Vragen van het lid Van den Berg-Jansen (CDA) aan de Minister van Economische Zaken over nationale veiligheidseisen bij aanbestedingen van cruciale communicatiediensten van de overheid (ingezonden 14 juni 2017).

Antwoord van Minister Plasterk (Binnenlandse Zaken en Koninkrijksrelaties) (ontvangen 16 augustus 2017) Zie ook Aanhangsel Handelingen, vergaderjaar 2016–2017, nr. 2298

Vraag 1

Kent u het bericht «Zorgen om aanbestedingen» en het jaarbericht 2016 van het Agentschap Telecom?1

Antwoord 1

Ja.

Vraag 2

Kunt u aangeven of bij de aanbestedingen van cruciale communicatiediensten van de overheid de kostprijs een van de belangrijkste selectiecriteria is? Zo ja, brengt dit dan geen veiligheidsrisico’s met zich mee? Zo nee, waar blijkt dit uit?

Antwoord 2

Onder de term «cruciale» in uw vraag wordt door mij steeds begrepen «essentiële veiligheidsbelangen», dan wel «gevoelige informatie».

Bij opdrachten voor cruciale communicatiediensten van het Rijk, vindt de gunning plaats op grond van de economische meest voordelige inschrijving, in beginsel vastgesteld op basis van de beste prijs-kwaliteitverhouding. Behalve (kost)prijs is kwaliteit hierin een belangrijk criterium, waarin mede aspecten als veiligheid, innovatie en duurzaamheid zijn begrepen. Iedere inschrijver zal moeten voldoen aan de overeenkomstig de Nederlandse wet- en regelgeving gestelde eisen gericht op informatiebeveiliging. Zie in dit verband ook mijn antwoord op vraag 3 van de vragen van de leden Hijink en Van Raak over de aanbesteding mobiele telefonie van 27 juni 20172.

Vraag 3

Wat is de reden dat deze aanbesteding openbaar is? Waarom heeft u geen beroep gedaan op het wetsartikel dat bepaalt dat bij nationale veiligheid niet openbaar aanbesteed hoeft te worden (zo wordt de renovatie van de Tweede Kamer niet openbaar aanbesteed)?3

Antwoord 3

Voor zover met «deze aanbesteding» de aanbesteding in het hierboven aangehaalde bericht «Zorgen om aanbestedingen» (IWR2017|Mobiele telefonie) wordt bedoeld, is de reden dat het bij deze opdracht het normale gebruik van sim-kaarten en mobiele telefoontoestellen door ministeries betreft. Dit zijn geen cruciale communicatiediensten.

Vraag 4

Op welke manier worden nationale veiligheidsbelangen meegenomen bij aanbestedingen van de overheid op het gebied van cruciale communicatiediensten?

Antwoord 4

Bij opdrachten op het gebied van cruciale communicatiediensten moet worden voldaan aan de overeenkomstig de Nederlandse wet- en regelgeving gestelde eisen inzake informatiebeveiliging en privacy. Indien er bij de opdracht ook sprake is van persoonsgegevens wordt met de ondernemer aanvullend een zogenoemde verwerkersovereenkomst gesloten, waarin nadere voorwaarden worden gesteld inzake de verwerking van persoonsgegevens en de beveiliging ervan. Zie in dit verband ook mijn antwoord op vraag 3 van de vragen van de leden Hijink en Van Raak over de aanbesteding mobiele telefonie van 27 juni 20174.

Vraag 5

Vindt u dat op dit moment voldoende nationale veiligheidseisen worden opgenomen in de aanbestedingseisen van dit soort type aanbestedingen? Zo ja, kunt u dat nader toelichten? Zo nee, wat gaat u daaraan doen? Is dit een reden om opnieuw aan te besteden?

Antwoord 5

Ja. Zie mijn antwoord op vraag 2 en vraag 4.

Vraag 6

Verwacht u in het licht van de aanstaande Brexit dat de Britse inlichtingendiensten via hacks zullen proberen zoveel mogelijk informatie uit andere landen te verzamelen? Zo ja, acht u het dan verstandig dat een Brits bedrijf aanbestedingen kan winnen op het gebied van cruciale communicatiediensten in Nederland?

Antwoord 6

Ik kan in het openbaar geen uitspraak doen over specifieke gevallen. In het algemeen geldt dat inlichtingenactiviteiten van buitenlandse mogendheden op Nederlands grondgebied zonder voorafgaande instemming van de Nederlandse regering, niet zijn toegestaan. Indien geconstateerd wordt dat een buitenlandse mogendheid zonder instemming dergelijke activiteiten verricht op Nederlands grondgebied, treft de Nederlandse regering maatregelen.

Vraag 7

Kunt u in zijn algemeen aangeven of de kans groter wordt op hacks van buitenlandse inlichtingendiensten op cruciale communicatiediensten indien de taken hieromtrent worden uitgevoerd door een buitenlands bedrijf? Zou u dit kunnen toelichten?

Antwoord 7

In het algemeen geldt dat aanbieders van communicatiediensten die in Nederland actief zijn, moeten voldoen aan alle terzake geldende wet- en regelgeving, waaronder waarborgen rondom de beveiliging van de informatie en de privacy van de klanten. Dat geldt ook voor in Nederland actieve aanbieders die in buitenlandse handen zijn. Voor het overige verwijs ik naar het antwoord op vraag 6.

Vraag 8

Is het juridisch mogelijk om bij de aanbesteding van cruciale en gevoelige communicatiediensten eisen op te nemen over de herkomst van een onderneming of de vestigingsplaats van de onderneming? Zo nee, zou u het wenselijk achten dat dit wel juridisch mogelijk wordt?

Antwoord 8

Wanneer het bij een opdracht van het Rijk om cruciale en gevoelige communicatiediensten gaat, dan wordt deze opdracht in beginsel niet openbaar aanbesteed maar wordt gebruik gemaakt van de uitzondering artikel 2.23, lid 1, sub e Aanbestedingswet 2012 (geheim verklaard) zodat de opdracht één op één aan een bepaalde ondernemer kan worden gegund, dan wel aanbesteed op basis van de Aanbestedingswet op Defensie en Veiligheid op grond waarvan buitenlandse ondernemers van buiten de Europese Unie van de aanbesteding kunnen worden uitgesloten (artikel 1.7 Aanbestedingswet op Defensie en Veiligheid).

Vraag 9

Kunt u aangeven of de Nederlandse overheid de eis opneemt bij aanbestedingen van cruciale communicatiediensten van de overheid dat bij calamiteiten de dienstverlener dicht in de buurt moet zijn om dit op te kunnen lossen? Zo nee, bent u bereid dit in het vervolg standaard op te nemen in de aanbestedingseisen van dit soort aanbestedingen?

Antwoord 9

In beginsel worden bij opdrachten geen eisen gesteld over de locatie van een dienstverlener. In plaats daarvan wordt van de ondernemer verlangd dat deze voldoet aan de eisen die worden gesteld aan de termijn waarbinnen door de ondernemer eventuele calamiteiten moeten worden opgelost. Dit acht ik afdoende en zie daarom geen reden om voortaan standaard eisen over de nabijheid van een ondernemer op te nemen.

Vraag 10

Op welke manier toetst de Nederlandse overheid of de opgenomen (veiligheids-)eisen na de aanbesteding van cruciale communicatiediensten werkelijk worden uitgevoerd? Kunt u aangeven of de Nederlandse overheid op dit moment beschikt over voldoende capaciteit om dit soort toetsen uit te kunnen voeren? Zo nee, bent u bereid meer capaciteit hiervoor beschikbaar te stellen?

Antwoord 10

Voor communicatie van staatsgeheime informatie is in het Voorschrift Informatiebeveiliging Rijkdienst Bijzondere Informatie 2013 (VIRBI 2013) bepaald dat ministeriële goedkeuring noodzakelijk is, voorzien van een advies van de Werkgroep Bijzondere Informatie. Voorafgaand aan een dergelijk advies zijn dergelijke producten door het Nationaal Bureau Verbindingsbeveiliging van de AIVD (NBV) geëvalueerd.

Tijdens de uitvoering van een opdracht wordt via contractmanagement toegezien op de nakoming door de ondernemer van de gestelde eisen betreffende wezenlijke belangen van veiligheid. Ik heb geen aanwijzingen dat de capaciteit hiervoor onvoldoende is.

Vraag 11

Deelt u de mening van professor Bas de Jong dat er op het terrein van nationale veiligheidsbelangen nog geen consequent beleid wordt gevoerd door de Nederlandse overheid? Kunt u hierbij toelichten waarom er volgens u wel of geen consequent beleid wordt gevoerd op dit gebied?

Antwoord 11

Nee, ik deel deze mening niet. Op grond van het Besluit van de Minister-President, Minister van Algemene Zaken, van 1 juni 2013, nr. 3124134, Voorschrift Informatiebeveiliging Rijkdienst Bijzondere Informatie 2013 (VIRBI 2013), wordt per departement beveiligingsbeleid vastgesteld.

Voorts is, zoals in de Kamerbrief van 22 mei jl. van de Minister van Veiligheid en Justitie5 aangegeven, een interdepartementaal programma in uitvoering gericht op het versterken van de economische veiligheid. Aan de hand van ex-ante-analyses worden voor elke sector binnen de vitale infrastructuur eventuele risico’s voor de nationale veiligheid bij buitenlandse investeringen en aanbestedingen van overheidsopdrachten in kaart gebracht om te bepalen of het bestaande instrumentarium van de overheid voldoende waarborgen biedt en zo nodig aanvullende maatregelen te nemen. Op dit moment zijn er drie ex-ante-analyses uitgevoerd: waterkeren, energie en ICT/telecom. Alle overige nog uit te voeren ex-ante-analyses zijn op dit moment in voorbereiding of gaande.

In genoemde brief is ook gemeld dat ter vergroting van de bewustwording van mogelijke risico’s voor de nationale veiligheid bij inkoop en aanbestedingen voorlichtingsbijeenkomsten voor Rijksinkopers zijn gehouden en dat ter ondersteuning van de praktijk een handreiking in voorbereiding is ten behoeve van risico-inschatting en het stellen van selectiecriteria en contractuele voorwaarden. Mede aan de hand hiervan kan beoordeeld worden of bij een aanbesteding nationale veiligheidsbelangen aan de orde zijn en welke beheersmaatregelen in dat geval passend zijn.

Vraag 12

Op welke manier opereren andere Europese lidstaten bij aanbestedingen op het gebied van nationale veiligheid bij cruciale communicatiediensten van de overheid? Zijn er landen die strengere aanbestedingseisen hanteren op het gebied van de nationale veiligheid bij cruciale communicatiediensten? Zo ja, welke zijn dat en welke strengere eisen stellen zij?

Antwoord 12

Andere lidstaten zijn wat de mogelijkheden voor het aanbesteden van hun opdrachten van cruciale communicatiediensten gehouden aan dezelfde Europese regelgeving als lidstaat Nederland. Zie antwoord op vraag 8.

Naar boven