Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 24 november 2023

Met deze brief informeer ik u over de stand van zaken rondom het appbeleid zoals uiteengezet in mijn Kamerbrief van 21 maart 2023 over maatregelen inzake het weren van apps op mobiele devices van rijksambtenaren.1 In deze brief zal ik uiteenzetten welke stappen sindsdien hieromtrent zijn genomen.

Met deze brief wordt tevens tegemoetgekomen aan de toezegging uit het debat «Bescherming van online gegevens» van 17 mei 2023 om de Tweede Kamer te informeren inzake het weren van apps op zakelijke mobiele apparaten van rijksambtenaren.

In de Kamerbrief van 21 maart 2023 is naar aanleiding van schriftelijke vragen een beleidslijn uiteengezet. Hierin is, naar aanleiding van de risico’s behorende bij appgebruik in brede zin2 en het contact met medeoverheden, ervoor gekozen om in twee stappen te komen tot zogeheten «managed apparaten». Dit houdt in feite in dat alleen vooraf toegestane zakelijke applicaties op zakelijke mobiele apparaten gebruikt kunnen worden.

De eerste stap zoals uiteengezet in de Kamerbrief hield in om per direct het aan ambtenaren in dienst van de Rijksoverheid te ontraden om apps geïnstalleerd te hebben en te gebruiken op hun zakelijke mobiele apparaten van bedrijven uit landen met een offensief cyberprogramma gericht tegen Nederland en/of Nederlandse belangen. Dit is gerealiseerd, onder meer door berichten op Rijksportaal. Een steekproef heeft laten zien dat hier gehoor aan is gegeven. Wel blijven we werken aan het verder informeren en ondersteunen van rijksambtenaren.

In de tweede stap wordt toegewerkt naar voorgenoemde «managed apparaten». Hiervoor is een projectleider geworven die dit nu Rijksbreed coördineert. Bij het toewerken naar «managed apparaten» wordt samengewerkt met de Chief Information Officers (CIO), de Chief Technology Officers (CTO) en de Chief Information Security Officers (CISO), evenals de diverse ICT-uitvoeringsorganisaties van het Rijk. Momenteel wordt een plan van aanpak afgestemd voor het ontwikkelen en implementeren van «managed apparaten». Naar verwachting is dit in december dit jaar afgerond.

Wanneer er gebruik gemaakt wordt van «managed apparaten» kunnen alleen vooraf toegestane apps gebruikt worden. Er wordt dan gebruik gemaakt van een risicogebaseerde lijst van toegestane apps.

Daarnaast worden er risicobeperkende tussentijdse maatregelen getroffen om niet een te groot risico te blijven lopen door apps gedurende het proces van totstandkoming van «managed apparaten», ook in het licht van de beschouwing van de AIVD.3 Per 1 juni hebben alle concerndienstverleners hierom voor zover mogelijk eerste technische maatregelen getroffen om een aantal risico’s van apps uit landen met een offensief cyberprogramma tegen Nederland tegen te gaan. Uw Kamer zal over de details van deze maatregelen vertrouwelijk geïnformeerd worden.4

Op 30 mei jl. ben ik in gesprek gegaan met de koepelorganisaties van de medeoverheden. In dit gesprek hebben zij aangegeven graag mee te denken aan het beleid voor «managed apparaten». Ook willen zij graag de beleidslijn van het Rijk volgen, zolang er maar aandacht blijft voor hun specifieke context en de uitvoering.

Ik zal uw Kamer schriftelijk op de hoogte houden van ontwikkelingen op dit gebied in een Kamerbrief voor het zomerreces.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, A.C. van Huffelen