Norea logo

Actuele politieke/beleidsmatige ontwikkelingen rondom cybersecurity

Laatste update: 23 september 2019 (onder redactie van Rob Bouman)

  • Op 23 september 2019 heeft de Tijdelijke Commissie Digitale Toekomst als vervolg op de gesprekken van 9 september een hoorzitting gehouden waarbij o.a. uitgenodigd waren: de WRR, ECP, Raad van State en Bits of Freedom.
     
  • Op 10 september 2019 heeft de Tweede Kamer plenair gedebatteerd met de staatssecretaris van BZK over de kabinetsreactie op het advies van de Raad van State over de effecten van digitalisering voor de rechtsstatelijke verhoudingen. Tijdens het debat zijn 4 moties (26643 nrs 630 – 633) ingediend waarover op 24 september zal worden gestemd.
     
  • Op 9 september 2019 heeft de Tijdelijke Commissie Digitale Toekomst een hoorzitting/rondetafelgesprek gehouden met diverse organisaties die de afgelopen jaren over digitalisering hebben gepubliceerd, o.a. de Raad voor het Openbaar Bestuur, de AP en het Sociaal en Cultureel Planbureau.
     
  • Op 4 september 2019 heeft de minister voor Medische Zorg de Tweede Kamer geïnformeerd over de noodzakelijke versnelde vervanging van UZI-certificaten en zijn aanpak hiervan (26643 nr 629). In plaats van maart 2020 moeten deze nu al op 1 oktober 2019 zijn vervangen. Het CIBG is hiermee aan de slag.
     
  • Op 3 september 2019 heeft de staatssecretaris van BZK de Tweede Kamer nader geïnformeerd (26643 nr 628) over de actuele situatie bij het BIT. Het instellingsbesluit is aangepast waardoor nu ook formeel geregeld is dat het BIT tot eind 2020 blijft bestaan. Voor eind dit jaar zal een definitief besluit over de toekomst van het BIT worden genomen.
     
  • Op 28 augustus 2019 heeft de minister voor Rechtsbescherming het rapport ”Blockchain en het recht” (26643 nr 627) naar de Tweede Kamer gezonden. Het streven is om voor eind van het jaar een kabinetsreactie op dat rapport naar de Kamer te sturen.
     
  • Op 6 augustus 2019 heeft de minister van J&V het in zijn opdracht door het WODC opgeleverde rapport “Online Discoverability and Vulnerabilities of ICS/SCADA Devices in the Netherlands” (26643 nr 625) aan de Tweede Kamer aangeboden. Deze systemen worden o.a. gebruikt voor de besturing van processen in de vitale infrastructuur. De onderzoekers wisten rond de 1000 systemen te lokaliseren en ongeveer 60 daarvan bevatte één of meer kwetsbaarheden. Of de systemen aan de vitale infrastructuur toebehoorden hebben zij niet kunnen vaststellen. De onderzoekers doen enkele aanbevelingen die overigens geheel in lijn zijn met de in 2015 door het NCSC uitgebrachte adviezen. Het NCSC zal het rapport bij de organisaties binnen de vitale infrastructuur en bij hun toezichthouders onder de aandacht brengen.
     
  • Op 23 juli 2019 heeft de minister van J&V het actieplan Veilig Ondernemen 2019 – 2022 (29911 nr 251) naar de Tweede Kamer gestuurd. Dit plan is vastgesteld door het Nationaal Platform Criminaliteitsbeheersing (NPC). In het plan zijn drie thema’s als prioriteit opgenomen en nader uitgewerkt: ondermijning, cybersecurity en mobiel banditisme.
     
  • Op 19 juli 2019 heeft Verhoeven (D66) een initiatiefwetsvoorstel (35257 nrs 1-3) Wet Zerodays Afwegingsproces bij de Tweede Kamer ingediend. Als de overheid zerodays vindt of koopt ontstaat er een dilemma. Moet de overheid het direct melden, in het belang van de cyberveiligheid van de vitale infrastructuur of het economisch belang van ondernemingen of in het privacybelang van mensen? Of moet het open worden gehouden om zelf te kunnen gebruiken om daarmee de nationale veiligheid of de opsporing te dienen? Op dit moment zijn de AIVD en de MIVD aan een wettelijk afwegingskader gebonden, maar bijv. de politie en Defensie niet. Als die een zeroday gebruiken zou bijv. de vitale infrastructuur in gevaar kunnen worden gebracht. Hij stelt daarom voor om voor de gehele overheid een wettelijk afwegingskader op te stellen dat moet worden gehanteerd door een onder het NCSC in te stellen nieuw orgaan waarin alle belangen zijn vertegenwoordigd.
     
  • Op 17 juli 2019 heeft de minister voor Rechtsbescherming de reactie van het kabinet (34602 nr 2) gegeven op het in oktober 2016 ingediende burgerinitiatief “Internetpesters aangepakt”. Onrechtmatige content moet zo snel mogelijk van het internet worden verwijderd en slachtoffers moeten te weten kunnen komen wie die content heeft geplaatst. Een mogelijke uitbreiding van het huidige juridische instrumentarium zou de introductie van een ex parte procedure kunnen zijn. Het WODC zal hiernaar een onderzoek uitvoeren dat in 2020 zal worden afgerond.
     
  • Op 12 juli 2019 heeft de minister voor Medische Zorg een brief (27529 nr 189) naar de Tweede Kamer gestuurd over gegevensuitwisseling in de zorg, met name tussen zorgaanbieders onderling. De brief  is onder meer gericht op het realiseren van eenheid van taal en techniek. Dezelfde gegevens kunnen, als de patiënt dit wil, doorstromen naar zijn Persoonlijke Gezondheidsomgeving (PGO). De brief bevat de Roadmap van de aankomende wetgeving en de uitkomsten van het onderzoek naar de noodzaak tot aanpassingen van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz). Kort na de zomer zal de minister in een aparte brief uitgebreid ingaan op informatiebeveiliging in de hele zorg.
     
  • Op 12 juli 2019 heeft de staatssecretaris van BZK de tweede Nota van Wijziging (35047 nr 12) van de Paspoortwet in verband met de invoering van eID naar de Tweede Kamer gestuurd. Hiermee worden enkele omissies hersteld.
     
  • Op 11 juli 2019 heeft de staatssecretaris van BZK een brief (32761 nr 147) naar de Tweede Kamer gestuurd met zijn beleid inzake Regie op gegevens. Hierin beschrijft hij de aanpak op hoofdlijnen om te realiseren dat burgers grip en zicht krijgen op de eigen persoonlijke gegevens bij de overheid. Een burger moet zijn eigen gegevens niet alleen kunnen inzien of wijzigen, maar ook - en dat is nieuw – digitaal kunnen delen met organisaties buiten de overheid. Naast nieuwe kansen biedt dit ook nieuwe risico’s omdat je niet altijd kunt overzien wat er daarna met die gegevens gebeurt. Er komen daarom spelregels waar die organisaties aan moeten voldoen en die zullen worden vastgelegd in de Wet digitale overheid.
  • Op 8 juli 2019 heeft de staatssecretaris van BZK de Tweede Kamer geïnformeerd over de beleidsdoorlichting van het BIT (30985 nr 34). Daarnaast vindt naar aanleiding van een aangenomen VVD-motie ook onderzoek plaats naar een vorm van een digitale Rijksinspectie. Beide onderzoeken zullen voor het einde van dit jaar worden afgerond. Hierna kan antwoord worden gegeven op een structurele voortzetting en positionering van de taken van het BIT.
     
  • Op 5 juli 2019 heeft de staatssecretaris van BZK een brief (34972 nr 11) naar de Tweede Kamer gestuurd waarin hij de definitieve keuze voor verwerving van een privaat inlogmiddel voor burgers toelicht. Oorspronkelijk werd gekozen voor aanbesteding maar inmiddels heeft hij besloten over te gaan tot een systeem van open toelating (accreditatie). In de brief wordt de keuze en de redenen daarvoor toegelicht. De wijziging van het wetsvoorstel Digitale Overheid wordt nu voorbereid.
     
  • Op 5 juli 2019 heeft de minister van Buitenlandse Zaken de Tweede Kamer geïnformeerd over de internationale rechtsorde in het digitale domein (33694 nr 47). Nederland blijft in VN-verband strijden voor een open, vrij en veilig internet en versterkt daarom de cyberexpertise van diplomatieke vertegenwoordigers. In EU-verband is op Nederlands initiatief een EU cyberdiplomatie toolbox tot stand gekomen. Hiermee kunnen verschillende instrumenten worden aangewend om personen die ondermijnende cyberactiviteiten ontplooien ter verantwoording te roepen. Op Nederlands initiatief is een EU cybersanctieregime ingesteld waarmee tegoeden kunnen worden bevroren en inreisverboden kunnen worden opgelegd.
     
  • Op 5 juli 2019 hebben de staatssecretarissen van EZK en BZK en de minister van J&V de voortgangsrapportage en actualisatie van de Nederlandse Digitaliseringsstrategie (26643 nr 623) aan de Tweede Kamer aangeboden. Veel input is geleverd tijdens de Conferentie Nederland Digitaal in maart 2019.
     
  • Op 4 juli 2019 heeft de Tweede Kamer plenair gedebatteerd over de uitrol van 5G. Tijdens het debat zijn 11 moties ingediend, waarvan er 7 zijn aangenomen (24095 nrs 480, 481, 482, 485, 487, 488 en 489). Hierbij wordt de regering verzocht o.a. om jaarlijks te rapporteren over de voortgang van de structurele samenwerking tussen de Taskforce Economische Veiligheid en de telecomaanbieders, om te onderzoeken of ook de vaste netwerken risico’s lopen op spionage, infiltratie en verstoring en om na te gaan of de voor 5G te formuleren extra eisen en maatregelen ook van toepassing kunnen zijn bij andere vitale diensten en processen.
     
  • Op 3 juli 2019 heeft de minister van BZK overleg gevoerd met de Tweede Kamer over het functioneren van de Rijksdienst (31490 nr 257). De minister heeft o.a. toegezegd nog dit jaar nadere informatie te verstrekken over de HR-ontwikkeling ten aanzien van ICT en nog voor de begrotingsbehandeling een brief te sturen met de actuele ICT-ontwikkelingen. In de voortgangsrapportage ICT zal de aanbestedingsstrategie nader worden geconcretiseerd.
     
  • Op 3 juli 2019 heeft de staatssecretaris van BZK de geactualiseerde versie van NL Digibeter 2019, de Agenda Digitale Overheid (26643 nr 621) aan de Tweede Kamer aangeboden. De samenhang tussen de vijf pijlers is verder vergroot. In de bijlage wordt per actielijn inzicht gegeven in de voortgang en de te verwachten resultaten voor de komende twee jaar.
     
  • Op 3 juli 2019 heeft de staatssecretaris van EZK het verslag van de op 7 juni gehouden Telecomraad (21501-33 nr 771) naar de Tweede Kamer gestuurd. Lidstaten willen EU-leiderschap bij o.a. AI, supercomputing, cybersecurity, 5G, IoT en blockchain. De verordening ter oprichting van het Digital Europe Programme (DEP) zal zich richten op vijf prioriteiten waaronder AI en cybersecurity. Hoewel er veel voortgang is bereikt met de EU Cybersecurity Competence Center verordening wordt momenteel eerst juridisch advies ingewonnen omdat het akkoord over Horizontal Europe geleid heeft tot verschillende interpretaties of lidstaten wel/niet moeten co-financieren.
     
  • Op 3 juli 2019 is de constituerende vergadering van de tijdelijke commissie Digitale toekomst geweest. Kathalijne Buitenweg (GL) is gekozen tot voorzitter en Kees Verhoeven (D66) tot ondervoorzitter. Overige leden zijn afkomstig uit de fracties VVD, CDA, PVV, 50Plus en Denk.
     
  • Op 2 juli 2019 heeft de minister van BZK aan de Tweede Kamer laten weten hoe het kabinet de door de Algemene Rekenkamer geconstateerde onvolkomenheden op het gebied van  informatiebeveiliging (11) en ICT (9) binnen de rijksoverheid gezamenlijk gaat aanpakken (26643 nr 620). Alle departementen hebben maatregelen afgesproken waarvan de opvolging door de minister van BZK zal worden gecoördineerd. Het functieprofiel van de departementale CIO’s wordt herzien en het profiel van de departementale CISO’s wordt geformaliseerd. Er wordt een nieuwe rol van CISO Rijk gecreëerd en in september start de eerste lichting van het nieuwe Cyber Traineeship.
     
  • Op 1 juli 2019 heeft de minister van J&V mede namens de minister van BZK de maatregelen ter bescherming van telecomnetwerken en 5G (2019Z13859) naar de Tweede Kamer gestuurd. Het betreft de uitkomsten van de Taskforce Economische Veiligheid onder leiding van de NCTV. De aanscherping van de eisen aan de veiligheid en integriteit van mobiele telecommunicatie-netwerken zullen worden vastgelegd in een amvb die in het najaar zal worden gepubliceerd. De bevindingen van de Taskforce zullen in een vertrouwelijke sessie met de Kamer worden gedeeld.
     
  • Op 1 juli 2019 heeft de regering een wijziging op de Wet op de inlichtingen- en veiligheidsdiensten 2017 (35242 nrs 1-4) bij de Tweede Kamer ingediend. Nadat in maart 2018 een kleine meerderheid van de kiezers in een raadgevend referendum tegen de wet had gestemd werd de wet in mei 2018 toch van kracht. Daarbij werden wel al wijzigingen aangekondigd die (deels) nu in de wet terecht zijn gekomen.
     
  • Op 1 juli 2019 hebben de ministers van J&V en BZK de Tweede Kamer geïnformeerd (26643 nr 622) over de uitgevoerde verificatie op het verbeterplan met Microsoft. In 2018 was gebleken dat Microsoft Office ProPlus gegevens over gebruikers verzamelde en opsloeg in een database in de VS en dat is in strijd met de AVG. Eind april heeft Microsoft een nieuwe versie van de software aangeboden ter verificatie. Deze versie is getest en in orde bevonden. Microsoft heeft zowel in Office ProPlus als in Windows 10 Enterprise wereldwijd de beloofde verbeteringen doorgevoerd. De Nederlandse Staat heeft een procedure voor uitoefening van verbeterde auditrechten bedongen. Deze audits vinden jaarlijks plaats, een samenvatting van de bevindingen zal worden gepubliceerd op de website van SLM Microsoft.
     
  • Op 1 juli 2019 heeft de minister van Buitenlandse Zaken de Aanbeveling Cyberbeveiliging van 5G-netwerken (22112 nr 2816) van de Europese Commissie naar de Tweede Kamer gezonden. Lidstaten moeten hun (nationale) cyberrisico’s voor 5G-netwerken beoordelen en die uiterlijk 15 juli naar de Europese Commissie en ENISA sturen. Op 1 oktober moet er dan een gecoördineerde risicobeoordeling zijn uitgevoerd. Uiterlijk 31 december 2019 zou er dan een gemeenschappelijk instrumentarium moeten zijn. Onderdeel hiervan zou een certificeringsschema voor 5G-netwerken kunnen zijn. Uiterlijk 1 oktober 2020 moeten de effecten van deze aanbeveling geëvalueerd zijn.
     
  • Op 27 juni 2019 heeft het Presidium van de Tweede Kamer aan de leden een voorstel (35229 nr 1) voorgelegd om een tijdelijke commissie in te stellen die moet onderzoeken hoe de kennispositie van de Tweede Kamer op het gebied van digitalisering kan worden versterkt waardoor de grip op gewenste en ongewenste digitaliseringsontwikkelingen kan worden vergroot. Op 2 juli 2019 heeft de Tweede Kamer met het voorstel ingestemd.
     
  • Op 26 juni 2019 heeft de staatssecretaris van BZK een brief (25764 nr 120) naar de Tweede Kamer gestuurd waarin hij zijn voornemen voorlegt om het reisdocumentenstelsel te verbeteren. Bij het aanvragen van een paspoort of identiteitskaart moeten “achter de balie” nu nog vijf informatiesystemen worden geraadpleegd, sommige centraal, andere decentraal. Hij wil de ca. 500 decentrale systemen vervangen door twee centrale systemen, waarvan één de biometrische gegevens zal bevatten waarin geen persoonsgegevens zullen worden opgeslagen. Het geheel zal hierdoor betrouwbaarder en minder fraudegevoelig worden.
     
  • Op 20 juni 2019 heeft de minister van J&V overleg gevoerd met de Tweede Kamer over Nationale Veiligheid en crisisbeheersing (30821 nr 90). De minister heeft toegezegd de Kamer na het zomerreces te informeren over de opvolging van het C2000-systeem. Later dit jaar zal hij de Kamer informeren over het gebruik van gezichtsherkenningssoftware bij opsporing. Op 25 juni heeft de Kamer hierover plenair gedebatteerd en zijn 4 moties ingediend. Twee moties (30821 nr 82 en 83) zijn aangehouden. Twee andere moties (30821 nr 84 en 85) zijn op 2 juli aangenomen. In de laatste motie wordt de regering verzocht overheidssystemen in de vitale infrastructuur te scannen op kwetsbaarheden en die vervolgens te dichten.
     
  • Op 20 juni 2019 heeft de staatssecretaris van EZK de Tweede Kamer geïnformeerd (26643 nr 618) over de voortgang van de implementatie van de Roadmap Digitaal Veilige Hard- en Software en de inzet voor de komende periode. Nederland maakt zich in de EU sterk voor het stellen van wettelijke minimum digitale veiligheidseisen aan IoT-apparatuur. De bedoeling is om deze in 2020 van kracht te laten worden. Ook wordt ingegaan op de het Europees cloud certificatieschema waarbij Nederland een grote rol heeft gespeeld. In de rapportage wordt het Nederlandse publiek-private raamwerk Partnering Trust genoemd en de activiteiten van de Secure Software Alliance. In hierbij behorende voetnoten wordt NOREA als partner genoemd.
  • Op 18 juni 2019 heeft de Tweede Kamer gestemd over de aangehouden motie (26643 nr 110) die op 29 mei 2019 was ingediend bij het overleg over de digitale overheid. De motie is aangenomen. Hierbij wordt de regering verzocht om een richtlijn te ontwikkelen voor het gebruik door overheden van algoritmes met mogelijk ingrijpende consequenties op burgerrechten en om een voorstel uit te werken voor toezicht op het gebruik van algoritmes.
     
  • Op 17 juni 2019 heeft de staatssecretaris van EZK de Tweede Kamer geïnformeerd over waar het Digital Trust Center (DTC) staat (26643 nr 616). Achtereenvolgens wordt ingegaan op de resultaten van 2018 en de speerpunten voor 2019, de voortgang op de hoofdtaken van het DTC, de samenwerking binnen en buiten de overheid en tot slot de organisatie en evaluatie.
     
  • Op 14 juni 2019 heeft de staatssecretaris van Financiën de vragen beantwoord (32761 nr 136) die de Tweede Kamer had gesteld naar aanleiding van de ontvangen antwoorden op vragen over het onderzoek van de AP naar de informatiebeveiliging bij de Belastingdienst.
     
  • Op 13 juni 2019 heeft de staatssecretaris van BZK de vragen beantwoord (34972 nr 10) die de Tweede Kamer had gesteld over het wetsvoorstel Digitale Overheid. Daarbij wordt o.a. uitgebreid ingegaan op het gebruik van standaarden, eID, toezicht en handhaving en de gevolgen voor burgers en bedrijven.
     
  • Op 13 juni 2019 heeft de minister voor Rechtsbescherming overleg gevoerd met de Tweede Kamer over de bescherming van persoonsgegevens (32761 nr 148). De minister heeft toegezegd voor de begrotingsbehandeling de Kamer te informeren over de grote internationale bedrijven in Nederland waar de AP toezicht op houdt en over de groeiscenario’s van de AP. Op 25 juni heeft de Kamer plenair over dit onderwerp gedebatteerd en zijn 9 moties ingediend (32761 nrs 137 – 145). Op 2 juli zijn 3 moties aangehouden en 6 moties aangenomen.
     
  • Op 12 juni 2019 heeft de staatssecretaris van BZK de vragen beantwoord (35047 nr 8) die de Tweede Kamer had gesteld over de wijziging van de Paspoortwet in verband met de invoering van elektronische identificatie met een publiek identificatiemiddel. Ongeveer de helft van de Nederlandse bevolking beschikt over een Android-telefoon die de chip kan uitlezen, maar de andere helft dus niet. Er is nog geen besluit genomen over alternatieven zoals bijv. een kaartlezer die enkele tient/llen euro’s zou kosten. Andere opties worden nog onderzocht.
     
  • Op 12 juni 2019 heeft de minister van J&V de Tweede Kamer geïnformeerd over de voortgang van de integrale aanpak cybercrime (28684 nr 564). Het gebruik van ransomware groeit nog steeds evenals het gebruik van phishing mails. Cryptovaluta worden misbruikt voor witwassen van crimineel geld of worden ontvreemd van bonafide gebruikers. Ook het aantal geregistreerde gevallen van computervredebreuk neemt toe. Er zijn en worden diverse acties in gang gezet gericht op preventie, opsporing en vervolging. De nieuwe WCCIII biedt extra mogelijkheden voor de aanpak van cybercrime.
     
  • Op 12 juni 2019 heeft de minister van J&V het Cybersecuritybeeld Nederland 2019 (CSBN2019) (26643 nr 614) en zijn reactie daarop aan de Tweede Kamer aangeboden en heeft hij de Kamer geïnformeerd over de voortgang van de Nederlandse Cybersecurity Agenda (NCSA). Het CSBN schetst een zorgwekkend beeld. Er is sprake van een toenemende digitale dreiging. De digitale weerbaarheid dreigt achter te lopen. Alle betrokken vakdepartementen werken intensief samen met de vitale aanbieders, toezichthouders en de inlichtingen- en veiligheidsdiensten om verder invulling te geven aan (met name ambitie 7 van) de NCSA. Dit wordt verder uitgebreid in de brief toegelicht. Voorts is in de brief de voortgang van de NCSA sinds april 2018 opgenomen en wordt een vooruitblik gegeven op de maatregelen die het kabinet de komende periode neemt.
     
  • Op 11 juni 2019 heeft de staatssecretaris van EZK de Nota Mobiele Communicatie (24095 nr 478) naar de Tweede Kamer gestuurd. Dat is een beleidskader voor de verdeling van frequenties in verband met de uitrol van 5G en de herverdeling van eerder uitgegeven frequenties.
     
  • Op 7 juni 2019 heeft de minister van J&V de Nationale Veiligheid Strategie 2019 (30821 nr 81) aan de Tweede Kamer aangeboden. Daarin zijn op basis van een geïntegreerde risicoanalyse de nationale veiligheidsbelangen in kaart gebracht, de dreigingen en risico’s en hoe de dreigingen het hoofd kunnen worden geboden. De NVS vervangt de Strategie Nationale Veiligheid uit 2007 en wordt voortaan iedere drie jaar geactualiseerd. De maatregelen moeten nog wel door de diverse vakdepartementen worden uitgewerkt. Er zijn zeven prioritaire thema’s benoemd waaronder bescherming vitale infrastructuur en cybersecurity.

Update 23 juni 2019

  • Op 20 juni 2019 heeft de Staatssecretaris van EZK een brief aan de Tweede Kamer gezonden inzake de voortgang Roadmap Digitaal Veilige Hard- en Software. De maatregelen in de roadmap zijn gericht op de beïnvloeding van de markt, zodat het algehele niveau van digitale veiligheid van hard- en software en IoT wordt verhoogd. In dat verband worden ook de initiatieven van de EU met betrekking tot de inmiddels vastgestelde Cybersecurity Act en Cybersecurity-certificering vermeld. De ontwikkeling van Europese certificeringsschema's zal naar verwachting dit jaar starten. 'Nederland zet zich de komende periode in op de voortvarende ontwikkeling en implementatie van cybersecurity-certificeringsschema's, onder meer door Nederlandse initiatieven en expertise te koppelen aan Europese trajecten. Zo neemt Nederland actief deel aan een werkgroep gevormd door de Europese Commissie voor de ontwikkeling van een Europees cloud certificeringsschema. Samen met onder meer Duitsland en Oostenrijk heeft Nederland een aanbeveling opgesteld voor een Europees cloud certificeringsschema met een reeks van beveiligingsvereisten en de wijze waarop daarover verantwoording wordt afgelegd door een ICT-leverancier. Deze aanbeveling bouwt voort op het Nederlandse publiek-private raamwerk Partnering Trust, met partners zoals NOREA, softwareleveranciers en de Belastingdienst'. 
  • Op 12 juni 2019 heeft de staatssecretaris van BZK een Nota van Wijziging van de Paspoortwet (35047 (R2108) nr 9) naar de Tweede Kamer gestuurd. Deze wijziging beoogt het uitgifteproces van Nederlandse identiteitskaarten met het publieke identificatiemiddel in de Caribische landen van het Koninkrijk anders in te richten dan eerder de bedoeling was. Ook voorziet de wijziging in een oplossing voor de overgangsfasefase waarin nog niet alle verstrekkingen vanuit het nieuwe basisregister reisdocumenten plaatsvinden.
  • Op 11 juni 2019 heeft de minister voor Rechtsbescherming een brief (32761 nr 135) naar de Tweede Kamer gezonden waarin hij reageert op 2 moties uit maart 2018 en waarin hij aandacht besteedt aan de eerste ervaringen van de AP met individuele verzoeken en klachten onder de AVG. Naast de reeds eerder toegekende € 7 mln structureel voor de jaren 2019 e.v. heeft hij besloten de AP een extra budget toe te kennen van € 3,4 mln. Samen met de AP zal hij jaarlijks bezien welke capaciteit c.q. budget nodig is.
  • Op 11 juni 2019 hebben de ministers van BZK en Defensie de tweede voortgangsrapportage (34588 nr 83) over de werking van de Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017) naar de Tweede Kamer gestuurd. Hieruit blijkt dat de AIVD en de MIVD nog steeds niet helemaal voldoen aan alle verplichtingen die de wet stelt. Wel is de achterstand bij de invoering van de wet (1-5-2018) deels ingelopen en zijn de meest hoge risico’s teruggebracht naar gemiddelde of beperkte risico’s. Het is daarom nodig om met onverminderde inzet door te gaan op de ingeslagen weg om risico’s op mogelijk toekomstige onrechtmatigheden te beperken.
     
  • Op 7 juni 2019 is de Cybersecurity Act (Verordening (EU) 2019/881) in het Publicatieblad van de EU opgenomen (L151) en is vanaf 27 juni van kracht. Het Europees agentschap ENISA wordt hierin benoemd tot EU agentschap voor cybersecurity en krijgt met deze verordening meer bevoegdheden en verantwoordelijkheden. Ook creëert deze verordening een certificeringskader waarbinnen cybersecurity certificeringsschema’s voor ICT-producten, - diensten en –processen kunnen worden ingesteld. De certificaten zijn nog niet verplicht, maar in 2023 zal de Europese Commissie bezien of dat alsnog nodig is. Het eerste voorstel voor een certificaat heeft betrekking op cloud computing. Het certificaat is bedoeld voor bedrijven die clouddiensten aanbieden, zodat zij kunnen aantonen dat zij de gegevens van klanten voldoende beschermen tegen diefstal en dat kwetsbaarheden snel worden opgelost. Ook NOREA heeft de afgelopen anderhalf jaar meegewerkt aan de totstandkoming van deze aanbeveling aan de Europese Commissie. Voor NOREA is dit zeer relevant omdat het uiteindelijke schema zal bepalen welke rol de RE zal spelen bij Europese cybersecurity certificering.
     
  • Op 5 juni 2019 hebben de ministers van Justitie en Veiligheid en voor Rechtsbescherming de vragen beantwoord (32317 nr 557) over de geannoteerde agenda voor de JBZ-Raad van 6 en 7 juni te Luxemburg. Zij geven aan dat het nieuw op te richten Europees kenniscentrum op het gebied van cybersecurity bedoeld is om de Europese industrie op dat gebied te versterken zodat Europa minder afhankelijk wordt van niet-EU-producten en -diensten (lees: de VS en China). Ook wordt erkend dat er rondom een algemene wettelijke bewaarplicht van telecommunicatiegegevens nog veel onduidelijkheid bestaat. De Europese Commissie is verzocht een studie naar een nieuwe dataretentierichtlijn voor eind 2019 af te ronden.
     
  • Op 4 juni 2019 heeft de staatssecretaris van EZK de vragen beantwoord (21501-33 nr 765) over de geannoteerde agenda van de Telecomraad van 7 juni. Zo is Nederland van mening dat de ePrivacyverordening geen drempels mag bevatten voor (toekomstige) dataretentieregels en dat er, net als in artikel 23 van de AVG, van de verordening mag worden afgeweken als dat nodig is voor de nationale veiligheid.
     
  • Op 29 mei 2019 heeft de minister voor Medische Zorg en Sport gereageerd (27529 nr J) op de brief van de Eerste Kamer over de aanbeveling van de Europese Commissie voor een Europees uitwisselingsformaat voor elektronische patiëntendossiers.
     
  • Op 29 mei 2019 heeft de Tweede Kamer gedebatteerd over het rapport van de Algemene Rekenkamer over Digitale dijkverzwaring: cybersecurity van vitale waterwerken (30821 nr 69). Tijdens het debat zijn 4 moties ingediend (30821 nrs 75, 76, 79 en 80) welke alle op 4 juni 2019 zijn aangenomen. Motie 30821 nr 77 is tijdens het debat overgenomen door de minister en bij dezen afgedaan.
     
  • Op 29 mei 2019 heeft de Tweede Kamer gedebatteerd met de staatssecretaris van BZK, als vervolg op het overleg op 16 mei 2019 over de Digitale Overheid. Bij dit debat zijn 3 moties ingediend (26643 nrs 611, 612 en 613) welke alle drie op 4 juni 2019 zijn aangenomen. Twee moties gaan o.a. over de positionering van het BIT. In de derde motie vraagt de Tweede Kamer aan het eigen presidium om via een tijdelijke onderzoekscommissie zelf meer kennis op te bouwen om zo meer politieke grip te krijgen op het thema “digitalisering”. De motie (26643 nr 610) over toezicht op het gebruik van algoritmes door de overheid is aangehouden omdat de staatssecretaris momenteel, samen met de minister voor Rechtsbescherming, werkt aan een brief over dit complexe vraagstuk die binnenkort naar de Tweede Kamer zal worden gezonden.
     
  • Op 29 mei 2019 heeft de VVD de initiatiefnota “Menselijke grip op algoritmen” (35212 nr 2) aan de Tweede Kamer aangeboden. Algoritmes bieden allerlei voordelen, maar kunnen ook, vaak onbedoeld, de privacy schenden of discrimineren. In de nota wordt voorgesteld om op algoritmebeleid meer samen te werken binnen en buiten Nederland, te werken aan meer transparantie over beslisregels en de daarbij gebruikte gegevens, en bedrijven en overheden jaarlijks te laten rapporteren over de betrouwbaarheid en eerlijkheid van algoritmes met een hoog risicoprofiel. Extrerne partijen, bijv. accountants, zouden met die instellingen moeten meekijken. Tenslotte zou een publieke algoritmetoezichthouder zich specifiek moeten richten op rapportages en kennisdeling op dit vlak. De Tweede Kamer wordt verzocht in te stemmen met het verzoek aan de minister van Rechtsbescherming om, samen met de ministers van BZK en EZK, te werken aan de geschetste deeloplossingen.
     
  • Op 28 mei 2019 hebben de ministers van J&V en voor Rechtsbesherming de geannoteerde agenda (32317 nr 554) van de JBZ-raad op 6 en 7 juni aan de Tweede Kamer aangeboden. De vragen en opmerkingen hierover zijn op 5 juni aan de minister van J&V voorgelegd.
     
  • Op 23 mei 2019 heeft de staatssecretaris van EZK de geannoteerde agenda (21501-33 nr 763)  voor de Telecomraad aan de Tweede Kamer aangeboden. De vragen en opmerkingen hierover zijn op 29 mei aan de staatsecretaris van EZK voorgelegd.
     
  • Op 23 mei 2019 is de Baseline Informatiebeveiliging Overheid (BIO) in de Staatscourant (nr 26526) gepubliceerd. De Ministerraad van 14 december 2018 heeft de BIO vastgesteld. Het Rijk en alle andere bestuurslagen hanteren hiermee nu dezelfde normen.
     
  • De BIO is gebaseerd op de ISO-normen 27001 en 27002. In de BIO zijn drie standaard basisbeveiligingsniveaus (BBN’s) gedefinieerd met bijbehorende beveiligingseisen die moeten worden ingevuld. Per BBN staat beschreven aan welke controls uit de ISO 27002 moet worden voldaan. Soms zijn de controls uitgewerkt in verplichte concrete overheidsmaatregelen. Over de risicoafweging en over de invulling van de controls moet verantwoording worden afgelegd.
     
  • Op 17 mei 2019 heeft de minister van Buitenlandse Zaken het voorstel van de Europese Commissie dat op 8 april 2019 is verschenen (COM (2019) 168) naar de Tweede Kamer gestuurd. Het betreft een Mededeling Vertrouwen kweken in mensgerichte kunstmatige intelligentie. In de mededeling onderbouwt de Commissie het belang van mensgerichte AI en worden richtsnoeren voor betrouwbare AI toegelicht. Ook kondigt de Commissie vervolgstappen aan. De basis voor de richtsnoeren wordt gevormd door 7 essentiële vereisten waaronder een verantwoordingsplicht. Interne en externe auditors kunnen hierdoor bijdragen aan het vertrouwen in AI. De Commissie roept publieke en private stakeholders op om deel te nemen aan de pilotfase die in juni 2019 zal starten en waarin de richtsnoeren in de praktijk zullen worden getest. Het kabinet werkt momenteel aan een nationaal strategisch actieplan AI (SAPAI). De inhoud van de Mededeling zal daarin worden verwerkt.
     
  • Op 17 mei 2019 is de Verordening betreffende beperkende maatregelen tegen cyberaanvallen die de EU of haar lidstaten bedreigen ((EU) 2019/796) in het Publicatieblad van de EU opgenomen (LI 129) en is vanaf 18 mei 2019 van kracht. Alle tegoeden en economische middelen van natuurlijke en rechtspersonen die (pogingen tot) cyberaanvallen uitvoeren met aanzienlijke gevolgen, die een externe bedreiging vormen voor de EU of haar lidstaten, kunnen worden bevroren.
     
  • Op 13 mei 2019 heeft de minister voor Medische Zorg het wetsvoorstel ingetrokken dat verzekeraars zonder voorafgaande toestemming van de patiënt medische dossiers liet inzien om daarmee fraude te kunnen opsporen (33980 nr 31). Het wetsvoorstel was al aangenomen door de Tweede Kamer. Op verzoek van de Eerste Kamer heft de minister met Zorgverzekeraars Nederland overlegd over diverse aanpassingen die via zelfregulering gerealiseerd zouden kunnen worden. ZN heeft hiervoor constructieve voorstellen gedaan, maar de afdwingbaarheid van de naleving is hiermee niet wettelijk geborgd. De minister zal daarom een nieuw wetsvoorstel in procedure brengen.

Update: 20 mei 2019 

  • Op 17 mei 2019 heeft de Raad van de EU besloten dat sancties opgelegd kunnen worden aan mensen of organisaties die betrokken zijn bij pogingen tot cyberattacks die de EU of zijn lidstaten bedreigen. Zoals bijv. het geval was bij de hackpoging bij het OPCW in Den Haag. Wel is het vereist dat alle 28 landen instemmen met de te treffen sanctie.
  • Op 16 mei 2019 heeft de staatsecretaris van BZK overleg gevoerd met de Tweede Kamer over de Digitale Overheid. Daar heeft hij de Kamer toegezegd dat zolang de ICT nog niet op orde is de functie van het BIT zal blijven bestaan. Desondanks hield de Kamer nog zorgen over de capaciteit van het BIT en over de organisatorische ophanging. De staatssecretaris verwacht in het najaar met adviezen te komen.
  • Op 15 mei 2019 heeft de minister van Buitenlandse Zaken de beleidsnotitie “Nederland-China: een nieuwe balans” naar de Tweede Kamer gestuurd. Over de opbouw van het 5G-netwerk zal de Kamer later worden geïnformeerd.
  • Op 15 mei 2019 heeft de Algemene Rekenkamer het Verantwoordingsonderzoek 2018 aan de Tweede Kamer aangeboden. De AR heeft in 2018 geconstateerd dat een groot aantal ministeries hun informatiebeveiliging (opnieuw) niet op orde had. Het aantal onvolkomenheden was toegenomen. Bij 11 organisaties waren de problemen in de informatiebeveiliging dermate groot dat de AR die als onvolkomenheid aanmerkt. Het betreft de ministeries van AZ, BuiZa, BZK, Defensie, Financiën. J&V, I&W, OCW, zijn baten-lastendienst DUO, Rijksdienst Caribisch Nederland en de Tweede Kamer.
  • Op 15 mei 2019 heeft de minister van BZK de Jaarrappportage Bedrijfsvoering Rijk 2018 aan de Tweede Kamer aangeboden (31490 nr 249). Daaruit blijkt onder meer dat nog niet alle ICT-projecten naar verwachting verlopen. Ook is de informatieveiligheid nog niet op het beoogde kwaliteitsniveau. Het Rijk heeft moeite om voldoende goed gekwalificeerd ICT-personeel te vinden.
  • Op 14 mei 2019 heeft de staatssecretaris van BZK de Tweede Kamer geïnformeerd over de uitvoering van het vervangingsplan van de PKI-overheidscertificaten (26643 nr 608). Logius heeft een nieuw plan opgesteld omdat er veel minder certificaten vervangen hoeven te worden dan eerder gedacht. Naar verwachting is de gehele vervanging uiterlijk eind 2019 voltooid.
  • Op 30 april 2019 heeft de staatssecretaris van BZK een brief (25764 nr 119) naar de Tweede Kamer gestuurd waarin hij nader ingaat op de Verordening identiteitskaarten en biometrie waar het Europees Parlement op 4 april formeel mee heeft ingestemd. De chip waarin de vingerafdrukken worden opgeslagen moet nog worden getest. Mogelijk gaan de kosten van een identiteitskaart omhoog, maar alle kosten zijn nog niet in kaart gebracht.
  • Op 26 april 2019 heeft de minister voor Medische Zorg de vragen beantwoord die de Tweede Kamer had gesteld over het persbericht dat medische gegevens zijn verplaatst naar Google Cloud (2457 en 2458). In de brief (31476 nr 25) geeft hij aan dat hij nog moet bezien welke partij hem onafhankelijk kan adviseren over het gebruik van niet-EU-cloud-aanbieders.
  • Op 26 april 2019 heeft de minister van V&J de Tweede Kamer geïnformeerd over de uitkomsten van de beveiligingsonderzoeken, onder meer door de AIVD, naar het vernieuwde C2000-spraaknetwerk, de getroffen maatregelen en het vervolgtraject (25124 nr 96). De opdracht tot vernieuwing was in 2015 gegund aan een combinatie van bedrijven waaronder een Duits bedrijf dat inmiddels dochter is geworden van het Chinese bedrijf Hytera. De minister concludeert dat er op een verantwoorde wijze vervolg gegeven kan worden aan de vernieuwing van C2000.
  • Op 15 april 2019 heeft de minister van V&J de Tweede Kamer een brief (25124 nr 94) gestuurd met de planning voor de vernieuwing en beveiliging van het C2000-spraaknetwerk en de uitrol van 5G.
  • Op 11 april 2019 heeft ECP.NL de Call for Presentations uitgestuurd voor de One Conference die plaatsvindt op 1 en 2 oktober. Voorstellen voor (Engelse) presentaties moeten uiterlijk 6 juni binnen zijn.
  • Op 9 april 2019 heeft de minister voor Medische Zorg zijn tweede brief over elektronische gegevensuitwisseling in de zorg (27529 nr 183) naar de Tweede Kamer gestuurd. Hij schetst hierin de contouren van de naderende wettelijke verplichting en gaat in op de concept-Roadmap.
  • Op 5 april 2019 heeft de minister van J&V de Tweede Kamer geïnformeerd over zijn gesprek met de banken over hun bijdrage aan de bestrijding van internetoplichting. Tevens informeert hij de Kamer over zijn gesprek met het Openbaar Ministerie over de mogelijke terughoudendheid van het OM om op verzoek van de AFM conservatoir beslag te leggen waarmee kan worden voorkomen dat frauduleus vermogen naar het buitenland verdwijnt (29911 nr 237).
  • Op 5 april 2019 heeft de minister van BZK de Werkwijzer voor maatschappelijke kosten-batenanalyse van de digitale overheid (26643 nr 604) ter kennisname aan de Tweede Kamer aangeboden. Het biedt een denkkader, een stappenplan en kengetallen.
  • Op 4 april 2019 heeft het Europees Parlement ingestemd met een verordening waarbij ID-kaarten in de Europese Unie verplicht worden voorzien van twee vingerafdrukken. Voor kinderen tussen zes en twaalf jaar mogen lidstaten zelf bepalen of die ook een dubbele scan moeten afstaan.
  • Op 1 april 2019 heeft de minister voor Rechtsbescherming de Tweede Kamer geïnformeerd over de inventarisatie van de eerste ervaringen met de Uitvoeringswet AVG (32761 nr 132). Er is nog veel voorlichting en uitleg nodig.
  • Op 29 maart 2019 heeft de staatssecretaris van BZK het tweede externe evaluatierapport over het functioneren van het BIT (26643 nr 603) naar de Tweede Kamer gestuurd. De Kamer had eerder gevraagd de uitkomsten van deze evaluatie te betrekken bij het uitvoeren van een breed gesteunde motie die vraagt om het instellen van een Rijksinspectie Digitalisering. Dit onderzoek wordt momenteel uitgevoerd evenals een in de tijd naar voren gehaalde beleidsdoorlichting van het BIT. In afwachting van de uitkomsten van die onderzoeken heeft de staatssecretaris besloten het BIT vooralsnog tot 31 december 2020 te verlengen.
  • Op 29 maart 2019 heeft de staatssecretaris van BZK de jaarlijkse rapportage van het Bureau ICT-toetsing (BIT) (26643 nr 602) naar de Tweede Kamer gestuurd. Naast een overzicht van de in 2018 uitgevoerde activiteiten bevat het ook algemene adviezen voor het verbeteren van de IT-problematiek en een vooruitblik op 2019. Hierbij wordt aandacht gevraagd voor de evt. verlenging van het BIT (het BIT is in juli 2015 voor 5 jaar ingesteld) en de ophanging.
  • Op 28 maart 2019 heeft de minister van BZK de kabinetsreactie (26643 nr 601) op het rapport “Algoritmes en grondrechten” van de Universiteit Utrecht naar de Tweede Kamer gezonden. Hieruit blijkt dat de belangrijkste knelpunten liggen op het terrein van gelijke behandeling en procedurele rechten. De neutraliteit en transparantie van algoritmes dienen daarom te worden vergroot.
  • Op 28 maart 2019 heeft de Algemene Rekenkamer het rapport “Digitale dijkverzwaring: cybersecurity en vitale waterwerken” (30821 nr 69) naar de Tweede Kamer gezonden.
  • Op 27 maart 2019 heeft de staatssecretaris van BZK aan de Tweede Kamer medegedeeld (25764 nr 118) dat het (machinaal leesbare) BSN op de voorzijde van de paspoorten en id-kaarten zal worden vervangen door een QR-code op de achterzijde. Na ontvangst van het advies van de AP hierover zal hij de Kamer informeren over de datum waarop dit zal worden ingevoerd.
  • Op 26 maart 2019 heeft de Europese Commissie de EU-landen gevraagd om voor 30 juni een analyse te maken van mogelijke veiligheidsrisico’s van het 5G-netwerk. Op 1 oktober kan dan de EU-brede risicobeoordeling zijn afgerond en uiterlijk 31 december moet men het eens zijn over maatregelen om de cybersecurityrisico’s aan te pakken. Op basis van de dan in werking getreden Cybersecurity Act kan dan worden gestart met het invoeren van een certificerings-regeling voor 5G-netwerken en -apparatuur.
  • Op 22 maart 2019 heeft de staatssecretaris van BZK de Tweede Kamer geïnformeerd (26643 nr 599) over de vervanging van certificaten die de overheid gebruikt voor digitale dienstverlening. Het betreft zowel de aanleiding als de wijze van de vervanging.
    Op 20 maart 2019 heeft de Europese Commissie haar “Rolling Plan for ICT Standardisation 2019” gepuliceerd. Dit geeft een overzicht van de ruim 30 ICT-standaardisatie-activiteiten die gekoppeld zijn aan EU-beleid. Een van de vier nieuwe hoofdstukken dit jaar betreft Artificial Intelligence.
  • Op 15 maart 2019 heeft de minister van Buitenlandse Zaken een door de Europese Commissie opgestelde aanbeveling voor een Europees uitwisselingsformaat voor elektronische patiëntendossiers (22112 nr 2785) naar de Tweede Kamer gezonden. Nederland staat hier positief  tegenover en zal vooral inzetten op beïnvloeding vooraf bij de uitwerking van het uitwisselingsformaat.
  • Op 15 maart 2019 heeft de staatssecretaris van BZK de Data Agenda Overheid ((26643 nr 597) aan de Tweede Kamer aangeboden. Deze heeft tot doel om de analyse en het combineren van gegevens beter ten goede te laten komen aan beleidsvorming en het oplossen van maatschappelijke vraagstukken. Uitgangspunt is het bevorderen van een transparante overheid die optimaal en verantwoord gebruik maakt van data.
  • Op 13 maart 2019 heeft het Europees Parlement (in eerste lezing) 180 amendementen aangenomen op het voorstel voor een Verordening tot oprichting van het Europees kenniscentrum voor industrie, technologie en onderzoek op het gebied van cybersecurity en het netwerk van nationale coördinatiecentra. Om voor dit netwerk een basis te leggen heeft de Commissie ruim € 63,5 mln geïnvesteerd in 4 pilotprojecten.
  • Op 12 maart 2019 heeft het Europees Parlement de EU Cybersecurity Act aangenomen. Hiermee wordt de rol van ENISA versterkt en er zal een cybersecurity certificeringsschema komen voor ICT producten, diensten en processen. Bijv. die gebruikt worden in auto’s, vliegtuigen, energiecentrales, medische apparatuur en Internet of Things-apparaten. In 2023 zal de Commissie bepalen of de nieuwe vrijwillige schema’s verplicht gesteld moeten worden. Ook sprak het Parlement zijn zorgen uit over de toenemende invloed van China in met name de installatie van 5G-netwerken en verzoekt de Europese Commissie een certificeringsschema voor een veilig 5G-netwerk op te zetten.
  • Op 21 februari 2019 hebben de kamercommissies voor Binnenlandse Zaken en voor Europese Zaken overleg gevoerd met de staatssecretaris van BZK over eID en paspoorten (26643 nr 598). Hij heeft toegezegd de Kamer per brief te informeren over het in Europa gesloten akkoord over biometrie op de identiteitskaarten en over de businesscase eID. Op de discussie over publieke en private inlogmiddelen zal hij ingaan bij zijn nog te geven antwoorden op de gestelde vragen naar aanleiding van de Wet Digitale Overheid.

Update: 13 maart 2019 

  • Op 7 maart 2019 heeft de minister voor Medische Zorg gereageerd (27529 nr 181) op het artikel in Elsevier “Nederlandse ziekenhuizen kwetsbaar voor cyberaanvallen”. Naast alle reeds bekende maatregelen deelt hij hier ook mede dat verschillende zorgkoepels en VWS een Actieplan Verhoging bewustzijn informatiebeveiliging patiëntengegevens hebben opgesteld. Hij zal voor het zomerreces de Kamer informeren over de voortgang ervan.
  • Op 5 maart 2019 heeft de staatssecretaris van EZK het wetsvoorstel Ongewenste zeggenschap telecommunicatie (35153 nr 2 en 3) bij de Tweede Kamer ingediend. Hierdoor kunnen overnames binnen de telecomsector worden verboden of teruggedraaid als de nationale veiligheid of openbare orde in gevaar kunnen komen. Partijen die Nederlandse telecomvoorzieningen willen overnemen worden verplicht dat vooraf te melden aan het ministerie van EZK. Er volgen nog criteria om te kunnen beoordelen wanneer er sprake is van relevante invloed in de telecommunicatiesector. Dit moet investeerders duidelijkheid geven over wanneer zij onder de wet (en de meldplicht) vallen.
  • Op 20 februari 2019 heeft de staatssecretaris van EZK de vragen beantwoord (21501-33 nr 746) die de Tweede Kamer heeft gesteld over de agenda van de  op 1 maart te houden Telecomraad. Hieruit blijkt dat in de week van 11-14 maart de stemming is voorzien in het Europees Parlement over de Cybersecurity Verordening. De Verordening versterkt het mandaat van ENISA en voert ook een EU-kader in voor cybersecurity certificering voor producten, processen en diensten, met name gericht op het verbeteren van de beveiliging van het IoT en de vitale infrastructuur. In de Verordening worden ook audits voorzien. Mede onder impuls van Nederland is de mogelijkheid ogenomen dat certificaten verplicht gesteld kunnen worden. Voor eind 2023 zal de Europese Commissie hiervoor voorstellen doen.
    Op 8 februari 2019 heeft de minister voor Medische Zorg informatie naar de Tweede Kamer gestuurd over de beveiliging van gegevens die gedeeld worden via het Landelijk Schakelpunt (LSP). Hieruit blijkt dat de beheerder van het LSP, VZVZ, aangeeft te voldoen aan de wettelijke beveiligingsverplichtingen. De minister zal NEN vragen of de beveiligingsnorm NEN-7512, die voorschrijft dat de verbindingen versleuteld moeten zijn, nog wel voldoende is of dat aanpassing naar end-to-end encryptie wenselijk is.
  • Per 1 maart 2019 is de Wet Computercriminaliteit III in werking getreden. Hiermee kunnen opsporingsambtenaren heimelijk en op afstand computers binnendringen om daarna verschillende onderzoekshandelingen te verrichten. Ook heling van computergegevens wordt nu als zelfstandig delict strafbaar en oplichting via internet kan strafrechtelijk worden vervolgd.
  • Op 25 februari 2019 heeft de staatssecretaris van BZK de Monitor Open Standaarden 2018 (26643 nr 595) naar de Tweede Kamer gezonden. Daarin wordt jaarlijks het gebruik van open standaarden van de “pas-toe-of-leg-uit”-lijst gemeten. Hij deelt daarbij mee dat in het wetsvoorstel Digitale Overheid een grondslag is opgenomen om bepaalde standaarden verplicht te stellen. Dat zou bijv. kunnen gelden voor informatieveiligheidsstandaarden omdat het maatschappelijk belang daarvan zwaarder kan wegen dan het organisatiebelang.
    Op 19 februari 2019 heeft de minister van I&W gereageerd (35000 XII nr 74) op een eind november 2017 ingediende motie van het CDA over de risico’s van cyberaanvallen op de vitale infrastructuur (met name sluizen, bruggen, etc.) en de te treffen maatregelen.
  • Op 7 februari 2019 heeft de minister voor Rechtsbescherming het WODC-rapport “Slachtoffer-schap van online criminaliteit” alsmede zijn beleidsreactie daarop (28684 nr 550) naar de Tweede Kamer gestuurd. Maatregelen zijn gericht op het verbeteren van de hulpverlening, het voorkomen van herhaald slachtofferschap en het beter bejegenen van slachtoffers door politie en het OM.
    Op 6 februari 2019 hebben de ministers van BZK en Defensie de vragen beantwoord (34588 nr 81) die gesteld zijn over de Voortgangsrapportage CTIVD over de werking van de Wet op de inlichtingen- en veiligheidsdiensten. Zij verwachten de risico’s op onrechtmatig handelen, zeker de hoge, bij de volgende voortgangsrapportage in mei aanzienlijk te hebben beperkt. In het eerste kwartaal zal de MIVD een planning voorleggen aan de CTIVD over verbeteringen in de ICT-infrastructuur.
  • Op 6 februari 2019 heeft de Tweede Kamercommissie voor BZK, na kennisneming van de Nota van Wijziging van het wetsvoorstel Digitale Overheid, nadere schriftelijke vragen en opmerkingen aan de minister voorgelegd (34972 nr 8).
  • Op 5 februari 2019 heeft de European Parliamentary Research Service (EPRS) het document “Digital Transformation” gepubliceerd waarin de voornemens voor de komende jaren uiteen worden gezet, zoals bijv. vastgelegd in het recente voorstel voor het programma “Digitaal Europa” (voor 2021 – 2027). Het Europees Parlement wordt als medewetgever nauw betrokken bij de vormgeving van het beleidskader. Zo zal er o.a. een Europees cybersecurity crisis cooperation framework worden ontwikkeld op basis van de conclusies van de Europese Raad van 26 juni 2018. In de lopende parlementaire termijn zijn o.a. de NIB-richtlijn en de AVG gerealiseerd en is er overeenstemming om te komen tot een vrijwillig EU cybersecurity certification framework voor ICT-producten.
  • Op 5 februari 2019 heeft de minister van BZK de geactualiseerde Strategische I-agenda voor de Rijksdienst (26643 nr 591) naar de Tweede Kamer gestuurd. Hiermee wordt jaarlijks flexibel ingespeeld op nieuwe inzichten en benodigdheden. Er zullen rijksbrede protocollen worden ontwikkeld om de duurzame toegankelijkheid en vindbaarheid te verbeteren. Het begrip proportionele informatiebeveiliging zal verder worden uitgewerkt. De rol en minimale set van taken van de CISO zal, in samenhang met de herijking van de rol van de departementale CIO, rijksbreed worden vastgelegd. Het rubriceringsschema zal worden geëvalueerd en waar mogelijk vereenvoudigd. Begin 2019 zal een overheidsbrede Nationale Data Agenda verschijnen waarin o.a. datakwaliteit en –uitwisseling aan de orde komt.
  • Op 4 februari 2019 heeft de minister van V&J het antwoord van het kabinet (22112 nr 2763) op de consultatie van de Europese Commissie inzake de evaluatie van de uit 2008 daterende EU-richtlijn voor Europese vitale infrastructuur naar de Tweede Kamer gestuurd. Op dit moment heeft Nederland geen Europese vitale infrastructuur aangewezen, maar is momenteel wel samen met andere lidstaten bezig om mogelijke Europese vitale infrastructuur te identificeren.
  • Op 30 januari 2019 heeft de minister voor Medische Zorg overleg gevoerd met de Tweede Kamer over gegevensuitwisseling in de zorg (27529 nr 180). De minister heeft toegezegd voor 1 april een roadmap (een stappenplan behorend bij het nog in te dienen wetsvoorstel elektronische gegevensuitwisseling in de zorg) aan te bieden waarbij hij tevens de Kamer zal informeren over het toezicht door de AP op inzage van dossiers in ziekenhuizen. In het derde kwartaal zal de Kamer worden geïnformeerd over de pilot van het RIVM over hergebruik van declaratiedata. Op 20 februari heeft de minister voor Medische Zorg een kort plenair debat (VAO) gevoerd als vervolg op het overleg van 30 januari. Hierbij zijn 8 moties ingediend. Op 3 maart zijn 5 moties aangenomen. (27529 nr 172, 174, 176, 177 en 178). Hierin wordt de regering o.a. verzocht te onderzoeken of end-to-end encryptie inmiddels toepasbaar is voor de bestaande uitwisselingssystemen in de zorg en te verkennen of deelname van zorgaanbieders aan Z-CERT verplicht kan worden gesteld.
  • Op 29 januari 2019 heeft NOREA via de REZINE haar leden opgeroepen bij de open consultatie van het Europese Cloud Security Certification Framework hun voorkeur uit te spreken voor een jaarlijkse certificering van cloud services op basis van ISAE 3402. De deelnemers aan Zeker-OnLine hebben op 1 februari een soortgelijk verzoek ontvangen.
  • Op 29 januari 2019 heeft de staatssecretaris van BZK de Tweede Kamer geïnformeerd (26643 nr 590) over de aanpak van de implementatie eID. De implementatie zal niet overheidsbreed geschieden, maar stap voor stap, zodat flexibel kan worden bijgestuurd. Er zijn 4 parallelle actielijnen uitgezet, waaronder 2-factor authenticatie en een uitrol van betrouwbaarheids-niveau Substantieel, te beginnen in de zorgsector in het burgerdomein en bij het UWV in het bedrijvendomein. Ook wordt een aantal overbruggingsmaatregelen voorbereid.
  • Op 17 januari 2019 heeft de minister van V&J geantwoord (34372 nr M) op vragen die in de Eerste Kamer zijn gesteld naar aanleiding van zijn reactie op 4 december op eerdere vragen over het Besluit onderzoek in een geautomatiseerd werk. Dit besluit regelt de hackbevoegdheid van de politie in het kader van de Wet Computercriminaliteit III. In zijn antwoord betoogt de minister nogmaals in welke bijzondere gevallen en onder welke omstandigheden de politie van deze bevoegdheid gebruik zal maken.

Update: 14 januari 2019 (onder redactie van Rob Bouman)

  • Op initiatief van het ministerie van EZK organiseert het kabinet van 18 t/m 21 maart 2019 de Conferentie Nederland Digitaal 2019 in het Theater Gooiland in Hilversum en is bedoeld om een impuls te geven aan de Nederlandse Digitaliseringsstrategie. Vanaf medio januari kunt u zich via de website www.nederlanddigitaal.nl aanmelden.

  • Op 21 december 2018 heeft de staatssecretaris van BZK de vragen beantwoord (34972 nr 6) die de Tweede Kamer had gesteld over het Wetsvoorstel digitale overheid. Hij stelt hierin o.a. dat met dit wetsvoorstel de (verplichte) DigiD-audit zal worden omgevormd tot een “toegang tot de digitale overheid audit”, die nauw aansluit bij de huidige systematiek. Ook blijkt uit de antwoorden dat vanaf 2020 alleen burgers met een Android smartphone betrouwbaarheidsniveau substantieel kunnen gebruiken. Eigenaars van een Iphone moeten waarschijnlijk een kaartlezer met een NFC-chip aanschaffen. De beantwoording heeft tevens geleid tot het aanpassen van het wetsvoorstel digitale overheid (34972 nr 7). Deze wijziging is ook op 21 december naar de Tweede Kamer verzonden.

  • Op 21 december 2018 heeft de staatssecretaris van BZK het onderzoek naar het gebruik van algoritmes door de overheid (26643 nr 588) naar de Tweede Kamer gestuurd. In zijn reactie hierop verwijst hij diverse malen naar de brief die de minister voor Rechtsbescherming, mede namens hem, naar de Tweede Kamer had gestuurd  over transparantie van algoritmen in gebruik bij de overheid (26643 nr 570). In die brief staat o.a. vermeld dat twee werkgroepen bezig zijn met het opstellen van richtlijnen, voor het inzichtelijk maken van algoritmen die de overheid gebruikt voor toezichthouders en voor de rechtspraak resp. voor publieksvoorlich-ting over Big Data analyses door de overheid. Daarbij zal ook aandacht worden geschonken aan het uitvoeren van technische audits naar de kwaliteit van algoritmen. In het eerste kwartaal van 2019 zal de Kamer over de resultaten van de werkgroepen worden geïnformeerd.

  • Op 21 december 2018 heeft de staatssecretaris van EZK de Tweede Kamer geïnformeerd over de stand van zaken van de verkenning cybersecurity (26643 nr 586), waartoe is besloten na het aannemen van een motie bij de begrotingsbehandeling 2018 van V&J. Binnen het Topsectorenbeleid is een nieuw thema Veiligheid waar cybersecurity een onderdeel van is. In het eerste kwartaal van 2019 zal de Kamer hierover meer informatie krijgen.

  • Op 20 december 2018 heeft de minister voor Medische Zorg de tweede voortgangsrapportage (27529 nr 167) over de voortgang van de Wet cliëntenrechten bij elektronische verwerking van gegevens in de zorg naar de Tweede Kamer gestuurd. Daarin staan o.a. de uitkomsten van het overleg met de AP vermeld.

  • Op 20 december 2018 heeft de minister voor Medische Zorg zijn reactie gegeven (27529 nr 166) op diverse verzoeken van de Tweede Kamer over diverse onderwerpen rond elektronische gegevensuitwisseling in de zorg. Er komen meer wettelijke verplichtingen, hij zal meer regie nemen op eenheid van taal, o.a. door te bezien of accreditatieorganisaties de kwaliteit van gegevensuitwisseling kunnen meenemen in hun audits. Ook wil hij bevorderen dat sneller meer deelnemers in meer sectoren zich aansluiten bij Z-CERT.

  • Op 20 december 2018 heeft de staatssecretaris van EZK het verslag van de op 4 december gehouden Telecomraad (21501-33 nr 738) naar de Tweede Kamer gestuurd.

  • Op 19 december 2018 heeft de staatssecretaris van Financiën het rapport (32761 nr 128) naar de Tweede Kamer gestuurd van de commissie die heeft geadviseerd over alternatieven voor het niet meer gebruiken van het BSN in het btw-identificatienummer. De commissie stelt de zgn. factuurvariant voor waarbij alle 1,3 mln eenmanszaken een nieuw betekenisloos nummer krijgen dat verplicht vermeld moet worden op facturen en op hun website en dat ook wordt gebruikt bij EU-transacties. Voor interne communicatie blijft het oude nummer (voorlopig nog) in gebruik. Deze oplossing moet voor 1 januari 2020 geïmplementeerd zijn want dan gaat het verbod van de AP in om het BSN (extern) nog te gebruiken.

  • Op 4 december 2018 hebben de ministers van BZK en Defensie de voortgangsrapportage van de CTIVD over de werking van de Wiv (34588 nr 80) (de zgn. aftapwet) naar de Tweede Kamer gestuurd. Hieruit blijkt dat het beleid van de AIVD en de MIVD nog niet goed is ingericht op de nieuwe wet. Dat leidt tot hoge risico’s aan de onderschepping van bulkgegevens van burgers en daarmee op onrechtmatig handelen. De werkprocessen en de technische systemen zijn nog niet goed ingericht op het filteren en beoordelen van de relevantie.

  • Op 4 december 2018 heeft de minister van V&J de vragen beantwoord die de Tweede Kamer had gesteld (34372 nr 29) en de Eerste Kamer had gesteld (34372 nr L) over het Besluit onderzoek in een geautomatiseerd werk. Dit besluit regelt de hackbevoegdheid van de politie in het kader van de Wet Computercriminaliteit III.

  • Op 27 november 2018 heeft de staatssecretaris van EZK de vragen beantwoord (21501-33 nr 733) die de Tweede Kamercommissie voor EZK heeft gesteld over de agenda van de Telecomraad. Ze zegt o.a. toe erop te letten dat er geen overlap ontstaat tussen het nieuw op te richten EU Cybersecurity Competence Centre (EUCCC) en ENISA en faciliteiten die al in de lidstaten bestaan.

  • Op 26 november 2018 heeft de Tweede Kamercommissie van BZK gedebatteerd met de staatssecretaris van BZK over het initiatiefwetsvoorstel van VVD en D66 over online identiteit en regie op persoonsgegevens (34993 nr 5). Daarbij hebben VVD en D66 een motie (34993 nr 4) ingediend waarin de staatsecretaris wordt verzocht te onderzoeken hoe iedere Nederlander voor contact met de overheid een online identiteit kan krijgen alsmede een “digitale kluis” waarin bepaalde persoonsgegevens zijn opgeslagen. Mensen moeten zelf de regie over die gegevens krijgen en de overheid moet die als unieke bron gebruiken. Op 4 december is deze motie aangenomen.

  • Op 19 november 2018 heeft de staatssecretaris van EZK de geannoteerde agenda (21501-33 nr 725) van de Telecomraad naar de Tweede Kamer gestuurd. Daarop staan o.a. voortgangsrapporta-ges over de Verordening voor oprichting van het Europees kenniscentrum voor industrie, technologie en onderzoek op het gebied van cybersecurity en het netwerk van nationale coördinatiecentra en over de nieuwe e-privacyrichtlijn. Ook zal informatie worden verstrekt over de verordening inzake ENISA en cybersecurity certificering.

  • Op 19 november 2018 heeft de Tweede Kamercommissie van BZK vragen (35047 nr 5) ingediend naar aanleiding van het wetsvoorstel tot wijziging van de Paspoortwet in verband met de invoering van elektronische identificatie met een publiek middel.\

  • Op 12 november 2018 heeft de minister van Defensie de nieuwe Defensie Cyber Strategie (33321 nr 9) aan de Tweede Kamer aangeboden. Naast het digitaal bewaken en beveiligen van Nederland en het digitaal actief zijn in NAVO- en EU-verband zet Defensie een deel van hun cybercapaciteit ook in nauwe samenwerking met de NCTV in voor de bescherming van de Nederlandse vitale infrastructuur omdat er rekening mee moet worden gehouden dat door andere landen schadelijke software wordt geplaatst ter voorbereiding op een evt. militair conflict. Daders van cyberaanvallen zullen vaker publiekelijk worden aangesproken, zoals recent gebeurde bij de hackpoging bij de OPCW.
     
  • op 8 november 2018 is het besluit in het Staatsblad gepubliceerd (Stb 389) waarin het ministerie van EZK wordt aangewezen als CSIRT voor digitale dienstverleners (DSP’s) en waarin wordt vastgesteld dat de Wbni voor AED’s per 9 november 2018 van kracht wordt en voor DSP’s per 1 januari 2019. De Wet (en het Besluit) meldplicht cybersecurity worden per 9 november ingetrokken.
     
  • Op 8 november 2018 is het Besluit beveiliging netwerk- en informatiesystemen (Bbni) in het Staatsblad gepubliceerd (Stb 388). Hierin worden de aanbieders van een essentiële dienst (AED) en andere vitale aanbieders aangewezen die onder de reikwijdte van de Wbni vallen.
     
  • Op 2 november 2018 heeft de staatsecretaris van BZK de kabinetsreactie (26643 nr 578) gegeven op het ongevraagde advies van de Raad van State (26643 nr 557), naar aanleiding van de Agenda Digitale Overheid “NL DIGIbeter”, over de effecten van digitalisering voor de rechtsstatelijke verhoudingen. De reactie gaat per thema in op de zorgen van de RvS. Op enkele punten wordt de zienswijze van de RvS niet onderschreven, zoals de coördinatie van de I-overheid en techniekonafhankelijk wetgeven.
     
  • Op 26 oktober 2018 is de staatssecretaris van EZK ingegaan (32761 nr 126) op de motie waarin o.a. werd verzocht de samenloop en overlap van de e-Privacyverordening en de AVG nader inzichtelijk te maken.