Norea logo

Actuele politieke/beleidsmatige ontwikkelingen rondom cybersecurity

Laatste update: 24 juni 2019 (onder redactie van Rob Bouman)

  • Op 20 juni 2019 heeft de Staatssecretaris van EZK een brief aan de Tweede Kamer gezonden inzake de voortgang Roadmap Digitaal Veilige Hard- en Software. De maatregelen in de roadmap zijn gericht op de beïnvloeding van de markt, zodat het algehele niveau van digitale veiligheid van hard- en software en IoT wordt verhoogd. In dat verband worden ook de initiatieven van de EU met betrekking tot de inmiddels vastgestelde Cybersecurity Act en Cybersecurity-certificering vermeld. De ontwikkeling van Europese certificeringsschema's zal naar verwachting dit jaar starten. 'Nederland zet zich de komende periode in op de voortvarende ontwikkeling en implementatie van cybersecurity-certificeringsschema's, onder meer door Nederlandse initiatieven en expertise te koppelen aan Europese trajecten. Zo neemt Nederland actief deel aan een werkgroep gevormd door de Europese Commissie voor de ontwikkeling van een Europees cloud certificeringsschema. Samen met onder meer Duitsland en Oostenrijk heeft Nederland een aanbeveling opgesteld voor een Europees cloud certificeringsschema met een reeks van beveiligingsvereisten en de wijze waarop daarover verantwoording wordt afgelegd door een ICT-leverancier. Deze aanbeveling bouwt voort op het Nederlandse publiek-private raamwerk Partnering Trust, met partners zoals NOREA, softwareleveranciers en de Belastingdienst'. 
  • Op 12 juni 2019 heeft de staatssecretaris van BZK een Nota van Wijziging van de Paspoortwet (35047 (R2108) nr 9) naar de Tweede Kamer gestuurd. Deze wijziging beoogt het uitgifteproces van Nederlandse identiteitskaarten met het publieke identificatiemiddel in de Caribische landen van het Koninkrijk anders in te richten dan eerder de bedoeling was. Ook voorziet de wijziging in een oplossing voor de overgangsfasefase waarin nog niet alle verstrekkingen vanuit het nieuwe basisregister reisdocumenten plaatsvinden.
  • Op 11 juni 2019 heeft de minister voor Rechtsbescherming een brief (32761 nr 135) naar de Tweede Kamer gezonden waarin hij reageert op 2 moties uit maart 2018 en waarin hij aandacht besteedt aan de eerste ervaringen van de AP met individuele verzoeken en klachten onder de AVG. Naast de reeds eerder toegekende € 7 mln structureel voor de jaren 2019 e.v. heeft hij besloten de AP een extra budget toe te kennen van € 3,4 mln. Samen met de AP zal hij jaarlijks bezien welke capaciteit c.q. budget nodig is.
  • Op 11 juni 2019 hebben de ministers van BZK en Defensie de tweede voortgangsrapportage (34588 nr 83) over de werking van de Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017) naar de Tweede Kamer gestuurd. Hieruit blijkt dat de AIVD en de MIVD nog steeds niet helemaal voldoen aan alle verplichtingen die de wet stelt. Wel is de achterstand bij de invoering van de wet (1-5-2018) deels ingelopen en zijn de meest hoge risico’s teruggebracht naar gemiddelde of beperkte risico’s. Het is daarom nodig om met onverminderde inzet door te gaan op de ingeslagen weg om risico’s op mogelijk toekomstige onrechtmatigheden te beperken.
     
  • Op 7 juni 2019 is de Cybersecurity Act (Verordening (EU) 2019/881) in het Publicatieblad van de EU opgenomen (L151) en is vanaf 27 juni van kracht. Het Europees agentschap ENISA wordt hierin benoemd tot EU agentschap voor cybersecurity en krijgt met deze verordening meer bevoegdheden en verantwoordelijkheden. Ook creëert deze verordening een certificeringskader waarbinnen cybersecurity certificeringsschema’s voor ICT-producten, - diensten en –processen kunnen worden ingesteld. De certificaten zijn nog niet verplicht, maar in 2023 zal de Europese Commissie bezien of dat alsnog nodig is. Het eerste voorstel voor een certificaat heeft betrekking op cloud computing. Het certificaat is bedoeld voor bedrijven die clouddiensten aanbieden, zodat zij kunnen aantonen dat zij de gegevens van klanten voldoende beschermen tegen diefstal en dat kwetsbaarheden snel worden opgelost. Ook NOREA heeft de afgelopen anderhalf jaar meegewerkt aan de totstandkoming van deze aanbeveling aan de Europese Commissie. Voor NOREA is dit zeer relevant omdat het uiteindelijke schema zal bepalen welke rol de RE zal spelen bij Europese cybersecurity certificering.
     
  • Op 5 juni 2019 hebben de ministers van Justitie en Veiligheid en voor Rechtsbescherming de vragen beantwoord (32317 nr 557) over de geannoteerde agenda voor de JBZ-Raad van 6 en 7 juni te Luxemburg. Zij geven aan dat het nieuw op te richten Europees kenniscentrum op het gebied van cybersecurity bedoeld is om de Europese industrie op dat gebied te versterken zodat Europa minder afhankelijk wordt van niet-EU-producten en -diensten (lees: de VS en China). Ook wordt erkend dat er rondom een algemene wettelijke bewaarplicht van telecommunicatiegegevens nog veel onduidelijkheid bestaat. De Europese Commissie is verzocht een studie naar een nieuwe dataretentierichtlijn voor eind 2019 af te ronden.
     
  • Op 4 juni 2019 heeft de staatssecretaris van EZK de vragen beantwoord (21501-33 nr 765) over de geannoteerde agenda van de Telecomraad van 7 juni. Zo is Nederland van mening dat de ePrivacyverordening geen drempels mag bevatten voor (toekomstige) dataretentieregels en dat er, net als in artikel 23 van de AVG, van de verordening mag worden afgeweken als dat nodig is voor de nationale veiligheid.
     
  • Op 29 mei 2019 heeft de minister voor Medische Zorg en Sport gereageerd (27529 nr J) op de brief van de Eerste Kamer over de aanbeveling van de Europese Commissie voor een Europees uitwisselingsformaat voor elektronische patiëntendossiers.
     
  • Op 29 mei 2019 heeft de Tweede Kamer gedebatteerd over het rapport van de Algemene Rekenkamer over Digitale dijkverzwaring: cybersecurity van vitale waterwerken (30821 nr 69). Tijdens het debat zijn 4 moties ingediend (30821 nrs 75, 76, 79 en 80) welke alle op 4 juni 2019 zijn aangenomen. Motie 30821 nr 77 is tijdens het debat overgenomen door de minister en bij dezen afgedaan.
     
  • Op 29 mei 2019 heeft de Tweede Kamer gedebatteerd met de staatssecretaris van BZK, als vervolg op het overleg op 16 mei 2019 over de Digitale Overheid. Bij dit debat zijn 3 moties ingediend (26643 nrs 611, 612 en 613) welke alle drie op 4 juni 2019 zijn aangenomen. Twee moties gaan o.a. over de positionering van het BIT. In de derde motie vraagt de Tweede Kamer aan het eigen presidium om via een tijdelijke onderzoekscommissie zelf meer kennis op te bouwen om zo meer politieke grip te krijgen op het thema “digitalisering”. De motie (26643 nr 610) over toezicht op het gebruik van algoritmes door de overheid is aangehouden omdat de staatssecretaris momenteel, samen met de minister voor Rechtsbescherming, werkt aan een brief over dit complexe vraagstuk die binnenkort naar de Tweede Kamer zal worden gezonden.
     
  • Op 29 mei 2019 heeft de VVD de initiatiefnota “Menselijke grip op algoritmen” (35212 nr 2) aan de Tweede Kamer aangeboden. Algoritmes bieden allerlei voordelen, maar kunnen ook, vaak onbedoeld, de privacy schenden of discrimineren. In de nota wordt voorgesteld om op algoritmebeleid meer samen te werken binnen en buiten Nederland, te werken aan meer transparantie over beslisregels en de daarbij gebruikte gegevens, en bedrijven en overheden jaarlijks te laten rapporteren over de betrouwbaarheid en eerlijkheid van algoritmes met een hoog risicoprofiel. Extrerne partijen, bijv. accountants, zouden met die instellingen moeten meekijken. Tenslotte zou een publieke algoritmetoezichthouder zich specifiek moeten richten op rapportages en kennisdeling op dit vlak. De Tweede Kamer wordt verzocht in te stemmen met het verzoek aan de minister van Rechtsbescherming om, samen met de ministers van BZK en EZK, te werken aan de geschetste deeloplossingen.
     
  • Op 28 mei 2019 hebben de ministers van J&V en voor Rechtsbesherming de geannoteerde agenda (32317 nr 554) van de JBZ-raad op 6 en 7 juni aan de Tweede Kamer aangeboden. De vragen en opmerkingen hierover zijn op 5 juni aan de minister van J&V voorgelegd.
     
  • Op 23 mei 2019 heeft de staatssecretaris van EZK de geannoteerde agenda (21501-33 nr 763)  voor de Telecomraad aan de Tweede Kamer aangeboden. De vragen en opmerkingen hierover zijn op 29 mei aan de staatsecretaris van EZK voorgelegd.
     
  • Op 23 mei 2019 is de Baseline Informatiebeveiliging Overheid (BIO) in de Staatscourant (nr 26526) gepubliceerd. De Ministerraad van 14 december 2018 heeft de BIO vastgesteld. Het Rijk en alle andere bestuurslagen hanteren hiermee nu dezelfde normen.
     
  • De BIO is gebaseerd op de ISO-normen 27001 en 27002. In de BIO zijn drie standaard basisbeveiligingsniveaus (BBN’s) gedefinieerd met bijbehorende beveiligingseisen die moeten worden ingevuld. Per BBN staat beschreven aan welke controls uit de ISO 27002 moet worden voldaan. Soms zijn de controls uitgewerkt in verplichte concrete overheidsmaatregelen. Over de risicoafweging en over de invulling van de controls moet verantwoording worden afgelegd.
     
  • Op 17 mei 2019 heeft de minister van Buitenlandse Zaken het voorstel van de Europese Commissie dat op 8 april 2019 is verschenen (COM (2019) 168) naar de Tweede Kamer gestuurd. Het betreft een Mededeling Vertrouwen kweken in mensgerichte kunstmatige intelligentie. In de mededeling onderbouwt de Commissie het belang van mensgerichte AI en worden richtsnoeren voor betrouwbare AI toegelicht. Ook kondigt de Commissie vervolgstappen aan. De basis voor de richtsnoeren wordt gevormd door 7 essentiële vereisten waaronder een verantwoordingsplicht. Interne en externe auditors kunnen hierdoor bijdragen aan het vertrouwen in AI. De Commissie roept publieke en private stakeholders op om deel te nemen aan de pilotfase die in juni 2019 zal starten en waarin de richtsnoeren in de praktijk zullen worden getest. Het kabinet werkt momenteel aan een nationaal strategisch actieplan AI (SAPAI). De inhoud van de Mededeling zal daarin worden verwerkt.
     
  • Op 17 mei 2019 is de Verordening betreffende beperkende maatregelen tegen cyberaanvallen die de EU of haar lidstaten bedreigen ((EU) 2019/796) in het Publicatieblad van de EU opgenomen (LI 129) en is vanaf 18 mei 2019 van kracht. Alle tegoeden en economische middelen van natuurlijke en rechtspersonen die (pogingen tot) cyberaanvallen uitvoeren met aanzienlijke gevolgen, die een externe bedreiging vormen voor de EU of haar lidstaten, kunnen worden bevroren.
     
  • Op 13 mei 2019 heeft de minister voor Medische Zorg het wetsvoorstel ingetrokken dat verzekeraars zonder voorafgaande toestemming van de patiënt medische dossiers liet inzien om daarmee fraude te kunnen opsporen (33980 nr 31). Het wetsvoorstel was al aangenomen door de Tweede Kamer. Op verzoek van de Eerste Kamer heft de minister met Zorgverzekeraars Nederland overlegd over diverse aanpassingen die via zelfregulering gerealiseerd zouden kunnen worden. ZN heeft hiervoor constructieve voorstellen gedaan, maar de afdwingbaarheid van de naleving is hiermee niet wettelijk geborgd. De minister zal daarom een nieuw wetsvoorstel in procedure brengen.

Update: 20 mei 2019 

  • Op 17 mei 2019 heeft de Raad van de EU besloten dat sancties opgelegd kunnen worden aan mensen of organisaties die betrokken zijn bij pogingen tot cyberattacks die de EU of zijn lidstaten bedreigen. Zoals bijv. het geval was bij de hackpoging bij het OPCW in Den Haag. Wel is het vereist dat alle 28 landen instemmen met de te treffen sanctie.
  • Op 16 mei 2019 heeft de staatsecretaris van BZK overleg gevoerd met de Tweede Kamer over de Digitale Overheid. Daar heeft hij de Kamer toegezegd dat zolang de ICT nog niet op orde is de functie van het BIT zal blijven bestaan. Desondanks hield de Kamer nog zorgen over de capaciteit van het BIT en over de organisatorische ophanging. De staatssecretaris verwacht in het najaar met adviezen te komen.
  • Op 15 mei 2019 heeft de minister van Buitenlandse Zaken de beleidsnotitie “Nederland-China: een nieuwe balans” naar de Tweede Kamer gestuurd. Over de opbouw van het 5G-netwerk zal de Kamer later worden geïnformeerd.
  • Op 15 mei 2019 heeft de Algemene Rekenkamer het Verantwoordingsonderzoek 2018 aan de Tweede Kamer aangeboden. De AR heeft in 2018 geconstateerd dat een groot aantal ministeries hun informatiebeveiliging (opnieuw) niet op orde had. Het aantal onvolkomenheden was toegenomen. Bij 11 organisaties waren de problemen in de informatiebeveiliging dermate groot dat de AR die als onvolkomenheid aanmerkt. Het betreft de ministeries van AZ, BuiZa, BZK, Defensie, Financiën. J&V, I&W, OCW, zijn baten-lastendienst DUO, Rijksdienst Caribisch Nederland en de Tweede Kamer.
  • Op 15 mei 2019 heeft de minister van BZK de Jaarrappportage Bedrijfsvoering Rijk 2018 aan de Tweede Kamer aangeboden (31490 nr 249). Daaruit blijkt onder meer dat nog niet alle ICT-projecten naar verwachting verlopen. Ook is de informatieveiligheid nog niet op het beoogde kwaliteitsniveau. Het Rijk heeft moeite om voldoende goed gekwalificeerd ICT-personeel te vinden.
  • Op 14 mei 2019 heeft de staatssecretaris van BZK de Tweede Kamer geïnformeerd over de uitvoering van het vervangingsplan van de PKI-overheidscertificaten (26643 nr 608). Logius heeft een nieuw plan opgesteld omdat er veel minder certificaten vervangen hoeven te worden dan eerder gedacht. Naar verwachting is de gehele vervanging uiterlijk eind 2019 voltooid.
  • Op 30 april 2019 heeft de staatssecretaris van BZK een brief (25764 nr 119) naar de Tweede Kamer gestuurd waarin hij nader ingaat op de Verordening identiteitskaarten en biometrie waar het Europees Parlement op 4 april formeel mee heeft ingestemd. De chip waarin de vingerafdrukken worden opgeslagen moet nog worden getest. Mogelijk gaan de kosten van een identiteitskaart omhoog, maar alle kosten zijn nog niet in kaart gebracht.
  • Op 26 april 2019 heeft de minister voor Medische Zorg de vragen beantwoord die de Tweede Kamer had gesteld over het persbericht dat medische gegevens zijn verplaatst naar Google Cloud (2457 en 2458). In de brief (31476 nr 25) geeft hij aan dat hij nog moet bezien welke partij hem onafhankelijk kan adviseren over het gebruik van niet-EU-cloud-aanbieders.
  • Op 26 april 2019 heeft de minister van V&J de Tweede Kamer geïnformeerd over de uitkomsten van de beveiligingsonderzoeken, onder meer door de AIVD, naar het vernieuwde C2000-spraaknetwerk, de getroffen maatregelen en het vervolgtraject (25124 nr 96). De opdracht tot vernieuwing was in 2015 gegund aan een combinatie van bedrijven waaronder een Duits bedrijf dat inmiddels dochter is geworden van het Chinese bedrijf Hytera. De minister concludeert dat er op een verantwoorde wijze vervolg gegeven kan worden aan de vernieuwing van C2000.
  • Op 15 april 2019 heeft de minister van V&J de Tweede Kamer een brief (25124 nr 94) gestuurd met de planning voor de vernieuwing en beveiliging van het C2000-spraaknetwerk en de uitrol van 5G.
  • Op 11 april 2019 heeft ECP.NL de Call for Presentations uitgestuurd voor de One Conference die plaatsvindt op 1 en 2 oktober. Voorstellen voor (Engelse) presentaties moeten uiterlijk 6 juni binnen zijn.
  • Op 9 april 2019 heeft de minister voor Medische Zorg zijn tweede brief over elektronische gegevensuitwisseling in de zorg (27529 nr 183) naar de Tweede Kamer gestuurd. Hij schetst hierin de contouren van de naderende wettelijke verplichting en gaat in op de concept-Roadmap.
  • Op 5 april 2019 heeft de minister van J&V de Tweede Kamer geïnformeerd over zijn gesprek met de banken over hun bijdrage aan de bestrijding van internetoplichting. Tevens informeert hij de Kamer over zijn gesprek met het Openbaar Ministerie over de mogelijke terughoudendheid van het OM om op verzoek van de AFM conservatoir beslag te leggen waarmee kan worden voorkomen dat frauduleus vermogen naar het buitenland verdwijnt (29911 nr 237).
  • Op 5 april 2019 heeft de minister van BZK de Werkwijzer voor maatschappelijke kosten-batenanalyse van de digitale overheid (26643 nr 604) ter kennisname aan de Tweede Kamer aangeboden. Het biedt een denkkader, een stappenplan en kengetallen.
  • Op 4 april 2019 heeft het Europees Parlement ingestemd met een verordening waarbij ID-kaarten in de Europese Unie verplicht worden voorzien van twee vingerafdrukken. Voor kinderen tussen zes en twaalf jaar mogen lidstaten zelf bepalen of die ook een dubbele scan moeten afstaan.
  • Op 1 april 2019 heeft de minister voor Rechtsbescherming de Tweede Kamer geïnformeerd over de inventarisatie van de eerste ervaringen met de Uitvoeringswet AVG (32761 nr 132). Er is nog veel voorlichting en uitleg nodig.
  • Op 29 maart 2019 heeft de staatssecretaris van BZK het tweede externe evaluatierapport over het functioneren van het BIT (26643 nr 603) naar de Tweede Kamer gestuurd. De Kamer had eerder gevraagd de uitkomsten van deze evaluatie te betrekken bij het uitvoeren van een breed gesteunde motie die vraagt om het instellen van een Rijksinspectie Digitalisering. Dit onderzoek wordt momenteel uitgevoerd evenals een in de tijd naar voren gehaalde beleidsdoorlichting van het BIT. In afwachting van de uitkomsten van die onderzoeken heeft de staatssecretaris besloten het BIT vooralsnog tot 31 december 2020 te verlengen.
  • Op 29 maart 2019 heeft de staatssecretaris van BZK de jaarlijkse rapportage van het Bureau ICT-toetsing (BIT) (26643 nr 602) naar de Tweede Kamer gestuurd. Naast een overzicht van de in 2018 uitgevoerde activiteiten bevat het ook algemene adviezen voor het verbeteren van de IT-problematiek en een vooruitblik op 2019. Hierbij wordt aandacht gevraagd voor de evt. verlenging van het BIT (het BIT is in juli 2015 voor 5 jaar ingesteld) en de ophanging.
  • Op 28 maart 2019 heeft de minister van BZK de kabinetsreactie (26643 nr 601) op het rapport “Algoritmes en grondrechten” van de Universiteit Utrecht naar de Tweede Kamer gezonden. Hieruit blijkt dat de belangrijkste knelpunten liggen op het terrein van gelijke behandeling en procedurele rechten. De neutraliteit en transparantie van algoritmes dienen daarom te worden vergroot.
  • Op 28 maart 2019 heeft de Algemene Rekenkamer het rapport “Digitale dijkverzwaring: cybersecurity en vitale waterwerken” (30821 nr 69) naar de Tweede Kamer gezonden.
  • Op 27 maart 2019 heeft de staatssecretaris van BZK aan de Tweede Kamer medegedeeld (25764 nr 118) dat het (machinaal leesbare) BSN op de voorzijde van de paspoorten en id-kaarten zal worden vervangen door een QR-code op de achterzijde. Na ontvangst van het advies van de AP hierover zal hij de Kamer informeren over de datum waarop dit zal worden ingevoerd.
  • Op 26 maart 2019 heeft de Europese Commissie de EU-landen gevraagd om voor 30 juni een analyse te maken van mogelijke veiligheidsrisico’s van het 5G-netwerk. Op 1 oktober kan dan de EU-brede risicobeoordeling zijn afgerond en uiterlijk 31 december moet men het eens zijn over maatregelen om de cybersecurityrisico’s aan te pakken. Op basis van de dan in werking getreden Cybersecurity Act kan dan worden gestart met het invoeren van een certificerings-regeling voor 5G-netwerken en -apparatuur.
  • Op 22 maart 2019 heeft de staatssecretaris van BZK de Tweede Kamer geïnformeerd (26643 nr 599) over de vervanging van certificaten die de overheid gebruikt voor digitale dienstverlening. Het betreft zowel de aanleiding als de wijze van de vervanging.
    Op 20 maart 2019 heeft de Europese Commissie haar “Rolling Plan for ICT Standardisation 2019” gepuliceerd. Dit geeft een overzicht van de ruim 30 ICT-standaardisatie-activiteiten die gekoppeld zijn aan EU-beleid. Een van de vier nieuwe hoofdstukken dit jaar betreft Artificial Intelligence.
  • Op 15 maart 2019 heeft de minister van Buitenlandse Zaken een door de Europese Commissie opgestelde aanbeveling voor een Europees uitwisselingsformaat voor elektronische patiëntendossiers (22112 nr 2785) naar de Tweede Kamer gezonden. Nederland staat hier positief  tegenover en zal vooral inzetten op beïnvloeding vooraf bij de uitwerking van het uitwisselingsformaat.
  • Op 15 maart 2019 heeft de staatssecretaris van BZK de Data Agenda Overheid ((26643 nr 597) aan de Tweede Kamer aangeboden. Deze heeft tot doel om de analyse en het combineren van gegevens beter ten goede te laten komen aan beleidsvorming en het oplossen van maatschappelijke vraagstukken. Uitgangspunt is het bevorderen van een transparante overheid die optimaal en verantwoord gebruik maakt van data.
  • Op 13 maart 2019 heeft het Europees Parlement (in eerste lezing) 180 amendementen aangenomen op het voorstel voor een Verordening tot oprichting van het Europees kenniscentrum voor industrie, technologie en onderzoek op het gebied van cybersecurity en het netwerk van nationale coördinatiecentra. Om voor dit netwerk een basis te leggen heeft de Commissie ruim € 63,5 mln geïnvesteerd in 4 pilotprojecten.
  • Op 12 maart 2019 heeft het Europees Parlement de EU Cybersecurity Act aangenomen. Hiermee wordt de rol van ENISA versterkt en er zal een cybersecurity certificeringsschema komen voor ICT producten, diensten en processen. Bijv. die gebruikt worden in auto’s, vliegtuigen, energiecentrales, medische apparatuur en Internet of Things-apparaten. In 2023 zal de Commissie bepalen of de nieuwe vrijwillige schema’s verplicht gesteld moeten worden. Ook sprak het Parlement zijn zorgen uit over de toenemende invloed van China in met name de installatie van 5G-netwerken en verzoekt de Europese Commissie een certificeringsschema voor een veilig 5G-netwerk op te zetten.
  • Op 21 februari 2019 hebben de kamercommissies voor Binnenlandse Zaken en voor Europese Zaken overleg gevoerd met de staatssecretaris van BZK over eID en paspoorten (26643 nr 598). Hij heeft toegezegd de Kamer per brief te informeren over het in Europa gesloten akkoord over biometrie op de identiteitskaarten en over de businesscase eID. Op de discussie over publieke en private inlogmiddelen zal hij ingaan bij zijn nog te geven antwoorden op de gestelde vragen naar aanleiding van de Wet Digitale Overheid.

Update: 13 maart 2019 

  • Op 7 maart 2019 heeft de minister voor Medische Zorg gereageerd (27529 nr 181) op het artikel in Elsevier “Nederlandse ziekenhuizen kwetsbaar voor cyberaanvallen”. Naast alle reeds bekende maatregelen deelt hij hier ook mede dat verschillende zorgkoepels en VWS een Actieplan Verhoging bewustzijn informatiebeveiliging patiëntengegevens hebben opgesteld. Hij zal voor het zomerreces de Kamer informeren over de voortgang ervan.
  • Op 5 maart 2019 heeft de staatssecretaris van EZK het wetsvoorstel Ongewenste zeggenschap telecommunicatie (35153 nr 2 en 3) bij de Tweede Kamer ingediend. Hierdoor kunnen overnames binnen de telecomsector worden verboden of teruggedraaid als de nationale veiligheid of openbare orde in gevaar kunnen komen. Partijen die Nederlandse telecomvoorzieningen willen overnemen worden verplicht dat vooraf te melden aan het ministerie van EZK. Er volgen nog criteria om te kunnen beoordelen wanneer er sprake is van relevante invloed in de telecommunicatiesector. Dit moet investeerders duidelijkheid geven over wanneer zij onder de wet (en de meldplicht) vallen.
  • Op 20 februari 2019 heeft de staatssecretaris van EZK de vragen beantwoord (21501-33 nr 746) die de Tweede Kamer heeft gesteld over de agenda van de  op 1 maart te houden Telecomraad. Hieruit blijkt dat in de week van 11-14 maart de stemming is voorzien in het Europees Parlement over de Cybersecurity Verordening. De Verordening versterkt het mandaat van ENISA en voert ook een EU-kader in voor cybersecurity certificering voor producten, processen en diensten, met name gericht op het verbeteren van de beveiliging van het IoT en de vitale infrastructuur. In de Verordening worden ook audits voorzien. Mede onder impuls van Nederland is de mogelijkheid ogenomen dat certificaten verplicht gesteld kunnen worden. Voor eind 2023 zal de Europese Commissie hiervoor voorstellen doen.
    Op 8 februari 2019 heeft de minister voor Medische Zorg informatie naar de Tweede Kamer gestuurd over de beveiliging van gegevens die gedeeld worden via het Landelijk Schakelpunt (LSP). Hieruit blijkt dat de beheerder van het LSP, VZVZ, aangeeft te voldoen aan de wettelijke beveiligingsverplichtingen. De minister zal NEN vragen of de beveiligingsnorm NEN-7512, die voorschrijft dat de verbindingen versleuteld moeten zijn, nog wel voldoende is of dat aanpassing naar end-to-end encryptie wenselijk is.
  • Per 1 maart 2019 is de Wet Computercriminaliteit III in werking getreden. Hiermee kunnen opsporingsambtenaren heimelijk en op afstand computers binnendringen om daarna verschillende onderzoekshandelingen te verrichten. Ook heling van computergegevens wordt nu als zelfstandig delict strafbaar en oplichting via internet kan strafrechtelijk worden vervolgd.
  • Op 25 februari 2019 heeft de staatssecretaris van BZK de Monitor Open Standaarden 2018 (26643 nr 595) naar de Tweede Kamer gezonden. Daarin wordt jaarlijks het gebruik van open standaarden van de “pas-toe-of-leg-uit”-lijst gemeten. Hij deelt daarbij mee dat in het wetsvoorstel Digitale Overheid een grondslag is opgenomen om bepaalde standaarden verplicht te stellen. Dat zou bijv. kunnen gelden voor informatieveiligheidsstandaarden omdat het maatschappelijk belang daarvan zwaarder kan wegen dan het organisatiebelang.
    Op 19 februari 2019 heeft de minister van I&W gereageerd (35000 XII nr 74) op een eind november 2017 ingediende motie van het CDA over de risico’s van cyberaanvallen op de vitale infrastructuur (met name sluizen, bruggen, etc.) en de te treffen maatregelen.
  • Op 7 februari 2019 heeft de minister voor Rechtsbescherming het WODC-rapport “Slachtoffer-schap van online criminaliteit” alsmede zijn beleidsreactie daarop (28684 nr 550) naar de Tweede Kamer gestuurd. Maatregelen zijn gericht op het verbeteren van de hulpverlening, het voorkomen van herhaald slachtofferschap en het beter bejegenen van slachtoffers door politie en het OM.
    Op 6 februari 2019 hebben de ministers van BZK en Defensie de vragen beantwoord (34588 nr 81) die gesteld zijn over de Voortgangsrapportage CTIVD over de werking van de Wet op de inlichtingen- en veiligheidsdiensten. Zij verwachten de risico’s op onrechtmatig handelen, zeker de hoge, bij de volgende voortgangsrapportage in mei aanzienlijk te hebben beperkt. In het eerste kwartaal zal de MIVD een planning voorleggen aan de CTIVD over verbeteringen in de ICT-infrastructuur.
  • Op 6 februari 2019 heeft de Tweede Kamercommissie voor BZK, na kennisneming van de Nota van Wijziging van het wetsvoorstel Digitale Overheid, nadere schriftelijke vragen en opmerkingen aan de minister voorgelegd (34972 nr 8).
  • Op 5 februari 2019 heeft de European Parliamentary Research Service (EPRS) het document “Digital Transformation” gepubliceerd waarin de voornemens voor de komende jaren uiteen worden gezet, zoals bijv. vastgelegd in het recente voorstel voor het programma “Digitaal Europa” (voor 2021 – 2027). Het Europees Parlement wordt als medewetgever nauw betrokken bij de vormgeving van het beleidskader. Zo zal er o.a. een Europees cybersecurity crisis cooperation framework worden ontwikkeld op basis van de conclusies van de Europese Raad van 26 juni 2018. In de lopende parlementaire termijn zijn o.a. de NIB-richtlijn en de AVG gerealiseerd en is er overeenstemming om te komen tot een vrijwillig EU cybersecurity certification framework voor ICT-producten.
  • Op 5 februari 2019 heeft de minister van BZK de geactualiseerde Strategische I-agenda voor de Rijksdienst (26643 nr 591) naar de Tweede Kamer gestuurd. Hiermee wordt jaarlijks flexibel ingespeeld op nieuwe inzichten en benodigdheden. Er zullen rijksbrede protocollen worden ontwikkeld om de duurzame toegankelijkheid en vindbaarheid te verbeteren. Het begrip proportionele informatiebeveiliging zal verder worden uitgewerkt. De rol en minimale set van taken van de CISO zal, in samenhang met de herijking van de rol van de departementale CIO, rijksbreed worden vastgelegd. Het rubriceringsschema zal worden geëvalueerd en waar mogelijk vereenvoudigd. Begin 2019 zal een overheidsbrede Nationale Data Agenda verschijnen waarin o.a. datakwaliteit en –uitwisseling aan de orde komt.
  • Op 4 februari 2019 heeft de minister van V&J het antwoord van het kabinet (22112 nr 2763) op de consultatie van de Europese Commissie inzake de evaluatie van de uit 2008 daterende EU-richtlijn voor Europese vitale infrastructuur naar de Tweede Kamer gestuurd. Op dit moment heeft Nederland geen Europese vitale infrastructuur aangewezen, maar is momenteel wel samen met andere lidstaten bezig om mogelijke Europese vitale infrastructuur te identificeren.
  • Op 30 januari 2019 heeft de minister voor Medische Zorg overleg gevoerd met de Tweede Kamer over gegevensuitwisseling in de zorg (27529 nr 180). De minister heeft toegezegd voor 1 april een roadmap (een stappenplan behorend bij het nog in te dienen wetsvoorstel elektronische gegevensuitwisseling in de zorg) aan te bieden waarbij hij tevens de Kamer zal informeren over het toezicht door de AP op inzage van dossiers in ziekenhuizen. In het derde kwartaal zal de Kamer worden geïnformeerd over de pilot van het RIVM over hergebruik van declaratiedata. Op 20 februari heeft de minister voor Medische Zorg een kort plenair debat (VAO) gevoerd als vervolg op het overleg van 30 januari. Hierbij zijn 8 moties ingediend. Op 3 maart zijn 5 moties aangenomen. (27529 nr 172, 174, 176, 177 en 178). Hierin wordt de regering o.a. verzocht te onderzoeken of end-to-end encryptie inmiddels toepasbaar is voor de bestaande uitwisselingssystemen in de zorg en te verkennen of deelname van zorgaanbieders aan Z-CERT verplicht kan worden gesteld.
  • Op 29 januari 2019 heeft NOREA via de REZINE haar leden opgeroepen bij de open consultatie van het Europese Cloud Security Certification Framework hun voorkeur uit te spreken voor een jaarlijkse certificering van cloud services op basis van ISAE 3402. De deelnemers aan Zeker-OnLine hebben op 1 februari een soortgelijk verzoek ontvangen.
  • Op 29 januari 2019 heeft de staatssecretaris van BZK de Tweede Kamer geïnformeerd (26643 nr 590) over de aanpak van de implementatie eID. De implementatie zal niet overheidsbreed geschieden, maar stap voor stap, zodat flexibel kan worden bijgestuurd. Er zijn 4 parallelle actielijnen uitgezet, waaronder 2-factor authenticatie en een uitrol van betrouwbaarheids-niveau Substantieel, te beginnen in de zorgsector in het burgerdomein en bij het UWV in het bedrijvendomein. Ook wordt een aantal overbruggingsmaatregelen voorbereid.
  • Op 17 januari 2019 heeft de minister van V&J geantwoord (34372 nr M) op vragen die in de Eerste Kamer zijn gesteld naar aanleiding van zijn reactie op 4 december op eerdere vragen over het Besluit onderzoek in een geautomatiseerd werk. Dit besluit regelt de hackbevoegdheid van de politie in het kader van de Wet Computercriminaliteit III. In zijn antwoord betoogt de minister nogmaals in welke bijzondere gevallen en onder welke omstandigheden de politie van deze bevoegdheid gebruik zal maken.

Update: 14 januari 2019 (onder redactie van Rob Bouman)

  • Op initiatief van het ministerie van EZK organiseert het kabinet van 18 t/m 21 maart 2019 de Conferentie Nederland Digitaal 2019 in het Theater Gooiland in Hilversum en is bedoeld om een impuls te geven aan de Nederlandse Digitaliseringsstrategie. Vanaf medio januari kunt u zich via de website www.nederlanddigitaal.nl aanmelden.

  • Op 21 december 2018 heeft de staatssecretaris van BZK de vragen beantwoord (34972 nr 6) die de Tweede Kamer had gesteld over het Wetsvoorstel digitale overheid. Hij stelt hierin o.a. dat met dit wetsvoorstel de (verplichte) DigiD-audit zal worden omgevormd tot een “toegang tot de digitale overheid audit”, die nauw aansluit bij de huidige systematiek. Ook blijkt uit de antwoorden dat vanaf 2020 alleen burgers met een Android smartphone betrouwbaarheidsniveau substantieel kunnen gebruiken. Eigenaars van een Iphone moeten waarschijnlijk een kaartlezer met een NFC-chip aanschaffen. De beantwoording heeft tevens geleid tot het aanpassen van het wetsvoorstel digitale overheid (34972 nr 7). Deze wijziging is ook op 21 december naar de Tweede Kamer verzonden.

  • Op 21 december 2018 heeft de staatssecretaris van BZK het onderzoek naar het gebruik van algoritmes door de overheid (26643 nr 588) naar de Tweede Kamer gestuurd. In zijn reactie hierop verwijst hij diverse malen naar de brief die de minister voor Rechtsbescherming, mede namens hem, naar de Tweede Kamer had gestuurd  over transparantie van algoritmen in gebruik bij de overheid (26643 nr 570). In die brief staat o.a. vermeld dat twee werkgroepen bezig zijn met het opstellen van richtlijnen, voor het inzichtelijk maken van algoritmen die de overheid gebruikt voor toezichthouders en voor de rechtspraak resp. voor publieksvoorlich-ting over Big Data analyses door de overheid. Daarbij zal ook aandacht worden geschonken aan het uitvoeren van technische audits naar de kwaliteit van algoritmen. In het eerste kwartaal van 2019 zal de Kamer over de resultaten van de werkgroepen worden geïnformeerd.

  • Op 21 december 2018 heeft de staatssecretaris van EZK de Tweede Kamer geïnformeerd over de stand van zaken van de verkenning cybersecurity (26643 nr 586), waartoe is besloten na het aannemen van een motie bij de begrotingsbehandeling 2018 van V&J. Binnen het Topsectorenbeleid is een nieuw thema Veiligheid waar cybersecurity een onderdeel van is. In het eerste kwartaal van 2019 zal de Kamer hierover meer informatie krijgen.

  • Op 20 december 2018 heeft de minister voor Medische Zorg de tweede voortgangsrapportage (27529 nr 167) over de voortgang van de Wet cliëntenrechten bij elektronische verwerking van gegevens in de zorg naar de Tweede Kamer gestuurd. Daarin staan o.a. de uitkomsten van het overleg met de AP vermeld.

  • Op 20 december 2018 heeft de minister voor Medische Zorg zijn reactie gegeven (27529 nr 166) op diverse verzoeken van de Tweede Kamer over diverse onderwerpen rond elektronische gegevensuitwisseling in de zorg. Er komen meer wettelijke verplichtingen, hij zal meer regie nemen op eenheid van taal, o.a. door te bezien of accreditatieorganisaties de kwaliteit van gegevensuitwisseling kunnen meenemen in hun audits. Ook wil hij bevorderen dat sneller meer deelnemers in meer sectoren zich aansluiten bij Z-CERT.

  • Op 20 december 2018 heeft de staatssecretaris van EZK het verslag van de op 4 december gehouden Telecomraad (21501-33 nr 738) naar de Tweede Kamer gestuurd.

  • Op 19 december 2018 heeft de staatssecretaris van Financiën het rapport (32761 nr 128) naar de Tweede Kamer gestuurd van de commissie die heeft geadviseerd over alternatieven voor het niet meer gebruiken van het BSN in het btw-identificatienummer. De commissie stelt de zgn. factuurvariant voor waarbij alle 1,3 mln eenmanszaken een nieuw betekenisloos nummer krijgen dat verplicht vermeld moet worden op facturen en op hun website en dat ook wordt gebruikt bij EU-transacties. Voor interne communicatie blijft het oude nummer (voorlopig nog) in gebruik. Deze oplossing moet voor 1 januari 2020 geïmplementeerd zijn want dan gaat het verbod van de AP in om het BSN (extern) nog te gebruiken.

  • Op 4 december 2018 hebben de ministers van BZK en Defensie de voortgangsrapportage van de CTIVD over de werking van de Wiv (34588 nr 80) (de zgn. aftapwet) naar de Tweede Kamer gestuurd. Hieruit blijkt dat het beleid van de AIVD en de MIVD nog niet goed is ingericht op de nieuwe wet. Dat leidt tot hoge risico’s aan de onderschepping van bulkgegevens van burgers en daarmee op onrechtmatig handelen. De werkprocessen en de technische systemen zijn nog niet goed ingericht op het filteren en beoordelen van de relevantie.

  • Op 4 december 2018 heeft de minister van V&J de vragen beantwoord die de Tweede Kamer had gesteld (34372 nr 29) en de Eerste Kamer had gesteld (34372 nr L) over het Besluit onderzoek in een geautomatiseerd werk. Dit besluit regelt de hackbevoegdheid van de politie in het kader van de Wet Computercriminaliteit III.

  • Op 27 november 2018 heeft de staatssecretaris van EZK de vragen beantwoord (21501-33 nr 733) die de Tweede Kamercommissie voor EZK heeft gesteld over de agenda van de Telecomraad. Ze zegt o.a. toe erop te letten dat er geen overlap ontstaat tussen het nieuw op te richten EU Cybersecurity Competence Centre (EUCCC) en ENISA en faciliteiten die al in de lidstaten bestaan.

  • Op 26 november 2018 heeft de Tweede Kamercommissie van BZK gedebatteerd met de staatssecretaris van BZK over het initiatiefwetsvoorstel van VVD en D66 over online identiteit en regie op persoonsgegevens (34993 nr 5). Daarbij hebben VVD en D66 een motie (34993 nr 4) ingediend waarin de staatsecretaris wordt verzocht te onderzoeken hoe iedere Nederlander voor contact met de overheid een online identiteit kan krijgen alsmede een “digitale kluis” waarin bepaalde persoonsgegevens zijn opgeslagen. Mensen moeten zelf de regie over die gegevens krijgen en de overheid moet die als unieke bron gebruiken. Op 4 december is deze motie aangenomen.

  • Op 19 november 2018 heeft de staatssecretaris van EZK de geannoteerde agenda (21501-33 nr 725) van de Telecomraad naar de Tweede Kamer gestuurd. Daarop staan o.a. voortgangsrapporta-ges over de Verordening voor oprichting van het Europees kenniscentrum voor industrie, technologie en onderzoek op het gebied van cybersecurity en het netwerk van nationale coördinatiecentra en over de nieuwe e-privacyrichtlijn. Ook zal informatie worden verstrekt over de verordening inzake ENISA en cybersecurity certificering.

  • Op 19 november 2018 heeft de Tweede Kamercommissie van BZK vragen (35047 nr 5) ingediend naar aanleiding van het wetsvoorstel tot wijziging van de Paspoortwet in verband met de invoering van elektronische identificatie met een publiek middel.\

  • Op 12 november 2018 heeft de minister van Defensie de nieuwe Defensie Cyber Strategie (33321 nr 9) aan de Tweede Kamer aangeboden. Naast het digitaal bewaken en beveiligen van Nederland en het digitaal actief zijn in NAVO- en EU-verband zet Defensie een deel van hun cybercapaciteit ook in nauwe samenwerking met de NCTV in voor de bescherming van de Nederlandse vitale infrastructuur omdat er rekening mee moet worden gehouden dat door andere landen schadelijke software wordt geplaatst ter voorbereiding op een evt. militair conflict. Daders van cyberaanvallen zullen vaker publiekelijk worden aangesproken, zoals recent gebeurde bij de hackpoging bij de OPCW.
     
  • op 8 november 2018 is het besluit in het Staatsblad gepubliceerd (Stb 389) waarin het ministerie van EZK wordt aangewezen als CSIRT voor digitale dienstverleners (DSP’s) en waarin wordt vastgesteld dat de Wbni voor AED’s per 9 november 2018 van kracht wordt en voor DSP’s per 1 januari 2019. De Wet (en het Besluit) meldplicht cybersecurity worden per 9 november ingetrokken.
     
  • Op 8 november 2018 is het Besluit beveiliging netwerk- en informatiesystemen (Bbni) in het Staatsblad gepubliceerd (Stb 388). Hierin worden de aanbieders van een essentiële dienst (AED) en andere vitale aanbieders aangewezen die onder de reikwijdte van de Wbni vallen.
     
  • Op 2 november 2018 heeft de staatsecretaris van BZK de kabinetsreactie (26643 nr 578) gegeven op het ongevraagde advies van de Raad van State (26643 nr 557), naar aanleiding van de Agenda Digitale Overheid “NL DIGIbeter”, over de effecten van digitalisering voor de rechtsstatelijke verhoudingen. De reactie gaat per thema in op de zorgen van de RvS. Op enkele punten wordt de zienswijze van de RvS niet onderschreven, zoals de coördinatie van de I-overheid en techniekonafhankelijk wetgeven.
     
  • Op 26 oktober 2018 is de staatssecretaris van EZK ingegaan (32761 nr 126) op de motie waarin o.a. werd verzocht de samenloop en overlap van de e-Privacyverordening en de AVG nader inzichtelijk te maken.