Telecomraad (formeel) 1-2 juni 2023

De voorzitter:

Aan de orde is het commissiedebat naar aanleiding van de Telecomraad. Dit is een commissiedebat met de vaste commissie voor Digitale Zaken en met als volgcommissie de commissie voor Economische Zaken en Klimaat. Ik heet de leden van harte welkom. Ik heet uiteraard ook de bewindspersonen van harte welkom. Dat zijn de staatssecretaris Koninkrijksrelaties en Digitalisering, mevrouw Van Huffelen en de minister van Economische Zaken en Klimaat, mevrouw Adriaansens. We hebben twee uur voor dit commissiedebat. De spreektijd is maximaal drie minuten per fractie.

Ik wil beginnen met de eerste spreker van de zijde van de Kamer. Dat is mevrouw Dekker-Abdulaziz namens D66.

Mevrouw Dekker-Abdulaziz (D66):

Dank, voorzitter. Deze commissiedebatten zijn altijd té kort om eer te doen aan de onderwerpen die besproken moeten worden. Ik wil me daarom beperken tot de volgende onderwerpen: cookies, de Dataverordening, de CRA en de AI Act.

Ten eerste. We hebben twee weken geleden plenair gesproken over de cookiewetgeving. Tot mijn grote spijt las ik hier niks over in de geannoteerde agenda. Kan de staatssecretaris toezeggen dat zij zich ervoor zal inzetten dat onder het Spaans voorzitterschap van de Telecomraad eindelijk prioriteit wordt gegeven aan de lang uitgestelde e-Privacyverordening om daadwerkelijke cookiewetgeving te verbeteren?

Dan de Dataverordening. Deze verordening wil de positie van de gebruiker versterken, maar lijkt dit met name te doen vanuit een bedrijfsinvalshoek. We worden zelf meer eigenaar van onze data en slimme apparaten. Dat is prachtig. Vanuit mijn privacybril heb ik daar echter vragen over. Hoe zorgen we ervoor dat dit ook veilig gebeurt? Hoe zorgen we ervoor dat individuen niet kwetsbaar zijn voor cyberaanvallen? Ook universiteiten hebben hun zorgen kenbaar gemaakt. Zij moeten straks werken met data die overheden hun toespelen. Zouden zij ook niet in staat moeten zijn data op te vragen bij bedrijven? Graag een reactie.

Voorzitter. Dan de Cyber Resilience Act, de CRA. De regering heeft zich ingezet voor een breed toepassingsbereik van de CRA. Dat betekent dat de regels niet alleen voor slimme apparaten gelden, maar ook voor losse software. Software as a Service, zoals Gmail, is uitgesloten van de verordening. Is de staatssecretaris het met ons eens dat dit niet voor de gewenste duidelijkheid zorgt, niet voor de gebruiker en ook niet voor de markt?

Vervolgens heb ik nog een vraag over de meldplicht die straks aan het bedrijfsleven wordt opgelegd. Er komt een meldplicht voor de CRA voor de NIS2-richtlijn, de AI Act en de Cyber Services Act. Kan de staatssecretaris toezeggen dat het kabinet de route voor deze meldingen binnen Nederland centraal belegt bij een meldpunt en dat bedrijven dus niet afzonderlijk een melding hoeven te maken? Welke inspanning verricht de staatssecretaris om het mkb te ondersteunen?

Voorzitter. Ten slotte de AI Act. Ik denk dat ik voor de hele commissie spreek als ik zeg dat we daar allen met smart op wachten. Ik hoop dus dat de staatssecretaris zich ervoor in blijft zetten om vaart te blijven houden. Ik heb daar nog drie vragen over. Wat is nu precies de positie van de verordening ten opzichte van het gebruik van andermans intellectuele eigendom? Wat is de positie van het kabinet? Kan de staatssecretaris toelichten in hoeverre deze verordening voorkomt dat techreuzen ook persoonlijke data in hun AI-tools gebruiken?

Ten slotte wil ik terugkomen op onze privacy. Deelt de staatssecretaris het standpunt dat het gebruik van biometrische gegevens beperkt moet blijven tot rechtshandhaving en dat AI voor de rechtshandhaving wel degelijk een registratieplicht moet hebben? Graag een reactie.

Dank je wel.

Mevrouw Van Weerdenburg (PVV):

Dank u wel, voorzitter. Ik spreek mede namens BVNL.

Voorzitter. Het is altijd een spannend moment als onze staatssecretaris in haar hoedanigheid als staatssecretaris Digitalisering naar Brussel gaat voor overleg in het kader van de Telecomraad. Je weet namelijk nooit welke vage compromissen er nu weer gesloten gaan worden. Welke redelijke standpunten van Nederland zullen dit keer weer van tafel geveegd worden, ondanks alle goede argumenten die we ertegen inbrengen? Of, erger nog, heeft dit debat überhaupt zin? De bewindspersonen luisteren namelijk toch niet naar de volksvertegenwoordiging. In dat kader hoef ik slechts te verwijzen naar de ervaring met de vorige Telecomraad, waar werd ingestemd met de Raadspositie over de Europese digitale identiteit, tegen de wil van een Kamermeerderheid in. Dit is een slecht voorbeeld, dat de minister van Justitie hoogstwaarschijnlijk binnenkort gaat volgen, door de Kamermeerderheid tegen de encryptieondermijnende client-side scanning naast zich neer te leggen.

Voorzitter. Wat ik de bewindspersonen vandaag vooral wil meegeven, is dat ze in dienst staan van de Nederlandse burger en worden geacht de belangen van die burger te behartigen. Ik zeg dat met name omdat de eurocraten in Brussel zich meer en meer bezighouden met wereldregerinkje spelen, met geopolitieke strategieën en met machtsspellen. Ze zetten de digitale regelgeving hiertoe in als instrument. Denk aan de war on big tech. Het aanpakken van grote techbedrijven is vooral een ordinaire strijd om macht, waarbij de belangen van burgers en consumenten in Europa volledig uit het oog zijn verloren.

Neem bijvoorbeeld de totale hysterie tegen Twitter, die is ontaard in een absurde schreeuwwedstrijd in Brussel. Het absolute dieptepunt hierbij is de Franse minister van Digitale Zaken, die het in zijn hoofd haalde om gisteren te dreigen met een totale blokkade van Twitter in de Europese Unie, als het bedrijf zich niet aan de nieuwe Europese regels zal gaan houden. Ik verzoek de staatssecretaris met klem om haar Franse collega morgen even aan zijn jasje te trekken en duidelijk te maken dat hij niet namens Nederland dient te spreken, en dat wat Nederland betreft een blokkade van Twitter totaal niet aan de orde is.

Het zou goed zijn als zij ook aan de overlegtafels in Brussel tot kalmte kan manen wat dit betreft. Ik zie namelijk geen enkele reden om aan te nemen dat Twitter zich niet zal gaan houden aan Europese regelgeving, integendeel. De manier van moderatie die nu is uitgerold, lijkt juist een veel effectievere wijze om content te controleren dan wat tot nu toe plaatsvond. Ik zou graag horen van de staatssecretaris wat zij vindt van het systeem van Community Notes. Daarbij is volledig transparant gemaakt hoe het werkt. Iedereen kan daar ook aan meedoen. Zelfs het ranking algoritme is openbaar gemaakt. Democratischer en transparanter kan bijna niet. Is de staatssecretaris dat met mij eens?

Voorzitter. Ook de megaboete die het moederbedrijf van Facebook, Meta, heeft gekregen, doordat er nog steeds geen nieuw adequaatheidsbesluit genomen is over gegevensuitwisseling tussen de EU en de VS, is een absoluut dieptepunt. Kan de staatssecretaris schetsen welke gevolgen dit heeft voor andere bedrijven die in hetzelfde schuitje zitten als Meta maar wellicht minder kapitaalkrachtig zijn? Lopen die straks allemaal tegen miljardenboetes aan of heeft Meta de pech dat zij nou eenmaal boven het maaiveld uitsteekt?

Voorzitter, tot slot. Ik maak me zorgen over de beschikbaarheid van AI-toepassingen in Nederland en de EU. Het voorzitterschap wordt binnenkort overgenomen door de Spanjaarden. Eerlijk gezegd belooft dat niet heel veel goeds voor ChatGPT en de gelijken. Google durft al niet eens haar tegenhanger, Bard, beschikbaar te stellen in EU-landen. Op deze manier zetten we onszelf op achterstand. Ik hoor graag van de bewindspersonen hoe zij gaan voorkomen dat innovatie in Europa wordt tegengehouden.

Dank u wel.

Mevrouw Van Weerdenburg (PVV):

Ik ben het eens met mevrouw Rajkowski. Ik zie echter helemaal geen tekenen dat Twitter niet van plan is om zich aan de regelgeving te gaan houden. Mevrouw Rajkowski zegt "straks". We hebben het hier namelijk over een hypothetische situatie die zich wellicht straks voordoet. Integendeel, ze hebben meermaals gezegd dat ze zich aan de regels gaan houden. De structuur en de manier waarop ze content modereren, lijkt heel erg op wat Wikipedia al heel lang doet. Dat is ook hoe open source werkt. Ik zie dus alleen maar tekenen die de juiste kant op gaan. Ik zou zeggen: neem dit als goed voorbeeld van hoe het wel moet, en laten we alle bedrijven die kant op sturen.

Mevrouw Rajkowski (VVD):

Dank, voorzitter. Digitale dreigingen zijn veel te lang onderschat. Wettelijke kaders voor digitale producten en de onlinewereld ontbraken. Toezichthouders waren niet geëquipeerd om mensen en het mkb te beschermen tegen de macht van big tech, cybercriminelen of big states. Dat zijn landen als China. Gelukkig lijkt daar verandering in te komen. Veel van deze veranderingen komen voort uit Europa, met een mooie voortrekkersrol vanuit Nederland. Dat vinden we ook terecht. Complimenten daarvoor. We moeten onze eigen markt niet tekortdoen door extra nationale koppen of eigen regels in te voeren. Dat ontslaat ons echter niet van de verantwoordelijkheid om Nederland vrij en veilig te houden, ook online.

Als eerste de CRA. Vooropstaat dat de VVD positief is gestemd dat er vanuit Europa initiatief wordt genomen om digitale producten en slimme apparaten veiliger te maken, zodat we het aantal slachtoffers omlaag kunnen brengen. Immers, de consument moet met enige zekerheid kunnen zeggen dat als hij een apparaat koopt, hij ook enigszins veilig is. Die afspraken hebben wij ook met elkaar gemaakt op andere gebieden. Als je naar de supermarkt gaat, kan je ervan uitgaan dat voedsel aan bepaalde minimale veiligheidseisen voldoet.

Over het algemeen zijn we tevreden met de CRA. We zijn in ieder geval blij met het doel daarachter. We maken ons echter wel ernstig zorgen over de onduidelijkheid en de uitvoerbaarheid. Daarom vraag ik het kabinet om in te zetten op maximale duidelijkheid in dit voorstel. Wat is het verschil tussen een commercieel en een niet-commercieel aangeboden product? De CRA is wat ons betreft onduidelijk over de definitie van een product. Stel, hetzelfde product is gratis open source te vinden, maar iemand anders biedt het aan via een betaalde dienst met support. Het gaat dan om hetzelfde product, maar dan zou het een wel onder de CRA vallen en het ander niet. Wij begrijpen dit niet. Wij vinden het belangrijk dat juist ons mkb ook alle cybersecurityontwikkelingen mee kan maken. We moeten onduidelijkheid voorkomen. Bij de AVG zag je ook dat iedereen achter het doel stond. We hebben de afgelopen jaren echter gezien dat het soms nog wat duidelijker kan en dat het werkbaar moet zijn. Kan het kabinet daarnaast in de onderhandelingen over de CRA concreet meenemen hoe ondernemers ondersteund gaan worden vanuit de EU bij de implementatie van al deze regelingen?

Dan de Dataverordening. Voor de VVD is het belangrijk dat mensen meer zeggenschap krijgen over hun eigen data. Vorige week in het plenaire debat over de bescherming van onlinegegevens heb ik dan ook de toezegging gekregen dat er meer transparantie en zeggenschap komen over data die worden verzameld en doorverkocht. Ik heb bovendien toegezegd gekregen dat dit expliciet wordt meegenomen in de onderhandelingen. Dank daarvoor. Dat wil ik hier nog even benoemen.

Voorzitter. Namens Volt wil ik graag de minister aanmoedigen in de inspanningen die ze levert voor de Dataverordening. Volt wil haar graag vragen of zij in Raadsverband steun wil zoeken bij het Europees Parlement op de wijziging van hoofdstuk 2, zodat het mkb zekerheid krijgt en de verordening toekomstbestendig is.

Mijn laatste punt gaat over de AI Act. We onderschrijven de inzet van het kabinet om haast te maken met het implementeren van de AI Act. We hebben die nu, vandaag, nodig. De wetgeving laat helaas op zich wachten. Bij dezen krijgt u dus alle steun die u daarvoor nodig heeft.

Mevrouw Rajkowski (VVD):

Ik moet zeggen dat als ik naar mijn eigen Twitterfeed kijk, ik niet weet of ik die heel erg zou missen. Dat is een persoonlijke noot.

Ik denk dat het vanuit de VVD niet de bedoeling is om al dit soort grote bedrijven en innovaties, waarvan we ook profiteren, Europa uit te duwen. Dat is niet ons doel. Waar bij mij de scherpte vandaan komt op het gebied van big tech, is dat ik vind dat de nationale en internationale politiek het internet en socialmediaplatforms de afgelopen jaren te veel hebben laten liggen. We dachten namelijk dat het ging om schattige jongens op een zolderkamer in Silicon Valley en dat het internet zichzelf wel zou reguleren. Nu zien we eigenlijk wat voor een bagger er af en toe omhoogkomt. Denk aan haat, bedreigingen en intimidatie. Daar ben ik gewoon een beetje klaar mee. Dat hebben we volgens mij geprobeerd te doen met de hoorzittingen met een aantal socialmediabedrijven. Twitter komt dan niet eens opdagen, maar stuurt gewoon een briefje. Ik ben klaar met dat soort dingen. Daar komt mijn scherpte dus vandaan. Maar ik zit zelf ook op Twitter. Ik gebruik Instagram, WhatsApp et cetera. Ik ben heel blij met dit soort innovaties. Die moeten echter wél aan onze wet- en regelgeving voldoen. Dat is dus ons doel.

Mevrouw Bouchallikh (GroenLinks):

Dank u wel, voorzitter. Allereerst de Data Act. We zien nu nog te vaak dat door grote techbedrijven misbruik wordt gemaakt van de data die zij hebben. Daarom zou het goed zijn als in de Data Act stevige waarborgen komen tegen misbruik van het datadeelsysteem. Deze waarborgen stonden als wij het goed begrepen in de oorspronkelijke wetgeving wel goed geregeld, maar lijken nu mogelijk in de compromistekst te sneuvelen. Wil het kabinet zich bij de Telecomraad actief inzetten om deze waarborgen goed te regelen?

Een ander punt van aandacht betreft het punt dat onze ACM inbracht over deze wet. Dat ging over het verplicht makkelijk maken van het wisselen van clouddiensten. Dit zorgt ervoor dat wanneer een consument bijvoorbeeld data vanuit een Android-cloud wil overzetten naar een Apple-telefoon of naar een privacy-vriendelijke cloud, dit eenvoudig moet kunnen. Ik heb zelf een keer willen switchen tussen twee telefoons: dat is echt een drama. Het zou dus heel mooi zijn als we dat wat makkelijker kunnen maken voor de mensen. Dit punt is onder andere door de ACM ingebracht, maar vervolgens gesneuveld in het Europees Parlement. Het lijkt ons goed als het kabinet hier alsnog op wil inzetten. Hoe kijkt de bewindspersoon daarnaar?

Tot slot op dit punt nog de vraag of het kabinet de positie van het Europees Parlement, zoals te lezen in hoofdstuk 2, steunt om de rechten van consumenten én van het mkb te versterken door hen toegang te verlenen tot data in producten als elektrische auto's, slimme meters en slimme huishoudelijke apparaten. Onze data zijn nog steeds van ons, en het mag niet zo zijn dat alleen partijen daar op een bepaalde manier gebruik van maken. Graag een reactie van het kabinet.

Dan wil ik het hebben over verduurzaming. Het was mooi om te lezen hoeveel aandacht daarvoor was in de brief, waarvoor dank. En dit geldt ook voor de waarden waarachter we ons willen scharen ten opzichte van anderen. Ik geef daar dus mijn complimenten voor. We steunen dan ook de positie van het Europees Parlement ten aanzien van de AI-wetgeving. We vinden het nog wel van belang dat hoogrisico-AI en grote foundation models, om het zo maar even te noemen, zoals ChatGPT, DALL-E en Stable Diffusion ontworpen moeten worden op een manier dat je het energieverbruik kan meten en verplicht hun klimaatimpact moet rapporteren. Voor grotere foundation models als GPT zouden er wat ons betreft verplichte milieustandaarden moeten komen voor duurzaam ontwerp met een zo klein mogelijke klimaatimpact. Hoe kijkt het kabinet hiernaar?

Een andere vraag die wij nog hebben is of het kabinet gezien de milieu-impact van de ICT-sector software als prioriteit wil laten opnemen in ecodesign. Nu is dat niet het geval, en het is voor ons niet duidelijk waarom dat zo is.

Dan tot slot, voorzitter, nog een vraag over het recht op reparatie. Reparatie zou altijd betaalbaar moeten zijn en nieuwe onderdelen zouden altijd betaalbaar en beschikbaar moeten zijn. We hebben het hier vaak over software, maar wat ons betreft moet er ook altijd aandacht blijven voor hardware en voor de mogelijkheid van de consument om daar zelf mee om te blijven gaan. Hoe staat het hiermee? En wil het kabinet hier bij de komende Telecomraad actief op inzetten?

Dan helemaal tot slot, voorzitter. We kregen net een brief over datadeling met de VS. Ik moet zeggen: ik zat toen gewoon al in de plenaire zaal. Ik vind het ontzettend jammer dat ik me daar niet op heb kunnen voorbereiden; ik had daar graag ook nog een punt van willen maken. We hadden hier in een procedurevergadering expliciet naar gevraagd, terwijl het wel ontzettend belangrijk is dat we dit ook bespreken. Dus ik heb er gewoon niet naar kunnen kijken. En dat vind ik jammer. Ik hoop dus dat we de volgende keer op een andere manier kunnen werken, zodat we dit belangrijke punt wel mee kunnen nemen.

Dank u wel.

De voorzitter:

Aan de orde is het commissiedebat over de Telecomraad. We hebben net de eerste termijn van de zijde van de Kamer gehad. We gaan nu over naar de beantwoording door de beide bewindspersonen. Ik geef als eerste de minister van EZK daartoe het woord.

Minister Adriaansens:

Dank u, voorzitter. Dank dat wij wederom spreken over de zaken die aan de orde komen in de Telecomraad. De staatssecretaris en ik hebben alles wat daar speelt redelijk goed op elkaar afgestemd. We hebben de onderwerpen verdeeld, zo veel mogelijk aansluitend op onze portefeuilles. We moeten dus maar even kijken. Een deel van de vragen wordt door mij beantwoord en een deel van de vragen wordt door de staatssecretaris beantwoord. Ik neem aan dat we daarmee het hele vraagspectrum afdekken.

Voorzitter. Ik heb de vragen ingedeeld in de onderwerpen van de wetgeving waarover de Telecomraad gaat. Ik begin bij de Cyber Resilience Act. Daarna ga ik naar de Dataverordening AI. Dan heb ik nog één of twee vragen overig.

Ik begin dus bij de Cyber Resilience Act. Allereerst vroeg de VVD: wanneer is iets commercieel en wanneer niet? Hoe zit het als je een opensourceproduct aanbiedt? Hoe zit het als dat gratis maar ook commercieel wordt aangeboden? Hoe zit het dan? Alleen als een product onder commerciële voorwaarden wordt aangeboden, is het in de handel gebracht. Ik heb zelf ook eens doorgedacht over de vraag wat commercieel aanbieden is. Dat is in ieder geval als er een prijs voor wordt gevraagd. Het kan echter ook zijn dat er een andere waarde tegenover staat. Als je bijvoorbeeld meer persoonsgegevens moet afgeven voor een dienst of het gebruik van een app dan noodzakelijk is, dan is er een meerwaarde, en dan heeft het ook commerciële waarde. Dat is wat ons betreft dus een goede afbakening. We moeten echter wel goed in de gaten houden dat deze definitie werkbaar is.

Dan een andere vraag van Volt, VVD en D66. Die ging met name over de ondersteuning van de ondernemers. Ik begrijp die vraag, want dat is iets waar we echt alert op moeten zijn. Het mkb heeft natuurlijk veel digitale producten in haar bedrijfsvoering. Allereerst moeten zij zelf ook zorgen voor goede beveiliging van die producten. We moeten wel verder kijken hoe we ze kunnen ondersteunen bij de implementatie van de Cyber Resilience Act. We hebben dan ook de Europese Commissie gevraagd om meer duidelijkheid te geven over de manieren waarop we het mkb kunnen ondersteunen. Onder het subsidieprogramma Digital Europe zal hiervoor geld beschikbaar gemaakt worden. Daarmee kunnen we bijvoorbeeld mkb-fabrikanten begeleiden hoe je het doet als je een conformiteitsbeoordeling wil doorlopen. Dat zullen naar onze verwachting namelijk de vragen zijn. Denk aan: hoe werkt dat dan met zo'n zelfverklaring?

In het geval dat mkb-fabrikanten een derde partij de beoordeling laten doen, schrijft de CRA ook voor dat de conformiteitsbeoordelende instanties er bij de tariefstelling ook rekening mee moeten houden dat ze te maken hebben met een kleiner bedrijf, dus dat ze met een mkb te maken hebben. Er wordt ook nog besproken of de vereiste documentatie in het geval van mkb-fabrikanten een iets vereenvoudigde vorm kan krijgen. Daar zullen wij ook op letten. Dat maakt namelijk ook of een implementatie slaagt. Dat is belangrijk.

Voorzitter. D66 stelde een vraag over Software as a Service. Dat valt niet onder de CRA. Misschien is het goed om even het onderscheid te maken. Met de komst van de CRA worden de cybersecurityeisen aan alle hard- en softwareproducten gesteld. Het gaat dus over de bescherming van consumenten en zakelijke producten. Het voorstel voor de CRA past in het Europese kader voor een productregulering, zoals die al geldt voor bijvoorbeeld speelgoed en liften. Software as a Service valt daarbuiten, omdat dat al valt onder de netwerk- en informatiebeveiligingsrichtlijn, de NIS2 noemen we die. Daarmee zijn de Europese kaders complementair aan elkaar. In dit geval is het misschien ook goed om op te merken dat Software as a Service een dienst is en geen product. Dat maakt dus ook een onderscheid.

Voorzitter. Een andere vraag van D66 was of we konden toezeggen dat het kabinet de route voor de meldingen voor de NIS2, de CRA en de AI Act centraal konden beleggen bij één meldpunt. Ik begrijp dat één centraal meldpunt voor de verschillende meldplichten heel overzichtelijk klinkt. U zou bijna denken: wat kan daarop tegen zijn? Er zijn een aantal belangrijke verschillen tussen de NIB-, de NIS2- en de CRA-meldplicht. Het is misschien ook goed om die toch nog even op een rijtje te zetten. Voor degene die moet melden, is het namelijk niet altijd logisch. Het is echter goed om ons te realiseren dat we te maken hebben met een verschil in doelgroep. Onder de NIB of de NIS2 worden entiteiten die bepaalde essentiële of belangrijke diensten leveren, verplicht om significante, relevante incidenten ten aanzien van de verlening van hun diensten te melden. Die entiteiten zullen vaak gebruikers zijn van digitale producten die onder de CRA vallen, zoals energiepartijen of post- en koeriersdiensten. Daar gaat het dan bijvoorbeeld over. De doelgroep van de meldplicht van de CRA zijn fabrikanten van digitale producten. Zij moeten melden wanneer in hun product een kwetsbaarheid actief wordt misbruikt. Dat moeten zij ook in het geval dat er een incident is ten aanzien van dat product. In sommige gevallen zal er een samenloop kunnen zijn — dat is denkbaar — maar die zal er vaker niet dan wel zijn, zoals wij dat nu zien.

Misschien is het voor de volledigheid nog goed om dat toch nog iets toe te lichten. Een ander belangrijk onderscheid tussen de twee meldplichten is in hoeverre er een koppeling is met een bepaalde lidstaat. Bij de NIS2 moeten de entiteiten een significant incident melden aan het Nationaal Cyber Security Centrum en de toezichthouder in het land waar ze zijn gevestigd. De CRA gaat over het plaatsen van digitale producten op de gehele interne Europese markt. Fabrikanten bieden vaak digitale producten in meerdere of alle Europese lidstaten aan. Die worden dan niet specifiek gelinkt aan een bepaalde lidstaat. Daarom heeft de Europese Commissie ook voorgesteld om alle fabrikanten centraal bij ENISA te laten melden en die meldingen dan door te zetten naar de nationale centra en toezichthouders.

De AI-verordening kent overigens geen meldplicht. Er is alleen een registratie van AI-systemen met een hoog risico in een Europese database. Ook de CSA kent geen meldplicht.

Dat even ter toelichting op de vragen die gesteld zijn over de CRA.

Als u het goedvindt, ga ik door naar de Data Act, naar de Dataverordening. Er zijn een aantal vragen gesteld, onder andere door D66. Mevrouw Dekker-Abdulaziz vroeg hoe we ervoor zorgen dat het delen van data veilig gebeurt, ook vanuit het perspectief van privacy. Dat is absoluut een belangrijk punt. De cybersecurity van aan internet verbonden apparaten, de "internet of things"-producten, wordt in andere wetgeving geregeld, zoals in de Radio Equipment Directive en de Cyber Resilience Act, die we net besproken hebben. Voor de bescherming van persoonsgegevens blijft de gegevensbeschermingswetgeving gewoon van kracht. Denk daarbij vooral aan de AVG. Dat is dus ook het primaire kader. Aan die wetgeving wordt ook geen enkele afbreuk gedaan. Dat vinden we als Nederland ook heel belangrijk. Het is daarom ook niet nodig om eisen met betrekking tot privacy of cybersecurity opnieuw in de Dataverordening op te nemen. Wel bevat de Dataverordening een aantal specifieke toevoegingen die kunnen helpen met betrekking tot cybersecurity en privacy. Zo moet het intrekken van toestemming voor het delen van data net zo makkelijk zijn als het geven van toestemming.

Voorzitter. In het verlengde daarvan werd gevraagd of universiteiten ook in staat kunnen worden gesteld om gegevens op te vragen bij bedrijven als dat nodig is. Wij zijn heel kritisch geweest op de gecreëerde bevoegdheid voor overheden tijdens de onderhandelingen om gegevens op te vragen bij bedrijven in de gevallen van uitzonderlijke noodzaak. We hebben die ook aan kunnen scherpen. We zouden die bevoegdheid dus eerder verder vernauwen dan willen uitbreiden. Universiteiten die bevoegdheid ook laten gebruiken, staat daar haaks op. De Dataverordening beperkt overigens universiteiten niet in het verkrijgen van data, maar creëert dus ook geen extra bevoegdheden.

Voorzitter. Mevrouw Bouchallikh van GroenLinks vroeg nader naar de cloudinteroperabiliteit in de Data Act, zoals onderzocht door de ACM. Ik zei het niet goed, hè, "cloudinteroperabiliteit"? Ik deed echt mijn best.

Minister Adriaansens:

Interoperabiliteit. Dat is een meerpuntenwoord. Dat klopt. Dat is absoluut prioriteit van het kabinet. We kennen namelijk allemaal de irritaties als we van de ene telefoon naar de andere gaan en we foto's, apps of iets dergelijks niet kunnen overzetten. Wij blijven ons daar tijdens de triloog ook nog voor inzetten. De realiteit is wel dat we nog maar twee trilogen te gaan hebben. Ik deel de zorgen over de EP-tekst die er nu is. In de Raadspositie is het echter goed verwoord.

GroenLinks vroeg ook of ik me blijf inzetten voor de waarborgen tegen misbruik van data en de Dataverordening. Er zijn voor zover ik weet geen waarborgen tegen misbruik van data uit het voorstel verdwenen. Het voorstel is op dat punt eigenlijk verbeterd ten opzichte van het initiële voorstel, bijvoorbeeld doordat gebruikers van producten niet mogen worden misleid. Wij zetten ons, eigenlijk de hele onderhandelingen al, in om de controle over de data voor gebruikers van IoT-producten en clouddiensten te vergroten. We zijn dus ook wel blij met het compromis. De AVG en andere gegevensbeschermingswetgeving blijven de leidende kaders voor transparantie en zeggenschap over persoonsgegevens, zoals ik net ook al zei. Ook daar geldt dat we in een late fase van de trilogen zitten, zoals ik net gezegd heb.

Er was nog een vraag van mevrouw Rajkowski, een beetje in het verlengde hiervan, of we ons kunnen blijven inzetten voor de transparantie en de zeggenschap. Ik denk dat ik voldoende benadrukt heb dat wij dat zeker doen, ook in de laatste fase. Dit is volgens mij een herhaling van het antwoord dat ik net ook al gaf.

Er was een vraag over de definities. De vraag was of ik de definities uit hoofdstuk 2 van de Dataverordening van de EP-amendementen kan steunen. Inhoudelijk kan ik die steunen. Ze verbeteren namelijk de toekomstbestendigheid van de wet. Wel is het zo dat, in de trilogen, het voorzitterschap het mandaat heeft om namens lidstaten te onderhandelen, zoals u weet. Dus onze mogelijkheden om dat nu nog individueel te beïnvloeden zijn beperkt, maar binnen de mogelijkheden die er zijn, zullen wij onze steun voor dat voorstel uitspreken.

Voorzitter. Dan kom ik bij het volgende blokje over AI, artificial intelligence. Dit blokje gaat met name over de vraag van D66 over intellectueel eigendom. In diverse overwegingen en artikelen van de AI-verordening wordt gerefereerd aan de bescherming van intellectuele eigendomsrechten, ook als bedrijven samenwerken. Dat gaat bijvoorbeeld over situaties waarin het AI-systeem van het ene bedrijf door een ander bedrijf wordt gebruikt voor een hoogrisicotoepassing. In algemene zin is intellectueel eigendom geregeld in nationale en veelal Europese regelgeving. De AI-verordening doet daar dus ook niets aan af. Maar ten aanzien van generatieve AI begrijp ik wel waar de vraag vandaan komt, omdat we nieuwe kennis gaan genereren en nieuwe waarde gaan creëren. Hierbij moeten we opnieuw kijken naar wat dat betekent voor intellectuele eigendomsrechten. Aan de hand van de visie op generatieve AI, die naar aanleiding van de motie wordt ontwikkeld, gaan we ook de kansen en bedreigingen in kaart brengen. Daarbij zullen we ook dit punt meenemen. Daar komen we dus nog op terug.

Minister Adriaansens:

Ik begrijp die vraag, maar bij de AI-verordening zijn die trilogen net gestart. Dus ik kan niet precies inschatten hoeveel tijd dat kost, maar in beginsel kost dat meestal wel een jaar of anderhalf jaar. Er zit wel heel veel druk op, dus in die zin … Ik hoor dat de staatssecretaris mij nuanceert in mijn verwachtingen. Zij vermoedt dat het misschien iets korter zal zijn. "Ik hoop het wel" zegt ze. Exact. Er zit natuurlijk heel veel politieke druk op, maar we hebben nog wel tijd om daar het nodige aan te doen. Laat mij vanaf deze positie toezeggen dat ik dit mee zal nemen de komende maanden. We moeten daarbij dus tempo maken.

Minister Adriaansens:

D66 vroeg ook in hoeverre deze verordening voorkomt dat techreuzen ook persoonlijke data in hun AI-tools gebruiken. De AI-verordening heeft niet het doel om te voorkomen of te reguleren dat bedrijven persoonsgegevens in hun AI-tools gebruiken, want het rechtmatig gebruik van persoonsgegevens is al geregeld in een ander wetgevend kader, waar ook de AVG deel van uitmaakt. Het doet dus ook geen afbreuk aan het niveau van bescherming van de Europese burger en dat is ook waar Nederland voor heeft gepleit.

Dan was er een vraag van de PVV over hoe we gaan voorkomen dat innovatie op dit gebied wordt vermeden. Ik lees dat we moeten zorgen dat we ook de kansen en innovatie benutten. Mevrouw Van Weerdenburg weet volgens mij dat ik er een groot voorstander van ben om die balans te vinden. De AI-verordening heeft het doel om het vertrouwen in AI te bevorderen, waardoor we AI ook gaan gebruiken. De kaders voor die grote AI-modellen moeten er dus ook voor zorgen dat we risico's voorkomen of beperken. De bedrijven die hiermee werken, geven ook aan dat zij hier behoefte aan hebben. Dus het is iets waar de samenleving op zit te wachten. We werken ook aan innovatievriendelijke wetgeving om zo veel mogelijk ondersteuning voor het mkb te creëren, bijvoorbeeld om te innoveren. We willen zekerheid over hoe we kunnen zorgen dat de hoogrisicotoepassingen worden uitgesloten. Ten aanzien van innovatie hebben wij als Nederland bijvoorbeeld ook expliciet gepleit voor die regulatory sandboxes, om te zorgen dat we die kansen van AI blijven benutten. We moeten goed in de gaten houden dat we die balans blijven houden.

Minister Adriaansens:

Dat ziet vooral op die foundation models. De triloog start nu en dit zijn inderdaad toevoegingen van het EP die we met interesse tegemoetzien. We moeten daar zelf ook denk ik nog even heel goed naar kijken, want dit is iets nieuws dat is toegevoegd. Wat we in ieder geval wel meenemen in die onderhandeling, is dat we die kans en die balans moeten bewaken; dat is duidelijk. Aan de andere kant zijn de risico's van die foundation models natuurlijk ook reëel. Dus dat moeten we de komende periode met elkaar vormgeven. In die zin is het een nieuwe beweging die gemaakt wordt, een versnelling.

Minister Adriaansens:

Volgens mij hebben wij daar ook over bericht dat wij de voorstellen steunen. Wij zullen bij de verdere vormgeving daarvan moeten zorgen dat wij die balans bewaken, dat het dus ook voldoende ruimte voor innovatie geeft. Wij denken en menen dat die regulatory sandboxes — die je daar ook voor kunt gebruiken — goede tools zijn om die innovatie te blijven versterken.

Minister Adriaansens:

We hebben te maken met een nieuwe ontwikkeling. Wij steunen de voorstellen over het zorgen voor spelregels, over die foundation models. Dat is het vertrekpunt. Nederland steunt dat. Maar we moeten wel zorgen dat we de komende maanden, en ook daarna, in de gaten houden dat die regels de goede zijn en dat we met elkaar ruimte houden voor innovatie. Dat is de balans die ik bedoelde en die is op dit moment niet helemaal uitgekristalliseerd. We zullen dat de komende periode gewoon goed in de gaten moeten houden, maar ons vertrekpunt is duidelijk.

Minister Adriaansens:

Ik heb nog een vraag over energie. Omdat …

Minister Adriaansens:

Ik heb even een verduidelijkingsvraag. Ik weet namelijk niet precies of ik de vraag goed begrijp. Op het gebruik van persoonsgegevens is de GDPR- en de AVG-wetgeving van toepassing. Voor het gebruik van data zal je je dus aan de wettelijke regels moeten houden. Dat is bovenliggend. Daarover hebben we het ook al in eerdere debatten gehad. Ik spreek ook met vólle overtuiging uit dat dat bovenliggend moet zijn, want dat is een van de belangrijkste beschermingen die we hebben.

Minister Adriaansens:

Voorzitter. Dan ga ik naar het gebruik van energie. Verduurzaming en digitalisering zijn twee belangrijke transities. Die beïnvloeden elkaar ook. Digitalisering kan bijvoorbeeld helpen bij de klimaatopgave, door de energietransitie te versnellen, maar ook door te kijken hoe je goed gebruik kunt maken van schaarse netcapaciteit. Het trainen van AI-modellen kost echter ook heel veel energie. Dat kost heel veel computerkracht vanuit de datacenters. Die datacenters zijn overigens al verplicht om energiebesparende maatregelen te nemen. 94% van de elektriciteit voor de ICT-sector wordt momenteel groen ingekocht.

Maar het is daadwerkelijk een belangrijk punt dat we daaraan werken. We moeten werken aan energiebesparende maatregelen. Bij ontwikkelingen moeten we ervoor zorgen dat we energiezuinig zijn. We doen een onderzoek naar het nettoduurzaamheidseffect van digitalisering op milieu. Denk aan CO₂-uitstoot en energieverbruik. Vanuit de digitale sector is de Nationale Coalitie Duurzame Digitalisering actief. Die ontwikkelt ook nieuwe energiebesparende maatregelen.

In de EP-tekst van de AI-verordening is een eis opgenomen om grote AI-modellen — denk aan de foundation models, waar heel veel energie-, data- en rekenkracht voor gebruikt wordt — zo energie-efficiënt mogelijk te ontwikkelen. Daardoor wordt er dus nog een extra eis aan toegevoegd. Ik vind dat een positief voorstel. We moeten nog wel nader bestuderen wat dat daadwerkelijk betekent. Maar zoals we er nu kennis van nemen, vatten we het voorstel positief op.

Voorzitter. Er is ook gevraagd naar hardware. We zullen bij het onderzoek dat ik doe naar duurzaamheid en energieverbruik ook naar hardware moeten kijken, in heel brede zin. Daar hoort bijvoorbeeld ook het recht op reparatie bij. We hebben de productveiligheidsrichtlijn. Die is vanaf december 2024 van kracht. We hebben de Ecodesignrichtlijn, die nu wordt behandeld. We moeten ervoor zorgen dat we zuinig omgaan met het verbruik, dus dat we zo veel mogelijk inzetten op hergebruik.

Ik ben erdoorheen, voorzitter.

Staatssecretaris Van Huffelen:

Dank u wel, voorzitter. Ook op deze Telecomraad bespreken we weer een aantal belangrijke punten in de hele grote serie van verordeningen en afspraken die we proberen te maken om de digitale wereld vorm te geven op een manier die we wenselijk achten. Dat is ook wel nodig in dit heel grote Europese verband, want we zien natuurlijk dat de digitalisering zich niets aantrekt van landsgrenzen. We proberen bovendien met gelijkgestemde landen te komen tot het inrichten van een digitale wereld, gebaseerd op onze publieke waarden en grondrechten. Daarmee proberen we aan de ene kant te zorgen voor goede bescherming en aan de andere kant, in lijn met wat mijn collega heeft gezegd, vooral in te zetten op AI for Good, technologieën en duurzame ontwikkelingen op het gebied van digitalisering in de positieve zin.

U heeft daar geen vragen over gesteld, maar belangrijk om te weten is dat we ook spreken over de Verordening Interoperabel Europa. Die is belangrijk omdat we daarmee als overheidspartijen op een veiligere manier kunnen gaan samenwerken. We gaan het ook nog hebben over een onderwerp dat we de vorige keer uitgebreid besproken hebben, namelijk de eIDAS-verordening. Los van de punten die u de vorige keer heeft meegegeven — die hebben we gerealiseerd in het voorstel dat voorlag in de Raad — blijven we doorgaan met inzetten op de punten die nog niet in de verordening zaten, maar waarvan uw Kamer heeft gezegd dat die ongelofelijk belangrijk zijn. Een belangrijk onderwerp daarbij is dat we ervoor moeten zorgen dat we het verhandelverbod steviger vastleggen dan op dit moment het geval is.

Ik ga over tot de beantwoording van een aantal vragen. Het is zo dat naast de formele agenda van de Telecomraad nog een heleboel onderwerpen los bespreken. Daar wilde ik nog kort iets over zeggen. Een belangrijk onderwerp dat aan de orde komt, onder andere op basis van een non-paper geschreven door Denemarken, is generative AI of generatieve AI. Dat is een onderwerp dat ons allemaal heeft wakker geschud. Op 30 november werd het eerste model van ChatGPT gepresenteerd. Velen van ons waren, denk ik, niet alleen verrast in de positieve zin, maar stelden ook gelijk vragen als: wat betekent dit dan eigenlijk? Dan bedoel ik het niet alleen in termen van privacy en grondrechten, maar zeker ook als vraag: wat betekent het eigenlijk voor de wereld waarin we leven? Hoe ziet het er dan uit als je beleidsmedewerker bent of wanneer je je bezighoudt met taken die volgens velen in dit werk heel erg sterk zullen veranderen of beïnvloed worden? Dat onderwerp gaan we bespreken als een open discussie, maar hier speelt dus het maken van de visie, waar de minister net over sprak, ook een rol. Daarin gaan we meer nadenken over een aantal vragen. Het gaat niet alleen om de vraag "wat is het?", want er is ongeveer iedere dag wel nieuws over dit thema. Het gaat ook om de vraag "wat betekent dit voor ons en hoe moeten we ons ertoe verhouden?". Dat is een onderwerp waar we zo snel mogelijk bij u op terug willen komen. Ik neem aan dat u ons daarop goed blijft volgen, dus dat u niet alleen volgt wat er in de krant over dit onderwerp staat, maar ook wat wij als overheid willen doen. Dat is een thema dat los op de agenda staat.

Een tweede punt dat ook op de agenda staat, is alles rondom e-privacy. Daar was ook een vraag over van mevrouw Dekker-Abdulaziz. Zij vroeg wat we gaan doen om de e-Privacyverordening verder te krijgen op het vlak van cookies. Ik heb daar in het debat over de cookies iets over gezegd, namelijk dat het onze inschatting is dat die e-Privacyverordening niet snel weer te wekken is, want er is een tijdje geleden een Raadspositie geweest en de verordening is ook in het parlement geweest, maar nu ligt het al een tijdje stil. Dat laat onverlet dat ik wel heel graag wil dat we met elkaar opnieuw kijken naar het fenomeen van de cookies. Dat heb ik ook in het debat gezegd. Voor een deel moeten we kijken vanuit het perspectief dat cookies heel veel ergernis opleveren en voor een deel vanuit het perspectief dat cookies eigenlijk niet werken, want afhankelijk van de manier, de basis waarop de websites gebouwd zijn waar je naar informatie gaat kijken, klik je sneller op ja dan op nee. Al dit soort punten hebben we eerder met elkaar besproken. In een van de bijeenkomsten wilde ik daar heel graag verder over gaan spreken. Dat doe ik overigens ook met Eurocommissaris Didier Reynders, die hierover ook een soort paper heeft geschreven. Ik wil samen met hem kijken hoe we hier een stap verder kunnen zetten. Uiteraard informeer ik u na afloop van de Telecomraad daarover. Nogmaals, wij willen eigenlijk kunnen zien hoe we een stap verder kunnen maken met de toch wel problematische situatie rondom cookies. Ze zijn er, maar ze beschermen eigenlijk onvoldoende. Daar wilden we graag mee aan het werk.

Dan was er nog een vraag van mevrouw Van Weerdenburg over de boete die Meta heeft gekregen. Ze vroeg of ook andere bedrijven zo'n boete zouden kunnen krijgen. Ieder bedrijf dat persoonsgegevens doorgeeft aan de VS moet natuurlijk voldoen aan de AVG. Het is aan de toezichthouder om te bepalen of er overtredingen plaatsvinden. Ook minder kapitaalkrachtige bedrijven kunnen daarmee te maken krijgen. Of die boete wordt opgelegd, is natuurlijk uiteindelijk aan de toezichthouder en die houdt bij het maken van boetes vaak ook rekening met de vraag hoe kapitaalkrachtig je bent. Maar de kern is wel dat dit natuurlijk een duidelijk signaal is. Ik weet dat Meta ook in beroep gaat tegen deze boete. Dit is een signaal waarmee wordt gezegd dat dit bedrijf zich in ieder geval volgens de Europese toezichthouder op de privacyregulering niet aan de regels heeft gehouden.

Staatssecretaris Van Huffelen:

Wat bedrijven kunnen doen, is zich aan de regels houden. Dat is het eerste, denk ik. De AVG is er niet voor niks. Meta kent die ook. De wet is al heel lang in gebruik. Het eventueel maken van die afspraken — ik weet dat er hard aan wordt gewerkt — zou kunnen helpen om bepaalde soorten van informatiedoorgifte mogelijk te maken, ook zonder dat je daarmee overtredingen begaat. Zolang de AVG geldt, geldt de AVG en betekent dat iets voor de mate waarin je gegevens kunt delen. Het maakt niet uit of het Meta is of een ander bedrijf, maar het past niet binnen de huidige kaders.

Staatssecretaris Van Huffelen:

Mevrouw Van Weerdenburg vroeg of ik mijn Franse collega aan zijn jasje wil trekken om ervoor te zorgen dat hij niet te boos tegen Twitter doet. Volgens mij heeft u het over de Franse Eurocommissaris, Thierry Breton. Hij heeft aangegeven dat hij vindt dat Twitter zich moet houden aan de Europese regels. Die Europese regels zijn dat grote platforms — daar is Twitter er een van — zich vanaf 25 augustus van dit jaar aan de verplichtingen van de DSA moeten houden. Dat betekent dat ze systeemrisico's moeten onderzoeken en dat ze ervoor moeten zorgen dat ze die tegengaan. Wij horen dat Twitter zich heeft teruggetrokken uit de Code of Practice on Disinformation. Dat is een vrijwillige code die was afgesproken, maar die met de komst van de DSA een status krijgt die niet meer vrijwillig is, maar waaraan je nu moet voldoen. Ik hoop vooral — daarin geef ik de Eurocommissaris gelijk — dat Twitter zich aan de Europese regels gaat houden. Welke vorm van keuzes zij ook gaan maken, bijvoorbeeld in het kader van het controleren van content, die zullen hoe dan ook binnen die kaders moeten passen. Dus dat is kort en goed mijn antwoord. Ik zal hem niet aan zijn jasje trekken. Ik zou hem vooral willen aanmoedigen om in gesprek te blijven met de grote platforms om ervoor te zorgen dat de invoering van de Digital Services Act zo goed mogelijk verloopt. Daardoor ontstaan er namelijk zo min mogelijk problemen en kunnen burgers en inwoners van Europa veilig gebruikmaken van diensten zoals die van Twitter.

Dan was …

Staatssecretaris Van Huffelen:

Ik ben mij daar zeer van bewust. Tegelijkertijd ben ik me er ook van bewust dat we in Europees verband regels hebben afgesproken over de verantwoordelijkheid van socialmediaplatforms. Daar zal Twitter zich ook aan moeten houden. Ze zijn onder de DSA als een zogenaamde VLOP aangewezen, als een Very Large Online Platform. Uiteraard geldt de vrijheid van meningsuiting, overigens ook voor mijn Franse collega.

Staatssecretaris Van Huffelen:

Ik zou nog willen terugkomen op een punt van D66, van mevrouw Dekker-Abdulaziz. Dat ging over het standpunt over het gebruik van biometrische gegevens. Zij vroeg of dat beperkt moet blijven tot rechtshandhaving. Ze had het erover dat AI voor rechtshandhaving een registratieplicht moet hebben. Het gebruik van biometrische gegevens moet altijd rechtmatig zijn, ook in het kader van de rechtshandhaving. We hebben ingezet op het uitbreiden van de registratieplicht van AI-systemen met een hoog risico door overheden. Dat is inmiddels ook in de Raadstekst opgenomen. Die registratieplicht was er eerst alleen voor de aanbieders, maar die geldt nu dus ook voor degenen die dit soort systemen gebruiken. Voor het kabinet blijft het van belang om te voorzien in een uitzondering voor gevallen waarbij een registratieplicht kan leiden tot ondermijning van het opsporingsbelang. We hebben daarover al eerder brieven naar uw Kamer gestuurd, omdat wij het belangrijk vinden dat dat kan, bijvoorbeeld voor modellen die een rol in lopende onderzoeken spelen. Die uitzondering moet echter niet ruimer zijn dan noodzakelijk. Er kan bijvoorbeeld ook sprake van zijn dat je na afloop van het gebruik ervan alsnog die modellen kenbaar maakt. Maar wij zullen dus steeds blijven pleiten voor een registratieplicht, met alleen een kleine uitzondering voor rechtshandhaving. Dat moet dus geen ruime uitzondering zijn, maar een zeer beperkte, en dat moet alleen gebeuren wanneer er sprake is van inbreuk op de rechtsorde.

Dat waren de vragen die ik had gekregen.

Staatssecretaris Van Huffelen:

Ja, daar heb ik kort iets over gezegd. Ik kan dat niet goed overzien. We hebben gezien dat Twitter ervoor gekozen heeft om afscheid te nemen van een heleboel moderatoren en de functionaris gegevensbescherming. Er is aangekondigd dat er meer moderatie met behulp van AI zal worden gedaan. Ik kan op dit moment niet beoordelen of dat voldoet aan de gewenste moderatie. Ik volg dat dus graag. Ik ga ervan uit dat de toezichthouder daar goed naar zal kijken.

Mevrouw Dekker-Abdulaziz (D66):

Dank, voorzitter. Dank aan de minister en de staatssecretaris voor de beantwoording.

Het is fijn dat de uitzondering op rechtshandhaving maar een hele kleine uitzondering is. Dank voor de bevestiging.

Ik vind het heel goed dat de staatssecretaris zich gaat inzetten voor het heropenen van de e-Privacyverordening inzake de cookies. Dat is heel fijn.

Ik heb nog één vraag over de AI Act. Een bedrijf, OpenAI, schendt nu al de AVG. Verschillende experts hebben hierover geschreven. Dit bedrijf schraapt namelijk eigenlijk het internet leeg, inclusief persoonsgegevens. Als verwerkingsverantwoordelijke moet OpenAI een melding sturen aan de mensen waarover het gaat over de grondslag en de bewaartermijn. Dat gebeurt nu niet. Er moet een recht op inzage zijn. Er moet ook een recht op verwijdering zijn. De AI Act is volgens D66 de plek waar regels zoals een meldplicht kunnen worden vastgesteld. Is de minister bereid dit mee te nemen richting de triloog?

Dank u wel.

Mevrouw Van Weerdenburg (PVV):

Dank, voorzitter. Tot slot nog een paar opmerkingen. Ik zal niet verder doorgaan over Twitter en Community Notes. Ik zou wel graag willen dat het bij het volgende debat dat wij hebben over desinformatie op online platforms — dat is volgens mij op 14 juni — wel mogelijk is om daar iets meer in detail over te praten met de staatssecretaris. Het is namelijk toch wel een revolutionaire manier van moderatie, waarbij eigenlijk veel meer ogen worden ingezet. Ik zou dus graag zien dat we daar de volgende keer verder over kunnen doorpraten.

Ik heb nog een vraag over de Europese digitale identiteit. In de brief staat dat "de staatssecretaris toezegt ernaar te streven de Kamer voorafgaand aan besluitvormingen in het Coreper hierover te informeren". Ik maak me een beetje ongerust over het woord "streven". Ik mag aannemen dat zij daar heel, heel hard haar best voor doet en dat het niet mis kan gaan.

Tot slot. We praten over heel veel dingen in Europa. Er is een enorme lijst van digitale voorstellen. Ik hoor echter weinig over kwantumveiligheid. We hebben laatst met deze commissie een symposium daarover gehad. De huidige standaarden van encryptie zullen niet het eeuwige leven hebben. Het kost alle bedrijven heel veel tijd om daarop voorbereid te zijn. Ik vrees dat we daar eigenlijk al laat mee zijn. In de VS zijn ze daar allang mee begonnen. We kunnen wel alles heel mooi digitaal gaan inregelen met systemen en gegevens online, maar als de encryptiestandaard valt en we hebben ons daar te laat op voorbereid, dan hebben we onszelf daarmee. Graag nog even een reactie. Wat wordt daarvoor geregeld?

De voorzitter:

Aan de orde is nog steeds het commissiedebat over de aanstaande Telecomraad. We hebben net de tweede termijn van de zijde van de Kamer gehad en gaan nu over tot de beantwoording van het kabinet. Ik geef daartoe de minister van Economische Zaken het woord.

Minister Adriaansens:

Dank, voorzitter. Ik zal de vraag over quantumveiligheid beantwoorden. Dat is een zeer terecht punt. De medaille heeft duidelijk twee kanten. Het gaat over de promote- en de protectkant. Dat zijn vervelende Engelse woorden. Ik moet de Nederlandse vertaling daarvan eigenlijk net zo makkelijk kunnen zeggen. Het gaat echt over ervoor zorgen dat je begrijpt waarover het gaat. We investeren daar in Europa en Nederland een heleboel in. We hebben bijvoorbeeld Quantum Delta in Delft. In een deel van het Nationaal Groeifonds hebben we een voorstel dat daar een bijdrage aan levert. We doen dat via de Kennis- en innovatieagenda. Er wordt gewerkt aan sleuteltechnologieën. Quantum is daar duidelijk een van. Je vindt dat ook terug in de cybersecuritystrategie. Daarin hebben we dat ook aangegeven. We hebben de kennis- en innovatieroadmap. We werken aan post-quantumcryptocommunicatie. Dat is ook weer een mooi begrip. Dat wil zeggen dat we naast de kansen, de snelheid en het begrijpen hoe quantum werkt, ook moeten kijken naar de veiligheidskant.

Voor beide speelt dat ook in Europees verband. We hebben het in Europa over de open strategische autonomie. Daar zetten we echter ook een "d" voor. We hebben het ook over de digitale open strategische autonomie. We weten ook dat we daar stappen in moeten zetten. Je moet namelijk relevant blijven om het te kunnen begrijpen. Anders komt het op je af en weet je niet waarover het gaat. We moeten dus bijblijven.

Het is inderdaad zo dat er ook risico's zijn. Die zijn er zeker. Op het moment dat de rekenkracht toeneemt, neemt ook de kans toe dat alle codes en beveiligingen kunnen worden verbroken. Dat staat dus duidelijk op het netvlies. De veiligheidsdiensten kijken daarnaar. Dat is een cryptostrategie. Ik zei ook al dat bij alle kansen ook duidelijk wordt gekeken wat de mogelijkheden zijn om die te beveiligen.

Ik kan nog veel meer projecten noemen die er spelen, maar ik denk dat het antwoord voor dit moment misschien wel volstaat. De staatssecretaris zal nog even ingaan op wat het voor de diensten betekent.

Minister Adriaansens:

Die is er wel, hoor. Ik begrijp dat die niet helemaal zichtbaar is. Ik denk dat die vraag dus terecht is. Het is namelijk een ontzettend belangrijk onderwerp. Een roadmap is ook echt een traject. Wij vermoeden dat het rond 2030 zal zijn. Dat is een datum die rondgaat. We weten echter niet zeker of dat het moment is waarop we alles kunnen ontcijferen. Dat is natuurlijk de vraag. Misschien gaat het iets sneller en misschien gaat het iets langzamer. Onder de regie van Decipher zijn we bezig met de roadmap voor post-quantumcryptocommunicatie. Daar valt dit onder. Als er behoefte is om dat nader te duiden, dan moeten we dat misschien doen. We moeten even kijken in welke brief we dat doen. Dat is namelijk onderdeel van de voortgangsrapportage over onze digitale strategie. Ik kan dit daarin meenemen en meer aandacht geven, zodat duidelijker wordt wat we precies doen.

Staatssecretaris Van Huffelen:

Dank u wel. Er was een vraag over OpenAI en de AVG. Er is inderdaad een vrij stevig traject in Europa door de toezichthouders opgezet. Dat was naar aanleiding van de Italiaanse toezichthouder, die in eerste instantie OpenAI de toegang tot Italië verbood. Er zijn afspraken gemaakt met de toezichthouder en OpenAI. Los daarvan hebben de toezichthouders in Europa gezamenlijk gezegd dat zij zich hier verder in willen verdiepen. Zij gaan dus ook goed kijken hoe het zit met het verwerken van persoonsgegevens door OpenAI, ChatGPT enzovoorts, enzovoorts.

Dan de vraag van mevrouw Van Weerdenburg over Twitter. Zij vroeg om wat meer in detail over de Community Notes te spreken. De technologie waarmee gebruikers geholpen worden om berichten van context te voorzien, is zeker veelbelovend en wordt ook ingezet op het democratieplatform pol.is van Polis. Het gaat dus niet om Police maar om Polis. Verschillende overheden willen daar verder op inzetten. Ik vind het prima om daar in een volgend debat wat verder op in te gaan en daar wat meer in detail over te spreken.

Mevrouw Van Weerdenburg vroeg ook nog naar de eIDAS. Ja, wij willen u zeker graag voorzien van informatie vóór Coreper, met een beetje een caveat eromheen — die hebben we ook in de brief gezet — dat het heel kort van tevoren kan zijn. De termijnen liggen immers vaak heel dicht op elkaar. Ik wil u natuurlijk graag vooraf informeren. Het is wel van belang — daar zullen we u dan ook even op wijzen — dat als die brief er is, er waarschijnlijk niet veel tijd meer is om daar met elkaar over te spreken of anderszins informatie uit te wisselen.

Dan het standpunt van de overheid op het gebied van kwantum. De vraag ging vooral over postkwantumcryptografie. Een combinatie van diensten, de AIVD, TNO en het Centrum Wiskunde & Informatica, hebben een rapport aan mij overhandigd. Daarin hebben zij aangegeven wat wij als overheden moeten doen. Dat is een belangrijke handreiking om concreet als overheid aan de slag te gaan en ons voor te bereiden op de komst van deze nieuwe technologie. Ik denk dat het inderdaad goed is dat we dat vooral proberen in een zo hoog mogelijk tempo te doen, zeker bij de meer gevoelige onderdelen van onze eigen digitale infrastructuur. Daar gaan we dus hard mee aan de slag.

Dat was het van mijn kant, voorzitter.

Staatssecretaris Van Huffelen:

Dat lijkt me prima. Dat zit echter in de cybersecuritystrategie. Dat is inderdaad een van de poten van ons gemeenschappelijk werk op dit gebied. Dat lijkt me dus heel prima, ja.