De vaste commissie voor Buitenlandse Zaken heeft een aantal vragen en opmerkingen voorgelegd aan de Minister van Buitenlandse Zaken over de brief van 12 februari 2017 over de Internationale Cyberstrategie (Kamerstuk 26 643, nr. 447).

De vragen en opmerkingen zijn op 6 april 2017 aan de Minister van Buitenlandse Zaken voorgelegd. Bij brief van 1 juni 2017 zijn de vragen beantwoord.

De fungerend voorzitter van de commissie, Omtzigt

De griffier van de commissie, Van Toor

Vragen en opmerkingen vanuit de fracties en reactie van de Minister van Buitenlandse Zaken

Inbreng van de leden van de fractie van de VVD

De leden van de VVD-fractie hebben met belangstelling kennisgenomen van de Internationale Cyberstrategie. De VVD-fractie heeft hierover nog enkele vragen en opmerkingen.

In de strategie valt te lezen dat Nederland inzet op wereldwijde capaciteitsopbouw. Kan het kabinet concrete voorbeelden geven van dergelijke capaciteitsopbouw? In welke landen zijn tot nu toe welke specifieke projecten uitgevoerd? Wat was de Nederlandse bijdrage daarbij? En tot welke concrete uitkomsten heeft dat geleid? Kan het kabinet nader toelichten hoe het kabinet de balans probeert te vinden tussen het helpen van andere landen met capaciteitsopbouw op het gebied van cybersecurity enerzijds en het bewaken van strategische nationale veiligheidsbelangen op datzelfde terrein anderzijds?

In de strategie staat ook dat Nederland actief meewerkt aan het betrekken van ontwikkelingslanden bij het Internet Governance Forum (IGF) en om de resultaten van dit mondiale overlegplatform tastbaarder en zichtbaarder te maken. Kan het kabinet concreet toelichten op welke wijze Nederland daaraan meewerkt? En wat zijn de uitkomsten daarvan toe nu toe?

Via het IGF discussiëren diverse stakeholdergroepen over uiteenlopende internetvraagstukken en delen kennis en praktijkervaring die waar mogelijk worden vastgelegd in «best practices» documenten. Nederland is via het Nederlands Internet Governance Forum (NLIGF) actief daarbij betrokken. Een tastbaar resultaat van het IGF is het handboek over de «Best Practices Forums» van 2015. Daarin staan aanbevelingen van deze werkgroepen van het IGF met «best practices» voor onder meer het opzetten van internetknooppunten, het toepassen van veilige internetstandaarden, het bieden van ondersteuning bij en afhandelen van cybersecurity incidenten (CSIRTs) en spambestrijding. Sinds 2016 is Nederland overheidslid van de multistakeholder adviesgroep van het IGF die de Secretaris-Generaal van de VN adviseert over de agenda van de jaarlijkse IGF-bijeenkomsten. Ook daar maakt Nederland zich hard voor een inclusief, zichtbaar en financieel stabiel IGF, met verkleining van de digitale kloof als één van de prioriteiten.

Onder «verdere versterking cybersecurity» (op pagina 11) wordt gesproken over de versterking van de Europese digitale veiligheid. In het bijzonder gaat de aandacht daarbij uit naar vitale sectoren en infrastructuren. Welke vitale sectoren en infrastructuren identificeert het kabinet binnen de internationale cyberstrategie? Kan het kabinet daar een opsomming met toelichting van geven?

Lidstaten hebben de vrijheid om binnen de in bijlage II van de richtlijn genoemde sectoren, aan de hand van in de richtlijn vermelde criteria, zelf te bepalen welke specifieke aanbieders onder de bepalingen van de richtlijn komen te vallen. Bij de Nederlandse aanwijzing van de aanbieders van essentiële diensten zal de lijst van Nederlandse vitale processen, zoals opgenomen in de voortgangsbrief Nationale Veiligheid van 2015 (Kamerstuk 30 821, nr. 23) en de voortgangsbrief Nationale Veiligheid 2016 (Kamerstuk 30 821, nr. 32) nadrukkelijk als uitgangspunt dienen. De implementatie van de NIB-richtlijn in nationale wetgeving is thans gaande. Het wetsvoorstel zal naar verwachting in het najaar van dit jaar in procedure worden gebracht.

Wat zijn tot nu toe de concrete, praktische opbrengsten van het INTERPOL Global Complex for Innovation (IGCI). Op welke wijze wordt wereldwijde internationale samenwerking in cybercrimezaken ondersteund door het IGCI?

Waaraan heeft Nederland zich concreet gecommitteerd met de Cyber Defence Pledge? Vloeien hier specifieke verplichtingen uit voort, of maatregelen die Nederland op korte termijn moet nemen inzake cyber, bovenop reeds bestaande plannen? Graag een toelichting.

Nederland is al enige tijd bezig met het versterken van de cybersecurity. Met de Nationale Cyber Security Strategie (NCSS) 2 (Kamerstuk 26 643, nr. 291) is het beleid er reeds op gericht om onze digitale weerbaarheid te verhogen. Dit doen we bijvoorbeeld door te investeren in het vroegtijdig detecteren van aanvallen, de aanpak van cybercrime, de opbouw van militaire capaciteiten in het cyberdomein en het versterken van het diplomatiek instrumentarium.

Inbreng van de leden van de fractie van de PVV

De leden van de PVV-fractie willen het kabinet bedanken voor het naar de Kamer sturen van de Internationale Cyberstrategie. De PVV deelt de mening dat digitale dreigingen één van de grootste veiligheidsdreigingen van deze tijd zijn. De toegenomen aandacht voor dit onderwerp, waarvan de Internationale Cyberstrategie een uitvloeisel is, is daarom meer dan terecht.

Voor de leden van de PVV-fractie moet de bescherming van Nederland, de Nederlandse burgers en bedrijven de spil zijn waaromheen het Nederlands cyberbeleid wordt gebouwd. Zoals het kabinet terecht stelt, neemt de cyberdreiging zowel in kwantiteit als in kwaliteit toe. De leden van de PVV-fractie zijn daarover zeer bezorgd.

De schade die de Nederlandse economie als gevolg van cybercrime en cyberspionage lijdt neemt steeds verder toe. Kan het kabinet een schatting geven van de economische schade die Nederlandse bedrijven en instellingen jaarlijks oplopen? En met welke bedrag neemt deze schadepost naar verwachting toe de komende jaren?

Er zijn al met al voor de komende jaren geen reële prognoses te geven van de toe- of afname van schadebedragen ten gevolge van cybercrime en cyberspionage. Voor de wijze waarop de dreiging zich ontwikkelt wordt verwezen naar het Cyber Security Beeld Nederland (CSBN) dat jaarlijks door het Ministerie van Veiligheid en Justitie aan de Kamer wordt aangeboden.

De leden van de PVV-fractie zijn eveneens bezorgd over de dreiging van cyberaanvallen op vitale infrastructuur in Nederland. In welke mate is Nederland daarop voorbereid? Houden de Nederlandse autoriteiten en diensten grootschalige oefeningen waarbij cyberaanvallen op de vitale infrastructuur wordt gesimuleerd?

De leden van de PVV-fractie zijn content met de toegenomen aandacht voor cyberveiligheid bij het NAVO-bondgenootschap en steunen de ontwikkeling van defensieve en offensieve slagkracht in het cyberdomein. Zeker ook daar waar het de maatregelen betreft in bondgenootschappelijk verband. Maar beschikt de Nederlandse krijgsmacht zelf over voldoende personele en materiele cybercapaciteiten? Februari jongstleden gaf de commandant van het Defensie Cyber Commando (DCC) in de media aan dat het DCC nu al overvraagd is. Erkent het kabinet dit zorgelijke beeld, en zo ja, welke maatregelen worden genomen om de ontstane capaciteitstekorten op te lossen in een tijd waarin de werkdruk voor het DCC alleen maar zal toenemen?

Het kabinet gaat een cyberdiplomatennetwerk activeren op enkele belangrijke ambassades. Kan over dit initiatief iets meer helderheid worden verschaft? Wat zijn de tot nu toe opgedane ervaringen en wanneer wordt besloten om het cyberdiplomatennetwerk verder te activeren en uit te rollen op andere ambassades?

Het is daarbij van belang dat cyberdiplomaten kunnen bouwen op solide cyberkennis, diplomatieke ervaring, kennis en vaardigheden. Bij de verdere uitbouw van het diplomatennetwerk wordt ook gekeken naar de ervaringen en best practices van andere landen, zoals onder meer het VK en de VS, die een soortgelijke aanpak hanteren. Het kabinet zal de Tweede Kamer informeren over voortgang met betrekking tot de ICS.

Teneinde de kennis van cyberdiplomaten te versterken worden trainingsprogramma’s, terugkom- en netwerkdagen georganiseerd. Het netwerk wordt vooralsnog binnen de bestaande formatie bij wijze van pilot onder meer op de posten Washington, Londen, Beijing en Moskou geactiveerd. Een nieuw kabinet kan de internationale benadering van het cyberdomein versterken door ook andere belangrijke landen binnen en buiten Europa in aanmerking te laten komen om deel uit te maken van het cyberdiplomatennetwerk en middelen ter beschikking te stellen.

Ook horen de leden van de PVV-fractie graag of de Nederlandse ambassades extra kwetsbaar zijn voor cybercrime en cyberspionage. Beschikt Nederland wel over voldoende personele capaciteit om staatsgeheimen en andere vertrouwelijke informatie op ambassades uit handen te houden van kwaadwillende hackers?

Tot slot steunen de leden van de PVV-fractie de Nederlandse inspanningen om de internationale opsporing in het cyberdomein te bevorderen. Nu komen cybercriminelen te makkelijk weg met het plegen van criminele daden in het cyberdomein. Dat is de leden van de PVV-fractie een doorn in het oog. Om de opsporing te verbeteren heeft Nederland bijgedragen aan de ontwikkeling van het European Cyber Crime Center bij Europol. Kan het kabinet aangeven in welke mate de oprichting en ontwikkeling van het European Cyber Crime Center heeft bijgedragen aan het opsporen van cybercriminelen? Zijn er al cybercriminelen opgepakt en cyberbendes opgerold met hulp van het European Cyber Crime Center?

EC3 biedt de EU-lidstaten ondersteuning in de operationele aanpak, onder meer door coördinatie en prioritering. EC3 functioneert als een platform voor informatiedeling. Ook maakt EC3 gebruik van zijn netwerkcapaciteiten om de samenwerking met partners op het terrein van handhaving en opsporing in landen buiten de EU te bevorderen. EC3 levert op hoog niveau technische, analytische en digitale forensische expertise ter ondersteuning van onderzoeken naar cybercriminaliteit in EU-lidstaten. EC3 beschikt ook over de Europol Malware Analysis Solution (EMAS) waarmee intelligence op het terrein van schadelijke software kan worden verrijkt door onder meer analyse en forensisch onderzoek ten aanzien van de malware. Een goed voorbeeld is de bijdrage van EC3 in de aanpak van ransomware

Sinds het centrum is ingesteld, ondersteunt EC3 lidstaten bij complexe cyberonderzoeken en levert daarmee een belangrijke bijdrage aan de aanpak van complexe cybercriminaliteit. Het aantal complexe cyberonderzoeken is de afgelopen jaren gestegen: 57 in 2013, 72 in 2014, 131 in 2015 en 175 in 2016. EC3 verzamelt geen gegevens over het aantal verrichte arrestaties en het aantal opgerolde cybercriminele groepen.

Inbreng van de leden van de fractie van D66

De leden van de D66-fractie hebben met belangstelling kennis genomen van de Internationale Cyberstrategie van het kabinet. De genoemde leden onderschrijven het uitgangspunt van het kabinet van een veilig, vrij en open cyberdomein. Digitalisering biedt kansen, maar kent ook vele uitdagingen.

Ten aanzien van de inzet van offensieve cybercapaciteiten is het standpunt van het kabinet, dat ook in de UN GGE wordt uitgedragen, dat het internationaal recht daar op dezelfde wijze op van toepassing is als op conventionele capaciteiten, en dat het gebruik daarvan dus in bepaalde omstandigheden is toegestaan. Zie over die omstandigheden het antwoord op vraag 43.

Ten aanzien van vrijwillige, niet-bindende gedragsnormen richt het kabinet zich op het verder uitwerken van de elf gedragsnormen die in 2015 overeengekomen zijn2. Het kabinet pleit er ook voor dat cyberoperaties die de algemene functionaliteit van de publieke kern van het internet ondermijnen als fundamentele dreiging erkend worden, zodat dit in eventuele toekomstige VN discussies over gedragsnormen kan worden meegenomen.

Belangen en visie

Voorbeeld hiervan is het encryptiestandpunt van het kabinet (Kamerstuk 26 643, nr. 383). Hierin wordt ingegaan op het belang van encryptie voor de systeem- en informatiebeveiliging van de overheid en bedrijven, en voor de grondwettelijke bescherming van de persoonlijke levenssfeer en het communicatie-geheim. Daarnaast wordt het belang van opsporing van ernstige misdrijven en bescherming van de nationale veiligheid geschetst. Een ander voorbeeld is de grondwettelijke bescherming van het brief- en telecommunicatiegeheim in het wetsvoorstel tot wijziging van artikel 13 Grondwet (Kamerstuk 33 989), zoals dat onlangs door de kamer is aangenomen. Ook hierin zijn het beschermen van de vrijheid om vertrouwelijk te kunnen communiceren in het digitale domein en het in bij de wet omschreven gevallen kunnen beperken van die vrijheid ten behoeve van opsporing van misdrijven en in het belang van de nationale veiligheid verenigd.

De leden van de D66-fractie zijn het met het kabinet eens dat er talloze internationale dreigingen zijn in het cyberdomein. Die dreigingen komen van zowel statelijke als niet-statelijke actoren. Bovendien kent deze dreiging vele vormen, van zoals cybercrime, cyber-spionage, of zelfs cyber-sabotage. In de huidige analyse van het kabinet missen de genoemde leden een uiteenzetting van de belangrijkste dreigingen voor Nederland. Welke statelijke en niet-statelijke actoren zijn het grootste gevaar voor Nederland en de EU? «Nederland is structureel doelwit van digitale spionageaanvallen», aldus het kabinet. Van wie komen die aanvallen? Wordt dit, waar mogelijk, ook geadresseerd via andere diplomatieke kanalen? Het aantal cyberaanvallen op de VS is na het diplomatieke akkoord tussen China en de VS gedaald. Behoren dergelijke diplomatieke akkoorden ook tot de Nederlandse, en Europese, inzet? Hebben deze aanvallen implicaties voor de Nederlandse Defensie Doctrine en de (Nederlandse) Internationale Veiligheidsstrategie? Zo ja, welke dan? Zo nee, waarom niet?

Het diplomatieke akkoord tussen de Verenigde Staten en de Volksrepubliek China had betrekking op bepaalde vormen van digitale economische spionage. Deze afspraken zijn later ook door de G20 omarmd. Het kabinet verkent thans onder meer in EU-verband mogelijkheden voor soortgelijke afspraken.

Cyberdreigingen raken aan alle drie de internationale veiligheidsbelangen zoals weergegeven in de Internationale Veiligheidsstrategie (Kamerstuk 33 694, nr. 1). Het kabinet heeft de buitenlandpolitieke inzet op dit thema daarom geïntensiveerd zoals verwoord in de Internationale Cyberstrategie (ICS) en als onderdeel van de bredere Nationale Cyber Security Strategie (NCSS) 2. Zoals het kabinet stelt in de beleidsreactie op het Cyber Security Beeld Nederland (CSBN) 2016 (Kamerstuk 26 643, nr. 420) maken de kwantitatief en kwalitatief toenemende dreiging in combinatie met een toenemende afhankelijkheid van inherent kwetsbare ICT in Nederland dat een doorontwikkeling van de Nederlandse cybersecurity noodzakelijk is. De ICS biedt daarom een verdere operationalisering en uitwerking van de Internationale Veiligheidsstrategie.

De leden van de D66-fractie constateren dat het kabinet een verdeling maakt tussen drie groepen landen daar waar het gaat over de mate van vrijheid op internet en toepasbaarheid van internationaal recht. Kan het kabinet bij de analyse ook aangeven wat de krachtsverhoudingen zijn? Hoeveel landen scharen zich achter het standpunt dat ook Nederland inneemt van een bescherming van de integriteit van het internet en de toepassing van internationaal recht? Zijn dit vooral EU-landen? Welke en hoeveel landen bevinden zich in de andere categorieën van staatsgeoriënteerde landen en swing states?

Nederland bevindt zich, met veel, maar niet uitsluitend, EU-lidstaten en de VS, aan de zijde van landen die een multistakeholder benadering voorstaan. De «swing states» omvatten verreweg de grootste groep landen, waarvan een groot aantal zich bevindt in de «Global South». De groep staatsgeoriënteerde landen zijn landen die traditioneel het belang van overheidscontrole op het internet benadrukken, zoals China en Rusland. Nederland tracht in bilateraal en multilateraal verband de zogenoemde «swing states» te overtuigen van de gemeenschappelijke belangen van een open, veilig en vrij internet.

Aanpak

Het kabinet onderschrijft het belang van goede interdepartementale coördinatie om te komen tot een integrale afweging van Nederlandse belangen op het gebied van internet en heeft daarom een Internationale Cyberstrategie (ICS) ontwikkeld die complementair is en in lijn met nationale beleidskeuzes op het digitale domein. Vanuit de verantwoordelijkheid van het Ministerie van Buitenlandse Zaken voor het buitenlandbeleid, heeft het Ministerie van Buitenlandse Zaken de totstandkoming van de ICS gecoördineerd. De strategie heeft de internationale ontwikkelingen in kaart gebracht en een afwegingskader geformuleerd voor de manier waarop Nederland internationaal optimaal zijn nationale doelstellingen kan realiseren. Er is een visie ontwikkeld die recht doet aan de verwevenheid van de verschillende thema’s met betrekking tot het internet. Beleidsontwikkeling en -uitvoering op de verschillende deelterreinen blijft onder verantwoordelijkheid van de relevante departementen.

Het interdepartementaal overleg dat door het Ministerie van Buitenlandse Zaken bijeen is geroepen voor de ontwikkeling van de ICS zal worden voortgezet in aanloop naar de Global Conference on Cyber Space (GCCS) in India eind 2017. In dit overleg kunnen ook zaken die betrekking hebben op de ICS worden afgestemd. Daarnaast wordt afgestemd in de reguliere overlegstructuren bestaande uit het DG overleg cybersecurity en digitale economie en het directeuren overleg cybersecurity, ondersteund door het interdepartementale overleg cybersecurity.

Een speciaal gezant wordt ingezet om Nederland te vertegenwoordigen in relevante fora, de resultaten van de GCCS uit te dragen en de prioriteiten van Nederland op internationaal cyber gebied te bevorderen. Het is inmiddels goed internationaal diplomatiek gebruik om een speciaal gezant cyber te mandateren. Deze gezant heeft toegang tot belangrijke partijen en gremia. Om de voorloperspositie van Nederland op dit terrein te behouden, is toegang tot belangrijke gremia onontbeerlijk.

De leden van de D66-fractie vragen het kabinet toe te lichten, indien mogelijk, hoe vaak offensieve cybercapaciteiten door Nederland zijn en worden ingezet? Gebeurt dit op dagelijkse basis? Of zijn dit gerichte aanvallen die slechts sporadisch plaatsvinden? Kan het kabinet in dit verband ook aangeven hoe het omgaat met het recht op informatie (inlichtingen) vooraf van de Staten-Generaal bij de inzet of het ter beschikking stellen van de krijgsmacht?

De leden van de D66-fractie hebben met belangstelling kennis genomen van de aangekondigde ontplooiing van een cyberdiplomatennetwerk voor het Nederlandse cyberbeleid, beginnend op een aantal belangrijke ambassades. De genoemde leden zouden het zeer op prijst stellen als het kabinet dit nader kan toelichten. Welke concrete rol krijgen deze cyberdiplomaten? Welke en hoeveel middelen zijn hiervoor beschikbaar? Zijn dit nieuwe voltijdsfuncties, waarvoor experts worden aangetrokken? Of krijgen de huidige diplomaten er een extra taak bij? Wat is de precieze taak- en functieomschrijving van deze cyberdiplomaten? En op welke ambassades gaan zij aan het werk?

De leden van de D66-fractie constateren dat het kabinet vooral inzet op repressieve veiligheidsmaatregelen in plaats van preventie, terwijl juist op het gebied van preventie nog een wereld te winnen is. Een groot deel van de wereldwijde cybercrime is het gevolg van onveilige software, slechte cyberhygiëne en onvoldoende bewustzijn. Hier ligt ook de focus van de initiatiefnota van de D66-fractie over veilige op internet aangesloten apparaten. Bijvoorbeeld door bedrijven aan te spreken op hun verantwoordelijkheid, bijvoorbeeld door middel van software aansprakelijkheid, door mensen en bedrijven te ondersteunen in goede cyberhygiëne en door het bewustzijn bij mensen, bedrijven en overheden te vergroten. Kan het kabinet aangeven hoe het aankijkt tegen het belang van preventie? Welke stappen is het van plan op dit gebied, ook in Europese en internationale context, te nemen?

Vanuit het perspectief van preventie wordt het bewustzijn bij burgers en bedrijven verhoogd met instrumenten als veiliginternetten.nl en Alert Online en de communicatiecampagne Veilig Zakelijk Internetten van het Nationaal Platform Criminaliteitsbeheersing. Daarnaast werken in het PPS-project «Secure Software» de Stichting Secure Software Alliance samen met het Ministerie van Economische Zaken, het Platform voor de Informatie Samenleving (ECP), kennis instellingen en diverse marktpartijen ten behoeve van een normenkader voor het ontwikkelen van aantoonbaar veilige software. Ten slotte wordt via het PPS-platform Internetstandaarden en de Veilige E-mail Coalitie van bedrijfsleven en overheid de invoering van moderne internetstandaarden gestimuleerd waarmee veilige en versleutelde emailcommunicatie en websurfen worden bewerkstelligd. Deze initiatieven worden door EZ, BZ en V&J als Nederlandse «best practices» ingebracht in diverse relevante internationale fora als het GFCE en het IGF, en gedeeld met andere EU-lidstaten.

Bijzondere vermelding verdient de EU richtlijn netwerk- en informatiebeveiliging. De richtlijn schrijft organisaties voor de risico’s voor netwerk- en informatiesystemen die zij gebruiken in kaart te brengen en passende technische en organisatorische maatregelen te nemen om die risico’s te beheersen. Verder vindt in Europees verband jaarlijks in oktober de EU campagne (ECSM) plaats met als doel het besef te vergroten met betrekking tot cyberdreigingen, het vergroten van cybersecurity onder burgers en het voorzien in actuele informatie door onderwijs en het delen van «good practices».

Zoals weergegeven in de Internationale Cyberstrategie (ICS) zet het kabinet verder in op een internationaal normatief kader voor de regulering van cyberoperaties tussen staten.

Beleidsprioriteiten van een internationale cyberstrategie

De leden van de D66-fractie constateren dat het kabinet voor een effectieve bestrijding van cybercrime vooral inzet op intensivering van de internationale samenwerking en het versterken van internationale juridische kaders. Graag ontvangen de genoemde leden ook een toelichting of, en zo ja welke, capaciteit in Nederland wordt ontwikkeld om internationale cybercrime op te sporen en aan te pakken.

Het Openbaar Ministerie beschikt, bij het Landelijk Parket en in de regionale parketten, over gespecialiseerde officieren van justitie voor cybercrime. De komende jaren worden additionele middelen geïnvesteerd voor internationale samenwerking en om het verwerken van rechtshulpverzoeken bij het Openbaar Ministerie te versterken.

Voor een effectieve aanpak is bovendien de aanpassing van nationale wetgeving noodzakelijk. Daarom heeft de regering het Wetsvoorstel Computercriminaliteit III (Kamerstuk 34 372) aan het parlement gestuurd. De Tweede Kamer heeft het voorstel inmiddels aangenomen. Het wetsvoorstel behelst onder meer nieuwe strafbaarstellingen en bevoegdheden die nodig zijn voor een effectieve aanpak van cybercrime en de opsporing op internet. Voorts wordt op basis van de motie-Recourt van december 2016 (Kamerstuk 34 372, nr. 23) gewerkt aan een integraal plan van aanpak voor cybercrime.

De leden van de D66-fractie constateren dat de juridische experts die aan de basis staan van de Tallinn Manual 2.0 er onderling niet uit kunnen komen wat betreft de legaliteit van buitenlandse cyberspionage. Op pagina 170 stellen zij: «[we] were incapable of achieving consensus as to whether remote cyber espionage reaching a particular threshold of severity violates international law». Wat is de mening van het kabinet hierover? Hoe verhoudt zich deze uitspraak in de Tallinn Manual 2.0 met de verruiming van de bevoegdheden in de Wet op de Inlichtingen- en veiligheidsdiensten?

De leden van de D66-fractie lezen dat het kabinet andere landen wil bewegen tot transparantie over offensieve cybercapaciteiten. Welke landen erkennen op dit moment dat zij offensieve cybercapaciteiten hebben, ontwikkelen en/of inzetten? En van welke landen heeft het kabinet het vermoeden dat dit zo is, en zijn de betreffende landen daar dus niet transparant over?

Nederland beschouwt transparantie als een vertrouwenwekkende maatregel die kan helpen om misverstanden te voorkomen en wantrouwen te verminderen. Dit kan een bijdrage leveren aan het bevorderen van de internationale stabiliteit, het voorkomen van het ontstaan van een wapenwedloop en het wegnemen van wantrouwen en gevaar op escalatie en miscalculatie.

De leden van de D66-fractie constateren dat investeringen in offensieve cybercapaciteiten tevens negatieve gevolgen kunnen hebben voor defensieve cybercapaciteiten. Het opsparen en het openlaten van kwetsbaarheden in veelgebruikte consumentensoftware kan voor de samenleving negatieve gevolgen hebben op het gebied van economie, privacy en veiligheid. Erkent het kabinet deze dualiteit in de ontwikkeling van offensieve cybercapaciteiten? Hoe houdt het kabinet rekening met deze dualiteit in de ontwikkeling van offensieve cybercapaciteiten? Hoe verloopt de afweging tussen de offensieve mogelijkheden enerzijds en de defensieve risico’s anderzijds? Hoe verloopt de inschatting van de defensieve risico’s van het openlaten van kwetsbaarheden in veelgebruikte consumentensoftware? Kan het kabinet een voorbeeld geven van een doel van de offensieve cybercapaciteiten waarover transparantie dient te bestaan volgens het kabinet?

Inbreng van de leden van de fractie van GroenLinks

De leden van de fractie van GroenLinks hebben met belangstelling de Internationale Cyberstrategie gelezen. Zij kunnen zich vinden in de uitgangspunten, maar vinden de strategie op veel vlakken nog weinig concreet. Gezien het portefeuille-overstijgende karakter en ook het grote belang van het internet, hechten de leden aan een heldere verdeling van taken en bevoegdheden tussen bewindspersonen en tussen diensten. Is er op dit moment een helder beeld van de rollen van de Ministers van Buitenlandse Zaken, Defensie, Veiligheid & Justitie, Economische Zaken en Binnenlandse Zaken en de onder hen ressorterende diensten op dit terrein? Acht het kabinet het raadzaam om in een volgend kabinet een coördinerend bewindspersoon aan te wijzen?

Het is niet aan dit kabinet om uitspraken te doen over de wijze waarop dit onderwerp onder een nieuw kabinet zal worden belegd.

Aanpak

Hoe worden op dit moment aanvallen die aan statelijke actoren worden toegeschreven, tegemoet getreden? Welke acties worden ondernomen als er een redelijk vermoeden bestaat dat een andere staat verantwoordelijkheid draagt, bijvoorbeeld voor pogingen tot beïnvloeding van verkiezingen of digitale spionage? Bestaat er steun voor het opstellen van een internationaal juridisch kader? Wat is de officiële visie van Rusland en China op dergelijke interstatelijke aanvallen?

Het kabinet benadrukt dat er reeds sprake is van een internationaalrechtelijk kader voor de regulering van cyberoperaties. Diverse landen, waaronder Nederland, hadden de toepasbaarheid van het bestaand internationaal recht op cyberoperaties reeds bevestigd, maar in de UN Group of Governmental Experts van 2013 werd hier ook in VN kader overeenstemming over bereikt. Er bestaat brede steun voor het verder uitwerken hoe specifieke regels moeten worden toegepast op cyberoperaties. Onder meer de huidige UN GGE probeert daar verdere vooruitgang op te boeken. Het kabinet probeert dat te ondersteunen, bijvoorbeeld door discussie over de Tallinn Manual 2.0 tussen juridisch adviseurs van een grote groep landen te faciliteren.

Voor wat betreft de officiële visie van andere landen op de rechtmatigheid van cyberoperaties verwijst het kabinet naar officiële publicaties daarover van deze landen.

Zijn landen verantwoordelijk voor het berechten van cybercriminelen die op hun grondgebied opereren en voor het verhalen van de schade die deze cybercriminelen toebrengen?

Op het terrein van cybercriminaliteit doet zich in een overgroot deel van de strafrechtelijke onderzoeken een situatie voor waarbij er in diverse landen slachtoffers (burgers, bedrijven of overheden) zijn gemaakt door het plegen van computercriminaliteit, zoals computervredebreuk, het overnemen, aftappen of vernietigen van gegevens, DDos-aanvallen enz. In die situatie zullen veelal meerdere landen een strafrechtelijk onderzoek starten om te onderzoeken vanuit waar de aanval wordt gepleegd en wie daar mogelijk van kan worden verdacht. Die onderzoeken leiden wederom in het grootste deel van de gevallen naar landen waar weliswaar de infrastructuur staat waarmee de strafbare feiten (mede) worden gepleegd of aangestuurd, maar wat veelal niet de locatie is van de natuurlijke personen die achter deze strafbare feiten zitten.

Het nader onderzoeken van de identiteit van de verdachten die achter dergelijke strafbare feiten zitten, is tijdrovend, internationaal georiënteerd en technisch vaak zeer gecompliceerd door de eenvoudige beschikbaarheid van afschermingsmiddelen, zoals proxy’s, Virtueel Privénetwerk (VPN) aanbieders, The Onion Router (TOR) (is een netwerk van servers waarin internet verkeer over de hele wereld wordt gerouteerd waardoor het zeer moeilijk is om de bron te achterhalen) en The Amnestic Incognito Live System (Tails) (systeem dat is gericht op privacy en anonimisering) software en anonieme betalingsmiddelen. Er staan de opsporingsinstituten weinig mogelijkheden ter beschikking om deze afschermingen te doorbreken, behalve het intensief samenwerken op internationaal niveau.

Indien er verdachten worden geïdentificeerd is het vervolgens afhankelijk van de wetgeving van het land waar deze personen verblijven of uitlevering/overlevering mogelijk is naar andere landen. Er zijn nog diverse landen die geen eigen onderdanen uitleveren en in die gevallen zal moeten worden bezien of het overdragen van de strafzaak een alternatief vormt. In sommige gevallen reist een verdachte ook over de grenzen en kan het wachten op een dergelijk scenario beter zijn.

In sommige zaken is het vragen van uitlevering of overlevering mogelijk en daar wordt nu reeds gebruik van gemaakt. In andere zaken wordt een inschatting gemaakt of het delen van informatie of het doen van rechtshulp leidt tot een aanhouding van verdachte. Indien het tot een vervolging komt is het vervolgende land als eerste verantwoordelijk voor het verhalen van de schade op de verdachte.

Wat verstaat het kabinet onder robuuste capaciteiten? Beschikt de overheid, en met name het Nationaal Cyber Security Centrum (NCSC), over voldoende gekwalificeerde mensen? Wat is de invullingsgraad van de vacatures bij het NCSC? Loopt het opbouwen van capaciteiten gelijk op met het toenemen van de dreiging? Wat zijn de financiële kaders van de cybercapaciteit van de Nederlandse overheid?

Wat zijn de taken van het cyberdiplomatennetwerk? Wordt de cyberportefeuille onderdeel van het werk van zittende diplomaten of worden hiervoor gespecialiseerde diplomaten uitgezonden? Hoe verhoudt dit netwerk zich tot de NCSC?

De leden van de fractie van GroenLinks onderschrijven het belang van het integreren van het cyberbeleid in het gemeenschappelijk buitenland- en veiligheidsbeleid. Zijn er concrete plannen om deze integratie door te voeren? Hoe staan de Europese Dienst voor Extern Optreden (EDEO), de Europese Commissie en de lidstaten hier tegenover?

Beleidsprioriteiten

Wie maken deel uit van de Samenwerkingsgroep? Zijn de EU-lidstaten bereid om in het kader van cyberbeleid samen op te trekken? Of betreft het hier meer een voorhoede onder de lidstaten?

Wie is verantwoordelijk voor de samenwerking tussen de Computer Security Incident Response Teams (CSIRTs)?

Waar liggen de grenzen tussen de militaire en civiele componenten van cybercapaciteiten? Heeft het kabinet het in het kader van NAVO over de cybercomponent van militaire operatie of heeft de NAVO een bredere rol? Hoe verhoudt de rol van de NAVO zich tot de rol van de EU? Committeren de verschillende NAVO-partners zich aan een bondgenootschappelijke houding?

Dit laat echter onverlet dat die capaciteiten – evenals de andere capaciteiten van de krijgsmacht – binnen de vigerende civiele juridische kaders beschikbaar kunnen worden gesteld aan (nationale) civiele autoriteiten ten behoeve van crisisbeheersing, rampenbestrijding en rechtshandhaving; ook wel de derde hoofdtaak van de krijgsmacht genoemd. In spiegelbeeld: de cybercapaciteiten van civiele uitvoeringsorganisaties zijn op de laatstgenoemde doeleinden gericht, niet op het uitoefenen van de zwaardmacht ten behoeve van (internationale) conflictbeheersing.

In de kamerbrief over cybersamenwerking tussen EU en NAVO (Kamerstuk 33 321, nr. 8) heeft het kabinet gemeld dat de taken en verantwoordelijkheden van EU en NAVO verschillend zijn, maar voor een deel wel complementair. De ordenende rol van EU en de veiligheidsbevorderende rol van NAVO kunnen elkaar versterken waardoor ook afzonderlijke ambities beter verwezenlijkt kunnen worden.

Ten aanzien van de rol van NAVO in het cyberdomein is tijdens de top in Wales in 2014 besloten dat «cyber» onderdeel uitmaakt van de collectieve verdediging. Een cyberaanval kan het niveau van een gewapende aanval bereiken en kan dus ook tot een collectieve reactie leiden.

Tevens is tijdens de top in Warschau in 2016 cyberspace als domein erkend. Dat houdt in dat alle cyberelementen vanaf nu in het operationele proces worden geïntegreerd. Naast de technische verdediging van de netwerken, worden cyberelementen bijvoorbeeld voortaan ook meegenomen in het opstellen van een dreigingsbeeld door middel van inlichtingen en bij het plannen van een operatie.

De uitwerking van de genomen besluiten vindt op dit moment plaats en is uitgeschreven in de «roadmap to implement cyberspace as a domain of operations» van de NAVO. In deze roadmap zijn tien «lines of effort» gedefinieerd. Binnen drie jaar moeten de studies die zijn of worden opgestart in het kader van de roadmap voltooid zijn.

Hoe ziet het kabinet in dit kader de eerdere berichten over het afluisteren van de Duitse bondskanselier door de Amerikaanse inlichtingendienst CIA en over Turkse spionage van Turkse Duitsers in Duitsland? Is er voldoende vertrouwen om cybercapaciteiten in NAVO-verband op te bouwen?

Met welke intentie wil de Europese Commissie de Dual-Use Verordening uitbreiden? Waarom is het kabinet hier uiterst kritisch over? Over welk gelijk speelveld maakt het kabinet zich zorgen? Is het kabinet bezorgd dat Europese bedrijven minder gespecialiseerde software aan autoritaire regimes kan leveren als de verordening herzien wordt? Hoe verhoudt dit zich tot de focus van het kabinet op mensenrechten?

De Europese Commissie heeft in september 2016 een voorstel gedaan voor de herziening van de bestaande verordening met het doel deze te moderniseren en beter aan te laten sluiten op de internationale ontwikkelingen. De Europese Commissie stelt een aantal wijzigingen voor. Zo stelt de Commissie voor om de controle van export van cybertoezichttechnologie te intensiveren in relatie tot mensenrechtenschendingen. Voorbeelden van dergelijke cybertoezichttechnologie zijn goederen die internetgegevens kunnen monitoren en digitale communicatie of informatie kunnen onderscheppen.

Nederland is voorstander van het uitbreiden van de al bestaande controle op apparatuur voor cybertoezicht met het voorkomen van mensenrechtenschendingen als grondslag (in aanvulling op proliferatie van massavernietigingswapens). De EU loopt daarmee wereldwijd voorop en het sluit aan bij de al bestaande Nederlandse praktijk waarbij mensenrechten als criterium voor exportcontrole wordt toegepast.

De Nederlandse inzet gaat daarbij uit van drie elementen: 1) exportcontrole vindt plaats aan de hand van lijsten met gedefinieerde goederen, zoals vastgesteld in de exportcontroleregimes; 2) de mogelijkheid tot inzet van een instrument van ad hoc-vergunningplicht als controle-instrument voor specifieke casussen; 3) inzet op samenwerking met het bedrijfsleven vanuit het principe van maatschappelijk verantwoord ondernemen.

De Europese Commissie stelt voor de definitie van goederen voor tweeërlei gebruik uit te breiden en de wereldwijd gebruikte controlelijsten voor de EU uit te breiden met een separate EU controlelijst voor de categorie goederen die ingezet kunnen worden bij het schenden van mensenrechten. Nederland staat vooral vanuit praktisch oogpunt kritisch tegenover deze uitwerking: het creëren van een separate definitie in de EU en een controlelijst die niet in overeenstemming is met de verschillende lijsten van exportcontroleregimes, kan leiden tot intransparantie, dubbelingen of juist tegenstrijdigheden als gevolg van externe ontwikkelingen binnen deze regimes. Dat kan tot onduidelijkheid leiden voor het bedrijfsleven. Een aandachtspunt daarbij is het voorkomen van een onevenredige verstoring van het gelijk speelveld op mondiaal niveau.

Nederland steunt het voorstel van de Commissie om de dual-useverordening te moderniseren en te vernieuwen, inclusief de verdere verankering van mensenrechten als grondslag voor exportcontrole. Hierbij zal Nederland de uitwerking toetsen aan praktische toepasbaarheid en uitvoerbaarheid, impact op het wereldwijd gelijk speelveld en administratieve lasten en beveiligingsonderzoekers en incident responders, zoals CSIRTs. Ook is Nederland zich er van bewust dat de regelgeving defensieve inzet van cybertoezichttechnologie niet onnodig zou moeten hinderen.

Inbreng van de leden van de fractie van de SP

De leden van de SP-fractie hebben kennis genomen van de Internationale Cyberstrategie en hebben daarover een aantal vragen en opmerkingen, vooral betreffende internationale vrede, veiligheid en stabiliteit.

In de Cyberstrategie schrijft het kabinet dat verschillende kwaadwillende actoren steeds meer gebruik maken van het cyberdomein om hun belangen na te streven, onder andere voor politiek-militaire doeleinden. De leden van de SP-fractie vragen het kabinet aan te geven waar deze dreiging voor Nederland vandaan komt. Welke landen zijn hier met name verantwoordelijk voor en in hoeverre is duidelijk in welke mate de kwaadwillende actoren gelinkt kunnen worden aan de autoriteiten in de desbetreffende staten?

Omdat de dreiging in het cyberdomein toeneemt, zijn er extra capaciteiten nodig om dit te bestrijden. Hoeveel capaciteit, financieel, maar ook wat fte’s betreft, er in de afgelopen tien jaar bijgekomen is om deze dreiging tegen te gaan?

Gezien de huidige dreiging, zoals aangegeven in het Cyber Security Beeld Nederland (CSBN) 2016 en de jaarverslagen van de inlichtingen- en veiligheidsdiensten, heeft het kabinet in 2016 additioneel geïnvesteerd in cybersecurity. In de beleidsreactie op het CSBN 2016 heeft het kabinet aangegeven dat de doorontwikkeling van de Nederlandse cybersecurity noodzakelijk is als gevolg van de kwantitatief en kwalitatief toenemende dreiging in combinatie met een toenemende afhankelijkheid van inherent kwetsbare ICT in Nederland. Uiteraard zijn aanbieders in vitale sectoren zelf primair verantwoordelijk voor de eigen investeringen om netwerkinbreuken te voorkomen en te adresseren. Door het NCSC wordt ervoor gezorgd dat deze aanbieders over dreigingen worden geïnformeerd en geadviseerd, en kan ook overigens ondersteuning worden verleend om de uitval van voor de samenleving vitale diensten te voorkomen of beperken.

Voor een volledig overzicht van de inspanningen kan worden verwezen naar de beleidsreactie van het kabinet op het CSBN 2016 (Kamerstuk 26 643, nr. 420).

In ieder geval kan worden aangegeven dat in de begroting van het Ministerie van Veiligheid en Justitie van 2017 besloten is om voor nu, in 2017 5 miljoen euro en vanaf 2018 structureel 14 miljoen euro additioneel beschikbaar te maken voor cybersecurity en de aanpak van cybercriminaliteit. Onderdeel hiervan is het Nationaal Detectie Netwerk waarin het NCSC, de AIVD en MIVD samenwerken om cyberaanvallen op rijksoverheid en vitale infrastructuur te onderkennen, zodat deze aanvallen sneller aangepakt kunnen worden en de effecten ervan beheersbaar worden gemaakt. Naast de structurele inzet in de begroting van het Ministerie van Veiligheid en Justitie en bovenstaande additionele impuls komt cybersecurity tevens terug in andere delen van de Rijksbegroting. Dit betreft bijvoorbeeld de generieke budgetten die worden aangewend voor ICT. Verdere intensivering, onder andere voor het versterken van internationale partnerschappen en coalities, is aan een volgend kabinet.

Een groot probleem bij cyberaanvallen is dat de oorsprong van de aanval soms moeilijk te achterhalen is. De leden van de SP-fractie vragen de Minister hier nader op in te gaan. Klopt het dat het soms niet mogelijk is te achterhalen wie er achter een cyberaanval zit? Welke problemen bestaan er op dit vlak?

Kan het kabinet in dit verband ook reageren op de geheime documenten die onlangs door WikiLeaks werden geopenbaard, vooral wat betreft de mogelijkheden waarover de CIA zou beschikken om cyberaanvallen te verhullen van de VS en juist de indruk te wekken dat een ander land achter bijvoorbeeld een hackpoging zit? Kan het kabinet ook meer in het algemeen toelichten welke mogelijkheden er zijn om in het geval van een cyberaanval de indruk te wekken dat een ander land verantwoordelijk is?

De leden van de SP-fractie vragen het kabinet ook meer in het algemeen te reageren op de recente onthullingen dat de CIA over mogelijkheden beschikt om onder meer via telefoons, televisies en laptops mensen af te luisteren. In hoeverre is daardoor de privacy in gevaar? Op welke schaal gebeurt dit reeds? Is hierover contact met de Amerikanen? Kan ook gereageerd worden op de onthulling dat de CIA zelfs de besturing van zogenaamde smart auto’s over zou kunnen nemen? Kan dat bevestigd worden? Gebeurt dit reeds in de praktijk? Verwerpt het kabinet dergelijke praktijken? Hoe wordt hiertegen geprotesteerd? In hoeverre kan het schrikbeeld dat George Orwell in zijn boek 1984 beschreef met de technieken waarover de CIA kennelijk beschikt, bewaarheid worden?

In de Cyberstrategie verwijst het kabinet naar de mogelijke rol van Rusland in de hacks tijdens de Amerikaanse verkiezingen. De leden van de SP-fractie vragen of toegelicht kan worden in hoeverre er nu meer duidelijkheid bestaat over de mogelijke Russische betrokkenheid hierbij. Heeft het kabinet enig bewijs gezien dat Rusland verantwoordelijk is? De Amerikaanse Senator McCain heeft deze hacks een oorlogsdaad genoemd. Deelt het kabinet die analyse?

Voor zover senator McCain met deze uitspraak bedoelde dat het beïnvloeden van verkiezingsprocessen gelijk staat aan het gebruik van geweld of uitvoeren van een gewapende aanval, deelt het kabinet die analyse niet. Dat neemt niet weg dat het kabinet, net als senator McCain, pogingen tot dergelijke beïnvloeding zeer ernstig opneemt.

De leden van de SP-fractie hebben heel grote zorgen over toenemende cyberaanvallen, niet in de laatste plaats omdat dergelijke aanvallen grote schade kunnen aanrichten aan de civiele infrastructuur en het mogelijk is dat deze uitmonden in een gewapend conflict. Deelt het kabinet deze zorgen? Welke bereidheid bestaat er in westerse en andere landen om duidelijke regelgeving overeen te komen om de cyberaanvallen aan banden te leggen? Waarom gebeurt dit tot op heden onvoldoende?

Nederland ontwikkelt offensieve cyberslagkracht zodat, indien nodig, geïntervenieerd kan worden. De leden van de SP-fractie hebben hier grote zorgen over. Kan het kabinet de precieze juridische beperkingen aangeven voor het inzetten van een cyberaanval? Is een cyberaanval alleen mogelijk als reactie op een aanval vanuit een ander land? Is het uitgesloten dat een cyberaanval wordt ingezet buiten de context van een gewapend conflict? Kan ook toegelicht worden onder welke omstandigheden een cyberaanval gekwalificeerd kan worden als een oorlogsdaad?

In de cyberstrategie staat dat er gestreefd wordt naar transparantie, maar niet over de aard van de cybercapaciteiten. De leden van de SP-fractie vragen waarom hier niet meer helderheid over verschaft kan worden. Het kabinet pleit voor meer transparantie over de doelen waar de cybercapaciteiten toe dienen, het juridische kader waaronder zij worden ingezet en de politieke controle en het democratisch toezicht op de inzet daarvan. Kan het kabinet op al deze punten zelf ook meer transparantie bieden?

Nederland zoekt naar coalities met gelijkgestemde landen om het recht op bescherming van persoonsgegevens en het recht op privacy te behartigen. De leden van de SP-fractie vragen het kabinet aan te geven of het hier ook coalities betreft met de VS. Zo ja, kan dan toegelicht worden hoe de VS, na alle onthullingen over afluisterpraktijken door Amerikaanse inlichtingendiensten, waaronder van Europese politici, een gelijkgestemd land kan zijn?

In internationaal en Europees-verband trekt Nederland op met staten die het belang van een adequate bescherming van persoonsgegevens en persoonlijke levenssfeer van eveneens onderschrijven. De Nederlandse wettelijke kaders fungeren hierbij als uitgangspunt alsmede, Europese en internationale verplichtingen. Binnen deze kaders werkt Nederland samen met internationale partners, zoals de VS.

Inbreng van de leden van de fractie van de PvdA

Daarnaast kunnen vrijwillige gedragsnormen en vertrouwenwekkende maatregelen worden afgesproken in aanvulling op het internationaal recht. Om ervoor te zorgen dat de standpunten van relevante stakeholders in het internet naar behoren worden meegewogen bij internationale overleggen over het borgen van veiligheid en stabiliteit in het cyberdomein, steunt de regering initiatieven zoals de Global Commission on the Stability of Cyberspace (GCSC). De GCSC bestaat uit deskundigen vanuit overheid, bedrijfsleven, technische gemeenschap, academici en civil society samen. Gezamenlijk ontwikkelen deze deskundigen voorstellen voor gedragsnormen en andere beleidsinitiatieven.

Bij nieuwe maatregelen en gedragsnormen is de inzet dat deze juist complementair en aanvullend zijn ten aanzien van de bestaande zelforganisatie en -regulering binnen het internet, en deze niet onnodig beperken of aantasten.

Biedt de nieuwe Wet op de inlichtingen- en veiligheidsdiensten, op het moment dat die in werking zou treden, betere mogelijkheden om tegen cyberbedreigingen vanuit het buitenland op te treden dan de huidige wet? Zo ja, op welke wijze?

De leden van de PvdA-fractie lezen op meerdere plaatsen in de Cyberstrategie dat de grenzen van het recht, die meestal tot de nationale grenzen beperkt blijven, niet passen bij het grensoverschrijdende karakter van het internet. Zo zouden criminelen er van profiteren dat het traditionele systeem waarbij landen elkaar rechtshulpverzoeken doen te traag werkt en de criminelen daardoor als het ware snel kunnen ontsnappen. Trekt het kabinet hier conclusies uit? Of ziet het kabinet het als een gegeven dat de klassieke jurisdictie van nationale staten nu eenmaal niet passend is in de strijd tegen cybercrime? De leden van de PvdA-fractie lezen dat de Europese Commissie in ieder geval laat uitwerken welke aanknopingspunten er mogelijk zijn «voor handhavingsjurisdictie anders dan territorialiteit, en of er opsporingsbevoegdheden zijn die onafhankelijk van territoriale grenzen gebruikt kunnen worden». Is er al zicht op waar de Commissie daarbij aan denkt? Zo ja, wat hoe ziet de Commissie deze jurisdictie buiten de nationale grenzen voor zich? Zo nee, op welke termijn valt dit wel te verwachten?

In vervolg op de raadsconclusies wordt onder regie van de Commissie, in nauwe samenwerking met lidstaten en met andere zowel nationale als Europese instituties, uitvoering gegeven aan de in de raadsconclusies genoemde actiepunten. In de raadsconclusies wordt de Commissie verzocht resultaten van het proces inzake handhavende rechtsmacht te rapporteren aan de JBZ-raad in juni 2017.

Ook wijst het kabinet op het feit dat de anonimiteit van het internet en het decentrale karakter daarvan «een belangrijke uitdaging» vormen voor een effectief internationaal beleid. Hoe moeten de leden van de PvdA-fractie dit duiden? Hoe wil het kabinet die effectiviteit in dit verband toch vergroten? Gaat dat alleen via de weg van vrijwilligheid en overreding van landen die minder dan Nederland op het internationaal recht georiënteerd zijn? Of ziet het kabinet ook mogelijkheden om internationaal tot dwingender afspraken te komen? Zo ja, op welke manier?

Het kabinet blijft zich inzetten om zijn visie uit te dragen in verschillende gremia en coalities te bouwen om andersdenkenden te overtuigen. Op 7 april jl. hebben ook de G20 landen in een ministeriële verklaring hun steun uitgesproken voor multistakeholder processen en initiatieven om een digitaal verbonden wereld te bereiken. Nederland, als gastdeelnemer aan G20, heeft in de discussies een dergelijke aanpak uitgedragen.

Hoe moeten de leden van de PvdA in dit verband de rol van bedrijven zien waarvan het kabinet van mening is dat die vanwege hun wereldwijde dominante marktpositie ook negatieve invloed kunnen hebben? Worden met deze bedrijven afspraken gemaakt, die eventueel internationaal gelden, om te voorkomen dat die bedrijven misbruik maken van hun dominante marktpositie? Aan welke bedrijven denkt het kabinet in dit kader concreet?

Wat is de stand van zaken van het cyberdiplomatennetwerk dat het kabinet gaat activeren?

De leden van de PvdA-fractie lezen (p. 12 van de Cyberstrategie) dat er sprake is van een Europees netwerk van openbaar aanklagers om de internationale samenwerking voor opsporing in het cyberdomein te verbeteren. Het besluit tot dat netwerk werd in juni 2016 genomen. Wat is de stand van zaken?