Vraag 1

Bent u bekend met het feit dat alle nu beschikbare versies van Microsoft Exchange-servers op 14 oktober a.s. «end of support» zijn en daarmee niet langer door de leverancier ondersteund zullen worden en ook niet meer gebruikt kunnen worden?1 2

Ja, ik ben bekend met het feit dat de huidige versies van Microsoft Exchange Server op 14 oktober 2025 het einde van hun ondersteuningscyclus bereiken. Dit heeft de volgende impact op de ondersteuning vanuit Microsoft:
Voor Exchange Server 2016 is deze informatie sinds 2020 bekend en voor Exchange Server 2019 is de reguliere ondersteuning in januari 2024 verlopen. Extended Security Updates zijn beschikbaar gemaakt tot oktober 2025.
Microsoft heeft in juni 2022 aangekondigd dat de nieuwe versie, Exchange Server Subscription Edition (SE), de opvolger zal zijn van de huidige versies. Deze aankondiging is in mei 2024 herhaald, waarbij tevens de aanbevolen stappen zijn gecommuniceerd ter voorbereiding op de migratie van Exchange 2016 en 2019 naar Exchange SE.
Het is belangrijk om te verduidelijken dat «end of support» niet automatisch betekent dat deze systemen niet meer gebruikt kunnen worden. Het betekent wel dat er na deze datum geen updates meer worden uitgebracht, wat risico's met zich meebrengt voor de veiligheid en stabiliteit van deze systemen. Het is daarom van belang dat organisaties tijdig migreren naar ondersteunde oplossingen

Vraag 2

Op hoeveel plekken binnen de rijksoverheid wordt Microsoft Exchange nog gebruikt? Hoeveel daarvan zijn Exchange 2019 en hoeveel zijn ouder?

Binnen de Rijksoverheid maken vrijwel alle organisaties gebruik van Microsoft Exchange. Door de federatieve opbouw van de overheid zijn er momenteel geen centrale overzichten beschikbaar over de exacte aantallen en versies.
Life cycle management (LCM: het proces om op tijd nieuwe versies in productie te nemen) is een departementale verantwoordelijkheid. Het centraal opslaan van te gedetailleerde informatie buiten deze departementale verantwoordelijkheid wordt als een potentieel beveiligingsrisico beschouwd.
Standaardisatie van gedetailleerde informatie binnen de departementale verantwoordelijkheid heeft hoge prioriteit, maar vergt tijd om te organiseren vanwege het heterogene ICT-landschap binnen de Rijksoverheid.
Er wordt gewerkt aan een verbetering van het centraal geaggregeerd overzicht, waarbij rekening wordt gehouden met bovenstaande aspecten. Bij het antwoord op vraag 3 zal ik verder ingaan op de stappen die worden genomen om beter inzicht te krijgen.

Vraag 3

Indien hier nog geen overzicht van bestaat, bent u bereid om vanuit uw coördinerende rol de betreffende Ministers te vragen u hierover informatie te verstrekken?

Ja, ik ben hiertoe bereid. Bij de beantwoording zal wel een balans gezocht worden tussen cybersecurity, federatieve verantwoordelijkheid en transparantie.
Ik zal de betreffende Ministers vragen om informatie te verstrekken over het gebruik van Microsoft Exchange binnen hun departementen.
Vanuit mijn coördinerende rol wordt jaarlijks een Informatie Beveiligingsbeeld (IBB) opgesteld door de departementen. Uit dit inzicht komen geen risico’s naar boven die betrekking hebben op Microsoft Exchange.
Uw vraag past binnen een bredere aanpak waarin vanuit de coördinerende rol van CIO Rijk wordt gewerkt aan het verbeteren van het inzicht in IT-assets binnen de Rijksoverheid. Deze aanpak richt zich niet exclusief op Microsoft Exchange, maar op IT-asset management in de volle breedte.

Vraag 4

Gezien het feit dat het behoorlijk ingewikkeld is om te upgraden naar de nieuwe, nog uit te komen versie van Exchange die nog wel ondersteund wordt, hoe gaat u erop toezien dat deze systemen tijdig zijn vervangen?3

Ten aanzien van de technische complexiteit van de upgrade wil ik opmerken dat volgens informatie van Microsoft, de overgang naar Exchange Server Subscription Edition (SE) minder complex is dan het lid Six Dijkstra suggereert. Voor organisaties die momenteel Exchange Server 2019 gebruiken met de meest recente cumulatieve update (CU14), zal de update naar Exchange Server SE relatief eenvoudig zijn. Microsoft heeft aangegeven dat Exchange Server SE code-equivalent zal zijn aan Exchange Server 2019 CU15, met uitzondering van enkele kleine wijzigingen. Dit maakt een in-place upgrade mogelijk, vergelijkbaar met het toepassen van een reguliere halfjaarlijkse update. Hierbij is geen volledige herinstallatie nodig maar worden alle bestaande configuraties automatisch overgenomen in de nieuwe versie.
Voor organisaties die nog Exchange Server 2016 gebruiken, wordt geadviseerd om eerst te migreren naar Exchange Server 2019 CU14, alvorens de stap naar Exchange Server SE te maken. Microsoft biedt hierbij diverse ondersteuningsmogelijkheden via Microsoft Unified en FastTrack support.

Vraag 5

Zal het vervangen van Microsoft Exchange in de praktijk een geforceerde overgang naar de cloud betekenen? Kunt u dit antwoord toelichten?

Nee, het vervangen van Microsoft Exchange vanwege het einde van de ondersteuning betekent geen geforceerde overgang naar de cloud.
Zoals Microsoft heeft aangegeven, is Exchange Server Subscription Edition (SE) een nieuwere versie van de binnenkort niet meer ondersteunde Exchange Server 2016 en Exchange Server 2019. Net als deze oudere producten is Exchange Server SE een «on-premises» product dat geïnstalleerd kan worden in eigen datacenters van organisaties.Overheidsorganisaties behouden hiermee de keuze om hun e-mailsystemen lokaal te blijven beheren, zonder dat een migratie naar cloudoplossingen noodzakelijk is. Daarnaast bestaat de mogelijkheid om vergelijkbare diensten af te nemen bij andere aanbieders.

Vraag 6

Hoe gaat u erop toezien dat eventuele overstappen van Microsoft Exchange naar de cloud niet zonder risicoanalyses zullen plaatsvinden?

Voor eventuele overstappen van Microsoft Exchange naar cloudoplossingen is het Rijksbrede cloudbeleid 2022 en het bijbehorende Implementatiekader risicoafweging cloudgebruik van toepassing. Dit kader schrijft voor dat bij materieel public cloudgebruik binnen de Rijksdienst verplicht een aantal stappen moet worden doorlopen.
Conform artikel 4 van het Implementatiekader moet voorafgaand aan het gebruik van public clouddiensten een risicoanalyse worden uitgevoerd volgens een formeel vastgestelde risicomanagementmethodiek die voldoet aan de Baseline Informatiebeveiliging Overheid (BIO). In deze risicoanalyse moet aandacht zijn voor de context van het cloudgebruik, relevante risico's, technische en organisatorische maatregelen, en een beoordeling van deze maatregelen.
Specifiek voor Microsoft Exchange-migraties naar de cloud is belangrijk dat:
Vanuit de coördinerende rol wordt toegezien op de naleving van deze kaders. De departementen moeten jaarlijks rapporteren aan CIO Rijk over hun materieel public cloudgebruik en de risico's daarvan. CIO Rijk gebruikt deze rapportages in de jaarlijkse cyclus van CIO-gesprekken en beoordeelt deze op uitzonderlijke risico's.
Daarnaast kunnen de Auditdienst Rijk, de Algemene Rekenkamer en inspectiediensten een rol spelen in het toezicht op de naleving van deze kaders.

Vraag 7

Kunt u de beantwoording van deze vragen binnen drie weken, maar uiterlijk drie dagen vóór het debat over de migraties van overheids-ICT naar het buitenland, aan de Kamer doen toekomen?

Vraag 1

Is de gedeeltelijke migratie van de 58.000 digitale werkplekken van ambtenaren naar de public cloud strikt noodzakelijk? Waaruit blijkt dit?1

De migratie van de werkplekken van de Rijksoverheid die SSC-ICT aan het voorbereiden is, is noodzakelijk omdat meerdere componenten van de huidige werkplek op korte termijn niet meer ondersteund worden (End of Support) of zelfs het einde van hun levensduur hebben bereikt (End of Life). Het eerste geldt bijvoorbeeld voor Windows 10 (oktober 2025) en het tweede voor Ivanti (december 2026). Om continuïteit te borgen is het dus noodzakelijk deze componenten te vervangen. Daarnaast is het vanuit beveiligingsoogpunt van belang om over te stappen naar een modernere en veiligere werkplek. De migratie naar de nieuwe werkplek betreft overigens geen migratie naar de cloud. Alle documenten en mails blijven in de eigen overheid-datacenters; alleen bepaalde beheerapplicaties gaan deels naar de cloud2.

Vraag 2

Hoeveel zou de voorgenomen cloudmigratie kosten?

De migratie wordt deels bekostigd uit het al aan SSC-ICT beschikbaar gestelde ICT-budget dat bedoeld is voor doorontwikkeling van haar ICT-diensten. Daarnaast is een aanvullend budget van € 8,7 mln. voorzien voor migratie- en uitrolkosten.

Vraag 3

Deelt u de mening dat cloudmigraties van overheids-ICT naar Amerikaanse techgiganten geen vanzelfsprekendheid meer moeten zijn, gezien de onvoorspelbare geopolitieke situatie en de reële kans op een handelsoorlog met de Verenigde Staten?

Iedere cloudmigratie moet weloverwogen plaatsvinden, conform de waarborgen zoals gesteld in onder meer het Rijksbreed cloudbeleid 2022. Daarnaast is het voorkomen van risicovolle strategische afhankelijkheden een belangrijk onderdeel vanuit de Agenda DOSA.3
Een van de maatregelen die het kabinet neemt, is de herziening van het rijksbrede cloudbeleid, dat u medio 2025 ontvangt. In dit beleid wordt het gebruik van public cloud aangescherpt. Cloudtechnologie biedt onmiskenbare voordelen, zoals flexibiliteit, innovatie en gebruiksgemak, maar vereist ook zorgvuldige afwegingen om de digitale autonomie en veiligheid te waarborgen. Deze aspecten krijgen nadrukkelijker een plek in het nieuwe beleid.
Daarnaast wordt actief met Europese partners samengewerkt aan alternatieve oplossingen en een goed functionerende Europese markt. Het blijft daarom van belang om risico’s zorgvuldig af te wegen en waar nodig passende maatregelen te treffen, zoals ook bij de nieuwe werkplek van SSC-ICT is gebeurd. De uiteindelijke acceptatie van de (rest)risico’s zal voorgelegd worden (ter acceptatie) aan de afnemers van de werkplek van SSC-ICT.4

Vraag 4

Klopt het dat DICTU en de Belastingdienst ook voornemens zijn om de digitale werkplekken (gedeeltelijk) naar de public cloud verhuizen?2

In het Jaarplan 2025 Belastingdienst dat uw Kamer op 11 december 2024 heeft ontvangen, is aangegeven dat de Belastingdienst voornemens is om in 2025 alle werkplekken naar M365 te migreren. Dit gebeurt gecontroleerd en weloverwogen. De implementatie van de migratie is op dit moment nog niet gestart. De Belastingdienst volgt de recente geopolitieke ontwikkelingen en zal in lijn handelen met het herijkte Cloudbeleid en implementatieplan dat door BZK wordt opgesteld en medio 2025 zal worden opgeleverd.
DICTU maakt in zijn digitale werkplek gebruik van public clouddiensten van Microsoft, maar niet van de gehele Microsoft werkplek. De belangrijkste public cloudapplicaties die door DICTU worden ingezet zijn Teams, Onedrive en Exchange Online. Deze zijn beschikbaar voor de ca. 20.000 werknemers van de Ministeries EZ, KGG en LVVN.
Voordat bovenstaande clouddiensten in gebruik genomen zijn, zijn risicoanalyses uitgevoerd op het gebied van dataprivacy en security conform het Rijkscloudbeleid.

Vraag 5

Welke cruciale software-componenten van de huidige digitale werkplek worden vanaf eind 2026 niet meer ondersteund door de leverancier(s)? Is dit door de leverancier(s) aan u bevestigd? Om welke leverancier(s) gaat het?

De software die nu nog wordt gebruikt en die na december 2026 niet meer wordt ondersteund, betreft Ivanti Workspace Control. Dit is bevestigd door de leverancier Ivanti.
Ivanti Workspace Control is een softwareoplossing die IT-beheerders helpt bij het beheren en beveiligen van gebruikersomgevingen in Windows-omgevingen. Het zorgt ervoor dat medewerkers altijd en overal toegang hebben tot hun persoonlijke werkplek, ongeacht het apparaat of de locatie.
Ook Windows 10 dat op de meeste werkplekken in gebruik is, is aan het eind van de levenscyclus. Hier is wel nog (tegen additionele kosten) ondersteuning voor beschikbaar, maar gelet op de noodzakelijke werkzaamheden is het raadzaam om deze vernieuwingsacties te combineren.

Vraag 6

Heeft de leverancier / hebben de leveranciers van deze cruciale software-componenten bevestigd dat een oplossing, waarbij de gegevens en verwerking daarvan binnen de overheid blijven, definitief niet meer beschikbaar zal zijn?

Zie het antwoord op vraag 5. De software van Ivanti die op dit moment in gebruik is, is na 2026 niet meer te gebruiken; ook niet in een on premise variant.

Vraag 7

In de nieuwe digitale werkplek wordt volgens u «beperkt gebruik gemaakt van cloud-gebaseerde beheertoepassingen.» Om welke toepassingen van welke leverancier(s) gaat dit?

Om de nieuwe DWR2.0 werkplek te kunnen beheren en up-to-date en veilig te houden, wordt in die werkplek gebruik gemaakt van een aantal clouddiensten, waaronder Netskope, Microsoft inTune en Microsoft Defender. Deze slaan de inhoudelijke data niet op, maar zorgen ervoor dat de omgeving veilig blijft (zoals het voorkomen van malware, phishing links, etc.). Dit wordt ook wel aangeduid als «data in transit». Om dit mogelijk te maken, slaan de applicaties tijdelijk metadata en logging data op. Dat is informatie over de data, zoals de gebruikers-id, de naam van de gebruikte applicaties, het aantal up- en downloads, de datum waarop de gegevens zijn aangemaakt, het gebruikte toestel, etc. Deze gegevens staan tijdelijk in de public cloud van de leverancier (6 maanden voor MS en een zelf te configureren periode voor Netskope), t.b.v. monitoring door het Security Operations Center (SOC) van SSC-ICT. Inhoudelijke data worden hierbij niet opgeslagen.

Vraag 8

Uit welk land komt de beoogde leverancier / komen de beoogde leveranciers? Waar vindt de opslag en verwerking van gegevens plaats in deze «cloud-gebaseerde beheertoepassingen»? Welke gegevens betreft dit? En gaat overheidscommunicatie in zichtbare (onversleutelde) vorm door de servers van deze leverancier(s)?

Netskope en Microsoft zijn Amerikaanse leveranciers. Zoals aangegeven bij het antwoord op vraag 7, gaat het om data in transit. Alle data in transit is versleuteld.

Vraag 9

Is de CLOUD Act of soortgelijke wetgeving, die geforceerde toegang tot data mogelijk maakt, van toepassing op gegevens die verwerkt worden onder de «cloud-gebaseerde beheertoepassingen»?

In algemene zin geldt dat de potentiële extraterritoriale werking van Amerikaanse wetgeving ertoe kan leiden dat Amerikaanse cloudaanbieders in specifieke situaties verplicht worden om gegevens van cloudgebruikers over te dragen aan Amerikaanse inlichtingendiensten. Op verzoek van het NCSC heeft Greenberg Traurig onderzoek gedaan naar onder andere de kans dat gegevens van Europese burgers op basis van de CLOUD-act verstrekt zullen worden aan de Amerikaanse overheid. Op basis van de daaromtrent beschikbare informatie is geconcludeerd dat deze kans laag is6.
In de casus van de nieuwe werkplek van SSC-ICT wordt echter geen overheidsdata opgeslagen op de Amerikaanse cloud; documenten en mail blijven in de eigen datacenters staan. De enige data die door deze leveranciers verwerkt wordt is metadata en logging data (zie ook vraag 8).

Vraag 10

U kondigt aan «nieuwe aanpassingen zoals de gereduceerde afhankelijkheid van de publiek cloud, de ingebouwde waarborgen.» Welke afhankelijkheden blijven er over? Om welke waarborgen gaat het?

De gereduceerde afhankelijkheid zit in het feit dat al het interne verkeer, dus tussen werkplek en alles wat in de eigen datacenters draait (eigen applicaties, mail, documenten, etc.), uitsluitend over eigen infrastructuur loopt en niet door de Netskope-cloudoplossing wordt verwerkt. Daarnaast laat ik onderzoeken of hier bovenop ook onderdelen van de cloudoplossing «on premise» (in het volledig in eigen beheer zijnde OverheidsDataCenter (ODC)) kunnen worden opgesteld en beheerd, zodat ook verkeer naar externe bronnen via de eigen datacenters loopt.
Mitigerende maatregelen worden tevens besproken in het antwoord op vraag 12

Vraag 11

Kunt u toezeggen om in de aangekondigde pilot te meten hoeveel data wordt gestuurd naar / via derde partijen, en ook om te meten wanneer het niet duidelijk is om welke partijen het gaat? Kunt u duidelijk maken of het gaat om persoonsgegevens, en zo ja, om welke persoonsgegevens? Kunt u dit in ieder geval meten voor processen zoals printen, mailen en tekstverwerking, en verslag uitbrengen aan de Kamer en extern laten valideren?

Zoals hierboven aangeven, wordt alleen de metadata en logging data van de transactie gerapporteerd. Zie hiervoor het antwoord op vraag 7. Het gaat dus niet om persoonsgegevens.

Vraag 12

Hoe gaat u komen tot een betrouwbare digitale werkplek waar alle afhankelijkheden zijn weggenomen?

Als onderdeel van de implementatie van de nieuwe werkplek door SSC-ICT zijn er al diverse risicoanalyses uitgevoerd, ook op het gebied van betrouwbaarheid, beveiliging en privacy. Naar aanleiding daarvan is een groot aantal maatregelen op deze gebieden afgesproken, die voor de start van de uitrol geïmplementeerd en getoetst zullen worden. M.b.t. afhankelijkheden zal ik blijven onderzoeken hoe deze zoveel mogelijk weggenomen kunnen worden. Op periodieke basis worden de verschillende onderdelen van de werkplek heroverwogen waarbij rekening wordt gehouden met effecten op gebruikersbeleving, security, privacy, beheersbaarheid, kosten, autonomie & continuïteit. Hierbij wordt bijvoorbeeld ook gekeken naar mogelijkheden op het gebied van open source.
Het volledig wegnemen van alle afhankelijkheden bij een digitale werkplek is in de praktijk niet realistisch en ook niet altijd noodzakelijk. Verschillende componenten in de digitale wereld zijn inherent met elkaar verbonden en kennen wederzijdse afhankelijkheden. Het streven is om risico's te beheersen tot een aanvaardbaar niveau en weloverwogen keuzes te maken. In het herziene rijksbrede cloudbeleid, dat u medio 2025 ontvangt, wordt deze aanpak verder uitgewerkt. Tegelijkertijd blijft het kabinet innovatie en digitale transformatie mogelijk maken waar dat verantwoord kan.

Vraag 13

Bent u bereid om onze inlichtingen- en veiligheidsdiensten om advies te vragen over de afhankelijkheden die zullen ontstaan door de voorgenomen migratie van de digitale werkplek? Kunt u dit advies op hoofdlijnen delen met de Kamer en meewegen in uw overwegingen over de migratie?

Er is aan meerdere partijen advies gevraagd, waaronder inlichtingen- en veiligheidsdiensten. Ik ben nog in overleg hoe we op hoofdlijnen, al dan niet vertrouwelijk, de adviezen van de inlichtingen-en veiligheidsdiensten kunnen delen. Hun adviezen zijn ter harte genomen en meegewogen in het huidige ontwerp.

Vraag 14

Wordt data uit de door SSC-ICT-ontworpen werkplekken straks lokaal én in de cloud opgeslagen, of alleen nog maar lokaal? Zijn er derde partijen die, door hun positie in de gekozen oplossing, tijdelijk zicht krijgen op onze data als deze door hun toepassingen heenstroomt?

Zie antwoord op vraag 7.

Vraag 15

Wat betekent het dat data «vooralsnog» op de eigen datacenters wordt opgeslagen? Wanneer zou dit niet meer het geval zijn?

De werkplek-data blijft nu in de eigen datacenters. Naar aanleiding van het nieuwe cloudbeleid kan bij de doorontwikkeling van de werkplek hierin verandering optreden. Maar op dit moment is dat niet aan de orde.

Vraag 16

Met hoeveel zekerheid kunt u zeggen dat er geen gevoelige overheidsinformatie of persoonsgegevens worden verwerkt op de 58.000 digitale werkplekken, als u in uw brief aan de Kamer aangeeft dat hier «gewoonlijk» geen sprake van is?

Het blijft de verantwoordelijkheid van de individuele ambtenaar om conform de geldende regelgeving veilig met informatie en gegevens om te gaan. In de nieuwe werkplek is de manier van gegevens verwerken niet anders dan nu het geval is. Via gerichte communicatie en instructies kan dit verder worden ondersteund.

Vraag 17

Kunt u deze vragen afzonderlijk van elkaar en indien mogelijk nog vóór het plenaire debat over de migratie van overheids-ICT naar het buitenland beantwoorden?

Zie alle bovenstaande antwoorden op de gestelde vragen.

Vraag 1

Wat is, met in achtneming van de recente Kamerstukken, momenteel de status van de migratie van het domeinregistratiesysteem van het.nl-domein naar de public cloud van Amazon Web Services door SIDN?1

Vraag 2

In hoeverre zijn er sinds de toezegging van SIDN geen onomkeerbare stappen te zetten mogelijk toch onomkeerbare besluiten genomen en stappen gezet in het licht van de voorgenomen migratie?

Vraag 3

Deelt u de mening dat het advies van de AIVD om het gehele domeinregistratiesysteem (DNS) keten van SIDN bij een Nederlandse partij op Nederlands grondgebied te houden, op basis van recente geopolitieke ontwikkelingen, opnieuw bezien moet worden?

Vraag 4

Hoe beoordeelt u, gezien de geopolitieke ontwikkelingen, het risico dat de Verenigde Staten zich niet meer wenst te houden aan Europese regels in het kader van de EU-US Data Privacy Framework? Deelt u de mening dat de risico’s op dit moment juridisch op een acceptabel niveau zijn, maar dat gezien de geopolitieke ontwikkelingen deze risico's toch kunnen toenemen, gelet op het belang van de nationale veiligheid? Zo neen, waarom niet?

Vraag 5

Hoe beoordeelt u op dit moment het scenario om.nl-domein in zijn geheel niet te verplaatsen naar Amazon Web Services, maar om deze in handen te houden van SIDN? Wat zijn eventuele maatregelen die het kabinet moet nemen om de verplaatsing te voorkomen? Welke kosten zijn hier indicatief mee gemoeid?

Vraag 6

Hoe beoordeelt u het scenario waarbij tijdelijk de situatie zoals deze nu is gehandhaafd blijft totdat er een volledig Nederlandse oplossing voorhanden is in overeenstemming met het advies van de AIVD? Wat zijn eventuele maatregelen die het kabinet moet nemen? Welke kosten zijn hier indicatief mee gemoeid?

Zie antwoord vraag 5.

Vraag 7

Kunt u deze vragen beantwoorden uiterlijk 3 dagen vóór het plenaire debat «migratie overheids-ICT naar het buitenland»?

Vraag 1

Bent u bekend met het bericht «Onbetrouwbaar algoritme bestempelt jongeren als toekomstig crimineel» (Follow the Money, 20 januari)?1

Ja.

Vraag 2

Kunt u volledig uitleggen wat het doel en de functie is van het Preselect Recidive-algoritme? Hoe hangt dit samen met andere risicotaxatie-instrumenten?

Met het risicotaxatie-instrument Preselect Recidive wordt van jongeren die door de politie als verdachte worden verhoord een eerste inschatting gemaakt van het risico op herhaling. Deze inschatting wordt gemaakt met behulp van een wetenschappelijk gevalideerd analysemodel met informatie die bekend is bij de politie. In dit model zitten variabelen als eerdere politiecontacten, gepleegde delict(en) en leeftijd en geslacht van de jongere. De uitkomst van de Preselect Recidive wordt gebruikt bij de afweging in het zogenaamde afstemmingsoverleg «ZSM» ten aanzien van de vraag of verdere risicotaxatie voor de jongere noodzakelijk is. Er is bij de toepassing van de Preselect Recidive dus altijd sprake van een besluit door mensen, niet door een algoritme, waarbij ook andere informatie over de jongere wordt gebruikt. In het artikel van Follow the Money wordt de indruk gewekt dat de uitkomst van dit instrument bepalend is voor het vervolgtraject van een jeugdige verdachte. Dit is niet het geval. Het instrument wordt meegewogen bij de vraag of verdere risicotaxatie voor de jongere nodig is.
Voor een verdere toelichting op het doel en de functie van risicotaxatie-instrumenten in het algemeen en van de Preselect Recidive in het bijzonder, verwijs ik naar de brief van 6 maart 2025, waarin ik op verzoek van de vaste commissie voor Justitie en Veiligheid een reactie heb gegeven op het artikel van Follow the Money.In het antwoord op vraag 3 ga ik in op andere risicotaxatie-instrumenten en de samenhang met de Preselect Recidive.

Vraag 3

Welke soortgelijke instrumenten worden ook ingezet in de jeugdstrafrechtketen? Kunt u toelichten welke rol deze spelen, de relevante documentatie delen, en de systemen opnemen in het Algoritmeregister?

Diverse risicotaxatie-instrumenten uit de jeugdstrafrechtketen zijn gebundeld in het Landelijk Instrumentarium Jeugdstrafrechtketen (LIJ). Het gaat daarbij, naast de Preselect Recidive, om de volgende instrumenten:
Een uitgebreide omschrijving van de inhoud en werking van de verschillende instrumenten is te vinden in de Handleiding LIJ (zie bijlage 1).
Een van de doelstellingen van het LIJ als geheel is informatiedeling en een eenduidige werkwijze van ketenpartners. Ketenpartners bouwen waar mogelijk voort op informatie die al eerder in de keten verzameld is. Dit scheelt tijd en voorkomt dat jongeren en ouders steeds weer dezelfde vragen moeten beantwoorden.
Er zijn Rijksbrede afspraken om eind 2025 ten minste alle hoog risico AI-systemen in het Algoritmeregister te publiceren. Ik wil transparant zijn over de risicotaxatie-instrumenten uit de jeugdstrafrechtketen en deze in het Algoritmeregister publiceren. De Ritax, het meest uitgebreide instrument uit het LIJ, is in 2023 door de Raad voor de Kinderbescherming opgenomen in het Algoritmeregister. Deze publicatie wordt voor eind 2025 aangevuld met de aanvullende Module Zorg. De Politie voert de Preselect Recidive in 2025 op in het Algoritmeregister. Voor Halt-SI wordt door JenV, in samenwerking met Halt, bezien of dit een hoog risico of impactvol algoritme betreft. Indien dit het geval is worden met Halt afspraken gemaakt over opname in het Algoritmeregister in 2025.

Vraag 4

Hoe worden het Dynamisch Risico Profiel (DRP) en het Algemeen Recidive Risico (ARR) berekend? Welke rol spelen deze profielen in het jeugdrecht?

Het ARR is de uitkomst van het instrument Preselect Recidive. Het ARR geeft de geschatte kans dat een jongere opnieuw met politie en justitie in aanraking komt vanwege het plegen van een delict. Voor het vaststellen van het ARR («laag», «midden» of «hoog») wordt gebruik gemaakt van statische (onveranderbare) risicofactoren. De variabelen uit het model zijn te vinden in hoofdstuk 3 van de Handleiding LIJ, deze wordt voor de volledigheid meegezonden (zie bijlage 1).
Het ARR wordt gebruikt bij de afweging in het zogenaamde afstemmingsoverleg ZSM ten aanzien van de vraag of verdere risicotaxatie voor de jongere noodzakelijk is. Naast het gepleegde delict en het ARR wordt hierbij ook gebruik gemaakt van andere informatie over de jongere die op dat moment bij de ketenpartners bekend is. Het ARR is daarmee altijd ondersteunend aan menselijke besluitvorming. De rol van de Preselect Recidive en het ARR in de jeugdstrafrechtketen wordt toegelicht in de beantwoording van vraag 17, in de genoemde brief van 6 maart 2025 en de Handleiding LIJ (bijlage 1).
Het DRP is de uitkomst van de Ritax en wordt berekend door een optelsom van risico- en beschermende factoren van een jongere, gemeten op negen (leef)domeinen, zoals gezin, geestelijke gezondheid en agressie. Ieder domein kent diverse items, waarbij de professional vraagt naar onderwerpen zoals «Ernst/heftigheid van conflicten tussen gezinsleden», «Stemming» en «Meldingen van gewelddadig gedrag». De totaalscores per domein (domeinscore) worden berekend door de scores van de verschillende items uit de betreffende domeinen bij elkaar op te tellen. Het DRP vormt samen met het ARR een indicator om toe te leiden naar passende interventies die door de Raad voor de Kinderbescherming of de Jeugdreclassering worden geadviseerd aan OM, de rechter en/of ten behoeve van het plan van aanpak voor toezicht en begeleiding van de Jeugdreclassering.
Voor een verdere uitleg over de berekening van het DRP verwijs ik u naar de Handleiding LIJ die voor de volledigheid wordt meegezonden (bijlage 1). De rol van de Ritax en het DRP in de jeugdstrafrechtketen wordt toegelicht onder vraag 3.

Vraag 5

Klopt het dat u overwogen hebt Preselect uit werking te nemen? Waarom heeft het gebruik van het algoritme toch doorgang gevonden? Geldt dit ook voor soortgelijke instrumenten?

Ten tijde van oplevering van het meeste recente validatieonderzoek (2023), is met ketenpartners besproken of het instrument nog voldoende betrouwbaar was voor toepassing in de praktijk. Destijds is geconcludeerd dat dit het geval was. Wel werd van belang geacht dat doorontwikkeling zo snel mogelijk plaatsvindt vanwege een afname in de voorspelkracht (zie vraag 27 voor een toelichting op het doorontwikkeltraject van de Preselect Recidive). Voor deze afweging is onder meer gekeken naar de impact op de jeugdstrafrechtketen, en daarmee de jongeren, indien het instrument tijdelijk niet meer gebruikt wordt en het voldoen aan de geldende wet- en regelgeving rondom toepassing van dergelijke instrumenten. Ook de afgenomen voorspelkracht van het instrument is meegewogen. Aangezien deze nog steeds acceptabel is volgens internationale standaarden, is geoordeeld dat het instrument nog steeds van meerwaarde is voor de praktijk (zie toelichting in de alinea hieronder over het gestructureerd professioneel oordeel).
In de eerder genoemde brief van 6 maart 2025 beschrijf ik daarnaast dat de huidige versie van Preselect Recidive grotendeels voldoet aan de vijf voorwaarden zoals gesteld door de Autoriteit Persoonsgegevens (AP) en hierdoor nog op een verantwoorde wijze kan worden gebruikt tot de nieuwe versie wordt ingevoerd. In de afweging om de Preselect Recidive te blijven gebruiken wordt ook de waarde van dit instrument voor de praktijk meegenomen. Uit onderzoek blijkt namelijk dat een voorspelling op basis van een gestructureerd professioneel oordeel (een combinatie van de professionele blik en een instrument) beter is dan een voorspelling op basis van een ongestructureerde klinische blik (zie vraag 17). Zonder een instrument ontstaat er een risico op tunnelvisie, waarmee de rechtsgelijkheid in het geding komt.
Voor de overige instrumenten van het LIJ wordt ook periodiek een validatieonderzoek uitgevoerd. Indien de resultaten van deze onderzoeken hier aanleiding toe geven, of wijzigingen in wet- en regelgeving, worden de instrumenten herzien.

Vraag 6

Waaruit blijkt dat Preselect voldoet aan wetenschappelijke normen en betrouwbaar genoeg is om gebruikt te worden in besluitvorming die kwetsbare jongeren aangaat?

Wetenschappelijke normen voor risicotaxatie-instrumenten kunnen betrekking hebben op: (a) theoretische onderbouwing, (b) betrouwbaarheid en (c) de predictieve validiteit.

Vraag 7

Kunt u alle documentatie over de ontwikkeling, technische werking en toepassing van dit algoritme delen met de Kamer?

Ik verwijs naar de Handleiding LIJ in bijlage 1. Hierin staat de ontwikkeling/opbouw, werking en toepassing van het algoritme beschreven (hoofdstuk 1 en 3).
Daarnaast verwijs ik naar diverse publicaties van Van der Put (Universiteit van Amsterdam). In deze publicaties staat de (statistische) ontwikkeling van de Preselect Recidive uitgewerkt:

Vraag 8

Is er een Privacy Impact Assessment (PIA) uitgevoerd voor het gebruik van Preselect? Wat waren de resultaten van deze PIA en is daar opvolging aan gegeven? Wanneer is voor het laatst een PIA uitgevoerd op Preselect en wanneer is de eerstvolgende PIA voorzien?

In 2025 wordt een gegevensbeschermingseffectbeoordeling (GEB/DPIA) uitgevoerd, als onderdeel van het implementatieproces van de herziene Preselect Recidive. Zie ook het antwoord op vraag 27 voor een toelichting op de herziening van de Preselect Recidive. Eerder is nog geen (D)PIA uitgevoerd voor de Preselect Recidive. De risicotaxatie-instrumenten die de politie gebruikt zijn ten tijde van ingebruikname getoetst in het kader van de toen geldende wettelijke privacykaders. De Preselect Recidive dateert uit 2013. Een (D)PIA, sinds 2018 verplicht, wordt door politie uitgevoerd in geval van de ingebruikname van een nieuw of vernieuwd instrument. De politie heeft in 2023 wel een toets gedaan op de kwaliteit van bronnen die gebruikt worden voor hun risicotaxatie-instrumenten in brede zin. Hier kwamen geen onregelmatigheden uit naar voren die aanleiding gaven tot aanpassing van de Preselect Recidive.

Vraag 9

Welke instanties maken gebruik van Preselect? Kunt u per instantie uitleggen met welk doel het algoritme wordt toegepast?

Ik verwijs u naar mijn antwoord op vraag 3 en de genoemde brief van 6 maart 2025.

Vraag 10

Hoe zorgt u ervoor dat instanties die Preselect momenteel gebruiken om voorspellende lijsten met verdachte jongeren op te stellen, deze werkwijze zo snel mogelijk stopzetten?

Preselect Recidive is ontwikkeld om in te schatten of aanvullende risicotaxatie nodig is voor een jeugdige verdachte in het strafrecht. De Preselect Recidive mag uitsluitend gebruikt worden op het ZSM-overleg en niet voor andere doeleinden. Waar eerder in de praktijk is gesignaleerd dat risicotaxatie-instrumenten of scores werden hergebruikt of toegepast in niet daarvoor bedoelde processen, zijn door de politie maatregelen genomen om dit te stoppen. Met politie worden periodiek overleggen gevoerd over onder andere de juiste toepassing van de Preselect Recidive.

Vraag 11

Is er één standaard vastgesteld voor het verantwoorde gebruik van Preselect? Zo ja, kunt u deze delen? Zo niet, kunt u deze zo snel mogelijk ontwikkelen?

Ja, er is één standaard vastgesteld voor het verantwoorde gebruik van de Preselect Recidive. Ik verwijs u naar de Handleiding LIJ (bijlage 1) voor een gedetailleerde beschrijving.

Vraag 12

Op basis van welke factoren berekent Preselect een score voor jongeren? Kunt u een lijst maken van alle bronnen die het algoritme raadpleegt?

De Preselect Recidive wordt gevuld op basis van het landelijke bedrijfsprocessensysteem van de Politie (BVI). Hieruit wordt informatie gehaald zoals het totaal aantal incidenten waarbij de jongere de rol van verdachte heeft, de leeftijd van de jongere ten tijde van het eerste delict en het totaal aantal incidenten waarbij de jongere de rol van betrokkene heeft. Voor een volledig overzicht verwijs ik u naar hoofdstuk 3 van de Handleiding LIJ.

Vraag 13

Worden registraties van verdenkingen die nooit zijn bewezen of hebben geleid tot vrijspraak ook meegerekend in de risicoscore van een jongere?

Bij een sepot onterecht verdachte of vrijspraak wordt de registratie niet meer meegerekend in de risicoscore van de jongere. Tevens worden registraties die ouder zijn dan vijf jaar verwijderd (conform artikel 8, zesde lid Wet politiegegevens) en hierdoor niet meegenomen in de berekening.

Vraag 14

Hoe voorkomt u dat er ongelijke behandeling plaatsvindt bij hetzelfde misdrijf door het gebruik van het algoritme?

Met de Preselect Recidive wordt op basis van een wetenschappelijk getoetst en genormeerd model een inschatting gemaakt of verdere risicotaxatie noodzakelijk is bij de jeugdige verdachte. Deze inschatting wordt gemaakt op basis van diverse factoren uit het politieregistratiesysteem (zie hoofdstuk 3 van de Handleiding LIJ voor de lijst met variabelen). Bij jongeren die eenzelfde delict plegen, maar op andere variabelen die voorspellend zijn voor recidive anders scoren (bijvoorbeeld het aantal eerdere registraties van de betreffende jongere in de rol van verdachte), volgt mogelijk een andere uitkomst van de Preselect Recidive. Hierbij is er geen sprake van een ongelijke behandeling ten nadele van de jongere, maar van een afweging over de meest passende interventie om het risico op recidive te beperken. De afweging over het vervolg en het advies van de Preselect Recidive hierbij is maatwerk, de uitkomst van het instrument is ondersteunend aan menselijke beoordeling. Bovendien versterkt juist de combinatie van de professionele blik en een objectief gestructureerd instrument een uniforme werkwijze en daarmee gelijkere bejegening. De toepassing van een instrument verkleint de kans dat het eigen interpretatiekader van professionals een (grote) rol speelt in het besluit over het vervolgtraject van de jeugdige verdachte.

Vraag 15

Vindt u het terecht dat variabelen als «omstander» of «huisgenoot» als risicofactor kunnen worden beschouwd in het Preselect-algoritme? Zo ja, kunt u aangeven hoe u dat relateert aan het concept «afgeleide schuld»?

Als een ARR-score wordt opgesteld, dan is de jongere inmiddels zelf in de rol van verdachte bekend bij politie. De Preselect Recidive wordt dus alleen afgenomen als een jeugdige zelf verdacht wordt van een strafbaar feit. Daarnaast weten we uit de wetenschappelijke literatuur dat blootstelling aan crimineel gedrag dan wel (ervaren) druk om mee te participeren risicofactoren zijn voor recidive. Dat blijkt ook uit onderzoeken uitgevoerd op politiegegevens. In het huidige model zijn deze variabelen (aantal registraties rol betrokken («omstander») en aantal registraties medebewoners rol verdachte («huisgenoot»)) opgenomen.
Voor de instrumenten van het LIJ wordt daarbij altijd kritisch gekeken naar de samenstelling van de instrumenten. Indien blijkt dat variabelen uit het model achterwege gelaten kunnen of moeten worden dan gebeurt dit ook. Voor alle variabelen uit het model wordt dit heroverwogen in de doorontwikkeling van de Preselect Recidive. Daarbij wordt ook afgewogen of er belangrijke informatie wordt gemist voor een passende behandeling.8
Het concept afgeleide schuld9 speelt hier geen rol: de Preselect Recidive geeft een advies over de noodzaak van aanvullende risicotaxatie en niet over schuldbepaling dan wel de benodigde strafmaat. Bovendien spelen variabelen als «omstander» of «huisgenoot» pas een rol als de jongere zelf wordt verdacht van een strafbaar feit en de Preselect Recidive wordt toegepast.

Vraag 16

Op welke data is Preselect getraind? Is deze data zuiver en voldoende representatief? Is er gecontroleerd voor (onbewuste en/of systematische) vooroordelen in de trainingsdata?

De Preselect Recidive maakt gebruik van statische (onveranderbare) risicofactoren. Bij het bepalen van deze factoren is gebruik gemaakt van twee (willekeurige) steekproeven in de data, waarbij de ene steekproef is gebruikt om Preselect Recidive op te ontwikkelen en de andere steekproef om deze te valideren.10 Deze data zijn afkomstig uit het landelijke bedrijfsprocessensysteem van de politie (BVI).
De kwaliteit van een dataset is altijd afhankelijk van de kwaliteit van ingevoerde data. Dat is voor de Preselect Recidive niet anders dan voor andere instrumenten. Pakkans en prevalentie van de doelgroep spelen ook een rol bij de representativiteit van de data. Daarom worden instrumenten van het LIJ periodiek geëvalueerd en ook tussentijds wordt continue afgewogen of er voldoende gerechtvaardigd belang en empirische onderbouwing is van het model.

Vraag 17

Deelt u de zorgen dat een algoritme in grote mate sturend kan zijn voor de betrokken (politie)medewerker die een casus beoordeelt? Hoe wordt waardevolle menselijke tussenkomst gegarandeerd?

Ik begrijp de zorg want het instrument geeft inderdaad mede richting aan het besluit, maar met betekenisvolle menselijke tussenkomst en het gebruik van diverse informatiebronnen ondervangen we dat er automatische en eenzijdige besluitvorming plaatsvindt. Dat gebeurt als volgt.
Betekenisvolle menselijke tussenkomst is een essentieel onderdeel in de opvolging van de Preselect Recidive. De inschatting van laag, midden of hoog risico (het ARR) is een van de informatiebronnen waar de het afstemmingsoverleg ZSM gebruik van maakt. In dit overleg wordt met de diverse betrokken professionals door het Openbaar Ministerie op basis van deze verschillende informatiebronnen besloten welk vervolg de jeugdige verdachte krijgt. Uit onderzoek blijkt dat een voorspelling op basis van een gestructureerd professioneel oordeel (een combinatie van de professionele blik en een instrument) beter is dan een voorspelling op basis van een ongestructureerde klinische blik.11 Daarmee is de combinatie die op het ZSM-overleg wordt gehanteerd, namelijk een professioneel oordeel aangevuld met de analyse door een instrument, een meer betrouwbare manier waarop een besluit genomen kan worden dan uitsluitend op basis van het oordeel van de professional.

Vraag 18

Met welke regelmaat wordt de werking en het gebruik van Preselect onafhankelijk doorgelicht? Kunt u alle bij u bekende onderzoeken naar dit algoritme delen met de Kamer?

De doelstelling van het LIJ is om instrumenten eens in de vijf jaar te valideren. Deze termijn biedt de mogelijkheid om tot voldoende respondenten (jongeren) te komen waarbij het instrument is afgenomen, om vervolgens valide uitspraken te kunnen doen. Ook wordt hiermee aangesloten bij de termijn van drie tot vijf jaar voor recidivemetingen, zoals gehanteerd door het WODC en/of het CBS. Daarnaast worden alle instrumenten of aanpassingen daaraan steeds voorgelegd aan een onafhankelijke toetsingscommissie. Voor de Preselect Recidive heeft dit langer geduurd, vanwege vertraging in het leveren van de benodigde data. Zie onder vraag 7 welke documenten ik hierover met u deel.

Vraag 19

Wat is het percentage valspositieven dat Preselect oplevert? Hoe vaak komt het voor dat een jongere ten onrechte een te hoge of lage score wordt toebedeeld?

Het bepalen van valspositieven of -negatieven is complex, omdat:
De score wordt altijd bezien in het geheel van andere beschikbare informatie en heeft geen één-op-één-relatie met de gekozen interventie. Aan de Preselect Recidive score is geen direct gevolg gekoppeld; zie ook het antwoord op vraag 17.

Vraag 20

Waarom staat het algoritme niet opgenomen in het Algoritmeregister? Kunt u alsnog het algoritme zo snel als mogelijk volledig transparant in het Algoritmeregister opnemen?

In 2025 registreert de politie het algoritme van de Preselect Recidive in het Algoritmeregister.

Vraag 21

Gaat u ouders, jongeren en jeugdrechtadvocaten voortaan altijd informeren als en hoe Preselect is toegepast in de besluitvorming? Op welke termijn en op welke manier gaat u dit doen?

Ja, dat zal ik in 2025 doorvoeren voor alle jongeren bij wie de Preselect Recidive wordt afgenomen. Nu gebeurt dat al bij een deel van de jongeren, namelijk bij de jongeren voor wie de Raad voor de Kinderbescherming een onderzoek doet. Ik wil voor deze ontwikkeling aanhaken bij al bestaande voorzieningen om jongeren, ouder(s)/verzorger(s) en andere betrokken zo laagdrempelig mogelijk te informeren.

Vraag 22

Bent u bereid om een inschatting te (laten) maken of jongeren onrechtmatig of incorrect zijn geprofileerd door het gebruik van Preselect? Kunt u de eventuele gevolgen die dit heeft gehad ook inschatten?

Door voor de instrumenten uit het LIJ periodiek te toetsen of aanpassing nodig is, breng ik in kaart of de instrumenten werken zoals beoogd en voldoen aan wet- en regelgeving. In het IAMA dat uitgevoerd wordt voor de herziene Preselect Recidive is bovendien specifiek aandacht voor het naleven van de grondrechten en daarmee onder andere het risico op profilering bij de inzet van algoritmes. Waar nodig stuur ik bij. Het is echter inherent aan risicotaxatie-instrumenten dat deze geen perfecte schatting geven. De Preselect Recidive wordt daarom nooit gebruikt als automatische doorverwijzing, maar er is altijd sprake van betekenisvolle menselijke tussenkomst. Bovendien kan er op verschillende momenten in de jeugdstrafrechtketen bijgestuurd worden indien het ingezette traject toch te zwaar of te licht blijkt.12 Hiermee wordt ook voorzien in bijsturing op casusniveau. Een inschatting geven is daarnaast complex, omdat de Preselect Recidive in de besluitvorming niet de enige factor is die wordt meegewogen.

Vraag 23

Gaat u jongeren, ouders en jeugdrechtadvocaten in staat stellen om bezwaar te maken als zij vermoeden dat het algoritme heeft geleid tot een verkeerde uitkomst?

Zoals ook is toegelicht in het antwoord op vraag 17, liggen verschillende informatiebronnen ten grondslag aan de beslissing welk vervolg een jeugdige verdachte krijgt. Er is dus geen besluitvorming op basis van enkel de uitkomst van de Preselect Recidive. Ik zie daarom geen aanleiding om het bezwaar maken tegen een beslissing vanwege de uitkomst van de Preselect Recidive mogelijk te maken.

Vraag 24

Deelt u de conclusie van de vier wetenschappers van de Radboud Universiteit dat «de voorspellende waarde van Preselect beperkt [is] en voor jongeren riskante gevolgen [kan] hebben»?

De voorspellende waarde van Preselect is vergelijkbaar met instrumenten die wereldwijd worden toegepast om recidive te voorspellen; zie ook het antwoord op vraag 6. Omdat de voorspellende waarde nooit perfect is, is de uitkomst van het instrument nooit leidend. Preselect Recidive wordt gebruikt om te adviseren of aanvullende risicotaxatie nodig is. Daarmee deel ik de conclusie niet dat dit riskante gevolgen kan hebben voor een jeugdige verdachte, maar juist helpt te komen tot een goed passende interventie.

Vraag 25

Kunt u het onderzoek van de Universiteit van Amsterdam uit 2023, waaruit naar eigen zeggen blijkt dat de voorspellende waarde van Preselect laag is, delen met de Kamer?

Ja, zie mijn antwoord op vraag 7 voor de gevraagde publicatie.

Vraag 26

Hoe is er opvolging gegeven om de tekortkomingen die de Algemene Rekenkamer in 2022 constateerde bij de inzet van algoritmes in het jeugdrecht? Zijn alle aanbevelingen geïmplementeerd?2 3

Voor het antwoord op de vraag verwijs ik u naar het «Verantwoordingsonderzoek 2023 Ministerie van Justitie en Veiligheid» van de Algemene Rekenkamer.15 Hieruit is gebleken dat de aanbevelingen naar tevredenheid van de Algemene Rekenkamer zijn opgevolgd en dat het aandachtspunt16 dat de Algemene Rekenkamer meegaf, is komen te vervallen. De aanbevelingen en vereisten die hieruit naar voren kwamen, worden nu standaard meegenomen in de ontwikkeling rondom alle instrumenten van het LIJ waaronder de Preselect Recidive.

Vraag 27

Op welke manier wordt Preselect nu doorontwikkeld? Kunt u de Kamer blijvend informeren over het gebruik en de doorontwikkeling van het algoritme?

Voor de Preselect Recidive is het meest recente valideringsonderzoek in 2023 uitgevoerd. Met dit onderzoek is getoetst of het instrument nog werkt zoals beoogd. Hieruit bleek dat een aanpassing van het model zoals ontwikkeld in 2013 noodzakelijk was, vooral op de volgende punten:
Vervolgens heeft de Universiteit van Amsterdam in opdracht van mijn ministerie in 2024 een vervolgonderzoek uitgevoerd naar de benodigde aanpassingen. Dit onderzoek dient als uitgangspunt voor de verbeteringen die in 2025 worden doorgevoerd, zoals hierboven genoemd. Daartoe behoort het aanscherpen van de bestaande kwaliteitscyclus, zoals de standaard periodieke evaluaties, het uitvoeren van een Data protection impact assessment (DPIA) en een Impact Assessment Mensenrechten en Algoritmes (IAMA), het herinrichten van taken en verantwoordelijkheden en het verbeteren van de informatievoorziening aan jongeren, ouder(s)/verzorger(s). Over de voortgang van de doorontwikkeling zal ik de Kamer in de tweede helft van 2025 informeren.

Vraag 28

Kunt u deze vragen afzonderlijk van elkaar en zo spoedig mogelijk beantwoorden?

Met bovenstaande beantwoording verwacht ik aan uw verzoek te hebben voldaan.

Vraag 1

Bent u bekend met het bericht van de Consumentenbond «Tieneraccounts maken Instagram niet direct «veilig»»1?

Vraag 2

Deelt u de conclusies van het onderzoek? Kunt u afzonderlijk in gaan op de conclusies van de Consumentenbond?

Vraag 3

Wat is uw reactie op de problemen die de Consumentenbond schetst rondom schermverslaving, een negatief zelfbeeld, en continue privacyschending door Instagram?

Vraag 4

Zijn de conclusies van het Consumentenbond-onderzoek voor u aanleiding om Meta aan te spreken op haar verantwoordelijkheid om jongeren daadwerkelijk te beschermen? Indien Meta «tieneraccounts» niet daadwerkelijk veilig maakt, welke gevolgen moet dat wat u betreft hebben?

Vraag 5

Deelt u de mening van de indiener dat de online gezondheid van jongeren niet aan techgiganten moet worden overgelaten, maar een verantwoordelijkheid is van deskundigen en de overheid?

Vraag 6

Welke verslavende ontwerpkeuzes kent Instagram? Kunt u deze op basis van onderzoek benoemen?

Vraag 7

Vindt u dat een Digitale Kijkwijzer voor sociale media, die de vertrouwde methodiek volgt van het Nederlands Instituut voor de Classificatie van Audiovisuele Media (NICAM), een effectieve methode zou zijn om verslavende ontwerpkeuzes te onderzoeken en gebruikers te behoeden voor de gezondheidsrisico’s daarvan?

Vraag 8

Deelt u de mening dat het adverteren van een «tieneraccount» dat niet daadwerkelijk doet wat het belooft een vorm van schijnveiligheid biedt, en daarmee jongeren en ouders verkeerd informeert?

Vraag 9

Erkent u dat het commerciële belang van techbedrijven om zo lang mogelijk de aandacht van een gebruiker te trekken, fundamenteel in strijd is met de belangen van (mentale) gezondheid en online veiligheid?

Vraag 10

Vindt u het uitlegbaar dat techbedrijven überhaupt zelf de voorwaarden voor een tieneraccount mogen stellen, nu blijkt dat het niet doet wat het belooft en de belangen in de kern tegenstrijdig zijn?

Vraag 11

Is de voorwaarde dat ouders zelf ook een Instagram-account moeten hebben om een tieneraccount in te stellen redelijk volgens u? Wat betekent dit voor ouders zonder Instagram-account?

Vraag 12

Hoe bent u van plan om nationaal de schermtijd te verlagen? Welke maatregelen nemen andere EU-landen om hier op te sturen? Zijn deze maatregelen effectief?

Vraag 13

Hoe gaat u de motie-Kathmann [Kamerstuk 26 643-1302], die vraagt om een Europees totaalverbod op polariserende en verslavende ontwerpkeuzes, uitvoeren?

Vraag 14

Welke EU-lidstaten delen de opvatting van de Tweede Kamer dat er een Europees totaalverbod op polariserende en verslavende ontwerpkeuzes moet komen? Hoe trekt u samen met hen op?

Vraag 15

Steunt u de komst van een ambitieuze en sterke Digital Fairness Act (DFA) zoals voorgesteld door de Europese Commissie?2 Zou deze volgens u een verbod op verslavende ontwerpkeuzes moeten bevatten?

Vraag 16

Hoe reageert u op de uitspraken van de regering-Trump dat de Digital Services Act (DSA) niet verenigbaar is met Amerikaanse waarden?3

Vraag 17

Zal u in Europees verband blijvend en ondubbelzinnig aandringen op maximale naleving, handhaving en waar nodig versteviging van digitale wetgeving, ongeacht politieke druk vanuit de Verenigde Staten?

Vraag 18

Indien de regering-Trump wél aandringt op het afzwakken van Europese regelgeving, welke conclusie verbindt u daar in het uiterste geval aan? Bent u bereid om sociale media apps die willens en wetens EU-wetten niet naleven in het uiterste geval geheel te verbieden?

Vraag 19

Bent u van mening dat het verhogen van de minimumleeftijd voor sociale media, nationaal of Europees, ook een vorm van schijnveiligheid biedt? Deelt u de mening van de indiener dat de oplossing ligt in een combinatie van niet-bindend wetenschappelijk advies en keiharde Europese regulering van sociale media apps?

Vraag 20

Hoe gaat u komen tot nationale adviesleeftijden voor verschillende sociale media apps? Welke expertise betrekt u bij het maken van deze adviezen?

Vraag 21

Wat is de rol van het Rijksinstituut voor Volksgezondheid en Milieu (RIVM) in het maken van gezaghebbend gezondheidsadvies over schermtijd bij verschillende leeftijden en verschillende soorten schermtijd? Bent u bereid om het RIVM nauw te betrekken bij het maken van de nationale adviezen?

Vraag 22

Hoe gaat u de gezaghebbende adviezen van Nederlandse experts inzetten om tot een uniforme Europese informatievoorziening over de gezondheidseffecten van sociale media apps te komen?

Vraag 23

Kunt u deze vragen afzonderlijk beantwoorden?

Vraag 1

Bent u bekend met het bericht «Persoonsgegevens honderden militairen zichtbaar via sportapp Strava»?1

Vraag 2

Hoe lang bent u al op de hoogte dat apps zoals Strava de veiligheid van Nederlandse militairen in gevaar brengen?

Vraag 3

Met hoeveel zekerheid kunt u zeggen dat er al sprake is van het combineren van openbare of gelekte informatie over militairen door kwaadwillenden? Op welke schaal vindt dit plaats?

Vraag 4

Deelt u de mening dat privacybescherming van militairen in direct verband staat met hun persoonlijke veiligheid en de nationale veiligheid?

Vraag 5

Deelt u de mening dat, vanuit het veiligheidsperspectief voor Nederlandse militairen, maximale privacybescherming op online platforms noodzakelijk is?

Vraag 6

Op welke manier doet u aan advisering en voorlichting voor militairen over online veiligheid? Welke regels gelden er voor zowel werk- als privé telefoongebruik? Verschilt dit tussen militairen in Nederland en uitgezonden militairen?

Vraag 7

Bent u bereid tot meer dwingende maatregelen, zoals het verbieden van sportapps en andere apps die de privacy van militairen schaden op militair terrein? Zo nee, waarom niet?

Vraag 8

Welke acties heeft u ondernomen om de online veiligheid van militairen beter te beschermen, ook na eerdere berichtgeving en Kamervragen over de privacygevolgen van datingapps en sportapps?2 3

Vraag 9

Hebben de acties die u heeft genomen om de online veiligheid van militairen beter te beschermen effect gehad? Kunt u dit onderbouwen?

Vraag 10

Bent u bekend met het onderzoek van de KU Leuven uit 2022, waaruit blijkt dat eerdere oplossingen van Strava vooral tot schijnveiligheid leiden?4

Vraag 11

Welke technische mogelijkheden ziet u om de veiligheid van militairen beter te beschermen bij het gebruik van sportapps, datingapps of andere apps die hun data verzamelen?

Vraag 12

Is het mogelijk om te achterhalen, al dan niet in overleg met Strava, of de openbare profielen van militairen mogelijk door kwaadwillenden zijn bekeken?

Vraag 13

In hoeverre zijn militairen die een gesloten account hebben echt veilig? Welke derde partijen hebben toegang tot de informatie die Strava verzamelt, ook als een account gesloten is? Waaruit blijkt dit?

Vraag 14

Ziet u gezien de onvoorspelbare geopolitieke situatie aanleiding om het beleid rondom het gebruik van Amerikaanse apps door militairen te heroverwegen en aan te scherpen?

Vraag 15

Kunt u deze vragen afzonderlijk en uiterlijk drie dagen vóór het commissiedebat «Hybride dreigingen en maatschappelijke weerbaarheid» beantwoorden?

Vraag 1

Wat is de impact van het (tijdelijk) stoppen vanuit de Verenigde Staten met financiering op Curaçao, Aruba en Sint Maarten (de CAS-eilanden) in het algemeen en specifiek op maatschappelijke organisaties? Hoe raakt dit de sectoren zorg en educatie? Hoe raakt dit rechtsbijstand en juridische voorlichting aan ongedocumenteerden, migranten en mensen die bescherming zoeken? Mocht u hierover nog geen concrete informatie hebben, bent u dan bereid hier op korte termijn onderzoek naar te doen? Zo nee, waarom niet?

Vraag 2

Kunt u aangeven welke concrete gevolgen er zijn als de financiering blijvend wordt stopgezet?

Vraag 3

Zijn er ook concrete gevolgen merkbaar voor Bonaire, Sint Eustatius en Saba (de BES-eilanden) (met name Bonaire) nu belangrijke projecten op Aruba en Curaçao (tijdelijk) geen financiering ontvangen?

Vraag 4

Ziet u het belang van projecten die werden uitgevoerd met deze financiering in het algemeen en specifiek door het maatschappelijk middenveld? Zo nee, waarom niet?

Vraag 5

Hoe ziet u deze situatie ontwikkelen na de stop van drie maanden die nu is aangegeven vanuit de Verenigde Staten?

Vraag 6

Bent u met de CAS-eilanden in gesprek over de gevolgen van de stop van de financiering door USAID? Zo nee, bent u van plan dit alsnog op korte termijn te doen?

Vraag 7

Erkent u dat het wegvallen van deze projecten de verantwoordelijkheid van het Koninkrijk raakt, gezien de bijzondere staatkundige relatie met de CAS-eilanden? Zo nee, waarom niet?

Vraag 8

Welke rol kan het land Nederland spelen in het opvangen van het wegvallen van deze projecten?

Vraag 9

Is Nederland bereid om mee te denken over alternatieve financieringsbronnen voor deze projecten, zoals internationale humanitaire fondsen of Europese subsidies en hier een faciliterende rol op zich te nemen?

Vraag 10

Kan Nederland proactief financiële ondersteuning aanbieden in deze uitzonderlijke situatie met inachtneming van de specifieke relatie tussen het Koninkrijk en de CAS-eilanden? Zo nee, waarom niet?

Vraag 11

Erkennen Nederland en de CAS-eilanden het cruciale werk van lokale en internationale organisaties die personen die bescherming zoeken op de eilanden ondersteunen? Zo nee, waarom niet?

Vraag 12

Gegeven de huidige situatie in Venezuela, beschouwt Nederland Venezolaanse personen op de CAS-eilanden als een groep waarvan een deel specifieke bescherming nodig heeft? Zo nee, waarom niet?

Vraag 13

Voelt Nederland zich, als grootste land binnen het Koninkrijk, verantwoordelijk vanwege de impact die dit besluit heeft op de mensenrechten van personen op de CAS-eilanden in het algemeen en ongedocumenteerden, migranten en mensen die bescherming zoeken specifiek? Zo nee, waarom niet?

Vraag 14

Kunt u deze vragen afzonderlijk van elkaar beantwoorden?

Vraag 1

Bent u bekend met het rapport «GenAI: naar een productievere en toekomstbestendige publieke sector», waarin wordt geconcludeerd dat tot wel 20 miljard euro belastinggeld bespaard kan worden door de inzet van generatieve AI?1

Vraag 2

Bent u ermee bekend dat in de publieke sector sprake is van een productiviteitsdaling, terwijl er tegelijkertijd 425.0000 vacatures openstaan? Deelt u de mening dat een uitdijende overheid met steeds meer ambtenaren geen houdbare oplossing is voor het verbeteren van dienstverlening?

Vraag 3

Ziet u dat het gebruik van generatieve AI kansen biedt voor betere dienstverlening, meer werkplezier en een oplossing kan zijn van het personeelstekort? Hoe beoordeelt u de conclusie van de onderzoekers dat inzet van Generatieve AI 255.000 tot 465.000 voltijdbanen kan opleveren? Hoeveel belastinggeld kan bespaard worden door de inzet van AI?

Vraag 4

Op welke manieren experimenteert de overheid met het gebruik van generatieve AI? Op welke manier wordt al op schaal productiviteitsgroei gerealiseerd door generatieve AI?

Vraag 5

Welke lessen trekt u uit het gebruik van generatieve AI door overheden in andere landen? Kunt u aangeven welke lessen Nederland trekt uit de in het rapport genoemde voorbeelden zoals «Albert», het Franse AI-systeem waarmee taken geautomatiseerd worden en ambtenaren minder tijd kwijt met het vinden van informatie?

Vraag 6

Welke lessen trekt u uit het gebruik van generatieve AI in de private sector? Deelt u de mening dat het reëel is dat de productiviteitsgroei in de private sector in komende jaren veel hoger ligt door adaptatie van generatieve AI? Hoe zorgt u ervoor dat de publieke sector niet achterblijft?

Vraag 7

Deelt u de conclusie dat de risico’s van het gebruik van generatieve AI beperkt kunnen worden door te zorgen dat er altijd mensen meekijken?

Vraag 8

Bent u bereid aan de slag te gaan met vijf mogelijke pioniergebieden die als kansrijk worden aangewezen voor de inzet van AI? Kunt u per pionier aangeven waarom wel of niet?

Vraag 9

Op welke manier werkt zowel Europese als Nederlandse regelgeving nu de inzet van generatieve AI tegen? Bent u bereid onnodige drempels weg te halen?

Vraag 10

Vindt u dat de geschetste randvoorwaarden voor de inzet van AI in Nederland nu in orde zijn? Zo nee, welke stappen zet u om hiervoor te zorgen?

Vraag 11

Welke langetermijndoelen stelt de overheid voor het gebruik van AI?

Vraag 12

Op welke manier worden ambtenaren nu gestimuleerd om effectiever te werken door inzet van AI? Hoe wordt dit gestimuleerd op de dagelijkse werkvloer? Vindt u dat extra stappen hier nodig zijn?

Vraag 1

Kunt u uitleggen wat het doel was van uw werkbezoek van 3 tot en met 5 maart 2025 aan Microsoft en Amazon in Seattle?1

Vraag 2

Kunt u het volledige programma van uw werkbezoek delen, met een overzicht van wie u heeft gesproken en wat het onderwerp van deze gesprekken was?

Vraag 3

Heeft u op dit werkbezoek concrete toezeggingen gedaan of afspraken gemaakt? Wat was uw boodschap richting de bedrijven?

Vraag 4

Is de inhoud van het werkbezoek en uw inbreng bij de activiteiten afgestemd met het Ministerie van Binnenlandse Zaken en het Ministerie van Economische Zaken?

Vraag 5

Deelt u de mening dat, in deze geopolitieke context, Nederland de afhankelijkheid van niet-Europese techbedrijven juist zou moeten verminderen?

Vraag 6

Acht u de totale afhankelijkheid van clouddiensten van niet-Europese techbedrijven een mogelijk risico voor de Nederlandse en Europese autonomie en veiligheid?

Vraag 7

Heeft het Ministerie van Defensie een strategie voor het terugdringen van strategische afhankelijkheden van niet-Europese techbedrijven? Zo ja, hoe gaat u deze afhankelijkheden verminderen? Zo nee, waarom niet en bent u bereid deze strategie alsnog te ontwikkelen?

Vraag 8

Welke strategische investeringen doet het Ministerie van Defensie op het gebied van autonomie in het digitale domein? Acht u het in het belang van de Nederlandse veiligheid om de capaciteit van de Nederlandse en Europese techsector te benutten en versterken door te investeren in hun diensten en deze af te nemen?

Vraag 9

Welke acties onderneemt u om Nederlandse en Europese techbedrijven structureel meer te betrekken bij Defensie-aanbestedingen en strategische IT-infrastructuur?

Vraag 10

Heeft u een plan om bestaande samenwerkingen met Nederlandse en Europese techbedrijven binnen Defensie op te schalen? Welke acties onderneemt u om dit te bereiken?

Vraag 11

Hoe stimuleert u Nederlandse en Europese partijen om mee te dingen naar aanbestedingen op het gebied van defensie en veiligheid? Welke drempels ervaren deze bedrijven momenteel en hoe gaat u die wegnemen?

Vraag 12

Heeft u, naast de samenwerking met niet-Europese techbedrijven, ook onderzocht welke Europese cloud- en technologiealternatieven beschikbaar zijn voor Defensie? Zo ja, welke Europese partijen heeft u hiervoor in beeld? Zo nee, waarom niet?

Vraag 13

Bent u bereid (alsnog) gesprekken te initiëren met Europese alternatieven zoals OVHcloud, Nextcloud, of het GAIA-X-initiatief?

Vraag 14

Wat bedoelt u precies met uw openbare uitspraak: «Met een slimme mix van eigen en commerciële cloudoplossingen vergroten we onze digitale slagkracht»?2

Vraag 15

Hoe worden de diensten van Microsoft en Amazon momenteel gebruikt in de Defensie-architectuur? Welke Defensie-onderdelen zijn afhankelijkheid van deze diensten?

Vraag 16

Welke gegevens worden door Defensie bewaard, verwerkt, of gedeeld via de clouddiensten van Microsoft en Amazon? Heeft de Verenigde Staten, onder de CLOUD Act, toegang tot deze (gevoelige) gegevens?

Vraag 17

Kunt u deze vragen afzonderlijk van elkaar beantwoorden?

Vraag 1

Is de gedeeltelijke migratie van de 58.000 digitale werkplekken van ambtenaren naar de public cloud strikt noodzakelijk? Waaruit blijkt dit?1

De migratie van de werkplekken van de Rijksoverheid die SSC-ICT aan het voorbereiden is, is noodzakelijk omdat meerdere componenten van de huidige werkplek op korte termijn niet meer ondersteund worden (End of Support) of zelfs het einde van hun levensduur hebben bereikt (End of Life). Het eerste geldt bijvoorbeeld voor Windows 10 (oktober 2025) en het tweede voor Ivanti (december 2026). Om continuïteit te borgen is het dus noodzakelijk deze componenten te vervangen. Daarnaast is het vanuit beveiligingsoogpunt van belang om over te stappen naar een modernere en veiligere werkplek. De migratie naar de nieuwe werkplek betreft overigens geen migratie naar de cloud. Alle documenten en mails blijven in de eigen overheid-datacenters; alleen bepaalde beheerapplicaties gaan deels naar de cloud2.

Vraag 2

Hoeveel zou de voorgenomen cloudmigratie kosten?

De migratie wordt deels bekostigd uit het al aan SSC-ICT beschikbaar gestelde ICT-budget dat bedoeld is voor doorontwikkeling van haar ICT-diensten. Daarnaast is een aanvullend budget van € 8,7 mln. voorzien voor migratie- en uitrolkosten.

Vraag 3

Deelt u de mening dat cloudmigraties van overheids-ICT naar Amerikaanse techgiganten geen vanzelfsprekendheid meer moeten zijn, gezien de onvoorspelbare geopolitieke situatie en de reële kans op een handelsoorlog met de Verenigde Staten?

Iedere cloudmigratie moet weloverwogen plaatsvinden, conform de waarborgen zoals gesteld in onder meer het Rijksbreed cloudbeleid 2022. Daarnaast is het voorkomen van risicovolle strategische afhankelijkheden een belangrijk onderdeel vanuit de Agenda DOSA.3
Een van de maatregelen die het kabinet neemt, is de herziening van het rijksbrede cloudbeleid, dat u medio 2025 ontvangt. In dit beleid wordt het gebruik van public cloud aangescherpt. Cloudtechnologie biedt onmiskenbare voordelen, zoals flexibiliteit, innovatie en gebruiksgemak, maar vereist ook zorgvuldige afwegingen om de digitale autonomie en veiligheid te waarborgen. Deze aspecten krijgen nadrukkelijker een plek in het nieuwe beleid.
Daarnaast wordt actief met Europese partners samengewerkt aan alternatieve oplossingen en een goed functionerende Europese markt. Het blijft daarom van belang om risico’s zorgvuldig af te wegen en waar nodig passende maatregelen te treffen, zoals ook bij de nieuwe werkplek van SSC-ICT is gebeurd. De uiteindelijke acceptatie van de (rest)risico’s zal voorgelegd worden (ter acceptatie) aan de afnemers van de werkplek van SSC-ICT.4

Vraag 4

Klopt het dat DICTU en de Belastingdienst ook voornemens zijn om de digitale werkplekken (gedeeltelijk) naar de public cloud verhuizen?2

In het Jaarplan 2025 Belastingdienst dat uw Kamer op 11 december 2024 heeft ontvangen, is aangegeven dat de Belastingdienst voornemens is om in 2025 alle werkplekken naar M365 te migreren. Dit gebeurt gecontroleerd en weloverwogen. De implementatie van de migratie is op dit moment nog niet gestart. De Belastingdienst volgt de recente geopolitieke ontwikkelingen en zal in lijn handelen met het herijkte Cloudbeleid en implementatieplan dat door BZK wordt opgesteld en medio 2025 zal worden opgeleverd.
DICTU maakt in zijn digitale werkplek gebruik van public clouddiensten van Microsoft, maar niet van de gehele Microsoft werkplek. De belangrijkste public cloudapplicaties die door DICTU worden ingezet zijn Teams, Onedrive en Exchange Online. Deze zijn beschikbaar voor de ca. 20.000 werknemers van de Ministeries EZ, KGG en LVVN.
Voordat bovenstaande clouddiensten in gebruik genomen zijn, zijn risicoanalyses uitgevoerd op het gebied van dataprivacy en security conform het Rijkscloudbeleid.

Vraag 5

Welke cruciale software-componenten van de huidige digitale werkplek worden vanaf eind 2026 niet meer ondersteund door de leverancier(s)? Is dit door de leverancier(s) aan u bevestigd? Om welke leverancier(s) gaat het?

De software die nu nog wordt gebruikt en die na december 2026 niet meer wordt ondersteund, betreft Ivanti Workspace Control. Dit is bevestigd door de leverancier Ivanti.
Ivanti Workspace Control is een softwareoplossing die IT-beheerders helpt bij het beheren en beveiligen van gebruikersomgevingen in Windows-omgevingen. Het zorgt ervoor dat medewerkers altijd en overal toegang hebben tot hun persoonlijke werkplek, ongeacht het apparaat of de locatie.
Ook Windows 10 dat op de meeste werkplekken in gebruik is, is aan het eind van de levenscyclus. Hier is wel nog (tegen additionele kosten) ondersteuning voor beschikbaar, maar gelet op de noodzakelijke werkzaamheden is het raadzaam om deze vernieuwingsacties te combineren.

Vraag 6

Heeft de leverancier / hebben de leveranciers van deze cruciale software-componenten bevestigd dat een oplossing, waarbij de gegevens en verwerking daarvan binnen de overheid blijven, definitief niet meer beschikbaar zal zijn?

Zie het antwoord op vraag 5. De software van Ivanti die op dit moment in gebruik is, is na 2026 niet meer te gebruiken; ook niet in een on premise variant.

Vraag 7

In de nieuwe digitale werkplek wordt volgens u «beperkt gebruik gemaakt van cloud-gebaseerde beheertoepassingen.» Om welke toepassingen van welke leverancier(s) gaat dit?

Om de nieuwe DWR2.0 werkplek te kunnen beheren en up-to-date en veilig te houden, wordt in die werkplek gebruik gemaakt van een aantal clouddiensten, waaronder Netskope, Microsoft inTune en Microsoft Defender. Deze slaan de inhoudelijke data niet op, maar zorgen ervoor dat de omgeving veilig blijft (zoals het voorkomen van malware, phishing links, etc.). Dit wordt ook wel aangeduid als «data in transit». Om dit mogelijk te maken, slaan de applicaties tijdelijk metadata en logging data op. Dat is informatie over de data, zoals de gebruikers-id, de naam van de gebruikte applicaties, het aantal up- en downloads, de datum waarop de gegevens zijn aangemaakt, het gebruikte toestel, etc. Deze gegevens staan tijdelijk in de public cloud van de leverancier (6 maanden voor MS en een zelf te configureren periode voor Netskope), t.b.v. monitoring door het Security Operations Center (SOC) van SSC-ICT. Inhoudelijke data worden hierbij niet opgeslagen.

Vraag 8

Uit welk land komt de beoogde leverancier / komen de beoogde leveranciers? Waar vindt de opslag en verwerking van gegevens plaats in deze «cloud-gebaseerde beheertoepassingen»? Welke gegevens betreft dit? En gaat overheidscommunicatie in zichtbare (onversleutelde) vorm door de servers van deze leverancier(s)?

Netskope en Microsoft zijn Amerikaanse leveranciers. Zoals aangegeven bij het antwoord op vraag 7, gaat het om data in transit. Alle data in transit is versleuteld.

Vraag 9

Is de CLOUD Act of soortgelijke wetgeving, die geforceerde toegang tot data mogelijk maakt, van toepassing op gegevens die verwerkt worden onder de «cloud-gebaseerde beheertoepassingen»?

In algemene zin geldt dat de potentiële extraterritoriale werking van Amerikaanse wetgeving ertoe kan leiden dat Amerikaanse cloudaanbieders in specifieke situaties verplicht worden om gegevens van cloudgebruikers over te dragen aan Amerikaanse inlichtingendiensten. Op verzoek van het NCSC heeft Greenberg Traurig onderzoek gedaan naar onder andere de kans dat gegevens van Europese burgers op basis van de CLOUD-act verstrekt zullen worden aan de Amerikaanse overheid. Op basis van de daaromtrent beschikbare informatie is geconcludeerd dat deze kans laag is6.
In de casus van de nieuwe werkplek van SSC-ICT wordt echter geen overheidsdata opgeslagen op de Amerikaanse cloud; documenten en mail blijven in de eigen datacenters staan. De enige data die door deze leveranciers verwerkt wordt is metadata en logging data (zie ook vraag 8).

Vraag 10

U kondigt aan «nieuwe aanpassingen zoals de gereduceerde afhankelijkheid van de publiek cloud, de ingebouwde waarborgen.» Welke afhankelijkheden blijven er over? Om welke waarborgen gaat het?

De gereduceerde afhankelijkheid zit in het feit dat al het interne verkeer, dus tussen werkplek en alles wat in de eigen datacenters draait (eigen applicaties, mail, documenten, etc.), uitsluitend over eigen infrastructuur loopt en niet door de Netskope-cloudoplossing wordt verwerkt. Daarnaast laat ik onderzoeken of hier bovenop ook onderdelen van de cloudoplossing «on premise» (in het volledig in eigen beheer zijnde OverheidsDataCenter (ODC)) kunnen worden opgesteld en beheerd, zodat ook verkeer naar externe bronnen via de eigen datacenters loopt.
Mitigerende maatregelen worden tevens besproken in het antwoord op vraag 12

Vraag 11

Kunt u toezeggen om in de aangekondigde pilot te meten hoeveel data wordt gestuurd naar / via derde partijen, en ook om te meten wanneer het niet duidelijk is om welke partijen het gaat? Kunt u duidelijk maken of het gaat om persoonsgegevens, en zo ja, om welke persoonsgegevens? Kunt u dit in ieder geval meten voor processen zoals printen, mailen en tekstverwerking, en verslag uitbrengen aan de Kamer en extern laten valideren?

Zoals hierboven aangeven, wordt alleen de metadata en logging data van de transactie gerapporteerd. Zie hiervoor het antwoord op vraag 7. Het gaat dus niet om persoonsgegevens.

Vraag 12

Hoe gaat u komen tot een betrouwbare digitale werkplek waar alle afhankelijkheden zijn weggenomen?

Als onderdeel van de implementatie van de nieuwe werkplek door SSC-ICT zijn er al diverse risicoanalyses uitgevoerd, ook op het gebied van betrouwbaarheid, beveiliging en privacy. Naar aanleiding daarvan is een groot aantal maatregelen op deze gebieden afgesproken, die voor de start van de uitrol geïmplementeerd en getoetst zullen worden. M.b.t. afhankelijkheden zal ik blijven onderzoeken hoe deze zoveel mogelijk weggenomen kunnen worden. Op periodieke basis worden de verschillende onderdelen van de werkplek heroverwogen waarbij rekening wordt gehouden met effecten op gebruikersbeleving, security, privacy, beheersbaarheid, kosten, autonomie & continuïteit. Hierbij wordt bijvoorbeeld ook gekeken naar mogelijkheden op het gebied van open source.
Het volledig wegnemen van alle afhankelijkheden bij een digitale werkplek is in de praktijk niet realistisch en ook niet altijd noodzakelijk. Verschillende componenten in de digitale wereld zijn inherent met elkaar verbonden en kennen wederzijdse afhankelijkheden. Het streven is om risico's te beheersen tot een aanvaardbaar niveau en weloverwogen keuzes te maken. In het herziene rijksbrede cloudbeleid, dat u medio 2025 ontvangt, wordt deze aanpak verder uitgewerkt. Tegelijkertijd blijft het kabinet innovatie en digitale transformatie mogelijk maken waar dat verantwoord kan.

Vraag 13

Bent u bereid om onze inlichtingen- en veiligheidsdiensten om advies te vragen over de afhankelijkheden die zullen ontstaan door de voorgenomen migratie van de digitale werkplek? Kunt u dit advies op hoofdlijnen delen met de Kamer en meewegen in uw overwegingen over de migratie?

Er is aan meerdere partijen advies gevraagd, waaronder inlichtingen- en veiligheidsdiensten. Ik ben nog in overleg hoe we op hoofdlijnen, al dan niet vertrouwelijk, de adviezen van de inlichtingen-en veiligheidsdiensten kunnen delen. Hun adviezen zijn ter harte genomen en meegewogen in het huidige ontwerp.

Vraag 14

Wordt data uit de door SSC-ICT-ontworpen werkplekken straks lokaal én in de cloud opgeslagen, of alleen nog maar lokaal? Zijn er derde partijen die, door hun positie in de gekozen oplossing, tijdelijk zicht krijgen op onze data als deze door hun toepassingen heenstroomt?

Zie antwoord op vraag 7.

Vraag 15

Wat betekent het dat data «vooralsnog» op de eigen datacenters wordt opgeslagen? Wanneer zou dit niet meer het geval zijn?

De werkplek-data blijft nu in de eigen datacenters. Naar aanleiding van het nieuwe cloudbeleid kan bij de doorontwikkeling van de werkplek hierin verandering optreden. Maar op dit moment is dat niet aan de orde.

Vraag 16

Met hoeveel zekerheid kunt u zeggen dat er geen gevoelige overheidsinformatie of persoonsgegevens worden verwerkt op de 58.000 digitale werkplekken, als u in uw brief aan de Kamer aangeeft dat hier «gewoonlijk» geen sprake van is?

Het blijft de verantwoordelijkheid van de individuele ambtenaar om conform de geldende regelgeving veilig met informatie en gegevens om te gaan. In de nieuwe werkplek is de manier van gegevens verwerken niet anders dan nu het geval is. Via gerichte communicatie en instructies kan dit verder worden ondersteund.

Vraag 17

Kunt u deze vragen afzonderlijk van elkaar en indien mogelijk nog vóór het plenaire debat over de migratie van overheids-ICT naar het buitenland beantwoorden?

Zie alle bovenstaande antwoorden op de gestelde vragen.

Vraag 1

In hoeverre bent u op de hoogte van plannen om op Curaçao een zonnepark, laadstation en e-bussen te realiseren?

Vraag 2

Deelt u de mening dat de ontwikkeling hiervan bijdraagt aan de economische versterking van Curaçao en het vergroten van (handels)kansen voor het Nederlandse bedrijfsleven?

Vraag 3

Bent u bekend met het feit dat het Chinese BYD (Build Your Dreams) tegen dumpprijzen elektrische bussen aan Curaçao wil leveren en daarmee oneerlijke concurrentie met het Nederlandse VDL (Van Der Leegte Groep) veroorzaakt? Wat doet het kabinet om deze oneerlijke concurrentie te voorkomen?

Vraag 4

Wat is momenteel het financiële gat voor het realiseren van het zonneveld met een elektrisch buspark en laadstation?

Vraag 5

Klopt het dat de door Nederland toegezegde financiering van het project nog niet geleverd is door discussie tussen de betrokken departementen?

Vraag 6

Deelt u de analyse dat het Ministerie van Klimaat en Groene Groei nog 4,3 miljard euro beschikbaar heeft voor dergelijke projecten in begrotingsreserve duurzame energie en klimaattransitie?

Vraag 7

Wanneer neemt u een besluit over de financiering van Nederland van dit project? Hoe kijkt u aan tegen het mogelijk openstellen van SDE++ subsidie (Stimulering Duurzame Energietransitie en Klimaattransitie) voor dit project en dergelijke projecten?

Vraag 8

Wat is de stand van zaken van het project voor een drijvend windpark op zee? Deelt u de mening dat dit een economische kans is op Curaçao?

Vraag 9

Welke mogelijke rol ziet u voor Curaçao om een nieuwe energie-exporteconomie positie te verwerven via groene waterstof?

Vraag 10

Wat is de inzet van de Minister van Klimaat en Groene Groei als zij in mei afreist naar Curaçao op dit thema?

Vraag 11

Welke rol gaat het kabinet in brede zin spelen om in ondersteuning van Curaçao dit initiatief en deze innovatie te stimuleren samen met overheid en bedrijfsleven?

Vraag 1

Wat is, met in achtneming van de recente Kamerstukken, momenteel de status van de migratie van het domeinregistratiesysteem van het.nl-domein naar de public cloud van Amazon Web Services door SIDN?1

Vraag 2

In hoeverre zijn er sinds de toezegging van SIDN geen onomkeerbare stappen te zetten mogelijk toch onomkeerbare besluiten genomen en stappen gezet in het licht van de voorgenomen migratie?

Vraag 3

Deelt u de mening dat het advies van de AIVD om het gehele domeinregistratiesysteem (DNS) keten van SIDN bij een Nederlandse partij op Nederlands grondgebied te houden, op basis van recente geopolitieke ontwikkelingen, opnieuw bezien moet worden?

Vraag 4

Hoe beoordeelt u, gezien de geopolitieke ontwikkelingen, het risico dat de Verenigde Staten zich niet meer wenst te houden aan Europese regels in het kader van de EU-US Data Privacy Framework? Deelt u de mening dat de risico’s op dit moment juridisch op een acceptabel niveau zijn, maar dat gezien de geopolitieke ontwikkelingen deze risico's toch kunnen toenemen, gelet op het belang van de nationale veiligheid? Zo neen, waarom niet?

Vraag 5

Hoe beoordeelt u op dit moment het scenario om.nl-domein in zijn geheel niet te verplaatsen naar Amazon Web Services, maar om deze in handen te houden van SIDN? Wat zijn eventuele maatregelen die het kabinet moet nemen om de verplaatsing te voorkomen? Welke kosten zijn hier indicatief mee gemoeid?

Vraag 6

Hoe beoordeelt u het scenario waarbij tijdelijk de situatie zoals deze nu is gehandhaafd blijft totdat er een volledig Nederlandse oplossing voorhanden is in overeenstemming met het advies van de AIVD? Wat zijn eventuele maatregelen die het kabinet moet nemen? Welke kosten zijn hier indicatief mee gemoeid?

Zie antwoord vraag 5.

Vraag 7

Kunt u deze vragen beantwoorden uiterlijk 3 dagen vóór het plenaire debat «migratie overheids-ICT naar het buitenland»?

Vraag 1

Heeft u kennisgenomen van het rapport «Onderzoek Jaarrekening Land Aruba 2019» van de Algemene Rekenkamer Aruba?1

Ja.

Vraag 2

Hoe beoordeelt u dat het land Aruba geen prioriteit geeft aan de oplevering van de jaarrekeningen en er daardoor geen sprake is van een afsluitende begrotingscyclus? Hoe beoordeelt u verder de conclusies en aanbevelingen die in dit rapport staan?

Goed financieel beheer en een goed begrotingsproces acht ik van het grootste belang voor alle landen in het Koninkrijk. Net als Curaçao en Sint Maarten draagt Aruba zelf de verantwoordelijkheid voor het verbeteren van het begrotingsproces. Ik verwacht daarom van Aruba dat het land snel tot vaststelling van de jaarrekeningen en begroting 2025 zal overgaan.
Er is een achterstand in de oplevering en de vaststelling van de jaarrekeningen van het Land Aruba, maar de conclusie dat Aruba geen prioriteit geeft aan de oplevering van de jaarrekeningen, deel ik niet. Met de inzet van externe ondersteuning vanuit het Landspakket wordt sinds vorig jaar hard gewerkt aan de inhaalslag. Doelstelling is om nog dit jaar de achterstand tot en met jaarrekening 2023 weg te werken.
Ik deel verder de andere conclusies en aanbevelingen van de Algemene Rekenkamer Aruba bij de jaarrekening over 2019 en in dat kader zijn in de uitvoeringsagenda bij het Landspakket ook belangrijke afspraken gemaakt over de aanpak, planning en de beoogde resultaten om het financieel beheer te verbeteren. Vanuit de Tijdelijke Werkorganisatie wordt constructief op deze onderwerpen met Aruba samengewerkt.

Vraag 3

Hoe beoordeelt u de tekortkomingen in het financieel beheer van het land Aruba en dat er geen structurele verbeteringen zijn aangebracht in het begrotingsproces? Deelt u de mening dat er nu heel snel een verbetertraject moet worden ingezet met als doel een goed financieel beheer van het land Aruba? Zo nee, waarom niet?

Het financieel beheer is nog niet in orde, maar het Land Aruba heeft in de afgelopen jaren het begrotingsproces aanzienlijk verbeterd, met een verbeterde opzet en de introductie van vaste wijzigingsmomenten. Het is essentieel dat deze positieve lijn wordt voortgezet en dat een ordentelijk begrotingsproces gewaarborgd blijft. Zo is de begroting 2025 weliswaar tijdig ingediend, maar nog niet door het parlement vastgesteld. Het College Aruba financieel toezicht heeft recentelijk in haar advies ook benadrukt dat vaststelling alsnog snel moet plaatsvinden2.
Vanuit het Landspakket Aruba is reeds een verbetertraject ingezet en wordt in diverse projecten gewerkt aan het oplossen van de structurele tekortkomingen in het financieel beheer. De Tijdelijke Werkorganisatie ondersteunt hierbij.

Vraag 4

Wat kan er worden gedaan om ervoor te zorgen dat het financieel beheer van het land Aruba op orde komt?

De problematiek is omvangrijk en vraagt om een samenhangende aanpak, waarbij fundamentele problemen in de wetgeving, de inrichting van de financiële organisatie, de financiële processen en de administratie moeten worden opgelost. Met de uitvoering van het Landspakket wordt ingezet op een verbetering van al deze facetten. In mijn antwoord op vraag 6 licht ik verschillende trajecten nader toe.

Vraag 5

Wat zijn de gevolgen van de tekortkomingen in het financieel beheer van het land Aruba voor de uitvoering van het Landspakket Aruba?

De uitvoering van het Landspakket Aruba ondervindt geen hinder van de tekortkomingen in het financieel beheer.

Vraag 6

Hoe verhoudt het onderhavige rapport van de Algemene Rekenkamer Aruba zich tot uw opmerking tijdens het verzamelcommissiedebat CAS, gehouden op 15 januari 2025 (36 600 IV, nr. 46), dat er goede stappen zijn gezet om het financieel beheer van Aruba te verbeteren? Wat zijn die goede stappen? Waaruit blijkt de verbetering van het financieel beheer?

Het Land Aruba heeft de ambitie uitgesproken om over het jaar 2026 over een goedkeurende controleverklaring bij de jaarrekening te beschikken. In het kader van het Landspakket heeft het land Aruba een ambitieus programma ingericht met samenhangende trajecten om de knelpunten in het financieel beheer aan te pakken.
In lijn met de aanbevelingen van de Algemene Rekenkamer Aruba wordt in deze trajecten gewerkt aan het vaststellen van verslaggevingsvoorschriften en het normenkader voor de controle van de jaarrekening, het oplossen van de tekortkomingen in de onderliggende processen en het oplossen van de personeelstekorten in de financiële functie.
Het is complexe problematiek die een goede voorbereiding en besluitvorming vraagt om tot een duurzame oplossing te kunnen komen. Daarnaast vormt de beschikbare capaciteit een bottleneck, maar ik zie tegelijkertijd resultaten die mij positief stemmen over de aanpak en het vervolg.
Ik noem enkele voorbeelden:

Vraag 7

Hoe spoort een en ander met de afspraken in het kader van de landspakketten?

Met de afspraken in het kader van het Landspakket Aruba worden over het algemeen dezelfde doelstellingen en resultaten nagestreefd, als ook benoemd in de aanbevelingen van het rapport van de Algemene Rekenkamer Aruba «Onderzoek Jaarrekening Land Aruba 2019».

Vraag 8

Wat is de stand van zaken met betrekking tot de Rijkswet Aruba financieel toezicht? Bent u hierover nog steeds in gesprek met het land Aruba? Wanneer verwacht u overeenstemming met Aruba te hebben? Welke belemmeringen zijn er?

Aan het wetsvoorstel wordt door teams van beide landen gewerkt. Op verzoek van Aruba brengt het IMF een advies uit over de begrotingsnormen en het financieel beheer. Dit advies wordt in de tweede helft van februari verwacht en zal vervolgens door de teams worden verwerkt in het wetsvoorstel en worden voorgelegd aan beide regeringen.

Vraag 9

Deelt u de mening dat de Rijkswet Aruba financieel toezicht zo snel mogelijk afgerond moet worden? Zo nee, waarom niet?

Ja.

Vraag 1

Bent u bekend met het feit dat alle nu beschikbare versies van Microsoft Exchange-servers op 14 oktober a.s. «end of support» zijn en daarmee niet langer door de leverancier ondersteund zullen worden en ook niet meer gebruikt kunnen worden?1 2

Ja, ik ben bekend met het feit dat de huidige versies van Microsoft Exchange Server op 14 oktober 2025 het einde van hun ondersteuningscyclus bereiken. Dit heeft de volgende impact op de ondersteuning vanuit Microsoft:
Voor Exchange Server 2016 is deze informatie sinds 2020 bekend en voor Exchange Server 2019 is de reguliere ondersteuning in januari 2024 verlopen. Extended Security Updates zijn beschikbaar gemaakt tot oktober 2025.
Microsoft heeft in juni 2022 aangekondigd dat de nieuwe versie, Exchange Server Subscription Edition (SE), de opvolger zal zijn van de huidige versies. Deze aankondiging is in mei 2024 herhaald, waarbij tevens de aanbevolen stappen zijn gecommuniceerd ter voorbereiding op de migratie van Exchange 2016 en 2019 naar Exchange SE.
Het is belangrijk om te verduidelijken dat «end of support» niet automatisch betekent dat deze systemen niet meer gebruikt kunnen worden. Het betekent wel dat er na deze datum geen updates meer worden uitgebracht, wat risico's met zich meebrengt voor de veiligheid en stabiliteit van deze systemen. Het is daarom van belang dat organisaties tijdig migreren naar ondersteunde oplossingen

Vraag 2

Op hoeveel plekken binnen de rijksoverheid wordt Microsoft Exchange nog gebruikt? Hoeveel daarvan zijn Exchange 2019 en hoeveel zijn ouder?

Binnen de Rijksoverheid maken vrijwel alle organisaties gebruik van Microsoft Exchange. Door de federatieve opbouw van de overheid zijn er momenteel geen centrale overzichten beschikbaar over de exacte aantallen en versies.
Life cycle management (LCM: het proces om op tijd nieuwe versies in productie te nemen) is een departementale verantwoordelijkheid. Het centraal opslaan van te gedetailleerde informatie buiten deze departementale verantwoordelijkheid wordt als een potentieel beveiligingsrisico beschouwd.
Standaardisatie van gedetailleerde informatie binnen de departementale verantwoordelijkheid heeft hoge prioriteit, maar vergt tijd om te organiseren vanwege het heterogene ICT-landschap binnen de Rijksoverheid.
Er wordt gewerkt aan een verbetering van het centraal geaggregeerd overzicht, waarbij rekening wordt gehouden met bovenstaande aspecten. Bij het antwoord op vraag 3 zal ik verder ingaan op de stappen die worden genomen om beter inzicht te krijgen.

Vraag 3

Indien hier nog geen overzicht van bestaat, bent u bereid om vanuit uw coördinerende rol de betreffende Ministers te vragen u hierover informatie te verstrekken?

Ja, ik ben hiertoe bereid. Bij de beantwoording zal wel een balans gezocht worden tussen cybersecurity, federatieve verantwoordelijkheid en transparantie.
Ik zal de betreffende Ministers vragen om informatie te verstrekken over het gebruik van Microsoft Exchange binnen hun departementen.
Vanuit mijn coördinerende rol wordt jaarlijks een Informatie Beveiligingsbeeld (IBB) opgesteld door de departementen. Uit dit inzicht komen geen risico’s naar boven die betrekking hebben op Microsoft Exchange.
Uw vraag past binnen een bredere aanpak waarin vanuit de coördinerende rol van CIO Rijk wordt gewerkt aan het verbeteren van het inzicht in IT-assets binnen de Rijksoverheid. Deze aanpak richt zich niet exclusief op Microsoft Exchange, maar op IT-asset management in de volle breedte.

Vraag 4

Gezien het feit dat het behoorlijk ingewikkeld is om te upgraden naar de nieuwe, nog uit te komen versie van Exchange die nog wel ondersteund wordt, hoe gaat u erop toezien dat deze systemen tijdig zijn vervangen?3

Ten aanzien van de technische complexiteit van de upgrade wil ik opmerken dat volgens informatie van Microsoft, de overgang naar Exchange Server Subscription Edition (SE) minder complex is dan het lid Six Dijkstra suggereert. Voor organisaties die momenteel Exchange Server 2019 gebruiken met de meest recente cumulatieve update (CU14), zal de update naar Exchange Server SE relatief eenvoudig zijn. Microsoft heeft aangegeven dat Exchange Server SE code-equivalent zal zijn aan Exchange Server 2019 CU15, met uitzondering van enkele kleine wijzigingen. Dit maakt een in-place upgrade mogelijk, vergelijkbaar met het toepassen van een reguliere halfjaarlijkse update. Hierbij is geen volledige herinstallatie nodig maar worden alle bestaande configuraties automatisch overgenomen in de nieuwe versie.
Voor organisaties die nog Exchange Server 2016 gebruiken, wordt geadviseerd om eerst te migreren naar Exchange Server 2019 CU14, alvorens de stap naar Exchange Server SE te maken. Microsoft biedt hierbij diverse ondersteuningsmogelijkheden via Microsoft Unified en FastTrack support.

Vraag 5

Zal het vervangen van Microsoft Exchange in de praktijk een geforceerde overgang naar de cloud betekenen? Kunt u dit antwoord toelichten?

Nee, het vervangen van Microsoft Exchange vanwege het einde van de ondersteuning betekent geen geforceerde overgang naar de cloud.
Zoals Microsoft heeft aangegeven, is Exchange Server Subscription Edition (SE) een nieuwere versie van de binnenkort niet meer ondersteunde Exchange Server 2016 en Exchange Server 2019. Net als deze oudere producten is Exchange Server SE een «on-premises» product dat geïnstalleerd kan worden in eigen datacenters van organisaties.Overheidsorganisaties behouden hiermee de keuze om hun e-mailsystemen lokaal te blijven beheren, zonder dat een migratie naar cloudoplossingen noodzakelijk is. Daarnaast bestaat de mogelijkheid om vergelijkbare diensten af te nemen bij andere aanbieders.

Vraag 6

Hoe gaat u erop toezien dat eventuele overstappen van Microsoft Exchange naar de cloud niet zonder risicoanalyses zullen plaatsvinden?

Voor eventuele overstappen van Microsoft Exchange naar cloudoplossingen is het Rijksbrede cloudbeleid 2022 en het bijbehorende Implementatiekader risicoafweging cloudgebruik van toepassing. Dit kader schrijft voor dat bij materieel public cloudgebruik binnen de Rijksdienst verplicht een aantal stappen moet worden doorlopen.
Conform artikel 4 van het Implementatiekader moet voorafgaand aan het gebruik van public clouddiensten een risicoanalyse worden uitgevoerd volgens een formeel vastgestelde risicomanagementmethodiek die voldoet aan de Baseline Informatiebeveiliging Overheid (BIO). In deze risicoanalyse moet aandacht zijn voor de context van het cloudgebruik, relevante risico's, technische en organisatorische maatregelen, en een beoordeling van deze maatregelen.
Specifiek voor Microsoft Exchange-migraties naar de cloud is belangrijk dat:
Vanuit de coördinerende rol wordt toegezien op de naleving van deze kaders. De departementen moeten jaarlijks rapporteren aan CIO Rijk over hun materieel public cloudgebruik en de risico's daarvan. CIO Rijk gebruikt deze rapportages in de jaarlijkse cyclus van CIO-gesprekken en beoordeelt deze op uitzonderlijke risico's.
Daarnaast kunnen de Auditdienst Rijk, de Algemene Rekenkamer en inspectiediensten een rol spelen in het toezicht op de naleving van deze kaders.

Vraag 7

Kunt u de beantwoording van deze vragen binnen drie weken, maar uiterlijk drie dagen vóór het debat over de migraties van overheids-ICT naar het buitenland, aan de Kamer doen toekomen?

Vraag 1

Bent u bekend met de plannen van een woningstichting in Enschede om over te stappen op digitale sloten voor studentenwoningen?

Vraag 2

Bent u bekend met de zorgen hierover vanuit de studenten en de gemeenteraad van Enschede?1 2

Vraag 3

Kunt u toelichten hoe u denkt over de plannen om over te stappen op digitale sloten en de mogelijke risico's, waaronder privacyrisico’s, die hierbij spelen?

Vraag 4

Deelt u de mening dat het onwenselijk is dat van bewoners wordt geacht dat zij een smartphone met daarop een app zouden moeten gebruiken om hun woning of woongebouw te kunnen betreden?

Vraag 5

Deelt u de mening dat het onwenselijk is dat digitaal wordt geregistreerd wanneer bewoners hun woning in- en uitgaan?

Vraag 6

Beschikt u over een volledig of gedeeltelijk overzicht van woningen en/of woongebouwen in Nederland waar digitale sleutels vereist zijn voor het betreden van de woningen of waar het betreden of verlaten van de woningen digitaal wordt geregistreerd? Zo ja, kunt u dit overzicht met de Tweede Kamer delen?

Vraag 7

Hoe oordeelt u over het in gebruik nemen van digitale sleutels, zoals voorgenomen in Enschede, gelet op artikel 8 EVRM en de AVG in het licht van een eerdere uitspraak van de Finse privacytoezichthouder die het bij een soortgelijke praktijk onrechtmatig achtte?3 4

Vraag 1

Bent u bekend met het bericht «Onbetrouwbaar algoritme bestempelt jongeren als toekomstig crimineel» (Follow the Money, 20 januari)?1

Ja.

Vraag 2

Kunt u volledig uitleggen wat het doel en de functie is van het Preselect Recidive-algoritme? Hoe hangt dit samen met andere risicotaxatie-instrumenten?

Met het risicotaxatie-instrument Preselect Recidive wordt van jongeren die door de politie als verdachte worden verhoord een eerste inschatting gemaakt van het risico op herhaling. Deze inschatting wordt gemaakt met behulp van een wetenschappelijk gevalideerd analysemodel met informatie die bekend is bij de politie. In dit model zitten variabelen als eerdere politiecontacten, gepleegde delict(en) en leeftijd en geslacht van de jongere. De uitkomst van de Preselect Recidive wordt gebruikt bij de afweging in het zogenaamde afstemmingsoverleg «ZSM» ten aanzien van de vraag of verdere risicotaxatie voor de jongere noodzakelijk is. Er is bij de toepassing van de Preselect Recidive dus altijd sprake van een besluit door mensen, niet door een algoritme, waarbij ook andere informatie over de jongere wordt gebruikt. In het artikel van Follow the Money wordt de indruk gewekt dat de uitkomst van dit instrument bepalend is voor het vervolgtraject van een jeugdige verdachte. Dit is niet het geval. Het instrument wordt meegewogen bij de vraag of verdere risicotaxatie voor de jongere nodig is.
Voor een verdere toelichting op het doel en de functie van risicotaxatie-instrumenten in het algemeen en van de Preselect Recidive in het bijzonder, verwijs ik naar de brief van 6 maart 2025, waarin ik op verzoek van de vaste commissie voor Justitie en Veiligheid een reactie heb gegeven op het artikel van Follow the Money.In het antwoord op vraag 3 ga ik in op andere risicotaxatie-instrumenten en de samenhang met de Preselect Recidive.

Vraag 3

Welke soortgelijke instrumenten worden ook ingezet in de jeugdstrafrechtketen? Kunt u toelichten welke rol deze spelen, de relevante documentatie delen, en de systemen opnemen in het Algoritmeregister?

Diverse risicotaxatie-instrumenten uit de jeugdstrafrechtketen zijn gebundeld in het Landelijk Instrumentarium Jeugdstrafrechtketen (LIJ). Het gaat daarbij, naast de Preselect Recidive, om de volgende instrumenten:
Een uitgebreide omschrijving van de inhoud en werking van de verschillende instrumenten is te vinden in de Handleiding LIJ (zie bijlage 1).
Een van de doelstellingen van het LIJ als geheel is informatiedeling en een eenduidige werkwijze van ketenpartners. Ketenpartners bouwen waar mogelijk voort op informatie die al eerder in de keten verzameld is. Dit scheelt tijd en voorkomt dat jongeren en ouders steeds weer dezelfde vragen moeten beantwoorden.
Er zijn Rijksbrede afspraken om eind 2025 ten minste alle hoog risico AI-systemen in het Algoritmeregister te publiceren. Ik wil transparant zijn over de risicotaxatie-instrumenten uit de jeugdstrafrechtketen en deze in het Algoritmeregister publiceren. De Ritax, het meest uitgebreide instrument uit het LIJ, is in 2023 door de Raad voor de Kinderbescherming opgenomen in het Algoritmeregister. Deze publicatie wordt voor eind 2025 aangevuld met de aanvullende Module Zorg. De Politie voert de Preselect Recidive in 2025 op in het Algoritmeregister. Voor Halt-SI wordt door JenV, in samenwerking met Halt, bezien of dit een hoog risico of impactvol algoritme betreft. Indien dit het geval is worden met Halt afspraken gemaakt over opname in het Algoritmeregister in 2025.

Vraag 4

Hoe worden het Dynamisch Risico Profiel (DRP) en het Algemeen Recidive Risico (ARR) berekend? Welke rol spelen deze profielen in het jeugdrecht?

Het ARR is de uitkomst van het instrument Preselect Recidive. Het ARR geeft de geschatte kans dat een jongere opnieuw met politie en justitie in aanraking komt vanwege het plegen van een delict. Voor het vaststellen van het ARR («laag», «midden» of «hoog») wordt gebruik gemaakt van statische (onveranderbare) risicofactoren. De variabelen uit het model zijn te vinden in hoofdstuk 3 van de Handleiding LIJ, deze wordt voor de volledigheid meegezonden (zie bijlage 1).
Het ARR wordt gebruikt bij de afweging in het zogenaamde afstemmingsoverleg ZSM ten aanzien van de vraag of verdere risicotaxatie voor de jongere noodzakelijk is. Naast het gepleegde delict en het ARR wordt hierbij ook gebruik gemaakt van andere informatie over de jongere die op dat moment bij de ketenpartners bekend is. Het ARR is daarmee altijd ondersteunend aan menselijke besluitvorming. De rol van de Preselect Recidive en het ARR in de jeugdstrafrechtketen wordt toegelicht in de beantwoording van vraag 17, in de genoemde brief van 6 maart 2025 en de Handleiding LIJ (bijlage 1).
Het DRP is de uitkomst van de Ritax en wordt berekend door een optelsom van risico- en beschermende factoren van een jongere, gemeten op negen (leef)domeinen, zoals gezin, geestelijke gezondheid en agressie. Ieder domein kent diverse items, waarbij de professional vraagt naar onderwerpen zoals «Ernst/heftigheid van conflicten tussen gezinsleden», «Stemming» en «Meldingen van gewelddadig gedrag». De totaalscores per domein (domeinscore) worden berekend door de scores van de verschillende items uit de betreffende domeinen bij elkaar op te tellen. Het DRP vormt samen met het ARR een indicator om toe te leiden naar passende interventies die door de Raad voor de Kinderbescherming of de Jeugdreclassering worden geadviseerd aan OM, de rechter en/of ten behoeve van het plan van aanpak voor toezicht en begeleiding van de Jeugdreclassering.
Voor een verdere uitleg over de berekening van het DRP verwijs ik u naar de Handleiding LIJ die voor de volledigheid wordt meegezonden (bijlage 1). De rol van de Ritax en het DRP in de jeugdstrafrechtketen wordt toegelicht onder vraag 3.

Vraag 5

Klopt het dat u overwogen hebt Preselect uit werking te nemen? Waarom heeft het gebruik van het algoritme toch doorgang gevonden? Geldt dit ook voor soortgelijke instrumenten?

Ten tijde van oplevering van het meeste recente validatieonderzoek (2023), is met ketenpartners besproken of het instrument nog voldoende betrouwbaar was voor toepassing in de praktijk. Destijds is geconcludeerd dat dit het geval was. Wel werd van belang geacht dat doorontwikkeling zo snel mogelijk plaatsvindt vanwege een afname in de voorspelkracht (zie vraag 27 voor een toelichting op het doorontwikkeltraject van de Preselect Recidive). Voor deze afweging is onder meer gekeken naar de impact op de jeugdstrafrechtketen, en daarmee de jongeren, indien het instrument tijdelijk niet meer gebruikt wordt en het voldoen aan de geldende wet- en regelgeving rondom toepassing van dergelijke instrumenten. Ook de afgenomen voorspelkracht van het instrument is meegewogen. Aangezien deze nog steeds acceptabel is volgens internationale standaarden, is geoordeeld dat het instrument nog steeds van meerwaarde is voor de praktijk (zie toelichting in de alinea hieronder over het gestructureerd professioneel oordeel).
In de eerder genoemde brief van 6 maart 2025 beschrijf ik daarnaast dat de huidige versie van Preselect Recidive grotendeels voldoet aan de vijf voorwaarden zoals gesteld door de Autoriteit Persoonsgegevens (AP) en hierdoor nog op een verantwoorde wijze kan worden gebruikt tot de nieuwe versie wordt ingevoerd. In de afweging om de Preselect Recidive te blijven gebruiken wordt ook de waarde van dit instrument voor de praktijk meegenomen. Uit onderzoek blijkt namelijk dat een voorspelling op basis van een gestructureerd professioneel oordeel (een combinatie van de professionele blik en een instrument) beter is dan een voorspelling op basis van een ongestructureerde klinische blik (zie vraag 17). Zonder een instrument ontstaat er een risico op tunnelvisie, waarmee de rechtsgelijkheid in het geding komt.
Voor de overige instrumenten van het LIJ wordt ook periodiek een validatieonderzoek uitgevoerd. Indien de resultaten van deze onderzoeken hier aanleiding toe geven, of wijzigingen in wet- en regelgeving, worden de instrumenten herzien.

Vraag 6

Waaruit blijkt dat Preselect voldoet aan wetenschappelijke normen en betrouwbaar genoeg is om gebruikt te worden in besluitvorming die kwetsbare jongeren aangaat?

Wetenschappelijke normen voor risicotaxatie-instrumenten kunnen betrekking hebben op: (a) theoretische onderbouwing, (b) betrouwbaarheid en (c) de predictieve validiteit.

Vraag 7

Kunt u alle documentatie over de ontwikkeling, technische werking en toepassing van dit algoritme delen met de Kamer?

Ik verwijs naar de Handleiding LIJ in bijlage 1. Hierin staat de ontwikkeling/opbouw, werking en toepassing van het algoritme beschreven (hoofdstuk 1 en 3).
Daarnaast verwijs ik naar diverse publicaties van Van der Put (Universiteit van Amsterdam). In deze publicaties staat de (statistische) ontwikkeling van de Preselect Recidive uitgewerkt:

Vraag 8

Is er een Privacy Impact Assessment (PIA) uitgevoerd voor het gebruik van Preselect? Wat waren de resultaten van deze PIA en is daar opvolging aan gegeven? Wanneer is voor het laatst een PIA uitgevoerd op Preselect en wanneer is de eerstvolgende PIA voorzien?

In 2025 wordt een gegevensbeschermingseffectbeoordeling (GEB/DPIA) uitgevoerd, als onderdeel van het implementatieproces van de herziene Preselect Recidive. Zie ook het antwoord op vraag 27 voor een toelichting op de herziening van de Preselect Recidive. Eerder is nog geen (D)PIA uitgevoerd voor de Preselect Recidive. De risicotaxatie-instrumenten die de politie gebruikt zijn ten tijde van ingebruikname getoetst in het kader van de toen geldende wettelijke privacykaders. De Preselect Recidive dateert uit 2013. Een (D)PIA, sinds 2018 verplicht, wordt door politie uitgevoerd in geval van de ingebruikname van een nieuw of vernieuwd instrument. De politie heeft in 2023 wel een toets gedaan op de kwaliteit van bronnen die gebruikt worden voor hun risicotaxatie-instrumenten in brede zin. Hier kwamen geen onregelmatigheden uit naar voren die aanleiding gaven tot aanpassing van de Preselect Recidive.

Vraag 9

Welke instanties maken gebruik van Preselect? Kunt u per instantie uitleggen met welk doel het algoritme wordt toegepast?

Ik verwijs u naar mijn antwoord op vraag 3 en de genoemde brief van 6 maart 2025.

Vraag 10

Hoe zorgt u ervoor dat instanties die Preselect momenteel gebruiken om voorspellende lijsten met verdachte jongeren op te stellen, deze werkwijze zo snel mogelijk stopzetten?

Preselect Recidive is ontwikkeld om in te schatten of aanvullende risicotaxatie nodig is voor een jeugdige verdachte in het strafrecht. De Preselect Recidive mag uitsluitend gebruikt worden op het ZSM-overleg en niet voor andere doeleinden. Waar eerder in de praktijk is gesignaleerd dat risicotaxatie-instrumenten of scores werden hergebruikt of toegepast in niet daarvoor bedoelde processen, zijn door de politie maatregelen genomen om dit te stoppen. Met politie worden periodiek overleggen gevoerd over onder andere de juiste toepassing van de Preselect Recidive.

Vraag 11

Is er één standaard vastgesteld voor het verantwoorde gebruik van Preselect? Zo ja, kunt u deze delen? Zo niet, kunt u deze zo snel mogelijk ontwikkelen?

Ja, er is één standaard vastgesteld voor het verantwoorde gebruik van de Preselect Recidive. Ik verwijs u naar de Handleiding LIJ (bijlage 1) voor een gedetailleerde beschrijving.

Vraag 12

Op basis van welke factoren berekent Preselect een score voor jongeren? Kunt u een lijst maken van alle bronnen die het algoritme raadpleegt?

De Preselect Recidive wordt gevuld op basis van het landelijke bedrijfsprocessensysteem van de Politie (BVI). Hieruit wordt informatie gehaald zoals het totaal aantal incidenten waarbij de jongere de rol van verdachte heeft, de leeftijd van de jongere ten tijde van het eerste delict en het totaal aantal incidenten waarbij de jongere de rol van betrokkene heeft. Voor een volledig overzicht verwijs ik u naar hoofdstuk 3 van de Handleiding LIJ.

Vraag 13

Worden registraties van verdenkingen die nooit zijn bewezen of hebben geleid tot vrijspraak ook meegerekend in de risicoscore van een jongere?

Bij een sepot onterecht verdachte of vrijspraak wordt de registratie niet meer meegerekend in de risicoscore van de jongere. Tevens worden registraties die ouder zijn dan vijf jaar verwijderd (conform artikel 8, zesde lid Wet politiegegevens) en hierdoor niet meegenomen in de berekening.

Vraag 14

Hoe voorkomt u dat er ongelijke behandeling plaatsvindt bij hetzelfde misdrijf door het gebruik van het algoritme?

Met de Preselect Recidive wordt op basis van een wetenschappelijk getoetst en genormeerd model een inschatting gemaakt of verdere risicotaxatie noodzakelijk is bij de jeugdige verdachte. Deze inschatting wordt gemaakt op basis van diverse factoren uit het politieregistratiesysteem (zie hoofdstuk 3 van de Handleiding LIJ voor de lijst met variabelen). Bij jongeren die eenzelfde delict plegen, maar op andere variabelen die voorspellend zijn voor recidive anders scoren (bijvoorbeeld het aantal eerdere registraties van de betreffende jongere in de rol van verdachte), volgt mogelijk een andere uitkomst van de Preselect Recidive. Hierbij is er geen sprake van een ongelijke behandeling ten nadele van de jongere, maar van een afweging over de meest passende interventie om het risico op recidive te beperken. De afweging over het vervolg en het advies van de Preselect Recidive hierbij is maatwerk, de uitkomst van het instrument is ondersteunend aan menselijke beoordeling. Bovendien versterkt juist de combinatie van de professionele blik en een objectief gestructureerd instrument een uniforme werkwijze en daarmee gelijkere bejegening. De toepassing van een instrument verkleint de kans dat het eigen interpretatiekader van professionals een (grote) rol speelt in het besluit over het vervolgtraject van de jeugdige verdachte.

Vraag 15

Vindt u het terecht dat variabelen als «omstander» of «huisgenoot» als risicofactor kunnen worden beschouwd in het Preselect-algoritme? Zo ja, kunt u aangeven hoe u dat relateert aan het concept «afgeleide schuld»?

Als een ARR-score wordt opgesteld, dan is de jongere inmiddels zelf in de rol van verdachte bekend bij politie. De Preselect Recidive wordt dus alleen afgenomen als een jeugdige zelf verdacht wordt van een strafbaar feit. Daarnaast weten we uit de wetenschappelijke literatuur dat blootstelling aan crimineel gedrag dan wel (ervaren) druk om mee te participeren risicofactoren zijn voor recidive. Dat blijkt ook uit onderzoeken uitgevoerd op politiegegevens. In het huidige model zijn deze variabelen (aantal registraties rol betrokken («omstander») en aantal registraties medebewoners rol verdachte («huisgenoot»)) opgenomen.
Voor de instrumenten van het LIJ wordt daarbij altijd kritisch gekeken naar de samenstelling van de instrumenten. Indien blijkt dat variabelen uit het model achterwege gelaten kunnen of moeten worden dan gebeurt dit ook. Voor alle variabelen uit het model wordt dit heroverwogen in de doorontwikkeling van de Preselect Recidive. Daarbij wordt ook afgewogen of er belangrijke informatie wordt gemist voor een passende behandeling.8
Het concept afgeleide schuld9 speelt hier geen rol: de Preselect Recidive geeft een advies over de noodzaak van aanvullende risicotaxatie en niet over schuldbepaling dan wel de benodigde strafmaat. Bovendien spelen variabelen als «omstander» of «huisgenoot» pas een rol als de jongere zelf wordt verdacht van een strafbaar feit en de Preselect Recidive wordt toegepast.

Vraag 16

Op welke data is Preselect getraind? Is deze data zuiver en voldoende representatief? Is er gecontroleerd voor (onbewuste en/of systematische) vooroordelen in de trainingsdata?

De Preselect Recidive maakt gebruik van statische (onveranderbare) risicofactoren. Bij het bepalen van deze factoren is gebruik gemaakt van twee (willekeurige) steekproeven in de data, waarbij de ene steekproef is gebruikt om Preselect Recidive op te ontwikkelen en de andere steekproef om deze te valideren.10 Deze data zijn afkomstig uit het landelijke bedrijfsprocessensysteem van de politie (BVI).
De kwaliteit van een dataset is altijd afhankelijk van de kwaliteit van ingevoerde data. Dat is voor de Preselect Recidive niet anders dan voor andere instrumenten. Pakkans en prevalentie van de doelgroep spelen ook een rol bij de representativiteit van de data. Daarom worden instrumenten van het LIJ periodiek geëvalueerd en ook tussentijds wordt continue afgewogen of er voldoende gerechtvaardigd belang en empirische onderbouwing is van het model.

Vraag 17

Deelt u de zorgen dat een algoritme in grote mate sturend kan zijn voor de betrokken (politie)medewerker die een casus beoordeelt? Hoe wordt waardevolle menselijke tussenkomst gegarandeerd?

Ik begrijp de zorg want het instrument geeft inderdaad mede richting aan het besluit, maar met betekenisvolle menselijke tussenkomst en het gebruik van diverse informatiebronnen ondervangen we dat er automatische en eenzijdige besluitvorming plaatsvindt. Dat gebeurt als volgt.
Betekenisvolle menselijke tussenkomst is een essentieel onderdeel in de opvolging van de Preselect Recidive. De inschatting van laag, midden of hoog risico (het ARR) is een van de informatiebronnen waar de het afstemmingsoverleg ZSM gebruik van maakt. In dit overleg wordt met de diverse betrokken professionals door het Openbaar Ministerie op basis van deze verschillende informatiebronnen besloten welk vervolg de jeugdige verdachte krijgt. Uit onderzoek blijkt dat een voorspelling op basis van een gestructureerd professioneel oordeel (een combinatie van de professionele blik en een instrument) beter is dan een voorspelling op basis van een ongestructureerde klinische blik.11 Daarmee is de combinatie die op het ZSM-overleg wordt gehanteerd, namelijk een professioneel oordeel aangevuld met de analyse door een instrument, een meer betrouwbare manier waarop een besluit genomen kan worden dan uitsluitend op basis van het oordeel van de professional.

Vraag 18

Met welke regelmaat wordt de werking en het gebruik van Preselect onafhankelijk doorgelicht? Kunt u alle bij u bekende onderzoeken naar dit algoritme delen met de Kamer?

De doelstelling van het LIJ is om instrumenten eens in de vijf jaar te valideren. Deze termijn biedt de mogelijkheid om tot voldoende respondenten (jongeren) te komen waarbij het instrument is afgenomen, om vervolgens valide uitspraken te kunnen doen. Ook wordt hiermee aangesloten bij de termijn van drie tot vijf jaar voor recidivemetingen, zoals gehanteerd door het WODC en/of het CBS. Daarnaast worden alle instrumenten of aanpassingen daaraan steeds voorgelegd aan een onafhankelijke toetsingscommissie. Voor de Preselect Recidive heeft dit langer geduurd, vanwege vertraging in het leveren van de benodigde data. Zie onder vraag 7 welke documenten ik hierover met u deel.

Vraag 19

Wat is het percentage valspositieven dat Preselect oplevert? Hoe vaak komt het voor dat een jongere ten onrechte een te hoge of lage score wordt toebedeeld?

Het bepalen van valspositieven of -negatieven is complex, omdat:
De score wordt altijd bezien in het geheel van andere beschikbare informatie en heeft geen één-op-één-relatie met de gekozen interventie. Aan de Preselect Recidive score is geen direct gevolg gekoppeld; zie ook het antwoord op vraag 17.

Vraag 20

Waarom staat het algoritme niet opgenomen in het Algoritmeregister? Kunt u alsnog het algoritme zo snel als mogelijk volledig transparant in het Algoritmeregister opnemen?

In 2025 registreert de politie het algoritme van de Preselect Recidive in het Algoritmeregister.

Vraag 21

Gaat u ouders, jongeren en jeugdrechtadvocaten voortaan altijd informeren als en hoe Preselect is toegepast in de besluitvorming? Op welke termijn en op welke manier gaat u dit doen?

Ja, dat zal ik in 2025 doorvoeren voor alle jongeren bij wie de Preselect Recidive wordt afgenomen. Nu gebeurt dat al bij een deel van de jongeren, namelijk bij de jongeren voor wie de Raad voor de Kinderbescherming een onderzoek doet. Ik wil voor deze ontwikkeling aanhaken bij al bestaande voorzieningen om jongeren, ouder(s)/verzorger(s) en andere betrokken zo laagdrempelig mogelijk te informeren.

Vraag 22

Bent u bereid om een inschatting te (laten) maken of jongeren onrechtmatig of incorrect zijn geprofileerd door het gebruik van Preselect? Kunt u de eventuele gevolgen die dit heeft gehad ook inschatten?

Door voor de instrumenten uit het LIJ periodiek te toetsen of aanpassing nodig is, breng ik in kaart of de instrumenten werken zoals beoogd en voldoen aan wet- en regelgeving. In het IAMA dat uitgevoerd wordt voor de herziene Preselect Recidive is bovendien specifiek aandacht voor het naleven van de grondrechten en daarmee onder andere het risico op profilering bij de inzet van algoritmes. Waar nodig stuur ik bij. Het is echter inherent aan risicotaxatie-instrumenten dat deze geen perfecte schatting geven. De Preselect Recidive wordt daarom nooit gebruikt als automatische doorverwijzing, maar er is altijd sprake van betekenisvolle menselijke tussenkomst. Bovendien kan er op verschillende momenten in de jeugdstrafrechtketen bijgestuurd worden indien het ingezette traject toch te zwaar of te licht blijkt.12 Hiermee wordt ook voorzien in bijsturing op casusniveau. Een inschatting geven is daarnaast complex, omdat de Preselect Recidive in de besluitvorming niet de enige factor is die wordt meegewogen.

Vraag 23

Gaat u jongeren, ouders en jeugdrechtadvocaten in staat stellen om bezwaar te maken als zij vermoeden dat het algoritme heeft geleid tot een verkeerde uitkomst?

Zoals ook is toegelicht in het antwoord op vraag 17, liggen verschillende informatiebronnen ten grondslag aan de beslissing welk vervolg een jeugdige verdachte krijgt. Er is dus geen besluitvorming op basis van enkel de uitkomst van de Preselect Recidive. Ik zie daarom geen aanleiding om het bezwaar maken tegen een beslissing vanwege de uitkomst van de Preselect Recidive mogelijk te maken.

Vraag 24

Deelt u de conclusie van de vier wetenschappers van de Radboud Universiteit dat «de voorspellende waarde van Preselect beperkt [is] en voor jongeren riskante gevolgen [kan] hebben»?

De voorspellende waarde van Preselect is vergelijkbaar met instrumenten die wereldwijd worden toegepast om recidive te voorspellen; zie ook het antwoord op vraag 6. Omdat de voorspellende waarde nooit perfect is, is de uitkomst van het instrument nooit leidend. Preselect Recidive wordt gebruikt om te adviseren of aanvullende risicotaxatie nodig is. Daarmee deel ik de conclusie niet dat dit riskante gevolgen kan hebben voor een jeugdige verdachte, maar juist helpt te komen tot een goed passende interventie.

Vraag 25

Kunt u het onderzoek van de Universiteit van Amsterdam uit 2023, waaruit naar eigen zeggen blijkt dat de voorspellende waarde van Preselect laag is, delen met de Kamer?

Ja, zie mijn antwoord op vraag 7 voor de gevraagde publicatie.

Vraag 26

Hoe is er opvolging gegeven om de tekortkomingen die de Algemene Rekenkamer in 2022 constateerde bij de inzet van algoritmes in het jeugdrecht? Zijn alle aanbevelingen geïmplementeerd?2 3

Voor het antwoord op de vraag verwijs ik u naar het «Verantwoordingsonderzoek 2023 Ministerie van Justitie en Veiligheid» van de Algemene Rekenkamer.15 Hieruit is gebleken dat de aanbevelingen naar tevredenheid van de Algemene Rekenkamer zijn opgevolgd en dat het aandachtspunt16 dat de Algemene Rekenkamer meegaf, is komen te vervallen. De aanbevelingen en vereisten die hieruit naar voren kwamen, worden nu standaard meegenomen in de ontwikkeling rondom alle instrumenten van het LIJ waaronder de Preselect Recidive.

Vraag 27

Op welke manier wordt Preselect nu doorontwikkeld? Kunt u de Kamer blijvend informeren over het gebruik en de doorontwikkeling van het algoritme?

Voor de Preselect Recidive is het meest recente valideringsonderzoek in 2023 uitgevoerd. Met dit onderzoek is getoetst of het instrument nog werkt zoals beoogd. Hieruit bleek dat een aanpassing van het model zoals ontwikkeld in 2013 noodzakelijk was, vooral op de volgende punten:
Vervolgens heeft de Universiteit van Amsterdam in opdracht van mijn ministerie in 2024 een vervolgonderzoek uitgevoerd naar de benodigde aanpassingen. Dit onderzoek dient als uitgangspunt voor de verbeteringen die in 2025 worden doorgevoerd, zoals hierboven genoemd. Daartoe behoort het aanscherpen van de bestaande kwaliteitscyclus, zoals de standaard periodieke evaluaties, het uitvoeren van een Data protection impact assessment (DPIA) en een Impact Assessment Mensenrechten en Algoritmes (IAMA), het herinrichten van taken en verantwoordelijkheden en het verbeteren van de informatievoorziening aan jongeren, ouder(s)/verzorger(s). Over de voortgang van de doorontwikkeling zal ik de Kamer in de tweede helft van 2025 informeren.

Vraag 28

Kunt u deze vragen afzonderlijk van elkaar en zo spoedig mogelijk beantwoorden?

Met bovenstaande beantwoording verwacht ik aan uw verzoek te hebben voldaan.

Vraag 1

Klopt het dat als men via de website werkenvoornederland.nl solliciteert bij de AIVD of MIVD hierover informatie gedeeld wordt met Google via het gebruik van Google Analytics? Zo ja, welke gegevens worden precies verzameld en verwerkt? Zo nee, kunt u een onderbouwing geven waarom dit volgens u niet het geval is?1

Nee, er worden geen gegevens van sollicitanten bij de AIVD of MIVD gedeeld met Google via het gebruik van Google Analytics op werkenvoornederland.nl. De sollicitatieprocessen van de AIVD en MIVD zijn volledig gescheiden van dit platform en worden afgehandeld via de eigen, beveiligde systemen van de AIVD en MIVD.
Google Analytics 4 (GA4) is op werkenvoornederland.nl geconfigureerd met de strengste privacy-instellingen, waarbij alle identificerende gegevens zijn uitgeschakeld en het IP-adres is geanonimiseerd tot op het niveau van het land. Hierdoor is het niet mogelijk om individuele gebruikers te identificeren a.d.h.v. de verzamelde data. De betrokken privacy en security officer binnen mijn organisatie bevestigt dat het gebruik van GA4 op deze manier voldoet aan de geldende privacywetgeving en is betrokken geweest bij de inrichting en de implementatie.
Om te garanderen dat werkenvoornederland.nl ook in de toekomst voldoet aan de gestelde privacystandaarden evalueert mijn organisatie de configuratie van Google Analytics 4 regelmatig en past deze aan waar nodig. Deze aanpak zorgt voor een optimale balans tussen het verkrijgen van inzicht in het gebruik van deze website en de bescherming van de privacy van website bezoekers.

Vraag 2

In hoeverre zijn de gegevens over bezoekers en gebruikers van werkenvoornederland.nl die worden doorgegeven aan Google Analytics mogelijk herleidbaar tot individuen? Kunt u hierin ook het IP-adres betrekken, en hoeveel huishoudens jarenlang hetzelfde IP-adres houden, en daarmee herleidbaar zijn?

De gegevens die via GA4 worden verzameld op werkenvoornederland.nl zijn niet herleidbaar tot individuele personen. Het IP-adres wordt geanonimiseerd tot op het niveau van het land, waardoor het onmogelijk is om specifieke bezoekers of huishoudens te identificeren.
Het is waar dat sommige huishoudens gedurende langere tijd hetzelfde IP-adres kunnen hebben. Echter, door het toepassen van geavanceerde anonimiseringstechnieken en het vermijden van het verzamelen van direct identificeerbare informatie zoals namen of e-mailadressen, wordt het risico op herleidbaarheid tot een minimum beperkt.
GA4 is geconfigureerd met strenge privacy-instellingen om te voldoen aan de AVG. Daarnaast voert men met regelmaat controle uit inzake de data en applicatie om de effectiviteit van de privacymaatregelen te garanderen.

Vraag 3

Als gegevens van Google Analytics mogelijk herleidbaar zijn tot individuen, klopt het dat op deze wijze de identiteit van sollicitanten bij de AIVD of MIVD feitelijk met Google wordt gedeeld?

Het is onmogelijk dat de identiteit van sollicitanten bij de AIVD of MIVD via Google Analytics wordt gedeeld. Hier zijn verschillende redenen voor. Ten eerste is er een scheiding van sollicitatieprocessen. Werkenvoornederland.nl dient enkel en alleen als promotieplatform voor vacatures. De daadwerkelijke sollicitatieprocessen bij de AIVD en MIVD vinden plaats via hun eigen, beveiligde systemen. Er is géén directe koppeling tussen deze systemen en GA4. Ten tweede hanteren we strikte privacy-instellingen. GA4 is op werkenvoornederland.nl geconfigureerd met de strengste privacy-instellingen. Dit betekent dat er geen gegevens worden verzameld die herleidbaar zijn tot individuele personen. Zo zijn gebruikersidentificatie, demografische gegevens en het volledige IP-adres uitgeschakeld. In plaats daarvan wordt het IP-adres geanonimiseerd tot op het niveau van het land. Ten derde evalueren we regelmatig. Om te garanderen dat ook in de toekomst wordt voldaan aan de hoogste privacystandaarden, wordt de configuratie van Google Analytics 4 met regelmaat geëvalueerd en aangepast waar nodig.
Door deze combinatie van technische maatregelen en strikte privacy-instellingen kan met zekerheid worden gesteld dat de gegevens die via GA4 worden verzameld, in geen geval kunnen worden gebruikt om de identiteit van sollicitanten bij de AIVD of MIVD te achterhalen.

Vraag 4

Klopt het dat in de nieuwste versie van Google Analytics, Google geen IP-adressen van bezoekers meer kan zien? Of kan Google het IP-adres nog steeds zien en belooft men alleen maar er niets mee te doen? Maakt werkenvoornederland.nl gebruik van de nieuwste versie van Google Analytics?

GA4 anonimiseert IP-adressen automatisch tot op het niveau van het land, waardoor het onmogelijk is om individuele gebruikers te identificeren. Dit betekent dat Google geen toegang heeft tot de volledige IP-adressen en deze ook niet opslaat. Deze maatregel is een essentieel onderdeel van de ingebouwde privacybescherming in GA4.
Werkenvoornederland.nl maakt inderdaad gebruik van de nieuwste versie van Google Analytics, namelijk Google Analytics 4 (GA4). Door gebruik te maken van deze versie zijn we in staat om aan de strengste privacy-eisen te voldoen. Daarnaast zijn er aanvullende maatregelen getroffen om de privacy van website bezoekers te beschermen, zoals bijvoorbeeld het uitschakelen van gebruikersidentificatie en het beperken van de dataretentie. Google kan in GA4 geen volledige IP-adressen zien, en werkenvoornederland.nl heeft alle mogelijke maatregelen getroffen om de privacy van bezoekers te waarborgen.

Vraag 5

Klopt het dat Google van de Amerikaanse wet op verzoek dit soort data moet doorgeven, ongeacht wat een Nederlands contract hierover zegt? Zo nee, kunt u dit onderbouwen?2

De Amerikaanse Cloud Act verleent Amerikaanse autoriteiten inderdaad het recht om gegevens op te vragen van bedrijven die in de Verenigde Staten gevestigd zijn, zoals Google. Dit geldt ook voor gegevens die op servers buiten de Verenigde Staten zijn opgeslagen. Echter, de specifieke gegevens die via GA4 worden verzameld op werkenvoornederland.nl vallen buiten het bereik van deze wetgeving.
De strenge anonimisering van de gegevens, met name van IP-adressen, en het ontbreken van direct identificeerbare informatie zorgen ervoor dat de gegevens die via GA4 worden verzameld op werkenvoornederland.nl geen waarde hebben voor identificatiedoeleinden. Zelfs als de Amerikaanse Cloud Act zou worden aangepast of uitgebreid, zouden deze gegevens niet kunnen worden gebruikt om individuen te identificeren en zouden ze daarom buiten het bereik vallen van eventuele dataverzoeken.
Het is in deze context belangrijk te benadrukken dat de Cloud Act primair gericht is op het verkrijgen van gegevens die nodig zijn voor strafrechtelijke onderzoeken. Gegevens die geen enkel verband houden met criminele activiteiten, zoals de geanonimiseerde data die we verzamelen, vallen buiten de reikwijdte van deze wetgeving.

Vraag 6

Deelt u de mening dat het ongewenst is als gegevens van sollicitanten bij de AIVD of MIVD worden gedeeld met Google, en in het verlengde daarmee mogelijk met een buitenlandse regering? Zo nee, waarom niet?

Ik deel de mening dat het ongewenst is dat persoonsgegevens van sollicitanten bij de AIVD of MIVD worden gedeeld met externe partijen, zoals Google, of in het verlengde daarvan met buitenlandse overheden. Om deze reden heeft mijn organisatie ervoor gekozen om GA4 dusdanig te configureren dat er geen persoonsgegevens worden verzameld of gedeeld. De verzamelde data zijn volledig geanonimiseerd, waardoor het onmogelijk is om individuele personen, waaronder sollicitanten, te identificeren.
Het delen van persoonsgegevens van sollicitanten, en in het bijzonder bij gevoelige diensten als de AIVD en MIVD, zou niet alleen een inbreuk zijn op de privacy van de kandidaten, maar zou ook een veiligheidsrisico kunnen vormen.

Vraag 7

Klopt het dat er inmiddels steeds meer alternatieven zijn voor het gebruik van Google Analytics, en dat de Nederlandse overheid ook een eigen statistieken-faciliteit heeft waarbij informatie niet met het buitenland wordt gedeeld?

Het klopt dat er steeds meer alternatieven voor Google Analytics beschikbaar zijn, waaronder open-source oplossingen zoals Matomo en Piwik PRO (van origine Franse bedrijven). Deze alternatieven bieden vaak meer controle over de data en kunnen beter aansluiten bij specifieke privacy-eisen.
De Nederlandse overheid heeft inderdaad initiatieven genomen om eigen statistieken-faciliteiten te ontwikkelen. Het doel hiervan is om de afhankelijkheid van externe aanbieders te verminderen en de controle over gevoelige data te vergroten. Echter, de implementatie van dergelijke oplossingen vereist aanzienlijke investeringen in tijd, geld en expertise.
In het geval van werkenvoornederland.nl is GA4 momenteel de gekozen oplossing vanwege de uitgebreide functionaliteit en de lagere kosten in vergelijking met sommige alternatieven zoals Matomo. Bij de keuze voor GA4 zijn, zoals eerder aangegeven, de privacy-instellingen zorgvuldig geconfigureerd om te voldoen aan de geldende wet- en regelgeving.
Het is belangrijk op te merken dat de keuze voor een analytics-tool een afweging is tussen verschillende factoren, waaronder functionaliteit, kosten, privacy en technische expertise. De keuze voor GA4 is gebaseerd op een zorgvuldige afweging van deze factoren in de context van werkenvoornederland.nl.
Bij toekomstige vernieuwingen van werkenvoornederland.nl zullen opnieuw alle beschikbare opties tegen het licht worden houden, waarbij de ontwikkelingen op het gebied van privacy, databeveiliging en cyberweerbaarheid een belangrijke rol spelen.

Vraag 8

Kunt u aangeven waarom de website werkenvoornederland.nl per se met Google Analytics moet werken? Waarom wordt er geen gebruik gemaakt van Europese alternatieven of een eigen faciliteit van de rijksoverheid?

De keuze voor GA4 voor werkenvoornederland.nl is in eerste instantie gemaakt vanwege de uitgebreide functionaliteiten en de relatief lage kosten. Het platform biedt een schat aan data over websitebezoek, waardoor we inzicht krijgen in de gebruikerservaring en onze dienstverlening kunnen optimaliseren. Echter, ik ben me bewust van de discussie rondom de privacy-implicaties van het gebruik van Amerikaanse analytics-tools en de beschikbaarheid van Europese alternatieven.
Bij de keuze voor een analytics-tool wegen we verschillende factoren mee, waaronder:
Hoewel een Europees alternatief een optie lijkt, zijn er nog enkele uitdagingen te overwinnen, zoals de hogere kosten en de noodzaak om de bestaande data-infrastructuur aan te passen. De keuze voor een alternatief voor Google Analytics vraagt een zorgvuldige afweging.

Vraag 9

Hoe staat het met het onderzoek van de Autoriteit Persoonsgegevens naar het gebruik van Google Analytics en het mogelijke verbod op het gebruik hiervan?

De Autoriteit Persoonsgegevens (AP) heeft in 2022 onderzoek gedaan naar het gebruik van Google Analytics en de mogelijke inbreuk op de Algemene Verordening Gegevensbescherming (AVG). Dit onderzoek werd geïnspireerd door vergelijkbare onderzoeken in andere Europese landen, die concludeerden dat het doorgeven van persoonsgegevens aan servers in de Verenigde Staten in strijd kan zijn met de AVG.
Dit onderzoek heb ik met grote belangstelling gevolgd en de ontwikkelingen hou ik nauwlettend in de gaten. Hoewel de AP nog geen definitieve uitspraak heeft gedaan, is het duidelijk dat er zorgen zijn over de privacy-implicaties van het gebruik van Google Analytics. Mocht de AP besluiten dat het gebruik van Google Analytics in de huidige vorm niet langer is toegestaan, dan zal ik hier uiteraard gevolg aan geven.
Er zijn, zoals eerder aangegeven, verschillende alternatieven en zij houden rekening met vernieuwingsvraagstukken waarin een scenario wordt beschreven om eventueel over te stappen.
Het is belangrijk om te benadrukken dat de privacy van werkenvoornederland.nl bezoekers zeer serieus wordt genomen. Ik zet me volledig in om te voldoen aan de geldende wet- en regelgeving en om een veilige en vertrouwde online omgeving te bieden.

Vraag 10

Kunt u aangeven welke andere Europese landen gebruik maken van Google Analytics op de sollicitatiepagina van de geheime diensten?

Het is niet eenvoudig een eenduidig antwoord te geven op de vraag welke Europese landen gebruik maken van Google Analytics op de sollicitatiepagina's van hun geheime diensten.
Geheime diensten opereren doorgaans in een omgeving van strikte vertrouwelijkheid. Dit betekent dat informatie over de gebruikte technologieën, waaronder analytics-tools, vaak niet openbaar gemaakt wordt. Daarnaast verschillen de privacywetgevingen en -praktijken tussen de verschillende Europese landen, waardoor er geen eenduidige aanpak is voor het gebruik van analytics-tools binnen de overheid.
Redenen waarom deze informatie moeilijk te achterhalen is:
Hoewel ik geen concrete gegevens kan verstrekken over het gebruik van Google Analytics door specifieke Europese geheime diensten, kan ik wel stellen dat het gebruik van analytics-tools binnen overheidsorganisaties in het algemeen steeds vaker onder de loep wordt genomen. De discussie over privacy en databeveiliging is de afgelopen jaren sterk toegenomen, en dit heeft ook terechte gevolgen voor de keuze van softwaretools.

Vraag 11

Bent u bereid te stoppen met het gebruik van Google Analytics op werkenvoornederland.nl of het solliciteren bij de geheime diensten op een andere manier te regelen? Zo nee, waarom niet?

De privacy van bezoekers aan werkenvoornederland.nl is van groot belang. Daarom sta ik open voor het evalueren van alternatieven voor Google Analytics. Ik volg de ontwikkelingen op het gebied van privacywetgeving en (nieuwe) technologieën nauwlettend en pas de werkwijze daarop aan om daarmee te voldoen aan de verwachtingen van gebruikers en afnemers.
Wat betreft het solliciteren bij de AIVD en MIVD is het voor mij van belang om te benadrukken dat Google Analytics hierbij géén rol speelt. Sollicitaties verlopen volledig via de eigen, beveiligde systemen van deze organisaties en worden niet via werkenvoornederland.nl afgehandeld.
Mocht blijken dat het gebruik van Google Analytics niet langer in lijn is met de geldende privacywetgeving, dan zal ik overstappen op een alternatief dat voldoet aan de hoogste privacy en security standaarden. Hierbij zal er rekening worden gehouden met factoren als functionaliteit, kosten en technische haalbaarheid.

Vraag 1

Bent u bekend met het bericht «Bunq ondervraagt klant via bankapp na onlinekritiek»?1, 2

Ja, daar ben ik mee bekend.

Vraag 2

Wat is uw reactie op dit bericht?

Het Financieele Dagblad schreef dat Bunq klanten via haar bankapp zou hebben benaderd en zou hebben gedreigd met beëindiging van de klantrelatie nadat deze klanten online kritiek hadden geuit over de bank. Voor de beantwoording van deze Kamervragen heb ik contact opgenomen met Bunq. De bank zegt contact op te nemen met klanten met als doel om haar dienstverlening te verbeteren. Daarbij is Bunq niet actief op zoek naar klanten die zich negatief uitlaten online over de bank. Bunq geeft aan dat het de genoemde klanten niet heeft bedreigd met beëindiging van de klantrelatie en de klantrelatie ook niet heeft beëindigd. De klanten die in het artikel van het Financieele Dagblad worden genoemd, zijn nog klanten bij Bunq.
In het algemeen geldt dat bankgegevens, zoals de naam van de cliënt, bankrekeningnummer en transactiegegevens, worden beschouwd als persoonsgegevens en vallen dus onder de privacywetgeving: de Algemene Verordening Gegevensbescherming (AVG) in combinatie met de Nederlandse Uitvoeringswet AVG (UAVG). Voor het verwerken van deze persoonsgegevens is een grondslag vereist. De Autoriteit Persoonsgegevens (AP) is de toezichthouder op naleving van de (U)AVG.

Vraag 3

Was u op de hoogte van deze signalen? Zo ja, hoe lang waren de signalen al bij u of betrokken toezichthouders bekend?

Nee, ik heb bij de publicatie van het artikel in het Financieel Dagblad voor het eerst kennisgenomen van deze berichten. De Nederlandsche Bank (DNB) is in dit geval de relevante financiële toezichthouder. DNB is over individuele instellingen geheimhouding verschuldigd. Ook de Autoriteit Persoonsgegevens (AP) heeft hier een rol. De AP kan op grond van klachten of uit eigen beweging onderzoek doen naar mogelijke overtredingen van de privacywetgeving, waaronder oneigenlijk gebruik van bankgegevens. Ik heb van de AP hier geen signalen over ontvangen.

Vraag 4

Heeft u contact gehad met Bunq naar aanleiding van dit bericht? Zo ja, met welke boodschap zocht u contact? Zo nee, bent u bereid dit alsnog te doen?

Voor de beantwoording van deze Kamervragen ben ik in gesprek gegaan met Bunq. In het algemeen geeft Bunq aan dat zij dagelijks in contact staat met haar klanten om naar hun feedback en ervaringen te luisteren en dat veiligheid en privacy altijd voorop staan. Verder geeft Bunq aan dat de bank de genoemde klanten niet heeft bedreigd met beëindiging van de klantrelatie en de klantrelatie ook niet heeft beëindigd. Voorts heeft Bunq aangegeven dat zij klanten benadert die op sociale media en fora berichten over de bank plaatsen, zodat zij haar dienstverlening kan verbeteren.

Vraag 5

Zijn er naar aanleiding van dit bericht en eerdere berichten over misstanden bij Bunq aanscherpingen geweest in het toezicht op deze bank? Is het u bekend of Bunq sindsdien interne procedures en toezicht heeft ingericht om dit soort praktijken te voorkomen?

Het is aan de AP om handhavend op te treden ten aanzien van de correcte naleving van de (U)AVG. Daarnaast zijn er verschillende wetten, waaronder de Wet op het financieel toezicht (Wft), de Wet ter voorkoming van witwassen en financiering van terrorisme (Wwft) en de Sanctiewet 1977 (Sw) die het wettelijk kader aangeven waar banken zich aan moeten houden en waar DNB toezicht op houdt. DNB is geheimhouding verschuldigd over vertrouwelijke gegevens die zij in het kader van haar toezichttaak ontvangt en verwerkt. Over specifieke instellingen kan DNB daarom geen uitspraken doen. DNB hanteert in haar toezicht een risicogebaseerde aanpak en betrekt onder meer incidentmeldingen en andere signalen bij haar prioriteitstelling. Als DNB vaststelt dat een instelling de desbetreffende wetgeving onvoldoende naleeft, kan DNB maatregelen nemen, waaronder handhavende maatregelen.

Vraag 6

Bent u van mening dat Bunq een juiste afweging gemaakt tussen de privacy van haar klanten en het eigen economische belang als zij dreigt om de relatie met een klant te beëindigen als negatieve uitingen online niet worden verwijderd?

Bij navraag laat Bunq weten dat zij de genoemde klanten niet heeft bedreigd met beëindiging van de klantrelatie en de klantrelatie ook niet heeft beëindigd.

Vraag 7

Bent u het met de indieners eens dat een bank onder geen enkele voorwaarden haar klanten onder druk mag zetten om zich op een bepaalde manier in het openbaar te uiten?

Ja, daar ben ik het mee eens.

Vraag 8

Kunt u bevestigen of Bunq daadwerkelijk klantrelaties heeft beëindigd nadat klanten kritiek hebben geuit? Hoe beoordeelt u dit in het licht van de afhankelijkheidsrelatie die een klant heeft tot zijn of haar bank?

Bij navraag laat Bunq weten dat het uiten van kritiek geen grond is om de klantrelatie te beëindigen. Volgens Bunq zijn er geen klantrelaties beëindigd vanwege het uiten van kritiek.

Vraag 9

Op welke gronden mag een bank haar relatie met een klant beëindigen? Welke bescherming geniet de klant bij een eenzijdige beëindiging van het contact aan de kant van de bank?

Beide partijen, zowel de bank als de klant, hebben het recht om de relatie te beëindigen. De gronden waarop een bank een klantrelatie kan beëindigen zijn wanneer een witwasrisico niet gemitigeerd kan worden of het cliëntonderzoek niet voltooid kan worden.3 Daarnaast kan de bank in kwestie opzeggingsgronden geformuleerd hebben in de algemene voorwaarden, zoals wanneer een betaalrekening van een particulier gebruikt wordt voor zakelijke doeleinden. In al deze gevallen hebben banken een algemene zorgplicht tegenover hun klanten, indien zij de rekening willen opzeggen. Dit betekent dat de bank op zorgvuldige wijze de belangen van de klant in acht moet nemen. Daarnaast mag de bank een klantrelatie niet beëindigen wanneer dit tot onaanvaardbare gevolgen leidt.
Wanneer een particuliere klant een klacht heeft over het handelen van een bank, kan de klant, na het doorlopen van de interne klachtprocedure van de bank, terecht bij Het Klachteninstituut Financiële Dienstverlening (Kifid). Daarnaast kan een klant naar de civiele rechter stappen.

Vraag 10

In welke wet- en regelgeving is vastgelegd hoe banken wel en niet om mogen gaan met klantgegevens? Zijn consumenten wettelijk beschermd van dit soort wanpraktijken? Zo ja, hoe wordt erop toegezien dat banken dit naleven?

Zoals in de beantwoording bij vraag 2 is aangegeven, worden bankgegevens beschouwd als persoonsgegevens en zij vallen dus onder de privacywetgeving: de AVG in combinatie met de UAVG. Voor het verwerken van deze persoonsgegevens is een geldige grondslag vereist. De AP is de primaire toezichthouder op naleving van de (U)AVG. De AP kan op grond van klachten of uit eigen beweging onderzoek doen naar mogelijke overtredingen van de privacywetgeving. Het online uiten van kritiek op een bank is geen geldige grondslag voor het verwerken van klantgegevens.

Vraag 11

Heeft Bunq beleid om te mogen achterhalen welke gebruikers negatieve uitingen doen over de bank? Zo ja, vindt u dit terecht en worden klanten hier voldoende van op de hoogte gebracht?

Bunq heeft aangegeven dat zij online sociale media en fora in de gaten houdt om de veiligheid van klanten te bevorderen. Ook zegt Bunq te reageren op online uitingen om te achterhalen hoe zij haar dienstverlening kan verbeteren.
Bunq kijkt daarom naar openbare online content, maar geeft aan niet specifiek te zoeken naar negatieve reacties.

Vraag 12

Is het toegestaan dat Bunq klantgegevens, zoals gebruikersnamen, koppelt aan informatie verkregen op andere platforms, ook als dit eigen (anonieme) meningen betreft?

Het online uiten van kritiek op een bank is geen geldige grondslag voor het verwerken van klantgegevens.

Vraag 13

Bent u bereid om de Autoriteit Financiële Markten (AFM) en De Nederlandse Bank (DNB), in navolging van de Autoriteit Persoonsgegevens (AP), te vragen om deze situatie te onderzoeken?

De AFM en DNB zijn zelfstandige bestuursorganen en functioneren als onafhankelijke toezichthouders. Ik kan de toezichthouders daarom niet vragen om een specifieke situatie te onderzoeken. De toezichthouders maken zelf de afweging wat onderzocht dient te worden.

Vraag 14

Kunt u deze vragen afzonderlijk van elkaar en zo spoedig mogelijk beantwoorden?

De vragen zijn zo afzonderlijk van elkaar, zo spoedig en volledig als mogelijk beantwoord. Vanwege de vragen aan Bunq en de toezichthouders heeft de beantwoording wat langer geduurd.

Vraag 1

Bent u bekend met de monitorrapportage 2024 «Digitale toegankelijkheid en dienstverlening» van het College van de Rechten voor de Mens?1

Ja.

Vraag 2

Kunt u op elk van de aanbevelingen van het bovengenoemde rapport ingaan en aangeven wat de inzet en het doel zijn?

Het CRM beveelt het Ministerie van VWS aan om voor de nationale strategie voor de implementatie van het VN-verdrag handicap meer concrete doelstellingen te formuleren over digitale toegankelijkheid en dienstverlening op alle terreinen van het leven, ook voor Caribisch Nederland, en deze mee te nemen in de werkagenda bij de strategie.2
Digitalisering speelt een steeds grotere rol en is niet meer weg te denken uit ons dagelijks leven. Het is daarom belangrijk dat iedereen, met én zonder beperking, toegang heeft tot digitale informatie en diensten.
De doelstellingen van de nationale strategie VN-verdrag Handicap zijn kabinetsbreed vastgesteld. Op dit moment worden de doelstellingen vertaald naar concrete maatregelen, waaronder de maatregelen die gaan over digitale toegankelijkheid. Deze maatregelen worden opgenomen in de werkagenda bij de nationale strategie.
Caribisch Nederland valt niet binnen de scope van de nationale strategie VN-verdrag Handicap. Wel wordt in Caribisch Nederland gewerkt aan het op orde brengen van de digitale overheid en overheidsdienstverlening. Voorzieningen uit (Europees) Nederland worden doorgetrokken, zoals DigiD vanaf 2025. Op dit moment loopt de parlementaire behandeling van de invoering van het BSN en de Wet digitale overheid (Wdo). De inzet is dat de digitale toegankelijkheidseisen uit de Wdo uiterlijk in 2028 voor alle overheidsorganisaties zullen gelden. Daarnaast werkt het kabinet aan verbetering van de digitale infrastructuur op de eilanden, zodat iedereen kan beschikken over betaalbaar en betrouwbaar internet. Ook worden zorginstellingen geholpen bij de overgang van papieren registraties naar digitale registratiesystemen. Daarbij wordt ook gekeken naar de toegankelijkheid en gebruiksvriendelijkheid van deze systemen voor mensen met een beperking.
Vanuit het Ministerie van BZK werken we op dit moment aan de lagere regelgeving, waaronder de besluiten die vallen onder de Wdo mogelijk ook van toepassing verklaren voor Caribisch Nederland. Via een internetconsultatie bekijken we de mogelijkheden tot aanpassing in de AMvB (Besluit tot wijziging van diverse algemene maatregelen van bestuur) en stellen voor om het Tijdelijk besluit digitale toegankelijkheid overheid en het Besluit, beveiligde verbinding met overheidswebsites en -webapplicaties in te voeren in Caribisch Nederland. Voor de toegankelijkheidsstandaard is het voornemen om 1-1-2028 als uiterste datum op te nemen waarop websites en apps aan de standaard moeten voldoen. Ook kijken we vanuit BZK naar de uitvoerbaarheid van de verplichting voor Caribisch Nederland.
Het CRM onderstreept in de rapportage dat de overheid mensen met een beperking en hun vertegenwoordigende organisaties vanaf het begin structureel moet betrekken bij het opstellen, uitvoeren en evalueren van wetgeving en beleid over digitale toegankelijkheid en dienstverlening. Het CRM benadrukt het belang hiervan voor de inrichting en uitvoering van het centrale toezicht op het Besluit digitale toegankelijkheid, ontwikkeling van de Informatiepunten digitale overheid (IDO’s) en de overheidsbrede loketten. Ook doet het CRM de aanbeveling aan het Ministerie van VWS om prioriteit te geven aan het ontwikkelen van een infrastructuur voor het betrekken van mensen met een beperking en hun vertegenwoordigende organisaties.
Voor het Ministerie van BZK is het belangrijk dat we aansluiten op de leefwereld van mensen door met hen in gesprek te gaan en hen te betrekken bij het vaststellen van problemen én het oplossen daarvan. Voor onderwerpen als de loketfunctie – waaronder de IDO’s en de overheidsbrede loketten – en proactieve dienstverlening doet BZK dat bijvoorbeeld met iteratief, ontwerpend onderzoek, samen met mensen.
Het Ministerie van BZK is bezig om de toepassingen van de Code Inclusief Digitaal Ontwerpen (CIDO) te integreren in het NL Design System (NLDS). NLDS geeft richtlijnen en componenten voor het ontwikkelen van digitale diensten. Hierbij wordt uitgegaan van toegankelijkheid, gebruikersvriendelijkheid, inclusiviteit en consistentie, ondersteund door gebruikersonderzoek. De CIDO moet erop toezien dat bij het ontwerpen van websites en applicaties de eindgebruikers (onder wie mensen met een beperking) worden betrokken. Deze randvoorwaarden zijn nodig om inclusief ontwerpen te stimuleren. Overheidsorganisaties en eindgebruikers werken samen om digitale toegankelijkheid te verwezenlijken.
Bij de ontwikkeling van de werkagenda bij de nationale strategie VN-verdrag handicap zijn mensen met een beperking nauw betrokken. De Staatssecretaris Langdurige en Maatschappelijke Zorg maakt in dit ontwikkelproces afspraken met de betrokken ministeries over hoe mensen met een beperking betrokken kunnen worden bij de uitvoering van de maatregelen die worden opgenomen in de werkagenda.
En ten slotte, in het Beleidskompas, wat de huidige werkwijze is voor beleids- en wetgevingstrajecten binnen de Rijksoverheid, is het betrekken van belanghebbenden (waaronder vertegenwoordigende organisaties van mensen met een beperking), een onderdeel in alle stappen van het proces.
Het CRM beveelt het Ministerie van BZK aan om vast te leggen in het beleid dat overheidsinstanties organisatie-breed en voortdurend aandacht dienen te besteden aan digitale toegankelijkheid. Tevens moeten overheidsinstanties eisen stellen aan digitale toegankelijkheid bij hun inkoopvoorwaarden. Tot slot, benadrukt het CRM dat het van belang is dat het centrale toezicht op de naleving van het Besluit digitale toegankelijkheid effectief is en regelmatig plaatsvindt.
Het Ministerie van BZK vindt het belangrijk dat overheidswebsites en applicaties voldoen aan het Besluit digitale toegankelijkheid overheid. Het Ministerie van BZK gaat op de volgende onderdelen inzetten:
Het CRM vraagt in zijn monitorrapportage aan het Ministerie van BZK om een tijdpad te presenteren voor de verschillende stappen die gezet gaan worden om toegang tot overheidsdienstverlening voor wettelijke vertegenwoordigers en gemachtigden te garanderen.
De publieke dienstverlening van de (semi)-overheid digitaliseert. Burgers die (deels) handelingsonbekwaam zijn en niet zelfstandig mogen handelen, zoals personen die onder bewind of curatele staan of minderjarigen, hebben een door de wet of door de rechter aangestelde wettelijk vertegenwoordiger (bewindvoerder, curator, mentor of een persoon met gezag over een minderjarige).
Uw Kamer heeft de door BZK ontraden motie van het lid Ceder (36 600 VII, nr. 61) aangenomen. De motie-Ceder vraagt voor het zomerreces van 2025 het probleem op te lossen dat wettelijke vertegenwoordigers soms noodgedwongen in overtreding zijn bij DigiD-machtigingen.
In de beantwoording van de vragen van het lid Inge van Dijk (CDA) (20232024–878) door mijn voorganger aangegeven, zal BZK totdat alle overheidsdienstverleners zijn aangesloten, zoals aangeven in de beantwoording van de vragen van de SGP-leden Bisschop en Van der Staaij (2022D22285) en GroenLinks-leden Westerveld en Bouchallikh (2022Z10723), niets doen dat de hulp aan deze groep in de weg kan staan. Het gaat dan uitdrukkelijk om handelingsonbekwame hulpbehoevenden die een wettelijk vertegenwoordiger hebben.
Digitale toegang voor wettelijk vertegenwoordigers is nu alleen mogelijk bij de Belastingdienst, WIL Lekstroom en via twee pilots bij de gemeente Rotterdam en Den Haag (bijstand) en MUMC+. Bij de overige dienstverleners kunnen ze via de eigen daarvoor ingerichte processen van de publieke dienstverleners inloggen en zaken doen.
Hierbij informeert BZK uw Kamer over de structurele mogelijkheden en hoe BZK aan oplossingen werkt. Momenteel werkt BZK aan een bevoegdheidsverklaringsdienst (BVD) om de bronnen Wettelijk Vertegenwoordigingsregister (WVR) en Ouderlijk Gezag te kunnen ontsluiten. Via de uitrol van het Stelsel Toegang zal ik stapsgewijs de voorzieningen die zijn gerealiseerd voor wettelijke vertegenwoordigen van handelingsonbekwame burgers beschikbaar maken. Te beginnen met ouderlijk gezag (kinderen jonger dan 12 jaar) in de zorgsector vanaf januari 2026. Eerder is niet mogelijk omdat het bouwen van de voorzieningen tijd vraagt en wetgeving aangepast moet worden. Daarnaast moeten dienstverleners aansluiten op alle voorzieningen en hun systemen aanpassen voor implementatie hiervan. Het gaat om een hele keten die goed en vooral zorgvuldig ingericht moet worden, en dat vergt (doorloop) tijd. Ik zal u hier in de komende Verzamelbrieven verder over informeren.
In de monitorrapportage roept het CRM het Ministerie van VWS op om toegankelijkheidseisen voor de sectoren zorg en onderwijs bindend vast te leggen. Hiertoe vraagt het CRM om een tijdlijn te schetsen en de voortgang hierop te monitoren.
Het Ministerie van VWS en het Ministerie van BZK werken samen met andere departementen aan de uitwerking van de werkagenda bij de nationale strategie voor de implementatie van het VN-verdrag Handicap, die vóór de zomer van 2025 wordt gedeeld met de Kamer. In de gesprekken over deze werkagenda wordt in overleg met de Ministeries van VWS, BZK en OCW ingezet op afspraken te maken over de manier waarop de eisen voor digitale toegankelijkheid ook voor de domeinen Zorg en Onderwijs kunnen gaan gelden.
Ook wijst het CRM erop om te investeren in de training van ontwikkelaars en producenten. In deze trainingen moet expliciet aandacht zijn voor het VN-verdrag Handicap en het principe van universeel ontwerp. Het is belangrijk dat ontwikkelaars en producenten het principe van universeel ontwerp kennen en kunnen toepassen.
Het Ministerie van VWS zet zich in voor het verder verspreiden van kennis over het VN-verdrag Handicap. De afgelopen jaren is dit onder andere samen gedaan met bijvoorbeeld de VNG en Ieder(in), met verschillende concrete kennisproducten en -activiteiten als resultaat. In 2025 start een programma vanuit de Nationale Wetenschapsagenda (NWA). Dit programma richt zich op het ontwikkelen van kennis die bijdraagt aan de verandering in denken en doen over mensen met een beperking in de samenleving. Deze kennis kan worden benut om met verschillende partijen samen te werken aan een toegankelijke samenleving voor iedereen. Ook zijn er mooie voorbeelden van andere partijen, zoals kennisinstellingen en universiteiten die specifieke kennis over toegankelijkheid en inclusie delen, bijvoorbeeld het Expertisecentrum inclusief onderwijs (ECIO) dat kennis deelt over het VN-verdrag Handicap met onderwijsinstellingen. Daarnaast verkent het Ministerie van VWS de opties voor het vergroten van kennis over het VN-verdrag Handicap bij ambtenaren binnen de Rijksoverheid.

Vraag 3

Hoe reageert u op het feit dat meer dan de helft van alle overheidsdiensten en lokale overheden niet toegankelijk is volgens de wet?2 Zijn de richtlijnen voor algemene toegankelijkheid zoals beschreven in het Tijdelijk besluit digitale toegankelijke overheid nog actueel?3

Het Ministerie van BZK vindt het aantal overheidswebsites en -apps die aan de wettelijke verplichting voldoen te laag.
De richtlijnen voor digitale toegankelijkheid, zoals beschreven in het Besluit digitale toegankelijke overheid, zijn actueel. De Europese norm EN 301549 is leidend. Wanneer er nieuwe vereisten komen voor digitale toegankelijkheid, wordt deze Europese norm herzien en zullen die vereisten ook gelijk in Nederland gelden.

Vraag 4

Hoe geeft u uitvoering aan de motie-Westerveld4 over de uitleg van wetsvoorstellen in toegankelijke taal? Ziet u met ons dat dit niet standaard gebeurd? Kunt u laten weten wat u gaat doen om dit uit te voeren, samen met uw collega-bewindspersonen?

De motie van het lid Westerveld (GroenLinks-PvdA) verzoekt een heldere toelichting te maken bij ieder wetsvoorstel, zodat iedere burger en met name mensen met minder taalvaardigheden, gemakkelijker toegang hebben tot wetsvoorstellen en deze ook kunnen begrijpen. Naar aanleiding van deze motie wordt dit punt ook aan de orde gesteld in het zogenoemd Interdepartementaal Hoofdenoverleg Wetgevingsbeleid (IHW).
Het is belangrijk dat alle burgers begrijpen wat in wet- en regelgeving staat. Op de website van het Kenniscentrum voor beleid en regelgeving van de Rijksoverheid zijn de principes van Duidelijke Taal in wet- en regelgeving uiteengezet. Ook zijn er tips en trainingen die beleidsmedewerkers en wetgevingsjuristen kunnen gebruiken om Duidelijke Taal als uitgangspunt te nemen bij het opstellen van wet- en regelgeving. En is er een groep ambassadeurs van Duidelijke Taal (wetgevingsjuristen, beleidsjuristen en beleidsmedewerkers) die zich inzetten om de principes van Duidelijke Taal onder de aandacht te brengen bij de verschillende departementen én in de werkwijze te integreren. Verder wordt bij de Schrijfwijzer van de memorie van toelichting verwezen naar de pagina over Duidelijke Taal.

Vraag 5

Kunt u een tijdlijn maken met daarin wanneer alle overheidswebsites en -applicaties aan de wet voldoen? Zijn er sancties nodig om organisaties aan te sporen hun diensten toegankelijk te maken?

Een plan van aanpak op digitale toegankelijkheid stuurt de Staatssecretaris van BZK einde Q1 naar uw Kamer. Of sancties nodig zijn, wordt nog onderzocht. Momenteel blijkt namelijk dat het in de praktijk voor overheden lastig is om PDF’s op een digitaal toegankelijke manier te ontsluiten. Daarvoor wordt een voorziening ontwikkeld (NLdoc), beschikbaar einde 2025. De verwachting is dat dit een positieve impact zal hebben op de digitale toegankelijkheid van overheidswebsites.
Verder, op het gebied van toezicht zijn het afgelopen jaar in een drietal rondes zogenoemde «signaleringsbrieven» verzonden aan diverse overheidsorganisaties. In deze brieven werden overheidsorganisaties erop geattendeerd om te voldoen aan de wettelijke verplichting en werd er gewezen op hulp die er geboden kon worden.

Vraag 6

Is het uw ambitie om alle overheidsdiensten te laten voldoen aan de A-classificatie van het Dashboard DigiToegankelijk? Welke diensten moeten volgens u met voorrang aan deze eis voldoen en hoe gaat u hiervoor zorgen?

De ambitie van het Ministerie van BZK is om zoveel mogelijk overheidsorganisaties te laten voldoen aan het Besluit Digitale Toegankelijkheid Overheid. Dat betekent een focus op de A t/m C statussen. Zie ook het antwoord onder vraag 2, aanbeveling 3.

Vraag 7

Bent u van mening dat ook uitvoeringsorganisaties, zorgorganisaties en onderwijsinstellingen aan deze eisen voor toegankelijkheid moeten voldoen?

Zorgorganisaties en onderwijsinstellingen hoeven momenteel niet te voldoen aan de eisen voor toegankelijkheid, omdat zij niet vallen onder het Besluit digitale toegankelijkheid overheid of de Europese toegankelijkheidsrichtlijn. Het besluit geldt voor overheidsinstanties en de Europese toegankelijkheidsrichtlijn voornamelijk voor bedrijven en ondernemers. Momenteel verkennen wij (het Ministerie van VWS, OCW en BZK) de mogelijke opties om de toegankelijkheidsvoorschriften te laten gelden voor de sectoren zorg en onderwijs. We streven ernaar hierover een concrete maatregel op te nemen in de werkagenda voor de Nationale Strategie VN-Verdrag.

Vraag 8

Bent u bereid de implementatie van het verdrag van de Verenigde Naties inzake de rechten van personen met een handicap (VN-verdrag handicap) uit te breiden naar zorg en onderwijs, zoals in andere landen het geval is? Kunt u hierover met deze sectoren afspraken maken?

In 2016 heeft Nederland het VN-Verdrag Handicap geratificeerd. Sindsdien werkt het kabinet aan de verdere implementatie van het Verdrag, ook waar het gaat om zorg en onderwijs. De artikelen 24 en 25 van het VN-Verdrag Handicap gaan immers over zorg en onderwijs.
Zie ook beantwoording onder vraag 7.

Vraag 9

Welke minimumvereisten over toegankelijkheid zijn er voor hulpdiensten zoals de politie, brandweer en medische hulpdiensten?

De wettelijke verplichting is om minimaal te voldoen aan de Europese standaard voor digitale toegankelijkheid, EN301549. De standaard beschrijft voor een breed scala van ICT-toepassingen aan welke eisen deze moeten voldoen voor mensen met een functiebeperking.
Zowel de website van de Landelijke Meldkamer Samenwerking (LMS), als de twee belangrijke websites van de politie, waaronder politie.nl en kombijdepolitie.nl, hebben een B-score. Hiermee voldoen zij aan de wettelijke eisen van het Tijdelijk besluit digitale toegankelijkheid overheid. Voor de overige websites wordt gewerkt aan een verbetering of koppeling aan de site politie.nl en kombijdepolitie.nl
Daarnaast ligt de verantwoordelijkheid voor de bereikbaarheid van alarmnummer 112 bij de Minister van Justitie en Veiligheid (JenV) en de Minister van Economische Zaken (EZ). Er zijn verschillende manieren waarop 112 te bereiken is voor mensen met een beperking:

Vraag 10

Bent u het eens met de stelling dat het van het grootste belang is dat alle mensen met een beperking altijd gebruik moeten kunnen maken van overheidsdiensten als hulpdiensten en dit ook is afgesproken in het Tijdelijk besluit digitale toegankelijkheid overheid en het VN-verdrag handicap?

Alle mensen, dus ook alle mensen met een beperking, dienen toegang te hebben tot overheidsdiensten als hulpdiensten. Dit geldt dus ook voor het alarmnummer 112, ongeacht het tijdstip van de dag. Zie verder het antwoord onder vraag 9.

Vraag 11

Op welke manier is toegankelijkheid nu een vast onderdeel van de ontwikkeling van nieuwe websites, applicaties en formulieren bij alle overheidslagen? Worden eindgebruikers nu standaard meegenomen bij het ontwerpen? Zo ja, welke standaarden gelden hiervoor?

Digitale toegankelijkheid is nog geen vast onderdeel bij de ontwikkeling van nieuwe websites, mobiele applicaties (apps) en formulieren bij alle overheidslagen. Het plan is om eindgebruikers via de aanpak van het NLDS een vast onderdeel te laten uitmaken van de standaard aanpak voor eindgebruikers bij het ontwikkelen van overheidswebsites en apps. Zie ook de beantwoording onder vraag 2, aanbeveling 2 en 3.

Vraag 12

Waar kunnen mensen aankloppen en een melding doen op het moment dat een overheidsdienst of hulpdienst niet toegankelijk is? Kan dit op een toegankelijke manier en wat wordt er vervolgens mee gedaan?

Momenteel kunnen meldingen van ontoegankelijke websites en apps op de website van DigiToegankelijk.nl ingediend worden.
In de hernieuwde aanpak van BZK wordt er nieuw beleid ontwikkelt en trekken we de geleerde lessen uit andere voorbeelden die hebben gewerkt. Hierbij willen we bijvoorbeeld kijken naar de geleerde lessen bij de invoering van de Coordinated Vulnerability Disclosure (CVD). Met de invoering hiervan is het op een verantwoorde wijze en in gezamenlijkheid tussen melder en organisatie openbaar maken van ICT-kwetsbaarheden op de kaart gezet en kan iedereen een melding doen bij een bedrijf, overheidsinstantie of andere organisatie. De organisatie heeft dan de kans om de kwetsbaarheid op te lossen.
Vanuit digitale toegankelijkheid wordt er gekeken naar een soortgelijke aanpak, op websites van overheden en hulpdiensten, waar mensen een melding rechtstreeks bij de organisatie kunnen doen zodat de digitale toegankelijkheid daar waar dat nodig is, verder bevorderd kan worden.

Vraag 13

Op welke manier worden bestaande diensten verbeterd op basis van input door eindgebruikers? Is de overheid in staat om diensten die zij heeft ingekocht van derden zelf aan te passen om ze toegankelijk te maken?

Het Ministerie van BZK biedt overheidsorganisaties de mogelijkheid om gebruik te maken van generieke hulpmiddelen om hun diensten te verbeteren. Deze hulpmiddelen worden ontwikkeld aan de hand van gebruikersonderzoeken, waarbij overheidsorganisaties zelf de keuze hebben of en hoe zij deze hulpmiddelen inzetten. Overheidsorganisaties zijn hierbij zelf verantwoordelijk voor de inkoop van hun diensten. Er zijn algemene inkoopvoorwaarden waar gebruik van wordt gemaakt, maar het kan per situatie verschillen in of de overheidsorganisatie zelf of de leverancier toegankelijkheidsproblemen oplost.

Vraag 14

Kunt u concreet maken welke toekomst u ziet voor de Informatiepunten Digitale Overheid (IDO’s)?

In 2026 verandert de financiering van de IDO’s. De huidige Specifieke Uitkering (SPUK), die de uitvoering belegt bij bibliotheken, komt te vervallen. In plaats daarvan worden de middelen voor de IDO-dienstverlening aan het Gemeentefonds toegevoegd. Dit is een kabinetsbesluit. Gemeenten kunnen dan, met hun kennis van de lokale context, zelf beslissen welke organisatie de laagdrempelige ondersteuning kan bieden. Dat kan nog steeds de bibliotheek zijn, maar ook een andere organisatie als dat in de lokale context beter past, het niveau van de dienstverlening gegarandeerd blijft en mensen zo beter worden bereikt, omdat ze daar vaker komen.
Samen met partners brengen we in 2025 in kaart wat de consequenties, kansen en risico’s van de nieuwe wijze van financiering zijn voor de IDO’s. Uitgangspunt is dat de laagdrempelige, empathische ondersteuning en informatievoorziening in de gemeente behouden blijft.

Vraag 15

Bent u bekend met het onderzoek van KPMG, gedaan op verzoek van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, waaruit blijkt dat de financiering voor IDO’s al structureel te laag is?5

Ja, de Staatssecretaris van BZK is bekend met het exploitatieonderzoek van KPMG. Uit het onderzoek blijkt dat er geen gemiddelde exploitatiekosten van het Informatiepunt Digitale Overheid te bepalen zijn, omdat ze sterk uiteenlopen en een reflectie zijn van de lokale inrichting van het IDO en de keuzes in de uitvoering. Bibliotheekorganisaties lijken, aldus het onderzoek, de IDO-middelen voornamelijk in te zetten voor de financiering van de directe uitvoeringskosten van de IDO’s. Indirecte kosten als overhead, huisvesting en automatisering worden door de bibliotheek vaak uit andere middelen dan de specifieke uitkering (SPUK) gefinancierd. Uit het onderzoek blijkt ook dat de toevoeging van de IDO’s aan de dienstverlening van de bibliotheken niet altijd heeft geleid tot een toename van deze overheadkosten. KPMG doet vervolgens de aanbeveling aan gemeenten om de opdracht aan bibliotheken te concretiseren, zodat meer gestuurd kan worden op hetgeen mogelijk is met het beschikbare budget.

Vraag 16

Hoe verenigt u de ambitie om de dienstverlening van IDO’s op peil te houden met de huidige ontoereikende financiering en de voorgenomen bezuiniging op deze voorziening? Bent u het met ons eens dat de middelen voor IDO’s jaarlijks geïndexeerd moeten worden?

De overheveling naar het gemeentefonds gaat gepaard met een korting van 10%. De overheveling verlaagt de administratieve en financiële kosten voor gemeenten door een vermindering van controle- en verantwoordingslasten. Het standpunt van het kabinet is dat dit niet moet leiden tot een inhoudelijke korting op de dienstverlening vanuit de IDO’s.
De middelen voor de SPUK IDO worden op dit moment niet geïndexeerd. Als in de toekomst de middelen worden overgeheveld naar het gemeentefonds, dan geldt dat de ontwikkeling van de omvang van het gemeentefonds (algemene uitkering en decentralisatie-uitkeringen) de ontwikkeling van het bruto binnenlands product (accres) volgt. Dit accres is, evenals alle middelen uit het gemeentefonds, vrij besteedbaar en wordt daarom niet toegerekend aan specifieke onderdelen van de algemene uitkering en/of aan decentralisatie-uitkeringen. Het is dan ook aan gemeenten hoeveel van dit accres ze vervolgens willen toewijzen aan de IDO.

Vraag 17

Welke gevolgen heeft het wegvallen van de specifieke uitkeringen aan gemeenten (SPUK-gelden) voor de toekomst van de IDO’s? Bent u het eens met de stelling dat dit middel er juist voor zorgt dat bibliotheken de loketten goed aan kunnen sluiten op de lokale gemeenschap?

Gemeenten kunnen dan, met hun kennis van de lokale context, zelf beslissen welke organisatie de ingang tot publieke dienstverlening en de laagdrempelige ondersteuning kan bieden zoals bibliotheken dat nu doen. Dat kan de bibliotheek zijn, maar ook een andere organisatie als dat in de lokale context beter past en het niveau van dienstverlening gegarandeerd blijft. Begin 2025 presenteert de Staatssecretaris van BZK een beleidsvisie op fysieke en lokale ondersteuning bij regelzaken met de overheid, waarin een belangrijke rol is weggelegd voor gemeenten om lokaal vorm te geven aan passende ondersteuning en publieke dienstverlening. In 2025 verkent de Staatssecretaris van BZK, met partners, hoe het Ministerie van BZK gemeenten hierbij kan blijven ondersteunen.

Vraag 18

Kunt u verzekeren dat, als de subsidie voor IDO’s met een korting over wordt gemaakt naar het gemeentefonds, deze nog altijd ten goede zal komen van deze loketten? Waaruit zal dat blijken?

De inzet van de Staatssecretaris van BZK is om de laagdrempelige dienstverlening, zoals geboden vanuit het IDO, in stand te houden en daarover gaat het Ministerie van BZK graag met gemeenten verder in gesprek. Door de nieuwe financieringsvorm krijgen gemeenten de beleidsvrijheid om lokaal te bepalen waar welke dienstverlening nodig is en hoe ze dit het meest effectief kunnen inrichten.
Het kabinet zet in op het vergroten van bereikbaarheid en toegankelijkheid van overheidsorganisaties (hfst 7.2 Goed Bestuur uit regeerakkoord). Dat gebeurt zoveel mogelijk bij bestaande loketten en logische plaatsen waar mensen op zoek gaan naar hulp, zoals bijvoorbeeld wijkcentra, de IDO’s en buurthuizen. De Staatssecretaris van BZK presenteert zijn visie hierop aan de Kamer in Q1 2025.

Vraag 19

Bent u bereid om in gesprek te gaan met IDO-beheerders, bibliotheken en de Vereniging Nederlandse Gemeenten (VNG) en om verschillende financieringsmodellen uit te werken die de regierol van bibliotheken behoudt?

Met de SPUK IDO werd beoogd om gemeenten regie te geven over het netwerk van organisaties rond de IDO. Het kabinetsbesluit om alle SPUKs af te schaffen en de financiële middelen over te hevelen naar het gemeentefonds is in lijn met de visie van de Staatssecretaris van BZK. De visie biedt namelijk meer beleidsvrijheid voor gemeenten om te bepalen waar lokaal welke dienstverlening nodig is en wie deze uitvoert. Er worden daarom geen verschillende financieringsmodellen uitgewerkt die de uitvoering van het IDO exclusief bij de bibliotheek beleggen.

Vraag 20

Waar kunnen mensen (met een beperking) aankloppen als zij vragen hebben omtrent de digitale dienstverlening van private partijen? Hoe kan de samenwerking met IDO’s op dit vlak versterkt worden?

Private partijen zijn in eerste instantie zelf verantwoordelijk voor goede toegankelijke dienstverlening. De Staatssecretaris van BZK ziet mogelijkheden in samenwerking met (semi-)private partijen die essentiële dienstverlening bieden, zoals woningbouwcorporaties en zorgverzekeraars. Uitgangspunt hierbij is dat in die samenwerking een wederkerigheid moet zitten, omdat de inzet van publieke middelen private partijen niet ontslaat van het bieden van goede en voor iedereen toegankelijke dienstverlening.

Vraag 21

Bent u het eens met de mening dat het zeer zorgwekkend is dat in de zorgsector veel websites niet of niet volledig toegankelijk zijn? Bent u bereid om afspraken te maken met de sector over de toegankelijkheid van lokale en landelijke zorgportalen?

Zorgorganisaties en onderwijsinstellingen hoeven momenteel niet te voldoen aan de eisen voor toegankelijkheid, omdat zij niet vallen onder het Besluit digitale toegankelijkheid overheid of de Europese toegankelijkheidsrichtlijn. Het besluit geldt voor overheidsinstanties en de Europese toegankelijkheidsrichtlijn voornamelijk voor bedrijven en ondernemers. Momenteel verkennen wij (het Ministerie van VWS, OCW en BZK) de mogelijke opties om de toegankelijkheidsvoorschriften te laten gelden voor de sectoren zorg en onderwijs. We streven ernaar hierover een concrete maatregel op te nemen in de werkagenda voor de Nationale Strategie VN-Verdrag.

Vraag 22

Op welke wijze worden mensen met een beperking en hun vertegenwoordigende organisaties betrokken bij wetgeving en beleid over digitale toegankelijkheid en dienstverlening en de uitvoering daarvan?

Mensen met een beperking worden betrokken bij het maken van beleid en wetgeving over digitale toegankelijkheid en dienstverlening. Mensen met een beperking worden bijvoorbeeld betrokken bij de herziening van de internationale standaard voor digitale toegankelijkheid. Deze standaard wordt beheerd door het World Wide Web Consortium. Als een website voldoet aan deze wettelijk verplichte standaard, wordt er dus aan de behoeften van mensen met een beperking voldaan.

Vraag 23

Kunt u deze vragen afzonderlijk van elkaar en in ieder geval vóór het commissiedebat over digitale inclusie beantwoorden?

Ja.

Vraag 1

Herinnert u zich de antwoorden van uw ambtsvoorganger op Kamervragen over het ontbreken van een geboortedatum in de Basisregistratie Personen (BRP)?1

Ja. In de beantwoording van die Kamervragen is vermeld dat de problematiek van het hebben van een (gedeeltelijk) onbekende geboortedatum op termijn tot het verleden zou moeten gaan behoren. In de Wet Basisregistratie Personen (Wet BRP), die op 6 januari 2014 in werking is getreden, is namelijk een voorziening getroffen voor de gevallen waarin bij inschrijving van een vreemdeling als ingezetene (inwoner) in de BRP geen geboortedatum kan worden vastgesteld. Er wordt in die gevallen uitgegaan van de (al dan niet fictieve) geboortedatum die bij de toelating van betrokkene tot Nederland door de Minister van J&V (momenteel de Minister van Asiel en Migratie (A&M)) is vastgesteld.2

Vraag 2

In hoeverre is de verwachting van uw ambtsvoorganger dat de problematiek van het hebben van een (gedeeltelijk) onbekende geboortedatum «tot het verleden moet gaan behoren» uitgekomen?

Die verwachting is uitgekomen, in zoverre dat vanaf 2014 het aantal nieuwe inschrijvingen van inwoners met een onvolledige geboortedatum in totaal minder dan 40 is. Een volledig onbekende geboortedatum komt helemaal niet meer voor bij inwoners die geregistreerd staan in de BRP.

Vraag 3

Hoeveel personen zijn er (naar schatting) waarvan nog voor de inwerkingtreding van de Wet Basisregistratie personen (Wet BRP) een (gedeeltelijk) onbekende geboortedatum in de BRP is opgenomen?

Op dit moment3 gaat het om ongeveer 35.950 inwoners. Dit aantal is sinds de invoering van de Wet BRP in 2014 gedaald. Vanaf 6 januari 2014 tot 22 december 2024 hebben 2.750 inwoners hun (gedeeltelijk) onbekende geboortedatum laten corrigeren naar een volledige geboortedatum.

Vraag 4

Deelt u de mening dat het hebben van een geboortedatum met «00» of «XX» vanwege de steeds verdergaande digitalisering van (overheid)systemen voor die personen tot onoverkomelijke problemen kan leiden, bijvoorbeeld bij het ontvangen van AOW of bij andere registraties omdat die systemen «00» of «XX» niet aanvaarden? Zo nee, waarom niet?

In het algemeen kan ik hierover zeggen dat de meeste organisaties die gebruikmaken van de BRP bij het ontbreken van een volledige geboortedatum, een fictieve geboortedatum hanteren (zie bijvoorbeeld het Besluit beleidsregels van de SVB4). Ik kan echter niet uitsluiten dat er nog (overheids)systemen zijn die niet of moeilijk de gedeeltelijk onbekende geboortedatum kunnen verwerken en dat dit het zelfstandig functioneren van personen belemmert. De inwoner heeft in dergelijke gevallen wel handelingsperspectief. Hij kan de gemeente verzoeken om zijn geboortedatum te rectificeren (zie het antwoord op vraag 6).

Vraag 5

Deelt u de mening dat het niet zelfstandig kunnen opereren in een digitale omgeving omdat de registratie van de geboortedatum dat belemmert, ook het zelfstandig functioneren van die personen belemmert? Zo nee, waarom niet?

Zie antwoord vraag 4.

Vraag 6

Bent u bereid om ervoor te zorgen dat personen die nog steeds met een geboortedatum «00»of «XX» geregistreerd staan alsnog een fictieve geboortedatum kunnen krijgen die wel in digitale systemen kan worden verwerkt? Zo ja, op welke wijze en welke termijn gaat u dit doen? Zo nee, waarom niet en hoe moeten deze personen dan wel problemen met digitale registraties omzeilen?

Personen die met een onvolledige geboortedatum in de BRP staan, kunnen bij hun gemeente een verzoek indienen om hun geboortedatum te laten rectificeren.5 Bij een verzoek tot rectificatie moet een brondocument worden overgelegd. Personen die met een onvolledige geboortedatum in de BRP staan, kunnen doorgaans (redelijkerwijs) geen document overleggen waaraan de geboortedatum kan worden ontleend. Indien de betrokkene zelf weet wat zijn geboortedatum is, kan hij een verklaring onder eed of belofte afleggen bij de gemeente (artikel 2.8, tweede lid, onderdeel e, van de Wet BRP). De geboortedatum kan dan op basis van die verklaring worden gerectificeerd.
Als de inwoner niet kan verklaren wat zijn geboortedatum is of indien aannemelijk is dat die verklaring onjuist is6, kan de gemeente de Minister van A&M vragen om een mededeling van de geboortedatum op grond van artikel 2.17 van de Wet BRP, voor zover deze gegevens zijn vastgesteld in het kader van de toelating van betrokkene tot Nederland. De gemeente past de geboortedatum in de BRP dan aan op basis van de mededeling van de Minister van A&M.

Vraag 1

Bent u bekend met het bericht dat er nergens zoveel kinderporno wordt gemeld als in Nederland, maar dat politie en justitie weinig middelen hebben om kinderporno aan te pakken.1, 2

Ja, ik ben bekend met dit bericht.

Vraag 2

Wat is uw reactie op het bericht dat de Nederlandse hostingsector de mondiale spil is in online kindermisbruik, maar dat er nauwelijks iets tegen gebeurt?

Het is verschrikkelijk dat Nederlandse servers gebruikt dan wel misbruikt worden voor één van de heftigste vormen van illegaal materiaal: materiaal van seksueel kindermisbruik. Circulatie van dergelijk materiaal werkt secundaire victimisatie in de hand: mensen die ooit misbruikt zijn ervaren angst voor confrontatie met materiaal dat van hen gemaakt is. In Nederland wordt namelijk in vergelijking met andere Europese landen relatief veel kinderpornografisch materiaal gehost. De belangrijkste oorzaak hiervan is het knooppunt dat Nederland vormt voor het gehele Europese internet: mede vanwege het gunstige vestigingsklimaat, de directe aansluiting op onderzeekabels tussen de continenten en de goede digitale infrastructuur, is Nederland een aantrekkelijk land voor datacentra en hostingproviders. Dat betreur ik ten zeerste. Daar staat tegenover dat het overgrote deel van de hostingproviders in Nederland, in het kader van de zelfregulering, de verwijderverzoeken van Offlimits honoreert en al goed samenwerkt met de Nederlandse overheid.
De snelheid waarmee dit materiaal via het internet wordt verspreid, de groei in het aantal meldingen daarover en de weigering van een aantal tussenpersonen om tegen online kinderpornografisch materiaal op te treden, is voor het vorige kabinet aanleiding geweest voor een aanvullend instrumentarium als sluitstuk op de zelfregulering: de Wet bestuursrechtelijke aanpak online kinderpornografisch materiaal. Deze is op 1 juli 2024 in werking getreden. Deze wet regelt onder meer de bevoegdheid voor de ATKM om aanbieders van hostingdiensten gevestigd in Nederland, dan wel op Nederlands grondgebied kinderpornografisch materiaal hebben opgeslagen, te verplichten online kinderpornografisch materiaal ontoegankelijk te maken en bestuursrechtelijk te handhaven wanneer zij dat niet doen. Indien aanbieders van hostingdiensten niet meewerken, kan de ATKM een last onder dwangsom of bestuurlijke boete opleggen oplopend tot 10% van de jaarlijkse omzet van de onderneming. Daarmee heeft het Ministerie van Justitie en Veiligheid een belangrijke stap gezet in de aanpak van de hosting van dit materiaal. Uiteraard zijn we er nog niet, en dienen de positieve effecten van de wetgeving te worden afgewacht.

Vraag 3

Deelt u de mening dat het omslachtig is en onnodig tijd kost dat het meldpunt kindermisbruik verwijderverzoeken van individuele foto’s of filmpjes naar hostingbedrijven stuurt, die vervolgens 24 uur de tijd hebben om de content offline te halen, mits ze goedwillend zijn?

Ik begrijp dat het voor de medewerkers van Offlimits omslachtig voelt om een site die vol lijkt te staan met materiaal van seksueel kindermisbruik toch video voor video te moeten bekijken. Ik erken de zwaarte van hun werkzaamheden en heb dan ook veel respect voor hun inzet en doorzettingsvermogen.
Offlimits is een non-profitorganisatie die meerdere programma’s herbergt, waaronder het Meldpunt Kinderporno. Het Ministerie van Justitie en Veiligheid verleent aan Offlimits een subsidie daartoe van 2,5 miljoen euro en is daarmee de grootste en belangrijkste subsidieverstrekker van Offlimits. Het Meldpunt Kinderporno verstuurt op basis van meldingen van kindermisbruik verwijderverzoeken aan hostingproviders maar heeft geen bevoegdheid om opdracht te geven tot het verwijderen daarvan. De meldingen van het Meldpunt Kinderporno moeten worden behandeld volgens de regels die de Digital Services Act (DSA) stelt. Zo bepaalt artikel 16 van de DSA dat meldingen tijdig, zorgvuldig, niet-willekeurig en objectief moeten worden behandeld. Meldingen die voldoen aan de eisen van artikel 16 leiden tot kennis over die inhoud. Zodra een hostingdienst die kennis heeft, kan deze geen beroep meer doen op de beperking van zijn aansprakelijkheid voor die inhoud. De DSA is niet alleen van toepassing op kindermisbruik, maar ook op alle overige vormen van illegale inhoud. Daarom is niet nader gespecificeerd wat «tijdig» inhoudt nu dit anders is voor kindermisbruik dan voor een merkenrechtinbreuk. In Nederland zijn door middel van zelfregulering, in de Notice-and-Takedown Code, afspraken gemaakt om materiaal van kindermisbruik binnen 24 uur te verwijderen nadat het Meldpunt Kinderporno daar een melding van heeft gedaan.3 De niet-welwillende partijen zijn niet aangesloten bij deze Code.
Naast de mogelijkheden van het Meldpunt Kinderporno om meldingen te doen, is er ook de bevoegdheid van de Autoriteit online Terroristisch en Kinderpornografisch Materiaal (ATKM) om aanbieders van hostingdiensten te bevelen dat materiaal van seksueel kindermisbruik binnen de door hen gestelde termijn wordt verwijderd. Zoals eerder benoemd, kan de ATKM aan aanbieders van hostingdiensten die niet meewerken aan het bevel een last onder dwangsom of een bestuurlijke boete opleggen oplopend tot 10% van de jaarlijkse omzet van de onderneming.

Vraag 4

Welke wettelijke bevoegdheden zijn er nodig voor de politie om hostingbedrijven aan te kunnen pakken die onwelwillend reageren op verwijderverzoeken?

In het kader van een strafrechtelijk onderzoek bestaat de mogelijkheid een verwijderbevel op basis van artikel 125p Wetboek van Strafvordering aan een aanbieder van een communicatiedienst te richten waarmee een bevel wordt opgelegd om strafbare informatie van het internet te verwijderen. Een machtiging van de rechter-commissaris is vereist voor een dergelijk verwijderbevel. Indien een hostingaanbieder vervolgens voldoet aan een verwijderbevel op basis van artikel 125p, wordt deze in beginsel uitgesloten van strafrechtelijke aansprakelijkheid conform artikel 54a Wetboek van Strafrecht. Voldoet een hostingaanbieder niet aan het verwijderbevel van de officier van justitie, dan kan mogelijk wél strafrechtelijke aansprakelijkheid ontstaan op grond van artikel 54a Wetboek van Strafrecht. In die gevallen moet bewezen worden dat een hostingbedrijf willens en wetens op geen enkele wijze heeft meegewerkt aan een vordering of bevel. Los hiervan is een hostingbedrijf vaak in het buitenland gevestigd, wat strafrechtelijke vervolging extra lastig maakt. Om tot succesvolle vervolging van de bad hoster te kunnen overgaan geldt daarmee een hoge drempel.
In het kader van de aanpak van bad hosters heb ik onlangs toegezegd om een verkenning te doen naar mogelijkheden om deze hostingbedrijven beter aan te pakken. Uw Kamer zal hier in het voorjaar van 2025 verder over geïnformeerd worden.

Vraag 5

Deelt u de mening dat het onverteerbaar is voor de samenleving en voor slachtoffers dat hostingbedrijven slechts een fractie van de verwijderverzoeken inwilligen en dat er na een brief van de politie verder niets gebeurt?

Ik deel de mening dat elke hostingprovider die verwijderverzoeken van het Meldpunt Kinderporno moedwillig niet opvolgt er één te veel is. Aan welke brief van de politie in het artikel precies gerefereerd wordt, is niet geheel duidelijk. Wel is mij bekend dat de politie, in bepaalde gevallen, brieven verstuurd naar onwelwillende hostingbedrijven met het verzoek tot verwijdering van het strafbare materiaal. Hieraan wordt niet altijd opvolging gegeven.
Als het gaat om meldingen ingediend bij Offlimits geldt dat in 2023 ongeveer 26% van de meldingen adequaat is opgepakt door de betreffende hostingproviders. In 74% van de gevallen werd geen of onvoldoende opvolging gegeven aan een melding en blijft het kinderpornografisch materiaal op zijn minst langer dan 24 uur zichtbaar. Dit is dus een te laag opvolgingspercentage binnen de afgesproken 24 uur. Uiteindelijk was in bijna alle gevallen (99%) het materiaal in Nederland niet meer zichtbaar. Maar dit betekent niet altijd dat het materiaal daadwerkelijk verwijderd is: in deze gevallen is het kinderpornografisch materiaal ofwel wél offline gehaald maar niet binnen 24 uur, ofwel de website dan wel hostingpartij verplaatst naar een ander land. In 2024 (tot en met oktober) werd er beter gereageerd: ongeveer 59% van de meldingen van Offlimits werd door de branche adequaat en binnen 24 uur opgepakt. Het is onduidelijk wat daar de reden voor is. Er kan dus gezegd worden dat er ook in de vrijwillige opvolging van meldingen van het Meldpunt Kinderporno nog een verbetering mogelijk is. De weigerende partijen, die niet of te laat reageren, zijn enkele van de totale hoeveelheid hostingaanbieders in Nederland. Om deze reden heeft de Autoriteit online Terroristisch en Kinderpornografisch Materiaal (ATKM) hiertoe bevoegdheden verkregen sinds 1 juli 2024.
Aanvullend op het uiteindelijk accuraat en snel opvolgen van verwijderverzoeken door het gros van de Nederlandse hostingsector bestaat een goede en constructieve publiek-private samenwerking waarbij het Ministerie van Justitie en Veiligheid een belangrijke sturende rol in de opzet heeft genomen. Tal van bedrijven zijn aangesloten op de Hash Check Service: een gratis tool, aangeboden door Offlimits met de subsidie van en in samenwerking met mijn ministerie opgezet, die het eenvoudig maakt voor hostingpartijen om aangesloten te zijn op hash-lijsten van bekend kindermisbruikmateriaal om servers mee schoon te houden. In 2023 zijn 8 miljard checks uitgevoerd, wat een kleine 900.000 hits opleverde. Dit betekent dat ongeveer 1 miljoen plaatjes van bekend materiaal automatisch verwijderd zijn.4 Samen met het Ministerie van Justitie en Veiligheid en het Stichting Internet Domeinregistratie Nederland-Fonds is Offlimits deze Hash Check Service momenteel verder aan het ontwikkelen om nog meer partijen aan te laten sluiten.

Vraag 6

Welke rol ziet u hierin voor het Autoriteit online Terroristisch en Kinderpornografisch Materiaal? Heeft zij wel doorzettingsmacht?

De ATKM kon al een bevel tot ontoegankelijk maken opleggen aan aanbieders van hostingdiensten bij online terroristisch materiaal en bestuursrechtelijk handhaven wanneer daar geen gehoor aan wordt gegeven op basis van de Europese Verordening inzake het tegengaan van de verspreiding van terroristische online-inhoud en bijbehorende nationale Uitvoeringswet. Op basis hiervan zijn dan ook bevelen verstuurd met betrekking tot online terroristische content en opgevolgd door de betreffende online diensten waarbij de effecten hiervan tot nu toe dus positief zijn.
Vanaf 1 juli 2024 is de wet bestuursrechtelijke aanpak online kinderpornografisch materiaal in werking getreden waarmee de ATKM eveneens bevoegdheden heeft verkregen voor online kinderpornografisch materiaal. Deze wet regelt onder meer de bevoegdheid voor de ATKM om aanbieders van hostingdiensten gevestigd in Nederland, dan wel op Nederlands grondgebied kinderpornografisch materiaal hebben opgeslagen, te verplichten online kinderpornografisch materiaal ontoegankelijk te maken en bestuursrechtelijk te handhaven wanneer zij dat niet doen. Indien aanbieders van hostingdiensten niet meewerken, kan de ATKM een last onder dwangsom of bestuurlijke boete opleggen oplopend tot 10% van de jaarlijkse omzet van de onderneming. Ook kan de ATKM ervoor kiezen om deze sanctiebesluiten openbaar te maken en zal dat in beginsel ook doen, gelet op de diffamerende werking die daarvan uitgaat. Internationaal gezien is de bestuursrechtelijke aanpak vernieuwend en er worden dan ook positieve effecten verwacht in het indammen van hosting van kinderpornografisch materiaal in Nederland. Nederland heeft daarmee een belangrijke en grote stap genomen in de aanpak van onwelwillende hostingbedrijven die zich onaantastbaar wanen.
De wetgeving regelt daarmee dat de ATKM handhavend kan optreden wanneer bedrijven geen gehoor geven aan verwijderingsverzoeken van Offlimits. Beide partijen richten hun samenwerking momenteel verder in. Mede op basis van informatie van Offlimits, is de ATKM inmiddels gestart met onderzoek naar partijen die structureel geen opvolging geven aan verwijderverzoeken. De ATKM verwacht begin 2025 daadwerkelijk te kunnen optreden.

Vraag 7

Welke wettelijke mogelijkheden zijn er nu al om een webpagina die vol staat met kinderpornografisch materiaal offline te halen in plaats van voor ieder plaatje afzonderlijk een verwijderverzoek in te dienen? Welke bevoegdheden heeft de politie hiervoor?

Zoals in het antwoord op vraag 4 benoemd, is er in het kader van een strafrechtelijk onderzoek de mogelijkheid een verwijderbevel op basis van artikel 125p Wetboek van Strafvordering aan een aanbieder van een communicatiedienst te richten waarmee een bevel wordt opgelegd om strafbare informatie van het internet te verwijderen na machtiging van de rechter-commissaris.
Daarnaast kan de ATKM kan op grond van artikel 6 van de Wet bestuursrechtelijke aanpak online kinderpornografisch materiaal een aanbieder van hostingdiensten die online kinderpornografisch materiaal heeft opgeslagen een bestuursrechtelijk bevel geven alle redelijkerwijs te nemen maatregelen te treffen om dit materiaal ontoegankelijk te maken. Indien het bevel niet kan worden gericht tot een aanbieder van hostingdiensten, kan deze worden gericht tot een aanbieder van een communicatiedienst.
Wanneer de ATKM gebruik maakt van de bevoegdheid van het sturen van een bevel tot ontoegankelijkmaking aan een hostingdienst dan wel aanbieder van een communicatiedienst wordt dit getoetst aan de beginselen van proportionaliteit en subsidiariteit. In de regel zal de aandacht in eerste instantie uitgaan naar de afzonderlijke afbeeldingen of video’s. De ATKM onderzoekt welke ruimte er is om in specifieke gevallen, afhankelijk van bijvoorbeeld de hoeveelheid materiaal en het karakter van de website, de ontoegankelijkmaking van een website te overwegen.

Vraag 8

Welke wettelijke gronden zijn er nodig om webpagina’s offline te halen die veelvuldig kinderpornografisch materiaal aanbieden en onwelwillend reageren op verwijderverzoeken?

Voor het antwoord op de wettelijke gronden die hiertoe vereist zijn verwijs ik u naar het antwoord op vraag 7.

Vraag 9

Bent u bereid met hostingbedrijven in gesprek te gaan en aan te dringen op het verwijderen van websites en fora die hardleers zijn in het aanbieden van kinderpornografisch materiaal?

Er is reeds een goede samenwerking met de welwillende hostingpartijen in het kader van de zelfregulering en de vrijwillige opvolging van verwijderverzoeken van Offlimits door het overgrote deel van de hostingsector. Voor de niet-welwillende partijen is de ATKM in het leven geroepen. Daarnaast heeft het OM, zoals in het antwoord op vraag 7 beschreven, wel de mogelijkheid om verwijderbevelen op te leggen aan bedrijven die hardleers zijn.

Vraag 10

Wat is uw reactie op het bericht dat Nederlandse kinderpornobezitters slechts een waarschuwing krijgen van de politie, terwijl het bekijken van de beelden al strafbaar is

Ik begrijp dat het tegenstrijdig kan voelen voor mensen om downloaders van materiaal van seksueel kindermisbruik enkel een waarschuwing te geven terwijl zij al strafbaar gedrag vertonen.
Een effectieve en integrale aanpak van online seksueel kindermisbruik is, mede gelet op de aard en omvang ervan, van groot belang. Het thema is daarom ook opgenomen in de Veiligheidsagenda 2023–2026.5 Voor de daarin neergelegde afspraken is leidend dat opsporingscapaciteit wordt ingezet daar waar het maatschappelijk effect het grootst is. Dit is wanneer slachtoffers ontzet worden uit acute misbruiksituaties. De focus van politie ligt daarom op opsporingsonderzoeken naar vervaardigers en misbruikers (categorie A) en keyplayers en netwerken (categorie B).
Dat betekent niet dat downloaders en verspreiders van beeldmateriaal van seksueel kindermisbruik (categorie C) vrijuit gaan. Gelet op de massale aard van activiteiten in deze categorie, in combinatie met de schaarse politiecapaciteit, wordt daarom ook ingezet op alternatieve interventies. De aanpak, zoals toegepast in de landelijke actieweek van de politie, is daarvan een goed voorbeeld. De actie is erop gericht om vroegtijdig in te grijpen bij deze dadergroep, hen te waarschuwen en eventueel door te verwijzen naar de juiste hulpverlening. Op deze manier kan voorkomen worden dat deze daders opnieuw strafbaar gedrag gaan vertonen. Voor velen is een dergelijk waarschuwingsgesprek een bijzonder ingrijpende gebeurtenis, vaak is het de eerste keer dat zij, en eventueel hun familie dan wel partner, geconfronteerd worden met hun strafbaar handelen. De personen die een waarschuwing hebben gekregen van de politie worden niet verdacht van het bezit van nieuw materiaal (van onbekende slachtoffers) dan wel het spelen van een belangrijke rol op het (dark)web. De politie zal alsnog een opsporingsonderzoek starten naar personen die na een waarschuwing hun strafbare activiteiten voortzetten. Daarnaast is een belangrijke boodschap van de actieweek ook dat downloaders zich niet anoniem moeten wanen: zij begeven zich wel degelijk in het zicht van opsporing.

Vraag 11

Ligt arrestatie niet méér voor de hand voor het plegen van dit strafbare feit dat ernstig indruist tegen de lichamelijke integriteit van het slachtoffer?

Het staat buiten kijf dat online seksueel kindermisbruik, ongeacht de precieze aard van het strafbare feit, zeer ernstig is en te allen tijde effectief bestreden dient te worden. Gelet op het grote aantal downloaders en verspreiders, in combinatie met de schaarse politiecapaciteit, moet desalniettemin geprioriteerd worden in de aanpak. In het antwoord op vraag 10 licht ik deze prioritering verder toe.
Door de in de Veiligheidsagenda aangebrachte focus in de aanpak van politie op dit thema dient voor de zwaardere zaken (A- en B-categorie) voldoende capaciteit beschikbaar te zijn. De politie ziet zich in deze zaken namelijk geconfronteerd met een toename van datastromen en uitdagingen op het gebied van end-to-end encryptie. Dit betekent dat niet elke downloader en verspreider kan worden gearresteerd. Inzet op alternatieve interventies is in dit geval juist van groot belang, en in gevallen ook meer efficiënt dan een repressieve aanpak. Door deze dadergroep te wijzen op adequate hulpverlening wordt vroegtijdig ingegrepen en kan de aanleiding voor het strafbare gedrag in de kern worden aangepakt. Op deze manier kan continuering van strafbaar gedrag worden voorkomen. Het positieve preventieve effect is ook gebleken uit de resultaten van de actieweek in 2023: slechts 1 persoon die de politie destijds bezocht, heeft gerecidiveerd na een jaar.

Vraag 12

Deelt u de mening dat deze aanpak kan leiden tot secundaire victimisatie van slachtoffers van kindermisbruik?

Het vroegtijdig ingrijpen door de politie in deze aanpak is juist van toegevoegde waarde in het voorkomen van secundaire victimisatie. Op deze wijze kan toch gevolg worden gegeven aan deze categorie zaken, gezien de opsporingscapaciteit en aard en omvang van het probleem.

Vraag 13

Kunt u aangeven in hoeveel procent van de gevallen waarbij melding wordt gemaakt van kindermisbruik of kinderpornografie de politie niet kan ingrijpen vanwege capaciteitstekort?

De toestroom van zaken van online seksueel kindermisbruik komt uit verschillende instanties dan wel bronnen. Een deel van de meldingen komt vanuit het Amerikaanse NCMEC (National Center for Missing and Exploited Children), een deel via de zedenafdelingen of andere afdelingen van de Nederlandse en/of buitenlandse politie, via eigen onderzoek van de politie op bijvoorbeeld darkweb omgevingen en een deel vanuit Offlimits. De meldingenstroom wordt door specialisten bezien en beoordeeld op prioriteit naar ernst en bekendheid van het materiaal, waarbij niet elke melding vraagt om ingrijpen door de politie. Capaciteitstekort is daarbij niet de enige reden om niet over te gaan tot ingrijpen door politie, zo vragen sommige meldingen bijvoorbeeld om doorzenden aan buitenlandse autoriteiten of enkel om het verwijderen van materiaal gezien het reeds bekend materiaal betreft (en dus geen slachtoffer in een acute misbruiksituatie betreft). Er wordt niet bijgehouden per melding wat de achterliggende reden is om als politie niet in te grijpen.

Vraag 14

Bent u bereid een stevige aanpak op het bestrijden van pornoverslavingen te ontwikkelen teneinde de vraag naar kinderporno in Nederland tegen te gaan?

Een pornoverslaving hoeft uiteraard niet altijd te betekenen dat iemand ook naar materiaal van seksueel kindermisbruik kijkt. Online pornografie (indien geen strafbaar of onrechtmatig materiaal) is legale online content. Vanuit het recht op vrijheid van meningsuiting, welke eveneens een recht om informatie te ontvangen omvat, dient een overheid zich terughoudend op te stellen in het beïnvloeden van kijkgedrag van burgers gericht op online legale content.
Wel suggereren onderzoeken dat kijkers van legale pornografie de neiging hebben om in de loop van de tijd extremere content te gaan bekijken.6 Dat is het punt waarop mensen kunnen afglijden naar bijvoorbeeld materiaal van seksueel kindermisbruik. Dit afglijden wordt toegeschreven aan een vermindering van het opwindingsniveau met betrekking tot dezelfde stimuli bij herhaaldelijke blootstelling aan deze stimuli: afstomping. Dat is een zorgelijke ontwikkeling. Het Ministerie van Justitie en Veiligheid acht preventie en hulpverlening daartoe de meest geschikte instrumenten. Daarom heeft mijn ministerie recent een aanvullende subsidie aan Offlimits verstrekt om het plaatsen van banners op pornowebsites door het programma «Stop it Now» uit te breiden. Bij Stop it Now kunnen mensen anoniem hulp krijgen wanneer zij zich zorgen maken over hun kijkgedrag of pedofiele gevoelens. Deze banners worden getoond wanneer iemand zorgwekkende zoektermen gebruikt met de boodschap dat iemand mogelijk zoekt naar strafbaar materiaal en dat het mogelijk is om hulp te zoeken voor verontrustend kijkgedrag bij Stop it Now.
Online aanbieders zoals pornowebsites of zoekmachines zouden hier ook een eigen verantwoordelijkheid in moeten nemen door zelf proactief naar Stop it Now te verwijzen wanneer mensen zoekresultaten gebruiken die mogelijk verwijzen naar strafrechtelijk verboden materiaal. Google verwijst naar het Meldpunt Kinderporno, en bij doorklikken op «meer informatie» naar Stop it Now, indien een internetgebruiker zoekt op «kinderporno». Dergelijke sectorinitiatieven onderschrijf ik ten zeerste.

Vraag 1

Bent u bekend met het bericht «Rechtbank wil zien welke data de politie over burgers verzamelt – maar de politie weigert dat» van Follow the Money?1

Ja, ik ben bekend met het bericht. Het past mij als Minister niet om uitspraken te doen in een lopende rechtszaak.

Vraag 2

Klopt het dat de politie weigert een rechterlijk bevel op te volgen om een forensisch onderzoeker toegang te geven tot haar datasystemen?

Zie antwoord vraag 1.

Vraag 3

Deelt u de mening dat de politie zich aan dergelijke rechterlijke uitspraken heeft te houden en dat politiesystemen ter inzage beschikbaar moeten worden gesteld aan door de rechter benoemde deskundigen? Deelt u de mening dat hiervoor geen dwangsommen nodig zouden moeten zijn?

Aan rechterlijke uitspraken dient in beginsel gevolg te worden gegeven. Indien een partij het oneens is met een einduitspraak van een rechter, kan daartegen hoger beroep worden ingesteld.
Over het algemeen geldt dat een rechter een deskundige kan benoemen die de opdracht krijgt een onderzoek in te stellen. Bestuursorganen dienen medewerking te verlenen aan het onderzoek. Anderzijds regelt de Wet politiegegevens (hierna: Wpg) uitputtend wie en wanneer toegang heeft tot welke politiegegevens in artikel 6a van de Wpg en verplicht de Wpg de verwerkingsverantwoordelijke om passende technische en organisatorische maatregelen te nemen ter bescherming van de rechten van betrokkenen. Bij de verwerking van politiegegevens dient de verwerkingsverantwoordelijke rekening te houden met de eisen uit de Wpg.
De korpschef heeft kenbaar gemaakt dat de politie in gesprek gaat met de deskundige over hoe zij deze kunnen faciliteren in het onderzoek zonder daarbij de bepalingen van de Wpg te overtreden.

Vraag 4

Hoe reflecteert u op de constatering van de rechtbank dat het feit dat de politie burgers onvoldoende inzage geeft in de data die in politiesystemen over hen verzameld is «helaas past in het beeld dat de rechtbank heeft»?

Het past mij niet te reflecteren op een uitspraak in een lopende rechtszaak. Iedere burger heeft recht op inzage in de persoonsgegevens die de politie over hem of haar verwerkt. De betrokkene kan daartoe een schriftelijk verzoek indienen op basis van artikel 25 van de Wpg. Een verzoek om inzage kan echter geheel of gedeeltelijk afgewezen worden wanneer een weigeringsgrond van toepassing is. De weigeringsgronden zijn opgenomen in artikel 27 van de Wpg en hebben onder andere betrekking op de bescherming van de openbare en nationale veiligheid, het vermijden van belemmeringen in gerechtelijke onderzoeken en procedures en de bescherming van rechten en vrijheden van derden. In de meest recente externe Wpg audit uit 2023 wordt de naleving van de Wpg op dit punt voldoende bevonden.2

Vraag 5

Vindt u dat burgers het recht hebben om inzage te krijgen in de gegevens die de politie van hen heeft? Zo ja, onder welke omstandigheden wel en niet? Welke stappen zet u om ervoor te zorgen dat de politie de inzagemogelijkheden voor burgers verbetert? Op welke termijn zijn deze verbeteringen aangebracht?

Zie antwoord vraag 4.

Vraag 6

Op welke termijn verwacht u dat de politie en de Koninklijke Marechaussee de aanbevelingen uit het rapport «Blind vertrouwen?»2 van de Nationale ombudsman uitvoeren? Hoe ziet u erop toe dat dit daadwerkelijk gebeurt? Kunt u hierover blijvend rapporteren aan de Kamer?

In mijn beleidsreactie heb ik aangegeven dat de Minister van Defensie en ik de politie en de KMar zullen vragen om het werkproces verder te verbeteren door te expliciteren hoe een signalering of informatie-uitwisseling met het buitenland impact kan hebben op het leven van burgers. Ik zal dit ook benoemen in mijn gesprekken met het OM. Daarnaast zal ik met betrokken instanties en relevante toezichthouders verkennen of en zo ja, hoe toezicht op de registraties en signalering van de betrokken instanties versterkt moet worden. Ik hoop deze verkenning afgerond te hebben in de eerste helft van 2025. Ik zal hierover berichten in het halfjaarbericht politie. De bij de beleidsreactie gevoegde handreiking zal gedurende het jaar via de reguliere kanalen onder de aandacht gebracht worden bij betrokken overheden en organisaties.

Vraag 7

Met welke instanties, zowel nationaal als internationaal, worden de gegevens van verdachten in de CTER-registratie gedeeld? Worden deze gegevens verwijderd als een registratie onterecht blijkt? Hoe wordt hier nationaal en internationaal op toegezien?

Ik verwijs u voor antwoorden naar het tweede halfjaarbericht politie 20234. Hier is uitgebreid ingegaan op het CTER-proces.

Vraag 8

Welke instanties hebben toegang tot de datasystemen van de politie? Klopt de stelling van de politie dat alleen de Autoriteit Persoonsgegevens hiertoe bevoegd zou zijn, een aanname die de AP zelf weerlegt?

De vereisten rondom de verwerking van politiegegevens zijn vastgelegd in de Wet politiegegevens. Voor het verlenen van toegang tot politiegegevens is een expliciete grondslag in de Wpg of lagere regelgeving (zoals het Besluit politiegegevens) noodzakelijk. Artikel 6a van de Wet politiegegevens stelt dat toegang kan worden verleend tot politiegegevens ten behoeve van het uitvoeren van toezichthoudende of controlerende taken. Dit betreft enkel diegenen die in deze wet zijn aangewezen. Dit zijn de Autoriteit Persoonsgegevens als toezichthouder, maar ook degenen die periodieke audits uitvoeren, privacyfunctionarissen en de functionaris gegevensbescherming. Er is een wijziging van de Wpg voorhanden, waarin ook de toegang tot politiesystemen nader zal worden bezien. Deze wijziging is ingegeven door de benodigde toegang door de Algemene Rekenkamer en Inspectie JenV.

Vraag 9

In welke wetgeving of (interne) protocollen is het recht op toegang tot politiegegevens vastgelegd? Waaruit blijkt dat er geen grondslag is om forensisch onderzoek te verrichten binnen de datasystemen van de politie?

Zie antwoord vraag 8.

Vraag 10

Hoe vaak is het eerder voorgekomen dat vanuit de rechtspraak een partij wordt benoemd die de opdracht krijgt om in de systemen van de politie te kijken? Hoe is daar in eventuele andere gevallen door de politie mee omgegaan?

De politie heeft mij geïnformeerd dat er bij de politie geen eerdere gevallen bekend zijn waarin de rechtbank in een bestuursrechtelijke procedure een deskundige heeft benoemd die toegang dient te worden verleend tot de politiesystemen.

Vraag 11

Wat is volgens u nodig om ervoor te zorgen dat de politie zich op dit gebied aan alle rechterlijke uitspraken houdt? Op welke termijn gaat u dit realiseren?

Ik verwijs u naar het antwoord op vraag 3.

Vraag 12

Hoe beoordeelt u de uitspraak van hoogleraar digitalisering en rechtsstaat Reijer Passchier dat er nieuwechecks and balances nodig zijn omdat de uitvoerende macht door digitalisering alleen maar machtiger wordt ten opzichte van de controlerende macht?

Ik merk op dat het in deze specifieke casus naar mijn idee niet gaat over digitalisering van de uitvoerende macht. Deze casus heeft mijn inziens betrekking op het functioneren van het rechtssysteem bij een verzoek tot inzage in de gegevens die de politie over hem of haar verwerkt. In algemene zin onderschrijf ik dat door digitalisering de mogelijkheden van politie en justitiële diensten toenemen. Het is daarbij van belang dat er een goede balans blijft bestaan tussen de taakuitvoering van deze diensten en de bescherming van de persoonlijke levenssfeer van betrokkenen. Daarbij is transparantie over het gebruik van dergelijke technologieën van groot belang.

Vraag 13

Wat zijn, in het licht van de prioriteit die u als Minister geeft aan werken aan het vertrouwen in de rechtsstaat, uw ambities om de machtsbalans tussen de uitvoerende macht en de controlerende macht te versterken? Wat is daarvoor uw tijdspad en welke middelen zijn nodig om dit te bereiken?

Het kabinet levert een gezamenlijke inspanning om het vertrouwen in onze rechtsstaat te vergroten. Om tot een sterke en beter functionerende democratische rechtsstaat te komen is het nodig te investeren in institutionele vernieuwing die leidt tot weerbare, sterke instituties en betere macht en tegenmacht. De maatregelen die het kabinet hiertoe neemt en de daarvoor beschikbare middelen zijn opgenomen in het regeerprogramma en worden de komende periode nader uitgewerkt.

Vraag 14

Wilt u deze vragen afzonderlijk en binnen drie weken beantwoorden?

Deze vragen zijn zo spoedig als mogelijk was beantwoord. Waar het de kwaliteit van de beantwoording ten goede komt zijn vragen tezamen behandeld.

Vraag 1

Bent u bekend met het bericht dat er in Nederland een game te koop is waarbij de gebeurtenissen van 7 oktober 2023 nagebootst worden?1

Ja, ik ben bekend met deze berichtgeving.

Vraag 2

Wat is uw reactie op het bericht dat deze game voor iedereen verkrijgbaar is met het doel een zo realistisch mogelijke weergave te reconstrueren van de bloedige aanslag van Hamas?

De game waarin wordt gezinspeeld op de verschrikkelijke gebeurtenissen in Israël op 7 oktober 2023, is absoluut verwerpelijk. Ik kan mij voorstellen dat deze game het verdriet van nabestaanden of naaste familieleden van gijzelaars versterkt. Ook maak ik mij in het algemeen zorgen over de beschikbaarheid van dergelijke content online en met name de jonge doelgroep die hiermee in aanraking komt. Daarom zet ik onder meer in op een Versterkte Aanpak Online2, waarvan de nadere uitwerking onlangs met uw Kamer is gedeeld.3 In deze aanpak is in het bijzonder aandacht voor de bescherming van jongeren tegen online extremisme en terrorisme. Ook de dialoog met de internetsector vormt een belangrijk onderdeel van de aanpak. In de gesprekken met de platformen wijs ik hen op hun verantwoordelijkheden in het waarborgen van de online veiligheid van gebruikers. Daar waar platformen dit niet (zelf) doen, wordt ingezet op het laten verwijderen van terroristische content online. Ik heb deze game specifiek onder de aandacht gebracht van de ATKM om te bezien of deze verwijderd kan worden. De game is op donderdagochtend 5 december 2024 voor Europese lidstaten van het platform gehaald na een verwijderingsbevel vanuit de Franse counterpart van de ATKM. Zie voor een nadere toelichting de beantwoording op vraag 7.

Vraag 3

Deelt u de mening dat het ongepast en onacceptabel is dat met deze game de terroristische aanslag «Al Aqsa Flood» nagebootst wordt waarbij het doel is om zoveel mogelijk Israëli’s om te brengen en het mogelijk is om Israëli’s te gijzelen?

Zie antwoord vraag 2.

Vraag 4

Kunt u zich voorstellen wat dit met nabestaanden of naaste familieleden van gijzelaars doet waarvan geliefden nog vastzitten in de tunnels van Hamas?

Zie antwoord vraag 2.

Vraag 5

Deelt u het standpunt er in deze game sprake is van terreurverheerlijking?

Het kabinet vindt elke vorm van verheerlijking van terrorisme absoluut verwerpelijk. Daarom bereidt het kabinet ook wetgeving voor om het verheerlijken van terrorisme strafbaar te stellen met een hoog strafmaximum. Beoogd wordt om dit wetsvoorstel in het voorjaar van 2025 in consultatie te brengen. Daar waar sprake is van strafbare feiten, zoals uitlatingen die aanzetten tot haat, geweld, discriminatie, opruiend zijn of (onnodig) beledigend, is strafrechtelijk optreden in concrete gevallen mogelijk door de politie en het Openbaar Ministerie. Het vervolgen van personen voor mogelijke strafbare feiten is voorbehouden aan het Openbaar Ministerie. Het uiteindelijke oordeel is aan de strafrechter.

Vraag 6

Deelt u de zorg dat deze game sympathie voor Hamas aanwakkert en dit voor verhoogde onveiligheid van de Joodse gemeenschap zorgt?

Ik kan mij de zorgen die nu leven binnen de Joodse gemeenschap heel goed voorstellen. Daarom zijn we extra alert en blijven we in nauw contact met de Joodse gemeenschap en met gemeenten. De verantwoordelijkheid voor het nemen van maatregelen ligt bij de gemeenten als lokaal bevoegd gezag. Waar nodig nemen zij op basis van dreigingsinformatie extra beveiligingsmaatregelen, zowel zichtbaar als onzichtbaar. Dit is in voorkomende gevallen ook reeds gebeurd.
Op 22 november jl. heb ik namens het kabinet de Strategie Bestrijding Antisemitisme 2024–20304 naar uw Kamer gestuurd. De strategie gaat ook in op maatregelen die zien op het vergroten van de veiligheid van de Joodse gemeenschap.

Vraag 7

Bent u bereid om in navolging van Duitsland, Australië en het Verenigd Koninkrijk deze game zo snel mogelijk te verbieden in Nederland? Welke stappen onderneemt u hiertoe?

Games waarin terroristische aanvallen nagespeeld kunnen worden, zouden wat mij betreft op geen enkele wijze beschikbaar moeten zijn. Ik heb deze game daarom onder de aandacht gebracht van de ATKM. Inmiddels heeft de ATKM vastgesteld dat de game niet meer toegankelijk is via het platform Steam in diverse EU-lidstaten, waaronder Nederland. De game is op donderdagochtend 5 december 2024 voor Europese lidstaten van het platform gehaald na een verwijderingsbevel vanuit de Franse counterpart van de ATKM. Dit soort verwijderingsbevelen worden gestuurd op basis van de Europese Verordening inzake het tegengaan van de verspreiding van terroristische online-inhoud en dienen binnen een uur opgevolgd worden, waarna in Europese lidstaten de content offline moet worden gehaald. Op deze manier wordt bijgedragen aan een veilig (grensoverschrijdend) internet. Specifiek ten aanzien van deze game heeft de ATKM mij laten weten de situatie te zullen blijven monitoren.
Daarnaast geldt in algemene zin dat het Openbaar Ministerie, als er sprake is van ernstige strafbare feiten, een verwijderingsbevel kan uitvaardigen na machtiging van de rechter-commissaris op basis van artikel 125p Sv. Het is aan het Openbaar Ministerie en uiteindelijk aan de rechter om over de strafbaarheid van deze inhoud te oordelen.

Vraag 8

Kunt u deze vragen voor het commissiedebat over terrorisme/extremisme op 17 december 2024 beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht «De politie bewaart alles, altijd, van iedereen. Dat is in strijd met de wet» (Follow the Money, 16 oktober)?

Ja.

Vraag 2

Wat is uw reactie op dit bericht?

Het bericht van Follow the Money beschrijft de situatie waarover uw Kamer per brief is geïnformeerd in februari 2019.1

Vraag 3

Klopt het dat de Wet politiegegevens (Wpg) sinds de inwerkingtreding niet wordt nageleefd? Vanaf wanneer is dit het geval?

Mijn ambtsvoorgangers hebben reeds benadrukt dat zij belang hechten aan een zorgvuldige naleving van de Wpg.2 Ik sluit mij daarbij aan.
De Wpg is in 2008 inwerking getreden. Uit de eerste externe privacy audit, daterend uit 2015, is gebleken dat de politie op essentiële punten nog in onvoldoende mate aan de eisen van de Wpg voldoet. Mijn toenmalige ambtsvoorganger heeft uw Kamer daarvan destijds op de hoogte gesteld.3 Daarbij heeft hij aangegeven het van belang te achten dat de politie de regels uit de Wpg naleeft. Uit de eerste evaluatie van de Wpg in 2013 werd duidelijk dat de Wpg, de politiepraktijk en de huidige-ICT ondersteuning niet goed op elkaar aansluiten. De latere audits van de Wpg zijn in 2020 en 2023 aan uw Kamer aangeboden4. Uit deze audits blijkt dat de politie weliswaar nog steeds niet op alle punten compliant is aan de vereisten uit de Wpg, maar in dit opzicht wel voortgang boekt. Mijn ambtsvoorgangers hebben daarin een moeizame, maar stijgende lijn gezien. Wetgeving, praktijk en ICT sluiten steeds beter, maar op onderdelen nog onvoldoende op elkaar aan.
Ik hecht er aan te benadrukken dat er een verschil is tussen niet compliant zijn aan de Wpg en een bewust besluit van de korpschef, gesteund door mijn ambtsvoorganger, om een specifieke bepaling in de Wpg niet na te leven. Een bewust besluit tot niet naleven geldt alleen voor de vernietigingstermijn in artikel 14, met het oog op het gebruik van die gegevens voor cold cases en de vaststelling van PTSS. Daarbij zijn alleen zogeheten poortwachters geautoriseerd om politiegegevens in te zien die conform de Wpg verwijderd zijn.
Hiertoe is besloten met het oog op een voorgenomen herziening van de Wet politiegegevens, waarvan destijds sprake was.5 Bij de start van het vorige kabinet in 2022 zijn echter geen financiële middelen beschikbaar gesteld voor de realisatie en implementatie van een brede, integrale gegevenswet voor het politie- en justitiedomein. Hierbij was eveneens een overweging dat het realiseren en implementeren van een nieuw wettelijk kader op dat moment te veel zou vragen van de veranderkracht van alle betrokken taakorganisaties. Uw Kamer is hierover per brief geïnformeerd in januari 2022.6 Van een integrale herziening van de Wpg en Wjsg is daarmee afgezien, maar er is wel ingezet op enkele noodzakelijke aanpassingen. Het daartoe strekkende wetsvoorstel zal in de eerste helft van 2025 in consultatie worden gegeven. Indien wordt vastgesteld dat daartoe juridische mogelijkheden bestaan, zal het wetsvoorstel ook voorzien in een aanpassing van artikel 14 van de Wpg (waarin de termijn voor het bewaren van verwijderde gegevens is geregeld).

Vraag 4

Vindt u het acceptabel dat de politie niet aan de wet voldoet? Welke gevolgen heeft dit voor de betrouwbaarheid van dit instituut en de overheid?

Zie antwoord vraag 3.

Vraag 5

Mag alle informatie die de politie verzamelt nu oneindig lang bewaard worden omdat het ooit in een cold case onderzoek relevant kan zijn?

Artikel 14 van de Wpg geeft aan dat verwijderde gegevens voor een periode van vijf jaar mogen worden bewaard ten behoeve van (onder andere) het gebruik in cold cases. Na ommekomst van deze termijn moeten deze gegevens definitief worden vernietigd. De korpschef heeft in 2019 aangegeven een pas op de plaats te willen maken met het definitief vernietigen van deze gegevens, juist vanwege de mogelijke bruikbaarheid daarvan in cold cases. Mijn ambtsvoorganger heeft aangegeven de korpschef in dit besluit te steunen. Zoals ik heb aangegeven in het vragenuur op 22 oktober jl., heb ik de Raad van State om een voorlichting gevraagd over de juridische aspecten van het langer bewaren van bepaalde politiegegevens ten behoeve van het oplossen van nog niet opgeloste ernstige misdrijven, in het licht van Europeesrechtelijke en Grondwettelijke eisen. Indien uit de voorlichting van de Raad van State zou blijken dat er juridische mogelijkheden zijn voor het verruimen van de bewaartermijn van bepaalde politiegegevens met het oog op het oplossen van oude zaken, dan zal ik zo snel mogelijk een daartoe strekkend wetsvoorstel voorbereiden.

Vraag 6

Hoe komt het dat er niet kan worden voldaan aan de bewaartermijn uit de Wpg, maar wel aan de wettelijke termijnen die volgen uit de Gemeentewet en het Wetboek van Strafverordening?

Het is in 2019 een bewuste keuze geweest van de korpschef om de gestelde termijn in artikel 14 niet na te leven. De bewuste keuze van de korpschef om de wet niet na te leven en de steun van de Minister daarbij is een uitzondering. Dat betekent niet dat de korpschef daarom alle wettelijke voorschriften kan negeren. Er is dan ook bewust gekozen om termijnen uit andere wetten (zoals de Gemeentewet en het Wetboek van Strafvordering) wel te blijven hanteren.

Vraag 7

Welke gegevens bewaart de politie langer dan wettelijk toegestaan? Welke gegevens vernietigt zij wel tijdig, zijn de systemen zodanig ingericht dat dit automatisch gebeurt?

In 2019 heeft mijn ambtsvoorganger uw Kamer geïnformeerd over de gegevens die niet vernietigd gaan worden. Voor een schets van de ontwikkeling van de benodigde software voor het vernietigen van die gegevens verwijs ik naar mijn antwoord op vraag 44.
De korpschef vernietigt wel die gegevens waarvan in de Gemeentewet (waaronder camerabeelden) en het Wetboek van Strafvordering (waaronder bijvoorbeeld geheimhoudersinformatie) bepalingen zijn opgenomen ter vernietiging. De keuze van de korpschef om op een specifiek onderdeel de wet niet na te leven is een bijzonderheid. Dat betekent niet dat de korpschef daarbij andere wettelijke bepalingen naast zich neer kan leggen. De gegevens waarop andere wettelijke bepalingen op het gebied van bewaartermijnen rusten, worden daarom vernietigd.

Vraag 8

Hoe vaak zijn oude gegevens, die nog geen onderdeel zijn van een opsporingsdossier, geraadpleegd in een cold case? Heeft dit het onderzoek verder gebracht? Kunt u onderbouwen dat de inbreuk op privacy proportioneel is aan wat het oplevert?

Een cijfermatige onderbouwing van het aantal cold cases waarin oude gegevens een rol hebben gespeeld, ontbreekt. Wel zijn er zaken bekend waarin verwijderde gegevens een belangrijke rol hebben gespeeld.
Wat betreft de proportionaliteit (de noodzaak en de evenredigheid) van de inbreuk door het bewaren van verwijderde gegevens heb ik de Raad van State gevraagd om een voorlichting. Indien uit de voorlichting van de Raad van State zou blijken dat er juridische mogelijkheden zijn voor het aanpassen van de bewaartermijn van bepaalde politiegegevens met het oog op het oplossen van oude zaken, dan zal ik zo snel mogelijk een daartoe strekkend wetsvoorstel voorbereiden.

Vraag 9

Voor welke doeleinden mag de politie de Wpg op dit moment naast zich neer leggen? Heeft u of uw voorganger voor elk afzonderlijk doel expliciet toestemming gegeven?

Artikel 14 (het niet vernietigen van verwijderde gegevens) is de enige bepaling in de Wpg die de korpschef bewust naast zich neer legt. De politie toetst overeenkomstig art. 33 Wpg de naleving van de Wpg met behulp van (externe) auditrapporten. Door de audits in de tijd te plaatsen en de resultaten uit 2015, 2020 en 20232 te vergelijken, blijkt dat in de naleving van de vereisten uit de Wpg voortgang wordt geboekt. Ik benadruk dat mijn ambtsvoorganger in 20193 op het punt van het vernietigen van de betreffende politiegegevens zijn steun uitgesproken heeft voor het besluit van de korpschef als verwerkingsverantwoordelijke om bepaalde politiegegevens niet te vernietigen in afwachting van een wetswijziging.
De korpschef heeft kenbaar gemaakt dat de gegevens waarvan de termijn in artikel 14 is verstreken, dus die gegevens waarvan de korpschef in 2019 heeft besloten niet tot vernietiging over te gaan, alleen in aanmerking komen voor hernieuwde verwerking in cold cases en voor het vaststellen van PTSS.

Vraag 10

Wat is het doel van de Wpg? Kunt u onderbouwen hoe dat doel wordt bereikt als de politie de wet met uw goedkeuring naast zich neerlegt? Was de Wpg niet juist bedoeld om de regels voor gegevensverwerking te verruimen onder de voorwaarde dat de bewaartermijn ook wordt aangescherpt?

Het doel van de Wpg is het bereiken van een goede balans tussen enerzijds de taakuitvoering door de politie en anderzijds het respecteren en beschermen van de grondwettelijk geborgde persoonlijke levenssfeer van de burger. Het gaat hier om een delicate balans tussen twee ogenschijnlijk conflicterende belangen. Ogenschijnlijk, want uiteindelijk is de burger gebaat bij een effectief functionerende politie als randvoorwaarde voor een veilige en ordelijke samenleving waarin de burger zijn vrijheden ook daadwerkelijk kan genieten. Uiteraard is het essentieel dat de politie opereert binnen de wettelijke kaders, en dus ook met inachtneming van de wettelijke termijnen waarbinnen politiegegevens mogen worden verwerkt en daarna moeten worden verwijderd en uiteindelijk vernietigd. Met name de wettelijke bewaartermijn is echter al kort na inwerkingtreding van de Wpg onderwerp van aandacht geworden. Dat werd manifest bij de evaluatie van de Wpg in 2013.7 Eén van de aanbevelingen in het evaluatierapport luidde dat onderzocht dient te worden of voor bepaalde categorieën van politiegegevens de bewaartermijn kan worden verruimd. Mede in dat licht heeft de korpschef besloten om terughoudend te zijn met het definitief vernietigen van politiegegevens, vooral met het oog op de mogelijke betekenis daarvan bij het oplossen van cold case zaken. In 2019 heeft mijn toenmalige ambtsvoorganger uw Kamer daarover geïnformeerd.

Vraag 11

Wat is volgens u de reden dat de Wpg nog altijd niet wordt nageleefd?

Ik verwijs u naar het antwoord op vragen 3 en 4.

Vraag 12

Op welke termijn gaat u de Wpg herzien? Hoe verzekert u dat de belangen van opsporing en privacy zorgvuldig tegen elkaar worden afgewogen? Welke vragen heeft u hierover voorgelegd aan de Raad van State?1

In 2014 heeft mijn ambtsvoorganger naar aanleiding van de evaluaties van de Wpg en Wet justitiële en strafvorderlijke gegevens (Hierna: Wjsg) een integrale herziening van die wetten aangekondigd.8 Deze herziening moest echter worden uitgesteld in het licht van de totstandkoming en implementatie van nieuwe regelgeving van de EU, te weten de Algemene Verordening Gegevensbescherming en EU richtlijn 2016/680 voor de gegevensverwerking in het politie- en justitiedomein. Nadien is een verkenning uitgevoerd in samenwerking met vertegenwoordigers van de uitvoering. De resultaten van deze verkenning zijn in 2020 met uw Kamer gedeeld door de toenmalige Minister voor Rechtsbescherming.9 In deze verkenning zijn de termijnen voor het bewaren van gegevens ten behoeve van het gebruik in cold cases en de systematiek daaromheen expliciet als op te lossen knelpunt benoemd.
Bij de start van het vorige kabinet in 2022 zijn geen financiële middelen beschikbaar gesteld voor de realisatie en implementatie van een brede, integrale gegevenswet voor het politie- en justitiedomein. Hierbij was eveneens een overweging dat het realiseren en implementeren van een nieuw wettelijk kader veel vraagt van de veranderkracht van alle betrokken taakorganisaties. Met de inzet die de uitvoering van de modernisering van het Wetboek van Strafvordering al van alle strafrechtketenpartners vergde, was er een reëel risico dat de taakorganisaties met een nieuwe integrale gegevenswet zouden worden overvraagd. Uw Kamer is hierover per brief geïnformeerd in januari 2022.10 Van een integrale herziening van de Wpg en Wjsg is dus afgezien, maar is wel ingezet op enkele noodzakelijke aanpassingen. Het daartoe strekkende wetsvoorstel zal in de eerste helft van 2025 in consultatie worden gegeven. Indien wordt vastgesteld dat daartoe juridische mogelijkheden bestaan, zal het wetsvoorstel ook voorzien in een aanpassing van artikel 14 van de Wpg (waarin de termijn voor het bewaren van verwijderde gegevens is geregeld).
Bij een zorgvuldige weging van de belangen van opsporing en privacy hoort een zorgvuldige juridische weging van de eisen, gesteld in de EU-gegevensbeschermingsregelgeving, de Grondwet en het EVRM. In het kader van een zorgvuldige afweging heb ik de Raad van State verzocht om een voorlichting hierover. Aan de Raad van State is in dit licht de vraag voorgelegd naar de juridische mogelijkheden voor het bewaren van bepaalde politiegegevens ten behoeve van het oplossen van nog niet opgeloste ernstige misdrijven gelet op Europeesrechtelijke en Grondwettelijke eisen.

Vraag 13

Wat gaat u tot die tijd doen om ervoor te zorgen dat de politie de wet volgt? Gaat u de politie tot die tijd toestaan de wet te blijven negeren? Zo ja, op welke grondslag?

Ik verwijs u naar het antwoord op vragen 3 en 4.
In 2019 heeft de korpschef, met redenen omkleed, besloten om artikel 14 van de Wpg (het vernietigen van verwijderde gegevens) bewust niet na te leven. Mijn ambtsvoorganger heeft, als politiek verantwoordelijke voor de politie, de korpschef in dat besluit gesteund en heeft die steun openbaar gemaakt middels een brief aan uw Kamer. Deze situatie duurt tot op heden voort. Aan de hand van de aan de Raad van State gevraagde voorlichting zal een beslissing worden genomen over de juridische mogelijkheden voor een verlenging van de wettelijke bewaartermijn. Indien die mogelijkheden er zijn, kan een wijziging van de Wpg op dit punt worden meegenomen in het in het antwoord op vraag 12 genoemde wetsvoorstel.

Vraag 14

Kunt u de meest actuele beleidslijn en Data Protection Impact Assessment (DPIA) over het verwerken van onrechtmatig bewaarde gegevens door de politie met de Kamer delen?

Er is geen vastgestelde beleidslijn of specifiek DPIA over het verwerken van onrechtmatig bewaarde gegevens door de politie. DPIA's worden uitgevoerd op een proces of systeem op het moment dat een verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context of doelen ervan, waarschijnlijk een hoog risico voor de rechten en vrijheden van personen oplevert. Er is om deze reden geen DPIA op één specifieke verwerking zoals de verwerking van onrechtmatig bewaarde gegevens door de politie in het kader van een specifieke zaak.

Vraag 15

Mag de politie onrechtmatig bewaarde gegevens aandragen als geldig bewijsmateriaal? Is dit juridisch houdbaar en wenselijk?

De vraag welke juridische consequenties het heeft als de politie/het OM de voornoemde gegevens in een strafzaak aandraagt als bewijsmateriaal, hangt af van alle omstandigheden van het geval. Het is in beginsel aan de korpschef als verwerkingsverantwoordelijke en aan de officier van justitie als gezag om deze beslissing te nemen. Bij het schenden van strafvorderlijke voorschriften of rechtsbeginselen (bijv. recht op een eerlijk proces) is het aan de rechter om hier eventuele rechtsgevolgen aan te verbinden.

Vraag 16

Kunt u uitleggen op welke manier al die oude politiegegevens worden bewaard? Aan welke veiligheidseisen moet de opslag voldoen?

Alleen een zogeheten poortwachter is geautoriseerd om politiegegevens in te zien die conform de Wpg verwijderd zijn. De rol van poortwachter is niet specifiek benoemd in de Wpg, maar is door de politie ontwikkeld om invulling te kunnen geven aan art. 14 Wpg en gegevens zo nodig alsnog toegankelijk te maken ten behoeve van de verantwoording van verrichtingen, de behandeling van klachten en hernieuwde verwerking. Elke eenheid heeft een beperkt aantal poortwachters aangewezen. De politie heeft aan de rol van poortwachter verschillende voorwaarden verbonden, dit komt voort uit de zorgplicht die de organisatie heeft voor de rechtmatige omgang met politiegegevens. De poortwachter speelt een belangrijke rol bij de beoordeling of, onder welke voorwaarden en hoe politiegegevens, die zich in de bewaartermijn vinden, weer beschikbaar kunnen komen voor operationele verwerkingsdoelen. De poortwachter moet dan ook beschikken over de juiste kennis om deze rol te kunnen vervullen. De poortwachter vervult deze rol voor alle artikel 14 gegevens. Voor die artikel 14 gegevens waarvan de bewaartermijn reeds is verstreken heeft de korpschef kenbaar gemaakt dat deze gegevens enkel in aanmerking komen voor hernieuwde verwerking voor het onderzoek naar cold cases en voor het vaststellen van PTSS.
Ook voor de verwijderde politiegegevens geldt dat de politie passende technische en organisatorische maatregelen treft om een beveiligingsniveau te waarborgen dat op het risico is afgestemd, op een zodanige manier dat de politiegegevens beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen opzettelijk verlies, vernietiging of beschadiging. De politie sluit daarbij zoveel mogelijk aan bij de Baseline Informatiebeveiliging Overheid (BIO) en neemt waar nodig strengere maatregelen. Het bewaren van de gegevens vergroot de kans op een hack of lek niet. Grotere hoeveelheden gegevens zouden wel tot een bredere impact kunnen leiden.

Vraag 17

Vergroot het niet vernietigen van politiegegevens de kans dat deze door een hack of een lek massaal op straat belanden? Is er onderzoek gedaan naar de mogelijke risico’s voor burgers door de huidige praktijk?

Zie antwoord vraag 16.

Vraag 18

Kunt u de relevante ambtelijke adviezen en contacten tussen betrokken ministeries die hebben geleid tot het gedoogbesluit van februari 2019 en het in stand houden / uitbreiden daarvan zo volledig mogelijk delen met de Kamer?

Er is geen sprake van een gedoogbesluit. De korpschef heeft besloten in afwachting van een wijziging van de bewaartermijnen in de Wpg niet over te gaan tot vernietiging van de betreffende gegevens. Mijn ambtsvoorganger heeft uw Kamer per brief op de hoogte gebracht van zijn steun voor dit besluit en de redenen daartoe. Ik verwijs u kortheidshalve naar deze brief.11
De korpschef is verwerkingsverantwoordelijke waar het gaat om de verwerking van politiegegevens door de politie. Ik ben als Minister van Justitie en Veiligheid beleidsverantwoordelijke voor de Wpg. Mijn ambtsvoorganger heeft in die hoedanigheid zijn steun uitgesproken voor het besluit van de korpschef. Daarmee is geen sprake van een kabinetsbesluit dat noodzaakt tot afstemming met andere departementen.

Vraag 19

Welke ministeries zijn betrokken geweest bij het maken van dit besluit? Vanuit welke belangen hebben zij het besluit om de wet niet na te leven gewogen? Welke zorgen zijn destijds tussen ministeries geuit?

Zie antwoord vraag 18.

Vraag 20

Heeft u sinds 2018 contact gehad met de Autoriteit Persoonsgegevens (AP) over het niet naleven van de Wpg door de politie?

De Autoriteit Persoonsgegevens is een onafhankelijke toezichthouder, die toezicht houdt op de naleving van de eisen in de Wpg door de politie. Ik heb daarin als Minister van Justitie en Veiligheid geen rol. Het past mij als Minister dan ook niet om een onafhankelijke toezichthouder te verzoeken om diens toezichthoudende rol al dan niet in te vullen. Er is regelmatig contact tussen de Autoriteit Persoonsgegevens, mijn departement en de politie.
Daarbij zijn de audit rapporten over de naleving van de Wpg, zoals ik die in 2015, 2020 en 2023 gedeeld heb met uw Kamer, ook door de politie naar de Autoriteit Persoonsgegevens gezonden.

Vraag 21

Bent u bereid de AP te vragen om zo snel als mogelijk de huidige praktijk te onderzoeken? Waarom is dit nog niet eerder gebeurd?

Zie antwoord vraag 20.

Vraag 22

Wanneer is de naleving van de Wpg door de politie het laatst onder de loep genomen, zoals de kritische audit door KPMG eind 2023?2 Is het meerjarig verbeterplan, opgesteld na een slopend advies van een externe audit in 2015,3 nu volledig uitgevoerd? Zo nee, wanneer wél?

Het Besluit politiegegevens schrijft voor dat de Wpg elke vier jaar een audit laat uitvoeren door een externe auditor. Direct na het verschijnen van het externe auditrapport, eind 2015, was duidelijk dat er nog veel tekortkomingen in de naleving van de Wpg waren. De Minister heeft destijds geconstateerd dat het eerder geschetste beeld van een «worstelende praktijk» bij de naleving van de Wpg is bevestigd, dat vanwege de reorganisatie nog onvoldoende centrale regie op het onderwerp was geweest en dat het mede daardoor nog niet was gelukt de juiste organisatorische en technische randvoorwaarden te creëren. De korpschef heeft in maart 2016 een verbeterplan opgeleverd aan de hand waarvan een verbeterprogramma is opgestart. Dit programma is in 2020 afgerond en heeft op een aantal thema’s tot verbeterde resultaten geleid.
De audit van KPMG uit het jaar 2023 is de meest recent uitgevoerde audit door een externe auditor en toont de meest recente stand van zaken. Door middel van een hercontrole zal beoordeeld worden of de maatregelen uit het verbeterrapport inmiddels zijn opgevolgd.

Vraag 23

Bent u tevens bekend met de inhoud van de stukken die de onderzoeksjournalisten hebben opgevraagd met de Wet open overheid?4

De stukken waarnaar u verwijst betreffen in algemene zin politie-interne stukken. Ik ben bekend met de stukken in zoverre dat ik de middels het Woo-verzoek opgevraagde stukken heb geraadpleegd waar dit voor de beantwoording van deze Kamervragen benodigd is.

Vraag 24

Kunt u reageren op de maatschappelijke vraagstukken geopperd in memo 017 uit 2016, namelijk: «Staat het met waarborgen omkleed bewaren en doorzoekbaar houden van informatie in verhouding tot het beoogde doel?»

Het signaleren van risico’s, het wegen van belangen en de inschatting of de in te zetten middelen in verhouding staan tot het te bereiken resultaat past bij een gedegen voorbereiding van besluitvorming.

Vraag 25

Wat is uw reactie op de vraag: «Vinden wij als samenleving de relatieve inbreuk op de privacy van burgers, omdat gegevens niet geschoond worden maar in systemen opgeslagen blijven, ernstiger dan het niet meer kunnen oplossen van een levensdelict?»

Het evenwicht tussen het belang van de privacy van burgers enerzijds en het belang van een effectieve opsporing anderzijds is een maatschappelijk én een (complex) juridisch vraagstuk. Het belang van het oplossen van een cold case zit zowel in de rechtvaardigheidsbeleving (misdrijven moeten worden opgelost) als in het gunnen van helderheid aan de nabestaande over wat destijds hun naaste is overkomen, ook na vele jaren. Anderzijds worden in de Grondwet, het Europees Verdrag voor de Rechten van de Mens en het EU-recht randvoorwaarden gesteld aan de gegevensverwerking door bevoegde autoriteiten in verband met de bescherming van de persoonlijke levenssfeer. Ik heb vanwege de complexiteit van dit vraagstuk de Raad van State gevraagd om een voorlichting. De voorlichting van de Raad van State zal ik betrekken bij mijn afweging over de verlenging van de termijn voor het vernietigen van verwijderde gegevens. Indien uit de voorlichting van de Raad van State zou blijken dat er juridische mogelijkheden zijn voor het verruimen van de bewaartermijn van bepaalde politiegegevens met het oog op het oplossen van oude zaken, dan zal ik zo snel mogelijk een daartoe strekkend wetsvoorstel voorbereiden.

Vraag 26

Wat is uw reactie op de vraag: «Wat betekent het niet verjaren van zaken daadwerkelijk als onontbeerlijke informatie wel verjaart?»

Zie antwoord vraag 25.

Vraag 27

Wat is uw reactie op de vraag: «Welke gegevens vinden wij zo belangrijk dat ze bewaard en doorzoekbaar moeten blijven? Zijn er ook gegevens die wel mogen worden vernietigd en zo ja, welke dan?»

Zie antwoord vraag 25.

Vraag 28

Is het per ministerieel besluit opschorten van (onderdelen van) de Wpg, zoals aangehaald in memo 020, ooit overwogen door uw voorgangers? Zo ja, waarom is er toch gekozen om het niet naleven te gedogen?

De Wpg kent geen grondslag om de bewaartermijn voor verwijderde gegevens, genoemd in artikel 14, aan te passen middels gedelegeerde regelgeving. Dit vergt een wetswijziging. Zoals aangegeven in mijn antwoord op vraag 10 is de lengte van de wettelijke bewaartermijn al een punt van aandacht sinds inwerkingtreding van de Wpg. Zie verder het antwoord op vraag 10.

Vraag 29

Wat is uw reactie op het signaal dat de bewaartermijnen van het Wpg ook de aanpak van zware criminaliteit belemmert, zoals gesteld in memo 027? Bij welke vormen van zware criminaliteit is het gedoogd om onrechtmatig bewaarde gegevens te verwerken? Worden verouderde gegevens momenteel voor dit doel gebruikt?

Verwijderde gegevens worden alleen ter beschikking gesteld voor hernieuwde verwerking voor die doelen die zijn genoemd in artikel 14 van de Wpg.
De korpschef heeft kenbaar gemaakt dat de gegevens waarvan de termijn in artikel 14 is verstreken, dus die gegevens waarvan de korpschef in 2019 heeft besloten niet tot vernietiging over te gaan, alleen in aanmerking komen voor hernieuwde verwerking in cold cases en voor het vaststellen van PTSS.

Vraag 30

Wat is het verschil tussen cold cases en «andere onopgeloste zaken» zoals aangehaald in memo 027? Worden verouderde gegevens momenteel voor andere onopgeloste zaken gebruikt?

Het gesprek dat tussen mijn departement en vertegenwoordigers van de politie heeft plaatsgevonden ging over «oude zaken». Daarmee wordt gedoeld op cold cases, maar ook op bijvoorbeeld langdurige vermissingen en de identificatie van onbekende doden. De term «cold cases» heeft dus feitelijk betrekking op een beperkte categorie onopgehelderde misdrijven, maar wordt in de praktijk regelmatig gebruikt om een breder spectrum van oude zaken aan te duiden. Indien uit de voorlichting van de Raad van State zou blijken dat er juridische mogelijkheden zijn voor het aanpassen van de bewaartermijnen van bepaalde politiegegevens met het oog op het oplossen van oude zaken, gelet op Europeesrechtelijke en grondwettelijke eisen, dan zal ik in een daartoe strekkend wetsvoorstel precies neerleggen voor welke doelen de langer bewaarde gegevens mogen worden verwerkt.

Vraag 31

Klopt het beeld uit memo 029, waarin staat dat de korpschef eindverantwoordelijk is voor rechtmatige en zorgvuldige gegevensverwerking? Welke rol heeft u dan?

De korpschef is als verwerkingsverantwoordelijke verantwoordelijk voor de verwerking van politiegegevens door de politie. De Minister van Justitie en Veiligheid is politiek verantwoordelijk voor de politie en tevens beleidsverantwoordelijk voor de Wpg.

Vraag 32

Is er bij de huidige praktijk sprake van rechtmatige en zorgvuldige gegevensverwerking?

Rechtmatige en zorgvuldige gegevensverwerking zijn belangrijke voorschriften uit de Wpg. Voor de naleving van de Wpg door de politie verwijs ik u naar het antwoord op vragen 3 en 4.

Vraag 33

Klopt het dat het vernietigingsscript in de BVH nooit daadwerkelijk is ontwikkeld of in gebruik is genomen, zoals wordt gesteld in memo 043?5 Wat was er mis met het script waardoor dit niet gebeurd is?

Bij een evaluatie van de Wpg in 2014 bleek dat de bewaartermijnen niet goed werden nageleefd. Naar aanleiding van een daaropvolgende audit besloot de korpsleiding tot de opmaak van een meerjarig verbeterplan. Een onderdeel van dit plan was het instellen van een vernietigingsscript per 1 januari 2019. Er is destijds dus een begin gemaakt met de ontwikkeling van dit script, maar het is nog niet gereed om in gebruik te nemen en moet nog verder getest worden. Het middels een dergelijk vernietigingsscript vernietigen van gegevens is immers een onomkeerbare stap. Door het besluit van de korpschef om gegevens niet te vernietigen in afwachting van een wijziging van de Wpg op dit punt is het script nooit tot in productie doorontwikkeld.

Vraag 34

Hoe kan het dat in memo 020 wordt gesteld dat het aanzetten van het vernietigingsscript een onomkeerbare stap is, als er geen (bruikbaar) script blijkt te zijn? Wanneer was het bij uw voorganger bekend dat er nooit een (bruikbaar) script is geweest?

Zie antwoord vraag 33.

Vraag 35

Heeft het niet op orde hebben van de benodigde software een rol gespeeld bij uw besluit om het niet naleven van de Wpg te gedogen? Zo ja, in hoeverre was dit voor uw voorganger doorslaggevend?

De redenen die mijn ambtsvoorganger had om de korpschef te steunen in zijn besluit om de oude gegevens niet te vernietigen zijn beschreven in de brief die daarover in 2019 naar uw Kamer is gestuurd. Dat had te maken met de bewaartermijn voor oude gegevens ten behoeve van het onderzoek naar cold cases, die als te kort werd ervaren. De korpschef wilde geen onomkeerbare stappen nemen door de gegevens te vernietigen in afwachting van de toen aangekondigde wijziging van de wet.

Vraag 36

Klopt het dat de politie toestemming heeft gevraagd om tot de herziening van de Wpg «wat dan ook» voor data niet te vernietigen, zoals gesteld in memo 050? Wat is de precieze reikwijdte van het gedoogbesluit van uw voorganger en is dit nog steeds van kracht?

Er is geen sprake van een gedoogbesluit, zoals toegelicht in mijn antwoord op vraag 18. Het besluit dat de korpschef in 2019 nam, betrof het niet vernietigen van oude gegevens omdat deze bruikbaar kunnen zijn in cold cases. Mijn ambtsvoorganger heeft hem daarin gesteund. Het gaat dan om verwijderde gegevens, conform artikel 14 van de Wpg. De korpschef heeft kenbaar gemaakt dat deze gegevens enkel in aanmerking komen voor hernieuwde verwerking voor het onderzoek naar cold cases en voor het vaststellen van PTSS.

Vraag 37

Voor welke «zwaarwegend[e] doel[en]» moesten volgens uw voorganger gegevens langer bewaard kunnen worden, zoals gesteld in memo 051? Deelt u deze opvatting?

Voor de als voorbeeld genoemde doelen verwijs ik u naar de desbetreffende brief die mijn ambtsvoorganger naar uw Kamer stuurde.10 Ik sluit mij aan bij de noodzaak een bewaartermijn vast te stellen waarin een nieuwe balans wordt gevonden tussen de taakuitvoering door de politie en anderzijds het respecteren en beschermen van de grondwettelijk geborgde persoonlijke levenssfeer van de burger. Daartoe heb ik de Raad van State gevraagd om een voorlichting over de juridische voorwaarden aan het verlengen van de termijn voor het bewaren van verwijderde gegevens. De voorlichting van de Raad neem ik mee in mijn afweging over het (eventueel) verlengen van de huidig gestelde bewaartermijn in artikel 14 van de Wpg.

Vraag 38

Is de enige logische conclusie bij de constatering uit memo 051 dat «op voorhand niet te beoordelen [is] welke informatie belangrijk is of zal zijn,» dat álle politiegegevens voor altijd dienen te worden opgeslagen?

Zie antwoord vraag 37.

Vraag 39

Hoe reageert u op de constatering uit memo 071, waarin mailcontact erkent dat openheid over de gedoogconstructie kan leiden tot een onderzoek van de AP met een boete en slechte pers als gevolg? Zijn de gevolgen voor burgers ook in acht genomen?

In deze situatie is er sprake van twee waardes die tegenover elkaar staan, namelijk het fundamentele recht op de bescherming van de privacy en het rechtstatelijke belang bij een effectieve opsporing en vervolging. Zoals ik die heb omschreven in beantwoording op deze vragen heeft het evenwicht tussen deze twee waardes gevolgen voor burgers, die baat hebben bij zowel het oplossen van cold cases als bij een zorgvuldige omgang met gegevens.
De Autoriteit Persoonsgegevens heeft een onafhankelijke toezichthoudende taak op de verwerking van politiegegevens onder de Wpg. De Autoriteit Persoonsgegevens besluit zelf of zij aanleiding ziet om onderzoek te doen. Daarin heb ik als Minister van Justitie en Veiligheid geen rol. Een onderzoek door de Autoriteit Persoonsgegevens kan ingegeven zijn door meldingen, maar ook door openbaar beschikbare informatie. Zoals vermeld in reactie op vragen 20 en 21 is er regelmatig contact tussen mijn departement, de Autoriteit Persoonsgegevens en de politie en zijn de auditrapporten over de naleving van de Wpg, zoals die in 2015, 2020 en 2023 gedeeld zijn met uw Kamer, ook door de politie naar de Autoriteit Persoonsgegevens gezonden.

Vraag 40

Was uw ambtsvoorganger destijds bekend met de zorgen over een onderzoek van de AP? Hebben deze zorgen enigszins een rol gespeeld in de afweging die uw voorganger heeft gemaakt? Kunt u dat hard maken?

Zie antwoord vraag 39.

Vraag 41

Waarom heeft uw voorganger er niet voor gekozen om de AP juist tijdig te betrekken bij de besluitvorming over het niet naleven van de wet en het ontwikkelen van intern beleid?

Zie antwoord vraag 39.

Vraag 42

Kunt u een uitleg geven over hoe het verwijderingsscript, aangehaald in memo 080, te werk gaat? Wat betekent het «schonen» van gegevens in technische zin?

Een verwijderingsscript zorgt ervoor dat de gegevens die op grond van art. 8 van de Wpg in de Basisvoorziening Handhaving (BVH) worden verwerkt niet meer toegankelijk zijn voor operationele doeleinden. In technische zin zijn ze dus «afgeschermd». De verwijderde gegevens zijn alleen toegankelijk voor een beperkt aantal geautoriseerde politieambtenaren, zogeheten poortwachters.

Vraag 43

Wat is het technische verschil tussen het verwijderen en vernietigen van gegevens? Kunnen verwijderde en / of vernietigde gegevens nog worden opgeroepen op een later tijdstip? Zit er verschil tussen gegevens onder artikel 8, 9 en 10 van de Wpg?

Drie verwerkingsdoelen in de Wpg (zijnde: de dagelijkse politietaak, de strafrechtelijke handhaving van de rechtsorde in een bepaald geval en het inzicht in de betrokkenheid van personen bij bepaalde ernstige bedreigingen van de rechtsorde) kennen weliswaar afwijkende verwijderingstermijnen, maar er zit met betrekking tot het principe van verwijderen en vernietigen geen verschil tussen de drie voornoemde doelen.

Vraag 44

Kunt u een tijdlijn schetsen van de ontwikkeling en het gebruik van de benodigde software die gegevens had moeten vernietigen? Tot welk stadium is een dergelijk systeem ooit uitgewerkt?

Zie antwoord vraag 33.

Vraag 45

Wat bedoelde uw voorganger in de Kamerbrief van 5 februari 2019 met: «Op dit moment is het beter om deze onvolkomenheid in de naleving van de wet te accepteren»?6 Is het niet passender om te spreken van het niet naleven van de wet?

Ik verwijs u naar het antwoord op vraag 5.

Vraag 46

Heeft uw voorganger destijds voorwaarden gesteld aan het gedogen van deze werkwijze? Zijn de precieze afspraken en / of toezeggingen rondom deze gedoogconstructie (intern) vastgelegd door de politie of uw ministerie? Zo ja, kunt u deze doen toekomen aan de Kamer?

Er is geen sprake van een gedoogconstructie zoals toegelicht in mijn antwoord op vraag 18. Mijn ambtsvoorganger heeft de korpschef gesteund in diens besluit om oude gegevens niet te vernietigen. De korpschef heeft daarbij maatregelen getroffen om gegevens die conform de wet vernietigd hadden moeten worden af te schermen van andere gegevens. De toegang tot de afgeschermde data is beperkt tot het strikt noodzakelijke. De korpschef heeft daartoe een beperkt aantal zogenoemde poortwachters aangewezen. Alleen deze poortwachters hebben, in opdracht van het gezag, toegang tot deze afgeschermde politiegegevens. Deze maatregelen zijn vermeld in de communicatie over dit besluit met uw Kamer.17

Vraag 47

Op welke wijze heeft u vanaf 2019 toezicht gehouden op het bewaren, verwijderen en vernietigen van politiegegevens ouder dan 10 jaar? Is er sprake van onafhankelijk toezicht?

Ik ben als Minister van Justitie en Veiligheid niet verantwoordelijk voor het houden van toezicht op het bewaren, verwijderen en vernietigen van politiegegevens ouder dan 10 jaar bij de politie. De Autoriteit Persoonsgegevens heeft een onafhankelijke toezichthoudende taak op de verwerking van politiegegevens onder de Wpg. Ik verwijs u naar de beantwoording van eerdere vragen over het toezicht door de Autoriteit Persoonsgegevens.

Vraag 48

Heeft uw voorganger toezeggingen gedaan of bepaalde verwachtingen geschept bij de politie over de termijn waarop een herziening van de Wpg gereed zou zijn? Om welke reden is de herziening enige tijd uitgesteld?

Ik verwijs u naar het antwoord op vraag 12.

Vraag 49

Klopt de conclusie uit de audit dat de politie door ICT-problemen niet in staat was om op tijd de wet na te leven, of is het een bewuste keuze geweest van de korpschef?7

Voor wat betreft het besluit van de korpschef om verwijderde gegevens na ommekomst van de termijn van vijf jaar niet te vernietigen, klopt deze conclusie niet. Het niet verwijderen was een bewuste keuze van de korpschef, gesteund door mijn ambtsvoorganger. In betreffende audit rapport is beschreven dat de politie beschikt over een retentiebeleid waarin de maximale bewaartermijnen zijn uitgewerkt en handvatten zijn beschreven om te borgen dat persoonsgegevens niet langer worden bewaard dan noodzakelijk is voor het te bereiken doel. Voor de ontwikkeling van het vernietigingsscript en de samenhang met het verbeterprogramma verwijs ik naar mijn antwoorden op vragen 33, 34 en 44. Het niet-naleven van de vernietigingstermijn was daarmee een bewuste keuze van de korpschef, gesteund door mijn ambtsvoorganger.

Vraag 50

Welke maatregelen zijn er genomen om toegang tot niet vernietigde gegevens te beperken tot het strikt noodzakelijke, zoals volgens memo 094 in een interne notitie wordt vermeld?

Ik verwijs u naar het antwoord op de vragen 16 en 17.

Vraag 51

Wie hebben er toegang tot de onrechtmatig bewaarde gegevens? Hoe wordt er gecontroleerd en gehandhaafd dat men hier zo min mogelijk gebruik van maakt?

Zie antwoord vraag 50.

Vraag 52

Wordt er middels «logging» bijgehouden wie er oude gegevens verwerken en wanneer? Waarom is er wel / niet besloten om deze maatregel te nemen? Is dit het geval bij alle gegevensverwerking door de politie?

Van alle gegevensverwerkingen bij de politie wordt middels logging bijgehouden wie gegevens verwerkt en wanneer, ook bij verwijderde gegevens.

Vraag 53

Welke gegevens mag de Gegevensautoriteit volgens de korpsleiding niet vernietigen, zoals ook gevraagd wordt in memo 097 en 098? Is dit kader uiteindelijk verschaft aan de Gegevensautoriteit?

Het niet naleven van de termijnen voor vernietiging van de gegevens (met uitzondering van die gegevens zoals toegelicht in mijn antwoorden op vraag 6 en 7) was een bewust besluit van de korpschef, gesteund door mijn ambtsvoorganger. De Gegevensautoriteit van de politie heeft vervolgens een beleidslijn opgesteld die invulling geeft aan dat besluit. De Minister van Justitie en Veiligheid heeft geen rol in het opstellen van die beleidslijn. Ik zie geen aanleiding hierom te vragen gezien de lopende voorlichting bij de Raad van State.

Vraag 54

Heeft u kennis van de interne notitie waarnaar wordt verwezen in memo's 106, 111 en 113? Zo ja, wat is de strekking hiervan en hoe is uw ministerie betrokken geweest bij de totstandkoming hiervan? Kunt u de notitie delen met de Kamer?

De notitie waarnaar u verwijst betreft een politiedocument. De politie is zelf verantwoordelijk voor het behandelen van een Woo-verzoek en het beoordelen en openbaar maken van stukken die onder de reikwijdte van het verzoek vallen.

Vraag 55

Welke status heeft de notitie uit memo 114? Is uw ministerie betrokken geweest bij het opstellen?

De notitie waar u naar verwijst betreft een politiedocument dat bedoeld is voor interne besluitvorming.

Vraag 56

Kunt u los reageren op de volgende zorgen geuit in memo 114, zijnde: 1) het niet naleven van een wettelijke verplichting tast de betrouwbaarheid en legitimiteit van de politie ernstig aan; 2) de AP kan aanleiding zien om onderzoek te doen naar het op grote schaal niet-naleven van de Wpg en kunnen handhaven; 3) werkwijze zal bij audits en inspecties op het gebied van de Wpg en de Archiefwet 1995 tot negatieve conclusies leiden.

Ik verwijs u naar respectievelijk mijn reacties op vragen 3 en 4, 20 en 21 en 39 tot en met 41.

Vraag 57

Is de beleidslijn die geschetst wordt in memo 114 alleen van toepassing op cold cases, of ook voor andere «zwaarwegend[e] doel[en]» zoals geschreven in de Kamerbrief van 4 februari 2019, en omvat dit ook herzieningsonderzoeken en PTSS-onderzoek?

De korpschef heeft kenbaar gemaakt dat deze gegevens enkel in aanmerking komen voor hernieuwde verwerking voor het onderzoek naar cold cases en voor het vaststellen van PTSS.
De korpschef heeft als werkgever een bijzondere zorgplicht met betrekking tot de psycho-sociale arbeidsbelasting. Zeker bij de uitvoering van politiewerkzaamheden kan langdurige blootstelling aan bepaalde incidenten leiden tot PTSS. Vaak overstijgt de termijn tussen incident en het moment waarop een potentieel PTSS slachtoffer zich als zodanig meldt de verwijderingstermijn voor politiegegevens in artikel 8 van de Wpg (5 jaar). Ter bescherming van de persoon in kwestie ligt het onderzoek naar de incidenten bij de korpschef. Het Besluit politiegegevens bevat de mogelijkheid om operationele (nog niet verwijderde) gegevens bij het onderzoek te betrekken. De korpschef gebruikt verwijderde gegevens vanaf het begin ook voor PTSS onderzoek bij collega’s. Daarbij moet gerealiseerd worden dat het hierbij te doen is om de betrokkenheid van collega’s bij bepaalde impactvolle incidenten. Het gaat daarbij om geanonimiseerde informatie, de persoonsgegevens van betrokken burgers zijn immers niet relevant voor de behandeling van het PTSS onderzoek.
Ik neem de verwerking van verwijderde gegevens mee in een aanpassing van de Wpg. De wijze waarop het gebruik van gegevens ten behoeve van PTSS in een aangepast artikel 14 vorm krijgt, kan ik pas beoordelen na ontvangst van de voorlichting die ik aan de Raad van State gevraagd heb. De juridische vraagstukken over het bewaren van grote hoeveelheden gegevens en de Europeesrechtelijke en grondwettelijke eisen daaraan zijn immers gelijk aan de vraagstukken op dit gebied rondom cold cases.

Vraag 58

Wie zijn de poortwachters? Onder welke voorwaarden verlenen zij toegang tot verwijderde gegevens en wie houdt hier toezicht op?

Ik verwijs u naar het antwoord op vraag 16.

Vraag 59

Hoe reageert u op de bevinding in memo 114 dat verzoeken van individuele betrokkenen om gegevens te vernietigen wél worden gehonoreerd? Zijn deze gegevens dan niet mogelijk doorslaggevend in cold cases?

Conform artikel 28, tweede lid, van de Wpg heeft een betrokkene het recht op vernietiging van de hem betreffende politiegegevens indien de gegevens in strijd met een wettelijk voorschrift worden verwerkt. Van dit recht kan slechts worden afgeweken wanneer de juistheid of onjuistheid van de informatie niet kan worden geverifieerd of wanneer de gegevens moeten worden bewaard als bewijsmateriaal. In individuele gevallen als deze berust de verantwoordelijkheid bij de politie om te kunnen aantonen dat de specifieke informatie die het betreft moet worden bewaard als bewijsmateriaal. Het aantonen van dit verband is in een individuele casus complex, omdat het onmogelijk is om op voorhand te zeggen of de gegevens relevante informatie bevatten waarmee een specifieke cold case kan worden opgelost.

Vraag 60

Vindt u het acceptabel dat de wet slechts wordt nageleefd als betrokkenen zelf de moeite doen om zich op hun rechten te beroepen? Is het de taak van burgers om het naleven van de wet individueel af te dwingen?

Uiteraard dient de politie zich uit eigen beweging te houden aan de wet. Burgers mogen erop vertrouwen dat dat gebeurt. Slechts in zeer bijzondere omstandigheden kan het verdedigbaar zijn dat een wettelijke norm tijdelijk niet wordt nageleefd. Dat heeft mijn voorganger in zijn brief aan uw Kamer in februari 2019 onderbouwd.19

Vraag 61

Worden burgers op de hoogte gebracht dat hun gegevens worden verzameld en mogelijk voor onbeperkte termijn worden bewaard?

De politie informeert burgers in algemene zin op grond van artikel 24 van de Wpg over onder andere de verwerkingsverantwoordelijke, verwerkingsdoelen en rechten van betrokkenen. Dit doet de politie op haar website. Daarnaast worden burgers in voorkomende gevallen geïnformeerd over bijvoorbeeld de rechtsgrond of bewaartermijn van een verwerking. Dat kan bijvoorbeeld het geval zijn wanneer een burger optreedt als getuige of slachtoffer is. De burger heeft op grond van artikel 25 Wpg te allen tijde het recht op inzage in de hem of haar betreffende persoonsgegevens in bezit van de politie.

Vraag 62

Vindt u het belangrijk dat het beleid en de werkprocessen van de politie in opzet voldoen aan de Wpg, ook als deze in feite niet wordt uitgevoerd, zoals erkend in memo 114? Wekt dit niet de indruk bij audits, inspecties en onderzoeken dat er wordt voldaan aan de wet terwijl dit feitelijk niet zo is?

Ik vind het belangrijk dat de werkprocessen binnen de politie voldoen aan de daaraan gestelde eisen in de Wpg. De auditsystematiek is daarbij zodanig dat door de auditor getoetst wordt of de politie in opzet, bestaan en werking op adequate wijze invulling geeft aan de bepalingen bij of krachtens de Wpg. Ik verwijs u naar de auditrapporten die met uw Kamer zijn gedeeld.20

Vraag 63

Hoe reageert u op de waarschuwing over «function creep» zoals beschreven in memo 114, waarin staat dat gegevens enkel mogen worden gebruikt voor cold cases? Is er sprake geweest van function creep door niet vernietigde gegevens ook te betrekken bij onderzoek naar Posttraumatische stressstoornis (PTSS), herzieningsonderzoeken en het gebruik bij zware misdaad niet uit te sluiten?

Naleving van de vereisten uit de Wpg is een verantwoordelijkheid van de verwerkingsverantwoordelijke. De politie heeft een systeem van intern en extern toezicht opgezet om te toetsen of voorwaarden zijn getroffen om de naleving van de Wpg periodiek te toetsen. Dit gebeurt op basis van de Regeling periodieke audit politiegegevens. Op deze manier wordt getoetst of de voorwaarden uit de Wpg worden nageleefd. Daarnaast is de Autoriteit Persoonsgegevens als onafhankelijk toezichthouder bevoegd om toezicht te houden op de naleving van de Wpg.
De korpschef heeft kenbaar gemaakt dat de gegevens waarvan de termijn in artikel 14 is verstreken, dus die gegevens waarvan de korpschef in 2019 heeft besloten niet tot vernietiging over te gaan, alleen in aanmerking komen voor hernieuwde verwerking in cold cases en voor het vaststellen van PTSS.

Vraag 64

Kunt u met alle zekerheid zeggen dat onrechtmatig bewaarde gegevens in geen enkel geval gebruikt zijn voor data-analyse, het trainen van AI-systemen, uitwisseling met partners in de keten, of voor screeningsdoeleinden? Welke waarborgen zijn er ingesteld om dit te voorkomen? Als dit wel is gebeurd, kunt u dan duidelijk maken voor precies welke doeleinden deze gegevens zijn gebruikt?

De doelen voor welke verwijderde gegevens voor hernieuwde verwerking in aanmerking komen, zijn opgesomd in artikel 14 van de Wpg. Daarnaast heeft de korpschef kenbaar gemaakt dat de artikel 14 gegevens waarvan de bewaartermijn is verstreken enkel in aanmerking komen voor hernieuwde verwerking voor het onderzoek naar cold cases en voor het vaststellen van PTSS.De politie heeft waarborgen ingericht rond het ter beschikking stellen voor hernieuwde verwerking van verwijderde gegevens. Dat betreft het afschermen van de verwijderde gegevens van de overige gegevensverzamelingen, het instellen van poortwachters en de toestemming van het gezag alvorens hernieuwde verwerking plaatsvindt. Daarnaast kan de Autoriteit Persoonsgegevens handhavend optreden bij normafwijkend handelen.

Vraag 65

Klopt de stelling in memo 114 dat er destijds (november 2020) eerste verkenningen zijn geweest over de herziening van de Wpg? Wat waren de uitkomsten van deze verkenningen?

Ik verwijs u naar het antwoord op vraag 12.

Vraag 66

Is er inmiddels een definitieve beleidslijn over hoe om te gaan met het vernietigen van politiegegevens, wat volgens memo 124 in juni 2021 nog altijd niet het geval was? Heeft uw ministerie hier om gevraagd? Zo niet, bent u bereid dit alsnog te doen?

Zie antwoord vraag 53.

Vraag 67

Kunt u uitleg geven over het lopende traject om de poortwachter organisatie beter in te richten, waar naar wordt verwezen in memo 137? Welke problemen waren er en zijn deze onderhand weggenomen?

De huidige werkwijze is in 2018 tot stand gekomen, deze wordt door de korpschef geactualiseerd.

Vraag 68

Vanaf wanneer is het gedoogbeleid zodanig verbreed dat ook PTSS-onderzoek bij collega's hieronder is komen te vallen, zoals benoemd in memo 137? Is hier toestemming van de Minister voor gevraagd / vereist?

Ik verwijs u naar het antwoord op vraag 57.

Vraag 69

Kunt u de nadere uitwerking van de beleidslijn waar memo 139 naar verwijst aan de Kamer doen toekomen?

De korpschef heeft mij gemeld dat de Gegevensautoriteit na het besluit van de korpschef om verwijderde gegevens niet te vernietigen, gesteund door mijn ambtsvoorganger, destijds in afwachting van een herziening van de Wpg, een beleidslijn heeft opgesteld over hoe om te gaan met de gegevens die vernietigd hadden moeten worden. Enkele van de door u gestelde vragen raken de inhoud van deze beleidslijn. Daarvoor verwijs ik u naar de antwoorden op de vragen 6, 7, 29, 46, 53, 57 en 66. Wat betreft de getroffen waarborgen met betrekking tot de verwijderde gegevens verwijs ik u naar mijn antwoord op vraag 17.

Vraag 70

Is er nog altijd geen beleidslijn vastgesteld over de waarborgen die nodig zijn om zorgvuldig met verwijderde politiegegevens te werken, zoals gevraagd in memo 139?

Zie antwoord vraag 69.

Vraag 71

Is het nu gedoogd om onrechtmatig bewaarde politiegegevens voor herzieningsonderzoeken te gebruiken, zoals opgenomen in memo 139? Bent u of is uw voorganger gevraagd om toestemming voor dit gebruik, of valt dit ook onder het staande gedoogbeleid?

De korpschef heeft kenbaar gemaakt dat de artikel 14 gegevens waarvan de bewaartermijn is verstreken enkel in aanmerking komen voor hernieuwde verwerking voor het onderzoek naar cold cases en voor het vaststellen van PTSS. Ik heb als Minister van Justitie en Veiligheid geen rol in het verlenen van toestemming om politiegegevens al dan niet voor herzieningsonderzoeken te gebruiken. De officier van justitie toetst of gegevens voor hernieuwde verwerking in aanmerking komen. De rechter doet in de betreffende zaak een uitspraak of de gegevens al dan niet rechtmatig voor het betreffende onderzoek zijn verwerkt.

Vraag 72

Welke lessen trekt u uit het proces rondom de Wpg? Hoe gaat u in de toekomst voorkomen dat de politie jarenlang de wet niet naleeft?

Allereerst wil ik benadrukken dat de politie de Wpg op veel vlakken naleeft en dat de auditrapporten hierin een stijgende lijn laten zien. De auditrapporten laten echter ook zien dat er sprake was en is van knelpunten. Mijn ambtsvoorgangers hebben in 2014, 2015, 2019, 2020 en 2023 in openheid met uw Kamer gecommuniceerd over de naleving van de Wpg en de uitdagingen die zich daarbij voordeden en voordoen. Ik acht het van belang dat wetgeving aansluit op de uitvoeringspraktijk en recht doet aan de verschillende maatschappelijke waarden die een rol spelen. Daarnaast kan dit vraagstuk niet los gezien worden van de in 2019 voorgenomen herziening van de Wpg. Hiervoor verwijs ik naar mijn antwoord op vraag 12.

Vraag 73

Kunt u deze vragen afzonderlijk van elkaar beantwoorden?

Waar het de kwaliteit van de beantwoording ten goede komt zijn deze vragen tezamen behandeld.