De beveiligingscamera’s die de Nederlandse Spoorwegen (NS) heeft besteld, zijn niet aangesloten aan het internet. Ze bevinden zich in een afgesloten en beveiligd intern netwerk, waardoor niemand van buitenaf toegang heeft tot de beelden. Het is één van de maatregelen die de NS heeft genomen om (statelijke) actoren buiten de deur te houden.
Dat schrijft staatssecretaris van Infrastructuur en Waterstaat Vivianne Heijnen namens de minister van Justitie en Veiligheid Dilan Yeşilgöz-Zegerius in een brief aan de Tweede Kamer (1). Daarin geeft ze antwoord op schriftelijke vragen die afgelopen maand zijn ingediend door Queeny Rajkoswki en Fahid Minhas (beiden VVD).
De VVD’ers hadden vragen nadat Follow The Money had geschreven dat er zo’n 10.000 camera’s in treinen, op treinstations en bij fietsenstallingen hangen. De meeste camera’s zijn afkomstig van Westerse bedrijven als Bosch en Siemens. Een deel daarvan -naar schatting zo’n 1.500 camera’s- zijn geleverd door Hikvision en Dahua.
Dat levert volgens experts een gevaar op voor zowel onze privacy als nationale veiligheid. Het risico bestaat dat de beelden die deze camera’s opnemen in de handen van de Chinese overheid, het Volksbevrijdingsleger of Chinese geheime dienst belanden. Zo kunnen zij op afstand monitoren welke hoogwaardigheidsbekleders zich op welk moment waar bevinden. Nederlandse inlichtingen- en veiligheidsdiensten hebben in het verleden ook al gewaarschuwd voor cyberspionage.
Voor ProRail, dat verantwoordelijk is voor het onderhoud aan het Nederlandse spoor, was dat reden om alle camera’s van Hikvision voor het einde van het jaar weg te halen. De NS liet ze hangen, omdat er “geen negatief overheidsadvies” op tafel ligt en het Nationaal Cyber Security Centrum (NCSC) niet heeft aangeraden om de camera’s te vervangen. Sterker nog, de NS bestelde 5.000 nieuwe beveiligingscamera’s van Chinese technologiebedrijven in september.
Naar aanleiding van dit bericht besloten Rajkowski en Minhas om een aantal schriftelijke vragen te stellen aan minister Yeşilgöz-Zegerius. Daarin lieten ze blijken dat het “zeer onwenselijk” vinden dat de NS de camera’s afneemt bij Chinese techbedrijven. “Bent u het ermee eens dat het onacceptabel is dat miljoenen Nederlanders worden gefilmd door omstreden Chinese camera’s waarvan niet duidelijk is wat er met deze beelden wordt gedaan?”, zo vroegen de VVD’ers onder meer aan de minister.
Staatssecretaris Heijnen heeft, mede namens minister Yeşilgöz-Zegerius, de vragen van de VVD beantwoord. In een brief schrijft de staatssecretaris dat de camera’s onderdeel uitmaken van een Europese aanbesteding om treinmateriaal te moderniseren. Europese treinfabrikanten doen op hun beurt zaken met Chinese toeleveranciers.
De NS geeft aan allerlei maatregelen te hebben genomen om ervoor te zorgen dat China niet kan meekijken met de beelden die de camera’s opnemen. “Eén van de maatregelen is dat deze camera’s zich bevinden in een afgesloten en beveiligd (intern) netwerk dat niet is gekoppeld aan het internet. Dit betekent volgens NS dat niemand van buitenaf bij de inhoud of besturing van de camera’s kan komen”, zo staat er in de brief aan de Tweede Kamer. Staatssecretaris Heijnen schrijft dat er geen beveiligingscamera’s van Chinese bedrijven op stations hangen. Deze worden momenteel gebruikt in “een aantal typen treinen”.
De bewindsvrouw deelt niet de mening van de VVD dat het zeer onwenselijk is om Chinese beveiligingscamera’s aan te schaffen. Heijnen benadrukt dat er bij de inkoop van diensten en producten een risicoanalyse wordt gemaakt. Nationale veiligheidsoverwegingen worden daarbij meegewogen, evenals eventuele risico’s tot de leverancier en potentiële risico’s als dergelijke systemen worden gebruikt.
De NS is door het ministerie van Infrastructuur en Waterstaat aangemerkt als aanbieder van een essentiële dienst (AED). Daarmee valt het spoorwegbedrijf onder het regime van de Wet bescherming netwerk- en informatiesystemen (Wbni). Dat houdt in dat de NS verplicht zijn om passende veiligheidsmaatregelen te nemen om hun systemen te beschermen tegen kwaadwillenden. “Vitale aanbieders zijn daarbij zelf verantwoordelijk voor het treffen van de juiste maatregelen. Sectorale toezichthouders houden toezicht op de wijze waarop vitale aanbieders invulling geven aan deze zorgplicht”, aldus de staatssecretaris.
Verder schrijft staatssecretaris Heijnen dat het NCSC geen advies geeft over individuele producten of diensten. “Het NCSC raadt organisaties aan om risicomanagement te implementeren in hun organisatie en dit ook toe te passen bij het aanschaffen van producten en diensten”, zo staat er in de brief aan de Tweede Kamer. Aanbieders van vitale diensten zijn hier zelf verantwoordelijk voor.
Tot slot meldt de staatssecretaris van Infrastructuur en Waterstaat dat Nederland in verschillende verbanden met China praat over dataveiligheid. Deze gesprekken gaan over onder meer de bescherming van privacy, naleving van de Algemene Verordening Gegevensbescherming (AVG), bescherming van mensenrechten en ongepaste toegang van overheden tot datagegevens.
Het kabinet is voorstander van strikte handhaving en het sterk uitdragen van Europese standaarden en normen op het gebied van databescherming, privacy en productveiligheid.
https://www.tweedekamer.nl/kamerstukken/kamervragen/detail?id=2022Z16709&did=2022D43602
