Geachte Voorzitter,
Hierbij stuur ik u, mede namens de minister van Justitie en Veiligheid, de antwoorden op de vragen die zijn gesteld door het lid Van den Berg (CDA), ingezonden op 2 december 2019 (kenmerk 2019Z23813).
Hoogachtend,
mr. drs. M.C.G. Keijzer
Staatssecretaris van Economische Zaken en Klimaat
2019Z23813
1
Bent u bekend met de berichten 'Datacenters in Nederland raken in wurggreep van Amerikanen' en 'Nederlandse bouwer van datacenters failliet'?
Antwoord
Ja, ik ben met deze berichten bekend.
2
Klopt het beeld dat Nederland de controle dreigt te verliezen over consumenten- en bedrijfsgegevens opgeslagen in datacenters op Nederlands grondgebied als gevolg van investeringen van Amerikaanse bedrijven in kritieke digitale infrastructuur in Nederland? Welke gevolgen kan dit hebben voor de veiligheid en autonomie van Nederland in het digitale domein?
Antwoord
Het is van belang om onderscheid te maken tussen datacenterdiensten, zoals het fysieke gebouw van het datacenter, de servers, en de (hosting)diensten, zoals opslag en enerzijds en de consumenten- en bedrijfsgegevens op deze servers anderzijds. In beginsel zijn datacenters alleen eigenaar en/of beheerder van het onroerend goed. De bedrijven die van het datacenter gebruik maken zijn eigenaar en/of beheerder van de servers/clouds. Enkele datacenters verlenen optioneel diensten als de verhuur van servers, of de verlening van andere diensten (zoals clouddiensten).
Datacenters zijn momenteel niet aangewezen als vitale infrastructuur. Wel is het kabinet voornemens nader onderzoek te doen naar de vraag of datacenters alsnog onderdeel moeten worden van de vitale infrastructuur. Datacenters vanaf een bepaalde omvang zijn al onder het Wetsvoorstel ongewenste zeggenschap telecommunicatie gebracht (Wozt), zodat toekomstige overnames van deze datacenters getoetst zullen worden (zie mijn antwoord op vraag 6).
Wat betreft de consumenten- en bedrijfsgegevens opgeslagen in datacenters, merk ik het volgende op. Allereerst zijn de clouddiensten gereguleerd onder de Wet beveiliging netwerk- en informatiesystemen (Wbni), zodat zij maatregelen moeten treffen om de risico’s voor de beveiliging van hun netwerk- en informatiesystemen te beheersen. Daarnaast is de Algemene verordening gegevensbescherming van toepassing. In het artikel worden ook zorgen geuit over de gevolgen van de CLOUD-act. Voor een eerste appreciatie van deze gevolgen verwijs ik u naar twee eerdere brieven die het kabinet naar uw Kamer heeft verzonden. [1]
3
Kunt u een overzicht geven van dergelijke datacenters in Nederland, hun locaties en eigenaars?
Antwoord
De rijksoverheid beschikt niet over een dergelijk overzicht. De brancheorganisatie Dutch Data Center Association heeft mij te kennen gegeven dat er ongeveer 200 datacenter locaties in Nederland zijn, met meer dan 50 verschillende Nederlandse en buitenlandse uitbaters en eigenaren. [2]
4
Wie is de eigenaar van de datacenters waarvan het Binnenhof en de verschillende departementen gebruikmaken?
5
Wat is de staat van de bekabeling van, naar en in deze datacenters? Wie is de eigenaar van deze kabels en bijgevolg (mede)verantwoordelijk voor o.a. onderhoud, vervanging, beheer en beveiliging? Zouden deze kabels in het kader van de nationale veiligheid niet voor tenminste 51 procent overheidseigendom moeten zijn? Worden deze kabels beschouwd en behandeld als een vitaal proces of een vitale dienst? Welke (veiligheids)wetgeving is hier van toepassing?
In het AO Digitale Overheid van 4 december 2019 is door de minister van Binnenlandse Zaken en Koninkrijksrelaties toegezegd uw Kamer per brief te informeren over datacenters die door de Rijksoverheid in gebruik zijn. Vraag 4 en 5 zullen in die brief worden beantwoord. Deze brief zal in het eerste kwartaal van 2020 aan uw Kamer worden verstuurd.
6
Bent u van mening dat de Wet ongewenste zeggenschap telecommunicatie, de uitvoeringswet Europese Foreign Direct Investment Screening (FDI)-screeningsverordening en het stelsel van investeringstoetsing, die allen in voorbereiding zijn, gezamenlijk voldoende bescherming bieden tegen ongewenste overnames van kritieke digitale infrastructuur, zoals datacenters?
Antwoord
Ja. Het verkrijgen van overwegende zeggenschap in een aanbieder van datacenterdiensten valt onder de werking van het Wetsvoorstel ongewenste zeggenschap telecommunicatie. Voorwaarde is wel dat de partij die het datacenter overneemt daardoor relevante invloed in de telecommunicatiesector verkrijgt. Daarvan is sprake als bij de overname een zekere drempelwaarde wordt overschreden. Het voornemen is om deze drempelwaarde bij datacenterdiensten vast te stellen op een stroomcapaciteit van meer dan 40 MW. Dat wil zeggen dat een investeerder in een datacenter onder de werking van het Wetsvoorstel ongewenste zeggenschap telecommunicatie valt als hij door die investering overwegende zeggenschap verkrijgt in een of meer aanbieders van datacenterdiensten en deze diensten een stroomcapaciteit hebben van meer dan 40 MW. Hiermee valt bij de huidige marktverhoudingen naar schatting in ieder geval een overname van de grootste vier datacenteraanbieders onder de werking van het Wetsvoorstel ongewenste zeggenschap telecommunicatie. Dit betekent dat een dergelijke overname moet worden gemeld bij de minister van Economische Zaken en Klimaat en dat deze vervolgens zal worden getoetst. Mocht blijken dat de overname een gevaar op kan leveren voor openbare orde of nationale veiligheid dan kan de overname worden verboden.
7
Is deze berichtgeving voor u aanleiding om het (concept)wetsvoorstel voor de invoering van een investeringstoets op nationale veiligheidsrisico’s versneld naar de Tweede Kamer te sturen en niet, zoals aangekondigd in de Kamerbrief van 11 november 2019, pas aan het eind van 2020 (met inwerkingtreding nog veel later)? Waarom wel of waarom niet? [3]
8
Hoe wordt toezicht gehouden, zolang deze investeringstoets er nog niet is? Bent u van plan in de tussentijd aanvullende maatregelen te nemen om onze kritieke digitale infrastructuur beter te beschermen? Waarom wel of waarom niet?
Antwoord 7 en 8
De planning voor het wetgevingstraject betreffende de investeringstoets op nationale veiligheidsrisico’s is aan uw Kamer gemeld door de ministers van Economische Zaken en Klimaat en van Justitie en Veiligheid op 11 november 2019. [4]De ministers verwachten de conceptwet conform ambitieuze planning eind 2020 aan uw Kamer te kunnen aanbieden.
Zoals reeds in antwoord op vraag 6 is aangegeven, valt het verkrijgen van overwegende zeggenschap in een aanbieder van datacenterdiensten onder de werking van het Wetsvoorstel ongewenste zeggenschap telecommunicatie. Dit Wetsvoorstel ligt nu voor in uw Kamer en de nota naar aanleiding van het verslag is onlangs naar uw Kamer verzonden. [5]
Zoals reeds in antwoord op vraag 2 is aangegeven, is het kabinet voornemens nader onderzoek te doen, naar de vraag of datacenters niet alsnog onderdeel moeten worden van de vitale infrastructuur.
9
Wat betekent het faillissement van de Nederlandse bouwer van datacenters voor de veiligheid van Nederland? Welke wetgeving geldt hier ten aanzien van de eisen aan eigenaarschap e.d., wanneer dit bedrijf een doorstart zou maken?
Antwoord
Ik voorzie op dit moment geen impact van het faillissement van een leverancier van ontwerpdiensten en de bouwbegeleiding van datacenters (ICTroom) voor de veiligheid van Nederland. Er zijn meerdere (Nederlandse) spelers actief op de markt in Nederland, en daarbuiten. Bovendien is hier sprake van een groeiende markt, en verwacht ik dat er meer spelers bij zullen komen. De normale faillissementswetgeving is in dit geval van toepassing. Het verkrijgen van overwegende zeggenschap in leveranciers van ontwerpdiensten en bouwbegeleiding van datacenters, dan wel bouwers van datacenters valt niet onder de werking van het Wetsvoorstel ongewenste zeggenschap telecommunicatie.
