Meer documenten
Disclaimer: deze transcriptie is geautomatiseerd omgezet vanuit audio en dus geen officieel verslag. Om de transcripties verder te verbeteren wordt constant gewerkt aan optimalisatie van de techniek en het intrainen van namen, afkortingen en termen. Suggesties hiervoor kunnen worden gemaild naar info@1848.nl.
Naar aanleiding van de voorgenomen overname van het bedrijf Solvinity (deels vertrouwelijk)
[0:00:00] We gaan starten met de technische briefing naar aanleiding van de voorgenomen overname van het bedrijf Solfinity.
[0:00:08] Eerder was aangekondigd dat deze technische briefing deels vertrouwelijk is.
[0:00:12] Dat kan ook nog steeds zo zijn, maar in principe hoeft het niet.
[0:00:15] Want ook onze gasten hebben aangegeven, alles wat in openbaarheid kan, dat kan.
[0:00:20] En dat gaan we zoveel mogelijk proberen.
[0:00:22] Maar er kunnen natuurlijk vragen tussen zitten van Tweede Kamerleden.
[0:00:26] en het antwoord zal dan toch in vertrouwen moeten, dan doen we het wel.
[0:00:30] Dus we kunnen niet helemaal zeggen of het gaat gebeuren of niet, maar de mogelijkheid is er.
[0:00:36] Wij van de Tweede Kamer, dat is niet Koninklijk Meervoud, maar wij van de Tweede Kamer zijn ongelooflijk blij dat er ambtenaren van BZK, Logies, JNV en EZ zijn vandaag om ons via een technische briefing beter te informeren.
[0:00:52] Ik wil heel graag toch nog even ze allemaal opnoemen.
[0:00:55] Aart de Blauw van BZK, directeur CEO Rijk en Digitaliseringsbeleid.
[0:01:02] Dan Hilly Buijnen van BZK, programmadirecteur Taskforce Continuïteit ICT Dienstverlening.
[0:01:08] Martijn Lucassen van EZ, directeur Digitale Economie.
[0:01:12] Bert Voorbaak van Logius, Algemeen Directeur.
[0:01:16] Mark Vermeer van Binnenlandse Zaken, directeur Digitale Veiligheid.
[0:01:20] En de heer Perenboom van JNV, directeur Informatievoorziening en Inkoop.
[0:01:25] Ongelooflijk fijn dat u er bent.
[0:01:28] Dan is het ook het handigst, zeg ik even richting de collega's, dat we gaan beginnen met de technische briefing en de presentatie.
[0:01:37] Het is het meest handig om die even helemaal af te maken en dat we dan beginnen met een...
[0:01:42] vragenronde en we hebben in totaal anderhalf uur.
[0:01:47] En dan geef ik het woord aan onze gasten.
[0:01:54] Dank u wel, voorzitter.
[0:01:56] Achtervoorzitter en leden van de Commissie Digitale Zaken, het is erg fijn om u als nieuwe leden van de commissie te treffen en we gaan elkaar zeker vaker ontmoeten en hopen op een goede samenwerking.
[0:02:09] Ik wil uw Kamer ook bedanken voor de uitnodiging om in deze technische briefing de complexiteit van de voorgenomen overname van Sofinity door Kindredel ten aanzien van de dienstverlening aan de overheid te bespreken.
[0:02:20] Wij begrijpen ook de zorgen die er bij de Kamer en in de samenleving zijn rondom deze voorgenomen overname.
[0:02:26] Middels deze briefing willen we u zo goed mogelijk informeren over de feitelijke situatie.
[0:02:32] We hebben daartoe een presentatie voorbereid en daar zullen we de volgende onderwerpen bespreken.
[0:02:37] Eerst een korte toelichting op het beleid ten aanzien van digitale autonomie.
[0:02:42] Vervolgens gaan we in op de dienstverlening die Solvenity aan de overheid levert.
[0:02:46] Vervolgens zullen we ook de mededingings- en investeringstoets toelichten.
[0:02:50] Daarna volgt de toelichting van de situatie bij logiërs en bij justitie en veiligheid.
[0:02:56] Elk onderdeel zal worden toegelicht door een van mijn collega's.
[0:02:59] Ik zal zelf kort het stuk over digitale autonomie toelichten.
[0:03:03] Reeds in 2023 heeft het kabinet de agenda Digitale Open Strategische Autonomie gepubliceerd.
[0:03:10] Vervolgens is de visie digitale autonomie en soevereiniteit van de overheid vastgesteld in de ministerraad afgelopen december en ook aan uw kamer toegezonden en die geeft een nadere uitwerking voor het onderwerp voor de overheid.
[0:03:23] Deze visie schetst hoe de overheid aan de hand van leidende principes en strategische bouwstenen stapsgewijs werkt aan het versterken van de digitale autonomie en soevereiniteit, met als doel ongewenste afhankelijkheden te verminderen en de weerbaarheid van de overheid te vergroten.
[0:03:39] De overheid voelt breed de noodzaak om gezamenlijk aan dit belangrijke thema te werken.
[0:03:44] Het gaat erbij om een risicogebaseerde aanpak, ook op het gebied van afhankelijkheden.
[0:03:49] Het analyseren en mitigeren van risico's staat centraal bij het nemen van maatregelen.
[0:03:54] Digitale autonomie is ook een onderdeel van de Nederlandse digitaliseringstrategie, die inzet op samenhang, gezamenlijke uitvoering en het versterken van de digitale weerbaarheid.
[0:04:04] Binnen de NDS werken we daarom concreet aan het verkennen van soevereine cloudoplossingen, het opstellen van overheidsbreed beleid en praktische handreikingen voor digitale autonomie, het aanscherpen van de IT-sourcingstrategie en het stimuleren van gezamenlijke keuzes en uitvoering, zodat de overheid stap voor stap meer grip krijgt op haar digitale fundament.
[0:04:25] Op een ander moment neem ik u graag mee in deze verdere ontwikkelingen, maar nu focussen we ons graag op de casus affinity waar uw Kamer om heeft gevraagd.
[0:04:33] Toen de voorgenomen overname bekend was, werd mij al snel duidelijk dat er meerdere overheidsorganisaties geraakt worden door deze overname.
[0:04:41] Daarom heb ik toen de taasvors Continuïteit ICT-dienstverlening gevraagd om de coördinatie hierover te doen, de risico's in kaart te brengen en ook maatregelen voor te stellen.
[0:04:51] Ik geef graag het woord aan Hilly Buijnen, de programmadirecteur van deze taasvors.
[0:04:59] Dank.
[0:05:00] Voorzitter, leden van deze commissie.
[0:05:03] De Taskforce Continuïteit ICT Dienstverlening heeft de coördinatie opgebakt, zoals Art net zei.
[0:05:08] Wekelijks overleggen wij met de betrokken overheidsorganisaties en hebben wij een aantal onderzoeken uitgezet.
[0:05:16] Allereerst om het risicobeeld van de huidige dienstverlening in kaart te brengen.
[0:05:20] Verder hebben wij de landsadvocaat om advies gevraagd met een aantal vragen in relatie tot deze casus.
[0:05:26] In de tussentijd zijn we ook samen met de landse advocaat met Solfinity en Kindrel in gesprek over generieke aanvullende maatregelen ten aanzien van dataveiligheid, zeggenschap en continuïteit.
[0:05:37] Deze onderhandelingen lopen nog.
[0:05:40] Daarnaast maken enkele overheidsorganisaties ook afspraken over aanvullende, specifieke, met name technische maatregelen.
[0:05:48] En dit geheel zal worden ingebracht in de interdepartementale taskforce Economische Veiligheid, waar een integrale afweging zal worden gemaakt
[0:05:56] van de verschillende analyses die wij doen.
[0:05:58] En tevens kan daar besluitvorming over de opvolging hiervan plaatsvinden.
[0:06:07] De dienstverlening.
[0:06:09] Ik gaf al aan, we hebben in kaart gebracht aan de hand van contracten, gesprekken met de verschillende organisaties, welke dienstverlening precies wordt afgenomen.
[0:06:18] Dat ziet u hier in beeld.
[0:06:20] Dat gaat eigenlijk van specifieke dienstverlening voor BZK Logius, JNV,
[0:06:25] tot en met dienstverlening ten aantie van Microsoft-aspecten.
[0:06:35] We hebben natuurlijk ook gekeken van wat is nou de impact van de overname en welk risico treedt dan op.
[0:06:41] Daar ziet u nu hier een overzicht van.
[0:06:44] Eigenlijk hebben we een viertal smaken wat betreft de dienstverlening die u hier ook ziet.
[0:06:49] De private dedicated hosting, de shared private hosting en Microsoft-gerelateerde diensten.
[0:06:55] waarvan eigenlijk de eerste twee, daar met name het risico, zich vergroot door de overname.
[0:07:01] Als we spreken over private dedicated hosting voor JNV en Logius, betekent dat er voor ieder van die organisaties een eigen omgeving is die niet wordt gedeeld met andere klanten.
[0:07:12] Er worden aanvullende technische maatregelen genomen om het risico verder in te perken.
[0:07:16] Dat zullen deze organisaties straks zelf nog toelichten.
[0:07:19] Bij shared private hosting is er sprake van een omgeving die gedeeld wordt door meerdere klanten, ook buiten de overheid.
[0:07:26] Er wordt nog gekeken naar de technische mogelijkheden tot verder inbeperking van die risico's.
[0:07:31] Die mogelijkheden zijn enigszins beperkt, doordat deze omgeving door meerdere klanten wordt gebruikt.
[0:07:44] Als we dan kijken naar het advies van de landsadvocaat, het conceptadvies wat wij tot dusver hebben gekregen, is het van belang om met jullie te delen dat als Solfinity zou worden overgenomen door Kindereel, Solfinity natuurlijk onder het bereik komt te vallen van Amerikaanse wetgeving.
[0:08:01] In algemene zin kan gezegd worden dat de drie wettelijke instrumenten die hier zijn genoemd het mogelijk maken dat de autoriteiten in de Verenigde Staten onder de in deze wetgeving genoemde voorwaarden toegang kunnen krijgen
[0:08:13] tot de gegevens waarover een Amerikaanse onderneming beschikt, ook wanneer de gegevens zich bevinden onder een Europees dochtervennootschap en op servers buiten de Verenigde Staten.
[0:08:25] Dat betekent concreet dat als Solfinity wordt overgenomen door een onderneming met een Amerikaanse moedermaatschappij, het gevolg daarvan kan zijn dat de autoriteiten in de Verenigde Staten in voorkomend geval gegevens kunnen opvorderen die door Solfinity in opdracht van haar overheidsklanten worden verwerkt.
[0:08:42] Deze voorgenomen transitie brengt daarom nieuwe risico's met zich mee.
[0:08:47] En wij zijn ook echt in gesprek met beide leveranciers om aanvullende maatregelen te nemen om dit risico zo veel mogelijk te beperken.
[0:09:02] Wat zijn die maatregelen dan?
[0:09:04] We spreken eigenlijk over generieke en specifieke maatregelen.
[0:09:09] Daar hebben we het eigenlijk voor alle overheidsklanten zijn we dat aan het bewerkstelligen.
[0:09:14] Wij zijn vanaf voor kerst twee wekelijks met Solfinity en Kindril om tafel gaan zitten om dat allemaal te bespreken.
[0:09:23] De inzet is dat de overheidsklanten van Solfinity de kans op ongewenste toegang tot de gegevens die Solfinity verwerkt
[0:09:31] ten behoeve van de overheidsklanten, dat die verkleind wordt en daarmee ook bijdragen aan meer veiligheid en een betere continuïteit van de dienstverlening van Solfinity.
[0:09:41] En waar hebben we het dan over?
[0:09:42] Bijvoorbeeld dat Solfinity geen derde inschakelt zonder toestemming van de overheidsklanten.
[0:09:48] En ook dat Solfinity gebruik maakt van eigen medewerkers tenzij anders overeengekomen.
[0:09:54] De personen en hulppersonen die Solfinity inschakelt een EU-nationaliteit hebben tenzij anders overeengekomen.
[0:10:00] En hier ziet u verder op de sheet overige maatregelen waar wij met hen over in gesprek zijn.
[0:10:06] Om een beeld te geven, tot dusver is er overeenstemming over 70 tot 80 procent van de maatregelen.
[0:10:12] Overleggen gebeuren in goede afstemming en we hopen er eigenlijk spoedig met hen uit te zijn.
[0:10:35] Zo, excuus.
[0:10:37] Goedemiddag, dank voor het woord.
[0:10:38] Voorzitter, goed hier te zijn.
[0:10:41] Vanuit mijn rol als directeur Digitale Economie wil ik graag iets toelichten over de rol van de overheid bij overnames en investeringen in het digitale domein, specifiek waar het gaat om mededinging enerzijds en zeggenschap anderzijds, en hoe deze rollen wettelijk en procesmatig zijn vastgelegd.
[0:10:59] Mijn directie, Digitale Economie, is beleidsverantwoordelijk voor de digitale economie en de digitale infrastructuur, waaronder het vitale proces ICT-Telecom.
[0:11:13] Vanuit die hoedanigheid is mijn directie ook beleidsverantwoordelijk voor één van de investeringstoetsen, te weten de sectorspecifieke wet Ongewenste Zeggenschap Telecommunicatie, onderdeel van de Telecomwet.
[0:11:25] We kennen dus voor investeringenfusies en overnames twee afzonderlijke type overheidstoetsen.
[0:11:31] Allereerst de mededingingstoets.
[0:11:34] Ik zal trouwens de slide even aanzetten.
[0:11:38] Deze toets is gericht op het borgen van eerlijke concurrentie en een goed functionerende markt.
[0:11:44] De uitvoering daarvan ligt bij de ACM, de Autoriteit Consument en Markt, op basis van de mededingingswet.
[0:11:50] De ACM beoordeelt of een fusie, een overname of een joint venture kan leiden tot een significante beperking van de mededinging.
[0:11:57] En op basis daarvan wordt vervolgens besloten wel of geen vergunning af te leveren.
[0:12:03] Daarnaast is er een ander type investeringstoetsing en die richt zich op mogelijke risico's voor de nationale veiligheid.
[0:12:10] Deze toetsing komt voort uit de wet Veiligheidstoets Investeringen, Fusies en Overnames, de wet VIFO.
[0:12:16] Of er is ook sectorspecifieke wetgeving, zoals de door mij net al genoemde wet Ongewenste Zeggenschap Telecom onder de Telecommunicatiewet.
[0:12:27] Toetsing van beide veiligheidszeggenschapstoetsen wordt uitgevoerd door het bureau Toetsing Investeringen van Economische Zaken.
[0:12:39] En in de casus Solfinity wordt getoetst op grond van de WOZT.
[0:12:44] Bij dergelijke investeringstoetsing staat dus niet de marktwerking centraal, maar de vraag of zeggenschap of invloed van nationale veiligheidsrisico's kan opleveren voor vitale processen of gevoelige technologie.
[0:12:57] Ik echt eraan om te benadrukken dat het hier echt om onafhankelijke toezichtsprocessen gaat, ieder met een eigen doelstelling, eigen beoordelingskader en eigen wettelijke grondslag voor respectievelijk dus mededinging en investeringstoetsing.
[0:13:12] En dat geschiet dus ook door onafhankelijke toezichthouders, zoals ik die net noemde.
[0:13:15] Die onafhankelijkheid is ook wettelijk verankerd en vormt echt een essentieel onderdeel van de rechtszekerheid voor alle betrokken partijen.
[0:13:23] Een belangrijk aspect om mee te geven, ook vandaag, is dat beide toetsen een opschortende werking kennen.
[0:13:30] In de praktijk betekent dat dat 1. zodra er een transactie is gemeld en 2. vervolgens ook is vastgesteld dat deze onder het doelbereik van een van die beide wetten valt, de partijen de transactie nog niet mogen uitvoeren.
[0:13:46] Dit is het geval totdat het volledige toetsingsproces is afgerond en er een formeel besluit is genomen.
[0:13:52] De toezichthouders doorlopen vervolgens de wettelijk vastgelegde proces en bij de mededingingstoets van de ACM kan dat bestaan uit een eerste beoordeling en indien nodig, een verdiepend onderzoek die uiteindelijk leidt tot wel of niet vergunningverlening.
[0:14:09] Bij de investeringstoets die het bureau Toetsingsinvesteringen doet, wordt beoordeeld of nationale veiligheidsrisico's aanwezig zijn en of deze middels maatregelen kunnen worden ondervangen.
[0:14:20] Samenvattend, beide toetsen lopen momenteel en worden onafhankelijk uitgevoerd.
[0:14:25] Dat borgt ook een zorgvuldig en transparant rechtsstatelijk proces.
[0:14:29] En we zullen de uitkomsten van beide toetsen moeten afwachten.
[0:14:33] Dank.
[0:14:41] Voorzitter, geachte leden van de commissie, dank u wel om de gelegenheid te krijgen om in een technische briefing de complexiteit van de overname van, de mogelijke overname van Sofinity door Kinderal te komen toelichten en de complexiteit die dat voor de dienstverlening van Logius betekent.
[0:14:59] Afgelopen weken, en volgens mij praat ik inmiddels over enkele maanden, ben ik ook persoonlijk benaderd door bezorgde burgers, door bedrijven, door journalisten met de boodschap dat dit toch wel grote gevolgen heeft.
[0:15:13] En ik deel die zorgen en ben me ook bewust van het belang van de dienstverlening van loodjes voor de maatschappij en het functioneren van de digitale overheid.
[0:15:21] Logisch is verantwoordelijk voor het beheren en doorontwikkeling van veelgebruikte diensten binnen de digitale overheid.
[0:15:27] En de bekendste diensten zijn er veel, maar de bekendste diensten zijn dan DigiD, Mijn Overheid, E-Erkenning en DigiPort.
[0:15:34] En met deze diensten kunnen burgers en bedrijven op een veilig, betrouwbare en toegankelijke manier zaken doen met de overheid.
[0:15:43] Als ik dan inzoom op DigiD... DigiD is inmiddels uitgegroeid in de twintig jaar dat het nu bestaat.
[0:15:49] tot een van de meest kritieke digitale voorzieningen die we binnen de Nederlandse overheid kennen.
[0:15:55] Miljoenen burgers en bedrijven vertrouwen dagelijks op deze voorziening en de toegang tot essentiële publieke diensten.
[0:16:02] De betrouwbaarheid, veiligheid, maar toch zeker ook de continuïteit van DGD zijn daarmee niet alleen technisch vraagstuk, maar raken direct aan het functioneren van onze rechtsstaat, het vertrouwen van de burgers in de overheid en ook steeds nadrukkelijker de nationale veiligheid.
[0:16:18] DGD kent inmiddels 16,5 miljoen gebruikers.
[0:16:23] En jaarlijks, en ik denk dat dat verkeerd op de sheet staat, in 2025 hebben wij 645 miljoen authenticaties door DGD heen zien gaan.
[0:16:34] En dat getal groeit jaarlijks met ongeveer 10 tot 15 procent.
[0:16:39] De verwachting is dat dat in 2026 groeit tot boven de 700 miljoen.
[0:16:43] Daarmee is de continuïteit van de dienst echt heel belangrijk.
[0:16:47] Die gedekent een beschikbaarheidspercentage van meer dan 99,5 procent en dat geeft burgers het gevoel dat het altijd en overal werkt en dat deze norm die wordt al jaren gehaald.
[0:17:03] Vanuit onze opdrachtgever, vertegenwoordigd hier in de persoon van de heer Vermeer, krijgt Logius de opdracht mee om alle mogelijke juridische, organisatorische en technische maatregelen te nemen om de veiligheid en de continuïteit van overheidsdienstverlening te garanderen.
[0:17:21] Wat is dan die rol van Solvenity binnen Logius?
[0:17:26] Wij kennen inmiddels een relatie met Solfinity die al een aantal jaren bestaat, namelijk sinds 2020.
[0:17:34] En onder onze aansturing doet Solfinity het technisch beheer, het ontwerp, de bouw van het platform waar de diensten op draaien.
[0:17:43] Voor het beheer en de ontwikkeling van de diensten zelf, zoals IGD, maken wij gebruik van andere dienstverleners.
[0:17:50] Dat doen wij vaak met eigen mensen, maar soms ook met andere partners.
[0:17:55] wel toch hier benadrukken dat Solvenity geen rol heeft in het ontwikkelen en het beheren van DGD.
[0:18:04] Ze beperken zich tot het platform.
[0:18:07] Die functiescheiding hebben we ook expliciet aangebracht door de applicatie en het platform van elkaar te scheiden en daar ook verschillende groepen medewerkers op in te zetten dan wel het uit te besteden aan een dienstverlener.
[0:18:21] Naast deze functionele taakstelling hebben wij nog een functiescheiding toegepast, namelijk alle gegevens, die worden ook verzameld in het Security Operating Center.
[0:18:33] Dat is een apart instituut binnen Logius en die heeft als taak om de beheerpartijen ook te controleren.
[0:18:43] Veilig zaken doen met de overheid is een van de belangrijkste speerpunten van Logius.
[0:18:47] Voor de beveiliging van de diensten en de data hebben we een combinatie van juridische, organisatorische, procedurele en technische maatregelen.
[0:18:56] Dat vind ik belangrijk om dat nog even te benadrukken.
[0:18:58] Het beperkt zich dus niet alleen door de techniek, maar er zijn dus veel factoren noodzakelijk om de veiligheid van de data te garanderen.
[0:19:13] De voorgenomen overname van Sofinity Don't Kindle vindt plaats in een veranderende wereld.
[0:19:18] Dat realiseren wij ons.
[0:19:19] Voor logisch betekent dit dat we steeds kritischer zijn gaan kijken naar de manier waarop wij omgaan met onze toeleveringsketens en onze digitale infrastructuur.
[0:19:28] Ook zijn we ons bewust dat keuzes en gemaakte contractuele afspraken en ook de gemaakte risicoafwegingen in het verleden niet altijd meer passend zijn en misschien wel aan een herziening toe zijn.
[0:19:39] Sinds november 25 zijn wij dan ook gestart met het in kaart brengen van de security, de privacy en de juridische risico's die de voorgenomen overname met zich meebrengen.
[0:19:51] De uitkomsten van deze analyses gebruiken we om additionele maatregelen te bepalen.
[0:19:58] Denk daarbij aan additionele maatregelen, technische maatregelen als extra versleuteling, maar ook procedurelen als kijken naar de taakverdeling tussen Logius en Solvenity.
[0:20:08] Dit is maatwerk per voorziening.
[0:20:13] Bij het bepalen van die maatregelen hebben we ook aandacht voor de mogelijke gevolgen voor de continuïteit.
[0:20:18] Ik heb u daarnet in de vorige sheet uitgelegd dat de continuïteit van de GGD voor ons cruciaal belang is.
[0:20:25] Dus ook vertraging van lopende ontwikkelingen benodigt extra budget en het voorkomen van onrechtmatigheid nemen we daarin mee.
[0:20:36] Zoals gezegd heeft Logius allerlei maatregelen genomen om de veiligheid en de beschikbaarheid van diensten te waarborgen.
[0:20:42] Tegelijkertijd werken we wel in een hele complexe IT-keten.
[0:20:47] En in die keten kunnen risico's nooit helemaal uitgesloten worden.
[0:20:50] Vooral ook omdat er zoveel partijen bij betrokken zijn.
[0:20:57] We hebben ook geanalyseerd wat dan de gevolgen zijn voor de overname voor DGD.
[0:21:03] Nou, DGD, ik heb het u daarnet uitgelegd, wordt beheerd door een aparte bedrijf.
[0:21:09] Dat betekent dat de eisen voor veiligheid en privacy onafhankelijk van de overname gegarandeerd blijven.
[0:21:20] Daar hebben we verschillende vormen van toegang, beveiliging en versleuteling op toegepast.
[0:21:26] Solvenity heeft op het huidige contract alleen toegang tot het IP-adres en het e-mailadres van burgers, zoals dat in DGD is geregistreerd.
[0:21:35] En deze gegevens zijn ook echt nodig binnen Solvenity om DGD goed te kunnen laten werken en te laten beheren.
[0:21:43] Vanuit onze architectuurprincipes, privacy by design en safety by design, zijn alle andere maatregelen ook genomen.
[0:21:50] En die principes gelden ook op de partij Solvenity.
[0:21:56] We onderzoeken voor alle diensten op het platform dat Sustainability beheert welke aanvullende maatregelen nodig zijn.
[0:22:02] En dat doen we dus ook voor DGD en alle andere voorzieningen.
[0:22:08] Maar daar hebben we ook al een aantal maatregelen die al actief zijn, nog voordat die overname in beeld kwam.
[0:22:15] Zoals het beperken van de toegang tot het beheerplatform tot slechts enkele medewerkers.
[0:22:22] Wat die medewerkers doen, staat ook expliciet beschreven in beheerprocedures.
[0:22:27] En daar zijn ook autorisaties aan toegekend.
[0:22:31] Wat deze beheerpartijen doen, wordt ook expliciet vastgelegd en gelogd.
[0:22:37] En die logging van die acties wordt ook doorgestuurd naar het Security Operations Center bij Logius, zoals ik dat u daarnet voorgedragen heb.
[0:22:47] Dat biedt ons ook gelegenheid om te controleren of de beheerpartijen zich binnen de vastgestelde regels begeven.
[0:22:56] Verder hebben we ook diverse technische maatregelen om ongeautoriseerde beheertoegang te voorkomen.
[0:23:04] Maar daarnaast zijn we wel bezig om met deze overname in beeld na te denken over of er toch niet additionele maatregelen nodig zijn.
[0:23:12] Technisch, bijvoorbeeld door extra gegevens te gaan versleutelen in de databases.
[0:23:18] Die maatregelen moeten we wel goed beoordelen, want extra maatregelen kunnen ook betekenen bijvoorbeeld performanceverlies op de applicaties.
[0:23:28] Ook kijken we naar de maatregelen die betrekking hebben op de verdeling tussen de taken van Logius en de beheerpartij Solvenity.
[0:23:38] Het zou kunnen zijn dat wij een aantal taken van Solvenity over gaan nemen naar Logius.
[0:23:43] Ook daar moeten we goed naar kijken, want dat zijn taken die wij nu als Logius niet uitvoeren, waar wij dus ook de capaciteit en de mensen niet voor hebben.
[0:23:51] Dat is schaarste capaciteit en dat moeten we nog gaan opbouwen.
[0:23:55] Kortom, al die maatregelen kennen specifieke risico's met voor- en nadelen.
[0:24:01] Er is geen optimale oplossing die op korte termijn alle risico's volledig kan wegnemen.
[0:24:10] Uiteindelijk is de oplossing dat de overheid zelf regie neemt.
[0:24:14] Logis ondersteunt dan ook van gans harte de ontwikkeling van de Nederlandse digitaliseringstrategie, waarin staat om de baas te blijven over onze gegevens en ervoor te zorgen dat burgers en ondernemers erop kunnen vertrouwen dat hun gegevens in goede handen zijn, moet de overheid investeren in de NDS, in een overheidsbrede, soevereine clouddienst.
[0:24:38] Wat zijn dan die gegevenswerken die Solvenity voor DigiDate doet?
[0:24:42] U zit in het lijstje twee kolommen.
[0:24:44] De kolom A, dat is de kolom waarop een burger een nieuwe DGD-account gaat aanvragen.
[0:24:52] Dan vragen we aan de burger om een aantal gegevens in te voeren tot het moment dat het account kan aangemaakt worden.
[0:24:59] Dat account wordt opgeslagen in de database.
[0:25:01] De gegevens die de burger op dat moment heeft ingevoerd, dat zijn vluchtige gegevens, die worden daarna meteen vernietigd.
[0:25:07] Aan de rechterkant ziet u het proces hoe een overheidsdienst een verzoek kan indienen om een burger te authenticeren bij Logius.
[0:25:18] Wat ik al zei, aan de linkerkant zien we dat vooral het IP-adres en het e-mailadres als verwerkingsgegevens gebruikt worden.
[0:25:27] En bij regulier beheer in de database krijgt Solvenity geen toegang tot deze gegevens.
[0:25:34] En die gegevens betreffen dan het BSN,
[0:25:36] want ieder DGD-account is gekoppeld aan de BSN.
[0:25:39] Het authenticatiemiddel, maar ook het telefoonnummer en het e-mailadres van de burger, die hebben we namelijk nodig om bijvoorbeeld een sms voor een authenticatie te versturen.
[0:25:51] Verder wordt inderdaad best vastgelegd wat de transactielogging betreft.
[0:25:55] Dus om de gebruiksgeschiedenis van de burger te kunnen vastleggen.
[0:26:00] Dit is de situatie in regulier beheer.
[0:26:03] In niet-regulier beheer
[0:26:05] Zou u kunnen denken aan kwadwillendheid, kunnen we kijken naar zoveel mogelijk gebruik te maken van autorisatiemodellen, maar ook, wat ik u daarstraks zei, door het detecteren van gebruik wat niet binnen de regels past.
[0:26:23] Hoe kijken wij als Logis naar het toekomstperspectief?
[0:26:27] Logis heeft in 2025 een hereikte visie op haar infrastructuur vastgesteld.
[0:26:33] En ons grote doel zou zijn om uiteindelijk toe te groeien naar een Nederlandse cloud, een overheidscloud, waardoor we geen gebruik meer moeten maken van commerciële partijen.
[0:26:47] Dit is een herrijkte visie die we in 2025 vastgesteld hebben.
[0:26:53] Ons contract nu met Solvenity loopt uiterlijk af in 2028.
[0:26:58] met de opmerking daarbij geplaatst dat daar nog wel een verlengingsoptie van twee jaar in zit die wij in 2026 moeten afroepen.
[0:27:12] Omdat wij het idee hadden dat wij niet op tijd die Nederlandse cloud zouden hebben, zijn we al wel begonnen met het nadenken over de opvolging van het contract, want we willen niet in onrechtmaligheid terechtkomen.
[0:27:26] Dat betekent dat wij concreet een heraanbesteding voor gaan stellen.
[0:27:32] Die is in een ververvorde stadium voorbereid en het idee is dat wij die in maart gaan publiceren.
[0:27:38] De exacte details hoe we die publicatie gaan doen en wat de vorm van de aanbesteding zal zijn, moet nog vastgesteld worden.
[0:27:51] En nogmaals, in de long run denken wij dat een Nederlands overheidscloud een mooie oplossing voor ons zou zijn.
[0:28:06] Geachte voorzitter, geachte leden van de Kamer, Commissie Digitale Zaken.
[0:28:11] Veilige verbindingen met externe netwerken zijn van vitaal belang voor de dienstverlening van het ministerie van Justitie en Veiligheid aan burgers en bedrijven.
[0:28:19] Digitale dreigingen nemen toe.
[0:28:20] Data- en informatiesystemen zijn aantrekkelijke doelwitten.
[0:28:24] Daarom moet een toegangs- en informatiebeveiliging onberustelijk op orde zijn.
[0:28:28] Voor de beveiligde toegang tot externe netwerken is het cybersecurityplatform UBIT ingericht.
[0:28:33] En UBIT staat voor Justitiële Beveiligde Internet Toegang.
[0:28:38] UBIT wordt geleverd door Solfinity als combinatie van security hosting en monitoringsdiensten, zodat kwadratig verkeer wordt gefilterd en aanvallen op gemeenschappelijke diensten, vitale systemen en het interne netwerk worden voorkomen.
[0:28:50] Solfinity levert deze dienst sinds 2012 aan justitie en veiligheid.
[0:28:54] En het huidige contract loopt af.
[0:28:56] op 21 januari 2029.
[0:28:58] Naast Hubert verzorgt Solvenity de hosting van circa 150 applicaties, waarvan voor een deel ook het applicatiebeheer.
[0:29:07] Een deel hiervan valt onder de centrale coördinatie en kaders van de CIO van de Justitie en Veiligheid en voor een deel zijn de JNV-onderdelen zelf opdrachtgever en verantwoordelijk voor deze applicaties.
[0:29:19] Zij maken daarin hun eigen risicoinschatting en kiezen passende mitigerende maatregelen, tot en met een migratie naar een andere leverancier.
[0:29:27] In deze technische briefing sta ik kort stil met drie cruciale voorzieningen voor de continuïteit van de dienstverlening van justitie en veiligheid.
[0:29:34] Dat zijn UBIT, die ik net al even kort aanstipte, UBES en de bestandenpostbus.
[0:29:40] Hubert vormt het beveiligde koppelvlak tussen het interne vertrouwde netwerk van justitie en veiligheid en externe netwerken zoals het internet, de Haagse Ring en die met ketenpartners.
[0:29:50] De dienstverlening omvat naast de beveiligingsinfrastructuur ook aanvullende gemeenschappelijke diensten zoals e-mail-relay en een substantieel aandeel van de webhosting.
[0:29:59] Jubit is daarmee het digitale verkeersplein waar langs alle JNV communicatie loopt.
[0:30:03] Uitval zou ertoe leiden dat een groot deel van de primaire processen stilvalt.
[0:30:08] Vanwege de aard en de centrale positie van deze voorziening is migratie naar een andere aanbieder complex en risicovol.
[0:30:16] De doorlooptijd van een zorgvuldige migratie bedraagt na verwachting minimaal 18 maanden.
[0:30:23] UBIS, staat voor Justitie Berichtenservices, is een kernapplicatie binnen UBIT en fungeert als berichtenmakelaar voor de digitale informatieuitwisseling tussen JNV-onderdelen en de partners buiten JNV.
[0:30:35] UBIS zorgt ervoor dat berichten veilig, betrouwbaar en volgens afgesproken standaarden op de juiste plaats aankomen.
[0:30:43] U kunt UBIS zien als een soort centrale postkantoor en de aangesloten systemen zijn de brievenbussen.
[0:30:48] Jaarlijks worden meer dan 500 miljoen berichten uitgewisseld via U-Bus tussen meer dan 300 ketenpartners.
[0:30:56] Voor deze voorzieningen is optimale beschikbaarheid noodzakelijk.
[0:31:01] De bestandenpostbus.
[0:31:03] Met de bestandenpostbus kunnen gebruikers veilig grote bestanden uitwisselen, ook buiten justitie en veiligheid.
[0:31:09] Voor het versturen is een account nodig, voor het ontvangen niet.
[0:31:13] Bestanden zijn gedurende een vooraf ingestelde periode beschikbaar en toegang wordt gelogd.
[0:31:17] De bestandenpostbus is bedoeld voor bestanden die te groot zijn voor e-mail of slechts kort beschikbaar hoeven te zijn.
[0:31:24] Deze voorziening wordt intensief gebruikt, onder meer in de informatievoorziening in strafzaken door het Openbaar Ministerie en de Caden Partners Politie en de Rechtsspraak.
[0:31:34] De voorgenomen overname van Solfinity vraagt om een hernieuwde risicoafweging voor UBIT, UBIS en de bestandenpostbus en de overige applicaties.
[0:31:42] Justitie kijkt specifiek naar de risico's op het gebied van continuïteit van de dienstverlening en de integriteit en vertrouwelijkheid van gegevens.
[0:31:50] En ik benadruk, het zijn risico's die zich kunnen voordoen.
[0:31:53] Dat geldt nu, maar ook in de toekomst.
[0:31:56] En justitie bereidt zich hierop voor.
[0:31:58] Dat is niet een eenmalige, maar dat is een continue inspanning.
[0:32:01] Informatievoorzieningen en informatietechnologie gaan altijd gepaard met risico's.
[0:32:05] Of het nu in eigen beheer wordt uitgevoerd of door een externe leverancier.
[0:32:11] Justitie bereikt zich daar ook op voor.
[0:32:14] Onze aanpak is daarin gefaseerd.
[0:32:16] Op de korte termijn willen we waar het aantoonbaar risico's gereduceerd kunnen worden, treffen we extra mitigerende technische of juridische maatregelen.
[0:32:25] En bezien we of cruciale applicaties gefaseerde migratie opportun is.
[0:32:31] Op de middellange termijn willen we een marktverkenning starten... ...naar de vraag of een nieuwe aanbesteding kan bijdragen... ...aan de grotere onafhankelijkheid van Amerikaanse leveranciers.
[0:32:40] En op de lange termijn, mijn collega Voorbraak zei het ook al... ...besluiten aan bij de Nederlandse digitaliseringsstrategie... ...en werken toe naar een soevereine overheidscloudvoorziening.
[0:32:51] Tot slot, burgers en ondernemers moeten kunnen vertrouwen dat hun gegevens in veilige handen zijn, bij justitie en bij de hele overheid.
[0:32:58] Dat is leidend in onze keuzes.
[0:33:00] Continuïteit eerst, integriteit altijd en vertrouwelijkheid zonder concessies.
[0:33:08] Ik dank u.
[0:33:11] Zoals u heeft gezien, is de materie complex en verschilt het per systeem wat de beste aanpak is.
[0:33:17] Naast de generieke maatregelen voor alle betrokken overheden, is het belangrijk om ook specifieke maatregelen te treffen per organisatie.
[0:33:24] Zoals gezegd, gezien de grotere belangen, wordt de casus ook onderzocht door de Taskforce Economische Veiligheid.
[0:33:30] Tevens zijn we in afwachting van de resultaten van de onafhankelijke toezichthouders.
[0:33:34] Tot slot wil ik nog zeggen dat heel veel van onze systemen zijn ontwikkeld in een ander geopolitiek tijdsgewricht.
[0:33:41] Laten we er gezamenlijk voor zorgen dat de vitale systemen van de overheid in de toekomst meer autonoom zijn.
[0:33:47] Dit zal een meerjarig traject zijn waar een lange adem financiële middelen en doorzettingsmacht nodig zijn.
[0:33:54] Dank u wel.
[0:33:57] U bedankt voor uw heldere verhaal.
[0:34:02] Ik kijk even naar de collega's.
[0:34:03] Ik denk dat het gezien de tijd, een beetje korte vragen en korte intro's, wel kan als we de vragen meteen doen, dus niet inventariseren.
[0:34:13] En we doen dan, denk ik, één vraag per ronde, maar als er heel kort een vervolgvraag of een verduidelijke vraag achter moet, dan kan dat wel.
[0:34:23] Maar in achtneming van de collega's en een beetje collegialiteit zou het fijn zijn als iedereen zo kort mogelijk wil introduceren en die vervolgvraag... Zorg dan ook dat het een vervolgvraag is.
[0:34:36] En niet stiekem een tweede vraag.
[0:34:39] Dan is het woord aan mevrouw Swinkels.
[0:34:42] Ja, dank voorzitter en dank aan u allen voor de toelichting.
[0:34:47] Fijn om dit zo van u te horen.
[0:34:49] Ik heb wel meteen de vragen, de zorgen, die zijn ook erkend, maar die zijn bij mij ook vanuit CDA ook nog niet weggenomen.
[0:34:55] Ik snap het andere tijdsgevricht, maar ik ben dan toch wel heel erg benieuwd welke mogelijkheden er nu zijn om deze overname niet meer door te laten gaan en ervoor te zorgen dat dit, tot zover je het ziet, toch in Nederlandse of Europese handen blijft.
[0:35:08] Dat is wel iets wat ik graag zou willen
[0:35:11] horen van nu.
[0:35:12] En ook in hoeverre er toch ook niet in het contract al voorwaarden waren opgenomen waar we op kunnen terugvallen om dit voor elkaar te krijgen.
[0:35:22] Misschien is het ook handig om erbij te vermelden aan wie u de vraag wilt stellen.
[0:35:28] Het kan ook zo zijn, want dat is misschien soms ook niet heel erg duidelijk, dat ik dan de heer De Blauw de klus geef om te zeggen wie misschien het beste kan beantwoorden.
[0:35:37] Of als hij het antwoord geeft, dat er misschien nog iemand is die iets zou kunnen toevoegen.
[0:35:49] Martijn, wil je als eerste reageren?
[0:35:55] Dat is goed.
[0:35:56] Ik heb in mijn bijdrage ingezoomd op de rol die de toezichthouders kunnen spelen in het geheel.
[0:36:04] En dat is in de kern één van de manieren.
[0:36:12] Ik kan even voor het EZ-deel spreken.
[0:36:15] Er is een zeggenschapstoetsing voor ongewenste zeggenschap.
[0:36:18] Ik denk dat u daar nu vooral op ziet.
[0:36:19] Er is ook nog een mededingingstoets die speelt.
[0:36:23] De toezichthouder kan tot een besluit komen.
[0:36:26] ACM gaat daar eigenstandig over.
[0:36:28] Het bureau Toetsing Investeringen komt met een oordeel ten aanzien van de zeggenschap die ze hebben geconstateerd en als zij die als ongewenst hebben gekwalificeerd.
[0:36:37] dan kan het leiden tot een advies om te interveneren.
[0:36:41] En dan zijn er verschillende opties mogelijk.
[0:36:43] Er kunnen eventueel technische organisatorische maatregelen worden overeengekomen om de transactie te herschikken of de werkwijze aan te passen.
[0:36:52] Of er kan een verbod op de transactie worden afgekondigd vanuit de WOZT.
[0:37:03] En er kan een...
[0:37:06] een goedkeuring onder voorbehoud komen en dat betekent dat de transactie, of een verbodsbepaling onder voorbehoud moet ik zeggen, precies andersom, dat de transactie alleen door kan gaan als er dus een aantal maatregelen worden getroffen.
[0:37:19] Dat is wat ik kan zeggen vanuit de WOCT.
[0:37:23] U vroeg ook nog of de contracten ontbonden kunnen worden.
[0:37:26] Daar laten we de landschapsadvocaat naar kijken.
[0:37:28] In het concept advies zijn daar mogelijkheden.
[0:37:31] Aan de andere kant, je hebt natuurlijk ook de continuïteit waarbij de dienstverlening gewoon moet doorgaan.
[0:37:35] Maar er zijn mogelijkheden in de contracten om te ontbinden, kan ik melden.
[0:37:41] Mevrouw Suikers heeft een vervolgvraag.
[0:37:45] Ja, dank.
[0:37:46] Dan ben ik toch nog... Dank voor de twee antwoorden.
[0:37:48] Dan ben ik wel benieuwd naar de tijdslijnen hiervan.
[0:37:51] Dus die contracten liggen natuurlijk al.
[0:37:54] Ik verwacht dat daar al naar gekeken is of dat ontbonden kan worden en of dat daar ook dus die overname tegengehouden kan worden.
[0:38:02] Dus ik ben benieuwd naar de tijdslijn daarvan en ook de tijdslijn van de adviezen vanuit de toezicht.
[0:38:08] Wanneer kunnen we daar iets meer over verwachten?
[0:38:12] Ten aanzien van het toezicht geldt, er is een melding gedaan, ik kan dat ook zeggen, daar hebben de partijen waar het hier om gaat, Sylvinity en Kindrill ook zelf over gesproken, dat zij zich hebben gemeld bij de toezichthouder.
[0:38:24] Vanaf dat moment gaat het proces lopen en het is aan de toezichthouder, en nogmaals, ik ben van de beleidsdirectie en wij hebben de wetgeving ontworpen en in die zin zijn wij daarbij betrokken, kan ik hierover spreken, maar ik kan niet namens de toezichthouder spreken over hoelang zij daarover gaan doen.
[0:38:42] Mevrouw El Boedjani van D66.
[0:38:46] Ja, dank u wel, voorzitter.
[0:38:47] En dank alle ook voor uw toelichting.
[0:38:51] En nou ja, alles wat we inderdaad hebben gehoord, is ook vanuit D66 dat we de zorgen ook erkennen.
[0:38:59] Dat hebben we namelijk ook echt wel gehoord van mensen die op de lijn zijn gekomen, dat ze zich ook echt zorgen maken over hun eigen persoonsgegevens.
[0:39:09] Waar ik eigenlijk nog wel een vraag over heb is,
[0:39:15] Is er ook gekeken naar exitstrategieën?
[0:39:19] Er wordt nu dus al gekeken naar of de transacties inderdaad door kunnen gaan of niet.
[0:39:26] Maar in het geval dat de dingen echt heel slecht gaan lopen, is er dan ook een exitstrategie en is er al over nagedacht en zo ja, kunnen wij daar ook van vernemen.
[0:39:41] Laat ik eerst in algemene zin antwoorden dat als je gebruik maakt van welke cloud oplossing dan ook, je als overheidsorganisatie bij materieel gebruik een exit-strategie moet hebben en ook een risicoanalyse moet doen.
[0:39:55] Dus die moet er sowieso zijn.
[0:39:57] Voor de specifieke situatie nu rondom Solvenity, misschien goed Bert wil jij vanuit Logius en daarna Leo vanuit JNV.
[0:40:08] Dank u wel.
[0:40:10] Ik heb u geprobeerd uit te leggen dat wij in een drieluik op dit moment nadenken.
[0:40:15] We gaan nu even uit van de situatie dat die overname doorgaat.
[0:40:19] Daarom treffen wij op korte termijn die additionele maatregelen contractueel, technisch, organisatorisch.
[0:40:27] Wij hebben een aanbesteding voorbereid.
[0:40:30] die wat ons betreft ongeveer in maart zou moeten gepubliceerd worden, waardoor we zo snel mogelijk kunnen kijken van wat wordt een beheerpartij voor de toekomst.
[0:40:39] Die aanbesteding die hebben we geprobeerd zo slim mogelijk in elkaar te zetten, namelijk we gaan niet meer een nieuw platform bouwen.
[0:40:48] Dat hebben we met Solvenity gedaan in de jaren 2020 tot 2024.
[0:40:53] Zolang duurt dat dus om een betrouwbaar, robuust platform te bouwen.
[0:40:57] Dat staat nu, dat is een intellectueel eigendom van Logius, dus dat kunnen we hergebruiken.
[0:41:04] Onze aanbesteding zal erop gericht zijn om een nieuwe of een beheerpartij te vinden die dat technische platform voor ons gaat beheren.
[0:41:12] En dan komen we tot uw vraag van wat zijn daar de tijdlijnen.
[0:41:16] Ik vul hem eventjes in.
[0:41:18] Dat is een beetje afhankelijk van wat voor type aanbesteding dat we starten.
[0:41:23] En dat is nog onderwerp van onderzoek op dit moment.
[0:41:31] Ja, een korte vervolgvraag van mevrouw Albert-Janinck.
[0:41:34] Ja, dank u wel en ook dank voor de beantwoording.
[0:41:38] Nog een korte vervolgvraag, want kijkt u daar dus als een nieuwe aanbesteding gedaan wordt, wordt er dan ook expliciet gekeken naar EU-IT-leveranciers in het kader ook van het NDS?
[0:41:54] Ja, tot nu toe doen we als logisch Europese aanbestedingen en de mogelijkheden daarin zijn relatief beperkt om te komen tot een selectie van welke partijen mag je dan... of mag je selecteren of mag je uitsluiten van een aanbesteding.
[0:42:12] Dus een Europese aanbesteding geeft misschien wat weinig richtlijnen, dus we zijn ook naar andere vormen van aanbestedingen aan het kijken.
[0:42:18] Ik kan daar op dit moment nog onvoldoende duiding op geven.
[0:42:23] De heer Erkens van de VVD.
[0:42:25] Dank voorzitter, ook dank aan alle aanwezigen voor de briefing en de aanwezigheid hier in de Kamer.
[0:42:29] Ik moet zelf zeggen dat door uw toelichting mijn zorgen misschien groter zijn geworden in plaats van kleiner zijn geworden.
[0:42:35] Ik hoorde u veel mitigerende acties overweegt inderdaad, bij ketenpartners, bij uw eigen organisaties.
[0:42:41] De kans daarop is natuurlijk dat er ergens wel een kwetsbaarheid ontstaat als heel veel partijen allemaal los van elkaar maatregelen moeten nemen.
[0:42:47] Misschien mijn vraag aan de heer Perenboom en Voorbraak wat dat betreft.
[0:42:51] Voorzitter, dan passeer ik mijn verduidelijkende vraag als ze hem allebei uit vloer kunnen beantwoorden.
[0:42:57] Zou u dezelfde stappen voorstellen op de korte, middellange en lange termijn als de overnamepartij in dit geval Chinees zou zijn geweest?
[0:43:10] Dat zou ik zeker voorstellen, ja.
[0:43:12] Er wordt altijd gekeken naar van welke risicoafweging het doet zich voor en daar zit ook achter welke statelijke actor is actief achter de organisatie.
[0:43:26] En er zijn ook voorkomende gevallen, los van deze kaart justiek, waar zich dat voordoet en waar een keuze wordt gemaakt om niet met een bepaalde partij in zee te gaan.
[0:43:38] Ja, je kan daar vanuit mijn kant alleen maar op aansluiten.
[0:43:41] Aan de andere kant zou die niet gezeten hebben als de overnemende partij niet een Amerikaanse route zou hebben.
[0:43:48] Als dat een Nederlandse of een Europese partner zou zijn geweest, dan denk ik dat we een heel andere discussie met elkaar gevoed zouden hebben.
[0:43:54] Dus ja, het is heel belangrijk wat voor type partij dat je in zo'n aanbesteding gaat selecteren.
[0:44:03] Nou, ik zie gewoon een hele voldalen blik van de heer Erkes.
[0:44:08] Oké, ja goed zo.
[0:44:10] Dat is wel heel mooi.
[0:44:11] De heer Vermeer.
[0:44:12] Ja, er zijn zo ontzettend veel vragen.
[0:44:15] En ik had nooit verwacht dat ik na twintig jaar weer in de wereld van single sign-on en hosted solutions en alles zou moeten duiken.
[0:44:22] Maar wie weet kan ik nog wat uit mijn geheugen opgraven.
[0:44:25] Wat ik wel interessant vond is dat in de sheets over generieke maatregelen dat hij eigenlijk na de sheet kwam over de rol van de Amerikaanse overheid en wat zij in die wetten hebben vastgelegd en wat zij zichzelf toeigen naar onze rechten.
[0:44:44] En naar mijn mening staan die generieke maatregelen haaks op of negeren die de rechten van de Amerikaanse overheid om gewoon wel toegang tot allerlei data te verschaffen.
[0:44:54] of op z'n minst misschien dingen gewoon uit te kunnen zetten wanneer dat hun belieft.
[0:44:58] We zitten natuurlijk wel in een nieuwe geopolitieke situatie.
[0:45:01] We hebben bij het internationale strafhof gezien dat zelfs het blokkeren van mailsystemen niet geschuwd wordt.
[0:45:10] Ik vind dit een ernstig risico, ook op onze Nederlandse belastinginkomsten, want we zijn hier volledig afhankelijk van dit systeem, bijvoorbeeld voor de aangifte van onze belastingen.
[0:45:20] De Amerikaanse overheid kan ons met importheffingen, daar hebben we morgen weer een debat over, eigenlijk als individueel land moeilijk treffen omdat we een douane-unie hebben.
[0:45:29] Maar met dit soort acties zouden ze specifiek Nederland kunnen treffen.
[0:45:34] Hoe wordt er van achter deze tafel, en ik weet niet precies wie daarover gaat, aangekeken tegen mijn standpunt dat die rechten van de Amerikaanse overheid, eigenlijk al die generieke maatregelen die getroffen worden en die belangrijk zijn,
[0:45:49] feitelijk gewoon kunnen overroelen.
[0:45:53] Ik denk dat dit deels een politieke vraag is voor de bewindspersoon en deels kan ik antwoorden dat er ook gewoon Europese wetgeving is zoals de AVG waar wij aan ons moeten houden en die kunnen soms met elkaar conflicteren maar wat mij betreft is dit meer een vraag voor de bewindspersoon.
[0:46:12] Als ik de heer Vermeer een beetje mag helpen als voorzitter, en we kunnen ook anders kijken of er misschien dan toch de beslotenheid nodig is, is dat volgens mij is de vraag, de landsadvocaat geeft aan, wat we ook doen, die cloud act is van toepassing.
[0:46:29] Dus is de enige echte mitigerende maatregel die je kan nemen, niet dat de verkoop niet doorgaat en is de rest hopen dat je, ja, ietsje veiliger, maar dat gevaar kan je nooit blokkeren.
[0:46:42] Ja voorzitter, ik stel bewust geen politieke vraag, ik stel gewoon de vraag tussen die twee sheets, de rechten van de Amerikaanse overheid, dat is geen politieke vraag, dat is een juridische vraag over rulen die niet alle generieke maatregelen die genoemd zijn in de sheet daarna.
[0:46:59] De generieke maatregelen die genoemd zijn in de CIDNA zijn om zoveel mogelijk die betreffende invloed in te perken.
[0:47:08] 100% uitsluiten kan je nooit, maar dat kan je ook niet in andere gevallen.
[0:47:12] Dat is mijn antwoord.
[0:47:16] Misschien een kleine aanvulling.
[0:47:18] Ik denk dat u daarom mitigerende maatregelen aantreft, zoals mensen die daadwerkelijk aan de systemen werken, moeten EU-burgers zijn.
[0:47:30] Want de kans dat de situatie die u schetst zich voordoet, is natuurlijk wel groter als de personen die aan de systemen werken ook Amerikanen zullen zijn.
[0:47:45] Korte vervolgvraag van de heer Vermeer.
[0:47:47] Ja, want dat klinkt mij in de oren als schijnveiligheid, want ook iemand die voor Amerika werkt kan een EU-staatsburger zijn.
[0:47:56] En dat geldt voor welke willekeurig land ik hier ook opnoem.
[0:48:04] Wordt dat onderkend?
[0:48:05] Ik moet een vraag stellen, sorry.
[0:48:07] De heer Vermeer.
[0:48:09] Scheinveiligheid is misschien meer iets om met de staatssecretaris te bespreken, maar wees ons horen zeggen, nul risico bestaat niet in geen enkele IT-situatie.
[0:48:20] En dan ga ik toch ook inderdaad onze gasten een beetje helpen.
[0:48:22] Scheinveiligheid is inderdaad aan de politiek, of dat zo is of niet, maar dank u voor het antwoord.
[0:48:29] Mevrouw Beckerman van de SP.
[0:48:33] Ja, voorzitter, dank voor deze presentatie.
[0:48:37] Maar inderdaad, zoals voorgaande sprekers ook opmerkten, dat maakt niet dat we minder zorgen hebben.
[0:48:43] Ik denk ook zeker op een dag dat Trump in Davo nog eens toelicht hoe graag hij zijn oog op Europees grondgebied heeft laten vallen.
[0:48:52] Is dit qua timing ook ingewikkeld?
[0:48:54] Ik hoorde u zeggen, veel systemen zijn ontwikkeld in een ander geopolitiek tijdsgevricht.
[0:49:00] Mijn vraag gaat eigenlijk over of de wetgeving ook ontwikkeld is in een ander geopolitiek tijdsgevricht.
[0:49:06] Als ik de presentatie goed begrijp, kunnen we verkoop eigenlijk alleen nog voorkomen met die toetsing, waaronder die toetsing op ongewenste zeggenschap onder de Telecomwet.
[0:49:15] Biedt dat voldoende mogelijkheden en garanties op dit moment?
[0:49:26] Ik ben bang dat ik wel steeds ongeveer hetzelfde antwoord ga geven.
[0:49:31] Het is aan de toezichthouder om tot een conclusie te komen of hier sprake is van ongewenste zeggenschap.
[0:49:37] Dat traject dat is nu ingestart.
[0:49:40] Daar wordt nu naar gekeken.
[0:49:42] En we zullen dat traject moeten afwachten om tot de conclusie te kunnen komen.
[0:49:48] En een van de vragen die ze daarbij stellen is of deze transactie in scope is binnen het kader, de wettelijke grondslag, van de WOZT.
[0:49:57] Daar begint het mee.
[0:49:59] En zo ja, als dat zo is, dan kunnen zij vervolgens gaan kijken, dan loop je een toezichtstraject door, is hier dan vervolgens ook sprake van een
[0:50:07] transactie die vanuit het perspectief nationale veiligheid tot onaanvaardbare risico's leidt en als daar dan vervolgens de conclusie is ja, dan wordt er gekeken op welke manier moet er dan worden geïnterveneerd.
[0:50:25] Dan kun je tot een verbodsbepaling komen of dus een, en ik zei het net niet helemaal goed, maar dat is dus een
[0:50:35] Een seconde.
[0:50:36] Een verbod onder opschortende voorwaarden.
[0:50:39] En die opschortende voorwaarden, dat kan dus betekenen dat de transactie wordt herschikt, dat het aandeel bijvoorbeeld omlaag wordt gebracht of dat de manier waarop de controle, de zeggenschap wordt vormgegeven door organisatorische maatregelen wordt gemitigeerd of aangepast, waardoor de transactie wel als acceptabel wordt geacht.
[0:51:01] of dat vervolgens wordt gezien door jullie en door het bredere publiek als dit is de manier om te doen.
[0:51:08] Dat is uiteindelijk ook wel weer een politieke afweging.
[0:51:14] Sorry als ik het nog maar aanvul, maar dan gaat het meer over inkoop.
[0:51:17] Er is natuurlijk net vastgesteld de algemene beveiligingseis voor Rijksoverheidsopdrachten, waarbij zeker veel meer gekeken wordt ook naar hoe opdrachten raken aan de nationale veiligheid.
[0:51:26] Daar vindt ook toetsing op plaats, dus vanuit het kabinet is daar zeker al stappen genomen.
[0:51:33] Ja, meneer Lukassen.
[0:51:35] Ja, ik wil nog één aanvulling doen, want er werd net ook gezegd vanuit de Amerikaanse bevoegdheden kan hier, zoals de Cloud Act, kan hier de boel uitgezet worden.
[0:51:44] Ik denk wel goed om dat scherp te houden.
[0:51:46] De Cloud Act en de visa en dat soort wetgeving ziet op toegang tot data.
[0:51:52] Die wet geeft geen toegang, geen titel aan de VS-administratie om systemen aan of uit te zetten.
[0:51:58] Ik denk dat dat wel goed is om het feitelijk uit elkaar te trekken.
[0:52:03] Mevrouw Beckerman?
[0:52:04] Ja, als ik een vervolgvraag mag stellen, en daarbij verexcuseer ik me, omdat dit echt voor mij een heel nieuw dossier is en ik behoorlijk wat dossiers heb, dus ik hoop niet dat het erg dom overkomt.
[0:52:16] Maar ik ga even een vraag stellen over het moment na die toetsing door die onafhankelijk toezichthouder.
[0:52:20] De heer Lucas, u gaf net uw antwoord aan dat dat een politieke afweging is, of we dat voldoende vinden.
[0:52:28] Maar is er dan ook ruimte voor een politieke afweging?
[0:52:32] Ik ken deze wet dus onvoldoende.
[0:52:33] En is er bijvoorbeeld ook ruimte voor beroep en bezwaar vanuit eventuele mensen in de samenleving?
[0:52:44] Het is zo dat de toezichthouder het toezichtstraject doorloopt zoals ik dat net schetste.
[0:52:51] Zij komen dan vervolgens tot een advies.
[0:52:53] Dat advies wordt voorgelegd aan de minister van Economische Zaken.
[0:52:57] En die minister van Economische Zaken, dat is denk ik geen geheim, zal dan ook de collega-bewindspersonen daar in dat besluit betrekken.
[0:53:05] Maar dan zitten we helemaal aan het eind van dat traject.
[0:53:09] Ik wil overigens ook nog wijzen op een passage die ook in een van de eerdere slides stond, dat we ook hebben besloten interdepartementaal om de casus in algemene zin in de taskforce economische veiligheid te betrekken, om daar integraal te kijken naar deze casuïstiek.
[0:53:26] en daarbij eigenlijk alle belangen en perspectieven te betrekken, een risicoanalyse te doen en vanuit de belangenweging, die je bijvoorbeeld ook ziet op de continuïteit van de dienstverlening, collega's hier naast me hebben dat ook genoemd, tot een uitkomst te komen.
[0:53:43] Want er moeten ook alternatieven zijn.
[0:53:48] De heer Van Dijk van de PVV.
[0:53:49] Dank u wel, voorzitter.
[0:53:51] In het verlengde van die toetsen die momenteel lopen, is er iemand die een tijdlijn kan schetsen van op welk moment welke beslissingen worden genomen, zodat we daar een duidelijk beeld over hebben?
[0:54:12] Veel vragen voor EZ.
[0:54:15] Even kijken, ten aanzien van de vraag over de tijdlijn.
[0:54:24] Even kijken, dan heeft u het denk ik primair weer over de wet Omgewenste Zeggenschap Telecom.
[0:54:34] Eén seconde hoor, als u mij een momentje geeft.
[0:54:36] Wel feitelijk het juiste zeggen.
[0:54:41] Bij de WOZT, waar ik het net over had en dat is ook waar nu naar gekeken wordt, geldt een termijn van in principe acht weken.
[0:54:50] Maar die beslist termijn kan worden opgeschort.
[0:54:52] Dan wordt de klok de facto stilgezet voor het geval er een verzoek om aanvullende informatie bij de betrokken partijen wordt ingediend.
[0:55:00] En indien er echt nader onderzoek nodig is, is het ook mogelijk om een verlenging van de beslistermijn van zes maanden te organiseren.
[0:55:07] Dat is aan de toezichthouder.
[0:55:10] Waar zij staan daarin, dat is het vertrouwelijke proces dat ik daarnet heb geschetst.
[0:55:14] Dus ik kan daar niet meer over zeggen dan deze algemene bepalingen die voortvloeien uit de wet.
[0:55:21] Dat is misschien niet de concreetheid die u hoopt, maar dat vergt de vertrouwelijkheid en integriteit van het toezichtstraject.
[0:55:32] De heer Van den Berg.
[0:55:34] Ja, dank voorzitter en ook dank voor de toelichting.
[0:55:37] Het is wel duidelijk dat deze commissie zich zorgen maakt om de Nederlandse data en dat is denk ik terecht.
[0:55:43] Wat ik echter niet snap is dat bijvoorbeeld bij Defensie het gidsproject, dus dat is grensverleggende IT, is gericht op de herbouw van de Defensie IT infrastructuur.
[0:55:52] Dat wordt op dit moment ook al gedaan door een consortium waar Kindrel ook onderdeel van is.
[0:55:58] Kortom, daar spelen dezelfde risico's, beter zelfs, op het gebied van defensie.
[0:56:03] Wat ik eigenlijk hierin mis, is dat dan niet consequent gaat beleiden, maar vooral ook, hoe kan het dan zijn dat we bij ons bij het ministerie van Binnenlandse Zaken wel zorgen maken en dat het bij defensie dan niet het geval is?
[0:56:19] En hoe kunnen we zorgen voor die consistentie?
[0:56:22] Ja, er is natuurlijk een vraag ook mede voor Defensie.
[0:56:28] Ik heb geen collega's van Defensie aan boord, maar dat contract is al jaren afgesloten en volgens mij zijn toen de ABDO-eisen gevolgd.
[0:56:35] En natuurlijk hebben wij contact met onze collega's van Defensie hierover.
[0:56:41] Maar ik heb geen vertegenwoordiger van Defensie, dus dat moet ik even doorverwijzen.
[0:56:46] De heer Van den Berg.
[0:56:48] Nou, laat ik hem anders dan, zeg maar, concreet maken op dit punt.
[0:56:51] Dat moet u dan wel bekend zijn.
[0:56:54] Is er op dit moment consistent beleid waarin we gewoon één uitgangspunt nemen van wat wel of niet veilig is of wat wel of niet een risico is?
[0:57:02] Of is dat beleid er dan niet?
[0:57:04] Kan ik dat dan constateren?
[0:57:08] Ja, het beleid is dat je voor elke situatie een risicoanalyse moet doen en daarop maatregelen moet treffen.
[0:57:14] En dat geldt in deze situatie en dat geldt even zo goed voor Defensie.
[0:57:21] De heer Stoffer, al zie ik de heer Van den Berg kijken, maar ik hoop dat ze snel zijn dat u die vraag nog gaat stellen.
[0:57:27] De heer Stoffer.
[0:57:34] Ja, voorzitter, dank.
[0:57:35] De heer Stoffer, u kunt uw vraag stellen.
[0:57:37] Ik zat even te kijken of de heer Van den Berg toch nog een volgvraag ging stellen, maar dank u wel.
[0:57:40] Dank u wel ook voor de toelichting.
[0:57:43] Als we ervan uitgaan dat die overname straks een feit zal zijn en
[0:57:48] de beheerorganisatie van de onderliggende cloud-infrastructuur straks in Amerikaanse handen komt, hoe borgen we dan dat Nederlandse overheidsgegevens volledig onder Nederlands-Europees recht vallen?
[0:57:58] En om het iets aan te scherpen, want daar gaat het me eigenlijk om, van onder welke omstandigheden, waar zit nu ergens het moment dat volgens uw inschattingen, en ik weet niet aan wie ik de vraag moet stellen, maar dat wijst zich misschien vanzelf,
[0:58:10] Onder welke omstandigheden kan een Amerikaanse autoriteit toegang eisen tot data die we in Nederland hebben opgeslagen?
[0:58:17] Is er ergens zo'n moment of is dat gewoon nooit aan de orde?
[0:58:24] Volgens het onderzoek van de landse advocaat, wat nogmaals concept is, bestaat die mogelijkheid.
[0:58:30] Dus op het moment dat je een Amerikaanse partij hebt, dat de Amerikaanse overheid toegang kan vragen.
[0:58:36] Wij zijn natuurlijk wel bezig om zoveel mogelijk specifieke maatregelen te treffen, om dat zoveel mogelijk te beperken.
[0:58:43] We vragen ook Sovintje en kinderen om zich
[0:58:46] te verzetten tegen dat soort verzoeken en zo zijn er nog meer maatregelen maar het antwoord is volgens de landse advocaat kan de Amerikaanse overheid die wetten gebruiken om toegang te vragen tot en wij zullen zoveel mogelijk maatregelen nemen om dat te voorkomen.
[0:59:07] En zou het dan zover kunnen komen dat we dus na een gemaatregel treffen dat we dat helemaal voorkomen?
[0:59:12] Of denkt u er blijft altijd een stukje open einde zitten?
[0:59:18] Er zal altijd een restrisico over blijven en het is aan de betreffende organisatie en bewindspersonen om dat wel of niet te accepteren.
[0:59:27] Dan zet ik heel even mijn pet als voorzitter af en ben ik even het Kamerlid Katman van GroenLinks Partij van de Arbeid en zou ik u ook graag een vraag willen stellen die in het verlengde ligt, denk ik, van de vraag van de heer Vermeer en de opmerking van de heer Lucassen, want de heer Vermeer heeft naar mijn mening, mijn politieke mening gelijk, dat de enige echte mitigerende maatregel is
[0:59:47] dat de verkoop niet doorgaat, omdat je altijd het risico blijft bestaan dat of die cloud act van kracht is, of zoals de heer Lucas eigenlijk opperde die toen een tweede kanon er op een knop gedrukt wordt, zoals bij het hogere rechtshof is gebeurd, of bij de internationale strafhof is gebeurd, dan gooien we jullie gewoon uit Amerikaanse dienstverlening.
[1:00:10] Dat risico is groot en daarom
[1:00:14] vindt GroenLinks Partij van de Arbeid gewoon de allerbeste weg is als die verkant niet doorgaat.
[1:00:18] En is er nou nog een weg bewandeld om te kijken of er een soort gouden aandeel georganiseerd kan worden via bijvoorbeeld InvestNL?
[1:00:26] Is dat met de partijen besproken?
[1:00:28] Is die weg bewandeld?
[1:00:31] Wat mij betreft liggen alle opties daar nog open.
[1:00:34] Ik kan alleen nu geen inhoudelijke uitspraken over doen.
[1:00:38] Wat ik wel kan zeggen is dat Solvenity en Kinderen hebben gemeld... dat ze ook een soort structuurregime willen doen... waar dan een aparte raad van commissaris komt.
[1:00:45] Maar dit is nog onderwerp van onderzoek.
[1:00:51] Dan wil ik toch graag nog een vervolgvraag stellen.
[1:00:55] Oh ja, de heer Vermeer, graag.
[1:00:58] Wat is mijn vervolgvraag?
[1:00:59] Waarschijnlijk niet nodig.
[1:01:00] Het lijkt me toch wel goed om hier even vast te stellen dat de casus waar u aan refereert echt heel anders is dan, laat ik het beperken als het logisch is, maar in feite geldt het ook bij JNV.
[1:01:13] Het te beheren systeem staat hier gewoon in een overheidsdatacentrum in Nederland.
[1:01:23] En dat is een hele andere situatie dan als je dienstverlening in de cloud van, in dit geval was het Microsoft, afneemt.
[1:01:33] Ik zou, hoewel ik uw zorg heel goed begrijp, zou ik de twee gevallen toch niet zomaar op één hoop gooien als ik u was.
[1:01:44] We noemen alleen de twee risico's van digitale afhankelijkheid.
[1:01:47] En daar hebben we allebei mee te dealen.
[1:01:49] En in elke casus zijn ze of allebei van kracht of de een of de ander.
[1:01:53] Maar de risico's zijn gewoon groot.
[1:01:56] En het werd net voorgeschoten alsof de casussen anders zijn, dat we ons minder zorgen hoeven te maken.
[1:02:01] Het is alleen juist heel erg dat ze zich allebei voor zouden kunnen doen.
[1:02:05] Dat is wat ik probeerde niet te... Ik begrijp uw punt, maar dat maakt gewoon de zorg om de afhankelijkheid die we kennen groter.
[1:02:14] dat ze allebei bestaan, de risico's.
[1:02:17] Mijn vervolgvraag was over, is mij nou niet helemaal duidelijk of is die weg nou bewandeld of is het geopperd of is er een manier hoe we dat zouden kunnen doen?
[1:02:34] Wat betreft het gouden aandeel voor Nederland?
[1:02:37] Mijn antwoord blijft, alle opties liggen nog open en daar kan ik geen verdere mededeling over doen op dit moment.
[1:02:44] Dan is het woord aan mevrouw Swinkels van het CDA.
[1:02:50] Ja, dank u wel, voorzitter.
[1:02:52] Ik heb ook nog een andere vraag.
[1:02:54] Helemaal aan het begin van de presentatie is ook stilgestaan bij het contact met Solfinity over de mogelijke te treffen maatregelen.
[1:03:04] Ik heb net al een vraag gesteld over het niet door laten gaan van de overname.
[1:03:07] Maar als dat dan inderdaad doorgaat, wat de heer Stoffer ook al zei, dan ben ik toch wel benieuwd.
[1:03:12] Er werd ook even kort tussendoor gezegd, we zijn ongeveer op 70% overeenstemming over de maatregelen.
[1:03:18] Nou, dat roept natuurlijk bij mij meteen de vraag op, waar is nog geen overeenstemming over?
[1:03:23] recentelijk nog in de krant moeten vernemen dat er allemaal wel maatregelen genomen zullen worden en dat het Nederlandse volk zich geen zorgen hoeft te maken.
[1:03:31] Tegelijkertijd zitten we hier en zijn die zorgen inderdaad niet kleiner geworden.
[1:03:34] Dat deel ik met mijn collega.
[1:03:35] Dus dan toch de vraag, kunt u al iets ingaan op waar de schoen dan nog wringt?
[1:03:41] Waar zit er dan nog geen overeenstemming op die maatregelen en wat is ook aan de politiek mogelijk om daarop in te grijpen?
[1:03:53] Dank voor de vraag.
[1:03:55] Het is inderdaad zo dat die onderhandelingen nog gaande zijn.
[1:03:57] Het zijn ook een beetje dagcoursen.
[1:03:59] Het gaat van de ene naar de andere kant.
[1:04:01] Je moet je voorstellen dat Kindril en Solfinity, als ze samen gaan, dat er ook een soort integratie plaatsvindt en dat daar ook vanuit Kindril best wel op wordt gestuurd.
[1:04:12] En daar vinden eigenlijk die gesprekken over plaats.
[1:04:13] Dat staat soms haaks op wat wij willen.
[1:04:18] Ik kan nog niet hier gaan toezeggen welke zaken nog niet zijn afgestemd, maar dat is nog
[1:04:22] onderhandeling onder onderhandeling.
[1:04:25] Ja, we willen ook niet de onderhandelingen verstoren met deze opmerkingen.
[1:04:32] Ja, vervolgvraag van mevrouw Swinkels.
[1:04:35] Ja, dank, voorzitter.
[1:04:38] Ik heb begrip voor het antwoord, maar ik vind het toch ook teleurstellend, omdat ook net in de presentatie werd vermeld, vertrouwelijkheid en toegankelijkheid en betrouwbaarheid van onze systemen en digitale gegevens is niet onderhandelbaar.
[1:04:52] Dus er wordt nu juist onderhandeld op maatregelen en dat vind ik dan toch wel een beetje in contrast staan met die visie vanuit de Rijksoverheid.
[1:05:02] Dus daar ben ik toch naar op zoek van,
[1:05:04] Misschien kan dat in een besloten gedeelte, maar ik ben toch benieuwd naar het antwoord daarop.
[1:05:13] Ja, dan kom ik even toch terug op de specifieke maatregelen.
[1:05:15] U heeft het nu over de generieke maatregelen.
[1:05:17] Die zitten voornamelijk op het niveau van het contract en de juridische aspecten.
[1:05:23] Ik ben als logius bezig met dezelfde partijen, zo vind je een kinderol, over de specifieke maatregelen.
[1:05:30] En dat betekent dus welke maatregelen kun je in de techniek nemen, welke maatregelen kun je in een historische vorm of in de protocolaire vorm nemen.
[1:05:38] Ik spreek dan met grote regelmaat met beide partijen, tot afgelopen vrijdag zelfs nog aan toe.
[1:05:45] En ik merk dat beide partijen zeer welwillend zijn om mee te denken van wat zijn nou die zorgen van de Nederlandse overheid?
[1:05:53] En die probeer ik dan zo goed mogelijk te vertalen naar deze partijen toe.
[1:05:57] En hoe kunnen we die mitigeren?
[1:05:59] Ik durf daar het woord onderhandelen niet in mijn mond te nemen, omdat het maatregelen zijn die we in willen zetten om verder te gaan in het vertrouwen wat we als een overheid in het systeem hebben.
[1:06:15] Dus dat is wat mij betreft geen onderhandelen.
[1:06:20] Mevrouw El-Boudjali van D66.
[1:06:23] Toevoeging?
[1:06:25] Ja, ook voor de generieke maatregelen zullen wij daar geen afspraken maken die, laten we zeggen, de risico's vergroten.
[1:06:33] Het enige wat ik bedoel te zeggen is, je hebt juristen en die moeten precieze teksten formuleren, dat noem ik onderhandelen.
[1:06:40] En de reden waarom ik daar niet in het openbare deel wil over uitweiden is dat dat mogelijk de gesprekken tussen de juristen kan beïnvloeden.
[1:06:49] Mevrouw El-Boudjani.
[1:06:51] Dank u wel.
[1:06:54] U levert echt kritieke dienstverlening richting de burgers en daarmee is dit toch wel ook echt heel erg kwetsbaar.
[1:07:03] Ik hoorde daar straks ook de heer Voorbraak in uw presentatie volgens mij benoemen dat er dus ook extra maatregelen
[1:07:13] genomen kunnen worden.
[1:07:14] U refereerde net al even naar uw beantwoording richting mevrouw Swinkels.
[1:07:20] Maar volgens mij had ik dus ook vernomen tijdens uw presentatie dat er dan dus nog wel bepaald moet worden wanneer die extra maatregelen dan genomen gaan worden.
[1:07:31] Dus hoe bepaalt u dan wanneer er extra maatregelen nodig zijn en zijn die niet nu al nodig eigenlijk?
[1:07:39] Als u de vraag aan mij als uitvoeringsorganisatie stelt, dan heb ik nu een lijstje met maatregelen die ik graag zou willen doorvoeren met beide partijen.
[1:07:49] Maar al die maatregelen, die hebben wel impact op alle andere werkzaamheden die logisch worden te doen.
[1:07:55] En ik heb daar straks uitgelegd dat de heer Vermeer feitelijk mijn opdrachtgever is, dus ik moet samen met de heer Vermeer bepalen wat zijn dan de goede maatregelen en op welk moment gaan we ze inzetten.
[1:08:07] Mijn verzoek is zo snel mogelijk, maar dat zult u begrijpen vanuit een uitvoeringsperspectief.
[1:08:15] Maar ik kan het beleidsperspectief niet naast me neerleggen.
[1:08:23] Ja, dit is dan een vervolgvraag, maar dan eigenlijk wel richting de JNV.
[1:08:29] Dus u heeft ook, meneer Peterboom, tijdens uw presentatie ook aangegeven dat eigenlijk de dienstverlening die u heeft
[1:08:41] richting bijvoorbeeld het delen van grote documenten met organisaties buiten JNV.
[1:08:48] Wordt daar nu ook nagedacht over eventueel mitigerende risicomaatregelen?
[1:08:53] Want ik heb volgens mij uit uw presentatie niet kunnen vernemen dat op het moment dat het echt misgaat en bijvoorbeeld er wel gebruik wordt gemaakt van de Cloud Act of iets, dat dan die documenten niet ingezien kunnen worden door Amerika.
[1:09:11] Ja, heldere vraag.
[1:09:14] Zoals ik heb geschetst in mijn presentatie, we hebben een platform waarop 150 applicaties draaien.
[1:09:20] Dus qua hoeveelheid dienstverlening die wij afnemen bij Solfinity is echt groot.
[1:09:25] En we hebben per applicatie te duiden waar de risico's zitten.
[1:09:28] Ik heb de grootste en meest vitale onderdelen daarin genoemd.
[1:09:33] En bij de bestandenpostbus, die u ook als voorbeeld noemt, wordt nu heel nadrukkelijk gekeken.
[1:09:38] Kan dit ook op een andere manier georganiseerd worden?
[1:09:41] Hebben we specifiek Solfinity hiervoor nodig?
[1:09:43] Of kan het ook bijvoorbeeld bij de justitiële ICT-organisatie onder worden gebracht?
[1:09:48] Op basis van de risicoafweging zal dus ook een keus worden gemaakt om de dienstverlening of bij Solfinity te continuëren of elders onder te brengen.
[1:09:58] Met name gezien ook het risico wat u noemt, de kans dat gegevens bevraagd gaan worden of ingezien vanuit een Amerikaanse overheid.
[1:10:11] De heer Erkens van de VVD, ik snap wel.
[1:10:17] Dank, voorzitter.
[1:10:18] Een vraag aan de heer Volper.
[1:10:21] U gaf aan in uw presentatie dat het contract afloopt in 2028 en dat u volgens mij ook een aanbestedingsprocedure daarvoor op een stellen bent.
[1:10:30] Overweegt u voor die aanbestedingsprocedure ook om artikel 2.23 in de aanbestedingswet, namelijk dat het gaat om nationale veiligheid of een dergelijk wezenlijk belang, daarvoor in te zetten om ook te kunnen sturen op het voorkomen dat wederom dit soort partijen met inderdaad toch
[1:10:46] niet-Europese eigenaarschap in handen komen van deze technologie.
[1:10:54] Wat mij betreft liggen alle opties op tafel om na te denken van hoe gaat die aanbesteding eruit zien.
[1:11:00] In de openbaarheid zou ik daar enige terughoudendheid in willen betrachten om daar heel concreet antwoord op te geven.
[1:11:07] Ja, dan zou ik eigenlijk gelijk het woord willen geven aan de heer Vermeer.
[1:11:10] En ik denk dat we vervolgvragen heel even moeten laten zitten, zodat we toch nog heel even korte momenten hebben dat we in beslotenheid verder kunnen.
[1:11:17] Dus dan kan iedereen gewoon nog één vraag stellen en dan gaan we heel snel even over tot het besloten gedeelte.
[1:11:24] Ja, voorzitter.
[1:11:24] En ik hoop dat in de handelingen er een duidelijke onderscheid is tussen de ene heer Vermeer en de andere heer Vermeer.
[1:11:30] ...omdat mij allerlei opdrachtgeverschap anders in de voeten geschoven wordt... ...waarvan ik niet weet of ik dat wil hebben, maar dat gaan we nog wel eens zien.
[1:11:40] Alhoewel.
[1:11:43] Maar ik heb even een andere vraag.
[1:11:45] Ik weet niet wie die kan beantwoorden.
[1:11:47] Maar waar draait het DigiD platform momenteel?
[1:11:51] Is dat wel of niet bij hostingspartner Equinix?
[1:11:56] Datacenter van Equinix.
[1:11:59] DigiD op dit moment draait bij Solvenity en Solvenity die heeft de systemen bij het ODC Amsterdam ondergebracht.
[1:12:16] Sorry, heel concreet naar uw vraag toe.
[1:12:20] Ja, daar speelt Econyx een rol in, maar Econyx in de vorm dat ze alleen maar de housing van het systeem regelen.
[1:12:27] Namelijk zorgen dat er ruimte is, zorgen dat er stroom is, zorgen dat er koeling is.
[1:12:32] Alle andere werkzaamheden worden niet door Econyx uitgevoerd.
[1:12:36] Dus de invloed van Econyx op het huidige digidesysteem is zeer beperkt.
[1:12:44] Mevrouw Beckerman.
[1:12:46] Voorzitter, ik ga denk ik mijn vervolgvraag van net nog iets verder preciseren en die is aan de heer Lucassen, want zowel aan deze kant van de tafel veel partijen die eigenlijk lief zouden zien dat, en dat is een politieke uitspraak, de verkoop wordt voorkomen, als dat aan die kant van de tafel natuurlijk ook de wens werd uitgesproken voor het meer publiek maken, moet ik nog even iets scherper over die toets en de mogelijkheden om die verkoop te stoppen.
[1:13:12] Het advies van de toezichthouder wordt gedeeld met de minister van EZ, werd mij net verteld.
[1:13:17] Die kan het weer delen met andere bewindspersonen.
[1:13:20] En nogmaals, ik ben echt nieuw op dit dossier, dus vergeef me dat ik deze wetgeving nog niet ken.
[1:13:25] Welke rol heeft daarna de Tweede Kamer nog?
[1:13:28] En dat was ook mijn vraag net.
[1:13:31] Is er bijvoorbeeld beroep en bezwaar vanuit inwoners mogelijk?
[1:13:43] Kort en goed, dit is een wet die de toezichthouder centraal stelt, die met een onderzoek doet, analyse, tot een oordeel komt met de opties zoals ik die eerder heb geschetst.
[1:13:58] Dat gaat naar de minister.
[1:13:59] De minister besluit daarover na collegiale toetsing met collega-leden van de ministerraad.
[1:14:07] En dat besluit, dat wordt dan aan de betrokken partijen kenbaar gemaakt.
[1:14:13] Dat is zowel degene die de transactie beoogt, die wil overnemen, als ook andere betrokken partijen.
[1:14:21] En het besluit wordt vervolgens ook op een door de minister aan te wijzen overheidsinternetpagina bekendgemaakt.
[1:14:32] De heer Van Dijk.
[1:14:33] Heeft u nog een vraag?
[1:14:35] Nee?
[1:14:35] De heer Van den Berg.
[1:14:38] Ja, dank u wel, voorzitter.
[1:14:40] Ik denk dat wel de gemenendelen en de rest dat we allemaal zorgvuldig willen zijn met onze data en dat die goed beschermd is.
[1:14:46] Dat staat voorop.
[1:14:48] Maar wat ik mij ook wil afvragen is van in hoeverre is Solfinity nu in deze situatie bestand tegen buitenlandse actoren of cyber aanvallen op onze data die we nu al hebben.
[1:15:01] En dat is natuurlijk ook een risico hoe we los van zo'n verzoek van de Amerikaanse overheid ook onze data kunnen kwijtraken.
[1:15:08] En dat brengt mij dan toch tot de vraag van, zou het ook voordelen kunnen bieden dat Kindrol een grote bedrijf is, zo'n 7000 medewerkers op dit vlak, ten opzichte van Zolvinity die een vrij kleine speler is en wel al die cyber aanvallen moet afwenden.
[1:15:28] Kortom, die afweging zou ik graag ook wel terug willen zien hoe dat dan zit.
[1:15:34] Ja, dank u wel voor deze vraag, want dat geeft me ook de gelegenheid om nog even kort iets over mijn perspectief als opdachtgever te zeggen.
[1:15:40] En dat gaat dan niet, overigens, meer aan de andere kant van de tafel, inderdaad.
[1:15:46] Ik snap heel goed dat de Kamercommissie inzoomt op de huidige situatie en de risico's daarvan.
[1:15:53] Dat doen wij ook, maar als opdrachtgever is, in dit geval van 3GD, is mijn grootste belang de continuïteit van deze voorziening.
[1:16:04] En dat betekent inderdaad, zoals u ook al een beetje suggereert, dat je de risico's van de huidige situatie, inclusief de manieren waarop je die kunt beïnvloeden met mitigerende maatregelen, moet afzetten tegen risico's van alternatieve scenario's.
[1:16:20] Alternatieve scenario's kennen eveneens risico's.
[1:16:23] Migraties van de huidige situatie naar alternatieve scenario's kennen ook risico's.
[1:16:28] En het is onze taak om de risico's van de verschillende situaties tegen elkaar af te wegen.
[1:16:36] En een voorbeeld van een risico waar we zeker naar kijken, u geeft er al een klein voorproefje van, ons doel is uiteindelijk
[1:16:47] te komen tot een overheidsbrede, autonome voorziening.
[1:16:53] Dat staat inderdaad ook in de NDS.
[1:16:55] Is het nu verstandig om zo'n voorziening, die in een bepaald stadium van opbouw is, als eerste te belasten met een heel erg groot systeem, wat de DGD is?
[1:17:05] We hebben in andere situaties ook al meegemaakt dat overheidsdienstverleners zeiden
[1:17:12] Ja, moet je eens luisteren, ons datacenter is best tegen het een en ander bestand, maar niet tegen het DID.
[1:17:19] Dat gaan we toch echt liever niet doen?
[1:17:22] Dus ik snap de risico's van de huidige situatie.
[1:17:26] Ik snap dat u daar heel goed naar kijkt, maar ik zou u in het blad vanuit mijn positie willen aanraden om ook naar risico's van de alternatieven te kijken en dan vervolgens een verstandige afweging daartussen te maken.
[1:17:38] Dat is ook wat wij proberen te doen.
[1:17:42] Dank, voorzitter.
[1:17:45] Ik wil nog even doorgaan op de vraag die ik in eerste instantie stelde over dat data wellicht in handen van, in ieder geval dat er een eis vanuit Amerika zou kunnen komen, de Amerikaanse autoriteit, dat ze toegang tot onze data hebben.
[1:17:58] Als ik het goed heb, is Kindral een soort dochteronderneming van IBM of een afsplitsing of een voortzetting.
[1:18:05] Als ik kijk naar het verleden, dan was IBM over het algemeen een naam dat je denkt... Nou, dat stond als een klok.
[1:18:10] Volgens mij was het halve bankwezen in Nederland en ook veel bedrijven waren afhankelijk van apparatuur van IBM.
[1:18:16] Daar hebben we ons nooit zorg over gemaakt.
[1:18:17] Ik denk dat nu de zorg komt omdat we misschien in een andersoortige wereld zitten.
[1:18:21] Het gaat me niet om de inhoud, maar zijn die zorgen die wij ons nu maken terecht of zegt u van...
[1:18:28] Dat is misschien toch wat overtrokken, zo'n partij als Kindrol, met waar ze vandaan komen, is dusdanig solide.
[1:18:35] Het is misschien, en u hoeft er niet heel politiek diep op in te gaan hoor, maar maken we ons nu onnodig zorgen of zegt u van dat is toch wel terecht dat wij ons als Kamer zorgen maken?
[1:18:48] Allereerst denk ik dat dit een politieke vraag is voor de winstpersoon.
[1:18:52] In ons geval doen wij per situatie een risicoanalyse.
[1:18:55] Dat doen we ook in dit geval en stellen we maatregelen voor.
[1:18:58] Maar uw algemene vraag kunt u best aan de winstpersoon stellen.
[1:19:05] Ja, dan denk ik dat we nu even de tijd moeten nemen dat we overgaan tot het besloten gedeelte.
[1:19:12] En volgens mij moet dan iedereen de zaal verlaten.
[1:19:15] Behalve natuurlijk de gasten en de deelnemers.
[1:19:18] Want ik proefde dat mevrouw Swinkels nog een vraag wil stellen.
[1:19:21] De heer Erkens had volgens mij een vraag gesteld.
[1:19:24] Zijn er nog meer mensen die misschien denken aan mijn vraag?
[1:19:29] Dan gaan we dat doen.
[1:19:32] Dan moet ik helaas iedereen vragen om de zaal te verlaten.