Actuele ontwikkelingen op het terrein van cybersecurity en aanpalende domeinen

Jaargang 2021

Op 28 december 2021 heeft de minister van EZK een Nota van Wijziging (35880 nr 7) naar de Tweede Kamer gestuurd waarmee hij diverse verbeteringen en verduidelijkingen aanbrengt in het wetsvoorstel veiligheidstoets, investeringen, fusies en overnames.
Op 28 december 2021 heeft de minister van EZK de 109 vragen beantwoord (35880 nr 6) die de Tweede Kamer had gesteld over het wetsvoorstel Wet veiligheidstoets investeringen, fusies en overnames. De Wbni richt zich op de digitale veiligheid van vitale aanbieders, dit wetsvoorstel richt zich op economische veiligheid van vitale aanbieders. Dit leidt tot het anders invullen van welke bedrijven tot vitale aanbieders behoren. Ook wordt verduidelijkt wat onder sensitieve technologie moet worden verstaan. Het Bureau Toetsing Investeringen (BTI), dat binnen EZK in oktober 2020 operationeel is geworden bij de inwerkingtreding van de Wet ongewenste zeggenschap telecommunicatie, zal toezicht houden op de naleving van de wet.
Op 21 december 2021 rapporteert de staatssecretaris van BZK in een brief (26643 nr 809) aan de Tweede Kamer (en met brief 35218 nr K aan de Eerste Kamer) over de voortgang in 2021 op het gebied van digitale inclusie en geeft hij een doorkijk naar 2022.
Op 20 december 2021 heeft de minister van VWS een brief (27529 nr 272) naar de Tweede Kamer (en op 22 december 2021 een gelijkluidende brief (27529 nr P) naar de Eerste Kamer) gestuurd waarin hij ingaat op invulling en gebruik van generieke functies voor elektronische gegevensuitwisseling in de zorg, zoals toestemming, autorisatie, identificatie en authenticatie. Ook gaat hij in de brief in op oplossingen voor het zo eenvoudig, toegankelijk en veilig mogelijk uitwisselen van gegevens tussen zorgverleners onderling en met hun cliënten en patiënten, zowel voor de korte als de lange termijn.
Op 17 december 2021 heeft de minister van J&V in een brief (35447 nrs 21 en I) aan de beide Kamers gereageerd op het advies van de AP, de voorlichting van de Afdeling advisering van de Raad van State en het advies van het College voor de Rechten van de Mens over het wetsvoorstel Wet gegevensverwerking door samenwerkingsverbanden. De minister wil een aantal zorgpunten wegnemen door een aantal artikelen niet in werking te laten treden en de wet aan te passen zodra die is aangenomen en door een aantal aanbevelingen te concretiseren in de AMvB die momenteel in voorbereiding is. Bestaande samenwerkingsverbanden kunnen dan toch op korte termijn van een toereikende wettelijke grondslag worden voorzien.
Op 17 december 2021 hebben de bewindslieden van J&V het verslag van de JBZ-raad op 9 en 10 december in Brussel (32317 nr 734) aan de Tweede Kamer aangeboden. Daar is voorgesteld het 2e aanvullend protocol bij het Cybercrimeverdrag te ondertekenen en te ratificeren. Dat zal in de loop van 2022 plaatsvinden. Hierdoor zal de justitiële samenwerking binnen de EU verbeteren, zoals de grensoverschrijdende toegang tot elektronisch bewijs. Ook is overeenstemming bereikt over de richtlijn Bescherming veerkracht kritieke entiteiten (CER-richtlijn). De uitzonderingsclausule voor nationale veiligheid is uiteindelijk conform de Nederlandse inzet opgenomen.
Op 17 december 2021 heeft de staatssecretaris van VWS het adviesrapport “De ontwikkeling van een Landelijk Toetsingskader voor gezondheidsapps” (27529 nr 271) aan de Tweede Kamer aangeboden. Ook geeft hij in de brief zijn reactie op het rapport en schetst hij het vervolgproces. Voor de nadere uitwerking zal een beperkt aantal apps in een pilotfase worden getoetst.
Op 17 december 2021 hebben de ministers van J&Ven EZK en de staatssecretaris van BZK de Tweede Kamer geïnformeerd (26643 nr 814) over de kwetsbaarheid in Apache Log4j. Ook gaan zij in op de inmiddels genomen maatregelen en voorziene vervolgstappen.
Op 17 december 2021 heeft het kabinet ingestemd met de benoeming van Arre Zuurmond tot regeringscommissaris Informatiehuishouding (29362 nr 302). Hij start op 1 januari 2022 en zal als aanjager de uitvoering van het generieke actieplan Informatiehuishouding Rijksoverheid “Open op Orde” bevorderen.
Op 16 december 2021 heeft de Tweede Kamer twee moties (28684 nrs 678 en 682) aangenomen waarin de regering wordt verzocht zo spoedig mogelijk een integraal plan van aanpak te presenteren om online fraude te bestrijden en om met een voorlichtingsplan voor ondernemers te komen ten aanzien van de risico’s van cybercrime.
Op 16 december 2021 heeft de minister van J&V het rapport van de OVV over de kwetsbaarheden in Citrix (26643 nr 808) aan de Tweede Kamer aangeboden. De OVV doet 7 aanbevelingen, aan het kabinet en organisaties die software gebruiken, aan de Europese Commissie en aan softwarefabrikanten. Het kabinet zal de aanbevelingen bestuderen en de Kamer daarover informeren.

Op 16 december 2021 hebben de bewindslieden van BZK en de minister voor Rechtsbescherming gereageerd (26643 nr 806) op het adviesrapport van de Raad voor het Openbar Bestuur “Sturen of gestuurd worden: over de legitimiteit van sturen met data”. Het kabinet onderschrijft het belang van het nog beter organiseren van de publieke verantwoording over sturen met en transparant gebruik van data. Er zijn al diverse maatregelen genomen of nog, mede in Europees verband, in ontwikkeling.

Op 16 december 2021 heeft de staatssecretaris van BZK nieuwe ontwerpversies (34972 nr S) van het Besluit bedrijfs- en organisatiemiddel Wdo en het Besluit identificatiemiddelen voor natuurlijke personen Wdo naar de Eerste Kamer gestuurd alsmede nog resterende antwoorden (26643 nr 810) op vragen van de Tweede Kamer over het laatstgenoemde besluit. Hiermee kan het inzicht van beide Kamers over het wetsvoorstel Digitale Overheid en de novelle worden vergroot. De aanpassingen hebben o. a. betrekking op de inzet van meer open source software en op een verhandelverbod van gegevens voor erkende aanbieders van private inlogmiddelen. Ook wordt nu wettelijk geregeld wat privacy by design betekent voor de erkenningsprocedure.

Op 15 december 2021 heeft de minister voor Basis- en Voortgezet Onderwijs en Media een rapport (29362 nr 301) van de Inspectie Overheidsinformatie en Erfgoed over archivering bij ketensamenwerking door overheidsorganen naar de Tweede Kamer gezonden. Zeker bij complexe ketens is niet altijd duidelijk wie verantwoordelijk is voor het duurzaam toegankelijk houden van informatie en voor de bewaartermijnen en het vernietigen van informatie. De minister is stelselverantwoordelijk voor de Archiefwet en bij het in november 2021 ingediende wetsvoorstel Archiefwet 2021 is een artikel opgenomen over samenwerkingsverbanden. Ook met andere aanbevelingen wordt rekening gehouden.
Op 15 december 2021 is het Coalitieakkoord 2021-2025 ‘Omzien naar elkaar, vooruitkijken naar de toekomst’ (Bijlage bij 35788 nr 77) gepresenteerd door VVD, D66 CDA en Christenunie. In dit coalitieakkoord is een Digitaliseringsparagraaf opgenomen, waarin o.a. de intentie wordt uitgesproken om het voortouw te nemen om in Europees verband in te zetten op versterking van de samenwerking tussen lidstaten op het gebied van digitalisering, onder meer op mensgerichte inzet van kunstmatige intelligentie, digitale ethiek, ontwikkeling van digitale identiteit en cybersecurity en ‘open source’. Inzake cybersecurity wordt aangekondigd: ‘We beschermen onze bedrijven, vitale infrastructuur en economisch kapitaal beter door centraal gecoördineerde structurele samenwerking tussen onder andere het Nationaal Cyber Security Centrum (NCSC), het Digital Trust Center (DTC), overheden, bedrijven en wetenschappers. Zij kunnen sneller en makkelijker informatie delen over digitale kwetsbaarheden en ‘hacks’.’ Bovendien wordt geïnvesteerd in een brede meerjarige cybersecurity aanpak en in cyberexpertise bij de politie, rechtspraak, het Openbaar Ministerie en Defensie. Hoeveel is nu echter nog niet duidelijk. Door ECP.nl, waarvan NOREA één van de lidorganisaties is, is een reactie op de digitaliseringsparagraaf gepubliceerd.
Op 14 december 2021 heeft de minister van EZK het verslag (21501-33 nr 900) van de Telecomraad van 3 december naar de Tweede Kamer gezonden. Hieruit blijkt dat de Raad heeft ingestemd met een algemene oriëntatie op de NIB2-richtlijn. Nog steeds was onzeker of de richtlijn ook voor overheden van toepassing zou zijn. Uiteindelijk is ervoor gekozen centrale overheden er wel onder te laten vallen en de lidstaten kunnen dat zelf uitbreiden naar decentrale overheden. Uit de voortgangsrapportage over de AI-verordening blijkt dat een eerste compromistekst is gevonden over het toepassingsgebied, de definities, verboden AI-systemen en de indeling van hoog-risico AI-systemen. Nederland heeft een non-paper ingebracht met de voorlopige inzet op de European Cyber Resilience Act. De verwachting is dat in het 3e kwartaal van 2022 de Commissie een voorstel hiertoe zal presenteren, en de hoop is dat dan voortgebouwd wordt op deze inbreng.
Op 13 december 2021 hebben de ministers van J&V en voor Rechtsbescherming de vragen beantwoord (32761 nr 206) die de Tweede Kamer had gesteld over gezichtsherkenning in de openbare ruimte. Het is daarbij van belang of de technologie wordt gebruikt door de politie of door anderen. De concept AI-verordening stelt verdere beperkingen aan de inzet van die technologie.
Op 10 december 2021 heeft de minister van EZK een brief (32761 nr 204) naar de Tweede Kamer gestuurd waarin hij de Kamer informeert over de ontwikkeling van een Datavisie voor het Handelsregister. De brief schetst beleidsopties op het gebied van de afweging tussen transparantie en privacy. De verbeterde toegankelijkheid ging gepaard met toenemende agressie en misbruik van adresgegevens. Ook worden beleidsopties op het gebied van bekostiging van het Handelsregister uitgewerkt.
Op 10 december 2021 heeft de staatssecretaris van BZK de rapportages (30985 nr 51) van de beleidsdoorlichting en de evaluatie van de investeringspost voor uitgaven aan digitalisering van de overheid naar de Tweede Kamer gestuurd. Ook het evaluatierapport Innovatiebudget Digitale Overheid stuurt hij mee. Een inhoudelijke reactie laat hij aan een volgend kabinet.
Op 10 december 2021 heeft de staatssecretaris van BZK de jaarrapportage over 2020 van het BIT en de slotrapportage van de Toezichtsraad BIT (26643 nr 804) aan de Tweede Kamer aangeboden alsmede zijn reactie daarop. Hij verwacht het wetsvoorstel om van het Adviescollege ICT-toetsing een permanent, onafhankelijk college te maken voor de zomer van 2022 bij de Tweede Kamer te kunnen indienen.
Op 9 december 2021 heeft de minister van BZK de Eerste en Tweede Kamer geïnformeerd (35242 nrs F en 12) over de stand van zaken inzake de analyse van recente uitspraken van het Europese Hof voor de Rechten van de Mens inzake bulkinterceptie/bulkdata, die relevant zijn voor de wijziging van de Wiv2017. Naast een interne juridische analyse heeft de minister ook opdracht gegeven voor een externe analyse zodat een duurzaam stelsel van toezicht en toetsing kan worden ingericht. In afwachting van de externe analyse zal de ratificatie van de Conventie 108+ (het Dataprotectieverdrag) worden aangehouden.
Op 8 december 2021 hebben de ministers van J&V en voor Rechtsbescherming de Tweede Kamer geïnformeerd (29279 nr 692) over de voortgang van de Data Alliantie voor de Strafrechtketen (DAS).

Op 8 december 2021 heeft de minister van EZK het WRR-rapport over de impact van kunstmatige intelligente op maatschappelijke waarden: “Opgave AI – De nieuwe systeemtechnologie” (26643 nr 805) naar de Tweede Kamer gestuurd. Hij laat het aan het volgend kabinet om hierop te reageren.

Op 7 december 2021 hebben de ministers van J&V en voor Rechtsbescherming de vragen beantwoord (32317 nr 732) die de Tweede Kamer had gesteld over de agenda van de JBZ-raad op 9 en 10 december.

Op 6 december 2021 heeft de minister van EZK de Tweede Kamer geïnformeerd (26643 nr 802) over ontwikkelingen rond zeekabels en het vergunningenproces daarvoor. Alle eigenaren van zeekabels die in Nederland aanlanden zijn tevens aanbieder van een openbaar elektronisch communicatienetwerk en derhalve gebonden aan de meldplicht en zorgplicht waar het AT toezicht op houdt. Echter, niet bij alle diensten die over een kabel worden aangeboden is sprake van openbare dienstverlening en in de toekomst kunnen ook private partijen voor eigen gebruik vergunning vragen een zeekabel te laten aanlanden in Nederland.

Op 2 december 2021 heeft de minister van Defensie overleg gevoerd (32761 nr 205) met de Tweede Kamer over het ontbreken van de juridische grondslag voor het verzamelen van gegevens door het LIMC en over de oefenmogelijkheden voor informatiegestuurd optreden.

Op 1 december 2021 hebben de bewindslieden van J&V de agenda van de JBZ-raad van 9 en 10 december (32317 nr 723) naar de Tweede Kamer gestuurd. Daar zal worden getracht overeenstemming te bereiken over een algemene oriëntatie over de Richtlijn kritieke entiteiten (CER-richtlijn).Nederland zal, samen met enkele andere lidstaten, blijven aandringen op een uitzonderingsclausule voor nationale veiligheid.

Op 1 december 2021 heeft de Tweede Kamer overleg gevoerd (26643 nr 807) met de ministers van J&V en EZK en de staatssecretaris van BZK over online veiligheid en cybersecurity. Daarbij merkte de staatssecretaris van BZK op dat hij op dit moment samen met accountantsorganisaties nadenkt over hoe kan worden vorm gegeven aan het melden van de staat van de cyberveiligheid door overheidsorganisaties (de IT-auditverklaring van NOREA). De minister van J&V heeft toegezegd een overzicht te geven van de inzet van middelen voor cybersecurity of digitale veiligheid.
Op 30 november 2021 heeft de minister van J&V de Tweede Kamer geïnformeerd (29911 nr 341) over een integraal plan van aanpak voor de bestrijding van online fraude. In overleg met vertegenwoordigers uit het bankwezen zijn beleidsambities geformuleerd gericht op preventie, interventies, slachtofferhulp en het faciliteren van expertise- en informatiedeling.

Op 30 november 2021 heeft de minister van EZK de Tweede Kamer geïnformeerd (26643 nr 801) over de voortgang van de Roadmap Digitaal veilige Hard- en Software. Agentschap Telecom heeft ter voorbereiding van haar toezichthoudende taken een IoT testlaboratorium ingericht waarin diverse apparaten worden getest op cybersecurityaspecten. Naar verwachting zal het cybersecuritycertificeringsschema voor beveiligingselementen van ICT-producten (Common Criteria) in de eerste helft van 2022 worden afgerond en het schema voor clouddiensten in de tweede helft van 2022. Daarnaast wordt door ENISA het proces gestart voor de ontwikkeling van een certificeringsschema voor 5G-netwerkapparatuur.

Op 30 november 2021 heeft de staatssecretaris van BZK de vragen beantwoord (35868 nr 6) die de Tweede Kamer had gesteld over de novelle bij het wetsvoorstel digitale overheid. Afhankelijk van de snelheid van de verdere parlementaire behandeling van het wetsvoorstel zou de Wet Digitale Overheid nog op 1 juli 2022 in werking kunnen treden.
Op 29 november 2021 heeft de staatssecretaris van BZK de vragen beantwoord (35885 nr E) die de Eerste Kamer had gesteld naar aanleiding van eerdere antwoorden op vragen over de Verordening inzake de Europese Digitale Identiteit.
Op 29 november 2021 heeft de minister van BZK de vragen beantwoord (22112 nr 3241) die de Tweede Kamer had gesteld over de Verordening Raamwerk Europese Digitale Identiteit. Als het stelsel van notificatie door lidstaten onderling wordt vervangen door een stelsel van certificering binnen de lidstaten dan is het noodzakelijk te komen tot harmonisering. daarmee wordt de veiligheid en betrouwbaarheid van grensoverschrijdend digitaal verkeer geborgd. De toezichthouders in de lidstaten moeten dan met dezelfde maat meten. De uitwerking hiervan vindt plaats in lijn met de certificering onder de cybersecurityverordening.
Op 26 november 2021 heeft de minister van BZK een brief (26643 nr 800) naar de Tweede Kamer gestuurd waarin zij aangeeft hoe op dit moment de mensenrechten worden beschermd bij de inzet van AI en algoritmen. Het gebruik van diverse instrumenten is vooralsnog vrijwillig, maar de opgedane ervaringen worden gebruikt bij het vormgeven van het (internationale) wettelijk kader.
Op 25 november 2021 heeft de minister van Defensie een brief (32761 nr 203) naar de Tweede Kamer gestuurd waarin hij de Kamer informeert over de oefenmogelijkheden voor informatiegestuurd optreden. De huidige juridische kaders vormen daarbij een knelpunt. Ook gaat de minister in de brief in op de mogelijkheden om in het cyberdomein te kunnen trainen.
Op 24 november 2021 heeft de Tweede Kamer overleg gevoerd (21501-33 nr 898) met de minister van EZK over de agenda van de Telecomraad van 3 december. Daarbij heeft de minister toegezegd voorafgaand aan de Telecomraad de Kamer schriftelijk te informeren over de mensenrechtentoets bij hoogrisicosystemen van AI en over de vraag in hoeverre dit al geborgd is in de verordening.
Op 23 november 2021 heeft de minister van J&V een brief (26643 nr 798) naar de Tweede Kamer gestuurd waarin hij (in een vertrouwelijke bijlage) de Kamer informeert over de achtergrond van de aanzienlijke vertraging in de voortgang van de uitvoering van 2 van de 5 door de Algemene Rekenkamer gedane aanbevelingen om de cybersecurity van een grenstoezichtsysteem op Schiphol te verbeteren.
Op 22 november 2021 hebben de staatssecretaris van BZK en de ministers van EZK en J&V de vragen beantwoord (26643 nr 803) die de Tweede Kamer had gesteld over de kabinetsreactie op de notitie ICT-investeringen door de overheid.
Op 18 november 2021 heeft de regering een voorstel voor modernisering van de Archiefwet (35968 nrs 1-4) ingediend bij de Tweede Kamer. Dat is nodig om ervoor te zorgen dat overheidsorganisaties ook digitale informatie goed opslaan en toegankelijk houden. Bovendien moeten zij blijvend te bewaren informatie straks al na 10 in plaats van na 20 jaar overbrengen naar een archiefdienst, waar iedereen de informatie kan raadplegen.
Op 18 november 2021 heeft de vice-president van de Raad van State een brief (35447 nr H) gestuurd naar de Eerste Kamer met zijn advies over het door de Tweede Kamer geamendeerde wetsvoorstel Gegevensverwerking door samenwerkingsverbanden. Hoewel het voorstel nu is verbeterd is een adequate en zorgvuldige uitvoering van deze wet en de daaruit voortvloeiende nadere regelgeving wel randvoorwaardelijk en daarmee urgent. In elk geval zal het wetsvoorstel op termijn aanpassing behoeven en de voorgenomen amvb’s vragen bijzondere aandacht.
Op 18 november 2021 heeft de minister van EZK een brief (32761 nr 201) naar de Tweede Kamer gestuurd waarin hij rapporteert over de voortgang van het onderzoek naar het gebruik van data uit het Handelsregister.
Op 18 november 2021 heeft de staatssecretaris van BZK de Interbestuurlijke Datastrategie Nederland (26643 nr 797) naar de Tweede Kamer gestuurd. Verantwoord datagebruik voor maatschappelijke opgaven staat daarin centraal. Er moet meer regie komen op datadeling en er is behoefte aan een aantal data-systeemfuncties die voor alle overheden beschikbaar zijn.
Op 18 november 2021 heeft de minister van EZK de agenda van de Telecomraad van 3 december (21501-33 nr 885) aan de Tweede Kamer aangeboden. Het voornemen bestaat om een algemene oriëntatie over de NIB2-richtlijn aan te nemen. Hoewel Nederland een positieve grondhouding bij de richtlijn heeft, staat de definitieve tekst van de algemene oriëntatie nog niet vast. Daarom zal Nederland nogmaals aandacht vragen voor de al eerder uitgesproken zorgen over het toepassingsbereik, de administratieve lasten, de aansprakelijkheid van bestuurders, de jurisdictie en de verschuiving van de zorgplicht uit de eIDAS-verordening naar de NIB2-richtlijn. Ook de AI-verordening, de invoering van een raamwerk voor een Europese Digitale Identiteit en het Beleidsprogramma 2030 zullen aan de orde komen.
Op 17 november 2021 heeft de minister van J&V de vragen beantwoord (22112 nr 3231) die de Tweede Kamer had gesteld over de Aanbeveling opbouw Joint Cyber Unit. ENISA en CERT-EU zijn door de Commissie geïdentificeerd als operationele deelnemers aan een JCU, die op basis van hun eigen taken en bevoegdheden kunnen bijdragen aan het bevorderen van de activiteiten van een JCU. Er bestaat bij cyberincidenten al veel samenwerking tussen de lidstaten binnen reeds bestaande netwerken. Volgens het kabinet dient deelname op basis van vrijwilligheid het uitgangspunt te zijn.
Op 15 november 2021 heeft de minister van J&V in een brief (26643 nr 795) de Tweede Kamer verzocht in te stemmen met zijn voornemen de Justitiële ICT Organisatie, die momenteel deel uitmaakt van DJI, per 1 januari 2022 om te zetten naar een agentschap. Deze organisatie levert in toenemende mate diensten aan andere onderdelen van het ministerie. Het ministerie van Financiën heeft aangegeven dat de organisatie aan de instellingsvoorwaarden voldoet.
Op 15 november 2021 heeft de minister van Financiën een brief (29362 nr 300) naar de Tweede Kamer gestuurd waarin hij de Kamer informeert over rijksbrede aandachtspunten in de ontwikkeling van het financieel beheer van het Rijk. De Auditdienst Rijk heeft daartoe over het eerste halfjaar van 2021 een tussentijds rijksbreed beeld opgesteld. De ADR adviseert de informatiebeveiliging van kritieke systemen te versterken. Ook adviseert de ADR de departementen om te komen tot een meer uniforme en eenduidige aanpak van het privacymanagement.
Op 12 november 2021 heeft de minister van J&V een brief (34861 nr 29) naar de Tweede Kamer gestuurd met het verslag van de evaluatie van de PNR-wet waarmee, ter bestrijding van terroristische misdrijven en ernstige criminaliteit, passagiersgegevens van vluchten binnen de EU worden verwerkt. Het verslag toont een positief beeld van het effect van de wet, de aanbevelingen worden meegenomen in de continue cyclus van monitoring en verbetering.
Op 11 november 2021 heeft de minister van EZK het verslag (21501-33 nr 882) van de Telecomraad van 14 oktober naar de Tweede Kamer gezonden. Bij de discussie over de AI-verordening vroegen vrijwel alle lidstaten om verduidelijking van de gehanteerde definities en de reikwijdte van het voorstel. Ook werd onderstreept dat de administratieve lasten, met name voor het mkb, beperkt moeten blijven. Een aantal lidstaten vroeg om verduidelijking en versteviging van de toezichthoudende rol van lidstaten in de European Artificial Intelligence Board. Ook het voorstel voor de Data Governance Act is na discussie aangepast.
Op 9 november 2021 heeft de AP een brief (35447 nr G) aan de Eerste Kamer gestuurd met zijn advies over het door de Tweede Kamer geamendeerde wetsvoorstel Gegevensverwerking door samenwerkingsverbanden. Hoewel het huidige voorstel is verbeterd vindt hij verdere aanpassingen nog dringend noodzakelijk. Hij adviseert de Eerste Kamer dan ook het wetsvoorstel in zijn huidige vorm niet aan te nemen.
Op 8 november 2021 heeft de minister van J&V het wetsvoorstel verwerking persoonsgegevens coördinatie en analyse terrorismebestrijding en nationale veiligheid (35958 nrs 1-4) naar de Tweede Kamer gestuurd. De NCTV krijgt hiermee een wettelijke grondslag om (bijzondere) persoonsgegevens te verwerken. Vanwege de inbreuk op de privacy door deze verwerking is in het voorstel een aantal aanvullende waarborgen opgenomen. Zo moet bijv. periodiek een gegevensbeschermingsaudit worden uitgevoerd om na te gaan of de persoonsgegevens afkomstig zijn uit publiek toegankelijke online bronnen.
Op 2 november 2021 heeft de minister van J&V een brief (32761 nr 200) naar de Tweede Kamer gestuurd over de stand van zaken rond de grondslagen en de werkzaamheden van de NCTV. De Raad van State heeft onlangs geadviseerd over het wetsvoorstel verwerking persoonsgegevens coördinatie en analyse terrorismebestrijding en nationale veiligheid en zal op zeer korte termijn naar de Kamer worden gezonden.
Op 29 oktober 2021 heeft de minister van EZK een brief (32761 nr 199) naar de Tweede Kamer gestuurd waarin hij het dilemma beschrijft over de uitvoerbaarheid en de verwachte effecten van de maatregel om vestigingsadressen van zelfstandigen in het Handelsregister af te schermen wanneer dit tevens woonadressen zijn.
Op 29 oktober 2021 heeft de staatssecretaris van BZK het onderzoeksrapport naar het Nederlandse Self-Sovereign Identity ecosysteem (26643 nr 791) aan de Tweede Kamer aangeboden. Hij neemt de aanbevelingen mee in de uitwerking van de Nederlandse positie over het voorstel voor een Europese digitale identiteit.
Op 29 oktober 2021 heeft de minister van Buitenlandse Zaken het “Beleidsprogramma 2030: Weg naar een Digitaal Decennium” (22112 nr 3238) van de Europese Commissie naar de Tweede Kamer gestuurd. Het bouwt voort op de Mededeling Digitaal Kompas 2030. In dit voorstel wordt een governancestructuur en monitorings- en samenwerkingsmechanisme geïntroduceerd om zo gezamenlijke doelstellingen op digitaal gebied te halen. Elk jaar dienen lidstaten hiertoe een nationale routekaart op te stellen. Het kabinet vindt het wel van belang dat voor de invulling daarvan voldoende flexibiliteit aan de lidstaten wordt gelaten. Daarnaast wil het kabinet meer duidelijkheid over consequenties van het monitoringssysteem. Ook over de beoogde samenwerking in het Europees Digitaal Infrastructuur Consortium (EDIC) wil het kabinet meer toelichting van de Commissie.
Op 26 oktober 2021 heeft de minister van Defensie in een brief (32761 nr 197) de Tweede Kamer geïnformeerd over de stand van zaken inzake de moties en toezeggingen over het onterecht verzamelen en verwerken van persoonsgegevens door het LIMC.
Op 25 oktober 2021 hebben de bewindslieden van J&V het verslag (32317 nr 722) van de JBZ-raad van 7 en 8 oktober aan de Tweede Kamer aangeboden.
Op 22 oktober 2021 heeft de staatssecretaris van BZK de Tweede Kamer geïnformeerd (29362 nr 299) over de aanstelling van een regeringscommissaris voor het op orde brengen van de informatiehuishouding bij het Rijk.
Op 22 oktober 2021 hebben de staatssecretaris van BZK en de ministers van EZK en J&V gereageerd (26643 nr 794) op de stafnotitie van de commissie Digitale Zaken over ICT-investeringen door de overheid. Daarbij wijzen ze erop dat de in die notitie genoemde ICT-uitgaven over 2020 niet juist zijn, omdat de boekhoudregels van ministeries en agentschappen niet gelijk zijn. De ICT-uitgaven en -kosten over 2020 bedragen samen €2,8 miljard.
Op 21 oktober 2021 heeft de staatssecretaris van BZK de Tweede Kamer geïnformeerd (26643 nr 790) over de voortgang van de uitvoering van het inventariseren van gegevens gerelateerd aan afkomst en, bij oneigenlijk of onrechtmatig gebruik, het beëindigen ervan en het opruimen van vervuilde data.
Op 19 oktober 2021 heeft de minister van VWS een Nota van Wijziging (35824 nr 7) naar de Tweede Kamer gestuurd. Hiermee wordt verduidelijkt dat het wetsvoorstel elektronische gegevensuitwisseling in de zorg zorgverleners niet verplicht tot het uitwisselen van gegevens.
Op 19 oktober 2021 heeft de minister van VWS de vragen beantwoord (35824 nr 6) die de Tweede Kamer had gesteld over het wetsvoorstel elektronische gegevensuitwisseling in de zorg.
Op 18 oktober 2021 hebben de ministers voor Rechtsbescherming en van BZK en EZK een brief (32761 nr 198) naar de Tweede Kamer gestuurd waarin zij reageren op een door de Europese privacytoezichthouder gewenst verbod op elke vorm van gezichtsherkenning. Het kabinet acht dat niet wenselijk en licht dat uitgebreid toe. In het najaar wil het kabinet nog enkele ronde tafelsessies met experts en belanghebbenden organiseren.

Update 16 oktober 2021

Op 15 oktober 2021 heeft de minister van VWS een brief (27529 nr 268) naar de Tweede Kamer gestuurd over zijn regie op elektronische gegevensuitwisseling in de zorg. Hij geeft inzicht in de meerjarenplanning en hij wil steviger gaan sturen op een aantal randvoorwaarden. Daarbij komen o.a. aan de orde het gebruik van informatiestandaarden, informatieveiligheid, kosten, hergebruik van informatie en de internationale context.
Op 15 oktober 2021 heeft het kabinet gereageerd (22112 nr 3222) op de brief van het Rathenau Instituut inzake de “Zeven aandachtspunten voor de AI-verordening”. Het kabinet vindt niet dat in de verordening een verbod nodig is voor biometrische identificatie in de openbare ruimte. De AVG biedt al voldoende mogelijkheden om voorwaarden te stellen aan gezichtsherkenning etc. Bovendien wordt gewerkt aan een nieuwe gegevenswet politie en justitie. Na afronding van het lopend onderzoek naar regulering van deepfakes zal het kabinet bezien of verdere wettelijke inkadering nodig is en zo ja, of de Verordening daarvoor het gepaste instrument is.
Op 15 oktober 2021 heeft het kabinet gereageerd (22112 nr 3221) op vragen van de Tweede Kamer over de AI-verordening en de Mededeling Bevorderen Europese aanpak inzake AI. Het kabinet blijft aandacht besteden aan het aanscherpen van definities ten behoeve van de uitvoerbaarheid en de handhaafbaarheid, o.a. in verband met de nalevingskosten voor het mkb. Het is de bedoeling dat de sectorspecifieke toezichthouders nauw samenwerken en één van hen een coördinerende rol op zich neemt en als nationaal toezichthouder rapporteert aan de Commissie. Het kabinet heeft de Commissie om een aantal verduidelijkingen gevraagd over het toezicht.
Op 12 oktober 2021 heeft de staatssecretaris van BZK in een brief (26643 nr 788) de Tweede Kamer geïnformeerd over de voortgang binnen het domein Toegang en een vooruitblik op de toekomst. Ook informeert hij de Tweede Kamer over de invoering van de Wet elektronische publicaties. De inrichting van het stelsel Toegang is gestart. Het Agentschap Telecom zal toezicht houden op de aanbieders van inlogmiddelen. Bij het ingaan van de Wdo zal tijdelijk een laag betrouwbaarheidsniveau worden toegestaan. Na een overgangsperiode zal alleen nog gebruik worden gemaakt van de niveaus substantieel en hoog. Op dit moment laat de staatssecretaris de ontwikkelingen rond Self Sovereign Identity (SSI) analyseren waarmee burgers regie kunnen krijgen over hun eigen digitale identiteitsgegevens.
Op 12 oktober 2021 heeft de minister van EZK de vragen beantwoord (21501-33 nr 877) die de Tweede Kamer had gesteld over de agenda van de Telecomraad van 14 oktober. De inzet van Nederland ten aanzien van de AI-verordening, de Data Act en de Data Governance Act worden daarin verduidelijkt.
Op 8 oktober 2021 heeft de staatssecretaris van BZK in een brief (26643 nr 786) aan de Tweede Kamer aangegeven hoe hij uitvoering geeft aan de motie die oproept tot het samen met de VNG opstellen van een cyberverdedigingsprotocol voor gemeenten. Hij wijst er daarbij op dat preventie en detectie eveneens van belang is. Daarnaast wordt ook ingezet op oefenen en kennisdelen.
Op 8 oktober 2021 heeft de vaste commissie voor Digitale Zaken vragen gesteld (35868 nr 5) over de novelle van de Wet digitale overheid.
Op 6 oktober 2021 hebben de bewindslieden van J&V de vragen beantwoord (32317 nr 710) die de Tweede Kamer had gesteld over de JBZ-raad op 7 en 8 oktober. Er is nog geen overeenstemming over de wijze van aanwijzen van essentiële entiteiten binnen de groep belangrijke entiteiten die onder de reikwijdte van de nieuwe NIB2-richtlijn vallen. Daarnaast zoekt het kabinet samen met andere landen naar mogelijkheden om te differentiëren in op te leggen verplichtingen aan bedrijven.
Op 6 oktober 2021 heeft de minister van Buitenlandse Zaken een brief (26643 nr 785) naar de Tweede Kamer gestuurd waarin hij ingaat op maatregelen die genomen kunnen worden in reactie op ransomware-aanvallen van hackersgroepen. Er zijn in geval van statelijke actoren verschillende diplomatieke responsopties mogelijk waarbij Nederland ernaar streeft om die zoveel mogelijk in coalitieverband in te zetten. Als de nationale veiligheid bedreigd wordt kan de inzet van I&V-diensten en de krijgsmacht in beeld komen. In geval van criminele actoren zijn de politie en het OM aan zet.
Op 5 oktober 2021 heeft de Eerste Kamer de Wet open overheid (Woo) (33328) aangenomen. Burgers hebben het recht op toegang tot publieke informatie. Actieve openbaarmaking wordt versterkt en overheidsorganen moeten een online beschikbaar register gaan bijhouden van de documenten en datasets waarover zij beschikken. De Wet openbaarheid van bestuur (Wob) wordt ingetrokken.
Op 30 september 2021 heeft de minister van EZK de geannoteerde agenda (21501-33 nr 875) van de Telecomraad van 14 oktober aan de Tweede Kamer aangeboden. Inzake de AI-verordening vindt het kabinet het van belang dat de regeldruk vooral voor het mkb beperkt blijft. Ook is het van belang dat de in het voorstel gehanteerde definities worden verduidelijkt en aangescherpt.
Op 29 september 2021 heeft de Commissie Digitale Zaken een notitie (26643 nr 783) opgesteld over ICT-investeringen door de rijksoverheid. Daaruit blijkt dat de ICT-uitgaven in 2020 ruim € 3 miljard hebben bedragen waarvan € 862 miljoen aan externe inhuur voor advisering opdrachtgevers automatisering. Er lopen in 2021 115 ICT-projecten waarmee ruim € 5,7 miljard is gemoeid.
Op 29 september 2021 heeft de minister van Buitenlandse Zaken de kabinetsreactie (26643 nr 793) aan de Tweede Kamer aangeboden op een rapport dat een evaluatie geeft van het internationaal cyberveiligheidsbeleid van het ministerie in de periode 2015 – 2021. De algemene teneur van het rapport is positief. Voor de toekomst zal stevige inzet op het blijven versterken van een assertief internationaal cyberbeleid noodzakelijk zijn.
Op 28 september 2021 heeft de minister van OCW een brief (31288 nr 922) naar de Tweede Kamer gestuurd waarin zij ingaat op de digitale weerbaarheid in het hoger onderwijs en onderzoek en in het middelbaar beroepsonderwijs. De hoger onderwijsinstellingen maken bij hun audits gebruik van het SURFaudit Toetsingskader Informatiebeveiliging Hoger Onderwijs. De mbo-instellingen gebruiken het Volwassenheidsmodel Informatiebeveiliging van de NBA. De minister maakt dit najaar met de koepels afspraken hoe ze audits en monitoring vorm gaan geven en hoe ze kunnen verzekeren dat elke instelling periodiek extern getoetst wordt.
Op 28 september 2021 hebben de bewindslieden van J&V de geannoteerde agenda (32317 nr 709) van de JBZ-raad van 7 en 8 oktober aan de Tweede Kamer aangeboden. Hieruit blijkt dat een meerderheid van de lidstaten de wijziging van de NIB-richtlijn met de uitbreiding van een groot aantal bedrijven en sectoren steunt. Daarom heeft Nederland, samen met een aantal andere lidstaten, een non-paper opgesteld met een alternatieve benadering voor het aanwijzen van entiteiten die onder de reikwijdte van de richtlijn vallen.
Op 27 september 2021 heeft de minister van VWS een Nota van Wijziging (35515 nr 8) op het wetsvoorstel Bevorderen samenwerking en rechtmatige zorg bij de Tweede Kamer ingediend. Hierin wordt ter verduidelijking het begrip ”fraude in de zorg” toegevoegd, zodat ook duidelijk is dat deze wet van toepassing is op zorg die valt onder de aanvullende ziektekostenverzekering. Ook wordt het limitatieve karakter van de opsomming verduidelijkt uit welke openbare bronnen het Informatieknooppunt zorgfraude (IKZ) gegevens kan verwerken.
Op 25 september 2021 heeft de Europese Commissie de vragen beantwoord (35885 nr D) die de Eerste Kamer had gesteld over het EU-voorstel voor een verordening inzake de Europese digitale identiteit.
Op 23 september 2021 heeft de minister van J&V de Tweede Kamer geïnformeerd (25124 nr 108) over de ontwikkelingen in de meldkamerfunctie en het C2000-spraaksysteem. Zowel de Inspectie J&V als het Agentschap Telecom vragen aandacht voor verdere verbetering van de stabiliteit van de ICT-voorzieningen, de governance en integraal risicomanagement.
Op 21 september 2021 heeft de minister van BZK een brief (26643 nr 782) naar de Tweede Kamer gestuurd waarin zij het kabinetsstandpunt weergeeft inzake de vrijheid van meningsuiting op online platformen. Dit naar aanleiding van een vraag vanuit de Kamer over politieke censuur door sociale mediaplatformen. De minister gaat in op de mogelijkheid van platformen om online content te reguleren, het juridisch kader en de rol van de overheid bij illegale content en ongewenste content.
Op 21 september 2021 heeft de Tweede Kamer vragen gesteld en opmerkingen gemaakt (35880 nr 5) over het wetsvoorstel veiligheidstoets investeringen, fusies en overnames (vifo).
Op 14 september 2021 heeft de minister van J&V het evaluatierapport (26643 nr 781) van de cyberoefening ISIDOOR 2021 aan de Tweede Kamer aangeboden. Het bevat aanbevelingen voor alle organisaties die hebben deelgenomen. Ook worden de leerpunten meegenomen in de actualisering van het Nationaal Crisisplan Digitaal.
Op 14 september 2021 heeft de staatssecretaris van EZK een Nota van Wijziging (35838 nr 7) op het wetsvoorstel van de Uitvoeringswet cyberbeveiligingsverordening aan de Tweede Kamer aangeboden. Die bevat alleen wetstechnische wijzigingen, de strekking wijzigt niet.

Op 14 september 2021 heeft de staatssecretaris van BZK de aanvullende vragen beantwoord (34972 nr R) die de Eerste Kamer had gesteld naar aanleiding van de eerder gegeven antwoorden over het wetsvoorstel digitale overheid.

Op 13 september 2021 heeft het ministerie van EZK bekendgemaakt dat het DTC is gestart met het proactief informeren van individuele bedrijven over digitale dreigingen. Het DTC heeft recent de OKTT-status toegewezen gekregen. Daarmee wordt het voor het NCSC mogelijk om specifieke dreigingsinformatie met het DTC te delen.

Op 10 september 2021 heft de staatssecretaris van BZK de vragen beantwoord (35885 nr C) die de Eerste Kamer had gesteld over het EU-voorstel voor een verordening inzake de Europese digitale identiteit.

Op 7 september 2021 hebben de ministers van J&V en van Rechtsbescherming de jaarlijkse rapportage aanpak high impact crimes (28684 nr 666) naar de Tweede Kamer gestuurd. Hierin wordt een stijging van online criminaliteit geconstateerd. Naast het aanpakken van daders worden ook diverse maatregelen ingezet om online daderschap te voorkomen. Zo wordt met een “cyberrijbewijs” getracht kinderen uit groep 7 en 8 alert, vaardig en weerbaar te maken tegen daderschap en slachtofferschap. En samen met het ministerie van OCW worden crimelabs georganiseerd voor mbo-studenten.

Op 6 september 2021 heeft de staatssecretaris van BZK de I-strategie Rijk 2021 – 2025 (26643 nr 779) naar de Tweede Kamer gestuurd. Nederland heeft de ambitie om innovaties te omarmen en bedreigingen in de kiem te smoren, met onze democratische rechtsstaat als uitgangspunt. In de I-strategie zijn 4 rode draden te onderscheiden: versterken uitvoering, de mogelijkheden van data verantwoord benutten, inclusieve veilige samenleving en openheid en transparantie. Samen met de CIO’s van alle ministeries zijn 10 prioriteiten beschreven. Jaarlijks zal de strategie worden geactualiseerd.

Op 27 augustus 2021 heeft de minister van Buitenlandse Zaken een brief (22112 nr 3182) naar de Tweede Kamer gestuurd met de Aanbeveling dd. 23 juni van de Europese Commissie voor de opbouw van een Joint Cyber Unit. De JCU wordt geen nieuwe instantie maar een virtueel en fysiek platform voor technische en operationele samenwerking bij grootschalige cyberincidenten. Doel is zorgen voor een gecoördineerde EU-reactie op grootschalige cyberdreigingen, -incidenten en –crises, verbeteren van het situationeel bewustzijn en het verbeteren van gezamenlijke paraatheid. Voor de JCU wordt een gefaseerde aanpak gepresenteerd met verschillende mijlpalen. Het kabinet onderschrijft de noodzaak tot versterking van de samenwerking, gelet op de toegenomen digitalisering en het permanente karakter van de dreigingen. Goede samenwerking en aansluiting met bestaande EU-netwerken is essentieel, waarbij gewaakt moet worden voor duplicatie. De verantwoordelijkheid van lidstaten voor de bescherming van hun nationale veiligheid mag hierdoor niet worden aangetast.

Op 22 juli 2021 heeft de Eerste Kamer vragen gesteld (35885 nr B) aan de Europese Commissie over het EU-voorstel voor een verordening inzake Europese digitale identiteit. Dit doen zij tegen de achtergrond van het wetsvoorstel digitale overheid dat zij in behandeling hebben en waarvoor thans een novelle in de maak is.

Op 16 juli 2021 heeft de minister van J&V een brief (26643 nr 774) naar de Tweede Kamer gestuurd over de voortgang rond de toezegging en opvolging van de aanbevelingen van de Algemene Rekenkamer inzake de cybersecurity van het grenstoezicht op Schiphol.

Op 14 juli 2021 heeft de staatssecretaris van BZK in een brief (34972 nr 53) aan de Tweede Kamer toegelicht hoe hij wil toewerken naar een publiek inlogmiddel voor digitale toegang tot overheidsdienstverlening in het bedrijvendomein. In de eerste tranche van de WDO zullen dit voor bedrijven naast eHerkenning nog andere private hulpmiddelen zijn. In het burgerdomein worden dan naast DigiD ook private inlogmiddelen toegelaten. In de tweede tranche komt er een geïntegreerd publiek middel voor toegang tot overheidsdienstverlening en is de weg vrij voor het aanbieden van geïntegreerde private hulpmiddelen. Vooruitlopend daarop wordt nu al een publiek middel voor bedrijven ontwikkeld dat echter alleen door bedrijven gebruikt mag worden om digitaal toegang te krijgen tot de Belastingdienst.

Op 12 juli 2021 heeft de Eerste Kamer vragen gesteld (35447 nr F) aan de Raad van State over het wetsvoorstel gegevensverwerking door samenwerkingsverbanden. Deze hebben betrekking op de te ruime reikwijdte en het gebrek aan specificatie (rechtsonzekerheid) en op discriminatierisico’s.
Op 9 juli 2021 heeft de minister van Buitenlandse Zaken een brief (22112 nr 3161) naar de Tweede Kamer gestuurd met het voorstel dd. 3 juni van de Europese Commissie voor een Verordening Raamwerk Europese Digitale Identiteit. De app moet een alternatief worden voor een ID-kaart, paspoort of rijbewijs. Ook kunnen burgers zich hiermee aanmelden bij grote online platforms, zoals webwinkels, Facebook en Google. De app moet ook kunnen dienen als digitale portemonnee (wallet) waarin je diploma’s, een huwelijksakte, bankpassen of doktersrecepten moet kunnen opslaan. Het initiatief bouwt voort op de in 2014 aangenomen eIDAS-verordening. Het proces van wederzijdse erkenning door lidstaten wordt aangevuld met de mogelijkheid tot certificering, waarbij wordt aangesloten bij de vereisten van de cyberbeveiligingsverordening. Het voorstel gaat vergezeld van een aanbeveling waarin lidstaten worden verzocht uiterlijk in september 2022 een gemeenschappelijke toolbox op te zetten die de technische architectuur, specificaties en richtlijnen bevat voor de “best practices”. Het kabinet is positief over het voorstel, al heeft het op onderdelen nog vragen over o.a. uitvoerbaarheid, het voorgestelde tijdspad, de relatie tot de in herziening zijnde NIB-richtlijn en het toezicht. De Wdo, waarvan de eerste tranche momenteel bij de Eerste Kamer ligt, moet het fundament vormen voor de doorontwikkeling van het eID-stelsel. De tweede tranche moet de grondslag worden voor de wallet.
Op 8 juli 2021 hebben de ministers van OCW een brief (32034 nr 41) naar de Tweede Kamer gestuurd over de voortgang van het advies van de AP inzake Google Workspace for Education. De gesprekken met Google hebben geleid tot maatregelen die zich richten op de 8 geconstateerde dataprotectierisico’s. De afspraken zullen in bestaande en nieuwe contracten worden verwerkt. Onderwijsinstellingen moeten nieuwe contracten afsluiten en bepaalde technische instellingen doorvoeren. De gesprekken met Google over Google Cloud Platform en ChromeOS zullen worden voortgezet.

Op 6 juli 2021 heeft de minister van EZK de vragen beantwoord (35838 nr 6) die de Tweede Kamer had gesteld over de Uitvoeringswet cyberbeveiligingsverordening.

Op 6 juli 2021 heeft de staatssecretaris van BZK een brief (26643 nr 771) naar de Tweede Kamer gestuurd waarin hij het artikel van Trouw over het negeren van basale beveiligings-regels door overheden sterk nuanceert. Ook wordt het gebruik van Wordpress niet afgeraden door het NCSC.
Op 6 juli 2021 heeft de Eerste Kamer opnieuw aanvullende vragen gesteld (34972 nr Q) over het wetsvoorstel digitale overheid.
Op 5 juli 2021 heeft de staatssecretaris van EZK twee onderzoeksrapporten (26643 nr 772) aan de Tweede Kamer aangeboden. Eén rapport betreft het onderzoek of datacenters alsnog onderdeel moeten worden van de vitale infrastructuur. Het andere rapport betreft een onderzoek naar DNS-dienstverleners. Dergelijke diensten vallen onder de Wbni voor zover het gaat om beheerders van een register van topleveldomeinnamen, zoals het .nl-domein. Mogelijk zijn er meer aanbieders, die als essentieel moeten worden gezien. Het kabinet komt naar verwachting in het najaar met een beleidsreactie op de rapporten.

Op 5 juli 2021 hebben de ministers van BZK en Defensie een brief (34588 nr 90) naar de Tweede Kamer gestuurd waarin zij aangeven welke vervolgstappen worden gezet om tot een wetswijziging te komen van de Wiv2017. De komende periode wordt een analyse gemaakt van de aanbevelingen die de Evaluatiecommissie Wiv heeft gedaan. Ook het rapport van de Algemene Rekenkamer, de debatten in de beide kamers van het parlement en de zienswijze van de toezichthouders worden daarbij betrokken. De analyse zal uitmonden in een hoofdlijnennotitie waarover gedebatteerd kan worden. Daarna zal een wetswijziging worden voorgesteld.

Op 2 juli 2021 heeft de staatssecretaris van EZK een brief (26643 nr 770) naar de Tweede Kamer gestuurd waarin zij de Kamer informeert over de veiligheid van zeekabels. Tot nu toe zijn geen incidenten gemeld bij het Agentschap Telecom. In het internationale deel van de relevante zeegebieden houdt de NAVO de ontwikkelingen rond de veiligheid van zeekabels in de gaten. In de in herziening zijnde NIB-richtlijn wordt daar ook specifiek aandacht voor gevraagd.

Op 1 juli 2021 heeft de minister van EZK een brief (30821 nr 151) naar de Tweede Kamer gestuurd waarin hij nader ingaat op twee risico’s voor de nationale veiligheid bij fusies, overnames etc. Het betreft met name sensitieve technologie en de achtergrond van verwervers die de continuïteit van bedrijven in vitale processen kunnen schaden.

Op 30 juni 2021 heeft de regering het wetsvoorstel veiligheids toets investeringen, fusies en overnames (35880 nrs 1-4) bij de Tweede Kamer ingediend (Vifo). Wijzigingen van zeggenschap en invloed op vitale aanbieders of bedrijven die actief zijn op het gebied van sensitieve technologie worden getoetst ter bescherming van de nationale veiligheid. Het wetsvoorstel is aanvullend op bestaande sectorale wetgeving, zoals de Wet ongewenste zeggenschap telecommunicatie.

Op 29 juni 2021 heeft de minister van J&V het samenhangend inspectierapport cybersecurity (26643 nr 769) aan de Tweede Kamer aangeboden. Het rapport geeft inzicht in het toezicht op cybersecurity van vitale processen en een beeld van de resultaten van toezicht door de zes toezichthouders. Er wordt een toename voorzien in de vraag naar toezicht op digitale processen. Daarvoor is niet alleen geld nodig, maar moet ook kunnen worden beschikt over voldoende goed opgeleid personeel.

Op 29 juni 2021 heeft de minister van J&V een brief (29628 nr 1030) naar de Tweede Kamer gestuurd waarin hij o.a. ingaat op het rapport van de Inspectie J&V over de hackbevoegdheid van de politie. De in 2020 geleverde hard- en software voldeden achteraf onvoldoende aan de voorgeschreven wijze van een deel van de logging. Hierdoor moest een reservesysteem ontwikkeld worden wat veel van de toch al schaarse capaciteit heeft gekost.

Op 28 juni 2021 heeft de minister van J&V de wetswijziging van de Wbni in verband met de uitbreiding van de bevoegdheden van het NCSC ter consultatie aangeboden. Aanbieders, die geen vitale aanbieders zijn en evenmin deel uitmaken van de rijksoverheid, krijgen hiermee in ruimere mate de beschikking over dreigings- en incidentinformatie over hun eigen netwerk- en informatiesystemen. OKTT’s worden voortaan aangewezen bij ministeriële regeling en deze organisaties kunnen vertrouwelijke gegevens van aanbieders ontvangen zonder hun instemming. De consultatieperiode loopt t/m 23 augustus 2021.

Op 28 juni 2021 heeft de minister van J&V, mede namens de minister voor Rechtsbescherming en de staatssecretaris van EZK, de Tweede Kamer geïnformeerd (26643 nr 768) over de voortgang van de integrale aanpak van cybercrime. De afgelopen jaren is inzet gepleegd op vier sporen, te weten preventie, ondersteuning van slachtoffers, wetenschappelijk onderzoek en opsporing, vervolging en verstoring. De brief gaat in op enkele in het oog springende maatregelen. De bijlage bij de brief bevat alle op die terreinen genomen maatregelen.

Op 28 juni 2021 heeft de minister van J&V het Cybersecuritybeeld Nederland 2021 (CSBN2021) en zijn reactie daarop (26643 nr 767) aan de Tweede Kamer aangeboden. Ook wordt de Kamer geïnformeerd over de voortgang van de Nederlandse Cybersecurity Agenda (NCSA). Digitale processen vormen het zenuwstelsel van de maatschappij. Het niet naar behoren werken kan grote impact hebben. Als gevolg van het coronavirus zijn nog veel meer processen gedigitaliseerd. Zowel statelijke actoren als cybercriminelen grijpen die situatie aan om digitale aanvallen te plegen. Er bestaan grote verschillen in de weerbaarheid van bedrijven en organisaties. Om de digitale weerbaarheid van bedrijven en organisaties te verhogen heeft het NCSC de Handreiking Cybersecuritymaatregelen geschreven. Die bevat acht maatregelen die elke organisatie zou moeten nemen. De AIVD en de MIVD hebben een brochure cyberspionage opgesteld die zeven momenten beschrijft om een aanval van een statelijke actor te stoppen. De minister werkt aan een wetswijziging van de Wbni waardoor het NCSC meer mogelijkheden krijgt informatie te delen. Ook OKTT’s krijgen dan vertrouwelijke informatie die zij dan weer kunnen doorgeven aan hun doelgroepen. Verder werkt EZK aan een wetsvoorstel dat de juridische basis van het DTC versterkt zodat die organisatie ook als OKTT kan worden aangewezen. Voor de telecomsector wordt een structureel proces ingericht waarin dreigingsinformatie kan worden gedeeld, risico’s worden beoordeeld en maatregelen worden genomen.

Op 24 juni 2021 heeft de staatssecretaris van EZK het verslag (21501-33 nr 869) van de Telecomraad van 4 juni aan de Tweede Kamer aangeboden.

Op 24 juni 2021 heeft het College voor de Rechten van de Mens de vragen beantwoord (35447 nr D) die de Eerste Kamer had gesteld over het wetsvoorstel Gegevensverwerking door samenwerkingsverbanden. Hieruit blijkt dat de regering wel aandacht heeft gegeven aan het grondrecht privacy, maar geen aandacht heeft gegeven aan waarborgen om discriminatie te voorkomen en aan waarborgen voor een effectieve rechtsbescherming.

Op 23 juni 2021 heeft de minister van J&V het wetsvoorstel verwerking persoonsgegevens coördinatie en analyse terrorismebestrijding en nationale veiligheid ter consultatie aangeboden. De minister krijgt hiermee de wettelijke bevoegdheid (bijzondere) persoonsgegevens voor die doeleinden te verwerken. De consultatietermijn eindigt op 30 juni 2021.

Op 22 juni 2021 heeft de regering een wijziging op de Wet Digitale Overheid (35868 nr 1-4), een novelle, bij de Tweede Kamer ingediend. Aanleiding voor de aanpassingen zijn de zorgen inzake de privacybescherming die de Eerste Kamer had geuit bij de behandeling van het wetsvoorstel. Met deze wijziging worden privacy by design, een verhandelverbod op gegevens en open source wettelijk verankerd. Deze principes gelden dan niet meer alleen voor private inlogmiddelen voor personen, maar werken nu ook door naar private bedrijfsmiddelen en publieke inlogmiddelen.

Op 16 juni 2021 heeft de staatssecretaris van EZK de vragen beantwoord (22112 nr 3141) die de Tweede Kamer had gesteld over de Digital Market Act en de Digital Services Act.

Op 16 juni 2021 heeft de Tweede Kamer vragen (35838 nr 5) gesteld over de Uitvoeringswet cyberbeveiligingsverordening.

Op 15 juni 2021 heeft de Eerste Kamer de wijziging van de Wet op de inlichtingen- en veiligheidsdiensten 2017 (35242) met grote meerderheid aangenomen. De na de negatieve uitslag van het referendum opgestelde beleidsregels zijn nu in de wet opgenomen. Deze hadden bettrekking op het zo gericht mogelijk inzetten van bijzondere bevoegdheden en op de versnelde weging van samenwerking met buitenlandse diensten. Tevens is voorzien in de samenloop met de Wet open overheid.

Op 15 juni 2021 heeft de minister van J&V een brief (29911 nr 314) naar de Tweede Kamer gestuurd waarin hij ingaat op zijn aanpak van spoofing en bankfraude. Ook de maatregelen die de telecomsector en de banken hebben genomen komen in de brief aan de orde. Thans wordt gewerkt aan publiek-privaat plan voor een integrale aanpak.

Op 15 juni heeft de staatssecretaris van EZK in een brief (30821 nr 143) een overzicht gegeven van de genomen en geplande stappen om de veiligheid en integriteit van mobiele telecomnetwerken beter te beschermen tegen statelijke dreigingen. Kritieke onderdelen van hun netwerk mogen niet door bepaalde leveranciers worden geleverd. Reeds bestaande producten of diensten moeten binnen een bepaalde termijn worden vervangen. Er komt een ministeriële regeling met 5 categorieën maatregelen. Naar verwachting zal die eind september worden gepubliceerd en in werking treden. De maatregelen moeten dan op 1 oktober 2022 geïmplementeerd zijn.

Op 11 juni 2021 heeft de minister van J&V het rapport “Evaluatie van de opbouw en meetbaarheid van de Nederlandse Cybersecurity Agenda (NCSA)” (26643 nr 763) aan de Tweede Kamer aangeboden.

Op 11 juni 2021 heeft de minister van J&V een brief (26643 nr 762) naar de Tweede Kamer gestuurd waarin hij ingaat op de uitgevoerde DPIA op Google Workspace. De AP heeft op 31 mei advies uitgebracht. Google heeft gereageerd op dat advies. Zij zullen meewerken aan het oplossen van de issues en de benodigde transparantie betrachten.

Op 10 juni 2021 hebben de ministers van BZK en van Rechtsbescherming en de staatssecretarissen van BZK en EZK een brief (26643 nr 765) naar de Tweede Kamer gestuurd over de voortgang inzake AI en algoritmen. In de brief is een Beleidsagenda Normering en Toezicht Algoritmen opgenomen, die 8 concrete acties bevat voor een verantwoorde inzet van algoritmen en een effectief toezicht daarop. Mede naar aanleiding van de affaire inzake de Kinderopvangtoeslagen is een juridisch kader en transparantie van belang. Met de brief is als bijlage ook de Code Goed Digitaal Openbaar Bestuur meegezonden. De code heeft 3 fundamenten: democratie, rechtstaat en bestuurskracht. De code geeft aan welke acties nodig zijn om publieke waarden en mensenrechten te borgen. De code is een aanvulling op de Code goed openbaar bestuur uit 2009.

Op 9 juni 2021 heeft de commissie voor Digitale Zaken (DiZa) van de Tweede Kamer vastgesteld wat haar taken, werkzaamheden en onderwerpen zijn. De commissie richt zich op de volgende 6 commissieoverstijgende thema’s: opkomende en toekomstige technologieën, digitaal burgerschap en democratie, digitale grondrechten en data-ethiek, digitale infrastructuur en economie, online veiligheid en cybersecurity, digitaliserende overheid.

Op 9 juni 2021 heeft de staatssecretaris van EZK de vragen beantwoord (21501-33 nr 866) die de Tweede Kamer had gesteld over de agenda van de Telecomraad van 4 juni. Hieruit blijkt dat het kabinet een grote toekenning uit het Groeifonds heeft gedaan voor de ontwikkeling van quantumcomputers. Over de uitwerking van de richtlijn voor een Europees kenniscentrum voor industrie, technologie en onderzoek op het gebied van cyberbeveiliging en het netwerk van nationale coördinatiecentra deelt het kabinet mede dat het Nederlandse NCC zal worden ondergebracht bij de Rijksdienst voor Ondernemend Nederland (RVO) en wordt aangesloten op het samenwerkingsplatform voor cybersecurity, kennis en innovatie ‘dcypher’. Het Europese kenniscentrum (ECCC) zal worden gehuisvest in Boekarest.

Op 9 juni 2021 heeft de Tweede Kamer een groot aantal vragen (35824 nr 5) gesteld over het wetsvoorstel Elektronische gegevensuitwisseling in de zorg.

Op 8 juni 2021 heeft de staatssecretaris van BZK de Tweede Kamer geïnformeerd (26643 nr 761) over de stand van zaken met betrekking tot het Innovatiebudget Digitale Overheid en de tussentijdse resultaten die zijn gerealiseerd.

Op 8 juni 2021 hebben de ministers van OCW een brief (32034 nr 40) naar de Tweede Kamer gestuurd waarin zij de Kamer informeren over het advies van de AP over Google Workspace for Education. De verwerking van persoonsgegevens is nu niet transparant en derhalve niet rechtmatig. Google is bereid mee te werken aan het oplossen van de tekortkomingen.

Op 3 juni 2021 hebben de bewindslieden van J&V de vragen beantwoord (32317 nr 687) die de Tweede Kamer had gesteld over de agenda van de JBZ-raad van 7 en 8 juni. Hieruit blijkt dat op 28 mei een akkoord is bereikt over het tweede additioneel protocol bij het Cybercrimeverdag (Verdrag van Boedapest), een belangrijke verbetering bij de digitale opsporing en de aanpak van cybercrime. Naar verwachting zal begin 2022 kunnen worden gestart met het binnenlandse wetgevingstraject van ratificatie.

Op 2 juni 2021 heeft de minister van I&W een update versterken cyberweerbaarheid in de watersector (27625 nr 539) naar de Tweede Kamer gestuurd. Op 26 mei 2021 is de Regeling beveiliging netwerk- en informatiesystemen IenW in de Staatscourant gepubliceerd (Stscrt 2021 nr 25741). Zowel bij waterschappen als in de drinkwatersector worden concrete stappen gezet om de cybersecurity te versterken. Bij Rijkswaterstaat wordt bij vernieuwing en renovatie geïnvesteerd in “security by design” met extra aandacht voor cybersecurity.

Op 2 juni 2021 heeft de staatssecretaris van EZK de Tweede Kamer geïnformeerd (26643 nr 760) over de voortgang van diverse trajecten rond het Digital Trust Center (DTC). Deze zomer zal een wetsvoorstel in consultatie gaan waarin verdere uitbreiding van taken en bevoegdheden van het DTC zijn opgenomen. Ook krijgt het DTC dan de OKTT-status waarmee het een grondslag heeft om dreigingsinformatie van het NCSC te kunnen ontvangen. Vooruitlopend hierop krijgt het DTC bij een specifieke dreiging met grote impact nu al de mogelijkheid een individueel bedrijf te waarschuwen.

Op 2 juni 2021 heeft de staatssecretaris van BZK de vele vragen beantwoord (34972 nr P) die de Eerste Kamer had gesteld naar aanleiding van de eerder gegeven antwoorden over het wetsvoorstel digitale overheid.

Op 31 mei 2021 heeft de staatssecretaris van EZK het essay “Actuele kwestie, klassieke afweging: een verkenning naar de governance van het Nederlandse digitaliseringsbeleid” (26643 nr 764) aan de Tweede Kamer aangeboden. Hierin wordt geen specifiek governance model (één minister, een regeringscommissaris, (vice) premier met coördinerende taak, agentschap, netwerksturing of reorganisatie rijksdienst) aanbevolen omdat elk model voor- en nadelen heeft en vraagt om compenserende maatregelen. Het essay bevat wel handvatten om de onderlinge interdepartementale samenwerking te versterken.

Op 31 mei 2021 heeft de minister van Buitenlandse Zaken het voorstel voor een Verordening betreffende Kunstmatige Intelligentie (22112 nr 3129) van de Europese Commissie naar de Tweede Kamer gestuurd. Het voorstel onderscheidt 4 categorieën AI-systemen: verboden praktijken met onacceptabele risico’s, hoog-risico AI-systemen die moeten voldoen aan verplichtingen en de nakoming hieraan moeten aantonen d.m.v. een ex ante conformiteitsbeoordeling, AI-systemen waarvoor bepaalde transparantievereisten gelden en AI-systemen met geen of minimale risico’s waarvoor een raamwerk voor vrijwillige gedragscodes is voorzien. Elke lidstaat dient een nationale toezichthouder aan te wijzen en lidstaten moeten toezichthouders aanwijzen afhankelijk van de sector waar een AI-systeem in gebruik wordt genomen. Het kabinet vindt de gehanteerde definities en formuleringen in het voorstel niet helder, zeker bij de verboden en hoog-risico categorieën. Ook wordt in het voorstel een nieuwe (te ruime) definitie van AI geïntroduceerd. Het kabinet wil voorts verduidelijking van het voorstel rond de conformiteitsbeoordeling en het toezicht.

Op 31 mei 2021 heeft de minister van Buitenlandse Zaken de Mededeling Bevorderen Europese aanpak inzake Kunstmatige Intelligentie (22112 nr 3128) van de Europese Commissie naar de Tweede Kamer gestuurd. In die mededeling geeft de Commissie een toelichting op het AI-pakket van 21 april 2021. Dat pakket bevat het voorstel voor een verordening voor AI, een herziening van het Gecoördineerd plan inzake AI en een herziening van de Machinerichtlijn.

Op 26 mei 2021 heeft de staatssecretaris van EZK de vragen beantwoord (22112 nr 3116) die de commissie Digitale Zaken heeft gesteld over de Digital Markets Act en de Digital Services Act.

Op 25 mei 2021 heeft de minister van I&W de Regeling beveiliging netwerk- en informatiesystemen IenW (Stscrt 2021 nr 25471) in de Staatscourant gepubliceerd. Deze vermeldt nadere regels over in de sectoren transport en drinkwater te nemen maatregelen.

Op 21 mei 2021 heeft de staatssecretaris van EZK de geannoteerde agenda (21501-33 nr 857) van de Telecomraad van 4 juni a.s. naar de Tweede Kamer gestuurd. De reikwijdte van het voorstel tot herziening van de NIB-richtlijn is sterk verbreed t.o.v. de huidige richtlijn. Het kabinet heeft daar al kanttekeningen bij geplaatst en ziet ook risico’s voor andere diensten dan netwerk- en informatiesystemen omdat de formulering afwijkt van huidige sectorale wetgeving. Ook zal het kabinet inzetten op meer prioriteit voor AI en cybersecurity in de EU-mededeling Digitaal Kompas 2030. De Europese Raad heeft op 20 april ingestemd met het voorstel tot een verordening ter oprichting van een Europees kenniscentrum voor industrie, technologie en onderzoek op het gebied van cybersecurity en een netwerk van nationale coördinatiecentra.

Op 21 mei 2021 is de minister van J&V in een brief (30821 nr 131) nader ingegaan op de manier waarop de wettelijke grondslag zal worden verwerkt voor specifieke werkzaamheden van de NCTV waarbij de verwerking van persoonsgegevens noodzakelijk wordt geacht. Hiervoor is begonnen met het opstarten van een wetstraject. Momenteel wordt een PIA uitgevoerd. De resultaten hiervan worden in het wetsvoorstel verwerkt waarna de AP zal worden geconsulteerd. Tot aan de afronding van het wetstraject zal de NCTV terughoudend omgaan met de verwerking van (bijzondere) persoonsgegevens.

Op 20 mei 2021 heeft de minister voor Rechtsbescherming overleg gevoerd (32761 nr 192) met de Tweede Kamer over de bescherming van persoonsgegevens. De AP zegt te weinig budget en capaciteit te hebben om alle klachten tijdig te behandelen. De minister stelt dat de AP in vier jaar is gegroeid van 70 naar 180 fte en dat het budget van 8 naar bijna € 19 miljoen is gegaan. Daarbij is in 2020 voor de bedrijfsvoering € 5 miljoen extra beschikbaar gesteld. Een in november 2020 uitgebracht adviesrapport stelt dat de AP moet groeien naar 470 fte in 2025 en ene budget van € 66 mln. De minister wil een besluit overlaten aan een nieuw kabinet.

Op 19 mei 2021 heeft de Algemene Rekenkamer de Staat van de rijksverantwoording 2020 (35830 nr 3) gepubliceerd. Hieruit bleek dat bij 11 van de 18 onderzochte organisaties (waaronder de Rekenkamer zelf!) de informatiebeveiliging nog niet op orde is. Whatsapp-accounts van ten minste vijf Tweede Kamerleden, een Eerste Kamerlid, topambtenaren van EZK en verschillende medewerkers van bijna alle ministeries zijn gehackt. Bij Buitenlandse Zaken was sprake van een mogelijk datalek. De risico’s van videovergaderen zijn niet of pas laat afgewogen.

Op 19 mei 2021 heeft de minister van OCW een brief (31288 nr 910) naar de Tweede Kamer gestuurd waarin zij aangeeft welke stappen sinds juli 2020 zijn gezet op het gebied van cyberveiligheid. Voor hoger onderwijs- en onderzoeksinstellingen is in aanvulling op het reeds bestaande SURFcert ook een SURFsoc (security operations center) gerealiseerd dat continu de netwerken zal monitoren. Toetreding zal gefaseerd plaatsvinden. De NWO-instituten en de hogescholen zijn een soortgelijke oplossing aan het verkennen. De hoger onderwijsinstellingen doen ook mee aan de tweejaarlijkse SURFaudit, een selfassessment. Alle universiteiten hebben afgesproken jaarlijks een externe audit op de informatiebeveiliging te laten uitvoeren. Ter bewustwording van cyberdreigingen wordt o.a. tweejaarlijks de cybercrisisoefening OZON gehouden.

Op 19 mei 2021 heeft de minister van EZK een brief (26643 nr 759) naar de Tweede Kamer gestuurd waarin hij meldt dat per 1 juni 2021 niet alleen het landelijk transport en de distributie van elektriciteit onder de Wbni valt, maar ook de productie ervan.

Update 18 mei 2021

Op 17 mei 2021 heeft de regering de Uitvoeringswet cyberbeveiligingsverordening (35838 nrs 1-4) aan de Tweede Kamer aangeboden. Hoewel de Europese verordening al direct op 27 juni 2019 in werking is getreden is het in dit geval nodig om bepalingen met betrekking tot procedures, handhaving, rechtsbescherming en aanwijzing van uitvoeringsorganen in nationale wetgeving op te nemen. Iedere lidstaat is verplicht (minstens) een nationale cyberbeveiligingscertificeringsautoriteit aan te wijzen. Voor Nederland zal dit de minister van EZK worden die de uitvoering van die taken zal onderbrengen bij het Agentschap Telecom. De werkzaamheden in het kader van toezicht dienen organisatorisch strikt te zijn gescheiden van de werkzaamheden nodig voor de uitgifte cyberbeveiligingscertificaten. De Europese Commissie stelt in haar werkprogramma de strategische prioriteiten vast voor cyberbeveiligingscertificeringsregelingen voor ICT-producten, -diensten of-processen. Nadat er één is vastgesteld vervallen reeds bestaande regelingen. Bijv. het Nederlandse Schema voor Certificatie op het gebied van IT-Beveiliging (NSCIB). Producten worden daarbij geëvalueerd en gecertificeerd volgens de Common Criteria, de ISO15408/18405. Momenteel wordt een Europese cyberbeveiligingscertificeringsregeling van dezelfde strekking ontwikkeld. Ook is nu een certificeringsregeling voor cloudcomputerdiensten in ontwikkeling. Er wordt onderscheid gemaakt tussen drie zekerheidsniveaus: basis, substantieel en hoog. Een van fabrikant of aanbieder van een ICT-product onafhankelijke conformiteitsbeoordelingsinstantie kan cyberbeveiligingscertificaten met zekerheidsniveau hoog afgeven. Een dergelijke instantie moet daartoe geaccrediteerd zijn door de Raad van Accreditatie. Alvorens tot afgifte van individuele certificaten over te gaan zal ook het AT nog goedkeuring moeten geven. Voor de zekerheidsniveaus basis en substantieel gelden lagere eisen. Certificering is vooralsnog op basis van vrijwilligheid. Voor eind 2023 zal de Europese Commissie aangeven of bepaalde certificeringsregelingen alsnog verplicht zullen worden.
Op 6 mei 2021 heeft de minister voor Medische Zorg met een brief (27529 nr 263) de Tweede Kamer geïnformeerd over: de stand van zaken van de Meerjarenagenda Wegiz, de eerste vier beoogde gegevensuitwisselingen, de Gateway Roadmap en het aanbieden van een concept-AMvB. De vier prioritaire gegevensuitwisselingen die op de meerjarenagenda van de minister zijn geplaatst zijn: de Basisgegevensset Zorg, Beelduitwisseling, Digitaal Receptenverkeer en Verpleegkundige Overdracht. In de concept-AMvB worden regels voor algemene onderwerpen uitgewerkt zoals certificering. Later zullen de conceptregels verder worden uitgewerkt en in internetconsultatie en ter toetsing worden gebracht.
Op 3 mei 2021 heeft de regering het wetsvoorstel elektronische gegevensuitwisseling in de zorg (35824 nrs 1-4) bij de Tweede Kamer ingediend. Het doel van de Wegiz is het stap voor stap verplicht elektronisch uitwisselen van medische gegevens tussen zorgverleners. Het wetsvoorstel houdt rekening met de destijds in de Eerste Kamer geuite zorg over het landelijk EPD. Er kunnen eisen worden gesteld aan de taal die bij de gegevensuitwisseling wordt gebruikt en aan de techniek waarmee gegevens worden uitgewisseld. De hierbij gebruikte IT-producten of –diensten moeten zijn voorzien van een certificaat. De procedures voor het door de Minister aanwijzen van certificerende instellingen en voor het verstrekken, schorsen of intrekken van een certificaat alsmede de processen toezicht en handhaving zijn in de Wegiz en in de Memorie van Toelichting uitgebreid beschreven. De minister zal bij AMvB aanwijzen welke gegevensuitwisselingen in het zorgveld elektronisch moeten plaatsvinden.
Op 30 april 2021 heeft de minister van J&V per brief (30821 nr 129) de Tweede Kamer geïnformeerd over de voortgang van de Agenda Risico- en Crisisbeheersing 2018-2021. Effectieve crisisbeheersing in een netwerk van partners vraagt om een gedegen gezamenlijke voorbereiding. In dit kader werken Rijk, veiligheidsregio´s en crisispartners, waaronder aanbieders van vitale processen, voortaan gezamenlijk aan landelijke crisisplannen. Onlangs zijn op deze wijze het Landelijk Crisisplan Stralingsincidenten (LCP-S) en het Landelijk Crisisplan Hoogwater en Overstromingen (LCP-HO) geactualiseerd. Op dit moment worden de crisisplannen Gas en Elektriciteit geactualiseerd evenals het Nationaal Crisisplan Digitaal. Dat plan zal in september worden geoefend tijdens de nationale en cross-sectorale oefening Isidoor.
Op 26 april 2021 heeft de staatssecretaris van BZK de derde update van de Nederlandse Digitaliseringstrategie (26643 nr 755) naar de Tweede Kamer gestuurd. Ondanks de versnelling van de digitale transformatie door corona zijn nog veel kansen niet benut, zoals een rol voor digitalisering bij de energietransitie. Ook digitale soevereiniteit is een aandachtspunt, Nederland en Europa zijn te afhankelijk van elders ontwikkelde digitale technologie en diensten. De update bevat naast de actualisatie ook een voortgangsrapportage van de NDS, en ook van het actieplan Digitale Connectiviteit, en een toekomstverkenning tot aan 2030. Hierin worden op basis van technologische trends 4 verschillende beelden van de digitale toekomst beschreven.
Op 26 april 2021 hebben de staatssecretarissen van EZK en BZK en de ministers van J&V en Rechtsbescherming de derde en laatste update van de Nederlandse Digitaliseringsstrategie 2021 (26643 nr 755) naar de Tweede Kamer gestuurd. De actualisatie bevat zowel de voortgangsrapportage als een toekomstverkenning naar 2030 toe. De recente aankondiging van het Nationaal Groeifonds zal een impuls geven aan de digitale transitie. De Kamer wordt in de brief ook geïnformeerd over de voortgang van het Actieplan Digitale Connectiviteit.
Op 23 april 2021 heeft de minister van Buitenlandse Zaken de Mededeling Digitaal kompas 2030 (22112 nr 3096) van de Europese Commissie naar de Tweede Kamer gestuurd. Eén van de vier kernthema’s hierin is een goede, veilige en duurzame digitale infrastructuur. Onderdeel hiervan is dat de EU de eerste kwantumcomputer in 2025 wil hebben. DE prioriteiten van de Commissie sluiten deels aan bij de prioriteiten uit de Nederlandse Digitaliseringstrategie, maar een expliciete verwijzing naar het Witboek AI en de EU-Cybersecuritystrategie worden gemist.
Op 22 april 2021 was de startbijeenkomst van de nieuwe Tweede Kamercommissie voor Digitale Zaken. De commissie richt zich op de veelheid van ontwikkelingen en de gevolgen daarvan die zich aandienen door digitalisering en nieuwe technologieën, zoals AI, algoritmen, big data, robotica, quantumcomputers, IoT en de cloud. De commissie heeft als doel overzicht te creëren en voor verbinding te zorgen in de behandeling van digitale dossiers op de diverse beleidsterreinen.
Op 21 april 2021 heeft de Europese Commissie voorstellen gepresenteerd om misbruik van AI tegen te gaan (https://ec.europa.eu/newsroom/dae/document.cfm?doc_id=75788). Met deze regels wordt uitgelegd hoe bedrijven en overheden met de technologie moeten omgaan en riskant en dus verkeerd gebruik van AI wordt voorkomen. Er wordt een indeling voorgesteld naar gelang het gevaar voor burgerrechten. Onaanvaardbare technologie moet verboden worden. Voor AI die een hoog risico vormt komen strenge regels, maar ook minder risicovolle technologie moet aan regels voldoen. De nieuwe wetgeving zal naar verwachting pas over een paar jaar in werking treden.
Op 19 april 2021 heeft de Eerste Kamer vragen gesteld (35447 nr B en C) aan het College voor de Rechten van de Mens en aan de AP over het door de Tweede Kamer op meerdere punten geamendeerde wetsvoorstel Gegevensverwerking door samenwerkingsverbanden.
Op 12 april 2021 heeft de minister van J&V de Tweede Kamer geïnformeerd (32761 nr 180) over de wettelijke grondslagen op basis waarvan de NCTV haar taken uitvoert. Gebleken is dat indien (bijzondere) persoonsgegevens worden verwerkt de taken en grondslagen juridisch beter verankerd en versterkt moeten worden. Later dit jaar zal de minister daartoe voorstellen indienen bij de Tweede Kamer.
Op 8 april 2021 heeft de staatssecretaris van BZK een brief (26643 nr 751) naar de Tweede Kamer gestuurd waarin hij het voorstel uitwerkt hoe overal binnen overheidsinstellingen vervuilde data, risicomodellen en het gebruik van nationaliteit worden opgeruimd. Hij schat in dat het kabinet hiervoor zeker de hele regeerperiode van vier jaar voor nodig zal hebben. Als etnische indicatoren onrechtmatig of oneigenlijk worden gebruikt, worden de gegevens gerectificeerd of gewist en worden de betrokken personen zo snel mogelijk op de hoogte gesteld. Er wordt nog besproken of en hoe lang vervuilde gegevens nog enige tijd veilig bewaard moeten en mogen worden.
Op 7 april 2021 hebben diverse fracties in de Eerste Kamer aanvullende vragen gesteld en opmerkingen gemaakt over de Wet digitale overheid (Wdo), welke zijn vastgelegd in het Nader voorlopig verslag (34972 nr O). Dit betreft o.a. de zorgen over de facilitering van de toezichthouders (de AP en het AT) en over de wijze waarop de principes van privacy by design in de wet zullen worden opgenomen.
Op 6 april 2021 heeft de minister van J&V het onderzoeksrapport van de Cyber Security Raad (26643 nr 752) “Integrale aanpak cyberweerbaarheid” naar de Tweede Kamer gestuurd waarin de benodigde investeringen in cybersecurity staan vermeld die een volgend kabinet zou moeten oppakken. De Raad adviseert om digitale veiligheid op het hoogst bestuurlijke niveau te beleggen zodat het daadwerkelijk chefsache wordt. De raad adviseert het nieuwe kabinet geen Minister Digitale Zaken, maar een ministeriële onderraad digitale zaken in te richten. In het advies staan vijf speerpunten centraal. Publiek, privaat en wetenschap moeten de krachten bundelen en werken aan één cyberweerbaarheidsstrategie met een meerjarenprogramma waarvoor een investering nodig is van minimaal € 833 miljoen in de komende vier jaar, bovenop de huidige uitgaven en budgetten voor cyberweerbaarheid.
Op 2 april 2021 heeft de minister van I&W het Onderzoeksrapport Stichting Waternet (27625 nr 529) van de Inspectie Leefomgeving en Transport naar de Tweede Kamer gestuurd. De ILT concludeert dat Waternet, verantwoordelijk voor het waterbeheer van Amsterdam en omstreken, onvoldoende grip heeft op de eigen cybersecurity. Dit vormt een risico voor de kwaliteit en de leveringszekerheid van drinkwater. Inmiddels heeft Waternet een aantal verbeteringen doorgevoerd, maar stelt de ILT Waternet de komende periode wel onder verscherpt toezicht. In 2021 zal de ILT onderzoeken of de andere aanbieders van essentiële diensten binnen het beleidsdomein van I&W voldoen aan de zorg- en meldplicht uit de Wbni.
Op 1 april 2021 heeft de minister van BZK de Nadere Memorie van Antwoord (35242 nr D) naar de Eerste Kamer gestuurd naar aanleiding van de nieuwe en aanvullende vragen over de wijziging van deWiv2017. Er wordt door de AIVD en de MIVD gewerkt aan een gezamenlijke datahuishouding waar ook de interne en de externe controle van zullen profiteren. Overigens wordt ook nu de bestaande logging gecontroleerd en worden steekproeven en audits uitgevoerd.
Op 24 maart 2021 hebbende bewindslieden van J&V het verslag van de JBZ-raad van 11 en 12 maart (32317 nr 682) aan de Tweede Kamer aangeboden. De Europese Commissie doet verdere analyse om de basis te leggen voor een wetgevend initiatief voor dataretentie. Een aantal opties zal worden voorbereid. Veel lidstaten gaven aan dat het positief is om met de Richtlijn van veerkracht van kritieke entiteiten (CER-richtlijn) de weerbaarheid ervan te versterken, maar dat die bescherming een nationale bevoegdheid is en er dus ruimte moet blijven voor nationale en sectorale wetgeving. Ook benadrukten veel lidstaten het belang om de CER-richtlijn en de NIB-richtlijn in samenhang te behandelen.
Op 19 maart 2021 heeft de staatssecretaris van BZK een brief (26643 nr 750) naar de Tweede Kamer gestuurd waarin hij rapporteert over de tussentijdse resultaten van de aanpak in het domein digitale toegang. De opvolging van de aanbevelingen uit de assurance-onderzoeken die begin 2020 zijn uitgevoerd in het domein toegang is nog in volle gang. Rond de zomer verwacht hij de uitkomsten van vervolgonderzoek door PwC. De mogelijkheid in te loggen via DigiD met sms-controle zal op termijn verdwijnen. Dit mag niet leiden tot uitsluiting van een groep mensen. Voor verschillende groepen die niet mee kunnen of willen doen worden nu diverse oplossingen gezocht, bijv. met een machtigingsvoorziening. Bovendien blijft het mogelijk op analoge manier contact te hebben met de overheid.
Op 18 maart 2021 heeft de staatssecretaris van EZK een brief (32637 nr 449) naar de Tweede Kamer gestuurd die het onderzoeksrapport “Verkenning van verplichtingen inzake datadeling in de technologiesector” bevat. De verkenning gaat in op de rol van data in de techsector en verkent de kansen en risico’s van verplichte datadeling. De inzichten zullen o.a. worden gebruikt in Europese beleidsdiscussies over datadeling, zoals de Data Governance Act, de Digital Markets Act en de aangekondigde Data Act.

Update 22 maart 2021

Op 18 maart 2021 heeft de staatssecretaris van BZK een brief (26643 nr 749) naar de Tweede Kamer gestuurd waarin hij ingaat op de voortgang van de verschillende trajecten die betrekking hebben op de informatieveiligheid bij de overheid. Naar verwachting zal het Besluit bni nog voor de zomer worden herzien en zal (een deel van) de digitale overheid als categorie worden toegevoegd als vitale infrastructuur. Na inwerkingtreding van de Wdo ontstaat de mogelijkheid om de open standaard HTTPS bij AMvB te verplichten. Er wordt gewerkt aan een nieuw ondersteuningsinstrument voor ENSIA. Er wordt gekeken hoe de robuustheid en de flexibiliteit van het PKIoverheid-stelsel kan worden versterkt. Gemeenten, veiligheidsregio’s, waterschappen en provincies hebben tal van initiatieven ontplooid om hun digitale weerbaarheid te vergroten. Omdat digitale dreigingen zich niet aan organisatorische grenzen houden werkt BZK, samen met J&V en medeoverheden, aan verbetering van de interbestuurlijke samenwerking en komt er in de eerste helft van 2021 een verbeterplan. Voor de volgende tranche van de Wdo zal BZK de wettelijke grondslag voor de BIO gaan voorbereiden.
Op 17 maart 2021 is de eerste wijziging van het Besluit beveiliging netwerk- en informatiesystemen (Bbni) in het Staatsblad gepubliceerd (Stb 2021 160). De lijst van AED’s wordt geactualiseerd door het aanwijzen van nieuwe AED’s in de sectoren energie (elektriciteit, gas en aardolie), vervoer (spoor en weg) en digitale infrastructuur. Per 1 juni 2021 moeten deze AED’s aan de Wbni voldoen. Als andere vitale aanbieders worden de KvK (Handelsregister) en de minister van BZK (basisregistratie personen (BRP) en DigiD) aangewezen (resp. RvIG en Logius). Tevens is aan het besluit een bijlage toegevoegd met maatregelen die iedere AED ten minste moet nemen. Hiermee wordt een nadere invulling gegeven van de open beveiligingsnormen uit het Bbni. Deze maatregelen zijn al vanaf 1 mei 2021 van kracht. De bewijslast of aan de zorgplicht is voldaan is in eerste instantie aan de AED (d.m.v. audits etc.), maar uiteindelijk moet de toezichthouder hierover een oordeel vormen.
Op 11 maart 2021 heeft de minister van J&V de Tweede Kamer geïnformeerd (26643 nr 748) over het onderzoek naar de mogelijke aftapverplichting voor Over-The-Top-communicatiediensten (OTT), zoals WhatsApp. Het is zeker niet de bedoeling de encryptie ernstig aan te tasten of zelfs onmogelijk te maken zoals door sommigen is beweerd. Wel zoekt de minister, in overleg met technische experts, naar oplossingen om de noodzaak van cybersecurity, de bescherming van de privacy en het communicatiegeheim in evenwicht te brengen met de belangen van opsporings-, inlichtingen- en veiligheidsdiensten. Ook verwijst de minister naar de raadsverklaring die in december 2020 door de JBZ-raad is aangenomen.
Op 10 maart 2021 hebben de ministers van J&V en Rechtsbescherming de vragen beantwoord (32317 nr 680) die de Tweede Kamer had gesteld over de agenda van de komende JBZ-raad en over de diverse nieuwe voorstellen van de Europese Commissie, zoals de EU-strategie inzake cyberbeveiliging en de herziening van de NIB-richtlijn. Over het algemeen komen de vragen en de kritiek overeen met de vragen en de kritiek die ook het kabinet al had bij de voorstellen.
Op 8 maart 2021 heeft de minister van OCW de Tweede Kamer een brief (32761 nr 179) gestuurd waarin zij melding maakt van een datalek bij de uitvoering van diplomawaardering als onderdeel van het inburgeringstelsel. Er zijn op dit moment geen aanwijzingen dat misbruik is gemaakt van persoonsgegevens. Momenteel wordt hiertoe een extern onderzoek uitgevoerd.
Op 5 maart 2021 hebben de ministers van BZK en Defensie een brief (34588 nr 89) naar de Tweede Kamer gestuurd waarin zij reageren op het evaluatierapport over de Wiv2017. Het kabinet omarmt de analyse, conclusies en de 57 aanbevelingen. De aanbevelingen inzake bulkdata, GDA en internationale samenwerking betekenen een ingrijpende wijziging van het systeem. Het kabinet zal op ambtelijk niveau beginnen met de voorbereiding van een ontwerpwetsvoorstel tot wijziging. In het voorjaar verwacht het kabinet ook het rapport van de AR over de impact van de Wiv op de operationele slagkracht van de AIVD en de MIVD. De uitkomsten daarvan zullen bij het wetstraject worden betrokken.
Op 1 maart 2021 hebben de bewindslieden van J&V de geannoteerde agenda van de JBZ-raad van 11 en 12 maart 2021 (32317 nr 678) aan de Tweede Kamer aangeboden. Het Portugese voorzitterschap wil nieuwe regelgeving over dataretentie initiëren. De richtlijn uit 2006 is in 2016 door het Europese Hof van Justitie ongeldig verklaard, maar de uitspraak laat wel ruimte voor een specifieke bewaarplicht van telecomgegevens en voor gegevens die nodig zijn voor het bepalen van de “civiele” identiteit van gebruikers.

Op 1 maart 2021 heeft de minister van J&V een brief (26643 nr 747) naar de Tweede Kamer gestuurd waarin hij het resultaat van het uitgevoerde DPIA inzake Google meedeelt. Hieruit blijkt dat bij het voorgenomen gebruik van G Suite Enterprise 10 hoge dataprotectierisico’s kunnen ontstaan. Na meerdere gesprekken met Google die tot diverse maatregelen hebben geleid heeft een herbeoordeling plaatsgevonden waarna nog 8 hoge risico’s resteren. Er is een advies aangevraagd bij de AP.

Op 25 februari 2021 heeft de minister van OCW per brief (26643 nr 744) de Tweede Kamer geïnformeerd over de ransomware-aanval op de Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO). Er is niet ingegaan op de eis om losgeld te betalen. Het onderzoek loopt nog. De Kamer zal op een later moment nader worden geïnformeerd.

Op 19 februari 2021 heeft de staatssecretaris van BZK de vele vragen uitgebreid beantwoord (34972 nr L) die de Eerste Kamer had gesteld over de Wdo. Enkele vragen hebben ertoe geleid dat de staatssecretaris een wetswijziging zal indienen. Met deze novelle wordt privacybescherming steviger in de Wdo verankerd. Er komt een wettelijk verbod op het verhandelen van gegevens en de principes “privacy by design” en “open source” worden in de wet opgenomen. Hierdoor wordt inloggen bij de overheid veiliger en betrouwbaarder. De aankondiging betekent dat de Wdo voorlopig niet in werking zal treden. De novelle wordt namelijk na behandeling in de ministerraad voor advies voorgelegd aan de Raad van State. Daarna volgt nog behandeling in de Tweede en Eerste Kamer. Dit neemt de nodige maanden in beslag.

Op 12 februari 2021 heeft de minister van Buitenlands Zaken het Commissievoorstel voor een Richtlijn veerkracht kritieke entiteiten (22112 nr 3054) naar de Tweede Kamer gestuurd. De voorgestelde richtlijn richt zich op de bescherming van de vitale infrastructuur. Het doel van de richtlijn is de levering van essentiële diensten te waarborgen door de weerbaarheid van de aanbieders van die diensten te versterken. Het voorstel verplicht lidstaten om een nationale strategie te ontwikkelen voor de versterking van de weerbaarheid van kritieke entiteiten. Als deze entiteiten een significant Europees belang hebben dan geldt specifiek toezicht. Ook bevat het voorstel de oprichting van een expertgroep om de onderlinge samenwerking tussen Commissie en lidstaten op het gebied van weerbare vitale infrastructuur te versterken. Het kabinet verwelkomt het voorstel omdat processen en activiteiten van vitale aanbieders in toenemende mate grensoverschrijdend zijn. Veel elementen uit het voorstel maken al onderdeel uit van de Nederlandse aanpak. Die wordt aangevuld door samenwerking tussen lidstaten te bevorderen. De expertgroep kan hier zeker aan bijdragen. Wel zal het kabinet aandacht vragen voor mogelijke overlappingen met andere richtlijnen, bijv, de NIB2-richtlijn waardoor mogelijk dubbele verplichtingen (zoals dubbele meldplichten) ontstaan. Ook zal het kabinet waken voor plannen die strijdig zijn met de nationale veiligheid. Lidstaten moeten zelf bevoegd blijven kritieke entiteiten en vitale processen te kunnen aanwijzen, zoals in Nederland keren en beheren waterkwantiteit. Verder heeft het kabinet behoefte aan duidelijkheid over het Europese toezicht en over de voorgestelde rapportageverplichtingen waarbij vertrouwelijke informatie moet worden gedeeld.

Op 12 februari 2021 heeft de minister van Buitenlands Zaken het Commissievoorstel voor herzieningrichtlijn netwerk- en informatiebeveiliging (NIB-richtlijn) (22112 nr 3053) naar de Tweede Kamer gestuurd. Voorgesteld wordt de reikwijdte van de richtlijn uit te breiden met nieuwe sectoren (afvalwater, overheidsdiensten en ruimtevaart) en in bestaande sectoren extra subsectoren toe te voegen. Ook wordt voorgesteld naast de categorie “essentiële entiteiten” ook een categorie “belangrijke entiteiten” toe te voegen. Een belangrijke wijziging is daarnaast dat organisaties nu centraal als essentieel worden aangewezen als ze voorkomen in bijlage 1 of als belangrijk in bijlage 2. Ook wordt voorgesteld de eisen aan de zorgplicht en de meldplicht uit te breiden. De Commissie stelt ook voor een juridische basis te creëren voor het Cyber Crises Liaison Organisation Network (CyCLONe). Dit netwerk moet bij grote cyberincidenten voorzien in coördinatie tussen nationale autoriteiten. Het kabinet verwelkomt het voorstel, maar plaatst wel enkele kritische kanttekeningen. Verplichtingen voor aanbieders van openbare elektronische communicatienetwerken of –diensten en voor aanbieders van vertrouwensdiensten zijn verschoven van sectorale regelgeving naar deze richtlijn, maar hebben nu een andere formulering. Hierdoor kan de bredere werking van sectorale waarborgen die niet op netwerk- en informatiesystemen zijn gericht, maar wel cruciaal zijn voor de betrouwbaarheid van de diensten onderbelicht of verloren raken. Centrale aanwijzing staat bij essentiële entiteiten op gespannen voet met de nationale veiligheid. Het kabinet onderkent tegelijkertijd het belang van een gelijk speelveld voor die aanbieders. Het kabinet wil daarom eerst overleg met andere lidstaten. Daarnaast vindt het kabinet de uitbreiding van het aantal aanbieders dat onder de nieuwe richtlijn gaat vallen erg groot en wil aandacht vragen voor de proportionaliteit van het voorstel. Verder is het kabinet van oordeel dat de voorstellen voor toezicht en handhaving te ver gaan. Er zou veel meer aan de nationale wetgever moeten worden overgelaten. Het kabinet steunt het voorstel voor het CyCLONe.

Op 12 februari 2021 heeft de minister van Buitenlands Zaken de Gezamenlijke Mededeling EU-strategie inzake cyberbeveiliging (22112 nr 3052) naar de Tweede Kamer gestuurd. De strategie is een reactie op de toegenomen digitale dreiging en bouwt voort op de EU Cyberstrategie uit 2013 en de mededeling over cyberbeveiliging uit 2017. er wordt o.a. voorgesteld een Europees cyberschild te ontwikkelen via een EU-netwerk van beveiligings-operaties centra (Security Operations Centers/SOC’s). Om het Europees kader voor crisisbeheersing inzake cyberbeveiliging te versterken pleit de Commissievoor het opzetten van een gezamenlijke cybereenheid (Joint Cyber Unit/JCU). Ook stelt de Commissie voor het mandaat van het CERT-EU te versterken. Het kabinet heeft waardering voor de brede aanpak die deze strategie voorstaat. Het kabinet heeft nog diverse vragen over het cyberschild en andere voorstellen, maar wacht met belangstelling de concrete invulling van de voorgestelde wetgeving en de budgettaire impact daarvan af. Nederland is wel kritisch op de plannen die raakvlakken hebben met de nationale veiligheid zoals de JCU. Ook acht het kabinet het huidige mandaat van het CERT-EU voldoende.

Op 12 februari 2021 heeft de minister van Buitenlands Zaken het Commissievoorstel voor een Verordening inzake digitale diensten en wijziging Richtlijn 2000/31/EG (Digital Services Act) (22112 nr 3050) naar de Tweede Kamer gestuurd. Het doel van de DSA is bijdragen aan een goede werking van de interne markt voor diensten van tussenpersonen, in een betrouwbare online omgeving. Er worden regels gesteld ter bestrijding van illegale inhoud en systemische risico’s die de grote techplatformen (very large online platforms (VLOPs)) met zich meebrengen. VLOPs worden via een onafhankelijke audit gecontroleerd. Effectief toezicht op de diensten van tussenpersonen moet worden gewaarborgd. Het toezicht blijft in beginsel nationaal van aard, maar samenwerking tussen toezichthouders is essentieel. Daarnaast wordt de e-commerce richtlijn deels herzien. De eerste indruk van het kabinet over het voorstel is positief, al is het op onderdelen nog onduidelijk.

Op 11 februari 2021 heeft de staatssecretaris van BZK de Tweede Kamer geïnformeerd (26643 nr 743) over zijn visie op digitale identiteit. Burgers krijgen de mogelijkheid zelf regie te voeren over hun “digitale bronidentiteit”(DBI) die zowel in de publieke als de private sector kan worden gebruikt, van eHealth tot digitale bankzaken, van digitaal shoppen tot digitaal onderwijs. De visie moet een wettelijke basis krijgen en verder worden uitgewerkt. Er zijn reeds enkele pilots in gang gezet.

Op 11 februari 2021 heeft de minister van J&V een brief (25124 nr 107) naar de Tweede Kamer gestuurd over de stand van zaken rond het C2000-netwerk. Het aantal klachten is sterk afgenomen. Het technisch beheer wordt verder geoptimaliseerd. De radiodekking is 97,8%, op 21 plaatsen wordt gewerkt aan oplossingen, bijv. het bijplaatsen van zendmasten.

Op 10 februari 2021 heeft de staatssecretaris van EZK het Jaarplan Toezicht 2021 van Agentschap Telecom (24095 nr 527) aan de Tweede Kamer aangeboden. Centrale thema’s zijn de weerbaarheid van vitale infrastructuren, veilige apparaten, de uitrol van 5G en duiding van nieuwe technieken.

Op 9 februari 2021 heeft de minister van Buitenlandse Zaken de vragen beantwoord (33694 nr 62) die de Tweede Kamer had gesteld over zijn brief over de internationale rechtsorde in het digitale domein.

Op 9 februari 2021 heeft de staatssecretaris van BZK het ontwerpbesluit identificatiemiddelen voor natuurlijke personen Wdo (26643 nr 745) naar de Tweede en de Eerste Kamer gestuurd. Dit bevat naast eisen aan de private en publieke middelen en eisen aan de aanvrager van het private middel ook eisen aan een verklaring van certificering. De minister van BZK is voornemens het Agentschap Telecom in te schakelen om te toetsen of de certificerende instelling zorgvuldig onderzoek heeft verricht. Met dit (ontwerp-)besluit als basis worden later meer gedetailleerde eisen per ministeriële regeling vastgesteld, bijv. op grond van welke norm wordt gecertificeerd. Het ligt voor de hand dat de aanvrager op grond van de ISO-norm 27001 gecertificeerd moet zijn. De AP heeft geadviseerd te onderzoeken of daarnaast ook ISO 27701 of vergelijkbaar beschermingsniveau verplicht gesteld moet worden.

Op 5 februari 2021 heeft de minister voor Rechtsbescherming een brief (34926 nr 11) naar de Tweede Kamer gestuurd waarin hij de Kamer informeert over de uitvoering van de maatregelen die zijn genoemd in de Agenda horizontale privacy. Bezien zou worden of de AVG aangescherpt zou kunnen worden in relatie tot de datamacht van de grote techbdrijven. De door de Commissie uitgevoerde evaluatie biedt geen directe aanleiding om de normen aan te scherpen, maar de datamacht wordt wel geadresseerd in andere Europese trajecten zoals mededinging en het voorstel voor de Digital Services Act (DSA). Voorts wordt nu onderzocht welke minimumeisen via de Radio Equipmet Directive (RED) aan IoT-apparaten kunnen worden gesteld. Ook de AP besteedt daar aandacht aan.

Op 5 februari 2021 heeft de minister van J&V een brief (26643 nr 740) naar de Tweede Kamer gestuurd waarin hij de Kamer informeert over de hack op het bedrijf SolarWinds als gevolg waarvan een kwetsbaarheid in de software Orion is ontstaan. Met Orion kunnen IT-omgevingen worden gemonitord en beheerd. Uit meldingen bij het NCSC blijkt dat een aantal organisaties deze software heeft geïnstalleerd maar er is niet gebleken dat daadwerkelijk misbruik is gemaakt van de kwetsbaarheid.

Op 5 februari 2021 heeft de staatssecretaris van BZK een brief (26643 nr 739) naar de Tweede Kamer gestuurd waarin hij de Kamer informeert over het Besluit CIO-stelsel Rijksdienst 2021 (Stscrt 2020 nr 62488 d.d. 22 december 2020). In dit besluit worden de rollen, taken, verantwoordelijkheden en bevoegdheden van functionarissen binnen het CIO-stelsel, departementale CIO’s en CISO’s inclusief de CIO-Rijk en CISO-Rijk, in samenhang geformaliseerd. Vanwege de samenhang met de integrale beveiliging was ook aanpassing nodig van het bestaande beveiligingsvoorschrift uit 2013. Dat is daarom ingetrokken en vervangen door een Besluit BVA-stelsel Rijksdienst 2021 (Stscrt 2020 nr 62845-n1 d.d. 29 december 2020). De staatssecretaris heeft de CIO-Rijk gevraagd de rijksbrede implementatie van het besluit te coördineren en hij heeft de ADR gevraagd om in de eerste helft van 2021 een nulmeting uit te voeren. De resultaten daarvan kunnen worden gebruikt voor het opstellen van implementatieplannen per ministerie.

In de brief informeert de staatssecretaris de Kamer ook over het Instellingsbesluit Adviescollege ICT-toetsing (Stscrt 2020 nr 61747 d.d. 2 december 2020), de opvolger van het BIT. Dit besluit geldt voor de periode tot 1 januari 2023. Daarna zal het adviescollege in zijn definitieve vorm wettelijk worden ingesteld. Het nieuwe adviescollege heeft ook een taakuitbreiding gekregen. Zo kan het adviescollege bijdragen aan de taakvolwassenheid van het CIO-stelsel en kan het nu bijv. ook adviseren over beheer en onderhoud.

Op 5 februari 2021 heeft de minister van Financiën de vragen beantwoord (22112 nr 3048) die de Tweede Kamer had gesteld over het EU Digital Finance Package waaronder de Mededeling EU-Strategie voor het digitale geldwezen en de Verordening digitale operationele weerbaarheid (DORA).

Op 5 februari 2021 heeft de minister van Financiën de vragen beantwoord (22112 nr 3047) die de Tweede Kamer had gesteld over de EU Verordening Markten in Cryptoactiva (MiCA).

Op 3 februari 2021 hebben de ministers van BZK en J&V een brief (35257 nr 14) naar de Tweede Kamer gestuurd met het kabinetsstandpunt over het aanzienlijk gewijzigde initiatiefwetsvoorstel Zerodays afwegingsproces. Het kabinet ziet weinig toegevoegde waarde in het afwegingskader, vindt het voorstel lastig uitvoerbaar, heeft ernstige bezwaren tegen de zeer onwenselijke toename van operationele risico’s en diverse elementen hebben een negatief effect op de nationale veiligheid en de opsporing van strafbare feiten.

Op 3 februari 2021 heeft de minister van VWS de brandbrief van het RIVM over de impact van de vervanging van een ICT-systeem (27529 nr 237) naar de Tweede Kamer gestuurd. Hij acht die informatie relevant voor het debat over het datalek bij de GGD.

Op 3 februari 2021 heeft de minister van J&V de Tweede Kamer geïnformeerd (26643 nr 738) over verschillende trajecten en toezeggingen die betrekking hebben op het thema digitale weerbaarheid. Hoofdstuk 1 van de brief bevat een beleidsreactie op het rapport van het onderzoek naar cybersecurity governance en vitale sectoren. De genoemde knelpunten zijn herkenbaar. Op veel van die terreinen heeft het kabinet reeds initiatieven ondernomen. De effectiviteit zal pas later blijken. Het WODC werkt nu aan een evaluatie van de NCSA. De CSR is gevraagd om een advies over benodigde investeringen in cybersecurity voor een volgend kabinet. In hoofdstuk 2 gaat de minister in op het onderzoek naar het Landelijk Dekkend Stelsel (LDS). Daarnaast heeft hij de huidige wettelijke taken en bevoegdheden van de overheid op het gebied van cybersecurity in kaart gebracht (zie de bijlage bij het kamerstuk) en op benodigde aanvullingen wordt in hoofdstuk 2 en 3 ingegaan. Zo zal de minister bezien of de artikelen 3 en 20 van de Wbni moeten worden aangepast, waardoor obstakels voor het delen van informatie door het NCSC worden weggenomen. In hoofdstuk 4 wordt kort ingegaan op ransomware.

Op 2 februari 2021 heeft de minister van VWS een brief (27529 nr 235) naar de Tweede Kamer gestuurd over de stand van zaken inzake het datalek bij de GGD. De focus bij het in de lucht krijgen van de ICT-systemen die ondersteunen bij de bestrijding van corona lag primair op de functionaliteit. Er is in zeer korte tijd een risicoanalyse uitgevoerd naar de beveiliging van de systemen en naar de continuïteit en kwaliteit van de gegevens. Daarbij was ook aandacht voor privacy en dataveiligheid, maar nu blijkt onvoldoende. De minister heeft inmiddels, samen met de GGD GHOR, diverse maatregelen genomen en opdracht gegeven om over 6 weken een externe audit te laten uitvoeren waarbij nagegaan zal worden of de adviezen zijn opgevolgd, in hoeverre de maatregelen daadwerkelijk zijn getroffen en wat de restrisico’s zijn.

Op 2 februari 2021 heeft de minister van VWS de 399 (!) vragen beantwoord (27529 nr 234) die de Tweede Kamer heeft gesteld over het datalek bij de coronasystemen van de GGD. Vervolgens heeft de Kamer 14 moties (27529 nrs 238 t/m 251) ingediend.

Op 26 januari 2021 heeft de Tweede Kamer 6 amendementen (35112 nrs 20 t/m 23, 26 en 27) op de initiatiefwet open overheid aangenomen. Vervolgens is de aldus geamendeerde wet (35112 nr A) aangenomen en naar de Eerste Kamer verzonden. De Woo regelt dat overheidsinformatie beter vindbaar, uitwisselbaar, te ontsluiten en te archiveren is. De Woo komt in de plaats van de Wob. Het belangrijkste verschil daarmee is de plicht tot actieve openbaarmaking.

Op 26 januari 2021 heeft de Algemene Rekenkamer het rapport “Aandacht voor algoritmes” (26643 nr 737) aan de Tweede Kamer aangeboden. Een verantwoorde ontwikkeling naar complexere geautomatiseerde toepassingen vereist beter overzicht (wat nu ontbreekt) en betere kwaliteitscontrole. Hiervoor heeft de AR een toetsingskader ontwikkeld dat ook ethische vragen bevat.

Op 22 januari 2021 heeft de minister van Buitenlands Zaken het Commissievoorstel voor een Verordening Data Governance Act (22112 nr 3016) naar de Tweede Kamer gestuurd. Die heeft als doel om databeschikbaarheid in de EU te faciliteren door vertrouwen in data-tussenpersonen te vergroten en datadeelmechanismen in de EU te versterken. Daarnaast gaat de verordening in op handhaving en toezicht. Lidstaten moeten hiervoor één of meer autoriteiten aanwijzen, die bij overtredingen sancties kunnen opleggen. Het kabinet staat voorzichtig positief tegenover dit voorstel, al heeft het hierbij meerdere kanttekeningen en zaken die verduidelijking behoeven.

Op 20 januari 2021 heeft de minister van BZK het evaluatierapport (34588 nr 88) van de Wiv2017 aan de Tweede Kamer aangeboden. De hoofdconclusie is dat de Wiv voor een belangrijk deel heeft gebracht wat was beoogd, maar op punten tekortschiet. De wet is op sommige punten onduidelijk. Doordat er, na het referendum, aanpassingen zijn gedaan waarbij de focus lag op de kabelintercepties, het “sleepnet”, zijn andere onvolkomenheden ontstaan. Er zijn nog vele andere manieren om informatie te verzamelen. Voorgesteld wordt één regime voor het binnenhalen van grote hoeveelheden data in te stellen waarbij wel onderscheid gemaakt zou kunnen worden tussen registerdata en gedragsdata. De kabinetsreactie op de bevindingen en aanbevelingen zal binnen drie maanden volgen.

Op 5 januari 2021 hebben de minister en staatssecretaris van J&V het verslag van de JBZ-raad van 14 december 2020 (32317 nr 668) aan de Tweede Kamer aangeboden. Alle lidstaten spraken hun steun uit voor de Raadsconclusies inzake interne veiligheid en het Europees Politiepartnerschap.. Enkele lidstaten haalden het belang van veilige communicatienetwerken en rechtmatige toegang tot versleutelde informatie aan.

Actuele ontwikkelingen op het terrein van cybersecurity en aanpalende domeinen

Laatste nieuws

Overzicht van alle relevante Europese regelgeving m.b.t cybersecurity

Handreiking DigiD-assessments 2024

Voorgenomen toelating nieuwe RE's

Joop Bautz Information Security Award 2024

NOREA ledenvergadering voorjaar 2024