempen. De rekening voor deze steun betalen wij als Nederland samen. Er zitten dan ook grenzen aan deze steunmogelijkheden. Het is daarom ook niet uitgesloten dat bedrijven door de hoge energiekosten gedwongen zullen moeten sluiten, hoe ingrijpend in individuele gevallen ook. In de Kamerbrief van 9 november licht ik tevens toe dat de energie-intensiteitsdrempel verlaagd is naar 7%.

  • Vraag 3

    Zo ja, welke maatregelen gaat u treffen om deze ondernemers te helpen en te zorgen dat ze niet omvallen?

    Zie antwoord vraag 2.

  • Vraag 4

    Deelt u de mening dat het de verantwoordelijkheid is van de overheid om inzichtelijk te maken welke andere branches op dit moment in de problemen zitten, zodat we de gehele groep die getroffen wordt door deze crises in een keer kunnen bereiken en helpen?

    Ik sta in goed contact met vertegenwoordigers van het bedrijfsleven, en houdt signalen uit de verschillende branches bij. Daarnaast beschikt EZK over cijfers en analyses van banken, DNB, het CBS en andere partijen die inzicht geven in de productiecijfers van diverse bedrijfstakken. Op basis hiervan houdt het kabinet oog voor de situatie in de verschillende sectoren, en mogelijke (acute) problemen waar bedrijven tegenaan lopen.

  • Vraag 5

    Zo ja, hoe bent u van plan dit uit te voeren?

    Zie antwoord vraag 4.

  • Vraag 6

    Deelt u de mening dat dit over meerdere domeinen en ministeries gaat, omdat er verschillende problemen zijn, zoals de naweeën van corona, personeelstekorten, explosieve prijsstijgingen voor de energie en hoge grondstofprijzen, en dat het daarom integraal moet worden aangepakt?

    De verschillende departementen werken op vele terreinen samen om deze problemen aan te pakken. Onder andere in het kader van de strategische agenda voor het ondernemingsklimaat, waarover ik uw Kamer op 14 oktober jl. heb geïnformeerd2. Zo werken OCW, EZK en SZW samen bij het opstellen van het Actieplan Groene en Digitale Banen, het uitvoeren van onderzoeken en de verschillende initiatieven binnen het Techniekpact om het tekort aan technisch personeel terug te dringen.3 Eenzelfde geldt voor de samenwerking tussen EZK, FIN en BZ om vragen van ondernemers over de sancties tegen Rusland te beantwoorden, en de samenwerking tussen EZK en BZ om het gebruik van het Europese Tijdelijk crisiskader binnen de EU in kaart te brengen.

  • Vraag 7

    Zo ja, bent u bereid om de samenwerking met de andere ministeries op te zoeken en, als u daartoe bereid bent, hoe wilt u dit gaan doen?

    Zie antwoord vraag 6.

6 april 2022 - 23 mei 2022
Het bericht 'Bouwend Nederland: trage betalingen Rijk kosten bouwsector miljarden'
Peter de Groot (VVD), Hawre Rahimi (VVD)
Micky Adriaansens (minister economische zaken) (VVD)
1. Financieel Dagblad, 5 april 2022 (https://fd.nl/bedrijfsleven/1435439…
  • Vraag 1

    Bent u bekend met het bericht «Bouwend Nederland: trage betalingen Rijk kosten bouwsector miljarden»?1

    Ja.

  • Vraag 2

    Hoe verklaart u het verschil tussen de termijn van 75 dagen voordat midden- en kleinbedrijven (mkb) geld ontvangen van het Rijk en de wettelijke betaaltermijn van 30 dagen, waar het Rijk zich aan dient te houden?

    De termijn van 75 dagen heeft betrekking op het hele proces vanaf afronding van een inspanning tot betaling.
    Een deel van die tijd wordt genomen door bedrijven zelf voordat zij hun factuur indienen. Deze periode ziet op de dagen vóórdat de rijksoverheid de factuur ontvangt (de zogenoemde factuurdatum). De wettelijke betaaltermijn van 30 dagen waarbinnen opdrachtgevers facturen dienen te betalen, wordt door de rijksoverheid doorgaans zeer goed nageleefd.
    Overheden zijn sinds 2013 wettelijk verplicht hun rekeningen binnen 30 dagen na ontvangst van de factuur te betalen. De overheid heeft niet alleen een wettelijke verplichting om tijdig te betalen, maar vervult hierin ook een voorbeeldfunctie. Jaarlijks informeer ik uw Kamer met een monitor over het betaalgedrag van de rijksoverheid, provincies en gemeenten. In deze monitor wordt enkel gekeken naar de periode die ziet op de termijn na het indienen van de factuur. Uit deze monitor blijkt dat binnen de rijksoverheid deze wettelijke termijn van 30 dagen doorgaans goed wordt nageleefd. Meer dan 95% van de facturen wordt binnen 30 dagen betaald.2
    2021
    2020
    2019
    2018
    2017
    96,7%
    96%
    95,8%
    95,1%
    95,8%
    De Monitor Betaaltermijnen Overheid geeft het percentage ingediende facturen weer dat binnen 30 dagen wordt betaald. In het onderzoek van adviesbureau Cash Discovery wordt ook de periode hiervoor meegenomen. Ik kan geen uitspraken doen over de termijn die ziet op de periode vóórdat de rijksoverheid de factuur ontvangt (de zogenoemde factuurdatum). Deze periode wordt niet door de rijksoverheid gemonitord, omdat deze periode niet ziet op de wettelijke betaaltermijn van 30 dagen.
    Het onderzoek van Cash Discovery is gebaseerd op 12 opdrachten bij Rijkwaterstaat, Rijksvastgoedbedrijf en ProRail. Ik heb er geen zicht op in hoeverre de uitkomsten representatief zijn voor de ervaringen van andere bedrijven met deze opdrachtgevers of met andere opdrachtgevers vanuit de rijksoverheid.

  • Vraag 3

    Wat is uw reactie op het onderzoek van adviesbureau Cash Discovery, waaruit blijkt dat ondernemers gemiddeld 75 dagen moeten wachten, voordat zij door het Rijk worden betaald?

    Zoals aangegeven in het Commissiedebat van 6 april 2022 neem ik signalen serieus dat de betaaltermijnen van de rijksoverheid veel hoger liggen dan 30 dagen. Het is voor ondernemers van belang dat zij op tijd worden betaald door hun afnemers. Snelle betaling biedt ondernemers namelijk meer financiële ademruimte. Het op tijd betalen van facturen door de rijksoverheid, provincies en gemeenten is van wezenlijke invloed op de financiële positie van ondernemingen en daarmee op de economische kracht. Daarom heb ik toegezegd om met de betrokken bewindspersonen van Financiën, Binnenlandse Zaken en Koninkrijksrelaties en Infrastructuur en Waterstaat te inventariseren waar in het proces problemen ontstaan met betrekking tot late betaling en hoe we dat kunnen versnellen. We zullen de Tweede Kamer daarover informeren voor de zomer.

  • Vraag 4

    Hoe heeft deze termijn zich de afgelopen jaren ontwikkeld? Is deze termijn toe- of afgenomen en wat zijn de verklaringen hiervoor?

    De wettelijke betaaltermijnen van de rijksoverheid worden sinds 2009 gemonitord op basis van de ontvangstdatum van de factuur. Per departement wordt gekeken in hoeverre de wettelijke betaaltermijn (op basis van de ontvangstdatum van de factuur) van 30 dagen wordt gehaald. In 2016 heeft de rijksoverheid de ambitie verhoogd van 90% naar 95% betalingen voor ingekochte goederen en diensten die binnen 30 dagen moeten zijn afgerond.
    Uit de monitor Betaaltermijnen Overheid blijkt dat de rijksoverheid meer dan 95% van de facturen binnen 30 dagen betaalt (zie het antwoord op vraag 2).

  • Vraag 5

    Deelt u de mening dat, nu grote mkb-bedrijven gemiddeld 75 dagen moeten wachten op de betaling, dit een groot beslag legt op de kaspositie van deze bedrijven en dat dit een slechte ontwikkeling is?

    Ervan uitgaande dat de vragen gesteld worden in het kader van het FD-bericht «Bouwend Nederland: trage betalingen Rijk kosten bouwsector miljarden», neem ik aan dat deze vraag betrekking heeft op betalingen van het Rijk aan mkb-bedrijven in de bouwsector. Graag verwijs ik naar mijn antwoord op vragen 2, 3 en 4.

  • Vraag 6

    Kunt u uiteenzetten of deze lange betalingstermijnen ervoor hebben gezorgd dat bouwprojecten, waar de rijksoverheid opdrachtgever van is, vertraging hebben opgelopen omdat bedrijven in de problemen zijn gekomen?

    Nee, het verband tussen de wettelijke betalingstermijnen en vertragingen in bouwprojecten hebben Rijkswaterstaat en Rijksvastgoedbedrijf niet geconstateerd.

  • Vraag 7

    Welke signalen zijn er van bouwbedrijven die geen opdrachten meer willen aannemen van de rijksoverheid als gevolg van de lange betalingstermijn? Welke mkb-bedrijven zijn gestopt met toeleveranties aan grote bouwprojecten?

    Bij Rijkswaterstaat en Rijksvastgoedbedrijf zijn hier geen signalen van bekend. Uit de gesprekken die het Rijksvastgoedbedrijf voert met brancheorganisaties komt naar voren dat bedrijven het snelle betaalgedrag (binnen 30 dagen) van de rijksoverheid waarderen. Het is bij Rijkswaterstaat en Rijksvastgoedbedrijf niet bekend of mkb-ondernemingen als toeleverancier van bouwprojecten van opdrachtnemers van de rijksoverheid ook binnen 30 dagen worden betaald.

  • Vraag 8

    Wat gaat u eraan doen de betalingstermijn van het Rijk te reduceren naar 30 dagen, zodat grote mkb-bedrijven niet in de knel komen op de kapitaalmarkt, nu hun kaspositie onder druk staat?

    Graag verwijs ik naar mijn antwoord op vraag 3.

21 maart 2022 - 19 april 2022
Het bericht ‘Kabinet wil minder fastfoodwinkels in de stad’
Hawre Rahimi (VVD), Rudmer Heerema (VVD)
Maarten van Ooijen (staatssecretaris volksgezondheid, welzijn en sport) (CU)
1. NOS.nl, 18 maart 2022, «Kabinet wil minder fastfoodwinkels in de stad».
  • Vraag 1

    Bent u bekend met het bericht «Kabinet wil minder fastfoodwinkels in de stad»?1

    Ja.

  • Vraag 2

    Welke maatregelen kunnen gemeenten nemen om een gezonde leefomgeving te ondersteunen? In hoeverre maken gemeenten daar gebruik van?

    Gemeenten maken zich al jaren zorgen over het toenemende overgewicht en de impact daarvan op de gezondheid van onze inwoners. Omdat overgewicht zoveel voorkomt en ook nog altijd toeneemt, is overgewicht niet langer een individueel probleem, maar een volksgezondheidsrisico. Daarom worden door vrijwel alle gemeenten ambities geformuleerd en/of beleid ontwikkeld voor verbetering van de vergroening van de leefomgeving, zoals het aanleggen van sportvoorzieningen en het creëren van een groene en prettige openbare ruimte. Gezond voedselaanbod is een essentieel onderdeel van een gezonde leefomgeving. Uit onderzoek van de Universiteit van Amsterdam2 blijkt dat gemeenten op dit moment beperkte mogelijkheden hebben om de voedselomgeving positief te beïnvloeden. Ik laat de mogelijkheden verkennen om gemeenten op dit vlak daarom meer juridische handvatten te bieden.

  • Vraag 3

    Kunt u aangeven wat de reikwijdte van de voorgenomen wettelijke maatregelen zal zijn om fastfoodwinkels te weren?

    Om de dagelijkse voedselomgeving gezonder te maken, verken ik de wettelijke mogelijkheden om een gezonde voedselomgeving te bevorderen. Hiermee zouden we gemeenten instrumenten kunnen geven om de toename van aanbieders van ongezond voedsel tegen te gaan. Eveneens zouden we mogelijk regels kunnen stellen met betrekking tot ongezonde drank-, snoep- en snackautomaten in bijvoorbeeld de schoolomgeving of het beperken van marketing van ongezonde producten gericht op kinderen. Daarnaast werken het Ministerie van VWS en LNV samen aan het Programma Gezonde Groene Leefomgeving. Het doel van dit programma is te bereiken dat in de toekomst alle professionals uit het fysieke en sociale domein gezondheid en natuur als vanzelfsprekend meewegen bij het beheer en de ontwikkeling van de openbare ruimte. Hierbij zal ook aandacht zijn voor het gebruik en de beleving de inwoners.

  • Vraag 4

    Hoe verhoudt een voorgenomen wettelijke rem op fastfoodwinkels zich tot nationale en Europese wetgeving rondom vrijheid van ondernemerschap?

    Het weren van fastfoodwinkels moet getoetst worden aan hogere regelgeving. Met name de Europese Dienstenrichtlijn is van belang als het gaat om vrij verkeer en vrije vestiging van diensten. Beperking hiervan kan niet zomaar en moet gerechtvaardigd kunnen worden. Daarvoor moet o.a. de noodzaak en evenredigheid van een beperking goed onderbouwd worden (zie rapport City Deal 21 januari 2021).

  • Vraag 5

    Is bekend welk effect de afspraken rondom preventie in het Regeerakkoord hebben op het creëren van een gezonde leefomgeving? Zo nee, bent u voornemens deze effecten eerst in kaart te brengen alvorens nadere wettelijke maatregelen te overwegen?

    Het is bekend dat gewoonte, gemak en prijs in belangrijke mate bepalend zijn voor de voedselkeuze en dat de consument sterk wordt beïnvloed door de voedselomgeving (de hoeveelheid aan aanbod van eten en drinken en de verleiding daartoe in de fysieke omgeving en online). Ook is bekend dat er een sterke relatie is tussen de voedselomgeving en de mate van vóórkomen van overgewicht. Van prijsmaatregelen is bekend dat deze bij een voldoende groot prijsverschil effect hebben op aankoopgedrag.
    De huidige voedselomgeving is absoluut geen weerspiegeling van de Schijf van Vijf en verleidt sterk tot ongezonde (en niet duurzame) keuzes. De afspraken in het coalitieakkoord zijn gericht op het stimuleren van de gezonde en ontmoedigen van de ongezonde keuze, door onder andere maatregelen die de voedselomgeving gezonder maken en prijsmaatregelen. Bij de keuze voor te nemen maatregelen betrek ik adviezen van experts uit bijvoorbeeld het RIVM-rapport Inventarisatie aanvullende maatregelen Nationaal Preventieakkoord. Mogelijke vervolgstappen richting de ambities voor 2040 (2021) en het rapport The Healthy Food Environment Policy Index (Food-EPI): Een beoordeling van rijksoverheidsbeleid met betrekking tot de voedselomgeving in Nederland en beleidsaanbevelingen voor het creëren van een gezonde voedselomgeving (Universiteit Utrecht 2021).

  • Vraag 6

    Kunt u aangeven wat de stand van zaken is met betrekking tot de voorgenomen afspraken met de industrie over gezondere voedingsmiddelen?

    De industrie werkt in het kader van het Nationaal Preventieakkoord aan een verbeterd productaanbod. De nieuwe Nationale Aanpak Productverbetering die onlangs is gepubliceerd geeft daar een nieuwe impuls aan. De nieuwe aanpak moet ertoe leiden dat er in 2030 over de gehele breedte van productgroepen verbetering is gerealiseerd in de samenstelling. Bedrijven krijgen de mogelijkheid om productverbetering in meerdere stappen door te voeren. Hierdoor kan de consument wennen aan verandering van smaak en kunnen bedrijven hun receptuur en productieproces geleidelijk aanpassen. De overheid gaat monitoren hoe de voortgang verloopt.

7 maart 2022 - 1 april 2022
Het bericht ‘Ondernemers sneller in problemen door uitzondering in faillissementswet’
Ulysse Ellian (VVD), Hawre Rahimi (VVD)
Micky Adriaansens (minister economische zaken) (VVD), Franc Weerwind (minister zonder portefeuille justitie en veiligheid) (D66)
1. Het Financieele Dagblad, 28 februari 2022, «Ondernemers sneller in de problemen door uitzondering faillissementswet», Ondernemers sneller in de problemen door uitzondering faillissementswet (fd.nl)
  • Vraag 1

    Bent u bekend met bovenstaand bericht?1

    Ja.

  • Vraag 2

    Hoe beoordeelt u tot nu toe de uitwerking in de praktijk van de Wet homologatie onderhands akkoord (WHOA)? Hoeveel akkoorden zijn er reeds gesloten op basis van de WHOA?

    Op 1 januari 2021 is de Wet homologatie onderhands akkoord (WHOA) in werking getreden. De WHOA helpt ondernemingen die in zwaar weer verkeren, een faillissement te voorkomen door een akkoord met hun schuldeisers tot stand te brengen waarbij de financiële problemen worden opgelost door bijvoorbeeld een uitstel van betaling of een (gedeeltelijke) kwijtschelding van schulden.2 Enerzijds kunnen ondernemingen die toekomstperspectief hebben op deze manier weer financieel gezond worden. Anderzijds kan de WHOA ook gebruikt worden om ondernemingen die geen overlevingskansen hebben, buiten faillissement af te wikkelen met een beter resultaat voor de schuldeisers dan in faillissement. De rechter kan een akkoord bevestigen (homologeren) als de besluitvorming over en de inhoud van het akkoord aan de in de WHOA-regeling gestelde eisen voldoen. Het akkoord geldt dan voor alle bij het akkoord betrokken schuldeisers en dus ook voor schuldeisers die niet vrijwillig met het akkoord hebben ingestemd. De WHOA heeft bovendien nadrukkelijk als doel de buitengerechtelijke totstandkoming van akkoorden te faciliteren. De verwachting is dat, doordat schuldeisers weten dat een rechter een redelijk akkoord verbindend kan verklaren, zij sneller geneigd zijn om aan een herstructureringstraject mee te werken. De WHOA-regeling fungeert dan als een stok achter de deur waarmee de totstandkoming van minnelijke akkoorden wordt gestimuleerd, waardoor een daadwerkelijke gang naar de rechter om een akkoord te laten homologeren, niet nodig is.3
    Navraag bij de rechtspraak leert dat er in de periode tussen 1 januari 2021 en 1 maart 2022 rond de 200 verklaringen bij de griffie van de rechtbank zijn gedeponeerd, waarin ondernemingen kenbaar hebben gemaakt dat zij een traject zijn gestart om een akkoord tot stand te brengen. Ook zijn er in die periode rond de 65 beslissingen door de rechtbank genomen in het kader van verzoeken tot het treffen van voorzieningen om een lopend WHOA-traject te faciliteren. Verder zijn er in de genoemde periode 23 beslissingen door de rechtbank genomen over de homologatie van een akkoord, waarbij het homologatieverzoek in 17 gevallen is toegewezen en in 6 gevallen is afgewezen (bijvoorbeeld omdat de ondernemer zijn schuldeisers onvoldoende informatie had gegeven bij de aanbieding van het akkoord).4 Hoe vaak een WHOA-traject heeft geresulteerd in een akkoord nog voordat de rechter daarbij aan te pas kwam, is niet bekend omdat veruit de meeste van deze trajecten in beslotenheid plaatsvinden. Er is daarom nader onderzoek nodig om de effectiviteit van de WHOA-regeling goed te kunnen beoordelen. De WHOA voorziet in een evaluatiebepaling op basis waarvan uw Kamer uiterlijk eind 2023 door middel van een verslag geïnformeerd dient te worden over de doeltreffendheid en de effecten van de WHOA-regeling in de praktijk. Ik ben voornemens om eind dit jaar al een start te maken met de voorbereiding van het evaluatieonderzoek.
    Wel valt nu al op dat veel van de beslissingen die tot nog toe door de rechtbank zijn genomen, betrekking hebben op ondernemingen behorend tot het mkb. Voorafgaand aan de inwerkingtreding van de WHOA was juist de verwachting dat in eerste instantie vooral grotere bedrijven voor een WHOA-traject in aanmerking zouden komen, omdat de WHOA een vrij complexe regeling is.5 Om ook mkb-ondernemingen te informeren over het gebruik en de mogelijkheden van de WHOA-regeling als zij schulden hebben, heeft mijn voorganger, samen met de Minister van Economische Zaken en Klimaat, zorg gedragen voor voorlichting (zie nader het antwoord op vraag 7).6 Het is goed om te merken dat de mkb-ondernemingen er nu al in slagen van de WHOA-regeling gebruik te maken.

  • Vraag 3

    Sluit het aantal akkoorden dat tot nu toe is bereikt aan bij het aantal akkoorden dat van tevoren werd verwacht in de rechtspraktijk?

    Zie antwoord vraag 2.

  • Vraag 4

    Welke gevolgen heeft dit arrest voor ondernemers die een doorstart proberen te maken?

    De WHOA is bedoeld voor ondernemingen die vanwege een te zware schuldenlast insolvent dreigen te raken, maar na een herstructurering van de schulden weer financieel gezond kunnen worden of buiten faillissement afgewikkeld kunnen worden met een beter resultaat voor de schuldeisers dan in faillissement. Een akkoord hierover komt bij voorkeur buitengerechtelijk tot stand. Indien nodig kan de rechter een akkoord homologeren. Schuldeisers die niet met het akkoord hebben ingestemd, worden dan toch aan het akkoord gebonden. Bij de totstandkoming van de WHOA is er bewust voor gekozen om in deze wet een uitzondering te maken voor rechten van werknemers die voortvloeien uit de arbeidsovereenkomst. Werknemers kunnen niet tegen hun wil gebonden raken aan een akkoord waarbij zij bijvoorbeeld loon moeten inleveren. De Hoge Raad heeft nu geoordeeld dat pensioenpremies, die ten behoeve van de werknemer worden afgedragen, ook onder deze uitzondering vallen omdat dit een recht is dat voortvloeit uit een arbeidsovereenkomst in de zin van art. 7:610 BW.7 Daarmee wordt verzekerd dat de pensioenopbouw van werknemers niet in gevaar komt als gevolg van een WHOA-akkoord. Ik heb vernomen dat in de praktijk de vrees bestaat dat de uitspraak van de Hoge Raad het moeilijker kan maken voor ondernemers om een akkoord te bereiken. Ik heb echter vooralsnog geen concrete signalen dat dit effect ook is opgetreden. De uitspraak biedt aan ondernemingen die gebruik willen maken van de WHOA-regeling in ieder geval duidelijkheid over het toepassingsbereik van de bestaande uitzonderingsregel betreffende de rechten van werknemers. Als ondernemers op grond van de WHOA-regeling een akkoord aan hun schuldeisers willen aanbieden, zullen zij over voldoende financiële middelen moeten beschikken om de achterstallige pensioenpremies ten behoeve van hun werknemers in te lopen. Dit is iets om rekening mee te houden bij de voorbereiding van een akkoord, door bijvoorbeeld dit traject tijdig te starten.

  • Vraag 5

    Bent u het eens met de stelling dat de WHOA het juist makkelijker moet maken voor ondernemers om een doorstart te maken? Zo ja, bent u het ook eens met de stelling dat het arrest van de Hoge Raad potentieel zeer zorgelijke gevolgen kan hebben voor een grote groep ondernemers, aangezien het arrest ertoe leidt dat de WHOA in de praktijk minder effectief kan worden ingezet? Zo nee, waarom niet?

    Zie antwoord vraag 4.

  • Vraag 6

    Kan in overleg met betrokken stakeholders een inschatting worden gemaakt hoeveel noodlijdende bedrijven tot nu toe zijn geraakt en zullen worden geraakt door deze uitspraak? Kunt u in dat kader een inschatting maken van het aantal ondernemingen dat faillissement heeft moeten aanvragen doordat de WHOA in het geheel niet van toepassing is op vorderingen van bedrijfstakpensioenfondsen voor achterstallige pensioenpremies?

    Zoals ik eerder in het antwoord op vraag 5 heb opgemerkt, heb ik vooralsnog geen concrete signalen ontvangen dat trajecten om een akkoord tot stand te brengen, zijn stukgelopen naar aanleiding van de uitspraak van de Hoge Raad. Dit is overigens ook niet gebeurd in de zaak waarop de uitspraak van de Hoge Raad betrekking heeft. De Hoge Raad heeft uitspraak gedaan naar aanleiding van een prejudiciële vraag die de rechtbank Amsterdam had gesteld in een zaak waarin zij verzocht was een akkoord te homologeren. In afwachting van de uitspraak van de Hoge Raad hebben de betrokken partijen alvast een voorziening getroffen voor het geval uit de uitspraak van de Hoge Raad zou blijken dat de achterstallige pensioenpremies niet meegenomen konden worden in het akkoord. Hierdoor kon de rechtbank het akkoord toch homologeren ook al had de Hoge Raad nog geen beslissing genomen.8
    In het kader van de evaluatie van de WHOA zal de effectiviteit van de WHOA-regeling worden onderzocht, waarbij expliciet aandacht zal worden besteed aan de gevolgen van de uitspraak van de Hoge Raad.

  • Vraag 7

    Bent u het eens met de stelling dat voorkomen moet worden dat noodlijdende bedrijven die door corona al flinke klappen hebben gehad nu moeten overgaan tot het aanvragen van faillissement in plaats van het succesvol doorlopen van een WHOA-traject? Zo ja, welke stappen bent u bereid te zetten om dit te voorkomen en om noodlijdende ondernemers hier meer perspectief te bieden? Zo nee, waarom niet?

    Sinds de uitbraak van het COVID-19 virus is het beleid van het kabinet er op gericht om zoveel mogelijk te voorkomen dat ondernemingen uitsluitend door de pandemie failliet gaan. De WHOA-regeling is daarbij onderkend als een behulpzaam instrument. Mijn voorganger heeft, samen met de Minister van Economische Zaken en Klimaat, zorg gedragen voor flankerend beleid om ondernemingen te informeren over het gebruik en de mogelijkheden van de WHOA-regeling.9 De Kamer van Koophandel biedt in het kader van het «Programma Zwaar Weer» hulp in de vorm van informatie, advies en doorverwijzing aan ondernemingen in financiële moeilijkheden.10 Vanaf 2021 is deze dienstverlening van de Kamer van Koophandel uitgebreid met ondersteunende online content en tools over het gebruik en de mogelijkheden van de WHOA, zoals een WHOA-routekaart die ondernemers stapsgewijs informeert over hoe een akkoord voorbereid kan worden. Daarnaast is er een Time Out Arrangement (TOA)-krediet via Qredits beschikbaar gesteld om mkb-ondernemingen in staat te stellen een doorstart vanuit een WHOA-traject te maken.11 Het TOA-krediet kan door ondernemers bij uitvoerder Qredits worden aangevraagd van 1 juni 2021 tot en met 31 mei 2024.

  • Vraag 8

    Bent u bereid, vooruitlopend op de evaluatie van de WHOA, de gevolgen van het arrest van de Hoge Raad voor de effectiviteit van de WHOA nader in kaart te brengen en de Kamer over de uitkomsten te informeren voor het zomerreces?

    Per 15 maart 2022 is de consultatie afgerond over een document over het insolventierecht met als doel de praktijk te betrekken bij de toekomstige ontwikkelingen op dit terrein.12 Over de uitkomsten van deze consultatie ga ik voor de zomer in gesprek met vertegenwoordigers uit de faillissementspraktijk (waaronder INSOLAD13, RECOFA14, NEVOA15, JIRA16, NOvA17, NVB18) en van de vakbonden CNV en FNV, alsmede van werkgeversorganisatie VNO/NCW en MKB-Nederland. Deze vertegenwoordigers vormen samen een klankbord in het kader van het wetgevingsprogramma «herijking faillissementsrecht» (hierna: de klankbordgroep). In dit overleg zal ik, ter voorbereiding op de evaluatie van de WHOA, alvast de eerste ervaringen van de deelnemers aan de klankbordgroep met de WHOA-regeling bespreken. Daarbij zal ik de gevolgen van de uitspraak van de Hoge Raad betrekken, in relatie tot de effectiviteit van de regeling. Ik ben voornemens om uw Kamer zo spoedig mogelijk in het najaar te informeren over de uitkomsten van de consultatie en de gesprekken met de klankbordgroep.

18 februari 2022 - 21 maart 2022
Het UBO-register
Hawre Rahimi (VVD), Eelco Heinen (VVD)
Sigrid Kaag (viceminister-president , minister financiën) (D66)
1. de Telegraaf, 16 februari 2022 (https://www.telegraaf.nl/financieel/1…
2. Europees Hof van Justitie, 2020 (https://curia.europa.eu/juris/showPd…
3. Europees Hof van Justitie, 20 januari 2022 (https://eur-lex.europa.eu…
  • Vraag 1

    Bent u bekend met het bericht «Ondernemers worstelen met privacy en complexiteit: «Stel UBO-register uit»?1

    Ja.

  • Vraag 2

    Erkent u de zorgen van ondernemers en andere uiteindelijk belanghebbenden (UBO’s) met betrekking tot hun veiligheid, met name van zelfstandigen van wie hun bedrijfsadres geregistreerd staat op hun woonadres?

    Ik begrijp de zorgen van ondernemers en andere UBO’s. Het UBO-register is een belangrijk middel in de strijd tegen witwassen en terrorismefinanciering. Tegelijkertijd is bij de implementatie en in het parlementaire traject veel aandacht uitgegaan naar de privacyaspecten van het UBO-register. Hierbij is een balans nagestreefd tussen voldoende bescherming van UBO’s, binnen de strikte kaders van de richtlijn die waar mogelijk eenduidigheid van beleid tussen lidstaten bevorderd. Nederland heeft in dit kader gebruik gemaakt van alle lidstaatopties om de privacy-impact te beperken en daarnaast ook nog aanvullende maatregelen genomen. Zo is het in Nederland mogelijk om onder bepaalde voorwaarden afscherming van de openbare gegevens te verzoeken en is registratie vereist alvorens de gegevens te kunnen raadplegen. Voorts kan het UBO-register niet door het publiek doorzocht worden op persoonsgegevens en kan het register enkel een-op-een bevraagd worden op basis van een specifieke juridische entiteit. Daarbij wordt UBO’s inzicht geboden in het aantal raadplegingen van hun gegevens, gecategoriseerd naar raadpleger, en zal op de voet van de Wet Digitale Overheid voorzien worden in verbeterde identificatie van raadplegers. Daarnaast zal respectievelijk één en vier jaar na de vulling de privacy-impact van het UBO-register worden geëvalueerd.
    Specifiek ten aanzien van de adresgegevens geldt dat in het UBO-register geen adresgegevens openbaar worden gemaakt van UBO’s. De openbare gegevens over de UBO zijn de voor- en achternaam, geboortemaand en -jaar, nationaliteit, woonstaat (het land waar de UBO woonachtig is), en de aard en omvang van het gehouden economische belang. Overige geregistreerde gegevens zijn enkel te raadplegen door bevoegde autoriteiten. Daarbij kan het publiek het register niet doorzoeken op persoonsgegevens.

  • Vraag 3

    Hoe beoordeelt u de balans in het UBO-register tussen de aanpak van witwassen en fraude enerzijds en de privacy van UBO’s anderzijds?

    Zie antwoord vraag 2.

  • Vraag 4

    Bent u op de hoogte van de prejudiciële vragen die een Luxemburgse rechter aan het Europees Hof van Justitie over het UBO-register heeft gesteld?2 En bent u tevens bekend met het advies van Pitruzella, de Advocaat-Generaal aan het Europees Hof van Justitie?3

    Ik ben bekend met drie Luxemburgse zaken. Twee daarvan zijn gevoegd en in deze gevoegde zaken zijn prejudiciële vragen gesteld aan het Hof van Justitie. Ik heb kennis genomen van de conclusie van de Advocaat-Generaal (A-G) in deze zaak.4 Daarbij is het in algemene zin van belang te benadrukken dat een conclusie van de A-G, anders dan het uiteindelijke arrest van het Hof, niet bindend is en niet zonder meer door het Hof gevolgd hoeft te worden.
    In zijn conclusie geeft de A-G aan dat een openbaar UBO-register verenigbaar is met de Algemene verordening gegevensbescherming. Er zijn daarnaast twee punten waar de conclusie van de A-G afwijkt van de huidige richtlijn. Ten eerste concludeert de A-G dat raadplegers door de beheerder van het register geregistreerd moeten worden. Daarbij overweegt de A-G dat in noodzakelijke gevallen de identiteitsgegevens van de raadpleger aan de UBO verstrekt kunnen worden. De richtlijn verplicht nu niet tot de registratie van de raadplegers. Ten tweede concludeert de A-G dat er altijd een mogelijkheid moet zijn om in uitzonderlijke omstandigheden de gegevens van een UBO af te schermen. In de richtlijn is dit nu enkel een optie voor lidstaten om op te nemen in hun register.
    De punten die de A-G aanstipt, liggen in het verlengde van wat Nederland al doet ter borging van de privacy. Ten aanzien van het eerste punt is in het Nederlandse UBO-register reeds voorzien in het bijhouden van de identiteit van raadplegers. Daarbij is geregeld dat informatie over raadplegingen op verzoek verstrekt kan worden aan UBO’s. Onder dit laatste vallen nu niet de identiteitsgegevens van de raadplegers zelf, maar enkel de aantallen raadplegingen, gecategoriseerd naar type raadpleger. Mocht het Hof dit punt van de A-G over het registreren van raadplegers en het verstrekken van die gegevens overnemen, dan ligt dit dus in het verlengde van bestaande processen in Nederland. Het verstrekken van identiteitsgegevens over raadplegers is in de overwegingen van de A-G wel verbonden aan voorwaarden. Het is van groot belang of en op welke wijze het Hof dit punt overneemt alvorens hierop te handelen. Het gaat immers over het verstrekken van persoonsgegevens waarin de richtlijn op dit moment niet voorziet.
    Wat betreft het tweede punt stelt de A-G in zijn conclusie dat het bieden van afscherming van UBO’s in uitzonderlijke gevallen waar toegang tot de gegevens een buitenproportionele inbreuk op hun fundamentele rechten zou betekenen, niet slechts een bevoegdheid maar verplichting van lidstaten zou moeten zijn. Thans is een afschermingsregime onder de richtlijn niet verplicht gesteld, maar betreft het een lidstaatoptie. Nederland heeft hiervan volledig gebruik gemaakt door afscherming van de openbare persoonsgegevens bij minderjarigheid, handelingsonbekwaamheid of politiebescherming mogelijk te maken. Ik benadruk daarbij dat gedurende de parlementaire behandeling van de wetgeving is aangegeven dat personen zich ook op voorhand kunnen melden bij de politie als zij verwachten dat inschrijving in het register tot een dreiging kan leiden. De politie zal vervolgens een beoordeling maken van de dreiging. Dit beleid geldt nog steeds. Uiteraard zal gevolg worden gegeven aan het uiteindelijke arrest van het Hof, mocht dit tot andere inzichten leiden omtrent de invulling van het afschermingsregime.

  • Vraag 5

    Hoe beoordeelt u het advies van de Advocaat-Generaal? Erkent u dat het Nederlandse UBO-register in zijn huidige vorm niet in lijn is met zijn advies?

    Zie antwoord vraag 4.

  • Vraag 6

    Klopt de constatering van de Advocaat-Generaal dat volgens Europese regelgeving afscherming van gegevens niet onnodig mag worden bemoeilijkt? Welke mogelijkheden ziet u in het verlengde hiervan om afscherming van gegevens te vereenvoudigen?

    Zie antwoord vraag 4.

  • Vraag 7

    Bent u bereid, mede gezien het huidige aantal registraties en de moeilijke periode waaruit ondernemers komen, de deadline voor het verplichte UBO-register te verschuiven tot na de uitspraak van het Hof van Justitie van de Europese Unie? Zo nee, waarom niet?

    Gelet op de conclusie van de A-G, welke in belangrijke mate in lijn ligt met de Nederlandse implementatie, zie ik geen aanleiding tot uitstel van de deadline tot registratie. Ook de achterblijvende opgaven geven hier geen aanleiding toe. Juridische entiteiten hebben een ruime periode van 18 maanden gekregen voor registratie. Deze termijn is wettelijk geregeld en uitstel zou dan ook een wetswijziging vereisen. Indien het uiteindelijke arrest van het Hof tot nieuwe inzichten leidt, zullen die uiteraard worden overgenomen.

  • Vraag 8

    Bent u bereid voorbereidingen te treffen om kwetsbare elementen van het UBO-register direct buiten werking te stellen als de uitspraak van het Hof van Justitie is dat elementen van het UBO-register in strijd zijn met de Europese waarborgen rondom privacy?

    Zie antwoord vraag 7.

7 februari 2022 - 10 maart 2022
Het bericht 'Mkb'er kiest voor lening om aan eisen banken te voldoen'
Hawre Rahimi (VVD)
Micky Adriaansens (minister economische zaken) (VVD)
1. Het Financieele Dagblad, 31 januari 2022, --- Mkb’er kiest voor lening om aan eisen banken te voldoen.
  • Vraag 1

    Bent u bekend met het bericht «Mkb’er kiest voor lening om aan eisen banken te voldoen»?1

    Ja.

  • Vraag 2

    Zo ja, bent u al in gesprek met banken en ondernemers over waarom dit zo is? Zo ja, wat is er tot nu toe uit deze gesprekken gekomen? Zo nee, waarom niet?

    Mijn ministerie overlegt op reguliere basis met (vertegenwoordigers van) banken en vertegenwoordigers van ondernemers, ook over de financieringsbehoefte van ondernemers en de belemmeringen die ze daarbij ervaren. In de gesprekken is aandacht voor wat nodig is voor ondernemers en voor aspecten als liquiditeit, zekerheden en de eigenvermogenspositie. Ook is er altijd aandacht voor signalen die ons bereiken ten aanzien van ondernemers die niet terecht kunnen bij banken. Banken hebben aangegeven open te staan voor signalen van ondernemers die knelpunten ervaren bij hun bedrijfsfinanciering, om deze te bespreken en waar mogelijk ook tot oplossingen te komen.
    Voor investeringen of financieringen met een hoger risico is een hoger rentepercentage begrijpelijk, immers de risico’s voor de financier zijn hiervoor hoger. De mogelijke opbrengsten voor de ondernemer zijn ook hoger dankzij een verbeterde omzet en winst door de investering.

  • Vraag 3

    Deelt u de mening dat deze constatering zeer zorgelijk is, met name gezien het feit dat 70 procent van de werkgelegenheid bij de mkb’ers ligt en deze daarmee in gevaar komt? Zo ja, hoe beoordeelt u deze zorgelijke situatie en waar ziet u concrete mogelijkheden, ook gelet op het coalitieakkoord, om financieringsmogelijkheden voor mkb’ers te verbreden? Zo nee, waarom niet?

    Toegang tot financiering is een belangrijke randvoorwaarde voor het mkb om te kunnen blijven ondernemen. Het kan voor ondernemers lastig zijn om voor risicovollere investeringen externe financiering aan te trekken. Voor risicovolle investeringen is een sterk eigen vermogen of voldoende onderpand vaak een belangrijke voorwaarde om krediet te krijgen (en niet alleen bij bancaire financiers). Dit is niet altijd voorhanden bij mkb-ondernemers.
    Het is hierbij aan banken zelf om te bepalen hoe zij het risico van een investeringspropositie inschatten, of zij een ondernemer kredietwaardig vinden en of zij tot financiering willen overgaan.
    In dit licht zie ik dat, in het algemeen, financiering door middel van een achtergestelde lening ondernemers extra kansen kan bieden. Achtergestelde leningen kunnen onder bepaalde voorwaarden worden gerekend tot het eigen vermogen (garantievermogen). Ondernemers met een propositie die onvoldoende basis biedt voor een reguliere lening, door onvoldoende eigen vermogen of een te hoog risico, kunnen op deze manier mogelijk toch financiering ophalen. Zoals in het artikel wordt aangegeven maakt een achtergestelde lening geen gebruik van zekerheden of onderpand en kan het tot het eigen vermogen worden gerekend. Bovendien geeft het voor andere financiers meer zekerheid.
    Dit neemt niet weg dat banken zich dergelijke signalen uit het krantenartikel zouden moeten aantrekken. Ik acht het namelijk van belang dat banken zich bereid tonen om ondernemers te financieren met een risicovoller profiel of investeringsbehoefte.
    Het kabinet richt zich op het verbeteren van de toegang tot financiering van het mkb door het wegnemen van onnodige belemmeringen en daarmee het dichten van de financieringskloof. Daar blijven we aan werken en dat kent geen eindig tijdspad. Zo kunnen bedrijven via de Borgstelling MKB-kredieten (BMKB) makkelijker bij een bank terecht middels een garantie indien deze bedrijven onvoldoende onderpand kunnen bieden. Ook via Qredits hebben veel ondernemers de afgelopen jaren financiering kunnen verkrijgen. Zowel de BMKB en Qredits worden geëvalueerd, zo kunnen we zien of het beter kan. Daarnaast stimuleert het kabinet de alternatieve financieringsmarkt op verschillende manieren, zoals met (financiële) ondersteuning van de stichting MKB Financiering en met het DACI-fonds, een fonds om het aanbod van financiering voor alternatieve financiers te vergroten.
    Het is van belang dat ondernemers betere toegang krijgen tot financiering geschikt voor investeringen en meer mogelijkheden krijgen op de alternatieve financieringsmarkt. Het Comité voor Ondernemerschap heeft hier afgelopen november al een advies over uitgebracht. Het Nederlands Comité voor Ondernemerschap pleit voor versterking van het eigen vermogen van het mkb via een fonds. Een nieuw fonds kan volgens het Comité in de kern gezonde ondernemers helpen om te investeren, onder meer in vernieuwing, verduurzaming en digitalisering. Ik zal in het voorjaar een reactie op dit advies aan uw Kamer sturen.

  • Vraag 4

    Deelt u de mening dat ondernemers hierdoor onnodig veel kosten maken door meer rente te betalen dan nodig is en daarmee minder geld over is voor innovatie en investering? Zo ja, bent u bereid om met ondernemers en banken in gesprek te gaan om deze financieringsproblematiek aan te pakken om de positie van mkb’ers te versterken? Zo nee, waarom niet?

    Zie antwoord vraag 2.

  • Vraag 5

    Welke stappen gaat u zetten om te zorgen dat mkb’ers wel gewoon terecht kunnen bij banken en kunt u hiervoor een tijdspad geven?

    Zie antwoord vraag 3.