Actuele ontwikkelingen op het terrein van cybersecurity en aanpalende domeinen

Jaargang 2022

Zie ook jaargang 2024, 2023, 2021, 2020 en 2019 ev.

(onder redactie van Rob Bouman)

Op 27 december 2022 is de Richtlijn veerkracht kritieke entiteiten (RCE) gepubliceerd (L333/164). Alle Europese landen hebben tot 17 oktober 2024 om de richtlijn in nationale wet- en regelgeving te implementeren. Hiermee moeten de risico’s zoals natuurrampen, terroristische aanvallen of sabotage worden gemitigeerd. Er zijn 11 sectoren aangewezen als kritisch.
Op 27 december 2022 is de Netwerk- en Informatiebeveiligingsrichtlijn (NIS2) gepubliceerd (L333/80). Alle Europese landen hebben tot 17 oktober 2024 om de richtlijn in nationale wet- en regelgeving te implementeren. De richtlijn breidt het aantal essentiële organisaties uit die aan de richtlijn moeten voldoen t.o.v. de richtlijn uit 2016. Daarnaast wordt een categorie belangrijke sectoren gedefinieerd waar naar verwachting 4000 à 5000 organisaties onder gaan vallen. Ook gelden er meer verplichtingen om te reageren op incidenten en gelden er strengere straffen.
Op 22 december 2022 hebben de staatssecretarissen van Financiën een brief (32761 nr 259) naar de Tweede Kamer gestuurd over de voortgang van het wetstraject Waarborgen gegevensverwerking Belastingdienst, Toeslagen en Douane (WGBTD). Naast een stand van zaken wordt in de brief ook vermeld welke acties ter verbetering van de gegevensverwerking door de uitvoeringsdiensten zijn uitgevoerd.
Op 13 december 2022 heeft de Eerste Kamer in een brief (36239 nr B) vragen gesteld aan de Europese Commissie over de Cyber Resilience Act (CRA). De vragen hebben o.a. betrekking op open source software en over de effectieve handhaving van het voorstel.

Update 30 januari 2023:

Op 25 januari 2023 heeft de minister van VWS de vragen beantwoord (35824 nr D) die de Eerste Kamer had gesteld over het wetsvoorstel elektronische gegevensuitwisseling in de zorg (Wegiz). Er zijn o.a. vragen gesteld over de uitwisseling van gegevens met een PGO. De antwoorden geven aan welke waarborgen daarvoor gelden. Inzake warborgen van privacy geldt dat bestaande wetgeving zoals de UAVG onverminderd van kracht blijft.
Op 24 januari 2023 heeft de staatssecretaris van BZK de vragen beantwoord (26643 nr 966) die de Tweede Kamer had gesteld over de Wdo en diverse daarmee samenhangende beleidsbrieven.
Op 24 januari 2023 heeft de staatsecretaris van BZK een brief (26643 nr 965) naar de Tweede Kamer gestuurd met daarin de beleidsreactie van het kabinet op de brief van de AP. In die brief had de AP inzake het cloudbeleid 3 adviezen om privacyrisico’s nadrukkelijker te onderkennen en te mitigeren. Het cloudbeleid doet geen afbreuk aan de AVG. Voor doorgifte van persoonsgegevens aan landen buiten de EU moet altijd een Data Transfer Impact Assessment (DTIA) worden uitgevoerd. Naast het implementatiekader zal ook nog een handreiking worden opgesteld met best practices.
Op 24 januari 2023 heeft de staatssecretaris van BZK het implementatiekader risicoafweging cloudgebruik (26643 nr 964) aan de Tweede Kamer aangeboden. Het kader is een nadere uitwerking van het cloudbeleid.
Op 24 januari 2023 heeft de staatssecretaris van BZK mede namens de minister van EZK de ca. 120 vragen beantwoord (26643 nr 963) die de Tweede Kamer had gesteld over het Rijksbreed cloudbeleid. Veel vragen hebben betrekking op het mitigeren van privacy- en veiligheidsrisico’s en de toegang tot informatie door buitenlandse overheden, waaronder de VS (Cloud Act) en over Europese ontwikkelingen. In één van de antwoorden (op een vraag van Volt) wordt tevens invulling gegeven aan de toezegging om de Kamer een brief te sturen rondom het Trans-Atlantic Privacy Data Framework.
Op 20 januari 2023 heeft de Tweede Kamer vragen gesteld (36270 nr 5) over het wetsvoorstel bevordering digitale weerbaarheid bedrijven. Veel vragen gaan over het DTC en de verhouding tussen DTC en NCSC.
Op 20 januari 2023 heeft de staatssecretaris van BZK de planningsbrief Digitale Zaken 2023 (26643 nr 962) naar de Tweede Kamer gestuurd zodat de Kamer weet welke brieven, rapportages, wetten etc. zij wanneer kan verwachten.
Op 17 januari 2023 heeft de minister van EZK de vragen beantwoord (32761 nr 257) die de Tweede Kamer had gesteld over de voortgang Datavisie Handelsregister.
Op 16 januari 2023 hebben de minister en de staatssecretaris van J&V de agenda van de JBZ-raad van 26 en 27 januari 2023 (32317 nr 803) naar de Tweede Kamer gestuurd.
Op 16 januari 2023 heeft de staatssecretaris van BZK een brief (26643 nr 960) naar de Tweede Kamer gestuurd waarin zij meldt dat de broncode van de huidige versie van de DigiD-app openbaar is gemaakt (https://github.com/MinBZK/woo-besluit-broncode-digid-app). Enkele fragmenten worden niet gepubliceerd om privacy- en veiligheidsredenen.
Op 9 januari 2023 heeft de minister van EZK de Tweede Kamer ingelicht over de voortgang van de Datavisie Handelsregister (32761 nr 256). Het betreft 4 maatregelen die meer privacy bieden aan personen die in het HR staan geregistreerd en 4 maatregelen die de rechtszekerheid en fraudeweerbaarheid van het HR borgen.
Op 27 december 2022 is de EU-Richtlijn voor Netwerk en Informatiesystemen (NIS2) gepubliceerd en zal ingaan op 16 januari 2023. Alle Europese landen hebben tot 17 oktober 2024 om de richtlijn in nationale wet- en regelgeving te implementeren.
Op 23 december 2022 heeft de minister van OCW met een brief (31288 nr 1003) de Tweede Kamer geïnformeerd over de voortgang van de aanpak van kennisveiligheid in hoger onderwijs en wetenschap. De voorbereiding van de in juni aangekondigde externe audit is gestart en de audit bij universiteiten start begin 2023 en bij de hogescholen in het voorjaar.
Op 23 december 2022 hebben de minister en de staatssecretaris van BZK een hernieuwde Rijksbrede strategie voor het beschermen van het vrije en open publieke debat tegen desinformatie (30821 nr 173) aan de Tweede Kamer gepresenteerd. Vrijheid van meningsuiting en persvrijheid blijven voorop staan. Het benoemen van desinformatie of misinformatie en factchecken zijn geen overheidstaken. Als de nationale veiligheid, de volksgezondheid of de maatschappelijke of economische stabiliteit in het geding is, dan kan de overheid wel optreden en desinformatie tegenspreken.
Op 23 december 2022 heeft de minister van J&V het Landelijk Crisisplan Digitaal (LCP-Digitaal) (26643 nr 955) aan de Tweede Kamer aangeboden. Het plan is een cyberspecifieke uitwerking van de generieke crisisaanpak en is een actualisatie van het plan uit 2020. Het plan is ook regionaal akkoord bevonden door de veiligheidsregio’s zodat bij digitale crises als één crisisorganisatie kan worden opgetreden. Het plan zal worden gebruikt bij de voorbereiding van de cyberoefening ISIDOOR IV.
Op 22 december 2022 heeft de Tweede Kamer de Uitvoeringswet verordening terroristische online-inhoud aangenomen (36138 nr A) incl. 3 amendementen (36318 nr 9, 10 en 12) en 1 motie (36138 nr 13). Met deze wet wordt een Autoriteit Online Terroristisch en Kinderpornografisch Materiaal (ATKM) ingesteld die kan optreden tegen aanbieders van hostingdiensten als zij onvoldoende invulling geven aan hun verplichtingen. De ATKM zal bij haar werk gebruik maken van geautomatiseerde monitoringinstrumenten.
Op 22 december 2022 heeft de staatssecretaris van BZK een brief (29362 nr 318) naar de Tweede Kamer gestuurd over de Standen van de Uitvoering. Er zijn 38 uitvoeringsorganisaties onderzocht die direct contact hebben met burgers en bedrijven. Binnen het domein Digitalisering hebben de Rijksdienst voor Identiteitsgegevens en Logius een Staat van de Uitvoering opgesteld.
Op 22 december 2022 heeft de staatssecretaris van BZK een brief (26643 nr 953) naar de Tweede Kamer gestuurd over de inrichting van de algoritmetoezichthouder. De AP gaat algoritmes controleren op transparantie, discriminatie en willekeur. In de beginperiode zal de AP zich vooral richten op signaleren van risico’s en het verzamelen van kennis. In de brief worden ook vervolgstappen aangegeven, o.a. onderzoek naar periodieke audits op algoritme-inzet waardoor de AP rode draden kan analyseren en overkoepelende risico’s en transparantie in kaart kan brengen.
Op 21 december 2022 heeft de staatssecretaris van BZK de Tweede Kamer geïnformeerd (26643 nr 950) over de publicatie van de eerste versie van een publiek algoritmeregister (https://algoritmes.overheid.nl) In de huidige versie, die 109 algoritmes bevat, zijn de gegevens handmatig ingevoerd. maar er wordt toegewerkt naar het automatisch ophalen van informatie uit decentrale algoritmeregisters. In de brief wordt een doorkijk gegeven naar het vervolg.
Op 21 december 2022 hebben de minister van EZK en de staatssecretaris van BZK het verslag van de Telecomraad van 6 december (21501-33 nr 1001) aan de Tweede Kamer aangeboden. De lidstaten hebben unaniem ingestemd met een algemene oriëntatie voor de AI Act. De lidstaten hebben ook unaniem ingestemd met een algemene oriëntatie voor het Raamwerk voor een Europese digitale identiteit (herziening eIDAS-verordening). De rapportages over de voortgang van de Dataverordening en de Cyber Resilience Act zijn besproken.
Op 20 december 2022 heeft de minister van BZK een brief (36263 nr 5) naar de Tweede Kamer gestuurd waarin zij aankondigt een Nota van Wijziging te zullen uitbrengen op het wetsvoorstel cyberoperaties. Tevens kondigt zij aan dat zij in het komend kwartaal een hoofdlijnennotitie zal sturen over de voorgenomen wijziging van de Wiv2017.
Op 20 december 2022 heeft de minister van I&W de Tweede Kamer geïnformeerd (27625 nr 597) over het per 1 januari 2023 beëindigen van het verscherpt toezicht op cybersecurity bij de Stichting Waternet. De ILT ziet geen verhoogd risico meer voor de leveringszekerheid van het drinkwater, maar zal de ontwikkelingen vanuit het reguliere toezicht blijven volgen.
Op 19 december 2022 hebben de bewindslieden van J&V het verslag van de JBZ-raad van 8 en 9 december (32317 nr 801) aan de Tweede Kamer aangeboden. De raadsaanbeveling weerbaarheid kritieke infrastructuur is zonder discussie aangenomen.
Op 16 december 2022 heeft de minister van EZK de vragen beantwoord (35880 nr 18) die de Tweede Kamer had gesteld over de ontwerp-AMvB over het toepassingsbereik sensitieve technologie.
Op 16 december 2022 heeft de minister van Buitenlandse Zaken de Mededeling EU-Beleid Cyber Defensie (22112 nr 3584) naar de Tweede Kamer gestuurd. De mededeling beoogt o.a. samenwerking te bevorderen tussen nationale en Europese defensie-actoren binnen het cyberdomein en tussen militaire en civiele cybernetwerken.
Op 15 december 2022 heeft de minister van VWS een brief (27529 nr 288) naar de Tweede Kamer gestuurd over diverse onderwerpen rond de elektronische gegevensuitwisseling. De wettelijk verplichte NEN-norm 7512 schrijft een meerlaags beveiliging voor. Bij de stemming over de Wegiz werd een amendement aangenomen dat stelt dat gegevens op het volledige traject tussen zender en ontvanger end-to-end versleuteld moeten zijn. De huidige systemen voor digitale gegevensuitwisseling in het zorgveld zijn echter vaak niet ingericht op end-to-end versleuteling. Daarom heeft de minister een onafhankelijke partij opdracht gegeven een verkenning uit te voeren om de evt. gevolgen hiervan in kaart te brengen.
Op 15 december 2022 heeft de minister van VWS een brief (27529 nr 287) naar de Tweede Kamer gestuurd met het afwegingskader publieke sturing op generieke functies. Eerder zijn 6 generieke functies geprioriteerd. De brief bevat per functie de stand van zaken. De verwachting van de minister is dat eind 2023 een vastgestelde NEN-norm voor identificatie en authenticatie gereed kan zijn.
Op 15 december 2022 heeft de commissie DiZa overleg gevoerd (26643 nr 961) met de minister van J&V over de Nederlandse Cybersecuritystrategie (NLCS). De Kamer zal jaarlijks een voortgangsrapportage krijgen. Begin 2023 zal de minister de Kamer informeren over het sturingsmodel op cybersecurity.
Op 13 december 2022 heeft de staatssecretaris van BZK een brief (29362 nr 317) naar de Tweede Kamer gestuurd over het Werken aan de één Overheid beleving. De burger moet in 2024 op 1 plek alle praktische informatie over publieke producten en diensten in samenhang kunnen vinden. Hiertoe worden verschillende initiatieven ontwikkeld. Op Rijksoverheid.nl kunnen burgers nu al voor 30 levensgebeurtenissen een persoonlijk overzicht samenstellen, dat aantal moet eind 2023 uitgebreid zijn naar 40. Ook wordt er gewerkt aan een samenwerkingsstructuur die helpt om ketenoverstijgend informatie in samenhang aan te kunnen bieden, ongeacht het gebruikte kanaal, via internet, telefoon of aan de balie.
Op 10 december 2022 heeft de minister van EZK het wetsvoorstel bevordering digitale weerbaarheid bedrijven (36270 nrs 1-4) naar de Tweede Kamer gestuurd. Het beoogt de taken en bevoegdheden van de minister van EZK op het terrein van de digitale weerbaarheid van het niet-vitale bedrijfsleven vast te leggen. Ook voorziet het in de voorwaarden waaronder vertrouwelijke gegevens die bij het DTC berusten, verstrekt mogen worden aan derden. Ten slotte regelt het voorstel een rechtstreekse informatie-uitwisseling tussen het NCSC en het CSIRT-DSP met de minister van EZK.
Op 7 december 2022 hebben de ministers van J&V en voor Rechtsbescherming de vragen beantwoord (32317 nr 799) die de Tweede Kamer had gesteld over de agenda van de JBZ-raad op 8 en 9 december 2022.
Op 6 december 2022 heeft de Eerste Kamer vragen gesteld (35824 nr C) over het wetsvoorstel elektronische gegevensuitwisseling in de zorg.
Op 6 december 2022 heeft de minister voor Klimaat en Energie diverse aanbieders van diensten in de gas- en oliesector per 1 januari 2023 aangewezen als AED in het kader van de Wbni. Het vitale proces Elektriciteit wordt hernoemd zodat duidelijk is dat ook windparken op zee van vitaal belang zijn.
Op 5 december 2022 heeft de minister voor Rechtsbescherming een brief (32761 nr 253) naar de Tweede Kamer gestuurd waarin hij ingaat op de vraag over het gebruik bij de politie van gezichtsherkenning in het debat van 2 november 2022.
Op 2 december 2022 heeft de minister voor Rechtsbescherming de Verzamelwet gegevensbescherming (36264 nrs 1-4) bij de Tweede Kamer ingediend. Het betreft 23 wijzigingen in de UAVG en wijzigingen in 11 andere wetten in bepalingen over de verwerking van persoonsgegevens. Zo wordt in art. 23 een mogelijkheid opgenomen voor accountants om bijzondere persoonsgegevens te mogen verwerken voor wettelijk verplichte accountantsopdrachten. Dit moet wel gepseudonimiseerd gebeuren. Maar hierdoor moet ook in de Wet op het accountantsberoep en Wet toezicht accountantorganisaties een wijziging worden opgenomen.
Op 2 december 2022 hebben de ministers van BZK en Defensie het tijdelijke wetsvoorstel cyberoperaties (36263 nrs 1-4) naar de Tweede Kamer gestuurd. De AIVD en de MIVD kunnen hiermee bevoegdheden sneller en effectiever inzetten bij onderzoeken naar landen met een offensief cyberprogramma. Ook verschuift bij een aantal bevoegdheden het toezicht van voorafgaand naar tijdens of achteraf.
Op 2 december 2022 heeft de staatssecretaris van BZK het GDI-Programmeringsplan 2023 (26643 nr 945) aan de Tweede Kamer aangeboden. De Generieke Digitale Infrastructuur (GDI) is de verzameling van voorzieningen, standaarden en afspraken(stelsels) die door alle publieke dienstverleners worden gebruikt voor hun digitale dienstverlening aan burgers en ondernemers.
Op 2 december 2022 heeft de staatssecretaris van BZK een brief (21501-33 nr 990) naar de Tweede Kamer gestuurd waarin zij aangeeft motie 986 niet uit voeren omdat NL zich dan in het vervolg van de onderhandelingen met het Europees Parlement buiten spel zet.
Op 1 december 2022 heeft de minister van J&V een brief (32761 nr 251) naar de Tweede Kamer gestuurd waarin zij uitlegt waarom wetshandhaving uitgesloten is van de registratieplicht van hoog risico AI toepassingen, bijv. omdat dan ook criminelen hun communicatie of strategie kunnen wijzigen waardoor lopende onderzoeken worden gedwarsboomd. Motie 985 vroeg om die uitzondering op te heffen.
Op 30 november 2022 heeft de commissie DiZa gedebatteerd (21501-33 nr 997) met de minister van EZK en de staatssecretaris van BZK over de Telecomraad van 6 december. Uiteindelijk zijn er 5 moties (21501-33 nrs 984-988) ingediend Op 1 december 2022 is 1 motie (985) aangehouden en zijn 3 moties aangenomen, waaronder nr 986, die de regering verzoekt niet in te stemmen met het raamwerk voor een Europese identiteit omdat de Tweede Kamer nog steeds zorgen heeft over de opslag van data en betrouwbare technologieën.
Op 29 november 2022 heeft de staatssecretaris van BZK een brief (30821 nr 169) naar de Tweede Kamer gestuurd met daarin de kabinetsreactie op de hernieuwde praktijkcode tegen desinformatie van de Europese Commissie. Door het zelfregulerende karakter van de code hangt het daadwerkelijke succes af van de uitvoering. Pas bij de inwerkingtreding van de CSA eind 2024 is de code indirect verplicht. Veel van de NL inzet is terug te zien in de verstrekte code. De nieuwe code telt 34 ondertekenaars, ten opzichte van 16 in 2018, maar partijen als Signal en Telegram ontbreken, evenals aanbieders van podcasts zoals Spotify en Apple Music.
Op 29 november 2022 heeft de staatssecrearis van J&V de Tweede Kamer geïnformeerd (25764 nr 141) over de deelname van NL aan een Europese pilot met een digitaal reisdocument. Het is de bedoeling dat de reiziger zelf een Digital Travel Credential (DTC) creëert door de chip van zijn paspoort uit te lezen middels een app op zijn smartphone en een selfie te maken. Die wordt dan middels gezichtsherkenning vergeleken met de foto uit de paspoortchip. Dit moet de doorstroom aan de grens bevorderen. Het gezichtsportret wordt na matching verwijderd.
Op 28 november 2022 hebben de bewindslieden van J&V de agenda van de JBZ-raad op 8 en 9 december 2022 (32317 nr 790) naar de Tweede Kamer gestuurd. Naar verwachting zal de laatste stand van zaken van de onderhandelingen over de Raadsaanbeveling weerbaarheid kritieke infrastructuur worden gegeven. Lidstaten zijn eensgezind, gelet op de situatie in Oekraïne en de explosies bij Nordstream.
Op 28 november 2022 heeft de minister van J&V een brief (22112 nr 3556) naar de Tweede Kamer gestuurd met het voorstel van de Europese Commissie voor een Raadsaanbeveling betreffende een gecoördineerde EU-aanpak voor het verhogen van de weerbaarheid van vitale infrastructuur. Het voorstel bevat beperkt nieuwe elementen en betreft vooral een verdieping van reeds ingezette trajecten. Zo wordt lidstaten o.a. aanbevolen satellietcapaciteit te ontwikkelen om vitale infrastructuur te monitoren en dreigingen tijdig te signaleren en wordt op EU-niveau aanbevolen om o.a. gezamenlijke principes te ontwerpen voor het uitvoeren van stresstesten voor vitale infrastructuur, te beginnen met de energiesector en een onderzoek uit te voeren naar de onderzeese kabelinfrastructuur.
Op 28 november 2022 heeft de minister van EZK de vragen beantwoord (22112 nr 3555) die de Tweede Kamer had gesteld over de Cyber Resilience Act (CRA). Ook het kabinet zelf heeft de Commissie nog op veel punten om verduidelijking gevraagd en beraadt zich nog over haar positie. De minister is daarnaast in overleg met stakeholders en andere lidstaten.
Op 25 november 2022 heeft de minister van EZK de ontwerp-AMvB tot het bepalen van het toepassingsbereik sensitieve technologieën (35880 nr 17) naar de Tweede Kamer gestuurd. Hierin wordt in het kader van de Wet Veiligheidstoets investeringen, fusies en overnames (Vifo) bepaald waarvoor die toets moet gelden. Op hoofdlijnen is de lijst gelijk aan de exportcontrolelijsten. Daarnaast worden o.a. quantum en fotonica toegevoegd vanwege de impact op de nationale veiligheid.
Op 25 november 2022 heeft de staatssecretaris van BZK de vragen beantwoord (26643 nr 944) die de Tweede Kamer had gesteld over de voortgangsrapportage Europese Digitale Identiteit. De meest recente compromistekst waarbij de Nederlandse inzet onvoldoende is verwerkt betreft de registratie van beoogd gebruik van vertrouwende partijen (dienstverleners die met de wallet werken). Zij worden nu wel verplicht de naam en, indien mogelijk, registratienummer te registreren. NL had graag gezien dat dienstverleners verplicht waren ook te registreren welke gegevens ze uit de wallet willen gebruiken en waarom, om zo betere mogelijkheden te hebben voor toezicht op overvraging, overidentificatie en misbruik. In de tekst is nu opgenomen dat lidstaten hiervoor zelf een regeling kunnen treffen.
Op 23 november 2022 heeft de minister van EZK de agenda van de Telecomraad van 6 december 2022 (21501-33 nr 982) naar de Tweede Kamer gestuurd. De brief bevat ook een verdere toelichting op de AI-verordening. Tijdens de Telecomraad ligt een algemene oriëntatie voor een raamwerk voor een Europese Digitale Identiteit voor (herziening van de eIDAS-verordening). De compromistekst bevat voldoende mogelijkheden om te werken met alternatieven voor één Europees BSN. Er is ook een compromis voor de balans tussen een hoge mate van zekerheid over iemands identiteit en het breed en eenvoudig gebruik van de wallet. NL heeft een groot deel van de inzet binnengehaald en is voornemens in te stemmen.
Op 21 november 2022 heeft de minister van VWS een brief (35824 nr B) naar de Eerste Kamer gestuurd over de juridische impactanalyse van de European Health Data Space op het wetsvoorstel elektronische gegevensuitwisseling in de zorg. De analyse geeft geen directe aanleiding het wetsvoorstel te wijzigen. Wel zijn er duidelijke aandachtspunten die in het vervolgtraject meegenomen zullen worden. Ook is er een duidelijk verschil in de wijze van toelating van EPD-systemen op de Europese markt en in het bijzonder de toets op interoperabiliteit. De Wegiz gaat uit van certificerende instellingen die vooraf toetsen op verplichte normen. Het EHDS-voorstel gaat uit van zelfbeoordeling door de fabrikant met toezicht achteraf door een markttoezichthouder. De onderhandelingen over EHDS lopen nog, de inwerkingtreding kan nog lang duren en de eerste AMvB’s voor Wegiz zijn bijna gereed. De minister gaat wel onderzoeken hoe elementen van het certificeringsstelsel hergebruikt kunnen worden en desinvesteringen door het veld tot een minimum kunnen worden beperkt.
Op 18 november 2022 heeft de staatssecretaris van BZK een brief (32761 nr 252) naar de Tweede Kamer gestuurd over de resultaten van de uitgevoerde DPIA en HRIA op het gebruik van Facebookpagina’s door de overheid. In de DPIA zijn 7 hoge risico’s gevonden en 1 laag risico. De staatssecretaris gaat in gesprek met Meta om te zien of alle risico’s kunnen worden weggenomen. Vanwege het gebrek aan inzicht in de algoritmes en de gebruikte data was het bij de HRIA vaak niet mogelijk een harde uitspraak te doen over de impact op mensenrechten. De staatssecretaris zal met Facebook manieren bespreken om het meten van impact wel mogelijk te maken. Als de risico’s niet worden weggenomen rest haar geen andere mogelijkheid dan te stoppen met het gebruik van Facebook door de overheid. Momenteel wordt onderzoek gedaan naar de gevolgen daarvan en naar mogelijke alternatieven.
Op 18 november 2022 heeft de minister van EZK de Strategie Digitale Economie (26643 nr 941) aan de Tweede Kamer aangeboden. De strategie is uitgewerkt rond 5 pijlers waaronder behouden en versterken van een veilige, betrouwbare en hoogwaardige digitale infrastructuur. Nu al heeft 91% van de adressen in Nederland toegang tot snel internet (>1 Gigabit/sec), dat moet in 2030 100% zijn. Ook het mkb moet beter gebruik maken van digtalisering. Dat moet in 2030 verhoogd zijn van 75% naar 95%. Daarnaast moet het mkb in 2030 voor 75% gebruik maken van geavanceerde digitale technieken, zoals cloud, AI en big data.
Op 18 november 2022 heeft de minister van Buitenlandse Zaken de EU-richtlijn betreffende aanpassing civielrechtelijke aansprakelijkheidsregels voor kunstmatige intelligentie (22112 nr 3549) naar de Tweede Kamer gestuurd. Naast de (herziene) richtlijn productaansprakelijkheid, waar AI-systemen en op AI gebaseerde producten onder gaan vallen, gaat deze richtlijn over schade veroorzaakt door de output van AI-systemen (onrechtmatige daad). De AI-verordening legt eisen op aan de aanbieders van AI-systemen. In geval van hoog-risico AI-systemen kan degene die schade heeft die informatie opvragen. In andere gevallen waar AI-systemen zijn gebruikt biedt het voorstel een verlichting van de bewijslast voor de benadeelde.
Op 16 november 2022 heeft de EU de Digital Services Act (DSA) in werking gezet. Bedrijven mogen geen gevoelige gegevens zoals religie, seksuele voorkeur en etniciteit gebruiken om gepersonaliseerde advertenties te tonen. Overheden kunnen aangeven dat online platforms illegale content of desinformatie moeten verwijderen. Bedrijven in de techsector moeten voor 17 februari 2023 doorgeven hoeveel mensen hun platform gebruiken. Op 17 november 2024 is de DSA volledig van kracht. Dan moet ook iedere lidstaat een coördinator voor digitale diensten aangewezen hebben die toezicht houdt op de naleving.

Update 14 november 2022
Op 14 november 2022 heeft de commissie DiZa overleg gevoerd met de staatssecretaris van BZK en de ministers van EZK en J&V (36200 VII nr 116) over de begrotingsdelen van hun departementen die zien op digitalisering. Daarbij zijn uiteindelijk 22 moties ingediend (36200-VII nrs 59 – 80). Op 29 november 2022 zijn 15 moties aangenomen, 4 verworpen, 2 aangehouden en 1 ingetrokken.
Op 9 november 2022 heeft de minister van J&V de vragen beantwoord (36171 nr 6) die de Tweede Kamer had gesteld over het wetsvoorstel strafbaarstelling gebruik persoonsgegevens voor intimiderende doeleinden (doxing).
Op 8 november 2022 heeft de minister van EZK haar appreciatie van het rapport Beter beslissen over datacentra van het Rathenau-instituut (26643 nr 939) naar de Tweede Kamer gestuurd. Zij geeft op alle 5 aanbevelingen een reactie.
Op 8 november 2022 heeft de minister van EZK de vragen beantwoord (36127 nr D) die de Eerste Kamer had gesteld over de Dataverordening.
Op 8 november 2022 heeft de staatssecretaris van BZK de rijksbrede beschouwing bij de meerjarige departementale informatieplannen (26643 nr 932) naar de Tweede Kamer gestuurd. Het bevat een beschrijving van de rode draden in de plannen aan de hand van rijksbrede prioriteiten. Er zijn nog stappen nodig om tot aanscherping en uniformering te komen om meer inzicht te kunnen geven in planning en financiering van digitalisering.
Op 4 november 2022 heeft de staatssecretaris van BZK de werkagenda Waardegedreven Digitaliseren (26643 nr 940) naar de Tweede Kamer gestuurd. Het betreft de verdere uitwerking en specificatie van de in maart gepresenteerde hoofdlijnen van het digitaliseringsbeleid. In de agenda wordt ingezet op digitale vaardigheden, de id-wallet, het bestrijden van desinformatie en het reguleren van algoritmes. Daarnaast zijn er in de agenda vijf concrete doelen gesteld. Onder het 2e doel (iedereen kan de digitale wereld vertrouwen) valt o.a. het versterken van cybersecurity. Onder het 3e doel (iedereen heeft regie op het digitale leven) valt o.a. het reguleren van algoritmes. De werkagenda zal jaarlijks worden geactualiseerd.
Op 4 november 2022 heeft de minister van J&V een brief (26643 nr 930) naar de Tweede Kamer gestuurd over de voortgang van de integrale aanpak van cybercrime en de opsporing in het digitale domein. De activiteiten zijn een nadere detaillering van onderdelen van de NLCS. Apart aandacht wordt besteed aan de aanpak van ransomware. In de bijlage bij de brief is een overzicht van maatregelen opgenomen.
Op 3 november 2022 heeft de minister van EZK gerapporteerd (35153 nr 29) over de toepassing van de Wet ongewenste zeggenschap telecommunicatie. De minister heeft in de rapportageperiode van 1 oktober 2021 tot 1 oktober 2022 geen gebruik gemaakt van de verbodsbevoegdheid.
Op 2 november 2022 heeft de commissie Digitale Zaken gedebatteerd met de staatssecretaris van BZK en de minister voor Rechtsbescherming over digitale grondrechten en bescherming persoonsgegevens (32761 nr 249). De staatssecretaris meldt dat in de binnenkort te verschijnen werkagenda verder zal worden ingegaan op de digitale grondrechten en plichten. De minister meldt dat de Verzamelwet gegevensbescherming nog deze maand naar de Kamer zal worden gestuurd. Ook zal hij de Kamer binnen twee weken informeren over de proeftuin gezichtsherkenning bij de politie.
Op 31 oktober 2022 heeft de staatssecretaris van Defensie de vragen beantwoord (35728 nr 8) die de Tweede Kamer had gesteld over de basis- en voortgangsrapportage van het GrIT.
Op 27 oktober 2022 hebben de bewindslieden van J&V het verslag van de JBZ-raad van 13 en 14 oktober (32317 nr 785) aan de Tweede Kamer aangeboden. De Commissie heeft de AI-aansprakelijkheidsrichtlijn gepresenteerd. De richtlijn beschermt zowel bedrijven als particulieren. In geval van schade moet de verantwoordelijke de gevolgen ondergaan.
Op 21 oktober 2022 heeft de minister van Buitenlandse Zaken de Verordening Cyber Resilience Act (CRA 22112 nr 3552) naar de Tweede Kamer gezonden. Het doel van de verordening is het creëren van cybersecurityvoorwaarden waar producten met digitale elementen (behalve medische apparaten en voertuigen) aan moeten (blijven) voldoen en het zorgen voor transparantie over de mate van cybersecurity ten behoeve van gebruikers. Producten moeten een passend niveau van cybersecurity garanderen afhankelijk van het risico dat voortvloeit uit het gebruik. De conformiteitsprocedure moet voor bepaalde kritieke producten door een onafhankelijke derde partij worden uitgevoerd. Het voorstel is grotendeels in lijn met het door Nederland opgestelde non-paper uit december 2021. Nederland steunt het voorstel in de basis, maar op een aantal onderdelen is nog onduidelijkheid waarover nadere uitleg aan de Commissie zal worden gevraagd. Overigens heeft Nederland samen met Denemarken en Duitsland een nieuw non-paper opgesteld.
Op 21 oktober 2022 heeft de regering het wetsvoorstel Plan van aanpak witwassen (36228 nr 1 - 5) aan de Tweede Kamer gezonden. Banken krijgen de mogelijkheid om transacties met elkaar te delen, mits deze plaatsvindt in een gezamenlijke voorziening voor transactiemonitoring waarvoor aanvullende voorwaarden gelden om de bescherming van persoonsgegevens te borgen. Deelnemende banken moeten een jaar na ingebruikname van die voorziening, en vervolgens elk jaar, een onafhankelijke audit laten uitvoeren op de werking van de gezamenlijke voorziening en op de naleving van de regels. Voor zover het de naleving van regels rond de bescherming van persoonsgegevens betreft, moet een afschrift daarvan worden gezonden naar de AP.
Op 18 oktober 2022 heeft de minister van J&V de vragen beantwoord (29628 nr 1126) die de Tweede Kamer had gesteld over het tapsysteem van de politie. Het nieuwe systeem wordt stapsgewijs in gebruik genomen en zal in 2023 worden voltooid. Beide systemen draaien in een hoogbeveiligde omgeving en die wordt continu bewaakt en gemonitord op beschikbaarheid en werking.
Op 18 oktober 2022 heeft de staatssecretaris van BZK een brief (26643 nr 928) naar de Tweede Kamer gestuurd over de stand van zaken van de nieuwe ICT-infrastructuur bij Logius. Deze zal in het 4e kwartaal van dit jaar in gebruik worden genomen waarna de migratie van digitale diensten in 2024 zal worden afgerond. De continuïteit van de dienstverlening aan burgers en bedrijven komt hierdoor niet in gevaar.
Op 14 oktober 2022 heeft de minister van Buitenlandse Zaken de Aanbeveling onderhandelingsmandaat voor de Europese Commissie over het AI-verdrag van de Raad van Europa (22112 nr 3529) naar de Tweede Kamer gestuurd. Het beoogde AI-verdrag van de RvE, dat stelt dat AI-systemen de mensenrechten, de democratie en de rechtsstaat dienen te beschermen, overlapt grotendeels met de voorgestelde AI-verordening van de EU. NL kan instemmen met het mandaat voor zover het die overlap en de exclusieve bevoegdheid van de EU betreft. Als het gaat over nationale veiligheid en rechtshandhaving wil NL dat de lidstaten zelf aan de onderhandelingstafel zitten.
Op 10 oktober 2022 heeft de staatssecretaris van BZK het concept van de ministeriële regeling (MR) nadere eisen identificatiemiddelen, authenticatiediensten en machtigingsdiensten Wdo (35868 nr 17) aan de Tweede Kamer toegezonden. Er zijn al 2 amvb’s met kernbepalingen over gegevensbescherming, betrouwbaarheid van authenticaties en de besluitvormingsprocedure. Deze MR bevat aanvullende, meer gedetailleerde eisen waaraan publieke en private inlogmiddelen moeten voldoen opdat burgers en bedrijven deze kunnen gebruiken om veilig en betrouwbaar in te loggen bij de overheid.
Op 10 oktober 2022 heeft de staatssecretaris van BZK de vragen beantwoord (34972 nr W) die de Eerste Kamer had gesteld over het wetsvoorstel en de novelle van de Wdo, die voor een groot deel betrekking hadden op het begrip open source.
Op 10 oktober 2022 heeft de minister van J&V de Nederlandse Cybersecuritystrategie 2022-2028 (NLCS) (26643 nr 925) aan de Tweede Kamer aangeboden, waarmee het tevens reageert op het CSBN2022. De brief bevat ook de kabinetsreactie op het OVV-rapport over de beveiligingslekken door software van Citrix. De strategie omvat doelen en acties langs 4 pijlers waaronder 12 doelen worden geformuleerd. Het actieplan 2022-2023, dat jaarlijks wordt geactualiseerd, bevat concrete acties voor een digitaal veilige samenleving. Vooral onder pijler 1 (digitale weerbaarheid), doel 2 staan diverse voor NOREA van belang zijnde acties genoemd. Zoals het uitvoeren van pilots waarbinnen de toegevoegde waarde van een IT-verslag en een IT-auditverklaring binnen de overheid worden onderzocht. De verkenning sluit aan op pilots uit het bedrijfsleven. Ook de doorontwikkeling van ENSIA en het gebruik van het volwassenheidsmodel van de NBA worden genoemd.
Op 7 oktober 2022 heeft de minister van EZK, mede namens 5 andere bewindslieden, een brief (26643 nr 943) naar de Tweede Kamer gestuurd met de kabinetsreactie op het WRR-rapport Opgave AI. De nieuwe systeemtechnologie uit 2021. Het rapport bevat 5 opgaven voor de overheid en heeft voor elke opgave 2 aanbevelingen gedaan. In de bijlage bij de brief is per aanbeveling aangegeven wat er al aan relevant beleid op het gebied van AI is en waar het kabinet van plan is om meer, minder of dingen anders te doen.
Op 7 oktober 2022 heeft de staatssecretaris van BZK een brief (26643 nr 924) naar de Tweede Kamer gestuurd over de publieke controle van algoritmen. Een verantwoorde inzet van algoritmen wil zij bereiken door naast de komende AI-verordening waar nodig te komen met aanvullende wetgeving, een duidelijk implementatiekader voor alle overheidsorganisaties en het verplicht stellen van een algoritmeregister, in ieder geval voor alle hoog risico algoritmen. De Autoriteit Persoonsgegevens zal tevens gaan fungeren als algoritmetoezichthouder.
Op 7 oktober 2022 heeft de staatssecretaris van BZK de 32 vragen beantwoord (26643 nr 923) die de Tweede Kamer had gesteld over het rapport Algoritmes getoetst van de Algemene Rekenkamer.
Op 7 oktober 2022 heeft de staatssecretaris van BZK de kabinetsreactie op het rapport van het Rathenau Instituut over Algoritmes afwegen (26643 nr 922) naar de Tweede Kamer gestuurd. Het rapport geeft inzicht in hoeverre overheden gereed zijn om mensenrechten te borgen bij de inzet van algoritmen. Alle aanbevelingen worden overgenomen en verder uitgewerkt.
Op 5 oktober 2022 heeft de commissie Digitale Zaken overleg gevoerd (26643 nr 929) met de staatssecretaris van BZK over de digitaliserende overheid. Zoals eerder toegezegd zal elk nieuw beleidsinitiatief worden voorzien van een informatieparagraaf. De Tweede Kamer zal nog dit kwartaal op de hoogte worden gesteld over hoe die kaders eruit komen te zien.
Op 28 september 2022 heeft de Algemene Rekenkamer een brief (36200 VII nr 4) naar de Tweede Kamer gestuurd waarin zij enkele aandachtspunten bij de begroting 2023 van BZK geeft. Zo vraagt zij meer aandacht voor verdere verbetering van de coördinerende verantwoordelijkheid van BZK op het gebied van IT-beheer. En ook vraagt de AR extra aandacht voor noodzakelijke verbeteringen in het gebruik van algoritmen bij de overheid.
Op 26 september 2022 heeft de commissie Digitale Zaken overleg gevoerd (36084 nr 11) met de minister van J&V over het voorstel om de Wbni te wijzigen zodat het NCSC dreigings- en incidentinformatie ook aan niet-vitale aanbieders en aan OKTT-organisaties kan verstrekken. Daarbij zijn 2 moties (36084 nr 9 en 10) ingediend. Zowel het wetsvoorstel als beide moties zijn op 4 oktober aangenomen.

Update 10 oktober 2022

Op 7 oktober 2022 heeft de staatssecretaris van BZK de Tweede Kamer geïnformeerd (26643 nr 921) over de hack op de systemen van ID-ware, een leverancier die Rijkspassen uitgeeft. De brief gaat in op de gevolgen voor gebruikers van de Rijkspas, en de genomen maatregelen en vervolgstappen.

Op 5 oktober 2022 heeft de minister van J&V de vragen beantwoord (36138 nr 7) die de Tweede Kamer had gesteld over de Uitvoeringswet verordening terroristische online-inhoud.
Op 4 oktober 2022 heeft de minister van J&V de geannoteerde agenda van de JBZ-raad van 13 en 14 oktober (32317 nr 772) aan de Tweede Kamer aangeboden. Naar verwachting zal daar o.a. de AI-aansprakelijkheidsrichtlijn worden gepresenteerd.
Op 29 september 2022 heeft de staatssecretaris van Defensie de basisrapportage en de eerste voortgangsrapportage over het programma Grensverleggende IT (GrIT) (35728 nr 7) aan de Tweede Kamer aangeboden. Het project blijft binnen de gestelde kaders. Wel liggen er uitdagingen o.a. op het gebied van de arbeidsmarkt en het wereldwijde chipstekort.
Op 29 september 2022 heeft de staatssecretaris van BZK de Tweede Kamer geïnformeerd (26643 nr 917) over de stand van zaken met betrekking tot een generiek kader voor vitale digitale overheidsvoorzieningen. Hoewel het aantal vitale processen bij de overheid te beperkt is voor een generieke set eisen wil zij wel komen tot een wettelijke basis voor informatieveiligheid voor het openbaar bestuur en een stelsel van toezicht en handhaving daarop. Daarbij zal de verantwoording aan het eigen controlerend orgaan een goede basis moeten vormen voor de interbestuurlijke verantwoording. Zij wil dat traject laten samenlopen met het implementeren van de NIB2-richtlijn voor de overheid.
Op 27 september 2022 heeft de Tweede Kamer plenair gedebatteerd met de minister van VRO als vervolg op het commissiedebat van 23 juni. Daarbij zijn 5 moties ingediend.(26643 nrs 909 – 913). De minister heeft de motie over het toevoegen van criteria aan het huidige toetsingskader voor de bouw van datacenters (nr 910) overgenomen. Over de andere moties wordt 4 oktober gestemd. Daarbij zijn de moties over het gebruik van (drink-)water en energie door (hyperscale) datacenters aangenomen.
Op 27 september 2022 heeft de Tweede Kamer ingestemd met het wetsvoorstel elektronische gegevensuitwisseling in de zorg (Wegiz) (35824). Daarbij is o.a. het amendement (35824 nr 22) aangenomen over het waarborgen van het hoogste niveau van bescherming bij de uitwisseling van medische gegevens. Ook zijn diverse moties aangenomen waaronder een die de regering verzoekt de ziekenhuissector als vitale sector te identificeren (35824 nr 30) en een die verzoekt om informatie over de cybersecurityeisen bij ziekenhuizen zoals gestelds in de NIS2-richtlijn (35824 nr 41)
Op 26 september 2022 heeft de staatssecretaris van BZK de Tweede Kamer geïnformeerd (26643 nr 914) over de voortgang in het domein Toegang. SMS-authenticatie blijft voorlopig nog als 2-factor oplossing om in te loggen met DigiD zolang het betrouwbaarheidsniveau van de dienst op Laag wordt ingeschaald. Bij gebruik via de DigiD-app kan eenmalig de controle van het identiteitsbewijs( ID-check) worden toegevoegd, wat nodig is voor de niveaus Substantieel en Hoog. Naar verwachting zal in de loop van 2023 de eerste nieuwe leverancier van inlogmiddelen kunnen worden toegelaten.
Op 23 september 2022 heeft de staatssecretaris van BZK een brief (35868 nr 16) naar de Tweede Kamer gestuurd over het interbestuurlijk toezicht onder de WDO. Voor de korte termijn is dit geborgd, voor de verdere structurele inrichting is nog overleg gaande en zal dat uiteindelijk leiden tot een wijziging van de Wdo.
Op 23 september 2022 heeft de minister van J&V de Rijksbrede Risicoanalyse (30821 nr 165) naar de Tweede Kamer gestuurd. Het betreft een overzicht van uiteenlopende dreigingen die de nationale veiligheid kunnen aantasten. Er zijn meer dan 60 scenario’s uitgewerkt, verdeeld over 9 dreigingsthema’s en vormt samen met andere analyses de input voor de Rijksbrede Veiligheidsstrategie die in het eerste kwartaal van 2023 gereed zal zijn. Hoofdstuk 9 gaat specifiek over cyberdreigingen.
Op 23 september 2022 heeft de minister van J&V gereageerd (26643 nr 908) op de motie waarin de regering wordt verzocht end-to-end encryptie in stand te houden en (Europese) voorstellen die dat onmogelijk maken niet te steunen. De regering zal deze motie uitvoeren, maar de minister schetst wel de dilemma’s. Wetenschappelijk onderzoek naar rechtmatige toegang tot versleutelde informatie blijft wel mogelijk.
Op 16 september 2022 heeft de minister van J&V het rapport De hackbevoegdheid in de praktijk, een empirisch onderzoek naar de uitvoering van de bevoegdheid tot het heimelijk en op afstand binnendringen in een geautomatiseerd werk (artikelen 126nba, 126uba, 126zpa Sv (34372 nr 30) aan de Tweede Kamer aangeboden. Het rapport bevat de bevindingen van (een deel van) de evaluatie van de WCCIII en er komen diverse knelpunten in naar voren. Omdat in het najaar ook nog een rapport over de toepassing van de bevoegdheid door het OM uitkomt, zal de inhoudelijke reactie op het rapport in het voorjaar van 2023 komen.
Op 14 september 2022 heeft de Europese Commissie met een brief (36127 nr C) de vragen beantwoord die de Eerste Kamer had gesteld over de Dataverordening. De Dataverordening doet geen enkele afbreuk aan de AVG. Over het voorstel wordt nog onderhandeld waarbij de tekst zeker op dit punt verduidelijkt zal worden.
Op 14 september 2022 heeft de minister van VWS een tweede Nota van Wijziging (35824 nr 23) van de Wet elektronische gegevensuitwisseling in de zorg (Wegiz) naar de Tweede Kamer gestuurd. De wijzigingen zijn slechts redactioneel of wetstechnisch van aard. Ook zijn tijdens het plenaire debat over de Wegiz 15 moties ingediend (35824 nrs 28 – 42). Op 27 september zal worden gestemd over de wet, de 10 amendementen en alle moties.
Op 14 september 2022 heeft de commissie DiZa gedebatteerd (26643 nr 918) met de minister van J&V over online veiligheid en cybersecurity. In de Nederlandse Cybersecurity Strategie (NLCS), die medio oktober zal verschijnen, zal worden ingegaan op de vraag of jaarverslagplichtige bedrijven extra cybersecurityverslagplichten kunnen worden opgelegd. De minister heeft toegezegd dat het Nationaal Crisisplan Digitaal in december aan de Kamer zal worden toegezonden. Daarbij zal ook worden ingegaan op een crisisnoodplan bij cyberaanvallen.
Op 13 september 2022 hebben de ministers van J&V en van EZK een brief (26643 nr 915) naar de Tweede Kamer gestuurd over de uitvoering van het programmaplan naar de integratie van het NCSC met het CSIRT-DSP en het DTC.
Op 12 september 2022 heeft de regering het wetsvoorstel Adviesvollege ICT-toetsing (36191 nrs 1 – 4) naar de Tweede Kamer gestuurd. Vooruitlopend op de inwerkingtreding van deze wet is het Adviescollege al per 1 januari 2021 bij ministerieel besluit ingesteld als opvolger van het BIT. Het adviescollege krijgt nu een permanente status en mag ook adviseren op het gebied van onderhoud en beheer.
Op 12 september 2022 heeft de staatssecretaris van BZK de Tweede Kamer geïnformeerd (22112 nr 3482) over de ontwikkelingen in het Comité voor Kunstmatige Intelligentie (CAI) van de Raad van Europa (RvE). Het CAI heeft de opdracht een verdrag te ontwerpen voor AI-systemen op basis van mensenrechten, democratie en de rechtsstaat. De RvE heeft een eerste concepttekst verspreid. De Europese Commissie zal daarover gaan onderhandelen om een goede afstemming te krijgen met het EU-traject rondom de AI-verordening.
Op 7 september 2022 hebben de ministers van J&V en van EZK een brief (26643 nr 927) naar de Tweede Kamer gestuurd over de verkenning naar een mogelijke verdere integratie tussen het NCSC, het DTC en het CSIRT-DSP. Door bundeling van kennis en expertise op cybersecuritygebied wordt versnippering van schaarse capaciteit sterk verminderd. De integratie van het NCSC met CSIRT-DSP wordt beoogd in 2024, de integratie van het NCSC met het DTC in 2026.
Op 6 september 2022 heeft de minister voor Rechtsbescherming het rapport Bescherming gegeven? Evaluatie UAVG, meldplicht datalekken en de boetebevoegdheid (32761 nr 246) naar de Tweede Kamer gestuurd. In het 4e kwartaal zal hij de reactie hierop naar de Kamer zenden.
Op 5 september 2022 heeft de minister van J&V het rapport Veilige toegang en verantwoord delen: Psychologische determinanten van veilig wachtwoordgedrag en het veilig online delen van persoonsgegevens (26643 nr 905) naar de Tweede Kamer gestuurd. Zij zal in het najaar de Kamer informeren over haar beleidsreactie op dit rapport.
Op 2 september 2022 heeft de minister van VWS een brief (27529 nr 282) naar de Tweede Kamer gestuurd over de zorg-ICT-markt voor elektronische gegevensuitwisseling. De minister kan met diverse instrumenten regie nemen in die markt. Zo stelt het Nictiz nu een landelijke API-strategie op. Open (gestandaardiseerde) API’s kunnen worden opgenomen in een bibliotheek. Normering en certificering is ook een instrument waarbij aansluiting met internationale ontwikkelingen van belang is.

Update 6 september 2022

Op 2 september 2022 heeft de Tweede Kamer vragen gesteld (36171 nr 5) over het wetsvoorstel strafbaarstelling gebruik persoonsgegevens voor intimiderende doeleinden. De sterke toename van doxing en de impact op de slachtoffers wordt onderschreven. De vragen hebben o.a. betrekking op de verhouding met bestaande strafbaarstellingen en de hoogte van de straffen.
Op 29 augustus 2022 heeft de staatssecretaris van BZK met een brief (26643 nr 904) de Tweede Kamer geïnformeerd over het Rijksbrede cloudbeleid 2022, een uitwerking van de nieuwe visie op gebruik van publieke clouddiensten. In het uit 2011 daterende beleid werd nog gestreefd naar gebruik van private clouddiensten. Dit nieuwe beleid biedt potentiële voordelen, maar ook risico’s. Daarom worden er strikte voorwaarden aan het gebruik gesteld, met name op het gebied van beveiliging en privacy. Er dient vooraf een risico-analyse gemaakt te worden, staatsgeheimen mogen niet worden verwerkt of opgeslagen en leveranciers mogen niet uit landen komen met een actief cyberprogramma dat is gericht tegen Nederlandse belangen. Voor persoonsgegevens geldt het principe nee tenzij. De CIO Rijk zal het beleid monitoren. De AP, de ADR en de AR houden extern toezicht op de naleving.
Op 25 augustus 2022 hebben de bewindslieden van J&V het verslag van de JBZ-raad van 11 en 12 juli (32317 nr 771) aan de Tweede Kamer aangeboden.
Op 25 augustus 2022 heeft de minister van VWS de vragen beantwoord (27529 nr 281) die de Tweede Kamer had gesteld over het programma Waardevolle Artificiële Intelligentie (AI) voor Gezondheid. Het programma was al in 2020 gestart en werkt inmiddels goed samen met de NL AI Coalitie. Ook wordt nu uiteraard rekening gehouden met het Europese voorstel voor de AI-verordening.
Op 17 augustus 2022 heeft de staatssecretaris van BZK een brief (26643 nr 902) naar de Tweede Kamer gestuurd waarin zij de Kamer informeert over de voortgang en te nemen stappen in het Europese Digitale Identiteit raamwerk. Zij wil in 2023 een eerste versie van een Nederlandse open source wallet werkend hebben. Daarbij wordt de hoogste lat gelegd wat betreft gegevensbescherming, informatieveiligheid en toegankelijkheid. De Europese Commissie deed ook een voorstel voor een door de lidstaten te ontwikkelen Toolbox, die de technische architectuur, te hanteren standaarden en richtlijnen moet bevatten. Nederland neemt deel aan alle werkgroepen en Europese pilots en oefent daarmee invloed uit op de technische en organisatorische uitwerking.
Op 19 juli 2022 heeft de Eerste Kamer vragen gesteld (34972 nr T) over de novelle WDO. De vragen hebben o.a. betrekking op het open source aspect, de uitvoerbaarheid en de handhaafbaarheid.
Op 18 juli 2022 heeft de Tweede Kamer vragen gesteld (36138 nr 6) over de Uitvoeringswet verordening terroristische online-inhoud. Heel veel vragen hebben betrekking op de nieuw op te richten Autoriteit Online Terroristische en Kinderpornografisch Materiaal.
Op 15 juli 2022 heeft de staatssecretaris van BZK de routekaarten van de I-strategie Rijk 2022 – 2025 (26643 nr 899) naar de Tweede Kamer gestuurd. De I-Strategie kent 10 thema’s die elk speerpunten hebben. Drie speerpunten krijgen de komende jaren invulling. Aan nieuw beleid zal altijd een informatieparagraaf worden toegevoegd. De digitale weerbaarheid wordt versterkt, o.a. door zoveel mogelijk red-teaming te faciliteren. Er wordt ingezet op het binnen halen en houden van goede vakmensen en waar nodig wordt de kennisontwikkeling op ICT-gebied bij het overige personeel gestimuleerd.
Op 12 juli 2022 hebben de minister van EZK en de staatssecretaris van BZK de vragen beantwoord (36127 nr B) die de Eerste Kamer had gesteld over de Dataverordening. Er bestaan zowel bij het kabinet als bij het Europees Parlement en de EPDB nog zorgen over het gebruik van privacygevoelige informatie. De Europese Commissie zal met een reactie hierop komen. De AVG blijft onverminderd van kracht. Als bedrijven verplicht worden persoonsgegevens aan publieke instanties te leveren dan zal daar een specifiekere wettelijke grondslag voor moeten zijn. Het kabinet ziet geen noodzaak voor het oprichten van een nieuwe autoriteit voor het toezicht op de dataverordening.
Op 12 juli 2022 heeft de minister van EZK de vragen beantwoord (32761 nr 244) die de Tweede Kamer had gesteld over het onderzoek naar het autorisatiebeheer van het Handelsregister. De periodieke controle op het intrekken van autorisaties van uitgeschreven beroepsbeoefenaren wordt geautomatiseerd.
Op 8 juli 2022 hebben de ministers van J&V, van Financiën, van EZK en van Rechtsbescherming een brief (29911 nr 372) naar de Tweede Kamer gestuurd over een integrale aanpak van online fraude. De brief bevat bestaande en nieuwe acties op het gebied van preventie, technische barrières, slachtofferhulp, opsporing en vervolging en expertise en informatiedeling. De komende tijd krijgen de knelpunten in gegevens- en informatie-uitwisseling met prioriteit aandacht.
Op 8 juli 2022 heeft de minister van J&V het wetsvoorstel Strafbaarstelling gebruik persoonsgegevens voor intimiderende doeleinden (36171 nrs 1 – 4) naar de Tweede Kamer gestuurd. Als het voorstel wordt aangenomen kan doxing leiden tot een celstraf van maximaal een jaar of een geldboete van maximaal € 9.000,-
Op 8 juli 2022 heeft de minister van J&V de vragen beantwoord (36084 nr 8) die de Tweede Kamer had gesteld over het wetsvoorstel tot wijziging van de Wbni. Ook wordt op diverse punten een nadere toelichting gegeven. De afbakening van de groep “andere aanbieders” is voldoende specifiek. Aan OKTT’s worden geen beveiligingsverplichtingen opgelegd omdat het uitvallen ervan niet maatschappelijk ontwrichtend is. Er zijn voldoende waarborgen voor een vertrouwelijke omgang met gegevens door een OKTT. De taakverdeling tussen het NCSC en het DTC leidt niet tot overlap of verwarring.
Op 7 juli 2022 heeft de staatssecretaris van Defensie het onderzoeksvoorstel van de Auditdienst Rijk (ADR) voor de realisatiefase van het project Grensverleggende IT (GrIT) (35728 nr 6) aan de Tweede Kamer aangeboden. Er zal een rapport van bevindingen worden opgesteld over de basisrapportage en de voortgangsrapportages en daarnaast zal jaarlijks accountantscontrole plaatsvinden op de financiële verantwoording bij de voortgangsrapportages met peildatum 31 december.
Op 7 juli 2022 heeft de staatssecretaris van BZK de vragen beantwoord (26643 nr 893) die de Tweede Kamer had gesteld over de Jaarrapportage Grote ICT-projecten 2021. Daarbij wordt o.a. uitgebreid ingegaan op het interne en externe toezicht op die projecten.
Op 7 juli 2022 hebben de minister van EZK en de staatssecretaris van BZK het verslag van de Telecomraad van 3 juni 2022 (21501-33 nr 944) aan de Tweede Kamer aangeboden. Meerdere lidstaten vroegen aandacht voor het inrichten van effectief toezicht op AI. Bij het raamwerk voor een Europese Digitale Identiteit zal de Commissie inzetten op een geharmoniseerde aanpak voor een beveiligd systeem met volledige gegevensbescherming en controle door gebruikers. In de brief wordt ook ingegaan op de zorgen die de AP en het EPDB hebben geuit over de Dataverordening. Over de Data Governance Act (DGA) is een definitief akkoord bereikt. De tekst is op 3 juni officieel gepubliceerd en treedt eind 2023 in werking. Op dit moment wordt de nationale uitvoeringswetgeving van de DGA vormgegeven.
Op 6 juli 2022 hebben de ministers van J&V en van EZK een brief (26643 nr 907) naar de Tweede Kamer gestuurd over de preventie van cybercrime bij het mkb. De brief gaat o.a. in op de voorlichting van het DTC en het stimuleren van gedragsverandering via samenwerkingsverbanden.
Op 6 juli 2022 hebben de bewindslieden van J&V de vragen beantwoord (32317 nr 770) die de Tweede Kamer had gesteld over de agenda van de JBZ-raad van 11 en 12 juli. Diverse fracties hebben zorgen over het voorstel van de Europese Commissie om ter voorkoming en bestrijding van seksueel kindermisbruik encryptie te ondermijnen. In de brief in reactie op het aannemen van de motie over end-to-end-encryptie bij het debat over de digitale hoofdlijnen zal het kabinet hierop terugkomen.
Op 6 juli 2022 heeft de minister van J&V het samenhangend inspectiebeeld cybersecurity vitale processen 2021-2022 (26643 nr 894), opgesteld door verschillende toezichthouders, naar de Tweede Kamer gestuurd. De uitkomst hiervan zal zij betrekken bij de Nederlandse Cyber Security Strategie (NLCS) die in het najaar met de Kamer zal worden gedeeld. Risicomanagement krijgt in algemene zin wel aandacht, maar de implementatie van een Information Security Management Systeem vraagt nog wel aandacht. Ook is meer aandacht nodig voor normen op het gebied van OT, zoals de IEC 62443.
Op 5 juli 2022 heeft de minister van J&V een brief (25124 nr 111) naar de Tweede Kamer gestuurd waarin zij de Kamer informeert over de ontwikkelingen in het meldkamerdomein en rondom missiekritische communicatie van de hulpdiensten. Er wordt gewerkt aan een strategisch kader informatiebeveiliging voor de Landelijke Meldkamer Samenwerking die naar verwachting begin 2023 operationeel kan worden. Ook wordt een proces van risico- en continuïteitsmanagement vorm gegeven. Het contract van het huidige C2000-netwerk loopt tot mei 2025, zodat op korte termijn de aanbestedingsprocedure voor een nieuwe voorziening moet starten. Hiertoe zal samenwerking worden gezocht met België en Duitsland.
Op 4 juli 2022 heeft de minister van EZK een brief (26643 nr 896) naar de Tweede Kamer gestuurd waarin zij aangeeft meer DNS-dienstverleners dan tot nu toe aan te wijzen als aanbieders van essentiële diensten. Die gaan daardoor vallen onder de zorg- en meldplicht van de Wbni. Omvangrijke datacenters worden aangewezen als andere vitale aanbieder en voor hen gaat hierdoor een meldplicht bij het NCSC gelden. Zij zullen onder de NIB2-richtlijn komen te vallen die naar verwachting in 2024 van kracht zal worden.
Op 4 juli 2022 heeft de minister van J&V het Cybersecuritybeeld Nederland 2022 (26643 nr 891) aan de Tweede Kamer aangeboden. De scheefgroei tussen dreiging en weerbaarheid vergroot het risico op ontwrichting. De digitale veiligheid van Nederland moet worden versterkt. De minister zal hierop reageren in de in oktober te verschijnen Nederlandse Cybersecuritystrategie (NLCS).
Op 30 juni 2022 heeft de Tweede Kamer gedebatteerd met de staatssecretaris van Digitale Zaken en de ministers van EZK en J&V over de Hoofdlijnen van het overheidsbeleid rondom digitale zaken. BZK zal meer inzicht bieden in de uitgaven met een overkoepelende analyse van de informatieplannen voor digitalisering van de verschillende departementen. Er wordt gewerkt aan kaders voor en toezicht op algoritmes en een register voor al gebruikte algoritmes. In de Werkagenda Digitalisering komen thema’s als digitale identiteit, toegankelijkheid, één overheid en de bescherming van burgers concreet aan de orde. Er zijn 21 moties ingediend (26643 nrs 868 – 888). Hiervan zijn er op 5 juli 2022 10 aangenomen. Daarbij zat ook de motie over het in stand houden van end-to-end-encryptie (26643 nr 885), die door het kabinet was ontraden.
Op 29 juni 2022 heeft de minister van EZK de Tweede Kamer geïnformeerd (32761 nr 240) over de uitwerkingsrichting van de Datavisie Handelsregister. Telefoonnummers en emailadressen staan niet meer openbaar maar worden afgeschermd. Eenmanszaken kunnen hun vestigingsadres straks volledig afschermen in het Handelsregister maar zij moeten dan wel een postadres registreren.
Op 29 juni 2022 heeft de minister van EZK de externe rapportage van de evaluatie van de Roadmap Digitaal Veilige Hard- en Software (26643 nr 867) naar de Tweede Kamer gestuurd. Zij zal de aanbevelingen meenemen bij de vorming van de nieuwe Nederlandse Cybersecurity Strategie.
Op 28 juni 2022 hebben de bewindslieden van J&V de geannoteerde agenda van de JBZ-raad op 11 en 12 juli in Praag (32317 nr 767) aan de Tweede Kamer aangeboden.
Op 27 juni 2022 heeft de minister van J&V de vragen beantwoord (22112 nr 3451) die de Tweede Kamer had gesteld over de Verordening cyberbeveiliging van instellingen, organen en instanties van de EU en over de Verordening informatiebeveiliging in de instellingen, organen en instanties van de EU. De noodzaak van die verordeningen blijkt o.a. uit een rapport van de Europese Rekenkamer die in maart 2022 constateerde dat het aantal significante cyberincidenten bij de EU sinds 2018 is vertienvoudigd.
Op 27 juni 2022 heeft de minister van EZK een brief (26643 nr 864) naar de Tweede Kamer gestuurd over de voortgang van het DTC, nadat zij de status van OKTT heeft gekregen. In het 2e halfjaar van 2021 hebben 15 aanleidingen geleid tot het waarschuwen voor ernstige cyberdreigingen van 361 niet-vitale bedrijven en in het 1e halfjaar van 2022 waren dat 31 aanleidingen voor het waarschuwen van 1378 bedrijven. Ook loopt er een pilot van bedrijven die zich zelf gemeld hebben bij het DTC en hun technische gegevens daar hebben aangeleverd zodat het DTC bij bepaalde dreigingen die bedrijven geautomatiseerd kan waarschuwen.
Op 23 juni 2022 heeft de Tweede Kamer overleg gevoerd (26643 nr 900) met de ministers van EZK, Klimaat en Energie en VRO over datacenters. De minister van EZK zal in het najaar een brief sturen over een toetsingskader voor datacenters en colocaties en zal daarbij ook ingaan op internationale samenwerking. Ook zal zij reageren op het rapport van het Rathenau-instituut.
Op 21 juni 2022 heeft de minister van J&V het wetsvoorstel Uitvoeringswet verordening Terroristische Online-inhoud (36138 nrs 1 – 5) naar de Tweede Kamer gestuurd. De verordening bevat regels voor aanbieders van hostingdiensten en is al per 7 juni 2022 van kracht geworden, maar er is nog wel een aantal wettelijke bepalingen nodig voor de uitvoering. De in het wetsvoorstel voorgestelde taken en bevoegdheden worden belegd bij een nieuw op te richten ZBO, de Autoriteit Online Terroristisch en Kinderpornografisch Materiaal.
Op 17 juni 2022 hebben de bewindslieden van J&V het verslag van de JBZ-raad van 9 en 10 juni in Luxemburg (32317 nr 764) aan de Tweede Kamer aangeboden.
Op 17 juni 2022 heeft de minister van J&V het Halfjaarbericht politie (29628 nr 1098) naar de Tweede Kamer gestuurd waarin zij o.a. reageert op het rapport van de Inspectie J&V over de hackbevoegdheid van de politie. Zij gaat uitgebreid in op het rechtskader rond de aanschaf en het gebruik van commerciële binnendringsoftware.
Op 17 juni 2022 heeft de minister van Buitenlandse Zaken de mededeling van de Europese Commissie over een digitaal decennium voor kinderen en jongeren (22112 nr 3454) naar de Tweede Kamer gestuurd. Doel daarvan is om de rechten van kinderen in de online wereld te beschermen en te versterken en dat kinderen toegang hebben tot digitale diensten.
Op 7 juni 2022 hebben de bewindslieden van J&V de vragen beantwoord (32317 nr 763) die de Tweede Kamer had gesteld over de JBZ-raad. Op 17 juni 2022 zijn de overige vragen beantwoord (32317 nr 765).
Op 7 juni 2022 heeft de minister van I&W de Tweede Kamer geïnformeerd (27625 nr 570) over het versterken van de cyberweerbaarheid in de watersector. Het verscherpte toezicht van de Inspectie ILT op de cybersecurity van de Stichting Waternet wordt nog gecontinueerd. Het SOC wordt uitgebreid zodat nog meer objecten worden gemonitord. Er wordt extra ingezet op de weerbaarheid tegen ransomware aanvallen en er wordt aangesloten bij de rijksbrede versterking van red teaming.
Op 31 mei 2022 heeft de minister van J&V het verslag van de Inspectie J&V van haar toezicht op de hackbevoegdheid van de politie over 2021 (29628 nr 1097) naar de Tweede kamer gestuurd. De problemen met de logging zijn verholpen en het interne kwaliteitssysteem is verbeterd maar nog niet voldoende. Ook is de informatiebeveiliging is nog niet aantoonbaar op niveau.

Update 20 juni 2022

Op 13 juni 2022 heeft de staatssecretaris van BZK de eerste jaarrapportage van het Adviescollege ICT-toetsing (AcICT) over 2021 (26643 nr 863) aan de Tweede Kamer aangeboden. Het AcICT signaleert 4 belangrijke rode draden in de uitgebrachte adviezen, de staatssecretaris geeft ook haar reactie daarop.

Op 1 juni 2022 heeft de staatssecretaris van BZK plenair gedebatteerd met de Tweede Kamer over de novelle Wet digitale overheid. Met de novelle komt de staatssecretaris tegemoet aan de kritiekpunten van de Eerste Kamer. Tijdens het debat wordt een amendement (35868 nr 9) ingediend dat een aanscherping is van het verhandelverbod. Private aanbieders van digitale inlogmiddelen krijgen geen erkenning als zij de voor authenticatie verkregen gegevens gebruiken voor commerciële doeleinden. Ook wordt nog een motie (35868 nr 11) ingediend die het kabinet weliswaar verzoekt te kiezen voor open source, maar alleen als de nationale veiligheid hierdoor niet wordt aangetast. Op 7 juni 2022 zijn de geamendeerde novelle en de motie aangenomen.
Op 1 juni 2022 heeft de minister van J&V een brief (26643 nr 861) naar de Tweede Kamer gestuurd waarin zij aangeeft dat het NCSC bij hoge uitzondering, vooruitlopend op de inwerkingtreding van de wijziging van de Wbni, dreigings- of incidentinformatie heeft moeten delen met andere niet-vitale aanbieders of hun schakelorganisaties. Het betreft vanaf 1 januari 2019 28 gevallen.
Op 31 mei 2022 heeft de minister van EZK de vragen beantwoord (22112 nr 3426) die de Tweede Kamer had gesteld over de Europese Chips Act.
Op 31 mei 2022 hebben de minister van EZK en de staatssecretaris van BZK overleg gevoerd (21501-33 nr 938) met de commissie DiZa van de Tweede Kamer over de Telecomraad van 3 juni. Er zijn diverse punten van kritiek geuit, waarover de Kamer op 2 juni plenair met beide bewindslieden zal debatteren. Bij dat debat zijn 3 moties ingediend die alle zijn aangenomen. Vrijwel de gehele Kamer (en het kabinet zelf) is tegen de introductie van een Europees identificatienummer in het raamwerk voor een digitale identiteit.
Op 30 mei 2022 hebben de bewindslieden van J&V de geannoteerde agenda van de JBZ-raad van 9 en 10 juni (32317 nr 760) naar de Tweede Kamer gestuurd.
Op 30 mei 2022 heeft de minister van J&V een brief (26643 nr 859) naar de Tweede Kamer gestuurd over de met Google Cloud gesloten rijksbrede overeenkomst inzake het gebruik van Google Workspace. De AP had het gebruik ervan destijds afgeraden maar inmiddels wordt nu voldaan aan de AVG. Er zal worden toegezien op de naleving van de wijzigingen.
Op 25 mei 2022 heeft de minister van J&V overleg gevoerd (36084 nr 7) met de Commissie DiZa van de Tweede Kamer over haar brief van 13 mei om in zeer uitzonderlijke gevallen te anticiperen op het in werking treden van de wijziging van de Wbni. Als er sprake is van een dergelijke situatie dan zal de minister de Tweede Kamer, zo nodig vertrouwelijk, informeren over de wijze van hanteren van het afwegingskader. Over hoeveel incidenten al eerder informatie is gedeeld zal de minister de Kamer zo spoedig mogelijk informeren.
Op 23 mei 2022 heeft de staatssecretaris van BZK een brief (26643 nr 855) naar de Tweede Kamer gestuurd met de tweede voortgangsrapportage van het opruimen van vervuilde data. De mogelijkheden voor een externe toets op het onrechtmatig of oneigenlijk gebruik van afkomstgerelateerde persoonsgegevens worden nog onderzocht.
Op 20 mei 2022 heeft de minister van EZK de geannoteerde agenda (21501-33 nr 931) van de Telecomraad op 3 juni naar de Tweede Kamer gestuurd. Aan de orde komen de voortgangsrapportages over de AI-verordening, over het Raamwerk voor een Europese digitale identiteit en over de Dataverordening. Hoewel op 13 mei een voorlopig akkoord is bereikt tussen de Raad en het Europees Parlement over de NIB2-richtlijn is nog niet duidelijk wanneer beide hierover definitief zullen stemmen. In het akkoord is de reikwijdte van de richtlijn aangepast, zodat een relatief kleiner gedeelte van de entiteiten als essentiële entiteit zal worden aangemerkt. Ook krijgen lidstaten de ruimte om regionale overheden onder de richtlijn te brengen op basis van een risicobeoordeling. Het kabinet is ook tevreden over het schrappen van de meldplicht van dreigingen, dat mag nu vrijwillig.
Op 19 mei 2022 heeft de minister van VWS een brief (27529 nr 277) naar de Tweede Kamer gestuurd met een eerste analyse van de consequenties van de voorgetelde EU-wetgeving voor het wetsvoorstel elektronische gegevensuitwisseling in de zorg (Wegiz). De EU heeft een verordening voor een Europese ruimte voor gezondheidsgegevens (EHDS) voorgesteld. Nederland werkt actief mee aan de ontwikkeling van Europese normen en standaarden zodat het risico dat de eisen straks onvoldoende aansluiten zo klein mogelijk is. De minister ziet geen onoverkomelijke aandachtspunten die een spoedige behandeling van de Wegiz in de weg staan.
Op 18 mei 2022 heeft de Algemene Rekenkamer het rapport Algoritmes getoetst; De inzet van 9 algoritmes bij de rijksoverheid (26643 nr 854) aan de Tweede Kamer aangeboden. Slechts 3 van de onderzochte algoritmes voldoen aan het vorig jaar door de AR opgestelde toetsingskader en voldoen derhalve niet aan de voorwaarden voor goed IT-beheer. Zo is het toegangs- of autorisatiebeheer onvoldoende, waardoor organisaties niet zeker weten of de gegevens van mensen en bedrijven veilig zijn. Bij de politie ontbreekt o.a. de controle op mogelijke vooringenomenheid. Bij het DG Migratie van J&V en bij de Rijksdienst voor Identiteitsgegevens is de ontwikkeling en het beheer uitbesteed, maar ontbreekt het aan afspraken wie voor wat aanspreekbaar is.
Op 18 mei 2022 heeft de Algemene Rekenkamer haar Geïntegreerd verslag 2021 (36099 nr 1) naar de Tweede Kamer gestuurd. Uit de Staat van de rijksverantwoording 2021 blijkt dat bij alle ministeries, op die van I&W, VWS en OCW na, voldoende maatregelen op het gebied van informatiebeveiliging hadden getroffen. De ministeries van BZK en vooral Buitenlandse Zaken losten de (ernstige) onvolkomenheden uit 2020 op. Bij sommige Hoge Colleges van Staat zijn nog niet alle onvolkomenheden opgelost, maar de AR ziet duidelijke vooruitgang.
Op 18 mei 2022 hebben de minister en de staatssecretaris van BZK de Jaarrapportage Bedrijfsvoering Rijk (JBR) 2021 (31490 nr 316) aan de Tweede Kamer aangeboden. Er is software ontwikkeld voor het inrichten van een doorlopende kwetsbaarhedenscan bij rijksorganisaties. Elk ministerie heeft een in control-verklaring of een informatiebeveiligingsbeeld opgesteld.
Op 17 mei 2022 heeft de minister van EZK de vragen beantwoord (22112 nr 3411) die de Tweede Kamer had gesteld over de Dataverordening.
Op 17 mei 2022 heeft de Eerste Kamer de Wet veiligheidstoets investeringen, fusies en overnames (35880) als hamerstuk aangenomen. Hiermee kunnen risico’s voor de nationale veiligheid worden beheerst.
Op 13 mei 2022 heeft de minister van J&V een brief (36084 nr 5) naar de Tweede Kamer gestuurd waarin zij meedeelt om in zeer uitzonderlijke gevallen te anticiperen op het op 21 april ingediende wetsvoorstel tot wijziging van de Wbni. De parlementaire behandeling is uiteraard nog niet afgerond, maar bijv. vanwege de oorlog in Oekraïne kunnen er zich situaties voordoen die het NCSC nopen informatie aan OKTT’s te verstrekken.
Op 9 mei 2022 heeft de staatssecretaris van BZK een brief (32761 nr 222) naar de Tweede Kamer gestuurd over de zeggenschap van burgers over het gebruik van hun persoonsgegevens. Hierbij is geen rol voor het eigendomsrecht, maar de zeggenschap over persoonsgegevens is administratiefrechtelijk geregeld. Het digitaal delen van persoonsgegevens door en onder regie van de burger kan wel wettelijk worden verankerd.
Op 9 mei 2022 heeft de minister van VWS een brief (27529 nr 276) naar de Tweede Kamer gestuurd over de herijking van de grondslagen voor gegevensuitwisseling in de zorg. Er is nu een eerste beeld verkregen van de knelpunten die de huidige grondslagen veroorzaken, maar er is nog een verdiepingsslag nodig om vervolgens tot een integrale beleidslijn te kunnen komen. Waar mogelijk worden ook nu al knelpunten opgelost.
Op 9 mei 2022 heeft de minister van VWS een brief (27529 nr 275) naar de Tweede Kamer gestuurd over het programma Waardevolle Artificiële Intelligentie (AI) voor Gezondheid. Het programma kent 3 pijlers: samenwerking, waardetoevoeging en randvoorwaarden als vertrouwen, kwaliteit en transparantie.
Op 29 april 2022 heeft de minister van Buitenlandse Zaken de concept Verordening cyberbeveiliging van instellingen, organen en instanties van de Unie (22112 nr 3406) naar de Tweede Kamer gezonden. Het voorstel richt zich op het opzetten van een intern kader voor beheer, governance en controle van cybersecurityrisico’s, rapportage daarover en de opzet van een CERT-EU dat onder toezicht moet komen van een interinstitutionele Raad voor cyberbeveiliging (IICB).
Op 29 april 2022 heeft de minister van Buitenlandse Zaken de concept Verordening informatiebeveiliging in de instellingen, organisaties en instanties van de Unie (22112 nr 3405) naar de Tweede Kamer gestuurd. Deze instellingen etc. hebben nu elk hun eigen, vaak verouderde, voorschriften of helemaal niet en kunnen daardoor moeilijk onderling informatie uitwisselen. Ook introduceert het voorstel een nieuwe categorie: niet-gerubriceerde informatie, onder te verdelen in openbare info, normale info en gevoelige info. Terwijl de lidstaten ook nog eigen categorieën mogen blijven hanteren. Hier is Nederland op tegen.
Op 26 april 2022 hebben de ministers van J&V en van VWS een brief (32761 nr 223) naar de Tweede Kamer gestuurd waarin zij uitgebreid antwoorden op de vraag hoe wordt omgegaan met desinformatie. Het kabinet keurt de inzet van online trollen af.
Op 21 april 2022 heeft de regering het wetsvoorstel tot wijziging van de Wbni (36084 nr 1-4) aan de Tweede Kamer aangeboden. De wijziging vindt plaats in verband met de uitbreiding van de bevoegdheid van de Minister van J&V om dreigings- en incidentinformatie over de netwerk- en informatiesystemen van niet-vitale aanbieders te verstrekken aan deze aanbieders en aan organisaties die objectief kenbaar tot taak hebben om andere organisaties of het publiek te informeren over dreigingen en incidenten ten behoeve van deze aanbieders. De aanwijzing van OKTT’s geschiedt bij ministeriële regeling. Het NCSC beschikt regelmatig over informatie over digitale dreigingen die relevant is voor andere aanbieders, zoals containeroverslagbedrijven, distributeurs van voedselwaren of politieke partijen. Die informatie mocht wettelijk niet aan hen of aan CERT-organisaties of het DTC worden verstrekt.
Op 21 april 2022 heeft de minister van EZK een brief (32761 nr 225) naar de Tweede Kamer gestuurd waarin zij ingaat op het afschermen van adresgegevens in het Handelsregister. De wijziging van het Handelsregisterbesluit 2008 is in internetconsultatie gebracht. Het voorstel is welkom, maar adresseert niet alle wensen. Suggesties die de scope van de regeling “afschermen op verzoek” te buiten gaan, worden in de overwegingen in het kader van de Datavisie Handelsregister meegenomen.
Op 21 april 2022 heeft de minister van EZK een brief (32761 nr 219) naar de Tweede Kamer gestuurd met de resultaten van het onderzoek naar het autorisatiebeheer bij de KvK. Ook beroepsorganisaties als advocaten en notarissen besteden nu extra aandacht aan de rechten en plichten verbonden aan autorisaties voor niet-openbare gegevens. Daarmee is de kans op misbruik sterk afgenomen. De KvK en beroepsorganisaties onderzoeken of de periodieke controle kan worden geautomatiseerd.
Op 19 april 2022 heeft de Eerste Kamer de Implementatiewet richtlijnen verkoop goederen en levering digitale inhoud (35734) aangenomen. Consumenten hebben vanaf 20 april bij de aankoop van slimme apparaten recht op software- en beveiligingsupdates. De ACM gaat toezicht houden op de naleving.
Op 19 april 2022 heeft de Tweede Kamer de Wet veiligheidstoets investeringen, fusies en overnames (35880 nr A) aangenomen. Daarbij zijn ook 2 amendementen aangenomen. Bij amvb kunnen snel andere vitale aanbieders of sensitieve technologieën worden toegevoegd. De reikwijdte van het wetsvoorstel is hierbij verbreed zodat niet alleen vitale aanbieders en ondernemingen die actief zijn op het gebied van sensitieve technologie hier onder vallen, maar ook beheerders van een bedrijfscampus. Aanleiding hiervoor was de verkoop van de High Tech Campus Eindhoven aan een Singaporees staatsbedrijf.
Op 14 april 2022 heeft de minister voor Rechtsbescherming een brief (35734 nr G) naar de Eerste Kamer gestuurd waarin hij over een aantal onderwerpen nadere informatie verschaft, zoals hij bij de behandeling van het voorstel voor de Implementatiewet richtlijnen verkoop goederen en levering digitale inhoud had toegezegd.
Op 13 april 2022 heeft de minister van Buitenlandse Zaken overleg gevoerd (26643 nr 853) met de Tweede Kamer over internationale cyberveiligheid. Na het zomerreces zal de minister de geïntegreerde cyberstrategie naar de Tweede Kamer sturen waarin hij ingaat op (digitale) sancties, aanvallen door statelijke en niet-statelijke actoren, oefeningen en simulaties en het al dan niet voeren van een offensiever cyberbeleid.
Op 13 april 2022 hebben de staatssecretaris van BZK en de Regeringscommissaris Informatiehuishouding overleg gevoerd (26643 nr 851) met de commissie DiZa van de Tweede Kamer over informatiehuishouding op orde, ICT-projecten en informatiebeveiliging. Zij zal de Wet Adviescollege ICT-toetsing nog voor de zomer naar de Tweede Kamer sturen en zij zal daaraan voorafgaand reageren op de adviezen uit de jaarrapportage van het AcICT.
Op 11 april 2022 heeft de minister van EZK het verslag (21501-33 nr 923) van de informele Telecomraad van 8 en 9 maart in Parijs aan de Tweede Kamer aangeboden. De focus lag op de thema’s desinformatie, de weerbaarheid van de digitale infrastructuur en cybersecurity. Unaniem werden o.a. de grote online platformen opgeroepen verantwoordelijkheid te nemen bij het tegengaan van desinformatie. Vrijwel alle lidstaten onderstreepten het belang van een spoedige afronding van de onderhandelingen over de herziening van de NIB2-richtlijn. Ook werd een oproep om de cybersecurity-capaciteiten in de EU te versterken unaniem gesteund.
Op 7 april 2022 heeft de staatssecretaris van BZK de nadere vragen beantwoord (35885 nr F) die de Eerste Kamer had gesteld naar aanleiding van de eerdere beantwoording van vragen over de verordening inzake de Europese digitale identiteit.
Op 7 april 2022 heeft de minister van J&V overleg gevoerd (26643 nr 849) met de commissie DiZa van de Tweede Kamer over online veiligheid en cybersecurity. De minister heeft toegezegd de Nederlandse cybersecuritystrategie nog voor de zomer naar de Kamer te zenden. Daar zullen ook de investeringen in cybersecurity verder worden toegelicht en uitgewerkt.
Op 7 april 2022 heeft de staatssecretaris van BZK een brief (26643 nr 839) naar de Tweede Kamer gestuurd waarin zij met een stappenplan aangeeft hoe zo snel mogelijk wordt voldaan aan eisen van het besluit digitale toegankelijkheid overheid, waaronder de volledige digitale toegankelijkheid van overheidswebsites en van apps. Naast het bieden van extra ondersteuning aan overheidsorganisaties (1332 organisaties vallen onder de wettelijke verplichting) zal zij ook het toezicht op de naleving versterken.

Update 4 april 2022:
Op 4 april 2022 heeft de staatssecretaris van J&V het verslag (32317 nr 757) van de ingelaste JBZ-raad op 28 maart in Brussel naar de Tweede Kamer gestuurd. De Raadsbesluiten die de EU-lidstaten machtigen het Tweede Aanvullend Protocol bij het Cybercrimeverdrag te ondertekenen en te ratificeren zijn bijna gereed.
Op 1 april 2022 heeft de staatssecretaris van BZK een brief (26643 nr 836) naar de Tweede Kamer gestuurd waarin zij de Kamer informeert over de voortgang van red-teaming binnen de rijksoverheid. Het is de bedoeling dat rijksbreed uiterlijk in 2025 red-teamingtests structureel zijn opgenomen in de testplanning en begrotingscyclus, waarbij ook naar ketens gekeken wordt.
Op 1 april 2022 heeft de minister van Buitenlandse Zaken een brief (22112 nr 3395) naar de Tweede Kamer gestuurd over de Dataverordening. Het voorstel van de Europese Commissie voor een Data Act bevat geharmoniseerde regels voor eerlijke toegang tot en eerlijk gebruik van data. Het voorstel legt regels vast voor het gebruik van data uit IoT-producten en gerelateerde diensten, die data verzamelen of genereren en die digitaal kunnen verspreiden. Het voorstel bevat ook regels voor het vergemakkelijken van overstappen tussen cloud- en edgediensten en het geeft waarborgen tegen onrechtmatige dataoverdracht.
Op 31 maart 2022 heeft de staatssecretaris van BZK een brief (31490 nr 313) naar de Tweede Kamer gestuurd over de ontwikkeling van het SSC-ICT. Dat is het Shared Service Center van 7 departementen. Na een externe doorlichting is een transitieprogramma gestart. In het najaar van 2021 is een extern onderzoek uitgevoerd naar de bereikte effecten en wat nog moet gebeuren. De staatssecretaris neemt de adviezen over en onderkent dat één van de prioriteiten ligt op het terrein van informatieveiligheid en (cyber)security.
Op 29 maart 2022 heeft de Tweede Kamer plenair gedebatteerd met de staatssecretaris Digitale Zaken over de digitale overheid, datagebruik en algoritmen en digitale identiteit. Daarbij zijn 11 moties (26643 nrs 825 t/m 835) ingediend waarover 5 april wordt gestemd. Er zijn 8 moties aangenomen.
Op 29 maart 2022 heeft de minister voor Rechtsbescherming in een brief (32761 nr 18) aan de Tweede Kamer toegelicht waarom hij op dit moment afziet van een nieuw wettelijk kader voor gegevensverwerking in het politie- en justitiedomein. Hoewel de Wet politiegegevens niet goed aansluit op de wet justitiële strafvorderelijke gegevens is het nu organisatorisch en financieel te ambitieus om te werken aan een integrale gegevenswet. De meest prangende onderwerpen in de bestaande wetten zullen wel opgelost worden.
Op 22 maart 2022 heeft de Commissie DiZa gedebatteerd met de staatssecretaris Digitale Zaken over de digitale overheid, datagebruik en algoritmen en digitale identiteit (26643 nr 838). Er komt een onderzoek naar inkoopeisen en –richtlijnen over cyberveiligheid in het overheidsapparaat, zodat landen met een offensief cyberprogramma geweerd kunnen worden uit aanbestedingen van de Rijksoverheid.
Op 18 maart 2022 heeft de minister van Buitenlandse Zaken de Mededeling Europese Verklaring Digitale Rechten en Beginselen voor het Digitale Decennium (22112 nr 3347) naar de Tweede Kamer gestuurd. De Commissie zet in op ondertekening voor de zomer van 2022. Het kabinet steunt alle in de verklaring genoemde beginselen, maar vindt wel dat de tekst van de mededeling op punten kan worden aangescherpt.
Op 17 maart 2022 heeft de staatssecretaris van Defensie een brief (35728 nr 5) naar de Tweede Kamer gestuurd waarin hij reageert op de aanvullende vragen over de uitgangspuntennotitie van het programma Grensverleggende IT (GrIT). Hij streeft ernaar de eerste basisrapportage voor 1 augustus toe te zenden en vanaf volgend jaar 2x, voor 1 april en voor 1 oktober. Onder het takenpakket van de Programma Board valt de invulling van de quality assurance functie.
Op 16 maart 2022 heeft de Europese Commissie input gevraagd (de oproep) voor een nieuwe wet cyberweerbaarheid (Cyber Resilience Act). Bijdragen kunnen worden geleverd tot 25 mei 2022.
Op 14 maart 2022 hebben de ministers van J&V en voor Rechtsbescherming de overige vragen beantwoord (32317 nr 752) die de Tweede Kamer had gesteld over de JBZ-raad van 3 en 4 maart, maar die niet op de agenda stonden. Het verstrekken van persoonsgegevens via de Prüm II-verordening wordt in lijn gebracht met de Richtlijn verwerking politie- en justitiegegevens. Een hit zal altijd door een forensisch deskundige worden geverifieerd alvorens gegevens aan een lidstaat worden verzonden. Zowel verzoeken als verstrekkingen worden gelogd, zodat de rechtmatigheid getoetst kan worden.
Op 14 maart 2022 hebben de bewindslieden van J&V het verslag (32317 nr 751) van de JBZ-raad van 3 en 4 maart aan de Tweede Kamer aangeboden. Er was nog geen overeenstemming over een algemene oriëntatie over haatzaaien en haatmisdrijven. Ook is een korte presentatie gegeven over het voorstel voor een Data Act.
Op 9 maart 2022 heeft de Tweede Kamer plenair gedebatteerd met de minister van EZK over het lekken van privëgegevens bij de KvK. Daarbij zijn 7 moties (32761 nrs 210 t/m 216) ingediend, waarover op 15 maart is gestemd en die vrijwel allemaal zijn aangenomen.
Op 8 maart 2022 heeft de staatssecretaris van Digitalisering samen met de ministers van EZK, J&V en voor Rechtsbescherming de Kamerbrief ‘Hoofdlijnen beleid digitalisering’ naar de Tweede Kamer gezonden (26643 nr 842). De hoofdlijnen zijn het startpunt voor de kabinetsbrede werkagenda Digitalisering. De komende maanden zal die worden geconcretiseerd in samenwerking met belanghebbenden uit de samenleving, wetenschap, bedrijfsleven en medeoverheden en met Europese partners. De digitale transitie zal vorm krijgen langs 4 thema’s: digitaal fundament, digitale overheid, digitale samenleving en digitale economie. Voor het vervolgproces zal de interdepartementale samenwerking worden versterkt door het instellen van een Ambtelijke Commissie Digitale Zaken onder de Raad Bestuur en Justitie.
Op 4 maart 2022 heeft de minister van EZK de vragen beantwoord (21501-33 nr 920) die de Tweede Kamer had gesteld over de Telecomraad van 8 en 9 maart. Nederland acht het niet zinvol om aanbieders van deepfake software aan verplichtingen te binden die gelden voor hoogrisicosystemen in de AI-verordening. Die classificatie is vooral bedoeld om te voorkomen dat in het ontwikkelproces fouten worden gemaakt. Deepfakes kunnen worden misbruikt, daarom zijn transparantieverplichtingen veel meer op hun plaats. Daarnaast bevat de brief o.a. nog wat extra toelichting op de Verordening Raamwerk Europese Digitale Identiteit, de NIB2-richtlijn en de aangekondigde Cyber Resilience Act.
Op 2 maart 2022 hebben de ministers van J&V en voor Rechtsbescherming de vragen beantwoord (32317 nr 748) die de Tweede Kamer had gesteld over de JBZ-raad van 3 en 4 maart. Er bestaat op dit moment geen op zichzelf staande definitie van haatzaaiende uitlatingen en haatmisdrijven. Een evt. vervolgvoorstel zal door Nederland en andere landen worden getoetst op de gevolgen voor het recht op vrije meningsuiting.
Op 1 maart 2022 heeft de minister van J&V de Veiligheidsmonitor 2021 (28684 nr 692) aan de Tweede Kamer aangeboden. Hieruit blijkt o.a. dat bijna 17% van de Nederlanders slachtoffer is geworden van online criminaliteit.
Op 24 februari 2022 heeft de minister van BZK de Tweede Kamer geïnformeerd (34588 nr 91) over de impact van het coalitieakkoord op het jaarplan van de AIVD en de voorbereiding van de wijziging van de Wiv2017. Het kabinet heeft enkele knelpunten geconstateerd in het cyberdomein die niet kunnen wachten op de afronding van de wijziging van de Wiv2017. Het betreft de bescherming van Nederland tegen landen met een offensief cyberprogramma. De Kamer zal op de korst mogelijke termijn over de oplossingsrichting worden geïnformeerd.
Op 23 februari 2022 hebben de bewindslieden van J&V de agenda (32317 nr 747) van de JBZ-raad van 3 en 4 maart in Brussel naar de Tweede Kamer gezonden. Mogelijk wordt daar al besloten om haatzaaien en haatmisdrijven als vorm van criminaliteit aan te merken. Een vervolgstap zou een voorstel voor een richtlijn op dat gebied kunnen zijn.
Op 18 februari 2022 heeft de Eerste Kamer vragen gesteld (35447 nr J) over de Wet gegevensverwerking door samenwerkingsverbanden. Dit wetsvoorstel is bij het aannemen ervan door de Tweede Kamer gewijzigd waarna op verzoek van de Eerste Kamer de AP, het College voor de Rechten van de Mens en de Raad van State opnieuw advies hierover hebben uitgebracht en het kabinet hierop heeft gereageerd.
Op 16 februari 2022 heeft de minister van J&V een brief (29628 nr 1069) naar de Tweede Kamer gestuurd waarin zij ingaat op de wijze waarop wordt omgegaan met veiligheids- en spionagerisico’s bij het gebruik van apparatuur door politie en de inlichtingendiensten. Zij beschrijft de bestaande risico’s en het risicobeleid bij inkoop en aanbesteding. Aanvullend geeft zij aan hoe risico’s bij het tapsysteem van de politie worden beperkt en gaat zij in op het toezicht en de beveiliging ervan.
Op 16 februari 2022 heeft de minister van VRO de vragen beantwoord (26643 nr 819) die de Tweede Kamer had gesteld over datacenters. Hij neemt per heden een voorbereidingsbesluit waardoor gedurende 9 maanden eventuele nieuwe bouwaanvragen voor hyperscale datacenters moeten worden aangehouden.
Op 14 februari 2022 heeft de minister van VWS een brief (35824 nr 12) naar de Tweede Kamer gestuurd met de aanvullende stand van zaken van enkele moties en toezeggingen over de Wet elektronische gegevensuitwisseling in de zorg.
Op 16 februari 2022 heeft de minister van VRO een brief (26643 nr 819) naar de Tweede Kamer gestuurd waarin hij de Kamer meedeelt de vragen te hebben beantwoord over datacenters. In het coalitieakkoord is aanscherping van de landelijke regie aangekondigd. Hij meldt een voorbereidingsbesluit te hebben genomen waardoor nieuwe aanvragen voor de bouw van hyperscale datatcenters negen maanden moeten worden aangehouden.
Op 16 februari 2022 heeft de minister van EZK het Jaarplan Toezicht 2022 van het Agentschap Telecom (24095 nr 557) aan de Tweede Kamer aangeboden. Drie centrale thema’s hierin zijn: energietransitie en de digitale transitie, telecomsecurity en de kwaliteit en betrouwbaarheid van mobiele netwerken.

Op 16 februari 2022 heeft de minister van EZK de agenda (21501-33 nr 916) van de Telecomraad van 8 en 9 maart in Parijs naar de Tweede Kamer gezonden. Daar zal o.a. informeel gediscussieerd worden over de opkomende internet technologieën, zoals metaverse, NFT’s en web 3.0. Het is van belang dat EU-regulering, zoals de Digital Market Act, Digital Services Act, Data Act en de AI-verordening, toekomstbestendig is.
Op 14 februari 2022 hebben de ministers van J&V en voor Rechtsbescherming het verslag (32317 nr 744) van de JBZ-raad van 3 en 4 februari naar de Tweede Kamer gestuurd. Er werd begonnen met een cybercrimesimulatie waarbij zowel het belang van preventie naar voren kwam als het minder goed kunnen uitvoeren van opsporing als gevolg van encryptie.
Op 9 februari 2022 heeft de Tweede Kamer overleg gevoerd (31288 nr 943) met de minister van OCW over internationalisering en kennisveiligheid. De minister zal de Kamer informeren over de ervaringen met het instrumentarium rondom kennisveiligheid en de bindende afspraken hierover. Ook de vormgeving van het toezicht komt dan aan de orde.
Op 8 februari 2022 heeft de Eerste Kamer de Uitvoeringswet cyberbeveiligingsverordening (35838) als hamerstuk aangenomen.
Op 7 februari 2022 heeft de minister van EZK de Tweede Kamer geïnformeerd (26643 nr 817) over de voortgang van het DTC. Daarbij wordt aandacht besteed aan de strategie en het bereik van het DTC, de samenwerking met andere organisaties, het delen van specifieke dreigingsinformatie met individuele, niet-vitale bedrijven en aan de kennisopbouw. Ook komt de voortgang van het CSIRT-DSP ter sprake. De doelen voor 2022 staan in een bijlage bij deze brief opgesomd.
Op 4 februari 2022 heeft de minister van Buitenlandse Zaken een brief (22112 nr 3296) naar de Tweede Kamer gestuurd met de Mededeling en een Raadsbesluit van de Europese Commissie inzake haatzaaiende uitlatingen en haatmisdrijven. Hierdoor ontstaat een juridische basis voor de aanpak van discriminatie op basis van geslacht, sexuele oriëntatie etc., net als bij ras of godsdienst.
Op 4 februari 2022 heeft de minister van Buitenlandse Zaken een brief (22112 nr 3292) naar de Tweede Kamer gestuurd met daarin de beoordeling van het nieuwe voorstel van de Europese Commissie voor een Prüm II-verordening. De bestaande Prüm-besluiten uit 2008 inzake uitwisseling van DNA-profielen, vingerafdrukken en voertuigregistratiegegevens worden vervangen. Tevens wordt voorgesteld gezichtsbeelden en (delen van) politiebestanden tussen lidstaten uit te wisselen. Het voorstel bevat ook de te nemen beveiligingsmaatregelen.
Op 3 februari 2022 heeft de Commissie DiZa van de Tweede Kamer overleg gevoerd (32761 nr 208) over het lekken van privégegevens bij de KvK. Het debat was een paar keer uitgesteld (inmiddels is op 10 december 2021 de Datavisie Handelsregister verschenen) en is in januari 2022 het nieuwe kabinet aangetreden. De minister zal uitzoeken of het mogelijk is via een postbusadres mensen bescherming te bieden waarbij het vestigingsadres gelijk is aan het woonadres.
Op 3 februari 2022 heeft de minister van J&V een brief (25124 nr 109) naar de Tweede Kamer gestuurd met het rapport “Informatiebeveiliging van meldkamersystemen”. Ook beschrijft ze hierin hoe de aanbevelingen worden opgepakt.
Op 1 februari 2022 heeft de Eerste Kamer de Uitvoeringswet cyberbeveiligingsverordening behandeld (35838) nr B) en had hierover geen opmerkingen.
Op 1 februari 2022 heeft de Tweede Kamer de Implementatiewet richtlijnen verkoop goederen en levering digitale inhoud (35734) aangenomen. Verkopers van slimme apparaten zijn hierdoor verplicht software- en beveiligingsupdates te leveren. De termijn hiervoor is op basis van proportionaliteit. Ook is een motie (35734 nr 14) aangenomen die pleit voor een campagne voor ondernemers en consumenten zodat zij zich meer bewust worden van het recht op garantie.
Op 1 februari 2022 heeft de minister van Defensie een brief (32761 nr 207) naar de Tweede Kamer gestuurd waarin zij aankondigt toch een onafhankelijk onderzoek te laten uitvoeren naar het op grote schaal verzamelen van data van burgers door het LIMC. De juridische kaders waarbinnen militairen zo veilig mogelijk kunnen werken moeten daarmee helder worden.
Op 1 februari 2022 hebben de ministers van J&V en voor Rechtsbescherming de vragen beantwoord ((32317 nr 737) die de Tweede Kamer had gesteld over de agenda van de JBZ-raad van 3 en 4 februari.
Op 31 januari 2022 heeft de minister van OCW een brief (xxxxx nr xxx) naar de Tweede Kamer gestuurd over de voortgang van en vooruitblik op de aanpak van kennisveiligheid hoger onderwijs en wetenschap. Er is een Nationale Leidraad Kennisveiligheid gepubliceerd waarmee bestuurders van kennisinstellingen die te maken hebben met internationale samenwerking kansen en (veiligheids)risico’s tegen elkaar kunnen afwegen. Ook is een Rijksbreed Loket Kennisveiligheid van start gegaan waar Nederlandse universiteiten, hogescholen en onderzoeksinstituten terecht kunnen voor expertise en advies.
Op 25 januari 2022 hebben de bewindslieden van J&V de geannoteerde agenda van de JBZ-raad van 3 en 4 februari in Lille (32317 nr 736) aan de Tweede Kamer aangeboden. Frankrijk wil als voorzitter voorafgaand aan de Raad een cybercrime simulatie organiseren, omdat de opsporing vaak grensoverschrijdend is. Tijdens de Raad zal gediscussieerd worden over de bestrijding van haatzaaien. Momenteel is nog geen discussiestuk beschikbaar. De Digital Services Act beoogt de rol van digitale platformen bij het tegengaan van illegale inhoud nader te reguleren.
Op 20 januari 2022 heeft de Tweede Kamer de Uitvoeringswet cyberbeveiligingsverordening (35838) als hamerstuk aangenomen. Met deze wet wordt een Europees kader voor cyberbeveiligingscertificering voor ICT-producten, -diensten en –processen ingesteld. De wet bevat bepalingen over procedures, handhaving, rechtsbescherming en de aanwijzing van uitvoeringsorganen. De taken voor de Nederlandse Nationale Cybersecurity certificeringsautoriteit (NCCA) zullen worden belegd bij het Agentschap Telecom.
Op 17 januari 2022 heeft de minister voor Rechtsbescherming het rapport “Deepfakes: De juridische uitdagingen van een synthetische samenleving” (26643 nr 815) aan de Tweede Kamer aangeboden. Het onderzoek richt zich primair op het gebruik van deepfakes in horizontale relaties, tussen burgers onderling. De minister verwacht in het voorjaar de kabinetsreactie naar de Tweede Kamer te kunnen zenden.
Op 14 januari 2022 heeft de staatssecretaris van Defensie gereageerd (35728 nr 4) op de uitgangspuntennotitie Grensverleggende IT (GrIT) van de Tweede Kamer. Hij zal de notitie als leidraad gebruiken voor de rapportages, maar kan niet alle uitgangspunten volledig overnemen. Waar relevant voor het programma GrIT zal hij de Kamer informeren over de voorziene beveiliging en de borging van de digitale weerbaarheid. Indien nodig zal hij een commercieel vertrouwelijke bijlage toevoegen aan de basisrapportage.
Op 10 januari 2022 heeft Koning Willem-Alexander de nieuwe staatssecretaris voor Koninkrijksrelaties en Digitalisering beëdigd. Zij zal de strategische hoofdlijnen bij digitalisering bewaken en de aankomende maanden de plannen verder vorm geven. De uitgewerkte plannen per beleidsterrein worden met de Voorjaarsnota – uiterlijk 1 juni 2022 – in de Tweede Kamer behandeld.
Op 6 januari 2022 heeft de staatssecretaris van BZK een brief (26643 nr 813) naar de Tweede Kamer gestuurd waarin hij voor de laatste maal de Kamer informeert over de voortgang van de maatregelen uit de Strategische I-agenda voor de Rijksdienst 2019 – 2021. Bij de brief zit een bijlage met een overzicht van maatregelen en de stand van zaken op de door de Algemene Rekenkamer geconstateerde onvolkomenheden op ICT en informatiebeveiliging, uitgesplitst per ministerie.

Actuele ontwikkelingen op het terrein van cybersecurity en aanpalende domeinen

Laatste nieuws

Voorgenomen toelating nieuwe RE's

NOREA lanceert Taskforce DORA

Korte enquête over de rol van de IT-auditor bij duurzaamheid

IIA stopt met kwaliteitstoetsingen voor NOREA en NBA

Ledenvergadering najaar 2023