Vraag 1

Klopt de berichtgeving dat de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) sinds 2014 tegen het advies van zijn juristen in, volhardde in het volgen van burgers middels nepaccounts zonder daar een wettelijke grondslag voor te hebben?1

Dat is niet aan de orde. In 2014 is er een nota opgesteld over de internetmonitoring bij de NCTV2. Het advies in die nota was in te stemmen met de voorgestelde werkwijze van internetmonitoring. De NCTV heeft in 2014 ook conform de Wet bescherming persoonsgegevens een melding bij het College bescherming persoonsgegevens gedaan van de verwerking van persoonsgegevens door internetmonitoring. De nota illustreert wat hierover meermaals met uw Kamer is gedeeld, namelijk dat er door de jaren heen hierover binnen de NCTV discussie is geweest, maar dat de heersende opvatting steeds was dat dit juridisch verdedigbaar was. In een brief aan uw Kamer van 12 april 2021 is hier uitgebreid op ingegaan3. Ook daarna is dit nog in verschillende brieven, Kamervragen en debatten aan de orde geweest4.
De internetmonitoring door de NCTV was gericht op het doen van onderzoek naar trends en fenomenen en niet op het doen van onderzoek naar personen. Trends en fenomenen zijn ontwikkelingen zoals het jihadisme of antisemitisme. Voor het duiden van trends en fenomenen kan het nodig zijn publiek toegankelijke (online) bronnen te raadplegen. Vaak is het niet mogelijk kennis te nemen van zo’n bron zonder ook de persoonsgegevens te verwerken van bijvoorbeeld de auteur van die bron of personen die daarin worden genoemd.

Vraag 2

Zo ja, wat vindt u ervan dat de NCTV bereid was zich niet aan de wet te houden?

Zoals uiteengezet in het antwoord op vraag 1 is hier geen sprake van. Tot 2021 was de heersende opvatting dat dit juridisch verdedigbaar was. Zoals bij eerdere gelegenheid aan uw Kamer gemeld5 heeft door de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) de bescherming van privacy meer aandacht gekregen. Dit leidde in februari 2020 tot de start van het project «taken en grondslagen». De conclusie van dit project luidde in februari 2021 dat het identificeren en analyseren van dreigingen en risico’s op het gebied van terrorisme en nationale veiligheid, juridisch kwetsbaar is en versterking behoefde indien daarbij (bijzondere) persoonsgegevens worden verwerkt. In 2021 is definitief besloten dat hiervoor separate wetgeving nodig was. Dit heeft geleid tot het Wetsvoorstel coördinatie terrorismebestrijding en nationale veiligheid, waarin de coördinatietaak van de NCTV is afgebakend en vastgelegd. Dit wetsvoorstel is eind 2023 in beide Kamers van de Staten-Generaal met ruime meerderheid aangenomen.

Vraag 3

Wat is de reden dat er een rechterlijke uitspraak met dwangsom voor nodig was om u deze informatie te laten vrijgeven? Waarom maakte u de betreffende documenten niet uit eigen beweging openbaar?

Het is nooit de intentie geweest deze documenten niet openbaar te maken. Er is juist voor gekozen om de documenten over het project taken en grondslagen die eenvoudig waren te traceren zo snel mogelijk openbaar te maken. Dat gebeurde in het Woo-deelbesluit6 van 15 september 2021. Over dit deelbesluit is uw Kamer diezelfde dag schriftelijk geïnformeerd7. De resterende informatie volgde in het tweede deelbesluit van 8 maart 2024. Dit laatste deelbesluit omvat de informatie over internetmonitoring die buiten het project taken en grondslagen lag. Voor dit tweede deelbesluit moesten binnen de NCTV vele duizenden documenten worden doorzocht die mogelijk met internetmonitoring te maken hadden. Dit heeft veel tijd gekost. Het is niet goed dat de wettelijke termijn waarbinnen stukken behoren te worden verstrekt is overschreden. Zowel mijn voorganger als ik zijn echter veelvuldig met uw Kamer in debat geweest over de taken en grondslagen van de NCTV, waaronder de internetmonitoring. Alle bovengenoemde informatie is onderdeel geweest van deze debatten, waaronder die over het wetsvoorstel dat uiteindelijk is aangenomen.

Vraag 4

Klopt het dat het besluit van de toenmalig Minister van Veiligheid en Justitie over deze activiteiten zoek is geraakt?

Zoals vermeldt in het antwoord op vraag 1 bevindt zich onder de stukken die met het Woo-besluit van 8 maart 2024 openbaar zijn gemaakt een nota van de NCTV aan de toenmalig Minister van Veiligheid en Justitie. Deze nota behandelt het doel en de werkwijze van de internetmonitoring bij de NCTV alsmede de juridische grondslag. In de nota staat hierover dat «Op basis van de [in de nota genoemde] regelingen verdedigbaar is dat de verwerking van persoonsgegevens plaatsvindt in het kader van de vervulling van een publiekrechtelijke taak als bedoeld in artikel 8, onderdeel e, van de Wbp8». Het advies in de nota luidt: «Instemmen met doel en werkwijze van internetmonitoring bij DRD9». Er was geen advies om hier niet mee verder te gaan.
In het MT van de NCTV is op 17 juli 2014 over het onderwerp «Borging internetmonitoring» gesproken. Nazoeking heeft geen aanwijzingen opgeleverd dat de hiervoor genoemde nota aan de toenmalig Minister van Veiligheid en Justitie is voorgelegd en dat hij hierover een besluit heeft genomen. Het komt vaker voor dat wordt besloten een nota die in concept aan de bewindspersoon is gericht niet aan de Minister voor te leggen. Hiervoor kunnen uiteenlopende redenen zijn geweest.

Vraag 5

Zo ja, kunt u het besluit reconstrueren? Kunt u bij betrokkenen, zoals de toenmalig Minister van Veiligheid en Justitie en/of de toenmalig NCTV, ophalen of zij actieve herinneringen aan dit besluit hebben?

Zie antwoord vraag 4.

Vraag 6

Hoeveel mensen zijn op deze manier in de gaten gehouden? Is de verzamelde data inmiddels uit de systemen van de NCTV verwijderd?

Zoals aangegeven in het antwoord op vraag 1 waren de internetmonitoringwerkzaamheden niet gericht op het doen van onderzoek naar personen. Het doel van internetmonitoring was door de jaren heen het duiden van trends en fenomenen. Bij het signaleren, analyseren en duiden van trends en fenomenen waarvoor openbare (online) bronnen zijn geraadpleegd heeft de NCTV soms wel persoonsgegevens verwerkt, bijvoorbeeld omdat bij het onderzoek naar fenomenen zoals bijvoorbeeld het jihadisme, antisemitisme of rechts-extremisme kennis is genomen van uitingen van personen zoals die zijn gedaan in het publieke debat. Over deze activiteiten heeft de Autoriteit Persoonsgegevens, zoals toegelicht in het antwoord op vraag 1, geoordeeld dat het Organisatiebesluit JenV niet als grondslag voor deze verwerking van persoonsgegevens kan dienen. Vanaf dat moment is de NCTV met de internetmonitoring gestopt.
Enkel in het geval van een verzoek op grond van de Algemene Verordening Gegevensbescherming (AVG) wordt een zoekslag binnen de organisatie op persoonsniveau uitgevoerd. Indien persoonsgegevens bij deze zoekslag naar boven komen, worden deze stukken bijeengebracht en in een besluit op het AVG-verzoek opgenomen om te voldoen aan de rechten van de betrokkene op grond van de AVG. De stukken worden alleen in het kader van een inzageverzoek bijeengebracht. Dit zijn dus geen dossiers die vooraf zijn gevormd en /of toegankelijk zijn ten behoeve van de coördinatietaak van de NCTV of daaraan ondersteunende analysewerkzaamheden.
In december 2021 is de NCTV een opschonings- en archiveringstraject gestart, zodat wordt voldaan aan de eisen die de AVG stelt aan het bewaren van persoonsgegevens.

Vraag 7

Welke garanties zijn er dat de NCTV in de toekomst dit soort wederrechtelijke besluiten niet meer neemt? Welke maatregelen heeft hij getroffen dat ingrijpende besluiten van deze aard goed vastgelegd zullen worden?

In het antwoord op vraag 1 en 2 is ingegaan op de ontwikkelingen van de inzichten rond de internetmonitoring bij de NCTV. Eind 2023 is de Wet coördinatie terrorismebestrijding en nationale veiligheid aangenomen. Het toezicht op de naleving van de wet op vindt straks op drie manieren plaats. Door de Autoriteit Persoonsgegevens (AP), door het aanstellen van een functionaris gegevensbescherming bij de NCTV specifiek voor de uitvoering van deze wet en door de Inspectie Justitie en Veiligheid voor de normen in de wet die niet onder de reikwijdte vallen van de Algemene verordening gegevensbescherming (AVG). Naar aanleiding van een toezegging die werd gedaan tijdens de behandeling van de wet in de Eerst Kamer heb ik de Voorzitter van de Eerste Kamer bij brief van heden nader over het toezicht door de Inspectie geïnformeerd. Een afschrift van deze brief is bij de beantwoording van deze Kamervragen gevoegd.

Vraag 1

Bent u bekend met de vacaturetekst «PhD-kandidaat: Vroegtijdig des- en misinformatie identificeren op sociale media» bij het Rijksinstituut voor Volksgezondheid en Milieu (RIVM)?1

Ja. Daarbij wijs ik erop dat het RIVM een onafhankelijke adviseur is. Dit komt onder meer tot uitdrukking in de Wet op het RIVM, waarin in artikel 5 is bepaald dat de Minister van VWS geen aanwijzingen geeft aan het RIVM met betrekking tot de methoden volgens welke de onderzoeken worden uitgevoerd en de resultaten daarvan worden gerapporteerd.

Vraag 2

Is het RIVM voornemens om de in het promotieonderzoek te ontwikkelen methoden «met behulp van Artificial Intelligence (AI) en andere big data technieken (sic) om des- en misinformatie op sociale media (over vaccinaties en andere volksgezondheidsthema’s) met mogelijk grote invloed op percepties en gedrag vroegtijdig te identificeren», te operationaliseren?

Een eventuele implementatie van de te ontwikkelen methode is geen onderdeel van dit promotieonderzoek.

Vraag 3

Zo ja, welke wettelijke grondslag is het RIVM voornemens hiervoor te hanteren?

Indien er binnen of naar aanleiding van het promotieonderzoek persoonsgegevens worden verwerkt, geeft het RIVM zich vanzelfsprekend rekenschap van benodigde wettelijke grondslagen, de bestaande wettelijke kaders, zoals de Wet op het RIVM en de AVG, het algemeen aanvaard wetenschappelijk normenkader en processen die doorlopen moeten worden. Bijvoorbeeld het uitvoeren van een DPIA.

Vraag 4

Hoe gaat u voorkomen dat in of ten gevolge van dit onderzoek, de gedragingen van burgers op sociale media op wederrechtelijke wijze door het RIVM worden gevolgd?

Zie antwoord op vraag 3.

Vraag 5

Hoe gaat u voorkomen dat in of ten gevolge van dit onderzoek, persoonsgegevens van burgers wederrechtelijk door het RIVM worden verwerkt of opgeslagen?

Zie antwoord op vraag 3.

Vraag 6

Op welke manier en op welke termijn is het RIVM voornemens de kaders die in of ten gevolge van dit onderzoek gehanteerd worden voor het aanmerken van des- en misinformatie over vaccinaties en andere volksgezondheidsthema’s, openbaar te maken?

Dit RIVM-onderzoek hanteert voor de definities van des- en misinformatie de terminologie, zoals gedefinieerd door de Wereldgezondheidsorganisatie (WHO)2. Onderzoeksresultaten zullen na uitvoerige peer-review, gepubliceerd worden in wetenschappelijke tijdschriften gedurende de looptijd van het promotietraject. De eerste resultaten van een promotietraject worden doorgaans na 1,5–2 jaar na start verwacht.

Vraag 7

Op welke manier en op welke termijn is het RIVM voornemens om de in of ten gevolge van dit onderzoek gebruikte algoritmen openbaar te maken?

De resultaten van dit onderzoek en de gebruikte methodiek, inclusief de algoritmen, zullen beschreven worden middels wetenschappelijke artikelen, die Open Access zullen worden gepubliceerd. Ook zal er te zijner tijd, en indien zou worden besloten tot implementatie, getoetst worden of de algoritmes tevens opgenomen dienen te worden in het algoritmeregister.

Vraag 1

Bent u bekend met het bericht van Stichting Internet Domeinregistratie Nederland (SIDN) dat zij van plan is om in de komende twee jaar haar volledige ICT-omgeving, waarbinnen het.nl-domein beheerd wordt, over te dragen aan Amazon Web Services (AWS)?1

Ja, ik heb hier kennis van genomen.

Vraag 2

Heeft u contact gehad met het SIDN over dit besluit? Zo ja, welk standpunt heeft u richting de organisatie uitgedragen?

Het Ministerie van Economische Zaken en Klimaat (EZK) is door Stichting Internet Domeinregistratie Nederland (SIDN) niet schriftelijk geïnformeerd over of geraadpleegd bij de besluitvorming. Het onderzoek heeft SIDN in het najaar van 2023 kort ter sprake gebracht in een breder overleg tussen SIDN en EZK. SIDN heeft toen aangegeven dat zij toekomstige (cloud)oplossingen voor haar domeinregistratiedienst heeft onderzocht. Op basis van dit onderzoek heeft SIDN een voorkeur voor Amazon Web Services (AWS). SIDN gaf aan dit een lastige keuze te vinden, maar alles overwegende op deze voorkeur uit te komen. Na deze mondelinge toelichting is mijn ministerie niet nader geïnformeerd door SIDN.
Na de plaatsing van het bericht eind januari hebben EZK en SIDN frequent contact gehad, zowel op ambtelijk als politiek niveau. Zo heb ik zelf, samen met de Staatssecretaris Koninkrijksrelaties en Digitalisering, een gesprek gevoerd met de bestuurders van SIDN, waarin ik mijn zorgen geuit heb over dit voorgenomen besluit en het gebrek aan draagvlak onder de stakeholders. Ik heb SIDN daarbij gewezen op het convenant2 tussen SIDN en EZK, waarin mijn ministerie afspraken heeft gemaakt met SIDN over borging van de continuïteit van de dienstverlening, de binding met Nederland en het belang van goede betrokkenheid van de stakeholders van SIDN.
Op basis van de gesprekken met en informatie van SIDN constateer ik dat van een daadwerkelijke verhuizing nog geen sprake is, maar dat SIDN toewerkt naar een situatie waarin deze verhuizing in 2025 mogelijk is. Afgesproken is dat SIDN op dit moment geen onomkeerbare stappen zal zetten. De verhuizing is dus nog geen voldongen feit. Vanuit die context heb ik SIDN gevraagd om haar belanghebbenden uit de internetgemeenschap, waaronder de Rijksoverheid, veel nauwer te betrekken in de overwegingen die achter dit voorgenomen besluit liggen en inzage te geven waarom er naar het oordeel van SIDN binnen Nederland of de EU geen vergelijkbare alternatieven beschikbaar zijn. Dit alles maakt dat ik op dit moment nog geen definitief standpunt kan innemen over de voorgenomen verhuizing. Ik zal in Q2 de Tweede Kamer nader informeren als diverse onderzoeken en nadere gesprekken over deze casus hebben plaatsgevonden.
Voorts heb ik SIDN gewezen op het feit dat de activiteiten van SIDN onder diverse wetten en regels vallen, waaronder de Wet beveiliging netwerk- en informatiesystemen (Wbni) en de Algemene Verordening Gegevensbescherming (AVG). Op basis van de Wbni zal Rijksinspectie Digitale Infrastructuur (RDI) als toezichthouder beoordelen of de verhuizing risico’s oplevert voor de veiligheid, integriteit en continuïteit van het .nl domein, en in hoeverre deze risico’s door SIDN (kunnen) worden gemitigeerd door bestaande of aanvullende maatregelen.
Op grond van de AVG geldt dat SIDN een Data Protection Impact Assessment (DPIA) en Data Transfer Impact Assessment (DTIA) moet laten uitvoeren voorafgaand aan de voorgenomen migratie naar AWS. Hiermee zullen ook alle risico's en mitigerende maatregelen voor de privacy in kaart gebracht moeten worden. De verhuizing kan slechts plaatsvinden nadat deze processen zijn afgerond en SIDN ook op dit gebied voldoet aan haar zorgplicht. SIDN heeft aangegeven dit traject in voorbereiding te hebben.
Daarnaast ben ik met SIDN overeengekomen dat ik met betrokkenheid van de internetgemeenschap, een quickscan zal uitvoeren. Het doel is een beter beeld te krijgen of er geen Nederlands of Europees alternatief beschikbaar is dat kan voldoen aan de eisen van SIDN voor haar domeinregistratiesysteem, en wat het zou vergen om deze lacune te vullen. De quickscan zal daarmee niet exclusief op SIDN gericht zijn, maar we nemen deze casus wel nadrukkelijk mee, juist omdat ik, vanuit de eisen die partijen zoals SIDN stellen, wil weten wat het aanbod in Nederland en de EU is in vergelijking met de Amerikaanse partijen.

Vraag 3

Deelt u de mening dat het.nl-domein een essentieel onderdeel is van de digitale infrastructuur van Nederland?

Ja, de dienstverlening van SIDN vormt een essentieel onderdeel van de digitale infrastructuur van Nederland. Er zijn meerdere instrumenten die gericht zijn op het borgen van de beschikbaarheid en veiligheid van de dienstverlening van SIDN. Ten eerste is SIDN als aanbieder van Domain Name Server (DNS)-diensten en register van topleveldomeinnamen, een aanbieder van een essentiële dienst als bedoeld in de Wbni. Daarom zijn de in die wet opgenomen verplichtingen en het daarin ook geregelde toezicht op de naleving daarvan op SIDN van toepassing. De Wbni strekt in hoofdzaak tot implementatie van de Europese Netwerk- en Informatiebeveiligingsrichtlijn (NIB-richtlijn). De verplichtingen op grond van de Wbni betreffen onder meer het nemen van passende en evenredige technische en organisatorische maatregelen om de risico’s voor de beveiliging van netwerk- en informatiesystemen te beheersen. SIDN heeft op basis van de Wbni een zorgplicht. De RDI toetst als toezichthouder doorlopend op de naleving van de zorgplicht en kan, als dat niet gebeurt, ook handhavend optreden. Uiteraard zal SIDN ook tijdens en na de eventuele verhuizing moeten blijven voldoen aan de Wbni. Ten tweede is SIDN op grond van het nationale vitaalbeleid als aanbieder van DNS-diensten en beheerder van een register van topleveldomeinnamen aangemerkt als vitale aanbieder. Ten derde heeft EZK met SIDN een convenant afgesloten dat de relatie met Nederland waarborgt en voorziet in afspraken over continuïteit.
Overigens heeft SIDN aangegeven niet het voornemen te hebben om het gehele .nl-domein in de cloud te plaatsen, maar alleen het domeinregistratiesysteem. Registratie van een .nl-domein beslaat twee systemen: Het domeinregistratiesysteem en het domeinnaamsysteem.
Het domeinregistratiesysteem is de administratie van wie welke domeinnaam heeft. Dit domeinregistratiesysteem bevat de volgende gegevens: van wie welke domeinnaam is, welke service provider verantwoordelijk is en naar welke name servers verwezen moet worden. De name server zorgt voor de koppeling van de domeinnaam aan de IP-adressen. Het domeinnaamsysteem vertaalt de domeinnamen, die we dagelijks gebruiken, zoals overheid.nl, naar de IP-adressen van de internetdiensten (het telefoonboek van het internet).
SIDN heeft aangegeven dat het domeinnaamsysteem geen onderdeel is van de migratie naar AWS. Eventuele uitval van het domeinregistratiesysteem heeft niet direct gevolgen voor de bereikbaarheid van bestaande .nl domeinnamen en de daaraan verbonden diensten.

Vraag 4

Deelt u de mening dat de verhuizing van het.nl-domein zorgt voor een onwenselijke afhankelijkheid van de Verenigde Staten?

Verhuizing van het domeinregistratiesysteem van SIDN zou een bepaalde afhankelijkheid van AWS creëren. Het kabinet wil zogenaamde risicovolle strategische afhankelijkheden mitigeren. Niet iedere afhankelijkheid is een risico; zo vormen wederzijdse afhankelijkheden de hoeksteen van het mondiale handelssysteem, waardoor specialisatie kan optreden, innovatie wordt gestimuleerd, producten toegankelijk blijven, wetenschappelijke kennis circuleert en onze welvaart en koopkracht toeneemt.3
Voor de specifieke casus van de voorgenomen verhuizing van het domeinregistratiesysteem van SIDN wordt door het kabinet nader bezien in hoeverre de voorgenomen verhuizing risico’s oplevert voor onze digitale open strategische autonomie. SIDN zal vanuit haar zorgplicht moeten documenteren en beoordelen in hoeverre de verhuizing risico’s oplevert voor onze publieke belangen zoals veiligheid van gegevens en de continuïteit van de dienstverlening van SIDN. En zo ja, in hoeverre deze risico’s (kunnen) worden gemitigeerd door bestaande of aanvullende maatregelen en wat dit betekent voor de voorgenomen verhuizing. Toezichthouders waaronder de RDI, zullen toetsen of aan alle wet- en regelgeving is voldaan. Ik vind het daarnaast van belang dat SIDN meeweegt welke Nederlandse (of Europese) alternatieven voorhanden zijn. Zie ook het antwoord op vraag 2.

Vraag 5

Hebben de hostingprovider en de Amerikaanse overheid toegang tot de gegevens in de AWS-cloud? Onder welke voorwaarden hebben zij toegang?

SIDN heeft aangegeven dat de servers die zij voornemens zijn te gebruiken van AWS gevestigd zijn binnen de EU en dat de Europese wet- en regelgeving onverkort van toepassing zal zijn. Daarnaast heeft SIDN gemeld dat de data versleuteld verwerkt, getransporteerd en opgeslagen zal worden. Versleuteling is een voorbeeld van een technische maatregel waar de RDI naar kijkt bij aanbieders van essentiële diensten, in haar rol als toezichthouder. SIDN gaf daarnaast aan dat zowel de hostingprovider als de Amerikaanse overheid geen toegang hebben tot gegevens die in het registratiesysteem worden verwerkt of opgeslagen.
Wel kunnen de data op basis van de US Cloud Act, Amerikaanse wetgeving met extraterritoriale werking, opgeëist worden. Deze wetgeving maakt het onder andere mogelijk dat Amerikaanse federale rechtshandhaving bij uitzondering, na goedkeuring via een huiszoekingsbevel van een Amerikaanse rechter, toegang kunnen eisen tot gegevens indien die zijn opgeslagen of worden verwerkt bij Amerikaanse bedrijven of Europese leveranciers onder Amerikaanse jurisdictie. Er zijn meer landen die dergelijke wetgeving en bijbehorende verplichtingen hebben.
De DPIA, die nog moet worden afgerond, zal de risico's en mitigerende maatregelen in kaart moeten brengen. Dit is een voorwaarde om de verhuizing te laten plaatsvinden. De Autoriteit Persoonsgegevens houdt toezicht op naleving van de AVG, daaronder valt ook het goed uitvoeren van een DPIA. Primair ligt de verantwoordelijkheid bij de organisatie zelf, in deze casus SIDN, om een DPIA en DTIA uit te voeren. AP ziet uiteindelijk er op toe dat de SIDN de DPIA en DTIA goed uitvoert. Als uit deze DPIA en DTIA blijkt dat er hoge restrisico’s zijn, dan moet de SIDN naar de AP gaan voor verdere bespreking over die risico’s.

Vraag 6

Is het voldoende mogelijk om toezicht te houden en zo nodig aanpassingen ten goede van de veiligheid door te voeren als het.nl-domeinbeheer bij een Amerikaans bedrijf ligt?

Zowel de activiteiten van SIDN als die van AWS vallen onder de Europese wetgeving en het daarin geregelde toezicht.
Net als voor elke andere aanbieder van een essentiële dienst geldt vanuit de Wbni voor SIDN de wettelijke verplichting om evenredige technische en organisatorische maatregelen te nemen om de risico’s voor de beveiliging van hun netwerk- en informatiesystemen te beheersen, de zogenaamde zorgplicht. De maatregelen moeten zorgen voor een niveau van beveiliging dat is afgestemd op de risico’s die zich voordoen. Ook moeten aanbieders van essentiële diensten, passende maatregelen nemen om incidenten die de beveiliging van de netwerk- en informatiesystemen aantasten, te voorkomen en gevolgen te beperken teneinde de continuïteit van de dienst te waarborgen.
De RDI houdt toezicht op de naleving van de zorgplicht door SIDN en heeft, zo nodig, verschillende instrumenten tot zijn beschikking om naleving van de zorgplicht af te dwingen, zoals het vorderen van informatie, opleggen van een verplichting tot een beveiligingsaudit en het opleggen van bestuurlijke boetes.
Op basis van de Wbni zijn genoemde verplichtingen én toezicht op de naleving daarvan door de RDI ook van toepassing op digitale dienstverleners, zoals verleners van cloudcomputingdiensten. Zij hebben dus ook een zorgplicht in bovenbedoelde zin met betrekking tot de beveiliging van hun netwerk- en informatiesystemen. Wel is het zo dat de Wbni alleen van toepassing is op digitale dienstverleners die gelet op de NIB-richtlijn onder de jurisdictie van Nederland vallen. Op basis van de NIB-richtlijn wordt een verlener van cloudcomputerdiensten geacht te vallen onder de jurisdictie van de lidstaat waar hij zijn hoofdvestiging heeft. De rechtspersoon van AWS in de Europese Unie is in Luxemburg gevestigd en valt daarmee onder het (toezicht)regime van Luxemburg. Toezichthouders als bedoeld in de NIB-richtlijn in de EU kunnen elkaar bijstand verlenen en samenwerken.

Vraag 7

Kunt u met volle zekerheid zeggen dat alle registratiegegevens en.nl-domeinen, van nationale websites tot emailadressen, afgeschermd en veilig zijn bij een Amerikaans bedrijf? Hoe komt u tot die conclusie? Welke risico’s ziet u?

Nee, volle zekerheid kan nooit worden gegeven, ongeacht welke leverancier gebruikt wordt en waar deze vandaan komt. De risico’s moeten beheersbaar zijn. Op dit moment heeft de RDI, mede gegeven de fase waarin het voornemen tot verhuizing zit, van SIDN nog te weinig informatie verkregen om te kunnen concluderen over de risico’s voor de systemen als gevolg van het voorgenomen besluit. Zie hiervoor ook de beantwoording van vraag 6. Voor wat betreft vragen rond privacyaspecten geldt dat de genoemde DPIA en DTIA nog moeten worden afgerond alvorens hierover een oordeel kan worden gegeven. Zie ook het antwoord op vraag 2.

Vraag 8

Vindt u het acceptabel dat SIDN, die sinds 2018 geldt als een «aanbieder van essentiële diensten»2, haar systeembeheer naar een Amerikaanse aanbieder verplaatst?

Zoals eerder aangegeven ben ik verrast over het voorgenomen besluit en baart deze stap mij ook zorgen. De verhuizing is echter nog geen voldongen feit. Ik heb deze zorgen in een gesprek met de bestuurders van SIDN ook kenbaar gemaakt en heb aangegeven dat SIDN eerst nog diverse stappen in het proces moet doorlopen voordat gezegd kan worden of dit besluit gerechtvaardigd is. Zie verder het antwoord op vraag 2. Overigens zoals in vraag 3 heeft SIDN aangegeven niet het voornemen te hebben om het gehele .nl-domein in de cloud te plaatsen, maar alleen het domeinregistratiesysteem.

Vraag 9

Past het overhevelen van het.nl-domeinbeheer naar een Amerikaanse cloud binnen het Nederlandse en Europese beleid rondom strategische autonomie?

Op 17 oktober 2023 is de Tweede Kamer geïnformeerd over de agenda digitale open strategische autonomie (DOSA)5. Deze agenda bouwt voort op het bredere kabinetsbeleid rond open strategische autonomie6 en de aanpak strategische afhankelijkheden7.
Het kabinet hecht grote waarde aan een internationale rechtsorde waarin handel en investeringen vrijelijk hun weg vinden. Wederzijdse afhankelijkheden vormen de ruggengraat van het open handelssysteem en de internationale samenwerking waar Nederland en de EU veel profijt van hebben en die ons een sterkere geopolitieke positie opleveren. Tegelijkertijd kan een vorm van overheidsingrijpen nodig zijn, bijvoorbeeld indien strategische afhankelijkheden hoge risico’s met zich meebrengen.
In de agenda DOSA staat de probleemanalyse en beleidsinzet (zie antwoord bij vraag 13) op de beleidsprioriteit cloud geschetst. Zoals staat aangegeven in deze agenda wordt de Europese markt gedomineerd door enkele Amerikaanse partijen.
In algemene zin is het overhevelen van activiteiten naar een cloudleverancier van buiten de EU niet strijdig met het beleid rond (digitale) open strategische autonomie. Tegelijkertijd is het belangrijk om te kijken naar in hoeverre dit risico’s oplevert, in hoeverre deze risico’s (kunnen) worden gemitigeerd door huidig instrumentarium of aanvullend instrumentarium en wat de mogelijkheid tot substitutie is.
In aanvulling hierop is in de Agenda DOSA al een breder onderzoek voorzien waarin mitigerende maatregelen voor de vermindering van cloudafhankelijkheid van Nederland worden verkend.

Vraag 10

Wat zijn de gevolgen voor Nederland en al haar belangrijke digitale diensten die in het.nl-domein staan als het register gecompromitteerd raakt? Wat betekent dit in het slechtste geval voor Nederland en welke regie houden de overheid en internetdiensten over hun eigen.nl-adres?

SIDN heeft aangegeven dat het domeinregistratiesysteem in beheer blijft van de stichting. Onbevoegde wijzigingen in het domeinregistratiesysteem kunnen, zowel nu als in de toekomst, grote gevolgen hebben voor de aan de domeinnaam verbonden diensten. Om het risico op dergelijke wijzigingen te mitigeren worden maatregelen genomen. SIDN geeft aan dat de veelheid aan mitigerende maatregelen die AWS treft juist een van de redenen is om voor die partij te kiezen. Wat de gevolgen van de migratie zijn voor privacy moet o.a. nog blijken uit de nog uit te voeren DPIA.

Vraag 11

Heeft het Agentschap Telecom als verantwoordelijk toezichthouder gereageerd op de ICT-strategie waarin de verhuizing naar AWS besloten is? Zo ja, kunt u deze reactie of zienswijze delen?

Omdat de RDI (voorheen Agentschap Telecom) niet vooraf geïnformeerd is over het voorgenomen besluit van SIDN om te migreren naar AWS en nog meer informatie van SIDN nodig heeft over deze voorgenomen migratie, heeft de RDI op dit moment geen inhoudelijke reactie of zienswijze en kan ik die daarom niet delen. Zoals beschreven in vraag 6 toetst RDI binnen de kaders van de Wbni de veiligheid van het huidige domeinregistratiesysteem alsook toekomstige systemen zoals gebruik van AWS.

Vraag 12

Hoe reageert u op de bewering van SIDN dat zij overstapt naar een Amerikaanse cloud omdat «er nog geen volwaardig Europees alternatief bestaat»?

In algemene zin kan gesteld worden dat er verschillende Nederlandse en Europese aanbieders van ICT- en clouddiensten zijn, die als «alternatief» zouden kunnen dienen. Of deze aanbieders een volledig en/of concurrerend aanbod voor de gevraagde dienstverlening kunnen leveren aan SIDN is iets waar het kabinet meer inzicht in wil krijgen middels een quickscan.
SIDN heeft aangegeven te werken aan een exit-strategie. Deze strategie is tweeledig. Het heeft zowel betrekking op het snel kunnen verhuizen in het geval van problemen of calamiteiten, als het kunnen migreren naar een Europese of Nederlandse cloudprovider als deze mogelijkheid zich aandient.

Vraag 13

Welke maatregelen neemt Nederland om zo snel mogelijk te komen tot een betrouwbaar en publiek Europees cloudsysteem? Indien deze in ontwikkeling is, wanneer verwacht u dat deze in gebruik is?

Nederland zet in op Europese ontwikkeling van innovatieve clouddiensten en regulering van de markt. Op 15 oktober 2020 hebben de lidstaten van de Europese Unie een verklaring8 ondertekend om samen te werken aan de uitrol van veerkrachtige en concurrerende cloudinfrastructuur en -diensten in heel Europa.
Het «Important Project of Common European Interest on the next generation Cloud Infrastructure and Services» (IPCEI CIS) is een van de manieren waarop hier gevolg aan is gegeven, door het subsidiëren van een nieuwe generatie innovatieve, duurzame en veilige Europese cloudoplossingen. De Tweede Kamer is op 21 december 2023 over de IPCEI CIS geïnformeerd middels de beantwoording van vragen van de Kamer9 en een Kamerbrief10. De looptijd van deze projecten, inclusief de uitrolfase, is tot met 2028 en de totale subsidie bedraagt ruim 71 mln euro.
Daarnaast neemt Nederland deel aan de European Alliance for Industrial Data, Edge and Cloud, waarin overheden en bedrijven op Europees niveau samenwerken om de ontwikkeling en uitrol van nieuwe oplossingen te simuleren.11
Ook loopt het Gaia-X initiatief12, dat erop gericht is om een alternatief te ontwikkelen voor de deels gesloten ecosystemen van bestaande grote cloudspelers. Diverse Nederlandse bedrijven en organisaties zijn hierachter de drijvende kracht. Het kabinet steunt de ontwikkeling via een Nederlandse GAIA-X hub bij TNO en is vertegenwoordigd in de Governmental Advisory Board van het initiatief.
Naast de reeds bestaande Europese clouddiensten zullen deze initiatieven naar verwachting het cloudaanbod aanzienlijk vergroten.
Verder is er inmiddels wetgeving gericht op het beter laten functioneren van de digitale interne markt. Hierbij zijn de Dataverordening13 en Digital Markets Act belangrijke kaders waarmee economische afhankelijkheid (en lock-in) van cloudaanbieders worden verminderd.
Volgens het kabinet dragen deze initiatieven samen bij aan het ontwikkelen van een Europees cloudsysteem met als ambitie om tot een volwaardig Europees aanbod te komen. Het is belangrijk om nader te bezien of deze acties zorgen voor het benodigde aanbod van clouddiensten voor toepassingen zoals het domeinregistratiesysteem van SIDN. De quickscan zal naar verwachting meer inzicht geven (zie antwoord vraag 2).

Vraag 14

Op welke manier bent u betrokken bij dit besluit van SIDN en haar werkzaamheden? Welke rol neemt u als Minister om deze essentiële digitale infrastructuur te onderhouden?

Sinds 1996 beheert en registreert de onafhankelijke stichting SIDN de domeinnamen binnen het .nl-domein. EZK heeft voor het eerst met SIDN een convenant afgesloten dat dateert uit 2008. Het convenant is in 2015 en 2022 geëvalueerd en herzien en met de Tweede Kamer gedeeld14. Doel van het convenant is om waarborgen te krijgen op de stabiliteit en continuïteit van het .nl-domein. SIDN heeft tot nu toe gezorgd voor 100% beschikbaarheid van het .nl domein.
In het convenant is onder andere afgesproken dat SIDN en het .nl-domein verbonden blijven met Nederland, waarbij SIDN zich ten doel blijft stellen het .nl-domein voor gebruikers in Nederland beschikbaar te houden. Daarnaast staat in het convenant dat SIDN haar belanghebbenden adequaat betrekt bij besluiten. Dit laatste is onvoldoende gebeurd, omdat bijvoorbeeld zorgen van de Vereniging van Registrars nog niet geadresseerd waren voordat SIDN het besluit over de migratie naar AWS kenbaar maakte. Ik heb aan SIDN gevraagd zich aan het convenant te houden, door onder andere met de belanghebbenden dit voorgenomen besluit te bespreken en ben zoals hiervoor aangegeven zelf ook in overleg met SIDN.
De RDI houdt toezicht op de naleving van in de Wbni geregelde verplichtingen (zorgplicht, etc.) rustend op aanbieders van essentiële diensten in de sectoren energie en digitale infrastructuur waaronder digital dienstverleners, inclusief SIDN.

Vraag 15

Wat is de rol van de coördinerend Staatssecretaris voor Digitale Zaken bij het bewaken van de autonomie van het.nl-domein? Is deze rol voldoende om de autonomie te waarborgen? Zo niet, bent u alsnog bereid deze coördinerende rol te pakken?

Zoals eerder aangegeven hebben de Minister van EZK en de Staatssecretaris Koninkrijksrelaties en Digitalisering gezamenlijk met de bestuurders van SIDN gesproken. De Staatssecretaris Koninkrijksrelaties en Digitalisering heeft net als de Minister van EZK aangegeven dat het voorgenomen besluit van SIDN nader onderzoek en een open discussie vereist zoals aangegeven in deze brief. In haar rol als coördinerend Staatssecretaris voor Digitale Zaken staat de Staatssecretaris in deze casus in contact met de Minister van EZK en brengt zij richting en expertise in over waardengedreven digitalisering, onder meer in relatie tot het Rijkscloudbeleid. In haar rol draagt zij bij aan het bewaken van publieke waarden, waar digitale open strategische autonomie een basis vormt van een verantwoorde digitale transitie. De digitale overheid vereist continuïteit en voor de overheid is het essentieel dat het .nl-domein voor de dienstverlening voor de Nederlandse maatschappij altijd beschikbaar is. De Minister van Economische Zaken en Klimaat en de Staatssecretaris Koninkrijksrelaties en digitalisering zullen in gesprek gaan met een brede groep belangenbehartigers zoals bijvoorbeeld wetenschappers en inhoudelijke experts over de manier waarop digitale open strategische autonomie het beste kan worden geborgd voor vraagstukken rond o.a. cloudinfrastructuur en -diensten.

Vraag 16

Welke alternatieve Nederlandse of Europese private cloudproviders zijn er en zou het.nl-domein ook bij deze ondergebracht kunnen worden?

Zoals aangegeven in het antwoord op vraag 2, ben ik met SIDN overeengekomen dat we met betrokkenheid van stakeholders een quickscan zullen uitvoeren om een beter beeld te krijgen of er geen vergelijkbaar Nederlands of Europees alternatief beschikbaar is die voldoet aan de eisen van SIDN voor haar domeinregistratiesysteem, en wat het zou vergen om deze lacune te vullen. De quickscan zal daarmee niet exclusief op SIDN gericht zijn, maar we nemen deze casus wel nadrukkelijk mee, juist omdat ik, vanuit de eisen die partijen zoals SIDN stellen, wil weten wat het aanbod in Nederland en de EU is in vergelijking met de Amerikaanse partijen.

Vraag 17

Hoe kan het dat dé beheerder van het.nl-domein niet voldoende personeel aan kan trekken om haar systeem veilig binnen Nederland te beheren?

Waarom SIDN niet voldoende personeel kan aantrekken is bij EZK niet exact bekend. SIDN geeft aan dat het niet kunnen aantrekken van nieuw personeel is gerelateerd aan diverse factoren. Zo dateert het domeinregistratiesysteem dat nu nog in eigen beheer is, uit 2010 en geven opleidingen niet of nauwelijks meer scholing in het beheer van dergelijke systemen. De gevraagde kennis is zeer specifiek en niet eenvoudig vervangbaar bij ziekte, uitval of vertrek. SIDN is van mening dat dit risico’s met zich meebrengt voor de continuïteit van de bedrijfsvoering. SIDN verwacht door meer gestandaardiseerde systemen te gebruiken en een deel van het systeem in de cloud te plaatsen, uit een grotere pool van IT-professionals te kunnen werven.
In algemene zin wordt de hele samenleving geraakt door tekorten op de arbeidsmarkt. Tekorten in de ICT spelen al decennia en zijn van toenemende en structurele aard. De grote vraag blijkt uit toenemende aantal vacatures in de ICT. In 2021 had 71% van de bedrijven in Nederland moeite om specialistische ICT-vacatures te vervullen. Met het huidige groeitempo van bijna 7% per jaar, is in 2030 één op de tien van de beroepsbevolking IT’er. Dat betekent dat de Nederlandse arbeidsmarkt moet toewerken naar 1 miljoen digitaal geschoolden in 2030.

Vraag 18

Onder welke voorwaarden is het voor SIDN mogelijk om haar diensten in Nederland in beheer te houden? Welke maatregelen kunt u nemen om aan deze voorwaarden te voldoen?

SIDN heeft aangegeven dat zij te allen tijde haar diensten in Nederland in beheer houdt. Zie het antwoord op de vragen 2 en 3.

Vraag 19

Welke instrumenten heeft u als Minister om bij te sturen op de tarieven van de SIDN?

SIDN is een onafhankelijke stichting die zelf de basisprijzen stelt voor een .nl-domein. In 2024 vraagt SIDN voor een domeinnaam € 4,15 per jaar. Dit is het bedrag dat registrars betalen aan SIDN voor haar dienstverlening. Ik heb geen bevoegdheid om bij te sturen op de tarieven.

Vraag 20

Bent u bereid om als eindverantwoordelijke voor de digitale infrastructuur in Nederland in te grijpen en tot een plan te komen om het.nl-domein binnen Nederland te houden?

De verhuizing is nog geen voldongen feit en SIDN heeft toegezegd nu nog geen onomkeerbare stappen te zetten. Ik heb, i.s.m. de Staatssecretaris Koninkrijksrelaties en Digitalisering diverse acties uitgezet om meer zicht te krijgen op de keuze van SIDN. Hieronder vat ik ze kort samen:
EZK is in het licht van het convenant in gesprek met SIDN over voorgenomen migratie van het domeinregistratiesysteem naar AWS. Daarin is vastgelegd dat dat SIDN duurzaam verbonden moet blijven met Nederland en SIDN haar stakeholders moet betrekken. In dat kader heb ik SIDN ook gevraagd om haar belanghebbenden uit de internetgemeenschap, waaronder de Rijksoverheid, veel nauwer te betrekken in de overwegingen achter dit voorgenomen besluit.
Ik ben met SIDN overeengekomen dat EZK met betrokkenheid van stakeholders een quickscan zal uitvoeren om een beter beeld te krijgen of er geen vergelijkbaar Nederlands of Europees alternatief beschikbaar is die voldoet aan de eisen van SIDN voor haar domeinregistratiesysteem, en wat het zou vergen om deze lacune te vullen. De quickscan zal daarmee niet exclusief op SIDN gericht zijn, maar we nemen deze casus wel nadrukkelijk mee, juist omdat ik, vanuit de eisen die partijen zoals SIDN stellen, wil weten wat het aanbod in Nederland en de EU is in vergelijking met de Amerikaanse partijen. Waar nodig zal ik nader bezien welke risico’s er bestaan en welke mogelijkheden vervolgstappen er zijn om de digitale open strategische autonomie te bevorderen, en de continuïteit, integriteit en veiligheid van de dienstverlening te garanderen.
De RDI toetst op basis van de Wbni de beveiliging en continuïteit van de netwerk- en informatiesystemen van SIDN, zowel het huidige domeinregistratiesysteem als ook een toekomstig gebruik van AWS.
SIDN zal op basis van de AVG een Data Privacy Impact Assessment (DPIA) en Data Transfer Impact Assessment (DTIA) uitvoeren.
Ik zal samen met de Staatssecretaris Koninkrijksrelaties en Digitalisering in gesprek gaan met een brede groep belangenbehartigers zoals bijvoorbeeld wetenschappers en inhoudelijke experts over de manier waarop digitale open strategische autonomie het beste kan worden geborgd voor vraagstukken rond o.a. cloudinfrastructuur en -diensten.
Al met al zijn er diverse acties genomen om het voorgenomen besluit van SIDN tegen het licht te houden en ik bekijk op basis daarvan wat nodig is. Het belang van een zorgvuldige afweging betekent dat het op dit moment te vroeg is om al conclusies te trekken. Op basis van de uitkomsten van deze acties zal ik de Kamer nader informeren, naar verwachting is dit in Q2.

Vraag 21

Kunt u zo snel mogelijk met een eerste reactie komen, zo nodig apart van de volledige beantwoording van deze vragen?

Ja.

Vraag 22

Wilt u deze vragen apart van elkaar beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht «Veiligheidsregio gebruikte jarenlang Chinese apparatuur ondanks spionagerisico’s»?1

Ja, ik ben bekend met het bericht «Veiligheidsregio gebruikte jarenlang Chinese apparatuur ondanks spionagerisico’s.

Vraag 2

Deelt u de opvatting dat het vanuit het perspectief van nationale veiligheid onverantwoord is om Chinese routers en switches te gebruiken binnen het netwerk van vitale instellingen?

Zoals eerder is aangegeven in onder meer het Cybersecuritybeeld Nederland2 en het Dreigingsbeeld Statelijke Actoren 23 is in algemene zin bekend dat statelijke actoren gebruik maken van supply-chain aanvallen via toeleveranciers, digitale dienstverleners of veelgebruikte software. Er kunnen aanvullende risico’s zijn als dergelijke toeleveranciers, dienstverleners en software afkomstig zijn uit landen met een offensief cyberprogramma tegen Nederland. Het is echter niet per definitie zo dat het gebruik van hard- en software uit deze landen risico’s met zich meebrengt. Om dit te kunnen beoordelen is onder meer het proces waarvoor de hard- en software wordt gebruikt relevant en bijvoorbeeld ook de manier waarop dit binnen organisaties gebruikt wordt. Routers en switches zijn onderdeel van de netwerkinfrastructuur van organisaties en om eventuele risico’s van het gebruik hiervan te kunnen duiden, prioriteren en beheersen is het van belang te bepalen welke rol de routers en switches hebben in deze infrastructuur. De risico’s zijn bijvoorbeeld mogelijk groter als ze onderdeel zijn van de data/informatieverwerking van de organisatie of specifieke (vitale) processen ondersteunen. Ook is relevant of het land waar de leverancier uit afkomstig is wetgeving kent die burgers en bedrijven verplichten mee te werken met de overheid. Een solide risicoanalyse en risicomanagementproces zijn nodig om eventuele passende maatregelen te kunnen nemen.
Het is in dat verband van belang dat organisaties zich bewust zijn van mogelijke risico’s in de toeleveringsketen, dit meenemen in hun inkoop- en aanbestedingsprocessen en waar nodig een risicoanalyse uitvoeren. Het kabinetsbeleid schrijft daarom voor dat nationale veiligheidsoverwegingen meegewogen worden bij de inkoop en het gebruik van producten en diensten bij de Rijksoverheid, lokale overheden en vitale aanbieders. In de Kamerbrief Uitvoering moties Rajkowski van 17 april 2023 wordt dit beleid nader toegelicht4. Het uitgangspunt is bij iedere inkoopopdracht risico’s voor de nationale veiligheid in kaart te brengen en hier waar nodig gepaste maatregelen op te treffen. Ter ondersteuning van dit beleid is in 2018 en 2019 instrumentarium ontwikkeld dat organisaties mogelijkheden biedt bij het maken van een risicoanalyse en het treffen van maatregelen. Dit instrumentarium is recent geactualiseerd5. Deze instrumenten worden beschikbaar gesteld voor en actief verspreid onder vitale aanbieders. Tevens wordt doorlopend ingezet op bewustwording bij vitale aanbieders over het signaleren van risico’s in het inkoopproces.
Daarnaast kunnen organisaties gebruik maken van de handreiking Omgaan met risico’s in de toeleveringsketen van het Nationaal Cyber Security Centrum. Deze publicatie geeft publieke en private organisaties handvatten om zicht en grip te krijgen op risico’s die voortvloeien uit de toeleveringsketen, ook in relatie tot leveranciers uit landen met een offensief cyberprogramma. Overheidsorganisaties kunnen ook gebruikmaken van de Inkoopeisen Cybersecurity Overheid wizard (ICO-wizard) die is opgesteld door het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) samen met EZK. Deze inkooptool is ontwikkeld om veilig inkopen te vergemakkelijken. Met de ICO-wizard kunnen eisenpakketten worden geselecteerd die aansluiten op verschillende typen aan te besteden of in te kopen producten en/of diensten.

Vraag 3

Heeft u zicht op welke Chinese netwerkapparatuur door de veiligheidsregio’s is gebruikt sinds de inwerkingtreding van het Besluit veiligheid en integriteit telecommunicatie in 2019?

Nee. Ik heb geen volledig zicht op welke netwerkapparatuur wordt gebruikt door veiligheidsregio’s. Het is aan de besturen van veiligheidsregio’s zelf om bij de aanschaf en ingebruikname van ICT-producten en diensten zich bewust te zijn van mogelijke risico’s in de toeleveringsketen, dit mee te nemen in hun inkoop- en aanbestedingsprocessen en waar nodig een risicoanalyse uit te voeren.

Vraag 4

Heeft u zicht op welke Chinese netwerkapparatuur momenteel wordt gebruikt door de veiligheidsregio’s?

Zie antwoord vraag 3.

Vraag 5

Zo nee, bent u bereid dit (3 en2 in kaart te brengen?

Veiligheidsregio’s spelen een belangrijke rol in de crisisbeheersing en nationale veiligheid van Nederland. In algemene zin is het conform bestaand beleid (zie onder meer de beantwoording op vraag 2 en 4) aan de besturen van veiligheidsregio’s zelf om afwegingen te maken daar waar het gaat om het gebruik van (netwerk-)apparatuur.
Meer specifiek is digitale weerbaarheid voor de veiligheidsregio’s een belangrijk onderwerp. De 25 veiligheidsregio’s werken in een gezamenlijk meerjarig programma informatievoorziening aan hun eigen weerbaarheid. Ik zal de komende tijd met de veiligheidsregio’s het gesprek aangaan over dit onderwerp en met hen bespreken of aanvullende stappen nodig zijn.

Vraag 6

Wordt er bij het aanbestedingsbeleid van de Rijksoverheid ook specifiek gekeken of er geschikte Europese alternatieven voor netwerkapparatuur beschikbaar zijn?

Het kabinet voert zoals aangegeven in het antwoord op vraag 2 een landenneutraal beleid. Dit betekent dat leveranciers uit specifieke landen door de aanbestedende dienst niet op voorhand categorisch worden uitgesloten, maar dat dit per casus op basis van een risicoafweging wordt bepaald. Hierbij kan per casus tevens door de organisatie zelf een marktanalyse worden uitgevoerd, waarbij in kaart kan worden gebracht of Europese aanbieders bij een inkoop- en aanbestedingstraject kunnen worden betrokken.
Het heeft de prioriteit van het kabinet om in samenwerking met alle departementen het veilig inkopen en aanbesteden in onderlinge samenhang verder te verbeteren en te versterken. Er is stevig ingezet op het sterker benutten van de huidige mogelijkheden binnen de Aanbestedingswetgeving en op het vergroten van de bewustwording ten aanzien van nationale veiligheidsrisico’s. Tevens vindt meer voorlichting en communicatie plaats over de (juridische) mogelijkheden ten aanzien van veilig inkopen en aanbesteden. Ook wordt een regeling opgezet (genaamd Algemene Beveiligingseisen Rijksoverheid Opdrachten of afgekort ABRO) voor aanbestedingen van de Rijksoverheid en de Politie die de nationale veiligheid raken. De nieuwe regeling zal eisen stellen aan opdrachtnemers op het gebied van fysieke beveiliging, (digitale) informatiebeveiliging en cybersecurity, (wijzigingen in) eigendomsstructuren, economische veiligheid, screening van personeel en procedures bij incidenten.

Vraag 1

Bent u bekend met het bericht «Politiechefs spreken zich uit tegen versleutelde chatberichten» (NU.nl, 22 april)?1

Vraag 2

Wat is uw reactie op de oproep van Europese politiechefs om actie te ondernemen tegen online platforms die berichten end-to-end versleutelen? Heeft u hierover contact gehad met uw Europese collega's? Welke acties verbinden u en uw collega's aan deze oproep?

Vraag 3

Wat is uw standpunt en wat is het standpunt de Nederlandse politie over end-to-end versleuteling? Onder welke concrete voorwaarden vindt u het verbreken van end-to-end versleuteling gerechtvaardigd, zowel individueel gericht als via het inbouwen van een generieke achterdeur bij versleutelde berichtenplatforms?

Vraag 4

Heeft u contact gehad met Europol en de nationale politie over deze gezamenlijke oproep? Ontvangt u dergelijke signalen ook van Nederlandse politiechefs? Zo ja, wat is uw reactie?

Vraag 5

Deelt u de mening van politiechefs dat end-to-end versleuteling in stand kan blijven met een achterdeurtje die alleen voor de politie beschikbaar is? Zo ja, hoe ziet u dat voor zich? Hoe stelt u voor dat dit technisch kan zonder dat deze achterdeur algemeen beschikbaar komt en daarmee een einde maakt aan end-to-end versleuteling?

Vraag 6

In de Staat van de Unie 20232 schrijft u dat «end-to-end encryptie niet onmogelijk (mag) worden gemaakt,» tegelijkertijd stelt u in eerdere antwoorden op Kamervragen van de leden Kuik en Slootweg3 dat «het van belang [is] dat er mogelijkheden zijn om onder bepaalde omstandigheden toegang tot (end-to-end versleuteld) berichtenverkeer te krijgen, onder passende voorwaarden en waarborgen.» Hoe verenigt u deze standpunten? Zou toegang onder bepaalde voorwaarden en waarborgen end-to-end versleuteling niet per definitie onmogelijk maken?

Vraag 7

Bent u bekend met cryptotelefoons? Zo ja, hoe denkt u te voorkomen dat criminelen gebruik maken van deze devices in plaats van reguliere end-to-end versleutelde berichtenplatforms? Hoe weegt u de effectiviteit van de inbreuk op de privacy van miljoenen mensen tegenover de georganiseerde misdaad die vervolgens via cryptotelefoons anoniem kan blijven communiceren?

Vraag 8

Wat is het staande beleid ten opzichte van de strategie «store-now-decrypt-later»? Wordt er nu al door veiligheidsdiensten versleutelde informatie opgeslagen, om deze op een later moment te ontsleutelen? Hoe lang mag de politie deze informatie dan hiervoor opslaan?

Vraag 9

Bent u bekend met de uitspraak van het Europese Hof voor de Rechten van de Mens (EHRM) op 13 februari 2024 in de zaak Podchasov v. Rusland?4 Bent u eveneens bekend met de gezamenlijke reactie van de European Data Protection Board (EDPB) van 13 februari 2024 op de Verordening ter voorkoming en bestrijding van seksueel kindermisbruik (CSAM)?5 Bent u bovendien bekend met het standpunt van het Europese Hof van Justitie dat generieke toegang tot versleutelde berichten nooit rechtmatig kan zijn?6

Vraag 10

Onderschrijft u de conclusies van deze zwaarwegende uitspraken omtrent end-to-end versleuteling volledig? Kunt u op de uitspraken en standpunten van de drie organisaties afzonderlijk reageren?

Vraag 11

Is uw standpunt over end-to-end versleuteling veranderd naar aanleiding van de recente uitspraken van het EHRM en EDPB? Zo ja, op welke wijze draagt u dit uit bij lopende onderhandelingen in Europa en het binnenland over wet- en regelgeving? Zo niet, kan u met voorbeelden onderbouwen dat het huidige kabinetsstandpunt voldoende invulling geeft aan de uitspraken van de rechter en de EDPB?

Vraag 12

Biedt het geactualiseerde Grondwetsartikel 13 over het brief- en telecommunicatiegeheim een absolute garantie dat er geen verzwakkingen van end-to-end versleuteling mogen plaatsvinden in Nederland? Zijn de aanbevelingen van de staatscommissie-Grondwet 2010 hiermee volledig geïmplementeerd?7

Vraag 13

Bent u bereid om samen met de nationale politie en de Autoriteit Persoonsgegevens tot een eenduidig standpunt te komen over het borgen van end-to-end versleuteling, dat recht doet aan de uitspraken van het EHRM, EHJ en de EDPB, en dit blijvend uit te dragen in Nederland en Europa?

Vraag 14

Kunt u deze vragen apart van elkaar beantwoorden?

Vraag 1

Klopt de berichtgeving dat de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) sinds 2014 tegen het advies van zijn juristen in, volhardde in het volgen van burgers middels nepaccounts zonder daar een wettelijke grondslag voor te hebben?1

Dat is niet aan de orde. In 2014 is er een nota opgesteld over de internetmonitoring bij de NCTV2. Het advies in die nota was in te stemmen met de voorgestelde werkwijze van internetmonitoring. De NCTV heeft in 2014 ook conform de Wet bescherming persoonsgegevens een melding bij het College bescherming persoonsgegevens gedaan van de verwerking van persoonsgegevens door internetmonitoring. De nota illustreert wat hierover meermaals met uw Kamer is gedeeld, namelijk dat er door de jaren heen hierover binnen de NCTV discussie is geweest, maar dat de heersende opvatting steeds was dat dit juridisch verdedigbaar was. In een brief aan uw Kamer van 12 april 2021 is hier uitgebreid op ingegaan3. Ook daarna is dit nog in verschillende brieven, Kamervragen en debatten aan de orde geweest4.
De internetmonitoring door de NCTV was gericht op het doen van onderzoek naar trends en fenomenen en niet op het doen van onderzoek naar personen. Trends en fenomenen zijn ontwikkelingen zoals het jihadisme of antisemitisme. Voor het duiden van trends en fenomenen kan het nodig zijn publiek toegankelijke (online) bronnen te raadplegen. Vaak is het niet mogelijk kennis te nemen van zo’n bron zonder ook de persoonsgegevens te verwerken van bijvoorbeeld de auteur van die bron of personen die daarin worden genoemd.

Vraag 2

Zo ja, wat vindt u ervan dat de NCTV bereid was zich niet aan de wet te houden?

Zoals uiteengezet in het antwoord op vraag 1 is hier geen sprake van. Tot 2021 was de heersende opvatting dat dit juridisch verdedigbaar was. Zoals bij eerdere gelegenheid aan uw Kamer gemeld5 heeft door de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) de bescherming van privacy meer aandacht gekregen. Dit leidde in februari 2020 tot de start van het project «taken en grondslagen». De conclusie van dit project luidde in februari 2021 dat het identificeren en analyseren van dreigingen en risico’s op het gebied van terrorisme en nationale veiligheid, juridisch kwetsbaar is en versterking behoefde indien daarbij (bijzondere) persoonsgegevens worden verwerkt. In 2021 is definitief besloten dat hiervoor separate wetgeving nodig was. Dit heeft geleid tot het Wetsvoorstel coördinatie terrorismebestrijding en nationale veiligheid, waarin de coördinatietaak van de NCTV is afgebakend en vastgelegd. Dit wetsvoorstel is eind 2023 in beide Kamers van de Staten-Generaal met ruime meerderheid aangenomen.

Vraag 3

Wat is de reden dat er een rechterlijke uitspraak met dwangsom voor nodig was om u deze informatie te laten vrijgeven? Waarom maakte u de betreffende documenten niet uit eigen beweging openbaar?

Het is nooit de intentie geweest deze documenten niet openbaar te maken. Er is juist voor gekozen om de documenten over het project taken en grondslagen die eenvoudig waren te traceren zo snel mogelijk openbaar te maken. Dat gebeurde in het Woo-deelbesluit6 van 15 september 2021. Over dit deelbesluit is uw Kamer diezelfde dag schriftelijk geïnformeerd7. De resterende informatie volgde in het tweede deelbesluit van 8 maart 2024. Dit laatste deelbesluit omvat de informatie over internetmonitoring die buiten het project taken en grondslagen lag. Voor dit tweede deelbesluit moesten binnen de NCTV vele duizenden documenten worden doorzocht die mogelijk met internetmonitoring te maken hadden. Dit heeft veel tijd gekost. Het is niet goed dat de wettelijke termijn waarbinnen stukken behoren te worden verstrekt is overschreden. Zowel mijn voorganger als ik zijn echter veelvuldig met uw Kamer in debat geweest over de taken en grondslagen van de NCTV, waaronder de internetmonitoring. Alle bovengenoemde informatie is onderdeel geweest van deze debatten, waaronder die over het wetsvoorstel dat uiteindelijk is aangenomen.

Vraag 4

Klopt het dat het besluit van de toenmalig Minister van Veiligheid en Justitie over deze activiteiten zoek is geraakt?

Zoals vermeldt in het antwoord op vraag 1 bevindt zich onder de stukken die met het Woo-besluit van 8 maart 2024 openbaar zijn gemaakt een nota van de NCTV aan de toenmalig Minister van Veiligheid en Justitie. Deze nota behandelt het doel en de werkwijze van de internetmonitoring bij de NCTV alsmede de juridische grondslag. In de nota staat hierover dat «Op basis van de [in de nota genoemde] regelingen verdedigbaar is dat de verwerking van persoonsgegevens plaatsvindt in het kader van de vervulling van een publiekrechtelijke taak als bedoeld in artikel 8, onderdeel e, van de Wbp8». Het advies in de nota luidt: «Instemmen met doel en werkwijze van internetmonitoring bij DRD9». Er was geen advies om hier niet mee verder te gaan.
In het MT van de NCTV is op 17 juli 2014 over het onderwerp «Borging internetmonitoring» gesproken. Nazoeking heeft geen aanwijzingen opgeleverd dat de hiervoor genoemde nota aan de toenmalig Minister van Veiligheid en Justitie is voorgelegd en dat hij hierover een besluit heeft genomen. Het komt vaker voor dat wordt besloten een nota die in concept aan de bewindspersoon is gericht niet aan de Minister voor te leggen. Hiervoor kunnen uiteenlopende redenen zijn geweest.

Vraag 5

Zo ja, kunt u het besluit reconstrueren? Kunt u bij betrokkenen, zoals de toenmalig Minister van Veiligheid en Justitie en/of de toenmalig NCTV, ophalen of zij actieve herinneringen aan dit besluit hebben?

Zie antwoord vraag 4.

Vraag 6

Hoeveel mensen zijn op deze manier in de gaten gehouden? Is de verzamelde data inmiddels uit de systemen van de NCTV verwijderd?

Zoals aangegeven in het antwoord op vraag 1 waren de internetmonitoringwerkzaamheden niet gericht op het doen van onderzoek naar personen. Het doel van internetmonitoring was door de jaren heen het duiden van trends en fenomenen. Bij het signaleren, analyseren en duiden van trends en fenomenen waarvoor openbare (online) bronnen zijn geraadpleegd heeft de NCTV soms wel persoonsgegevens verwerkt, bijvoorbeeld omdat bij het onderzoek naar fenomenen zoals bijvoorbeeld het jihadisme, antisemitisme of rechts-extremisme kennis is genomen van uitingen van personen zoals die zijn gedaan in het publieke debat. Over deze activiteiten heeft de Autoriteit Persoonsgegevens, zoals toegelicht in het antwoord op vraag 1, geoordeeld dat het Organisatiebesluit JenV niet als grondslag voor deze verwerking van persoonsgegevens kan dienen. Vanaf dat moment is de NCTV met de internetmonitoring gestopt.
Enkel in het geval van een verzoek op grond van de Algemene Verordening Gegevensbescherming (AVG) wordt een zoekslag binnen de organisatie op persoonsniveau uitgevoerd. Indien persoonsgegevens bij deze zoekslag naar boven komen, worden deze stukken bijeengebracht en in een besluit op het AVG-verzoek opgenomen om te voldoen aan de rechten van de betrokkene op grond van de AVG. De stukken worden alleen in het kader van een inzageverzoek bijeengebracht. Dit zijn dus geen dossiers die vooraf zijn gevormd en /of toegankelijk zijn ten behoeve van de coördinatietaak van de NCTV of daaraan ondersteunende analysewerkzaamheden.
In december 2021 is de NCTV een opschonings- en archiveringstraject gestart, zodat wordt voldaan aan de eisen die de AVG stelt aan het bewaren van persoonsgegevens.

Vraag 7

Welke garanties zijn er dat de NCTV in de toekomst dit soort wederrechtelijke besluiten niet meer neemt? Welke maatregelen heeft hij getroffen dat ingrijpende besluiten van deze aard goed vastgelegd zullen worden?

In het antwoord op vraag 1 en 2 is ingegaan op de ontwikkelingen van de inzichten rond de internetmonitoring bij de NCTV. Eind 2023 is de Wet coördinatie terrorismebestrijding en nationale veiligheid aangenomen. Het toezicht op de naleving van de wet op vindt straks op drie manieren plaats. Door de Autoriteit Persoonsgegevens (AP), door het aanstellen van een functionaris gegevensbescherming bij de NCTV specifiek voor de uitvoering van deze wet en door de Inspectie Justitie en Veiligheid voor de normen in de wet die niet onder de reikwijdte vallen van de Algemene verordening gegevensbescherming (AVG). Naar aanleiding van een toezegging die werd gedaan tijdens de behandeling van de wet in de Eerst Kamer heb ik de Voorzitter van de Eerste Kamer bij brief van heden nader over het toezicht door de Inspectie geïnformeerd. Een afschrift van deze brief is bij de beantwoording van deze Kamervragen gevoegd.

Vraag 1

Bent u bekend met bovengenoemde berichten?1 2 3

Ja, ik ben bekend met de genoemde berichten.

Vraag 2

Bent u het met ons eens dat het belangrijk is dat dat de overheid barrières voor tweedehands spullen niet onnodig hoog moet maken om de circulaire economie te stimuleren?

Ik onderschrijf dat, zoals Marktplaats in het NOS-artikel opmerkt, de overheid barrières voor tweedehands spullen niet onnodig hoog moet maken om de circulaire economie te stimuleren. Verkopers van goederen die incidenteel actief zijn op platforms als Vinted, Marktplaats of Bol zijn onder de Europese richtlijn DAC 7 (hierna: de richtlijn) daarom uitgezonderd.4 Dat betekent dat platforms van hen niet de in de richtlijn vermelde persoonsgegevens hoeven te verzamelen. Van een incidentele (uitgesloten) verkoper is sprake als de verkoper in een kalenderjaar minder dan 30 transacties heeft verricht en hij niet meer dan € 2.000 met de in dat jaar verrichte transacties heeft verdiend (hierna: de drempel).5 Concreet betekent dit dat platforms een rapportageverplichting hebben, indien een verkoper 30 (of meer) verkooptransacties verricht of een bedrag van € 2.000 (of meer) per jaar ontvangt. De Nederlandse regering heeft met de drempel ingestemd omdat zij vindt dat daarmee een goede balans wordt bereikt tussen de primaire doelstelling van de richtlijn enerzijds, te weten het bevorderen van de juiste belastingheffing door de lidstaten, en het uitvoerbaar houden van de richtlijn voor zowel platforms, verkopers als de belastingdiensten van de lidstaten anderzijds. Ik verwijs hierbij ook naar de parlementaire behandeling van het implementatiewetsvoorstel. Van belang is op te merken dat de richtlijn geen nieuwe fiscale verplichtingen voor verkopers in het leven roept. De richtlijn staat op zichzelf los van beantwoording van de vraag of een verkoper naar nationaal belastingrecht ondernemer is. De richtlijn brengt evenmin nieuwe verplichtingen met zich mee voor de omzetbelasting. De richtlijn heeft dus niet tot gevolg dat een verkoper meer belasting moet betalen. De informatie die de inspecteur op grond van de richtlijn ontvangt vormt voor de inspecteur informatie aan de hand waarvan hij de juistheid en volledigheid van de door de verkoper ingediende aangiften beter kan controleren. Dit bevordert een juiste belastingheffing en daarmee de belastingmoraal. Dat is ook de doelstelling van de richtlijn.

Vraag 3

Herkent u de zorgen dat veel verkopers van tweedehandsspullen die jaarlijks meer dan dertig items of voor meer dan 2.000 euro verkopen via websites zoals Vinted, Marktplaats of Bol komen straks in beeld komen bij de fiscus en bang zijn dat ze extra belastingen moeten betalen?

Zie antwoord vraag 2.

Vraag 4

Bent u het met ons eens dat onduidelijkheid rondom de fiscale positie moet worden weggenomen?

Ik ben het met u eens dat onduidelijkheid rondom de fiscale positie zoveel mogelijk moet worden voorkomen. De Belastingdienst geeft om die reden via de website algemene informatie en voorlichting. Voor de inkomstenbelasting heeft de Belastingdienst onder meer de online OndernemersCheck beschikbaar gesteld. Met behulp van deze check en andere informatie die de Belastingdienst op www.belastingdienst.nl aanbiedt, kan een belastingplichtige beoordelen of hij waarschijnlijk wel of niet ondernemer voor de inkomstenbelasting is. Aangezien de vraag of sprake is van een bron van inkomen, zoals winst uit onderneming, loon uit dienstbetrekking of resultaat uit overige werkzaamheden afhankelijk is van specifieke feiten en omstandigheden. Het is niet mogelijk om in het algemeen aan te geven of hier in een individueel geval sprake is van een bron van inkomen. Als de kosten naar verwachting structureel hoger zijn dan de vergoeding dan is er geen sprake van een bron van inkomen. Het is wel mogelijk om in een individueel geval in vooroverleg te treden met de belastinginspecteur om duidelijkheid te krijgen over de eigen fiscale positie.

Vraag 5

Van hoeveel mensen heeft de Belastingdienst deze informatie, aangeleverd via de digitale platforms, ontvangen?

Platforms opereren vaak in meerdere landen. De platformexploitanten kunnen ook in een andere lidstaat van de Europese Unie de rapportages over de verkopers indienen. De belastingdiensten van de lidstaten wisselen op basis van de richtlijn vervolgens deze rapportages uit. Dit doen ze in februari 2024 voor het eerst. Pas daarna ontstaat er zicht op de totale hoeveelheid Nederlandse verkopers die zijn aangeleverd via de digitale platforms.

Vraag 6

Kunt u in een tabel uitsplitsen welke soort categorieën daarbij onderscheiden kunnen worden (waaronder: aantallen items/transacties en verkoopcijfers)?

Zie hiervoor antwoord op vraag 5. In februari 2024 worden de gegevens voor het eerst ontvangen.

Vraag 7

Kunt u per categorie aangeven welke opvolging door de Belastingdienst gegeven zal worden? In hoeveel gevallen verwacht u naheffingen en of -vorderingen?

De ontvangen gegevens zullen in de systemen van de Belastingdienst moeten worden opgenomen en er zal een analyse moeten plaatsvinden op de gegevens. Daarna zullen deze gegevens, voor zover relevant, gebruikt worden in de bestaande reguliere handhavings- en toezichtsprocessen.

Vraag 8

Hoeveel fte’s bij de Belastingdienst zijn hiermee gemoeid?

Met de uitvoering van DAC 7 is een inzet gemoeid van 55 fte incidenteel en 92 fte structureel. Daarnaast zijn er nog kosten voor het inregelen van de automatisering. Ik heb uw Kamer over de gevolgen voor de uitvoering geïnformeerd via de uitvoeringstoets6.

Vraag 9

Hoe bakent de Belastingdienst «hobby’s» af van activiteiten en/of transacties die wél van belang zijn voor de belastingaangifte?

Of inkomstenbelasting moet worden betaald over de verkopen is afhankelijk van de feiten en omstandigheden. Als de activiteiten alleen hobbymatig of in de privésfeer plaatsvinden, en er zijn redelijkerwijs geen voordelen te verwachten, is er geen sprake van een bron van inkomen, zoals winst uit onderneming. Op deze wijze wordt voor de inkomstenbelasting het onderscheid gemaakt tussen hobby’s en belaste activiteiten. Als er geen sprake is van een bron van inkomen, is geen inkomstenbelasting verschuldigd. Voor de btw leiden incidentele verkopen niet tot ondernemerschap, maar bij regelmatige verkoopactiviteiten komt het ondernemerschap voor de btw in beeld ongeacht of winst wordt gemaakt. Overigens kan daarop mogelijk een vrijstelling voor de btw, de Kleineondernemersregeling (KOR), worden toegepast.

Vraag 10

Welke specifieke factoren bepalen het onderscheid tussen «hobby» en «handel» en welke concrete fiscale gevolgen zijn daaraan verbonden?

Voor de beoordeling of sprake is van een bron van inkomen zijn alle feiten en omstandigheden van belang. Zie in dit kader bijvoorbeeld ook de publicatie hierover op de website van de Belastingdienst7. De Belastingdienst kijkt voor de beoordeling van het ondernemerschap onder meer naar continuïteit, ondernemersrisico, bedrijfsomvang, zelfstandigheid en resultaat. Op de website van de Belastingdienst staat uitgebreide informatie over het ondernemerschap8. Als men kwalificeert als ondernemer voor de inkomstenbelasting kan recht bestaan op bepaalde faciliteiten die voor ondernemers gelden. Denk aan bijvoorbeeld de MKB-winstvrijstelling, zelfstandigenaftrek en startersaftrek. Voor de btw gaat het om de zelfstandige uitoefening van een bedrijf of beroep of de exploitatie van een vermogensbestanddeel. De kwalificatie van een activiteit als «hobby» sluit het ondernemerschap voor de btw niet per definitie uit. Ook als iemand geen ondernemer is voor de inkomstenbelasting, kan hij ondernemer zijn voor de btw als hij regelmatig zaken verkoopt en daarmee opbrengst behaalt. Voor de btw geldt wel een registratiedrempel van € 1.800 per kalenderjaar (per 2025 wordt dit € 2.200). Ondernemers met een omzet onder deze drempel, kunnen zonder aanmelding gebruik maken van de KOR en buiten verdere btw-verplichtingen blijven. Meer informatie hierover is te vinden op de website van de Belastingdienst9.

Vraag 11

Gelden daarbij voor de inkomstenbelasting en de btw dezelfde regels? Zo nee, waarin wijken deze af en waarom? Zo nee, bent u bereid om deze regels voor «standaard situaties» gelijk te trekken?

De regels voor de inkomstenbelasting en de btw zijn niet hetzelfde. Voor de inkomstenbelasting moet er sprake zijn van een bron van inkomen om de activiteiten in de heffing te betrekken. Voor de btw geldt dat het ondernemerschap is gebonden aan Europese regelgeving (de Btw-richtlijn). Er is sprake van ondernemerschap als een economische activiteit wordt uitgeoefend. Het begrip economische activiteit wordt ruim uitgelegd en is onafhankelijk van het oogmerk of resultaat. Wat het ondernemerschap betreft verschillen de inkomstenbelasting en de btw fundamenteel. Voor de inkomstenbelasting gaat het namelijk om een winstbelasting terwijl het bij de btw gaat om een transactiebelasting. Dat maakt dat er geen «standaard situaties» zijn die wat regelgeving betreft gelijk zijn te trekken.

Vraag 12

Bent u het met ons eens dat een «drempel» van 30 items (of transacties) of een jaaromzet van 2.000 euro te laag is om als ondernemer te kwalificeren? Zo nee, waarom niet?

De drempel staat op zichzelf los van beantwoording van de vraag of een verkoper een bron van inkomen heeft en bijvoorbeeld kwalificeert als een ondernemer. De drempel betekent dat platforms de in de richtlijn vermelde persoonsgegevens dienen te verzamelen. De vraag of iemand een ondernemer is moet namelijk worden beantwoord aan de hand van de criteria die de nationale belastingwet stelt. In Nederland gaat het dan om de vraag of er sprake is van een bron van inkomen voor de Wet inkomstenbelasting 2001 (Wet IB 2001) en vervolgens om het ondernemersbegrip in de zin van artikel 3.4 Wet IB 2001 en artikel 7 Wet op de omzetbelasting 1968 (Wet OB 1968). Er kan dus niet worden gezegd dat wanneer een verkoper onder de drempel valt, hij wel of geen ondernemer is in de zin van de genoemde wetten.
Het uitzonderen van het verzamelen en aanleveren van gegevens items doet afbreuk aan de effectiviteit van de richtlijn. Inkomsten die met de verkoop van dergelijke items worden gegenereerd vormen immers mogelijk belastbare inkomsten voor de Wet IB 2001 of de Wet OB 1968. Het uitzonderen daarvan heeft tot gevolg dat de inspecteur over gebrekkige contra-informatie beschikt bij het beoordelen van door de verkoper ingediende aangiften, wat er vervolgens toe kan leiden dat te weinig belasting wordt geheven. Daarom ligt het niet voor de hand om dit in Europees verband verder te verkennen.

Vraag 13

Zou de mogelijkheid kunnen worden verkend dat alle items die verkocht worden als tweedehands, tweedekans of via het vinkje «gebruikt» niet in aanmerking hoeven te komen voor de regeling van 2.000 euro of 30 stuks? Zo nee, waarom niet?

Zie antwoord vraag 12.

Vraag 14

Herkent u het beeld van de in het NOS-artikel aangehaalde registeraccountant dat het lastig is om vast te stellen wanneer je als ondernemer wordt beschouwd en wanneer niet?

Het in het NOS-artikel geschetste beeld herken ik. De richtlijn heeft hier geen verandering in gebracht. De beantwoording van de vraag of er sprake is van een bron van inkomen en vervolgens of sprake is van bijvoorbeeld winst uit onderneming of resultaat uit overige werkzaamheden voor de Wet IB 2001, hangt namelijk voor een belangrijk deel af van de feiten en omstandigheden. Dat is onder meer het geval als het gaat om de voorwaarde of de winst redelijkerwijs wordt beoogd of verwacht. Of sprake is van een bron van inkomen zal dus van geval tot geval moeten worden bekeken. Als de kosten de opbrengsten overstijgen zal niet snel sprake zijn van een bron van inkomen. Daarbij komt dat voor het ondernemerschap in de btw andere regels gelden, het ondernemerschap voor de inkomstenbelasting en de btw lopen daarom niet parallel.

Vraag 15

Indien het antwoord op vraag 14 ja is, deelt u dan de mening om hierdoor te pleiten om de fiscale regels (i) via heldere voorlichting onder de aandacht te laten brengen en/of (ii) te overwegen om met nieuwe eenduidige regelgeving (bijvoorbeeld «vaste en objectieve parameters», zoals omzetgrens, winstgrens, etc.) die in de meerderheid van de gevallen zorgen voor duidelijk houvast?

De Belastingdienst doet op dit vlak al veel aan voorlichting en zal dat ook blijven doen.
Op de website van de Belastingdienst staat uitgebreide informatie over het ondernemerschap en het starten als ondernemer. Men kan de ondernemerscheck als hulpmiddel invullen om te kijken of er mogelijk sprake is van ondernemerschap10. Daarnaast intensiveert de Belastingdienst de voorlichting aan particulieren die verkopen, verhuren of hun diensten aanbieden via online platformen. Dit doet de Belastingdienst door de informatie hierover op de eigen website uit te breiden en deze informatie breed bij burgers onder de aandacht te brengen. De richtlijn is voor mij geen reden om nieuwe regelgeving inzake het hebben van een bron van inkomen (bijvoorbeeld winst uit onderneming en resultaat uit overige werkzaamheden) te overwegen omdat de richtlijn geen verandering in deze begrippen aanbrengt en deze begrippen al decennia in de rechtspraak worden ontwikkeld.

Vraag 16

Indien het antwoord op vraag 14 ja is, kunt u dan aangeven welke initiatieven op deze beide punten reeds lopen en/of bent u bereid om beide verder te verkennen?

De Belastingdienst doet op dit vlak al veel aan voorlichting en zal dat ook blijven doen. Op de website van de Belastingdienst uitgebreide informatie over het ondernemerschap en het starten als ondernemer11. Men kan de ondernemerscheck als hulpmiddel invullen om te kijken of er mogelijk sprake is van ondernemerschap. Daarnaast intensiveert de Belastingdienst de voorlichting aan particulieren die verkopen, verhuren of hun diensten aanbieden via online platformen. Dit doet de Belastingdienst door de informatie hierover op de eigen website uit te breiden en deze informatie breed bij burgers onder de aandacht te brengen.

Vraag 17

Hoeveel fiscale geschillen zijn op dit moment aanhangig over de vraag of een particulier wel of niet als ondernemer moet worden aangemerkt? Bent u het met ons eens dat het, nu DAC7 van kracht is geworden, zeer aannemelijk is dat (veel) meer disputen zullen volgen?

Het is niet bekend hoeveel geschillen over de vraag of een particulier wel of niet als ondernemer moet worden aangemerkt. Op dit moment is niet te beoordelen of DAC7 tot een toename van geschillen gaat leiden. Zoals ik heb aangegeven worden de eerste gegevens in februari 2024 ontvangen.

Vraag 18

Indien het antwoord op vraag 17 ja is, pleit dit dan niet voor meer duidelijkheid zoals genoemd in de vorige vraag?

Zie het antwoord op vraag 17.

Vraag 19

Deelt u de angst dat, wanneer voldaan moet worden aan DAC7, naast de inkomsten, ook veel gevoelige persoonsgegevens zoals het Burgerservicenummer van miljoenen gebruikers verzameld zullen worden?

De richtlijn is voor alle betrokken partijen – verkopers, platforms en de Belastingdienst – nieuw. Ik heb er alle begrip voor dat de toepassing daarvan, zoals het verzamelen van persoonsgegevens zoals het burgerservicenummer (bsn), vragen oproept. De richtlijn is de uitkomst van intensief overleg en onderhandelingen tussen de lidstaten, de Europese Commissie en het Europees Parlement. Daarbij is onderkend dat het door platforms verzamelen van dergelijke gegevens ingrijpend kan zijn, maar dat dit voor het realiseren van de doelstelling van de richtlijn, namelijk de juiste belastingheffing door lidstaten, noodzakelijk is omdat de belastingdiensten van de lidstaten onvoldoende zicht hadden op belastbare inkomsten die in de platformeconomie worden gegenereerd. Zonder bsn kan de inspecteur de door de platforms aangeleverde informatie over verkopers niet koppelen aan belastingplichtigen en dus niet de doelstelling van de richtlijn verwezenlijken. De European Data Protection Board – de Europese tegenhanger van de nationale Autoriteit Persoonsgegevens (hierna: de AP) – over de richtlijn positief geadviseerd13. De nationale AP heeft een blanco advies uitgebracht. Dat neemt niet weg dat zowel de platforms als de Belastingdienst op grond van de Algemene verordening gegevensbescherming (AVG) voor een goede beveiliging van persoonsgegevens moeten zorgen om het risico van bijvoorbeeld identiteitsfraude zoveel als mogelijk te verkleinen. Dit vraagt inderdaad de nodige inspanningen van hen. Ik verwijs ook naar de memorie van toelichting bij het wetsvoorstel waarmee de richtlijn is geïmplementeerd. Daarin is uitgebreid ingegaan op gegevensbescherming en de administratieve lastendruk14. Meer persoonsgegevens dan noodzakelijk voor het realiseren van voormelde doelstelling worden niet verzameld, zodat in die zin geen spanning ontstaat met de Werkagenda Waardengedreven Digitaliseren.

Vraag 20

Deelt u tevens de angst dat als gevoelige persoonsgegevens in verkeerde handen vallen, ze kunnen worden gebruikt voor onder meer identiteitsfraude of online afpersing? Zo ja, wat gaat de regering daartegen doen? Zo nee, waarom niet?

Zie antwoord vraag 19.

Vraag 21

Kunt u uitgebreid reflecteren op de geuite zorgen uit het bericht van NRC dat PWC vraagtekens zet bij de grote hoeveelheid persoonsgevoelige informatie, met betrekking tot de opslag, beveiliging en overdracht van gegevens, die de bedrijven voor de Belastingdienst moeten verzamelen?

Zie antwoord vraag 19.

Vraag 22

Kunt u uitgebreid reflecteren op het feit dat een jurist van stichting Privacy First in het NRC-artikel zorgen uit over de beveiliging van de gegevens en de capaciteit voor de handhaving van de regels?

Zie antwoord vraag 19.

Vraag 23

Hoe verhoudt dit zich tot de Werkagenda Waardengedreven Digitaliseren van het kabinet, waarin gesteld wordt dat het «belangrijk [is] paal en perk te stellen aan publieke en private partijen die allerlei persoonlijke data verzamelen, verhandelen en soms kwijtraken»?4

Zie antwoord vraag 19.

Vraag 24

Wilt u de vragen afzonderlijk en vóór het binnenkort te houden commissiedebat Belastingdienst beantwoorden?

Ja, ik heb de vragen voor het commissiedebat Belastingdienst aan uw Kamer gestuurd. Gezien de korte termijn voor de beantwoording en voor de leesbaarheid van de antwoorden, zijn niet alle vragen afzonderlijk beantwoord.

Vraag 1

Bent u bekend met het bericht van Stichting Internet Domeinregistratie Nederland (SIDN) dat zij van plan is om in de komende twee jaar haar volledige ICT-omgeving, waarbinnen het.nl-domein beheerd wordt, over te dragen aan Amazon Web Services (AWS)?1

Ja, ik heb hier kennis van genomen.

Vraag 2

Heeft u contact gehad met het SIDN over dit besluit? Zo ja, welk standpunt heeft u richting de organisatie uitgedragen?

Het Ministerie van Economische Zaken en Klimaat (EZK) is door Stichting Internet Domeinregistratie Nederland (SIDN) niet schriftelijk geïnformeerd over of geraadpleegd bij de besluitvorming. Het onderzoek heeft SIDN in het najaar van 2023 kort ter sprake gebracht in een breder overleg tussen SIDN en EZK. SIDN heeft toen aangegeven dat zij toekomstige (cloud)oplossingen voor haar domeinregistratiedienst heeft onderzocht. Op basis van dit onderzoek heeft SIDN een voorkeur voor Amazon Web Services (AWS). SIDN gaf aan dit een lastige keuze te vinden, maar alles overwegende op deze voorkeur uit te komen. Na deze mondelinge toelichting is mijn ministerie niet nader geïnformeerd door SIDN.
Na de plaatsing van het bericht eind januari hebben EZK en SIDN frequent contact gehad, zowel op ambtelijk als politiek niveau. Zo heb ik zelf, samen met de Staatssecretaris Koninkrijksrelaties en Digitalisering, een gesprek gevoerd met de bestuurders van SIDN, waarin ik mijn zorgen geuit heb over dit voorgenomen besluit en het gebrek aan draagvlak onder de stakeholders. Ik heb SIDN daarbij gewezen op het convenant2 tussen SIDN en EZK, waarin mijn ministerie afspraken heeft gemaakt met SIDN over borging van de continuïteit van de dienstverlening, de binding met Nederland en het belang van goede betrokkenheid van de stakeholders van SIDN.
Op basis van de gesprekken met en informatie van SIDN constateer ik dat van een daadwerkelijke verhuizing nog geen sprake is, maar dat SIDN toewerkt naar een situatie waarin deze verhuizing in 2025 mogelijk is. Afgesproken is dat SIDN op dit moment geen onomkeerbare stappen zal zetten. De verhuizing is dus nog geen voldongen feit. Vanuit die context heb ik SIDN gevraagd om haar belanghebbenden uit de internetgemeenschap, waaronder de Rijksoverheid, veel nauwer te betrekken in de overwegingen die achter dit voorgenomen besluit liggen en inzage te geven waarom er naar het oordeel van SIDN binnen Nederland of de EU geen vergelijkbare alternatieven beschikbaar zijn. Dit alles maakt dat ik op dit moment nog geen definitief standpunt kan innemen over de voorgenomen verhuizing. Ik zal in Q2 de Tweede Kamer nader informeren als diverse onderzoeken en nadere gesprekken over deze casus hebben plaatsgevonden.
Voorts heb ik SIDN gewezen op het feit dat de activiteiten van SIDN onder diverse wetten en regels vallen, waaronder de Wet beveiliging netwerk- en informatiesystemen (Wbni) en de Algemene Verordening Gegevensbescherming (AVG). Op basis van de Wbni zal Rijksinspectie Digitale Infrastructuur (RDI) als toezichthouder beoordelen of de verhuizing risico’s oplevert voor de veiligheid, integriteit en continuïteit van het .nl domein, en in hoeverre deze risico’s door SIDN (kunnen) worden gemitigeerd door bestaande of aanvullende maatregelen.
Op grond van de AVG geldt dat SIDN een Data Protection Impact Assessment (DPIA) en Data Transfer Impact Assessment (DTIA) moet laten uitvoeren voorafgaand aan de voorgenomen migratie naar AWS. Hiermee zullen ook alle risico's en mitigerende maatregelen voor de privacy in kaart gebracht moeten worden. De verhuizing kan slechts plaatsvinden nadat deze processen zijn afgerond en SIDN ook op dit gebied voldoet aan haar zorgplicht. SIDN heeft aangegeven dit traject in voorbereiding te hebben.
Daarnaast ben ik met SIDN overeengekomen dat ik met betrokkenheid van de internetgemeenschap, een quickscan zal uitvoeren. Het doel is een beter beeld te krijgen of er geen Nederlands of Europees alternatief beschikbaar is dat kan voldoen aan de eisen van SIDN voor haar domeinregistratiesysteem, en wat het zou vergen om deze lacune te vullen. De quickscan zal daarmee niet exclusief op SIDN gericht zijn, maar we nemen deze casus wel nadrukkelijk mee, juist omdat ik, vanuit de eisen die partijen zoals SIDN stellen, wil weten wat het aanbod in Nederland en de EU is in vergelijking met de Amerikaanse partijen.

Vraag 3

Deelt u de mening dat het.nl-domein een essentieel onderdeel is van de digitale infrastructuur van Nederland?

Ja, de dienstverlening van SIDN vormt een essentieel onderdeel van de digitale infrastructuur van Nederland. Er zijn meerdere instrumenten die gericht zijn op het borgen van de beschikbaarheid en veiligheid van de dienstverlening van SIDN. Ten eerste is SIDN als aanbieder van Domain Name Server (DNS)-diensten en register van topleveldomeinnamen, een aanbieder van een essentiële dienst als bedoeld in de Wbni. Daarom zijn de in die wet opgenomen verplichtingen en het daarin ook geregelde toezicht op de naleving daarvan op SIDN van toepassing. De Wbni strekt in hoofdzaak tot implementatie van de Europese Netwerk- en Informatiebeveiligingsrichtlijn (NIB-richtlijn). De verplichtingen op grond van de Wbni betreffen onder meer het nemen van passende en evenredige technische en organisatorische maatregelen om de risico’s voor de beveiliging van netwerk- en informatiesystemen te beheersen. SIDN heeft op basis van de Wbni een zorgplicht. De RDI toetst als toezichthouder doorlopend op de naleving van de zorgplicht en kan, als dat niet gebeurt, ook handhavend optreden. Uiteraard zal SIDN ook tijdens en na de eventuele verhuizing moeten blijven voldoen aan de Wbni. Ten tweede is SIDN op grond van het nationale vitaalbeleid als aanbieder van DNS-diensten en beheerder van een register van topleveldomeinnamen aangemerkt als vitale aanbieder. Ten derde heeft EZK met SIDN een convenant afgesloten dat de relatie met Nederland waarborgt en voorziet in afspraken over continuïteit.
Overigens heeft SIDN aangegeven niet het voornemen te hebben om het gehele .nl-domein in de cloud te plaatsen, maar alleen het domeinregistratiesysteem. Registratie van een .nl-domein beslaat twee systemen: Het domeinregistratiesysteem en het domeinnaamsysteem.
Het domeinregistratiesysteem is de administratie van wie welke domeinnaam heeft. Dit domeinregistratiesysteem bevat de volgende gegevens: van wie welke domeinnaam is, welke service provider verantwoordelijk is en naar welke name servers verwezen moet worden. De name server zorgt voor de koppeling van de domeinnaam aan de IP-adressen. Het domeinnaamsysteem vertaalt de domeinnamen, die we dagelijks gebruiken, zoals overheid.nl, naar de IP-adressen van de internetdiensten (het telefoonboek van het internet).
SIDN heeft aangegeven dat het domeinnaamsysteem geen onderdeel is van de migratie naar AWS. Eventuele uitval van het domeinregistratiesysteem heeft niet direct gevolgen voor de bereikbaarheid van bestaande .nl domeinnamen en de daaraan verbonden diensten.

Vraag 4

Deelt u de mening dat de verhuizing van het.nl-domein zorgt voor een onwenselijke afhankelijkheid van de Verenigde Staten?

Verhuizing van het domeinregistratiesysteem van SIDN zou een bepaalde afhankelijkheid van AWS creëren. Het kabinet wil zogenaamde risicovolle strategische afhankelijkheden mitigeren. Niet iedere afhankelijkheid is een risico; zo vormen wederzijdse afhankelijkheden de hoeksteen van het mondiale handelssysteem, waardoor specialisatie kan optreden, innovatie wordt gestimuleerd, producten toegankelijk blijven, wetenschappelijke kennis circuleert en onze welvaart en koopkracht toeneemt.3
Voor de specifieke casus van de voorgenomen verhuizing van het domeinregistratiesysteem van SIDN wordt door het kabinet nader bezien in hoeverre de voorgenomen verhuizing risico’s oplevert voor onze digitale open strategische autonomie. SIDN zal vanuit haar zorgplicht moeten documenteren en beoordelen in hoeverre de verhuizing risico’s oplevert voor onze publieke belangen zoals veiligheid van gegevens en de continuïteit van de dienstverlening van SIDN. En zo ja, in hoeverre deze risico’s (kunnen) worden gemitigeerd door bestaande of aanvullende maatregelen en wat dit betekent voor de voorgenomen verhuizing. Toezichthouders waaronder de RDI, zullen toetsen of aan alle wet- en regelgeving is voldaan. Ik vind het daarnaast van belang dat SIDN meeweegt welke Nederlandse (of Europese) alternatieven voorhanden zijn. Zie ook het antwoord op vraag 2.

Vraag 5

Hebben de hostingprovider en de Amerikaanse overheid toegang tot de gegevens in de AWS-cloud? Onder welke voorwaarden hebben zij toegang?

SIDN heeft aangegeven dat de servers die zij voornemens zijn te gebruiken van AWS gevestigd zijn binnen de EU en dat de Europese wet- en regelgeving onverkort van toepassing zal zijn. Daarnaast heeft SIDN gemeld dat de data versleuteld verwerkt, getransporteerd en opgeslagen zal worden. Versleuteling is een voorbeeld van een technische maatregel waar de RDI naar kijkt bij aanbieders van essentiële diensten, in haar rol als toezichthouder. SIDN gaf daarnaast aan dat zowel de hostingprovider als de Amerikaanse overheid geen toegang hebben tot gegevens die in het registratiesysteem worden verwerkt of opgeslagen.
Wel kunnen de data op basis van de US Cloud Act, Amerikaanse wetgeving met extraterritoriale werking, opgeëist worden. Deze wetgeving maakt het onder andere mogelijk dat Amerikaanse federale rechtshandhaving bij uitzondering, na goedkeuring via een huiszoekingsbevel van een Amerikaanse rechter, toegang kunnen eisen tot gegevens indien die zijn opgeslagen of worden verwerkt bij Amerikaanse bedrijven of Europese leveranciers onder Amerikaanse jurisdictie. Er zijn meer landen die dergelijke wetgeving en bijbehorende verplichtingen hebben.
De DPIA, die nog moet worden afgerond, zal de risico's en mitigerende maatregelen in kaart moeten brengen. Dit is een voorwaarde om de verhuizing te laten plaatsvinden. De Autoriteit Persoonsgegevens houdt toezicht op naleving van de AVG, daaronder valt ook het goed uitvoeren van een DPIA. Primair ligt de verantwoordelijkheid bij de organisatie zelf, in deze casus SIDN, om een DPIA en DTIA uit te voeren. AP ziet uiteindelijk er op toe dat de SIDN de DPIA en DTIA goed uitvoert. Als uit deze DPIA en DTIA blijkt dat er hoge restrisico’s zijn, dan moet de SIDN naar de AP gaan voor verdere bespreking over die risico’s.

Vraag 6

Is het voldoende mogelijk om toezicht te houden en zo nodig aanpassingen ten goede van de veiligheid door te voeren als het.nl-domeinbeheer bij een Amerikaans bedrijf ligt?

Zowel de activiteiten van SIDN als die van AWS vallen onder de Europese wetgeving en het daarin geregelde toezicht.
Net als voor elke andere aanbieder van een essentiële dienst geldt vanuit de Wbni voor SIDN de wettelijke verplichting om evenredige technische en organisatorische maatregelen te nemen om de risico’s voor de beveiliging van hun netwerk- en informatiesystemen te beheersen, de zogenaamde zorgplicht. De maatregelen moeten zorgen voor een niveau van beveiliging dat is afgestemd op de risico’s die zich voordoen. Ook moeten aanbieders van essentiële diensten, passende maatregelen nemen om incidenten die de beveiliging van de netwerk- en informatiesystemen aantasten, te voorkomen en gevolgen te beperken teneinde de continuïteit van de dienst te waarborgen.
De RDI houdt toezicht op de naleving van de zorgplicht door SIDN en heeft, zo nodig, verschillende instrumenten tot zijn beschikking om naleving van de zorgplicht af te dwingen, zoals het vorderen van informatie, opleggen van een verplichting tot een beveiligingsaudit en het opleggen van bestuurlijke boetes.
Op basis van de Wbni zijn genoemde verplichtingen én toezicht op de naleving daarvan door de RDI ook van toepassing op digitale dienstverleners, zoals verleners van cloudcomputingdiensten. Zij hebben dus ook een zorgplicht in bovenbedoelde zin met betrekking tot de beveiliging van hun netwerk- en informatiesystemen. Wel is het zo dat de Wbni alleen van toepassing is op digitale dienstverleners die gelet op de NIB-richtlijn onder de jurisdictie van Nederland vallen. Op basis van de NIB-richtlijn wordt een verlener van cloudcomputerdiensten geacht te vallen onder de jurisdictie van de lidstaat waar hij zijn hoofdvestiging heeft. De rechtspersoon van AWS in de Europese Unie is in Luxemburg gevestigd en valt daarmee onder het (toezicht)regime van Luxemburg. Toezichthouders als bedoeld in de NIB-richtlijn in de EU kunnen elkaar bijstand verlenen en samenwerken.

Vraag 7

Kunt u met volle zekerheid zeggen dat alle registratiegegevens en.nl-domeinen, van nationale websites tot emailadressen, afgeschermd en veilig zijn bij een Amerikaans bedrijf? Hoe komt u tot die conclusie? Welke risico’s ziet u?

Nee, volle zekerheid kan nooit worden gegeven, ongeacht welke leverancier gebruikt wordt en waar deze vandaan komt. De risico’s moeten beheersbaar zijn. Op dit moment heeft de RDI, mede gegeven de fase waarin het voornemen tot verhuizing zit, van SIDN nog te weinig informatie verkregen om te kunnen concluderen over de risico’s voor de systemen als gevolg van het voorgenomen besluit. Zie hiervoor ook de beantwoording van vraag 6. Voor wat betreft vragen rond privacyaspecten geldt dat de genoemde DPIA en DTIA nog moeten worden afgerond alvorens hierover een oordeel kan worden gegeven. Zie ook het antwoord op vraag 2.

Vraag 8

Vindt u het acceptabel dat SIDN, die sinds 2018 geldt als een «aanbieder van essentiële diensten»2, haar systeembeheer naar een Amerikaanse aanbieder verplaatst?

Zoals eerder aangegeven ben ik verrast over het voorgenomen besluit en baart deze stap mij ook zorgen. De verhuizing is echter nog geen voldongen feit. Ik heb deze zorgen in een gesprek met de bestuurders van SIDN ook kenbaar gemaakt en heb aangegeven dat SIDN eerst nog diverse stappen in het proces moet doorlopen voordat gezegd kan worden of dit besluit gerechtvaardigd is. Zie verder het antwoord op vraag 2. Overigens zoals in vraag 3 heeft SIDN aangegeven niet het voornemen te hebben om het gehele .nl-domein in de cloud te plaatsen, maar alleen het domeinregistratiesysteem.

Vraag 9

Past het overhevelen van het.nl-domeinbeheer naar een Amerikaanse cloud binnen het Nederlandse en Europese beleid rondom strategische autonomie?

Op 17 oktober 2023 is de Tweede Kamer geïnformeerd over de agenda digitale open strategische autonomie (DOSA)5. Deze agenda bouwt voort op het bredere kabinetsbeleid rond open strategische autonomie6 en de aanpak strategische afhankelijkheden7.
Het kabinet hecht grote waarde aan een internationale rechtsorde waarin handel en investeringen vrijelijk hun weg vinden. Wederzijdse afhankelijkheden vormen de ruggengraat van het open handelssysteem en de internationale samenwerking waar Nederland en de EU veel profijt van hebben en die ons een sterkere geopolitieke positie opleveren. Tegelijkertijd kan een vorm van overheidsingrijpen nodig zijn, bijvoorbeeld indien strategische afhankelijkheden hoge risico’s met zich meebrengen.
In de agenda DOSA staat de probleemanalyse en beleidsinzet (zie antwoord bij vraag 13) op de beleidsprioriteit cloud geschetst. Zoals staat aangegeven in deze agenda wordt de Europese markt gedomineerd door enkele Amerikaanse partijen.
In algemene zin is het overhevelen van activiteiten naar een cloudleverancier van buiten de EU niet strijdig met het beleid rond (digitale) open strategische autonomie. Tegelijkertijd is het belangrijk om te kijken naar in hoeverre dit risico’s oplevert, in hoeverre deze risico’s (kunnen) worden gemitigeerd door huidig instrumentarium of aanvullend instrumentarium en wat de mogelijkheid tot substitutie is.
In aanvulling hierop is in de Agenda DOSA al een breder onderzoek voorzien waarin mitigerende maatregelen voor de vermindering van cloudafhankelijkheid van Nederland worden verkend.

Vraag 10

Wat zijn de gevolgen voor Nederland en al haar belangrijke digitale diensten die in het.nl-domein staan als het register gecompromitteerd raakt? Wat betekent dit in het slechtste geval voor Nederland en welke regie houden de overheid en internetdiensten over hun eigen.nl-adres?

SIDN heeft aangegeven dat het domeinregistratiesysteem in beheer blijft van de stichting. Onbevoegde wijzigingen in het domeinregistratiesysteem kunnen, zowel nu als in de toekomst, grote gevolgen hebben voor de aan de domeinnaam verbonden diensten. Om het risico op dergelijke wijzigingen te mitigeren worden maatregelen genomen. SIDN geeft aan dat de veelheid aan mitigerende maatregelen die AWS treft juist een van de redenen is om voor die partij te kiezen. Wat de gevolgen van de migratie zijn voor privacy moet o.a. nog blijken uit de nog uit te voeren DPIA.

Vraag 11

Heeft het Agentschap Telecom als verantwoordelijk toezichthouder gereageerd op de ICT-strategie waarin de verhuizing naar AWS besloten is? Zo ja, kunt u deze reactie of zienswijze delen?

Omdat de RDI (voorheen Agentschap Telecom) niet vooraf geïnformeerd is over het voorgenomen besluit van SIDN om te migreren naar AWS en nog meer informatie van SIDN nodig heeft over deze voorgenomen migratie, heeft de RDI op dit moment geen inhoudelijke reactie of zienswijze en kan ik die daarom niet delen. Zoals beschreven in vraag 6 toetst RDI binnen de kaders van de Wbni de veiligheid van het huidige domeinregistratiesysteem alsook toekomstige systemen zoals gebruik van AWS.

Vraag 12

Hoe reageert u op de bewering van SIDN dat zij overstapt naar een Amerikaanse cloud omdat «er nog geen volwaardig Europees alternatief bestaat»?

In algemene zin kan gesteld worden dat er verschillende Nederlandse en Europese aanbieders van ICT- en clouddiensten zijn, die als «alternatief» zouden kunnen dienen. Of deze aanbieders een volledig en/of concurrerend aanbod voor de gevraagde dienstverlening kunnen leveren aan SIDN is iets waar het kabinet meer inzicht in wil krijgen middels een quickscan.
SIDN heeft aangegeven te werken aan een exit-strategie. Deze strategie is tweeledig. Het heeft zowel betrekking op het snel kunnen verhuizen in het geval van problemen of calamiteiten, als het kunnen migreren naar een Europese of Nederlandse cloudprovider als deze mogelijkheid zich aandient.

Vraag 13

Welke maatregelen neemt Nederland om zo snel mogelijk te komen tot een betrouwbaar en publiek Europees cloudsysteem? Indien deze in ontwikkeling is, wanneer verwacht u dat deze in gebruik is?

Nederland zet in op Europese ontwikkeling van innovatieve clouddiensten en regulering van de markt. Op 15 oktober 2020 hebben de lidstaten van de Europese Unie een verklaring8 ondertekend om samen te werken aan de uitrol van veerkrachtige en concurrerende cloudinfrastructuur en -diensten in heel Europa.
Het «Important Project of Common European Interest on the next generation Cloud Infrastructure and Services» (IPCEI CIS) is een van de manieren waarop hier gevolg aan is gegeven, door het subsidiëren van een nieuwe generatie innovatieve, duurzame en veilige Europese cloudoplossingen. De Tweede Kamer is op 21 december 2023 over de IPCEI CIS geïnformeerd middels de beantwoording van vragen van de Kamer9 en een Kamerbrief10. De looptijd van deze projecten, inclusief de uitrolfase, is tot met 2028 en de totale subsidie bedraagt ruim 71 mln euro.
Daarnaast neemt Nederland deel aan de European Alliance for Industrial Data, Edge and Cloud, waarin overheden en bedrijven op Europees niveau samenwerken om de ontwikkeling en uitrol van nieuwe oplossingen te simuleren.11
Ook loopt het Gaia-X initiatief12, dat erop gericht is om een alternatief te ontwikkelen voor de deels gesloten ecosystemen van bestaande grote cloudspelers. Diverse Nederlandse bedrijven en organisaties zijn hierachter de drijvende kracht. Het kabinet steunt de ontwikkeling via een Nederlandse GAIA-X hub bij TNO en is vertegenwoordigd in de Governmental Advisory Board van het initiatief.
Naast de reeds bestaande Europese clouddiensten zullen deze initiatieven naar verwachting het cloudaanbod aanzienlijk vergroten.
Verder is er inmiddels wetgeving gericht op het beter laten functioneren van de digitale interne markt. Hierbij zijn de Dataverordening13 en Digital Markets Act belangrijke kaders waarmee economische afhankelijkheid (en lock-in) van cloudaanbieders worden verminderd.
Volgens het kabinet dragen deze initiatieven samen bij aan het ontwikkelen van een Europees cloudsysteem met als ambitie om tot een volwaardig Europees aanbod te komen. Het is belangrijk om nader te bezien of deze acties zorgen voor het benodigde aanbod van clouddiensten voor toepassingen zoals het domeinregistratiesysteem van SIDN. De quickscan zal naar verwachting meer inzicht geven (zie antwoord vraag 2).

Vraag 14

Op welke manier bent u betrokken bij dit besluit van SIDN en haar werkzaamheden? Welke rol neemt u als Minister om deze essentiële digitale infrastructuur te onderhouden?

Sinds 1996 beheert en registreert de onafhankelijke stichting SIDN de domeinnamen binnen het .nl-domein. EZK heeft voor het eerst met SIDN een convenant afgesloten dat dateert uit 2008. Het convenant is in 2015 en 2022 geëvalueerd en herzien en met de Tweede Kamer gedeeld14. Doel van het convenant is om waarborgen te krijgen op de stabiliteit en continuïteit van het .nl-domein. SIDN heeft tot nu toe gezorgd voor 100% beschikbaarheid van het .nl domein.
In het convenant is onder andere afgesproken dat SIDN en het .nl-domein verbonden blijven met Nederland, waarbij SIDN zich ten doel blijft stellen het .nl-domein voor gebruikers in Nederland beschikbaar te houden. Daarnaast staat in het convenant dat SIDN haar belanghebbenden adequaat betrekt bij besluiten. Dit laatste is onvoldoende gebeurd, omdat bijvoorbeeld zorgen van de Vereniging van Registrars nog niet geadresseerd waren voordat SIDN het besluit over de migratie naar AWS kenbaar maakte. Ik heb aan SIDN gevraagd zich aan het convenant te houden, door onder andere met de belanghebbenden dit voorgenomen besluit te bespreken en ben zoals hiervoor aangegeven zelf ook in overleg met SIDN.
De RDI houdt toezicht op de naleving van in de Wbni geregelde verplichtingen (zorgplicht, etc.) rustend op aanbieders van essentiële diensten in de sectoren energie en digitale infrastructuur waaronder digital dienstverleners, inclusief SIDN.

Vraag 15

Wat is de rol van de coördinerend Staatssecretaris voor Digitale Zaken bij het bewaken van de autonomie van het.nl-domein? Is deze rol voldoende om de autonomie te waarborgen? Zo niet, bent u alsnog bereid deze coördinerende rol te pakken?

Zoals eerder aangegeven hebben de Minister van EZK en de Staatssecretaris Koninkrijksrelaties en Digitalisering gezamenlijk met de bestuurders van SIDN gesproken. De Staatssecretaris Koninkrijksrelaties en Digitalisering heeft net als de Minister van EZK aangegeven dat het voorgenomen besluit van SIDN nader onderzoek en een open discussie vereist zoals aangegeven in deze brief. In haar rol als coördinerend Staatssecretaris voor Digitale Zaken staat de Staatssecretaris in deze casus in contact met de Minister van EZK en brengt zij richting en expertise in over waardengedreven digitalisering, onder meer in relatie tot het Rijkscloudbeleid. In haar rol draagt zij bij aan het bewaken van publieke waarden, waar digitale open strategische autonomie een basis vormt van een verantwoorde digitale transitie. De digitale overheid vereist continuïteit en voor de overheid is het essentieel dat het .nl-domein voor de dienstverlening voor de Nederlandse maatschappij altijd beschikbaar is. De Minister van Economische Zaken en Klimaat en de Staatssecretaris Koninkrijksrelaties en digitalisering zullen in gesprek gaan met een brede groep belangenbehartigers zoals bijvoorbeeld wetenschappers en inhoudelijke experts over de manier waarop digitale open strategische autonomie het beste kan worden geborgd voor vraagstukken rond o.a. cloudinfrastructuur en -diensten.

Vraag 16

Welke alternatieve Nederlandse of Europese private cloudproviders zijn er en zou het.nl-domein ook bij deze ondergebracht kunnen worden?

Zoals aangegeven in het antwoord op vraag 2, ben ik met SIDN overeengekomen dat we met betrokkenheid van stakeholders een quickscan zullen uitvoeren om een beter beeld te krijgen of er geen vergelijkbaar Nederlands of Europees alternatief beschikbaar is die voldoet aan de eisen van SIDN voor haar domeinregistratiesysteem, en wat het zou vergen om deze lacune te vullen. De quickscan zal daarmee niet exclusief op SIDN gericht zijn, maar we nemen deze casus wel nadrukkelijk mee, juist omdat ik, vanuit de eisen die partijen zoals SIDN stellen, wil weten wat het aanbod in Nederland en de EU is in vergelijking met de Amerikaanse partijen.

Vraag 17

Hoe kan het dat dé beheerder van het.nl-domein niet voldoende personeel aan kan trekken om haar systeem veilig binnen Nederland te beheren?

Waarom SIDN niet voldoende personeel kan aantrekken is bij EZK niet exact bekend. SIDN geeft aan dat het niet kunnen aantrekken van nieuw personeel is gerelateerd aan diverse factoren. Zo dateert het domeinregistratiesysteem dat nu nog in eigen beheer is, uit 2010 en geven opleidingen niet of nauwelijks meer scholing in het beheer van dergelijke systemen. De gevraagde kennis is zeer specifiek en niet eenvoudig vervangbaar bij ziekte, uitval of vertrek. SIDN is van mening dat dit risico’s met zich meebrengt voor de continuïteit van de bedrijfsvoering. SIDN verwacht door meer gestandaardiseerde systemen te gebruiken en een deel van het systeem in de cloud te plaatsen, uit een grotere pool van IT-professionals te kunnen werven.
In algemene zin wordt de hele samenleving geraakt door tekorten op de arbeidsmarkt. Tekorten in de ICT spelen al decennia en zijn van toenemende en structurele aard. De grote vraag blijkt uit toenemende aantal vacatures in de ICT. In 2021 had 71% van de bedrijven in Nederland moeite om specialistische ICT-vacatures te vervullen. Met het huidige groeitempo van bijna 7% per jaar, is in 2030 één op de tien van de beroepsbevolking IT’er. Dat betekent dat de Nederlandse arbeidsmarkt moet toewerken naar 1 miljoen digitaal geschoolden in 2030.

Vraag 18

Onder welke voorwaarden is het voor SIDN mogelijk om haar diensten in Nederland in beheer te houden? Welke maatregelen kunt u nemen om aan deze voorwaarden te voldoen?

SIDN heeft aangegeven dat zij te allen tijde haar diensten in Nederland in beheer houdt. Zie het antwoord op de vragen 2 en 3.

Vraag 19

Welke instrumenten heeft u als Minister om bij te sturen op de tarieven van de SIDN?

SIDN is een onafhankelijke stichting die zelf de basisprijzen stelt voor een .nl-domein. In 2024 vraagt SIDN voor een domeinnaam € 4,15 per jaar. Dit is het bedrag dat registrars betalen aan SIDN voor haar dienstverlening. Ik heb geen bevoegdheid om bij te sturen op de tarieven.

Vraag 20

Bent u bereid om als eindverantwoordelijke voor de digitale infrastructuur in Nederland in te grijpen en tot een plan te komen om het.nl-domein binnen Nederland te houden?

De verhuizing is nog geen voldongen feit en SIDN heeft toegezegd nu nog geen onomkeerbare stappen te zetten. Ik heb, i.s.m. de Staatssecretaris Koninkrijksrelaties en Digitalisering diverse acties uitgezet om meer zicht te krijgen op de keuze van SIDN. Hieronder vat ik ze kort samen:
EZK is in het licht van het convenant in gesprek met SIDN over voorgenomen migratie van het domeinregistratiesysteem naar AWS. Daarin is vastgelegd dat dat SIDN duurzaam verbonden moet blijven met Nederland en SIDN haar stakeholders moet betrekken. In dat kader heb ik SIDN ook gevraagd om haar belanghebbenden uit de internetgemeenschap, waaronder de Rijksoverheid, veel nauwer te betrekken in de overwegingen achter dit voorgenomen besluit.
Ik ben met SIDN overeengekomen dat EZK met betrokkenheid van stakeholders een quickscan zal uitvoeren om een beter beeld te krijgen of er geen vergelijkbaar Nederlands of Europees alternatief beschikbaar is die voldoet aan de eisen van SIDN voor haar domeinregistratiesysteem, en wat het zou vergen om deze lacune te vullen. De quickscan zal daarmee niet exclusief op SIDN gericht zijn, maar we nemen deze casus wel nadrukkelijk mee, juist omdat ik, vanuit de eisen die partijen zoals SIDN stellen, wil weten wat het aanbod in Nederland en de EU is in vergelijking met de Amerikaanse partijen. Waar nodig zal ik nader bezien welke risico’s er bestaan en welke mogelijkheden vervolgstappen er zijn om de digitale open strategische autonomie te bevorderen, en de continuïteit, integriteit en veiligheid van de dienstverlening te garanderen.
De RDI toetst op basis van de Wbni de beveiliging en continuïteit van de netwerk- en informatiesystemen van SIDN, zowel het huidige domeinregistratiesysteem als ook een toekomstig gebruik van AWS.
SIDN zal op basis van de AVG een Data Privacy Impact Assessment (DPIA) en Data Transfer Impact Assessment (DTIA) uitvoeren.
Ik zal samen met de Staatssecretaris Koninkrijksrelaties en Digitalisering in gesprek gaan met een brede groep belangenbehartigers zoals bijvoorbeeld wetenschappers en inhoudelijke experts over de manier waarop digitale open strategische autonomie het beste kan worden geborgd voor vraagstukken rond o.a. cloudinfrastructuur en -diensten.
Al met al zijn er diverse acties genomen om het voorgenomen besluit van SIDN tegen het licht te houden en ik bekijk op basis daarvan wat nodig is. Het belang van een zorgvuldige afweging betekent dat het op dit moment te vroeg is om al conclusies te trekken. Op basis van de uitkomsten van deze acties zal ik de Kamer nader informeren, naar verwachting is dit in Q2.

Vraag 21

Kunt u zo snel mogelijk met een eerste reactie komen, zo nodig apart van de volledige beantwoording van deze vragen?

Ja.

Vraag 22

Wilt u deze vragen apart van elkaar beantwoorden?

Ja.

Vraag 1

Bent u bekend met de vacaturetekst «PhD-kandidaat: Vroegtijdig des- en misinformatie identificeren op sociale media» bij het Rijksinstituut voor Volksgezondheid en Milieu (RIVM)?1

Ja. Daarbij wijs ik erop dat het RIVM een onafhankelijke adviseur is. Dit komt onder meer tot uitdrukking in de Wet op het RIVM, waarin in artikel 5 is bepaald dat de Minister van VWS geen aanwijzingen geeft aan het RIVM met betrekking tot de methoden volgens welke de onderzoeken worden uitgevoerd en de resultaten daarvan worden gerapporteerd.

Vraag 2

Is het RIVM voornemens om de in het promotieonderzoek te ontwikkelen methoden «met behulp van Artificial Intelligence (AI) en andere big data technieken (sic) om des- en misinformatie op sociale media (over vaccinaties en andere volksgezondheidsthema’s) met mogelijk grote invloed op percepties en gedrag vroegtijdig te identificeren», te operationaliseren?

Een eventuele implementatie van de te ontwikkelen methode is geen onderdeel van dit promotieonderzoek.

Vraag 3

Zo ja, welke wettelijke grondslag is het RIVM voornemens hiervoor te hanteren?

Indien er binnen of naar aanleiding van het promotieonderzoek persoonsgegevens worden verwerkt, geeft het RIVM zich vanzelfsprekend rekenschap van benodigde wettelijke grondslagen, de bestaande wettelijke kaders, zoals de Wet op het RIVM en de AVG, het algemeen aanvaard wetenschappelijk normenkader en processen die doorlopen moeten worden. Bijvoorbeeld het uitvoeren van een DPIA.

Vraag 4

Hoe gaat u voorkomen dat in of ten gevolge van dit onderzoek, de gedragingen van burgers op sociale media op wederrechtelijke wijze door het RIVM worden gevolgd?

Zie antwoord op vraag 3.

Vraag 5

Hoe gaat u voorkomen dat in of ten gevolge van dit onderzoek, persoonsgegevens van burgers wederrechtelijk door het RIVM worden verwerkt of opgeslagen?

Zie antwoord op vraag 3.

Vraag 6

Op welke manier en op welke termijn is het RIVM voornemens de kaders die in of ten gevolge van dit onderzoek gehanteerd worden voor het aanmerken van des- en misinformatie over vaccinaties en andere volksgezondheidsthema’s, openbaar te maken?

Dit RIVM-onderzoek hanteert voor de definities van des- en misinformatie de terminologie, zoals gedefinieerd door de Wereldgezondheidsorganisatie (WHO)2. Onderzoeksresultaten zullen na uitvoerige peer-review, gepubliceerd worden in wetenschappelijke tijdschriften gedurende de looptijd van het promotietraject. De eerste resultaten van een promotietraject worden doorgaans na 1,5–2 jaar na start verwacht.

Vraag 7

Op welke manier en op welke termijn is het RIVM voornemens om de in of ten gevolge van dit onderzoek gebruikte algoritmen openbaar te maken?

De resultaten van dit onderzoek en de gebruikte methodiek, inclusief de algoritmen, zullen beschreven worden middels wetenschappelijke artikelen, die Open Access zullen worden gepubliceerd. Ook zal er te zijner tijd, en indien zou worden besloten tot implementatie, getoetst worden of de algoritmes tevens opgenomen dienen te worden in het algoritmeregister.

Vraag 1

Bent u bekend met het bericht «Sabotage in Iran: een missie in duisternis» van 8 januari 2024?1

Ja. Er is kennisgenomen van genoemde publicatie over dit onderwerp.
In het algemeen geldt dat de Kamer over de vertrouwelijke aspecten van het werk van de diensten via de Commissie voor de Inlichtingen- en Veiligheidsdiensten (CIVD) wordt geïnformeerd. Dit is in overeenstemming met de waarborgen die de Wet op de Inlichtingen- en Veiligheidsdiensten (Wiv) 2017 bevat over onder meer de wettelijke plicht tot geheimhouding van de werkwijze van de diensten.
Op operaties van de inlichtingen- en veiligheidsdiensten, publicaties daarover en veronderstellingen die daarin worden gedaan, juist of onjuist, kan nooit worden ingegaan. De inhoud van publicaties en veronderstellingen die daarin worden gedaan, zijn altijd voor rekening van de betreffende journalist.
Ik hecht er wel aan het volgende te benadrukken:
Alle handelingen van de AIVD en de MIVD zijn gebaseerd op de taken, de verantwoordelijkheden en de bevoegdheden die in de Wet op de Inlichtingen- en Veiligheidsdiensten (Wiv) 2002 waren en thans in de Wiv 2017, zijn opgenomen. Over de vertrouwelijke aspecten van het werk van de diensten wordt via de CIVD politieke verantwoording afgelegd. Bovendien geldt dat de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) te allen tijde belast was en is met de controle op de rechtmatigheid van het handelen van de inlichtingen- en veiligheidsdiensten. Daarmee vormt de CTIVD een wezenlijk onderdeel van het stelstel van wettelijke waarborgen die van toepassing zijn op de werkzaamheden van de inlichtingen- en veiligheidsdiensten.

Vraag 2

Kunt u een reactie geven op de inhoud van het bericht?

Zie antwoord vraag 1.

Vraag 3

Is de politieke leiding vooraf volledig geïnformeerd, en zo ja hoe?

Zowel in de periode waar de publicatie betrekking op heeft, als nu functioneren de diensten onder de ministeriële verantwoordelijkheid. Zie ook het antwoord op vragen 1 en 2.
Vanwege de genoemde plicht tot geheimhouding kan in het openbaar niet worden ingegaan op de informatievoorziening aan de Minister-President. In het algemeen geldt dat de betrokken Ministers de afweging maken of de Minister-President direct of via de Raad voor de Veiligheids- en Inlichtingendiensten en vertrouwelijk wordt geïnformeerd over het handelen van de diensten.
De AIVD en de MIVD hebben te maken met een stelsel van parlementaire controle. Primair geldt dat parlementaire controle plaatsvindt in het openbaar, via de vaste commissies voor Binnenlandse Zaken (indien van toepassing) en in het geheim – waar het staatsgeheime informatie betreft – in de CIVD. Daarnaast vindt doorlopende controle plaats via de CTIVD, de onafhankelijke en gespecialiseerde toezichthouder op de inlichtingen- en veiligheidsdiensten. Ook worden bepaalde door de Minister verleende toestemmingen (de grondslag van een operatie) aan de TIB voorgelegd voor een rechtmatigheidstoets. In andere gevallen mag uitsluitend de Rechtbank Den Haag toestemming verlenen.
Verder wordt over de aard en inhoud van de informatievoorziening en verantwoording aan de CIVD door het kabinet in het openbaar geen mededelingen gedaan.

Vraag 4

Is er vooraf politiek groen licht gegeven voor de operatie in kwestie?

Zie antwoord vraag 3.

Vraag 5

Wordt de Minister-President en worden de leden van de Commissie voor de Inlichtingen- en Veiligheidsdiensten (CIVD) altijd op de hoogte gesteld van operaties van de diensten met een hoog geopolitiek afbreukrisico?

Zie antwoord vraag 3.

Vraag 6

Zo niet, op basis van welke belangenafweging wordt bepaald of dit gebeurt?

Zie antwoord vraag 3.

Vraag 7

Beschikken/beschikten de Nederlandse inlichtingen- en veiligheidsdiensten onder de Wet op de inlichtingen- en veiligheidsdiensten 2002 (Wiv 2002), de Wiv 2017, en/of de Tijdelijke wet cyberoperaties over de wettelijke bevoegdheid om (digitale) sabotage te plegen op kritieke systemen van antagonistische landen?

De Wiv 2017 noch het kabinet spreken van «sabotage». De memorie van toelichting (MvT) op de Wiv 2017 spreekt van de mogelijkheid om verstoringsacties uit te voeren, als één van de maatregelen zoals hieronder beschreven.
De Wiv 2017 bevat de bevoegdheid tot het bevorderen of treffen van maatregelen ter bescherming van door de betreffende dienst te behartigen belangen.
Vooropgesteld wordt dat deze bevoegdheid qua inzet, impact en risicoafwegingen veel verschillende verschijningsvormen kent. Bij het bevorderen of het treffen van maatregelen gaat het er met name om bepaalde anti-democratische, staatsgevaarlijke activiteiten of andere activiteiten die gericht zijn tegen één van de in de Wiv genoemde belangen te ontmoedigen of in de kiem te smoren met als uiteindelijke doel (preventief) te voorkomen dat de ermee gepaard gaande risico’s worden gerealiseerd.
De juridische basis om een verstoringsactie uit te voeren – met de explicitering dat hierbij gebruik mag worden gemaakt van een technisch hulpmiddel – is terug te vinden in artikel 73 lid 1 van de Wiv 2017. In de MvT Wiv 2017 is de toelichting op artikel 73 terug te vinden in paragraaf 4.3.2 In de Wiv 2002 was deze juridische basis terug te vinden in artikel 21 lid 1 sub a onder 2.
De Tijdelijke Wet onderzoek naar landen met een offensief cyberprogramma wijzigt niets aan de bevoegdheid in het wettelijke kader hieromtrent en de waarborgen die hiervoor gelden. De Wiv 2017 blijft op dit punt onverkort van kracht.

Vraag 8

Zo ja, op basis van welke wetsartikelen?

Zie antwoord vraag 7.

Vraag 9

Acht u het onwenselijk dat de diensten een onevenwichtige afhankelijkheidsrelatie van buitenlandse partners ontwikkelen en als zodanig bij operationele samenwerking over cruciale details in het ongewisse worden gelaten?

Er wordt in het openbaar niet ingegaan op de werkwijze van de diensten, waaronder de aard van de samenwerking met inlichtingen- en veiligheidsdiensten van andere landen (hierna: buitenlandse diensten).
Internationale samenwerking is voor de AIVD en de MIVD van essentieel belang.
De samenwerking met buitenlandse diensten moet voldoen aan de wettelijke vereisten en waarborgen zoals door de Wiv 2017 is bepaald.3 Dat betreft allereerst de bevoegdheid tot het aangaan van samenwerkingsrelaties met buitenlandse diensten en de daaraan voorafgaande, door de diensten te maken, weging die bepalend is voor de vraag of en, zo ja, waaruit die samenwerking kan bestaan. De Wiv 2017 geeft verder een regeling voor de verstrekking van gegevens alsmede het verlenen van technische en andere vormen van ondersteuning aan buitenlandse diensten. Tevens bevat de Wiv 2017 een regeling voor het doen van verzoeken om technische en andere vormen van ondersteuning aan buitenlandse diensten door de AIVD of MIVD.
De samenwerking met buitenlandse diensten valt volledig onder het toezicht van de CTIVD.

Vraag 10

Zo ja, welke controlemechanismen zijn er om dit te voorkomen?

Zie antwoord vraag 9.

Vraag 11

Functioneren deze controlemechanismen, naar uw oordeel, voldoende?

Zie antwoord vraag 9.

Vraag 12

Zou u de Kamer uiterlijk drie dagen voor de vaststelling van de begrotingsstaat van het Ministerie van Algemene Zaken, de beantwoording van deze vragen willen doen toekomen?

De vragen zijn zo spoedig mogelijk beantwoord.

Vraag 1

Bent u bekend met het bericht «Veiligheidsregio gebruikte jarenlang Chinese apparatuur ondanks spionagerisico’s»?1

Ja, ik ben bekend met het bericht «Veiligheidsregio gebruikte jarenlang Chinese apparatuur ondanks spionagerisico’s.

Vraag 2

Deelt u de opvatting dat het vanuit het perspectief van nationale veiligheid onverantwoord is om Chinese routers en switches te gebruiken binnen het netwerk van vitale instellingen?

Zoals eerder is aangegeven in onder meer het Cybersecuritybeeld Nederland2 en het Dreigingsbeeld Statelijke Actoren 23 is in algemene zin bekend dat statelijke actoren gebruik maken van supply-chain aanvallen via toeleveranciers, digitale dienstverleners of veelgebruikte software. Er kunnen aanvullende risico’s zijn als dergelijke toeleveranciers, dienstverleners en software afkomstig zijn uit landen met een offensief cyberprogramma tegen Nederland. Het is echter niet per definitie zo dat het gebruik van hard- en software uit deze landen risico’s met zich meebrengt. Om dit te kunnen beoordelen is onder meer het proces waarvoor de hard- en software wordt gebruikt relevant en bijvoorbeeld ook de manier waarop dit binnen organisaties gebruikt wordt. Routers en switches zijn onderdeel van de netwerkinfrastructuur van organisaties en om eventuele risico’s van het gebruik hiervan te kunnen duiden, prioriteren en beheersen is het van belang te bepalen welke rol de routers en switches hebben in deze infrastructuur. De risico’s zijn bijvoorbeeld mogelijk groter als ze onderdeel zijn van de data/informatieverwerking van de organisatie of specifieke (vitale) processen ondersteunen. Ook is relevant of het land waar de leverancier uit afkomstig is wetgeving kent die burgers en bedrijven verplichten mee te werken met de overheid. Een solide risicoanalyse en risicomanagementproces zijn nodig om eventuele passende maatregelen te kunnen nemen.
Het is in dat verband van belang dat organisaties zich bewust zijn van mogelijke risico’s in de toeleveringsketen, dit meenemen in hun inkoop- en aanbestedingsprocessen en waar nodig een risicoanalyse uitvoeren. Het kabinetsbeleid schrijft daarom voor dat nationale veiligheidsoverwegingen meegewogen worden bij de inkoop en het gebruik van producten en diensten bij de Rijksoverheid, lokale overheden en vitale aanbieders. In de Kamerbrief Uitvoering moties Rajkowski van 17 april 2023 wordt dit beleid nader toegelicht4. Het uitgangspunt is bij iedere inkoopopdracht risico’s voor de nationale veiligheid in kaart te brengen en hier waar nodig gepaste maatregelen op te treffen. Ter ondersteuning van dit beleid is in 2018 en 2019 instrumentarium ontwikkeld dat organisaties mogelijkheden biedt bij het maken van een risicoanalyse en het treffen van maatregelen. Dit instrumentarium is recent geactualiseerd5. Deze instrumenten worden beschikbaar gesteld voor en actief verspreid onder vitale aanbieders. Tevens wordt doorlopend ingezet op bewustwording bij vitale aanbieders over het signaleren van risico’s in het inkoopproces.
Daarnaast kunnen organisaties gebruik maken van de handreiking Omgaan met risico’s in de toeleveringsketen van het Nationaal Cyber Security Centrum. Deze publicatie geeft publieke en private organisaties handvatten om zicht en grip te krijgen op risico’s die voortvloeien uit de toeleveringsketen, ook in relatie tot leveranciers uit landen met een offensief cyberprogramma. Overheidsorganisaties kunnen ook gebruikmaken van de Inkoopeisen Cybersecurity Overheid wizard (ICO-wizard) die is opgesteld door het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) samen met EZK. Deze inkooptool is ontwikkeld om veilig inkopen te vergemakkelijken. Met de ICO-wizard kunnen eisenpakketten worden geselecteerd die aansluiten op verschillende typen aan te besteden of in te kopen producten en/of diensten.

Vraag 3

Heeft u zicht op welke Chinese netwerkapparatuur door de veiligheidsregio’s is gebruikt sinds de inwerkingtreding van het Besluit veiligheid en integriteit telecommunicatie in 2019?

Nee. Ik heb geen volledig zicht op welke netwerkapparatuur wordt gebruikt door veiligheidsregio’s. Het is aan de besturen van veiligheidsregio’s zelf om bij de aanschaf en ingebruikname van ICT-producten en diensten zich bewust te zijn van mogelijke risico’s in de toeleveringsketen, dit mee te nemen in hun inkoop- en aanbestedingsprocessen en waar nodig een risicoanalyse uit te voeren.

Vraag 4

Heeft u zicht op welke Chinese netwerkapparatuur momenteel wordt gebruikt door de veiligheidsregio’s?

Zie antwoord vraag 3.

Vraag 5

Zo nee, bent u bereid dit (3 en2 in kaart te brengen?

Veiligheidsregio’s spelen een belangrijke rol in de crisisbeheersing en nationale veiligheid van Nederland. In algemene zin is het conform bestaand beleid (zie onder meer de beantwoording op vraag 2 en 4) aan de besturen van veiligheidsregio’s zelf om afwegingen te maken daar waar het gaat om het gebruik van (netwerk-)apparatuur.
Meer specifiek is digitale weerbaarheid voor de veiligheidsregio’s een belangrijk onderwerp. De 25 veiligheidsregio’s werken in een gezamenlijk meerjarig programma informatievoorziening aan hun eigen weerbaarheid. Ik zal de komende tijd met de veiligheidsregio’s het gesprek aangaan over dit onderwerp en met hen bespreken of aanvullende stappen nodig zijn.

Vraag 6

Wordt er bij het aanbestedingsbeleid van de Rijksoverheid ook specifiek gekeken of er geschikte Europese alternatieven voor netwerkapparatuur beschikbaar zijn?

Het kabinet voert zoals aangegeven in het antwoord op vraag 2 een landenneutraal beleid. Dit betekent dat leveranciers uit specifieke landen door de aanbestedende dienst niet op voorhand categorisch worden uitgesloten, maar dat dit per casus op basis van een risicoafweging wordt bepaald. Hierbij kan per casus tevens door de organisatie zelf een marktanalyse worden uitgevoerd, waarbij in kaart kan worden gebracht of Europese aanbieders bij een inkoop- en aanbestedingstraject kunnen worden betrokken.
Het heeft de prioriteit van het kabinet om in samenwerking met alle departementen het veilig inkopen en aanbesteden in onderlinge samenhang verder te verbeteren en te versterken. Er is stevig ingezet op het sterker benutten van de huidige mogelijkheden binnen de Aanbestedingswetgeving en op het vergroten van de bewustwording ten aanzien van nationale veiligheidsrisico’s. Tevens vindt meer voorlichting en communicatie plaats over de (juridische) mogelijkheden ten aanzien van veilig inkopen en aanbesteden. Ook wordt een regeling opgezet (genaamd Algemene Beveiligingseisen Rijksoverheid Opdrachten of afgekort ABRO) voor aanbestedingen van de Rijksoverheid en de Politie die de nationale veiligheid raken. De nieuwe regeling zal eisen stellen aan opdrachtnemers op het gebied van fysieke beveiliging, (digitale) informatiebeveiliging en cybersecurity, (wijzigingen in) eigendomsstructuren, economische veiligheid, screening van personeel en procedures bij incidenten.

Vraag 1

Hoe lang bent u al bekend met het feit dat de Binnenlandse Veiligheidsdienst (BVD) jarenlang Joodse Nederlanders volgde die na de Tweede Wereldoorlog herdenkingsbijeenkomsten hielden in concentratiekampen?1

Onderzoeken van de BVD vonden plaats onder verantwoordelijkheid van de Minister van Binnenlandse Zaken. Het onderzoek naar een aantal leden van het Nederlands Auschwitz Comité moet worden gezien tegen de achtergrond van de dreiging die in de tijd van de Koude Oorlog uitging van het communisme, waarbij het Comité in zijn vroege jaren door de BVD en door anderen werd gezien als een dekmantelorganisatie van de Communistische Partij van Nederland (CPN).2
Deze afwegingen zijn toentertijd gemaakt door de voorganger van de AIVD op basis van de destijds geldende juridische en politiek-bestuurlijke kaders.

Vraag 2

Begrijpt u dat (nabestaanden van) leden van het Nationaal Auschwitz Comité geschrokken zijn van de berichtgeving dat het comité jarenlang geïnfiltreerd is geweest door de BVD?

Gegeven het onvoorstelbare leed dat slachtoffers van de Holocaust hebben moeten doorstaan, begrijp ik de emoties die de berichtgeving heeft losgemaakt en snap ik dat dit vragen oproept. Ik hecht er daarom waarde aan om te benadrukken dat de onderzoeken van de BVD naar een aantal leden van het Comité in de historische context geplaatst moeten worden. Communisme werd in de tijd van de Koude Oorlog gezien als een gevaar voor de nationale veiligheid en het Comité in zijn vroegere jaren werd gezien als een dekmantelorganisatie van de CPN. In zijn algemeenheid geldt dat als de BVD onderzoek deed naar leden van een organisatie, dit niet per definitie betekende dat dit onderzoek zich richtte op iedereen die aan die organisatie verbonden was.
De belangrijkste reden voor het overbrengen van alle persoonsdossiers uit de periode 1946–1998 is het openbaar maken van toenmalig onderzoek door de Centrale Veiligheidsdienst (CVD) en de BVD, ook wanneer dit (zoals in het geval van het Nederlands Auschwitz Comité) al eerder bekend was uit onder meer eerder openbaar gemaakte stukken van de BVD en onderzoek door het NIOD.3

Vraag 3

Kunt u opheldering geven over de opdracht achter het onderzoek naar het Nationaal Auschwitz Comité en naar holocaustoverlevenden, en over of deze opdracht politiek gestuurd was?

Zie antwoord vraag 1.

Vraag 4

Is uit inlichtingenonderzoek van de BVD gebleken dat er vanuit het Nationaal Auschwitz Comité daadwerkelijk een (communistische) dreiging uitging? Zo ja, was deze dreiging dusdanig dat voortdurende infiltratie van deze mate en duur gerechtvaardigd was in uw ogen?

Zie antwoord vraag 1.

Vraag 5

Bent u bereid om, gezien de reactie van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) waarin zij stelt dat «de periode toen» in geen enkel opzicht «te vergelijken is met de werkwijze van de dienst nu», de resterende dossiers rondom deze kwestie integraal te derubriceren en openbaar te maken en zo volledige openheid te bieden aan betrokkenen en nabestaanden?

Alle persoonsdossiers aangelegd door de CVD en BVD in de periode 1946–1998 zijn in augustus 2022 in het kader van openbaarheid overgebracht naar het Nationaal Archief. Deze dossiers zijn overgebracht met een deels beperkte toegankelijkheid op grond van de persoonlijke levenssfeer.4 Dit is gedaan omdat de inhoud van de persoonsdossiers de belangen van nog levende personen kunnen raken. Dit betekent dat wanneer een verzoeker inzage vraagt in een persoonsdossier dat betrekking heeft op hem of haarzelf de desbetreffende archiefbescheiden door verzoeker kunnen worden geraadpleegd.
Voor wie archiefstukken of dossiers wil inzien waarin bijzondere persoonsgegevens, onder andere seksuele geaardheid, religieuze overtuiging, medische en strafrechtelijke gegevens zitten, gelden additionele voorwaarden. Hiervoor moet een schriftelijk gemotiveerd verzoek worden gedaan, waarin men aantoont dat degene wiens bijzondere persoonsgegevens men wil raadplegen is overleden, de uitdrukkelijke toestemming van de betrokkene heeft, raadpleging noodzakelijk is als juridisch bewijsstuk, raadpleging noodzakelijk is ter voldoening aan een volkenrechtelijke verplichting, of raadpleging plaatsvindt ten behoeve van wetenschappelijk onderzoek of statistiek.
In dit laatste geval gelden er ook voorwaarden waaraan de aanvrager moet
voldoen:
Al eerder, in 2002, 2014 en 2016, heeft de AIVD dossiers van zijn voorgangers
overgebracht naar het Nationaal Archief. Ook die dossiers zijn aldaar, beperkt,
raadpleegbaar.
Archieven die voor bewaring in aanmerking komen worden in overleg met het Nationaal Archief in gereedheid gebracht voor overbrengen. Over de openbaarheid en raadpleegbaarheid van dossiers wordt vooraf advies gevraagd aan het Nationaal Archief en de AIVD volgt dit advies altijd op. Dossiers worden volledig openbaar, dus zonder de hierboven genoemde voorwaarden, 75 jaar na sluiting van een dossier.
Zoals aangeven in de reactie die de AIVD op de eigen website heeft geplaatst deed de «BVD in de tijd van de Koude Oorlog onderzoek naar communisme. Dat was destijds de grootste dreiging tegen de nationale veiligheid.» Over de naar het Nationaal Archief overgebrachte archiefstukken van de BVD stelt de AIVD in dezelfde reactie: «Zij geven een inkijk in het onderzoek zoals de BVD dat destijds deed.»5

Vraag 1

Bent u bekend met het artikel ««Rutte-doctrine» is springlevend: alle ministeries negeren rechterlijke uitspraken over transparantie» van Follow the Money?1

Ja.

Vraag 2

Kunt u bevestigen dat in het Secretarissen-Generaal Overleg (hierna SGO) is afgesproken dat conceptdocumenten, waarbij definitieve versies reeds openbaar zijn, niet verstrekt worden aan de Kamer noch aan Woo-verzoekers (zonder beoordeling op passageniveau)?

Nee. Ik licht dat toe. Een conceptversie van een stuk leent zich naar zijn aard in eerste instantie niet goed voor openbaarmaking. Dit laat onverlet dat in een voorkomend geval relevante feitelijke informatie in een concept die niet ook is opgenomen in het definitieve stuk, voor openbaarmaking in aanmerking komt wanneer er anders een onjuist of onvolledig beeld zou ontstaan van het besluitvormingsproces. Dit vergt een beoordeling van de onderliggende relevante concepten.
Integrale weigering van concepten zonder deze toets is niet toegestaan en dat is ook niet zo gewisseld in het SGO. Het altijd openbaar maken van alle concepten acht ik echter niet nodig. Allereerst omdat er ambtelijk in de regel zeer veel concepten worden gedeeld alvorens een stuk definitief wordt gesteld. De ruimte om vrij van gedachten te wisselen zou in het geding komen als alle concepten openbaar worden. Daarnaast is het publieke debat gebaat bij voldragen bestuurlijke standpunten. Dit is ook het uitgangspunt in de openbare Rijksbrede Woo-instructie en in het overzicht van de bronnen van het openbaarmakingsbeleid zoals 16 maart 2023 is aangeboden aan uw kamer2. Beide stukken zijn vastgesteld in het SGO.
Ik realiseer mij hierbij wel dat de desbetreffende toets in deze instructies «strakker» oogt dan is bedoeld. Ik zal deze instructies bij de eerstvolgende gelegenheid dan ook op dit onderdeel verduidelijken.

Vraag 3

Kunt u bevestigen dat dit conform rijksbrede afspraken is, waarmee het SGO heeft ingestemd?

Zie hiertoe het antwoord bij vraag 2. De rijksbrede afspraak is dat per situatie wordt beoordeeld of openbaarmaking van relevante feitelijke informatie uit een concept die zicht biedt op het besluitvormingsproces en niet ook terugkomt in het definitieve stuk, aan de orde is.

Vraag 4

Kunt u het verslag van dit betreffende SGO doen toekomen?

In de bijlage treft u de relevante passages uit de desbetreffende verslagen van het overleg van de Secretarissen-Generaal (SGO) aan waarbij respectievelijk «de Woo-instructie», de «beleidslijn actieve openbaarmaking» en de «Bronnen van openbaarmakinsbeleid», zijn besproken.

Vraag 5

Op basis van welke wettelijke bepalingen uit de Grondwet respectievelijk de Woo is het categorisch achterhouden van informatie uit conceptdocumenten gebaseerd?

Zie hiertoe het antwoord bij vraag 2 en 3. De omgang met concepten is voor de Woo gebaseerd op het bepaalde in artikel 5.2, eerste lid («Persoonlijke beleidsopvattingen bestemd voor intern beraad») en artikel 5.1, tweede lid, aanhef en onder i («Het goed functioneren van de Staat, andere publiekrechtelijke lichamen of bestuursorganen»).

Vraag 6

Bent u ermee bekend dat het SGO hiermee een besluit heeft genomen in strijd met de Grondwet (artikel 68), door gevraagde inlichtingen van Kamerleden categorisch niet aan de Kamer te verstrekken zonder dat er een belangenafweging «in het belang van de Staat» heeft plaatsgevonden?

Zoals naar voren komt in de antwoorden op vraag 2, 3 en 5 is dit niet aan de orde. Toepassing van het belang van de staat vergt altijd een belangenafweging in het concrete geval, ook waar het conceptdocumenten betreft. Categorische weigering om concepten desgevraagd aan uw Kamer te verstrekken is dan ook niet het kabinetsbeleid.

Vraag 7

Bent u ermee bekend dat het SGO hiermee een besluit heeft genomen in strijd met de Wet Open Overheid, door gevraagde informatie van Woo-informatieverzoekers niet te verstrekken?

Zie hiertoe het antwoord bij vraag 2, 3 en 5. Hoewel concepten zich in eerste instantie niet goed lenen voor openbaarmaking vanwege de eerder aangegeven belangen, vraagt dit wel om een toetsing aan het wettelijke kader van de Woo per situatie.

Vraag 8

Hoe legt u deze afspraak uit in relatie tot de Woo, de Rijksbrede Woo-instructie en de jurisprudentie, die bij de toepassing van deze wet uitgaat van het algemeen belang van openbaarheid van publieke informatie voor de democratische samenleving (artikel 2.5 Woo)?

Zie hiertoe het antwoord bij vraag 2. Bij toetsing aan de uitzonderingsgronden van de Woo staat het algemene belang van openbaarmaking voorop. De Woo-toets is dan ook «openbaar, tenzij». En alhoewel concepten zich in eerste instantie niet goed lenen voor openbaarmaking, heeft dit uitgangspunt evenzeer te gelden voor conceptversies van een definitief stuk. Als eerder gerefereerd realiseer ik mij dat de Woo-instructie op dit onderdeel «strakker» oogt dan is bedoeld. Ik zal de instructie bij de eerstvolgende gelegenheid dan ook op dit onderdeel verduidelijken.

Vraag 9

Kunt u bij alle departementen uitvragen hoe zij inlichtingenverzoeken van de Kamer respectievelijk Woo-informatieverzoeken beoordelen en kunt u de uitkomsten van deze uitvraag aan de Kamer verstrekken?

De Rijksbrede afspraak is dat departementen hierbij handelen in lijn met de Rijksbrede beleidslijn actieve openbaarmaking nota’s en de Rijksbrede Woo-instructie.

Vraag 10

Deelt u het besef dat informatie over het handelen van de overheid van groot belang is voor onze democratische samenleving en dat het niet verstrekken van informatie gebaseerd moet zijn op belangenafwegingen gebaseerd op absolute dan wel relatieve uitsluitingsgronden?

Een transparante overheid in ons democratisch bestel essentieel. Dit brengt onder andere met zich mee dat er altijd een afweging van belangen moet worden gemaakt met als algemeen uitgangspunt dat overheidsinformatie voor een ieder toegankelijk moet zijn.

Vraag 11

Bent u het eens met de stelling dat dit betekent dat een informatieverzoek beoordeeld moet worden op basis van de Grondwet respectievelijk de Woo en dat daarmee een vaste uitkomst (categorisch weigeren) op voorhand niet mogelijk is?

Ik deel deze stelling. Zie hiertoe het antwoord bij vraag 2. Per situatie zal moeten worden beoordeeld of openbaarmaking van (de relevante feitelijke informatie in) concepten aan de orde is.

Vraag 12

Bent u bereid de genoemde SGO-instructie te veranderen, en erop toe te zien dat deze ook in de praktijk nageleefd wordt?

Zie het antwoord bij vraag 2. Ik realiseer mij dat de desbetreffende toets inzake de omgang met concepten in de instructies «strakker» oogt dan is bedoeld. Zoals hierboven aangegeven, zal ik deze instructies bij de eerstvolgende gelegenheid dan ook op dit onderdeel verduidelijken. In de tussentijd zal op ambtelijk niveau interdepartementaal onder de aandacht worden gebracht dat het weigeren van concepten – zowel onder artikel 68 van de Grondwet en de Woo – een afweging per situatie vergt.

Vraag 13

Kunt u deze vragen afzonderlijk binnen drie weken beantwoorden?

Mede in verband met het kerstreces is het niet gelukt om de vragen binnen drie weken te beantwoorden.

Vraag 1

Kunt u in algemene zin een toelichting geven op de beoogde Nederlandse deelname aan de IPCEI-regeling voor cloudtechnologie?1 2

Het kabinet heeft op 21 september 2021 (Prinsjesdag) uw Kamer geïnformeerd over de voorgenomen Nederlandse deelname aan het Important Project of Common European Interest Next Generation Cloud Infrastructure and Services (IPCEI CIS) en de beslissing hiervoor 70 miljoen euro ten behoeve van Nederlandse projecten beschikbaar te stellen. Het kabinet vindt Europese innovatie op dit terrein van groot belang voor het bedrijfsleven en met name de maakindustrie die, ook in Nederland, voor processen en productie een steeds grotere behoefte heeft aan nieuwe, concurrerende en veilige Europese cloudtoepassingen.
Een IPCEI is een geïntegreerd Europees project dat bestaat uit meerdere nationale projecten van bedrijven en/of onderzoeksinstellingen uit deelnemende lidstaten, dat beoogt een belangrijke Europese waardeketen te realiseren of in stand te houden. Hierdoor wordt de Europese autonomie verstevigd. De IPCEI CIS is het eerste belangrijke project van gemeenschappelijk Europees belang op het gebied van cloud- en edge-computing. Het betreft de ontwikkeling van het eerste interoperabele en vrij toegankelijke Europese ecosysteem voor gegevensverwerking.
Het project moet zorgen voor de Europese ontwikkeling van gegevensverwerkingscapaciteit, software en instrumenten voor het delen van gegevens waarmee onderling verbonden, energie-efficiënte en betrouwbare cloud- en edge-technologie en samenhangende diensten voor het verwerken van gedistribueerde gegevens kunnen worden ontwikkeld. De innovatie in het kader van IPCEI CIS zal een nieuw spectrum van mogelijkheden voor Europese bedrijven en burgers bieden en zo de digitale en groene transitie in Europa bevorderen.
Hiermee past onze inzet binnen de IPCEI CIS bij bestaand beleid, zoals de kabinetsvisie op datadelen tussen bedrijven3, de Europese datastrategie4 de Strategie Digitale Economie5 en de Europese verklaring voor een nieuwe generatie edge en cloud6. Ook wordt met de IPCEI CIS een aantal marktfalens geadresseerd. Deze economische problematiek is onder andere door de Autoriteit Consument en Markt (ACM) onderzocht en beschreven in een uitgebreide marktstudie7. De Nederlandse IPCEI CIS-projecten worden inhoudelijk in de Kamerbrief die gelijktijdig met deze beantwoording wordt verzonden verder beschreven.
Op basis van een rangschikking zijn drie Nederlandse projecten in aanmerking voor subsidie gekomen. De Nederlandse projecten maken deel uit van het IPCEI CIS ecosysteem8. Hier is ook door de Europese Commissie over gecommuniceerd bij de aankondiging van de goedkeuringsbesluiten voor steun aan bedrijven op basis van het IPCEI-steunkader. Dit is een proces geweest waar door de deelnemende bedrijven, de Nederlandse overheid en de Europese Commissie zorgvuldig gedurende een periode van twee jaar aan is gewerkt. Deze subsidie is inmiddels door EZK verstrekt.

Vraag 2

Kunt u een overzicht geven van de waardeketen voor cloudtechnologie van datacenters, inclusief toeleveranciers, via clouddienstverleners, tot aan gebruikers hiervan?

Het gaat bij cloudtechnologie om IT-diensten die via het internet worden aangeboden waarbij de gebruiker geen hardware en software aanschaft, maar betaalt voor het daadwerkelijke gebruik van één of meerdere diensten die op de infrastructuur van een cloudaanbieder draaien. Deze infrastructuur is in de regel in een datacenter gehuisvest. Door deze opzet kan de gebruiker zijn of haar gebruik makkelijk op- en afschalen.
Clouddiensten worden grofweg in drie categorieën verdeeld: (1) Infrastructuur as a Service (IaaS), (2) Platform as a service (PaaS) en (3) Software as a Service (SaaS), waarbij de scheidslijnen tussen die drie niet altijd even scherp te trekken zijn. Onderstaande afbeelding geeft schematisch weer hoe deze algemene waardeketen van clouddiensten eruit ziet en wat de verschillende categorieën inhouden. Het is niet mogelijk een uitputtende beschrijving te geven van de waardeketen van cloud in Nederland.
Figuur 1: Een schematische weergave van de verschillende lagen in cloudtechnologie. Bron: ACM

Vraag 3

Wat zijn de grootste bedrijven in deze keten in Nederland, Europa en wereldwijd?

Clouddiensten worden aangeboden door een aantal van de grootste bedrijven ter wereld, zoals Amazon, Microsoft en Google. Andere actieve spelers op de Europese en Nederlandse markt voor clouddiensten zijn bijvoorbeeld IBM, Oracle, VMware, OVHcloud, Scaleway en het Nederlandse Leaseweb. De grootste cloudaanbieders zijn actief op zowel de IaaS-, PaaS- en SaaS-laag, en zijn dus verticaal geïntegreerd. De ACM9 stelt vast dat de clouddiensten van de twee grootste partijen, Microsoft Azure en Amazon Web Services (AWS), in zowel Nederland als Europa, op de IaaS- en PaaS-laag over een groot marktaandeel beschikken (beide 35 à 40 procent). Google is de sterke derde speler op de Nederlandse en Europese markt. Er is sprake van een hoge mate van concentratie op de markt voor clouddiensten. Daarbij leveren Nederlandse bedrijven vaak diensten gebaseerd op infrastructuur die door derden worden geleverd.

Vraag 4

Op welke control points in de keten heeft Nederland een goede concurrentiepositie en op welke zouden we die kunnen ontwikkelen?

Over het algemeen hebben Nederlandse cloudbedrijven een klein marktaandeel in alle lagen van de waardeketen, hoewel Nederlandse bedrijven op het gebied van IaaS een relatief sterkere positie hebben. Daarmee zijn de strategische controlepunten in de waardeketen van cloudbedrijven, voor zover die er zijn, niet direct de basis voor de Nederlandse concurrentiepositie. De IPCEI CIS is gericht op het stimuleren van een nieuwe generatie innovatie edge- en cloudoplossingen, waarbij beoogd wordt dat de concurrentiepositie van deelnemende Europese bedrijven verbetert. Zo kunnen deze bedrijven op het gebied van bijvoorbeeld federatieve cloudoplossingen, dus het kunnen verbinden van clouddiensten van verschillende aanbieders met elkaar, en nieuwe edge-technologieën een sterkere marktpositie krijgen. Hierbij wordt niet direct een focus gelegd op het creëren van een sterke positie van specifiek Nederlandse bedrijven, maar wordt gewerkt aan het creëren van een sterke Europese waardeketen over de verschillende lagen heen. Europese integratie is ook een voorwaarde om staatssteun onder het IPCEI steunkader te mogen verlenen.

Vraag 5

Bent u voornemens om (een deel van) de door de Nederlandse regering gereserveerde € 70 miljoen in te zetten om een soevereine Nederlandse clouddienst te realiseren?

Digitale infrastructuur zoals cloud bestaat uit wereldwijde toepassingen en verbindingen waarin een uitsluitend Nederlandse (toonaangevende of soevereine) dienst op dit moment niet voor de hand ligt. Het gaat bij de IPCEI CIS om het behalen van Europese doelstellingen op het gebied van cloudinnovatie waarbij Nederlandse deelname op basis van kennis, innovatie en financiering geen vanzelfsprekendheid vooraf is. Het kabinet vindt Nederlandse deelname echter van groot belang vanuit innovatieoogpunt, maar ook voor het toekomstig gebruik van te ontwikkelen Europese clouddiensten door Nederlandse (maakindustrie)bedrijven. Daarom heeft mijn ministerie zich samen met betrokkenen uit de Nederlandse cloudsector, actief ingezet voor deelname en financiering gereserveerd.
De IPCEI CIS draagt rechtstreeks bij aan de verwezenlijking van verschillende doelstellingen op het gebied van een digitale, groenere, veiligere, veerkrachtigere en soevereine economie. De middelen worden ingezet om Nederlandse bedrijven en onderzoeksinstellingen een bijdrage te laten leveren aan een nieuwe generatie innovatieve cloudoplossingen, zoals ook beschreven staat in de IPCEI subsidieregeling10. Hiervan kunnen zowel Nederlandse bedrijven als overheden straks gebruik maken.

Vraag 6

Welke governance is van toepassing om te garanderen dat het publieke en private geld terecht komt bij de juiste bedrijven? Welke rol zullen de regionale ontwikkelmaatschappijen hierbij spelen?

De Nederlandse bedrijven en onderzoeksinstellingen die in de IPCEI CIS subsidie krijgen zijn geselecteerd op basis van de criteria uit de IPCEI subsidieregeling11. Steun aan individuele bedrijven blijft beperkt tot wat noodzakelijk en evenredig is en niet zorgt voor marktverstoring. De Europese Commissie heeft zich er van vergewist dat de staatssteun die bedrijven mogen ontvangen in het kader van het IPCEI steunkader in overeenstemming is met de subsidiabele kosten van de projecten in relatie tot de zogenoemde «financieringskloof». Dit zijn de niet rendabele kosten van een project. De monitoring van de met publieke middelen gefinancierde projecten wordt in Nederland uitgevoerd door de RVO, hier spelen de regionale ontwikkelmaatschappijen geen rol bij. Ook op Europees niveau zijn er voor de IPCEI CIS verschillende governance mechanismes ingericht om te waarborgen dat publieke middelen op een effectieve manier worden ingezet en het geheel aan Europese projecten goed op elkaar wordt afgestemd. Ook wordt op Europees niveau ingezet op een transparant, inclusief en sneller ontwerp van belangrijke projecten van gemeenschappelijk Europees belang.

Vraag 7

In welke mate heeft dit initiatief raakvlakken met andere initiatieven van het Ministerie van EZK, zoals de Agenda Digitale Open Strategische Autonomie en de Nationale Technologiestrategie?

De IPCEI CIS draagt rechtstreeks bij aan de verwezenlijking van verschillende doelstellingen op het gebied van een digitale, groenere, veiligere, veerkrachtigere en soevereine economie. Daarmee sluit het ook aan bij de agenda Digitale Open Strategische Autonomie (DOSA) en de Nationale Technologiestrategie. Europa is momenteel erg afhankelijk van cloudaanbieders uit derde landen, wat impact kan hebben op onze nationale veiligheid, ons verdienvermogen en andere maatschappelijke belangen. In het bijzonder is controle behouden over strategische en gevoelige gegevens een punt van toenemende aandacht. De doelstelling van het IPCEI-project van het verder ontwikkelen van Europese cloud- en edge-technologie kan bijdragen aan het verminderen van onze afhankelijkheid.