Statenvragen digitalisering, AI, Privacy en IT-security
Geacht college,
Over digitalisering, AI, Privacy en IT-security heeft de PVV diverse vragen aan het college.
1. Op 12 februari 2026 kopte FD[1] over een groot datalek bij Odido: "Cyberaanval bij Odido raakt miljoenen klanten: ‘Het is een gigantisch lek’"
a. Klopt het dat Odido voor de provincie de leverancier is van mobiele telefonie/data?
b. Klopt het dat de provinciale medewerkers over een mobiele telefoon/nummer van de provincie beschikken voor hun werk?
c. Heeft de provincie ook een bericht ontvangen van Odido over dit datalek?
d. Waren er gegevens van de provincie betrokken bij het datalek?
e. Wat heeft de provincie concreet allemaal ondernomen n.a.v. dit datalek bij Odido?
f. Is er een verwerkersovereenkomst afgesloten met Odido?
g. Zo ja, is deze overeenkomst actueel?
h. Zo nee, waarom niet?
i. Waar precies bewaart Odido de data?
2. Op 17 februari 2026 berichtte FD[2] wederom over het datalek bij Odido: "Odido bewaart klantgegevens langer dan afgesproken, blijkt na datalek".
a. Heeft de provincie een SLA afgesloten met Odido?
b. Zijn in de SLA afspraken opgenomen over bewaartermijnen van data?
c. Zo ja, wijken deze af van de bewaartermijnen zoals Odido die communiceert in zijn privacyverklaring[3]?
d. Nu blijkt dat Odido de eigen bewaartermijnen zeer ruim overschrijdt, wat gaat de provincie ondernemen t.a.v. deze leverancier?
e. Zijn er in de SLA ook afspraken opgenomen over de security maatregelen bij Odido en zijn onderaannemers?
f. Zo ja welke?
g. Hoe kijkt GS aan tegen de oorzaak van het datalek namelijk "Odido-hackers kwamen binnen via phishing, deden zich voor als ICT-afdeling."[4]
h. Beschikt Odido over ISO27001 certificering?
i. Indien nee, waarom heeft de provincie dan, gezien het eigen provinciale IT-securitybeleid dat deze certificering verplicht stelt, een overeenkomst met Odido?
j. Indien inderdaad blijkt dat Odido de AVG regels heeft overtreden, wat betekent dit voor de inkooprelatie tussen de provincie en Odido?
3.
a. Is de Brabantring inmiddels volledig operationeel?
b. Zo nee, waarom niet?
c. Verloopt de uitrol volgens de tijdpaden zoals geschetst in antwoord op onze technische vragen van 26 januari 2025?
d. Zo nee, waarom niet?
e. Welke noemenswaardige gebeurtenissen hebben er vanaf januari 2025 nog plaatsgevonden?
f. Is de nieuwe RvC geïnstalleerd en gestart?
g. Wat is de reden dat de gemeente Tilburg niet is toegetreden?
h. Is er al een evaluatiemoment bepaald?
i. Zo nee, waarom niet?
4. De PVV heeft diverse malen vragen gesteld over het provinciale verwerkingsregister, waarbij bleek dat dit niet actueel en volledig was.
a. Is het verwerkingsregister van de provincie inmiddels volledig en actueel?
b. Zo nee, waarom niet?
c. Wanneer is deze voor het laatst geactualiseerd?
d. Heeft de FG een controle uitgevoerd en/of gerapporteerd over het verwerkingsregister? Zo ja, wanneer?
e. Heeft de provincie inmiddels een eigen (in loondienst) vaste FG?
5. Het publieke algoritme-register op Overheid.nl[5] bevat 1362 algoritmes waarvan 58 van Provincies. Slechts 3 daarvan zijn van de Provincie Noord-Brabant.
Algoritmes zoals van Microsoft Copilot of ChatGTP worden veelvuldig genoemd in het register.
a. Gebruikt de Provincie Noord-Brabant Microsoft Copilot of ChatGTP?
b. Zo ja, waarom zijn deze provinciale algoritmes niet opgenomen in het register op Overheid.nl?
c. Heeft de Provincie Noord-Brabant een publiek toegankelijk eigen algoritme-register (bijvoorbeeld op de eigen website)?
d. Zo nee, waarom niet?
e. Zo ja, waar is dit te vinden?
f. Is dit compleet en actueel? Zo nee, waarom niet?
g. Heeft de Provincie Noord-Brabant een eigen niet-publiekelijk toegankelijk algoritme-register?
h. Zo nee, waarom niet?
i. Zo ja, onder wiens verantwoordelijkheid valt dit (portefeuille)?
j. Is dit compleet en actueel? Zo nee, waarom niet?
k. Heeft het college inzicht in de algoritmes van de deelnemingen van de provincie of samenwerkingsverbanden waarin de provincie deelneemt?
l. Zo nee, waarom niet?
m. Zo ja, op welke wijze worden deze voor het publiek ontsloten?
6. Op de website van de provincie is informatie te vinden over de Risicotaxatietool ondermijning bedrijventerreinen . Uitstekend dat de provincie criminaliteit op bedrijventerreinen[6] bestrijdt. Uit de stukken blijkt dat er sprake is van ontwikkelde algoritmes.
a. Zijn deze voor het publiek ontsloten?
b. Zo nee, waarom niet?
c. Zo ja, waar zijn deze te vinden?
7. Microsoft Copilot
a. Gebruiken medewerkers van de provincie Microsoft Copilot (op de provinciale computerapparatuur)?
b. Is het gebruik van Microsoft Copilot binnen de provinciale organisatie toegestaan? En zo ja, sinds wanneer?
c. Voor welke werkzaamheden is het gebruik wel en niet toegestaan?
d. Wat is de reden dat de provincie gebruik maakt van Microsoft Copilot?
e. Zijn er regels vastgesteld voor het gebruik van Microsoft Copilot binnen de provincie?
f. Worden er algoritmes gebruikt of gemaakt voor Microsoft Copilot?
g. Zo ja welke, en waar zijn deze publiek ontsloten?
h. Worden er privacygevoelige gegevens in Microsoft Copilot verwerkt?
i. Waar worden de betreffende Microsoft data opgeslagen?
j. Is er een verwerkersovereenkomst en een SLA m.b.t. Copilot?
k. Is er een DPIA opgesteld m.b.t. het gebruik van Microsoft Copilot?
l. Zo nee, waarom niet?
m. Wat hoopt GS te bereiken met het gebruik van Copilot?
8. De gemeente Eindhoven heeft onlangs ChatGPT (en andere AI-websites) geblokkeerd, toen bleek dat er bestanden met persoonsgegevens naar openbare AI-websites waren geüpload[7].
a. Gebruiken medewerkers van de provincie ChatGPT (op de provinciale computerapparatuur)?
b. Is het gebruik van ChatGPT binnen de provinciale organisatie toegestaan? En zo ja, sinds wanneer?
c. Voor welke werkzaamheden is het gebruik wel en niet toegestaan?
d. Wat is de reden dat de provincie gebruik maakt van ChatGPT?
e. Zijn er regels vastgesteld voor het gebruik van ChatGPT binnen de provincie?
f. Worden er algoritmes gebruikt of gemaakt voor ChatGPT?
g. Zo ja welke, en waar zijn deze ontsloten?
h. Worden er privacygevoelige gegevens in ChatGPT verwerkt?
i. Waar worden de betreffende ChatGPT data opgeslagen?
j. Is er een verwerkersovereenkomst en een SLA m.b.t. ChatGPT?
k. Is er een DPIA opgesteld m.b.t. het gebruik van ChatGPT?
l. Zo nee, waarom niet?
9.
a. Behalve Microsoft Copilot en ChatGPT, is er anderszins nog AI-software in gebruik binnen de provinciale organisatie?
b. Zo ja welke?
c. Zijn er DPIA's uitgevoerd vóór gebruik van deze tools?
d. Zijn er verwerkersovereenkomsten en SLA's overeengekomen voor deze tools?
10. Is er van alle algoritmes van de Provincie, deelnemingen of samenwerkingsverbanden waarbij sprake is of kan zijn van privacygevoelige gegevens, vóór gebruik een DPIA opgesteld? Zo nee, waarom niet?
11.
Volgens de uitvoeringsagenda Digitale Transformatie 2021-2022 zou in verschillende
Uitvoeringsagenda’s al een link met digitalisering en data gelegd zijn, en zou het college dit uitbouwen en uitwerken in ‘roadmaps’ die de ontwikkeling van data gedreven werken per programma beschrijven, waarin onder meer opgenomen wat men wanneer wil bereiken en hoe data gedreven werken binnen de programma's vorm en inhoud krijgt.
Waar zijn de betreffende roadmaps te vinden?
12. Volgens Binnenlands bestuur[8] is de provincie Noord-Brabant deelnemer in een samenwerkingsverband met 'de AI-bende': "De AI-bende: een avontuur van vijf provincies".
a. Welke AI-toepassingen heeft dit concreet opgeleverd, en welke zijn in gebruik bij de provincie?
b. Zijn er toepassingen waarbij (potentieel) privacygevoelige gegevens worden verwerkt? Zo ja, welke?
c. Zijn voor alle ontwikkelde en in gebruik zijnde toepassingen DPIA's uitgevoerd?
d. Zijn er algoritmes gemaakt, en zo ja, waar zijn deze publiek gemaakt?
13. Volgens de website over de Interbestuurlijke Datastrategie wordt gewerkt aan een 'federatief datastelsel'[9]
a. Welke datasets of gegevens levert de provincie aan dit stelsel?
b. Welke datasets of gegevens consumeert de provincie van dit stelsel?
c. Op welke wijze is gewaarborgd dat gebruik door de provincie van data met een andere eigenaar wel AVG-proof en volgens een door de AP geoorloofde grondslag geschiedt?
d. Op welke wijze is gewaarborgd dat provinciale (privacygevoelige) data enkel binnen de kaders van een geoorloofde verwerkingsgrondslag worden gebruikt door andere deelnemers?
e. Welke ethische afwegingen heeft de provincie voor de deelname aan het IBDS?
f. Welke procedurele kaders zijn er bij de provincie voor het delen en consumeren van data uit dit stelsel?
14.
Op haar website stelt Palantir Nederland1 "Onze klanten zijn onder meer grote beursgenoteerde ondernemingen en overheidsinstanties. Palantirs software wordt toegepast in meer dan 50 sectoren, bijvoorbeeld de zorg, automotive, finance en supply chain. In sommige landen helpen we ook de politie en andere overheidsinstanties die ervoor moeten zorgen dat wet- en regelgeving wordt nageleefd en de veiligheid van mensen wordt gewaarborgd."
a. Wordt Palantir door, voor of namens de Provincie Noord-Brabant gebruikt (al dan niet in of via samenwerkingsverbanden)?
b. Zo ja, kan het college een uitputtende lijst geven waarvoor Palantir voor, door of namens de Provincie precies wordt ingezet?
c. Zo nee, waarom niet?
d. Indien Palantir door de Provincie is of wordt gebruikt, is de aankoop hiervan aanbesteed? Zo nee, waarom niet?
Namens de PVV Noord-Brabant,
Patricia van der Kammen
[3] https://assets.odido.nl/x/e0ddb64757/01092025-privacy-statement.pdf
[5] https://algoritmes.overheid.nl/nl/algoritme?page=1
[7] https://www.binnenlandsbestuur.nl/digitaal/gemeente-eindhoven-blokkeert-chatgpt-na-datalek
[8] https://www.binnenlandsbestuur.nl/digitaal/verkiezingen/de-ai-bende-een-avontuur-van-vijf-provincies