Vragen van het lid Rajkowski (VVD) aan de Staatssecretaris van Economische Zaken en Klimaat en de Minister van Justitie en Veiligheid over het bericht «Litouwen adviseert consument geen Xiaomi-telefoons meer te kopen» (ingezonden 23 september 2021).

Antwoord van Minister Blok (Economische Zaken en Klimaat), mede namens de Minister van Justitie en Veiligheid en de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties (ontvangen 4 november 2021). Zie ook Aanhangsel Handelingen, vergaderjaar 2021–2022, nr. 353.

Vraag 1

Bent u bekend met het bericht «Litouwen adviseert consument geen Xiaomi-telefoons meer te kopen»?1

Antwoord 1

Ja.

Vraag 2

Hoe beoordeelt u het zorgelijke feit dat overheidsinstanties in Litouwen consumenten adviseren om geen smartphones van het Chinese merk Xiaomi meer te kopen of te gebruiken in verband met de mogelijke aanwezigheid van censuursoftware?

Antwoord 2

Het Litouwse Ministerie van Defensie concludeert op basis van eigen onderzoek dat onderzochte smartphones van diverse Chinese fabrikanten kwetsbaarheden en risico’s in zich houden, waaronder de in het nieuwsartikel aangehaalde bevinding van «censuursoftware». Het gaat daarbij specifiek om een lijst van termen die in China gevoelig liggen. De Litouwse overheid concludeert dat deze lijst op Europese smartphones aanwezig is en periodiek geactualiseerd wordt, maar dat er op de in de EU verkochte smartphones geen censuur wordt toegepast.

De overheid van Litouwen verbindt aan het rapport het advies om geen telefoons van Chinese fabrikanten meer te kopen en in gebruik zijnde telefoons te vervangen. Ieder land maakt hierin een eigen afweging. Voor Nederland is er op dit moment geen aanleiding om een dergelijk zwaarwegend advies af te geven. Wel ziet het kabinet dat het daadwerkelijk toepassen van dergelijke software inbreuk kan maken op de grondrechten van gebruikers, zie hiervoor het antwoord op vraag 6.

Vraag 3

Zijn deze signalen bekend bij het Nationaal Cyber Security Centrum (NCSC)? Zo ja, welke actie is hierop tot heden genomen?

Antwoord 3

Ja, de signalen zijn bekend bij het NCSC. Het NCSC informeert en adviseert zijn doelgroep waar relevant over cybersecurityrisico’s.

Vraag 4

Hoeveel Xiaomi telefoons zijn in Nederland in gebruik? Maken Nederlandse overheidsinstanties gebruik van Xiaomi telefoons? Zo ja, welke?

Antwoord 4

Voor het gebruik van Xiaomi-telefoons in Nederland zijn mij geen exacte cijfers bekend. Wel is er een indicatie te geven op basis van openbare marktgegevens. Uit een analyse van Europese markt voor smartphones door het bedrijf Strategy Analytics valt af te leiden dat de verkoop van Xiaomi-telefoons in Europa al enige tijd een stijgende lijn vertoont.2

Deze stijgende lijn is ook terug te zien in cijfers over het internetgebruik door gebruikers van mobiele telefoons. Zo komt het bedrijf Statcounter tot een schatting van het marktaandeel van Xiaomi in Nederland van 4,64% in september 2021.3

Alle overheidsorganisaties zijn zelf verantwoordelijk voor hun bedrijfsvoering en de beveiliging van informatie en informatiesystemen. Ze bepalen zelf welke apparatuur ze in gebruik hebben. Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties beschikt daarom niet over een totaaloverzicht van welke overheidsorganisaties welke telefoons in gebruik hebben.

Binnen de rijksoverheid wordt ten aanzien van de inkoop van telefoons via het Rijksbrede categoriemanagement samengewerkt. Wat betreft de rijksoverheid en aanpalende organisaties zijn voor zover bij het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties bekend sinds 2018 60 Xiaomi-telefoons aangeschaft. De telefoons worden niet gebruikt voor de eigen bedrijfsvoering maar zijn aangeschaft om te worden gebruikt als onderwerp van technisch, forensisch of opsporingsonderzoek. Organisaties maken bij het aanschaffen van apparatuur, zoals telefoons, een eigen afweging bij het afsluiten van nadere overeenkomsten, binnen de ruimte die rijksbreed afgesloten overeenkomsten hen daarvoor bieden. (Zie verder het antwoord op vraag 5).

Vraag 5

Wordt er een risicoanalyse uitgevoerd naar hardware en software die in gebruik wordt genomen door overheidsinstanties? Zo ja, is een dergelijke analyse uitgevoerd voor Xiaomi telefoons? Zo ja, wat waren de uitkomsten hiervan? Zo nee, waarom niet?

Antwoord 5

Voor de aanschaf van hard- en software, waaronder telefoons, door de overheid is de Baseline Informatiebeveiliging Overheid (BIO) van kracht. De uitgangspunten van de BIO zijn onder andere risicomanagement en de eigen verantwoordelijkheid van overheidsorganisaties. Dat betekent dat organisaties zelf risicoafwegingen uitvoeren voordat hard- en software in gebruik wordt genomen, en op grond daarvan de toepassing binnen hun eigen bedrijfsprocessen bepalen. Relevant zijn in dit verband specifiek biomaatregelen 14.1.1.1 en 15.1.1.1.4

Tevens geldt dat bij de inkoop en aanbesteding van producten en diensten binnen de rijksoverheid, zoals telefoons, (eventuele) risico’s voor de nationale veiligheid worden meegewogen. Hierbij wordt in het bijzonder gelet op mogelijke risico’s ten aanzien van de continuïteit van vitale processen, de integriteit en exclusiviteit van kennis en informatie en de ongewenste opbouw van strategische afhankelijkheden. In het kader hiervan zal in geval van gevoelige apparatuur zal bij aanschaf en implementatie daarvan rekening gehouden worden met zowel eventuele risico’s in relatie tot de leverancier, als met risico’s in verband met het concrete gebruik van de systemen, bijvoorbeeld waar het gaat om de toegang tot systemen door derden. Eind 2018 is dit ten aanzien van nationale veiligheidsrisico’s verscherpt inkoop en aanbestedingsbeleid geïmplementeerd voor de rijksoverheid.

Ter ondersteuning van dit beleid is instrumentarium ontwikkeld dat organisaties handvatten biedt bij het maken van een risicoanalyse en het nemen van mitigerende maatregelen. Behoeftestellende partijen zijn zelf verantwoordelijk voor de toepassing van dit instrumentarium en het meewegen van nationale veiligheidsrisico’s. Het instrumentarium is ter beschikking gesteld binnen de rijksoverheid en medeoverheden, alsmede aan organisaties die vitale aanbieder zijn.

Vraag 6

Deelt u de mening dat dergelijke censuursoftware een gevaar vormt voor de vrijheid van meningsuiting en de privacy van Nederlandse gebruikers van Xiaomi telefoons? Zo ja, bent u bereid om op korte termijn onderzoek te laten uitvoeren naar de mogelijke aanwezigheid van censuursoftware op Xiaomi toestellen door het Nationaal Cyber Security Centrum en het Agentschap Telecom? Zo nee, waarom niet?

Antwoord 6

Uit het Litouwse onderzoek blijkt dat de betreffende functionaliteit in de Europese Unie is uitgeschakeld. Wel stellen de onderzoekers dat de fabrikant deze functie op afstand zou kunnen activeren.

In algemene zin zou het toepassen van dergelijke software een risico kunnen vormen voor grondrechten zoals de vrijheid van meningsuiting, de vrijheid van nieuwsgaring en de privacy van Nederlandse gebruikers. Hierbij is het belangrijk om op te merken dat op de software die zich op Nederlandse smartphones bevindt, de huidige wet- en regelgeving van kracht is, zoals de Algemene Verordening Gegevensbescherming en de Algemene wet gelijke behandeling.

De betreffende toezichthouders en instanties, de Autoriteit Persoonsgegevens en het College voor de Rechten van de Mens, kunnen besluiten aanvullend onderzoek te doen wanneer zij hier aanleiding toe zien.

Vraag 7

Klopt het dat Xiaomi geen officiële winkel of webshop heeft in Nederland, maar wel online via verschillende Nederlandse websites/webwinkels te kopen is? Deelt u de mening dat als blijkt dat Nederlanders met een Xiaomi telefoon dergelijke censuursoftware hebben, het onwenselijk is dat deze telefoons in Nederland verkrijgbaar zijn? Zo ja, wat gaat u daaraan doen? Zo nee, waarom niet?

Antwoord 7

Dit is niet juist. Xiaomi heeft in Nederland een officieel verkoopkanaal via haar eigen website. Ook zijn Xiaomi-telefoons in Nederland verkrijgbaar via de mobiele operators en via zowel Nederlandse als Europese webwinkels.

Op dit moment heb ik geen aanwijzingen dat deze software in Nederland is geactiveerd. Mocht op enig moment blijken dat dit toch het geval is, dan is het aan de betreffende toezichthouders om zo nodig te handhaven.

Naar boven