Antwoord schriftelijke vragen : Antwoord op vragen van het lid Rajkowski over het bericht “Litouwen adviseert consument geen Xiaomi-telefoons meer te kopen”

Antwoord van Minister Blok (Economische Zaken en Klimaat), mede namens de Minister
van Justitie en Veiligheid en de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties
(ontvangen 4 november 2021). Zie ook Aanhangsel Handelingen, vergaderjaar 2021–2022,
nr. 353.

Vraag 1

Bent u bekend met het bericht «Litouwen adviseert consument geen Xiaomi-telefoons
meer te kopen»?1

Antwoord 1

Ja.

Vraag 2

Hoe beoordeelt u het zorgelijke feit dat overheidsinstanties in Litouwen consumenten
adviseren om geen smartphones van het Chinese merk Xiaomi meer te kopen of te gebruiken
in verband met de mogelijke aanwezigheid van censuursoftware?

Antwoord 2

Het Litouwse Ministerie van Defensie concludeert op basis van eigen onderzoek dat
onderzochte smartphones van diverse Chinese fabrikanten kwetsbaarheden en risico’s
in zich houden, waaronder de in het nieuwsartikel aangehaalde bevinding van «censuursoftware».
Het gaat daarbij specifiek om een lijst van termen die in China gevoelig liggen. De
Litouwse overheid concludeert dat deze lijst op Europese smartphones aanwezig is en
periodiek geactualiseerd wordt, maar dat er op de in de EU verkochte smartphones geen
censuur wordt toegepast.

De overheid van Litouwen verbindt aan het rapport het advies om geen telefoons van
Chinese fabrikanten meer te kopen en in gebruik zijnde telefoons te vervangen. Ieder
land maakt hierin een eigen afweging. Voor Nederland is er op dit moment geen aanleiding
om een dergelijk zwaarwegend advies af te geven. Wel ziet het kabinet dat het daadwerkelijk
toepassen van dergelijke software inbreuk kan maken op de grondrechten van gebruikers,
zie hiervoor het antwoord op vraag 6.

Vraag 3

Zijn deze signalen bekend bij het Nationaal Cyber Security Centrum (NCSC)? Zo ja,
welke actie is hierop tot heden genomen?

Antwoord 3

Ja, de signalen zijn bekend bij het NCSC. Het NCSC informeert en adviseert zijn doelgroep
waar relevant over cybersecurityrisico’s.

Vraag 4

Hoeveel Xiaomi telefoons zijn in Nederland in gebruik? Maken Nederlandse overheidsinstanties
gebruik van Xiaomi telefoons? Zo ja, welke?

Antwoord 4

Voor het gebruik van Xiaomi-telefoons in Nederland zijn mij geen exacte cijfers bekend.
Wel is er een indicatie te geven op basis van openbare marktgegevens. Uit een analyse
van Europese markt voor smartphones door het bedrijf Strategy Analytics valt af te
leiden dat de verkoop van Xiaomi-telefoons in Europa al enige tijd een stijgende lijn
vertoont.2

Deze stijgende lijn is ook terug te zien in cijfers over het internetgebruik door
gebruikers van mobiele telefoons. Zo komt het bedrijf Statcounter tot een schatting
van het marktaandeel van Xiaomi in Nederland van 4,64% in september 2021.3

Alle overheidsorganisaties zijn zelf verantwoordelijk voor hun bedrijfsvoering en
de beveiliging van informatie en informatiesystemen. Ze bepalen zelf welke apparatuur
ze in gebruik hebben. Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties
beschikt daarom niet over een totaaloverzicht van welke overheidsorganisaties welke
telefoons in gebruik hebben.

Binnen de rijksoverheid wordt ten aanzien van de inkoop van telefoons via het Rijksbrede
categoriemanagement samengewerkt. Wat betreft de rijksoverheid en aanpalende organisaties
zijn voor zover bij het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties bekend
sinds 2018 60 Xiaomi-telefoons aangeschaft. De telefoons worden niet gebruikt voor
de eigen bedrijfsvoering maar zijn aangeschaft om te worden gebruikt als onderwerp
van technisch, forensisch of opsporingsonderzoek. Organisaties maken bij het aanschaffen
van apparatuur, zoals telefoons, een eigen afweging bij het afsluiten van nadere overeenkomsten,
binnen de ruimte die rijksbreed afgesloten overeenkomsten hen daarvoor bieden. (Zie
verder het antwoord op vraag 5).

Vraag 5

Wordt er een risicoanalyse uitgevoerd naar hardware en software die in gebruik wordt
genomen door overheidsinstanties? Zo ja, is een dergelijke analyse uitgevoerd voor
Xiaomi telefoons? Zo ja, wat waren de uitkomsten hiervan? Zo nee, waarom niet?

Antwoord 5

Voor de aanschaf van hard- en software, waaronder telefoons, door de overheid is de
Baseline Informatiebeveiliging Overheid (BIO) van kracht. De uitgangspunten van de
BIO zijn onder andere risicomanagement en de eigen verantwoordelijkheid van overheidsorganisaties.
Dat betekent dat organisaties zelf risicoafwegingen uitvoeren voordat hard- en software
in gebruik wordt genomen, en op grond daarvan de toepassing binnen hun eigen bedrijfsprocessen
bepalen. Relevant zijn in dit verband specifiek biomaatregelen 14.1.1.1 en 15.1.1.1.4

Tevens geldt dat bij de inkoop en aanbesteding van producten en diensten binnen de
rijksoverheid, zoals telefoons, (eventuele) risico’s voor de nationale veiligheid
worden meegewogen. Hierbij wordt in het bijzonder gelet op mogelijke risico’s ten
aanzien van de continuïteit van vitale processen, de integriteit en exclusiviteit
van kennis en informatie en de ongewenste opbouw van strategische afhankelijkheden.
In het kader hiervan zal in geval van gevoelige apparatuur zal bij aanschaf en implementatie
daarvan rekening gehouden worden met zowel eventuele risico’s in relatie tot de leverancier,
als met risico’s in verband met het concrete gebruik van de systemen, bijvoorbeeld
waar het gaat om de toegang tot systemen door derden. Eind 2018 is dit ten aanzien
van nationale veiligheidsrisico’s verscherpt inkoop en aanbestedingsbeleid geïmplementeerd
voor de rijksoverheid.

Ter ondersteuning van dit beleid is instrumentarium ontwikkeld dat organisaties handvatten
biedt bij het maken van een risicoanalyse en het nemen van mitigerende maatregelen.
Behoeftestellende partijen zijn zelf verantwoordelijk voor de toepassing van dit instrumentarium
en het meewegen van nationale veiligheidsrisico’s. Het instrumentarium is ter beschikking
gesteld binnen de rijksoverheid en medeoverheden, alsmede aan organisaties die vitale
aanbieder zijn.

Vraag 6

Deelt u de mening dat dergelijke censuursoftware een gevaar vormt voor de vrijheid
van meningsuiting en de privacy van Nederlandse gebruikers van Xiaomi telefoons? Zo
ja, bent u bereid om op korte termijn onderzoek te laten uitvoeren naar de mogelijke
aanwezigheid van censuursoftware op Xiaomi toestellen door het Nationaal Cyber Security
Centrum en het Agentschap Telecom? Zo nee, waarom niet?

Antwoord 6

Uit het Litouwse onderzoek blijkt dat de betreffende functionaliteit in de Europese
Unie is uitgeschakeld. Wel stellen de onderzoekers dat de fabrikant deze functie op
afstand zou kunnen activeren.

In algemene zin zou het toepassen van dergelijke software een risico kunnen vormen
voor grondrechten zoals de vrijheid van meningsuiting, de vrijheid van nieuwsgaring
en de privacy van Nederlandse gebruikers. Hierbij is het belangrijk om op te merken
dat op de software die zich op Nederlandse smartphones bevindt, de huidige wet- en
regelgeving van kracht is, zoals de Algemene Verordening Gegevensbescherming en de
Algemene wet gelijke behandeling.

De betreffende toezichthouders en instanties, de Autoriteit Persoonsgegevens en het
College voor de Rechten van de Mens, kunnen besluiten aanvullend onderzoek te doen
wanneer zij hier aanleiding toe zien.

Vraag 7

Klopt het dat Xiaomi geen officiële winkel of webshop heeft in Nederland, maar wel
online via verschillende Nederlandse websites/webwinkels te kopen is? Deelt u de mening
dat als blijkt dat Nederlanders met een Xiaomi telefoon dergelijke censuursoftware
hebben, het onwenselijk is dat deze telefoons in Nederland verkrijgbaar zijn? Zo ja,
wat gaat u daaraan doen? Zo nee, waarom niet?

Antwoord 7

Dit is niet juist. Xiaomi heeft in Nederland een officieel verkoopkanaal via haar
eigen website. Ook zijn Xiaomi-telefoons in Nederland verkrijgbaar via de mobiele
operators en via zowel Nederlandse als Europese webwinkels.

Op dit moment heb ik geen aanwijzingen dat deze software in Nederland is geactiveerd.
Mocht op enig moment blijken dat dit toch het geval is, dan is het aan de betreffende
toezichthouders om zo nodig te handhaven.