Antwoord schriftelijke vragen : Antwoord op vragen van het lid Buitenweg over het bericht dat Huawei toegang had tot gegevens van miljoenen Telfort-klanten
Vragen van het lid Buitenweg (GroenLinks) aan de Minister van Justitie en Veiligheid en de Staatssecretaris van Economische Zaken en Klimaat over het bericht dat Huawei toegang had tot gegevens van miljoenen Telfort-klanten (ingezonden 30 maart 2021).
Antwoord van Staatssecretaris Keijzer (Economische Zaken en Klimaat), mede namens
de Minister van Justitie en Veiligheid (ontvangen 19 mei 2021). Zie ook Aanhangsel
Handelingen, vergaderjaar 2020–2021, nr. 2407.
Vraag 1
Bent u bekend met het artikel «Huawei had toegang tot gegevens miljoenen Telfort-klanten»?1
Antwoord 1
Ja, ik ben met het artikel bekend.
Vraag 2, 3 en 4
Wat is uw reactie op deze berichtgeving, die erop wijst dat Huawei toegang had tot
de klant- en facturatiegegevens van miljoenen Telfort abonnees?
Klopt het dat uit het aangehaalde KPN-rapport blijkt dat Huawei geregeld bestanden
uit de klantomgeving van Telfort haalde? Zo ja, wat is uw reactie op de verklaring
van hetzelfde bedrijf dat er geen enkele aanleiding is om te veronderstellen dat er
gegevens van Telfort-klanten waren ontvreemd, door wie dan ook? Bent u bereid om hier
bij KPN opheldering over te vragen?
Kunt u helder uiteenzetten tot welke specifieke datavariabelen Huawei precies toegang
had?
Antwoord 2, 3 en 4
Aanleiding van het artikel is een intern audit-rapport van KPN uit 2011 waarin KPN
een reguliere audit doet naar de beveiliging van een destijds nieuw systeem van Telfort,
toen onderdeel van KPN, waarop klant- en facturatiegegevens (zoals persoons- en verkeersgegevens)
werden bewaard. KPN heeft ons gemeld dat het Amerikaanse bedrijf HP hoofdaannemer
was voor de realisatie van het systeem en diverse onderaannemers gebruikte, waaronder
Huawei, voor de bouw en het beheer. Uit dat rapport zou blijken dat beveiligingsmaatregelen
niet op orde waren, zoals logging en monitoring van wie toegang heeft tot het systeem
en wie wat met de gegevens doet. Uit het rapport kwam een groot aantal verbeterpunten
waarvan de meeste waren gericht aan HP als hoofdaannemer. Volgens KPN zijn alle verbetermaatregelen
in de jaren erna opgevolgd. Huawei had als leverancier toegang tot het systeem voor
reguliere beheer- en onderhoudsactiviteiten. Ons is niet bekend of via deze beheertoegang
klantgegevens zijn ontvreemd. Navraag bij KPN leert dat dit KPN niet is gebleken.
Het systeem is in het voorjaar van 2018 vervangen.
Vraag 5
Is het denkbaar dat de Chinese autoriteiten op deze manier, via Huawei, de Oeigoerse
diaspora of andere specifieke groepen in beeld konden brengen of konden volgen?
Antwoord 5
Het is ons niet bekend of, voor zover sprake is geweest van ontvreemding van klantgegevens,
Chinese autoriteiten op deze manier Oeigoerse diaspora of andere groepen in beeld
konden brengen of konden volgen. In algemene zin is bekend dat statelijke actoren
zich richten op het vergaren van (onder meer) persoonsgegevens voor het monitoren
en profileren van doelwitten. Daarbij is bekend dat de inlichtingen- en beïnvloedingsactiviteiten
van China zich mede op zijn diaspora richten. Ongewenste buitenlandse beïnvloeding
en inmenging hebben de aandacht van het kabinet en de inlichtingen- en veiligheidsdiensten
in het bijzonder. Op het moment dat concrete activiteiten in dat verband worden waargenomen,
wordt bezien of passende maatregelen nodig en mogelijk zijn.
Vraag 6, 7 en 8
Welke acties zijn ondernomen in 2019 toen medewerkers van de Algemene Inlichtingen-
en Veiligheidsdienst (AIVD) en specialisten van KPN een verborgen toegangspad naar
klantgegevens ontdekten waar alleen Huawei bij kon?
Is het bestaan van dat toegangspad destijds gemeld bij de Autoriteit Persoonsgegevens?
Zo nee, waarom niet?
Is destijds bij Huawei om opheldering gevraagd over het ontdekte toegangspad? Zo ja,
door wie, en wat was de reactie? Zo nee, waarom niet? Op welke wijze is het toegangspad
gesloten? In hoeverre is het aanbrengen van geheime toegangspaden in strijd met de
wet?
Antwoord 6, 7 en 8
Het kabinet doet in het openbaar geen uitspraken over het kennisniveau of de activiteiten
van de Nederlandse inlichtingen- en veiligheidsdiensten.
In het algemeen kan gesteld worden dat de Telecommunicatiewet sinds 2012 een zorgplicht
kent die ertoe strekt dat aanbieders van openbare telecommunicatienetwerken en -diensten
passende technische en organisatorische maatregelen dienen te nemen om de risico’s
voor de veiligheid en de integriteit van hun netwerken en diensten te beheersen. In
het kader van die zorgplicht past het niet dat er toegangspaden tot een netwerk en
diensten bestaan die niet zijn geautoriseerd of gecontroleerd door de desbetreffende
aanbieder van openbare telecommunicatienetwerken en -diensten. Het ongeautoriseerd
aanbrengen van geheime toegangspaden kan daarnaast een verdenking opleveren van een
misdrijf als bedoeld in de artikelen 350c Sr en/of 138ab Sr.
Vraag 9
Klopt het dat het bewuste klantsysteem momenteel niet meer in gebruik is? Tot wanneer
was het systeem wel in gebruik?
Antwoord 9
Het klopt dat dit bewuste klantsysteem, uit het audit rapport van 2011, momenteel
niet meer in gebruik is. Het betreft hier een oud klantsysteem van Telfort. Het systeem
was in gebruik tot voorjaar 2018.
Vraag 10 en 11
Kunt u uitsluiten dat Huawei op dit moment dergelijke toegang heeft tot klantgegevens
van Nederlandse burgers? Hoe wordt voorkomen dat dit weer kan gebeuren? In hoeverre
is de logging van toegang tot klantgegevens van telecombedrijven nu verplicht?
Deelt u de mening van hoogleraar Bas Jacobs, tevens lid van de Cyber Security Raad,
dat het interne KPN-rapport ook iets zegt over de wijze waarop Huawei in het algemeen
haar producten aanlevert, dat het bedrijf zichzelf een plek diep in de geleverde systemen
verschaft? Zo ja, is het dan verantwoord om Huawei een rol te laten spelen in het
aanleggen van 5G-netwerken? Zo nee, waarom niet?
Antwoord 10 en 11
Wij kunnen aan de hand van een intern KPN-rapport uit 2011 geen conclusies verbinden
over hoe Huawei in het algemeen producten aanlevert. Het kabinet neemt actief maatregelen
om de weerbaarheid van telecommunicatienetwerken te verhogen en misbruik via leveranciers
van producten en diensten tegen te gaan. In 2019 heeft de Taskforce Economisch Veiligheid
(TFEV), met medewerking van de drie mobiele netwerk operators (KPN, T-Mobile en VodafoneZiggo)
een risicoanalyse naar de kwetsbaarheid van de netwerken voor dergelijk misbruik uitgevoerd.
Uw Kamer is op 1 juli 2019 geïnformeerd over de uitkomsten hiervan. Op basis van deze
analyse heeft het kabinet besloten tot het nemen van de volgende drie maatregelen:
1) Mobiele netwerk operators worden bij ministeriële regeling verplicht om aanvullende
technische en organisatorische beveiligingsmaatregelen te nemen om de weerbaarheid
van de mobiele telecomnetwerken te verhogen.
2) Mobiele netwerk operators worden bij beschikking verplicht om in de kritieke onderdelen
van hun netwerk uitsluitend gebruik te maken van producten en diensten van vertrouwde
leveranciers.
3) De werkwijze van de Taskforce Economische Veiligheid wordt bestendigd in een structureel
proces waarbinnen betrokken overheidsorganisaties en telecomaanbieders doorlopend
dreigingsinformatie delen en op basis daarvan risicobeoordelingen uitvoeren waar nodig.
Voor de eerste twee genoemde maatregelen is een grondslag gecreëerd in het Besluit
veiligheid en integriteit telecommunicatie, met daarin nadere regels met betrekking
tot de in het antwoord op vraag 6–8 genoemde zorgplicht voor telecomaanbieders krachtens
de Telecommunicatiewet. De derde maatregel is essentieel om de telecomnetwerken ook
in de toekomst veilig te houden.
De standaarden op het gebied van veiligheid die in de praktijk in het kader van deze
zorgplicht worden gehanteerd door telecomaanbieders, en worden getoetst door de toezichthouder
(Agentschap Telecom), zijn er mede op gericht te voorkomen dat onbevoegden in systemen
kunnen komen. Specifieke eisen aan toegang tot systemen, zoals autorisatie, monitoring
en logging, ongeacht de leverancier, zijn daar onderdeel van.
Vraag 12
Was u al op de hoogte van dit rapport, of is deze informatie nieuw voor u? In hoeverre
waren de bevindingen van het rapport al meegenomen in het structurele proces ten aanzien
van de risicobeoordeling van kwetsbaarheden van de netwerken van telecomaanbieders?
Antwoord 12
Wij waren niet op de hoogte van dit rapport. Van belang is om te realiseren dat het
hier gaat om een bedrijfsintern rapport uit 2011. Het feit dat KPN dit type audits
liet uitvoeren geeft inzage in de wijze waarop KPN invulling geeft aan de toetsing
van haar eigen systemen. In de eerder benoemde risicoanalyse van de TFEV is het risico
op ongeautoriseerde toegang tot systemen en data en hoe misbruik daarvan te voorkomen
meegenomen.
Vraag 13
Deelt u de mening dat dit interne KPN-rapport laat zien dat het onverstandig is om
gebruik te maken van andere dan volledig betrouwbare leveranciers in het telecomnetwerk,
niet alleen in de kritieke delen van het netwerk, maar ook in het radio en antennenetwerk?
Zo nee, waarom niet?
Antwoord 13
Op basis van de eerdergenoemde risicoanalyse van de TFEV is besloten om mobiele netwerk
operators bij beschikking te verplichten om in kritieke onderdelen van hun netwerken
enkel gebruik te maken van vertrouwde leveranciers. Het kabinet doet geen openbare
uitspraken welke onderdelen als kritiek zijn aangemerkt. Er is op dit moment geen
noodzaak om eenzelfde verplichting op te leggen voor het gehele netwerk. Eén van de
maatregelen die het kabinet heeft genomen naar aanleiding van de eerder genoemde risicoanalyse
van de TFEV in 2019 is het inrichten van een structureel proces, waarin nieuwe informatie
over dreiging en technologie wordt beoordeeld door overheid en de telecomsector samen.
Als daar aanleiding toe is, kunnen er op basis van dit structurele proces aanvullende
veiligheidsmaatregelen genomen worden.
Ondertekenaars
-
Eerste ondertekenaar
M.C.G. Keijzer, staatssecretaris van Economische Zaken en Klimaat -
Mede namens
F.B.J. Grapperhaus, minister van Justitie en Veiligheid
Gerelateerde documenten
Hier vindt u documenten die gerelateerd zijn aan bovenstaand Kamerstuk.