Antwoord 1

Facebook, Whatsapp en Instagram zijn voornamelijk berichtenplatforms. Voor de rijksoverheid is de Gedragsregeling Digitale Werkomgeving van toepassing, waarin staat dat dergelijke berichtenapps alleen gebruikt mogen worden voor informele zaken, zoals een interessant artikel delen, een hulpvraag stellen of sparren met collega’s. Er is geen standaard voor berichtenapps vastgesteld, waardoor een dergelijke storing niet direct leidt tot een belemmering in de bedrijfsvoering.

Voor zover mij bekend heeft de storing niet geleid tot belemmering van de bedrijfsvoering bij gemeenten, waterschappen en provincies. Overheidsorganisaties zijn zelf verantwoordelijk voor hun bedrijfsvoering en de beveiliging van informatie en informatiesystemen, zij hanteren daarbij vergelijkbare gedragsregelingen als bij de rijksoverheid.

Antwoord 2

Er zijn op dit moment geen signalen bekend over dergelijke aan het kabinet gerichte berichten. In algemene zin kan worden gesteld dat Nederlandse burgers, bedrijven en organisaties hinder en/of ongemak zullen hebben ervaren als gevolg van deze storing, die optrad als gevolg van een menselijke fout. Het betrof immers uitval van diensten die door Nederlandse burgers en bedrijven veel gebruikt worden, waaronder sociale-media platforms Facebook en Instagram en berichtendiensten WhatsApp en Facebook Messenger.

Hoewel het een grote communicatiestoring betrof in termen van gebruikersuren (duur uitval * getroffen gebruikers), lijkt in dit geval de maatschappelijke en economische schade in Nederland mee te vallen.

Het betrof uitval van diensten die door Nederlandse burgers en bedrijven veel gebruikt worden, waaronder sociale-media platforms Facebook en Instagram en berichtendiensten WhatsApp en Facebook Messenger. Vanzelfsprekend zullen burgers en organisaties die meer gebruik maken van Facebook-diensten meer hinder hebben ondervonden.

Zo lijkt een deel van de gebruikers zonder grote problemen te zijn uitgeweken naar alternatieve diensten. Diverse andere sociale-media platforms en berichtendiensten gaven aan dat het gebruik van hun diensten tijdens en na de storing is toegenomen. Voor zover organisaties en bedrijven tijdelijk verminderd bereikbaar waren, is de verwachting dat dienstverlening over het algemeen op een later moment alsnog heeft kunnen plaatsvinden.

Antwoord 3

Het is in eerste instantie primair aan Facebook zelf om de benodigde technische en organisatorische maatregelen te treffen om een storing als deze te voorkomen, of wanneer deze zich toch voordoet, zo snel mogelijk te verhelpen.

Parallel daaraan hebben gebruikers een eigen verantwoordelijkheid om voor zichzelf na te gaan in hoeverre het voor hen verantwoord is om van één dienst of één bedrijf afhankelijk te zijn en zo nodig alternatieven te verkennen en te gebruiken.

Voor zover het de storing van de berichtendiensten WhatsApp en Facebook Messenger betreft: deze diensten zijn zogeheten nummeronafhankelijke interpersoonlijke communicatiediensten. Zij vallen daarmee onder de verbrede definitie van een elektronische communicatiedienst zoals gedefinieerd in het wetsvoorstel tot wijziging van de telecommunicatiewet ter implementatie van Richtlijn 2018/1972 (de Telecomcode) (Kamerstuk 35 865, nr. 2) zoals deze op dit moment bij uw Kamer voorligt. Dat betekent dat na inwerkingtreding van bovenvermelde wijziging van de telecommunicatiewet (TW) de aanbieders van deze diensten straks ook een meldplicht van incidenten (TW art. 11.a2) en een zorgplicht (treffen van passende beveiligingsmaatregelen onder meer om, als het gaat om dergelijke storingen, in bepaalde mate bestand te zijn tegen acties die de beschikbaarheid van de dienst in gevaar brengen, (TW art. 11.a1) opgelegd krijgen, zoals dat nu al geldt voor aanbieders van traditionele elektronische communicatiediensten als spraaktelefonie en berichtenverkeer (SMS). Agentschap Telecom is hiervoor de aangewezen toezichthouder.

Op Europees niveau wordt gewerkt aan een herziening van de richtlijn (2016/1148) ter bevordering van de beveiliging van netwerk- en informatiesystemen, NIB2. De huidige richtlijn is in Nederland geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni). Op grond van de huidige NIB-richtlijn is de Ierse toezichthouder exclusief bevoegd om toe te zien op Facebook-clouddiensten daar de Europese vestiging van het bedrijf in Ierland is gevestigd. Met betrekking tot het herzieningsvoorstel1 heeft de Europese Commissie voorgesteld om in deze herziening ook sociale media op te nemen. Over deze richtlijn wordt momenteel onderhandeld.

In het ECASEC2-overleg van ENISA3 en de Europese toezichthouders die toezien op de telecomveiligheid worden ook incidenten en te nemen maatregelen besproken. Dit gebeurt nu voor de meer traditionele elektronische communicatiediensten en zal naar verwachting straks ook gaan gelden voor de interpersoonlijke communicatiediensten. Hierdoor kunnen vroegtijdig trends en ontwikkelingen in incidenten worden gesignaleerd. Dat kan er bijvoorbeeld toe leiden dat de toezichthouders bij het uitoefenen van het toezicht op de zorgplicht extra aandacht gaan besteden aan de bepaalde oorzaken van incidenten. ENISA publiceert jaarlijks4 de grote incidenten die nationale toezichthouders doormelden aan ENISA.

Ter voorbereiding op een digitale crisis is er het Nationaal Crisisplan Digitaal.5 Het plan is een leidraad om op hoofdlijnen snel inzicht en overzicht te krijgen in de bestaande afspraken op nationaal niveau over de beheersing van incidenten in het digitale domein met aanzienlijke maatschappelijke gevolgen. Het plan sluit daarmee aan op het Nationaal Handboek Crisisbesluitvorming. In dit geval is er geen aanleiding geweest om op te schalen binnen de nationale crisisstructuur.

Antwoord 4

Deze casus heeft geen invloed op de Nederlandse positie in de onderhandelingen aangaande de Europese wetsvoorstellen voor een Digital Services Act, een Digital Markets Act en een AI Act, omdat de casus buiten de reikwijdtes van deze voorstellen valt. Wel ziet het kabinet het belang van het doorontwikkelen van internetstandaarden zoals het Border Gateway Protocol (BGP).

Facebook heeft na afloop van de storing verklaard dat deze veroorzaakt is door een menselijke fout in de BGP-configuratie van het Facebook-netwerk die niet tijdig is opgemerkt.6 Het BGP is het belangrijkste routeringsprotocol van het internet. Het zorgt ervoor dat zogenaamde Autonome Systemen (AS) elkaar kunnen vinden op het internet. Het BGP zorgt voor de koppeling tussen verschillende AS-netwerken. In dit geval heeft Facebook, door een interne (menselijke) fout, abusievelijk alle routes tussen haar netwerk en de rest van het wereldwijde Internet opgeheven, waardoor de Facebook-servers voor de rest van het Internet niet meer bereikbaar waren. Het BGP-protocol heeft in deze correct gefunctioneerd.

Het BGP wordt ontwikkeld onder de vlag van de Internet Engineering Task Force (IETF). De doorontwikkeling van een dergelijke essentiële standaard is complex en vereist een wereldwijde consensus tussen betrokken en deskundige partijen. De IETF is een grote, open, internationale gemeenschap van netwerkontwerpers, -operators, -leveranciers en -onderzoekers die zich bezighoudt met de evolutie van de internetarchitectuur en de soepele werking van het internet. Om bij deze casus te blijven, ook Facebook neemt deel aan de IETF. Nederland staat voor het multi-stakeholder model van internet governance, waarvan de IETF een goed voorbeeld is. Het kabinet ziet naar aanleiding van deze casus geen noodzaak de werkwijze van de IETF ter discussie stellen.

Wel laat ik de ontwikkelingen rond dergelijke standaardisatievraagstukken volgen en duiden. Agentschap Telecom voert daartoe op dit moment een onderzoek uit naar de belangrijkste vraagstukken rond technische internetstandaardisatie.

Antwoord 5

Het kabinet heeft al een tijd zorgen over de afhankelijkheid van een aantal grote platforms waar ondernemers en consumenten nauwelijks meer omheen kunnen. Vandaar dat het kabinet sinds 2019 pleit voor aanvullende regelgeving om met de macht van deze poortwachters om te gaan (Kamerstuk 27 879, nr. 71 en Kamerstuk 35 134, nr. 13). Dit heeft zijn vruchten afgeworpen. De Europese Commissie heeft in december 2020 een voorstel gedaan voor de Digital Markets Act (DMA) waarmee zij dit soort problematiek wil aanpakken. Dit voorstel is voor een groot deel in lijn met de Nederlandse inzet voor de DMA, die in februari per BNC-fiche naar uw Kamer is verzonden (Kamerstuk 22 112, nr. 3049). Ook is deze inzet tijdens de Technische Briefing over de DMA met de Commissie Digitale Zaken van eind september toegelicht. De onderhandelingen in de Raad over het voorstel lopen in een ambitieus tempo door. Er wordt gestreefd naar het aannemen van een algemene oriëntatie in de Raad voor Concurrentievermogen eind november.

Antwoord 6

In de beantwoording van vragen 3, 4 en 5 is de inzet van het kabinet uiteengezet.