10 Cybersecuritywet

Aan de orde zijn de regels ter implementatie van EU-richtlijn 2016/1148, de Cybersecuritywet. Ik moet er als voorzitter op toezien dat in deze zaal Nederlands en geen Engels wordt gesproken, maar ik geloof dat een van de leden, de heer Van Dam, daar ook al een oplossing voor heeft bedacht. Ik denk dus dat dit probleem zich gedurende het debat vanzelf gaat oplossen. Ik heet de minister van Justitie en Veiligheid van harte welkom, net als de leden en iedereen die meekijkt. Ik geef graag als eerste het woord aan mevrouw Buitenweg namens GroenLinks.

Hartelijk dank. Dan geef ik het woord aan de heer Alkaya namens de SP.

Hartelijk dank. Dan geef ik het woord aan de heer Van Dam namens het CDA.

Hartelijk dank. Dan geef ik het woord aan de heer Arno Rutte namens de VVD.

Hartelijk dank. Dan geef ik het woord aan de heer Verhoeven namens D66.

De heer Van Dam heeft een vraag voor u.

Ik hoor de heer Verhoeven over die zero-days praten. Volgens mij is dat onderwerp niet zozeer bij deze wet aan de orde, maar speelde het misschien meer een rol bij de Wet computercriminaliteit III. Dat hij het zo nadrukkelijk naar voren brengt, mag ik daaruit afleiden dat D66 een wellicht wat andere positie heeft ingenomen ten opzichte van dat onderwerp en dat ze dit met deze opmerking wil meegeven aan de minister?

Absoluut niet. Computercriminaliteit III, de wet waar de heer Van Dam het over heeft, gaat over de manier waarop de politie deze kwetsbaarheden gebruikt. Die wet is overigens in de Kamer behandeld. Dit is echter breder, want dit gaat over de AIVD en de MIVD. Die worden niet door de Wet computercriminaliteit III aangestuurd, om het zo maar te zeggen. Die worden aangestuurd door een andere wet, die wij overigens allen in deze Kamer aan de orde hebben gehad, de Wiv. Een heel interessante wet waarover u meer zou moeten weten, voorzitter. Dat even terzijde.

Nee, dit is niet om een inleiding te geven op een standpunt van D66. Dit is een vraag aan de minister over een dilemma dat los van deze twee wetten staat. Het is dus van belang om er een heldere aanpak voor te krijgen. Dat vraag ik dus aan de minister.

De heer Van Dam, ten slotte.

Kan de heer Verhoeven mij misschien nog even helpen? Welke rol vervullen die ethische hackers dan in het kader van deze wet ten aanzien van de meldplicht of überhaupt van dit soort bedrijven, want daar hebben we het vooral over in het kader van deze wet? Dat snap ik niet helemaal.

De verhouding tot deze wet is de volgende. Ethische hackers melden bepaalde kwetsbaarheden, bekend dan wel onbekend, aan bedrijven die daar vervolgens mee aan de slag moeten. Dat valt zeker binnen de strekking van deze wet, want die gaat ook over het melden van kwetsbaarheden. Als dat gebeurt, wordt de vondst van die ethische hackers, de onbekende kwetsbaarheid die zij hebben gevonden, zonder dat zij het zelf weten doorgespeeld aan de politie of de inlichtingen- of veiligheidsdiensten, terwijl dat niet de reden was waarom zij die aan het NCSC gemeld hebben. Op die ontwikkeling wil ik graag grip hebben. Ik wil dus graag van de minister weten hoe dat in z'n werk gaat. Ik zie dat de heer Van Dam nu ook wakker is geworden en dat hij ook ziet dat wij als Kamer wel degelijk heel goed op dit punt moeten letten. Ik ben dus blij dat hij die vraag nog even kon stellen.

Ik wil nog even naar de zorgsector, als dat mag, voorzitter. Bij de WannaCry-aanval — dat was de naam van de ransomwareaanval die zich deze zomer heeft voorgedaan en die natuurlijk redelijk zorgelijk is uitgepakt — zijn meerdere ziekenhuizen in Europa getroffen. We hebben daar met de vorige bewindspersonen ook over gesproken. Als gevolg van die aanval konden sommige mensen geen behandeling krijgen. In het Verenigd Koninkrijk konden sommige mensen zelfs geen chemokuur krijgen. De zorg lijkt me dus bij uitstek wel een vitale sector, letterlijk eigenlijk. De gegevens die zorgaanbieders hebben, zijn ook gevoelig. De systemen die ze gebruiken, bijvoorbeeld scanapparaten of medische apparatuur, zijn vaak van cruciaal belang voor patiënten. Daar komt dan nog eens de complexiteit bij dat die apparaten niet altijd snel vervangen of geüpdatet kunnen worden en dat dan dus extra risico oplevert. Daar hebben we het hier in de Kamer ook weleens over gehad. Maar in de zorgsector zijn geen AED's, aanbieders van essentiële diensten, aangewezen. Dat is wat D66 betreft toch merkwaardig. Wij willen dus graag van de minister weten waarom dat niet het geval is. Waarom heeft hij daar niet voor gekozen?

Gelukkig is er dit jaar al wel een Zorg-CERT, een cybersecurity emergency response team voor de zorg opgericht. Die organisatie moet snel kunnen inspelen op cyberaanvallen. Daar werken een aantal specialisten om zorginstellingen te helpen en wordt informatie gedeeld. Hoe staat het met de ontwikkeling van deze speciale CERT voor dat speciale team in de zorgsector? Zijn alle ziekenhuizen inmiddels aangesloten? Is de minister van mening dat er voldoende aandacht is voor cyberveiligheid in de zorg?

Hartelijk dank. Daarmee is een einde gekomen aan de eerste termijn van de Kamer. Heeft de minister behoefte aan een schorsing? Dat is het geval.

Ik geef het woord aan de minister.

De heer Alkaya heeft een vraag.

Met alle respect, maar dat vind ik een vrij dogmatische manier om ernaar te kijken. Het is staand beleid om per definitie altijd tegen nationale koppen te zijn, terwijl hier sprake is van minimumharmonisatie en er een motie ligt die past bij het kabinetsbeleid om dat soort wettelijke maatregelen voor apparaten te onderzoeken. Dat zou volgens mij kunnen door de reikwijdte van de wet op te rekken en daar niet alleen organisaties, maar ook fabrikanten van dit soort apparaten onder te laten vallen. Dat lijkt mij een vrij efficiënte en meer effectieve manier van werken dan het inzetten van een heel ander traject.

Ik vrees toch dat ik hier een iets andere kant op denk. Als we het hebben over het efficiënt tot stand brengen van deze wetgeving en overige regelgeving, lijkt het mij goed om deze implementatiewetgeving nu voor te leggen en tegelijkertijd de roadmap uit te leggen, samen met de bedrijven. Dat doet de staatssecretaris van Economische Zaken. Vervolgens kunnen wij bekijken — daar moeten wij het nog over hebben — hoe ver de verplichtingen van fabrikanten zich precies zouden moeten uitstrekken. Als wij dat debat nu met elkaar gaan voeren, zijn wij echt een aantal maanden verder. Dat is niet een dogmatische keuze in de trant van: zo doen wij het nu eenmaal altijd. De reden dat ik ernaar verwees dat dit vast kabinetsbeleid is, is omdat dat nou eenmaal de efficiënte manier is om met implementatiewetgeving door te komen. Ik heb vrij uitvoerig geschetst waar mijn collega Mona Keijzer mee aan de slag is. Daarmee komt zij bij de Kamer terug, dat weet u. Daar ligt ook die door het lid gewenste efficiency en voortgang op dit punt in besloten.

Ik kan de redenering van de minister in dit geval wel volgen, maar ik wil alleen afdingen op het feit dat dit kabinetsbeleid is. Naar ik meen gaan we binnenkort spreken over PNR, de passagiersgegevens, en daar zet het kabinet er toch een flinke kop op. Ik kan mij voorstellen dat u in dit geval vindt dat er reden is om een aantal zaken uit elkaar te halen, maar om te zeggen dat dit altijd vast kabinetsbeleid is ... Dat is toch vooral een beetje wanneer het u uitkomt. Dat mag, maar laten we dan niet zeggen dat dit de standaard is, want dat moet de standaard zijn.

Voor zover u verwijst naar PNR moet ik dat verwijt dat ik doe zoals het mij uitkomt, toch naast me neerleggen, maar ik wil dat zo hoffelijk mogelijk doen. We komen nog over PNR te spreken. Op enig moment is door de Raad van Ministers in Europa een ook aan uw Kamer destijds gemelde nadere afspraak gemaakt en daarover wordt nu gesproken. Dat is toch iets anders, juridisch gezien, dan een zuiver nationale kop.

U noemt dit voorbeeld, maar voor het overige is er het gebruik, niet als een soort oud-Hollandse traditie, maar omdat we moeten zorgen dat we efficiënt Europese regelgeving implementeren, dat we het in beginsel houden bij wat in de richtlijn staat. Hoezeer ik ook sympathiseer met de door de heer Alkaya naar voren gebrachte punten, laat dat duidelijk zijn, dat zou een te grote extra belasting voor het schip van deze implementatiewet worden. Nogmaals, ik heb gezegd dat het kabinet daar wel actief mee bezig is via de staatssecretaris EZ.

Mevrouw Buitenweg, ten slotte.

Inderdaad, we komen nog over PNR te spreken. Het gaat nu over implementatie van richtlijnen. In de richtlijn over PNR staat iets wat veel minimaler is dan wat het kabinet heeft afgesproken met zijn collega's. Dat laatste staat nergens in een wet, dus ik handhaaf de stelling dat het nu is zoals het de minister uitkomt. Ik kan mij ook goed voorstellen dat hij hiervoor kiest. Ik hoop hem bij PNR ertoe over te halen om ook dan voor een minimale implementatie te kiezen.

Ja, ik vind het heel goed dat we hier en daar ook al een blik vooruitwerpen op wat nog komt, maar ik blijf herhalen dat het door het lid Buitenweg gemaakte verwijt naar mijn oordeel echt niet terecht is.

Zal ik doorgaan, voorzitter?

Ja, natuurlijk.

Dan kwam ik op een aantal vragen over digitaledienstverleners. Ik zal deze Nederlandse term voor de Engelstalige afkorting DSP blijven hanteren. Hoe worden die digitaledienstverleners aangewezen? Ik heb er al op gewezen, zoals de heer Rutte ook overwoog, dat de staatssecretaris van Economische Zaken beziet hoe tijdig kan worden gecommuniceerd. Ik begrijp heel goed dat het lid Rutte zegt dat hij toch graag wil dat dit iets verder gaat. Ik zeg toe dat ik met de staatssecretaris hierover zal spreken, bij haar het belang van dit punt zal benadrukken en met haar zal bezien in hoeverre we die tijdige communicatie zo scherp en actief mogelijk kunnen maken.

De heer Rutte heeft hier nog een vraag over.

Ik heb niet heel veel vragen gesteld, maar deze wel. Het punt is dat al eerder in de schriftelijke ronde gevraagd is om concreet te maken wat er gaat gebeuren. Toen kwam als antwoord: wij denken aan, en er stonden een aantal opties; we zouden zus, we zouden zo et cetera. Nu zegt de minister dat hij zich er hard voor gaat maken en in een goed gesprek met de staatssecretaris gaat vertellen dat wij dit heel belangrijk vinden, om het een beetje samen te vatten. Kan hij nou waarborgen dat, als die wet straks is geïmplementeerd — dat is in principe over ongeveer iets meer dan een halfjaar — er geen onduidelijkheid is, dat iemand die onder die omschrijving valt, weet dat dit zo is, dat kan weten en niet hoeft te twijfelen omdat de communicatie op orde is?

Mag ik dan toch via u, voorzitter, voor de heer Rutte meteen even een vraag beantwoorden waarin ik hierop terugkom? Dat is namelijk de vraag: welke bedrijven zijn nu digitaledienstverleners? Digitaledienstverleners zijn de bedrijven die, uiteraard, in de digitaledienstverlening werkzaam zijn en waar 50 of meer personen werkzaam zijn of die een jaaromzet hebben van 10 miljoen of meer. Zij vallen onder de richtlijn. Ik herhaal nu een beetje wat ik heb gezegd. De staatssecretaris bekijkt hoe je dat kunt nagaan aan de hand van een checklist. Daarin zit een toetssteen: in hoeverre moet een onderneming die een digitale dienst aanbiedt, een online marktplaats bijvoorbeeld, als een digitaledienstverlener worden aangemerkt? Uiteraard moet ook in die communicatie zitten bij wie men terechtkan om dat te testen.

Hierbij speelt natuurlijk het volgende algemene punt. Er komt nieuwe wetgeving waarin gedefinieerd wordt welke partijen een verplichting hebben, de AED's of, in dit geval, de digitaledienstverleners. Daar wordt een definitie van gegeven. Terecht wijst de heer Rutte erop dat niet altijd iedere ondernemer precies even goed … Dat zou wel moeten, want eenieder wordt geacht de wet te kennen. Maar goed, dat schiet er weleens bij in. Vandaar dat we zo'n communicatiecampagne bekijken. Mijn toezegging ging iets verder dan dat ik mij hard zal maken voor een gesprek dat ik ga voeren met de staatssecretaris. Mijn toezegging is: ik ga met de staatssecretaris in gesprek om te kijken hoe we die communicatie en bewustwording bij bedrijven die volgens deze wet mogelijk digitaledienstverlener zijn, zo inrichten dat die bedrijven dat ook echt even goed bij elkaar checken.

In het verlengde daarvan is natuurlijk de vraag opgeworpen hoe het zou moeten zijn als zo'n bedrijf op enig moment een andere activiteit onderneemt. Nou ja, op het moment dat een bedrijf ervoor kiest om zijn bedrijfsvoering te wijzigen, bijvoorbeeld door activiteiten af te stoten en daardoor onder de omzetgrens te vallen, of juist door te acquireren en naar boven te vallen … Het is op een gegeven moment natuurlijk wel de verantwoordelijkheid voor een bedrijf om zelf te controleren of men nog wel of niet meer onder deze wet valt. Naarmate men in de professionele wereld meer met die wet bekend is, mag men natuurlijk ook worden geacht daar meer bewustzijn van te hebben. Ik hoop dat ik daarmee geantwoord heb.

Ik denk nog niet voldoende.

O, nou ja.

De minister legt het heel uitvoerig uit. Dat valt te prijzen en dat is ook goed. De dingen worden wat meer duidelijk, maar toch. De vraag is niet alleen of je door een bepaalde omvang onder de wet valt. Nee, de vraag is bijvoorbeeld ook: heb ik een digitale marktplaats, ja of nee? Er staan in de wet wel allerlei dingen omschreven. In het ene geval wel, in het andere geval niet. Soms een beetje, soms niet helemaal. Cloud computing diensten: idem dito. Ik kan mij voorstellen dat ondernemers daaraan twijfelen. Dus aan de ene kant hoor ik: we gaan de communicatie richting ondernemers in zijn algemeenheid op orde brengen. Nou, dat wil ik geloven. Maar kunnen ondernemers die twijfelen nu ook ergens terecht, zo van "ik doe dit, dit is mijn onderneming en ik wilde even zeker weten of ik aan de regels voldoe"?

Ik zei het net, maar ik wil dat toch nog echt even benadrukken. Natuurlijk moeten wij bij een soort mogelijkheid van een toetsingslijst ook de mogelijkheid betrekken — maar dat zal echt bij EZK liggen — om te kijken waar men terecht kan met dit soort vragen. In mijn jeugd heette dat Postbus 51, maar er moet inderdaad ook een soort loket zijn waar men met vragen terechtkan.

Voorzitter. Dan kom ik op de vraag hoe het CSIRT voor digitaledienstverleners wordt aangewezen, nu dat niet in de wet zelf gebeurt. Na de nota van wijziging bepaalt het wetsvoorstel dat het CSIRT voor digitaledienstverleners wordt aangewezen bij klein Koninklijk Besluit. Dat kan heel snel. Als zodanig zal een DTC worden aangewezen, een Digital Trust Center. De heer Verhoeven refereerde daar al aan. Dat is nu in oprichting en wordt een onderdeel van het ministerie van Economische Zaken.

Dan had ik nog wat vragen van de heer Van Dam over de deadline van de implementatie. Hij vroeg: wat zijn de consequenties als we de deadline niet halen? De NIB-richtlijn kent twee implementatietermijnen. De eerste is verstreken op 9 mei. Die datum geldt alleen voor het centrale contactpunt, voor digitaledienstverleners en voor de mogelijkheid van vrijwillige melding van incidenten. De tweede termijn verstrijkt op 9 november en we verwachten die te gaan halen. Nederland is niet de enige lidstaat die te laat is; wij zitten in de middenmoot. Op zichzelf is de Europese Commissie nu bevoegd om tegen Nederland een ingebrekestellingsprocedure te beginnen voor het niet halen van de datum van 9 mei, maar zo'n procedure neemt veel tijd in beslag, met veel tussenstappen. Ik heb goede hoop dat Nederland op tijd het been gaat bijtrekken, om nog een sportterm te gebruiken.

Dan is er gevraagd naar Kaspersky. Mevrouw Buitenweg heeft gevraagd hoe zo'n besluit tot stand komt. Zijn er bewijzen voor? Zijn er nog andere leveranciers die problemen kunnen veroorzaken? Welnu, ik wil vooropstellen dat we vanavond spreken over de Cybersecuritywet. Ik wil dus ook niet te veel ingaan op de Kasperskycasus. Ik heb uw Kamer daar een brief over gestuurd en het lijkt me zaak dat we die brief eventueel in een debat behandelen, want dit gaat ook veel meer over buitenlandse inmenging. Ik wil wel aangeven hoe we tot het besluit zijn gekomen en wat dat betekent. Een drietal factoren heeft voor dit besluit gezorgd. De eerste was dat de antivirussoftware van Kaspersky heel diep in de systemen zit. Dat heeft een risico in zich, want als er op enig moment vanuit een verplichte instructie van de Russische overheid mee gemanipuleerd wordt, kan dat heel diep in die systemen ernstige gevolgen hebben. De tweede is Russische regelgeving die bedrijven verplicht om mee te werken. De derde is dat de Russische overheid een offensief cyberprogramma heeft gericht op Nederland en Nederlandse belangen. Ik heb vorige week uiteengezet dat dat laatste is gebaseerd op inlichtingen van onze diensten. Zoals gezegd moeten we over de vraag hoe dit zich zou moeten verhouden tot bijvoorbeeld andere bedrijven of misschien zelfs wel andere landen, het debat aangaan naar aanleiding van de Kasperskybrief.

Ik constateer dat dit onderwerp maar zeer zijdelings aan de orde is, maar omdat de minister besloten heeft om er toch op in te gaan, wil ik mevrouw Buitenweg de mogelijkheid geven om hier één vraag over te stellen.

Dank u wel. Ik stel die vraag naar aanleiding van het feit dat een collega van de minister het nadrukkelijk naar vanavond en naar de minister verwees afgelopen middag. Vandaar dus dat ik het nu aan de kaak stel. Mag ik de minister vragen om een aanvullende brief, waarin hij beschrijft wat de eisen op dit gebied zijn en voor wie ze gelden? Want het raakt wel heel veel bedrijven, die ook in aanbestedingsprocedures zitten. Mogen zij bijvoorbeeld nog wel deze software gebruiken of niet? Hoe zit het nu precies in elkaar? Welke eisen stellen we om te zorgen voor voldoende veiligheid? Ik denk dat het in het belang van bedrijven is dat zij weten waar zij aan toe zijn en ik denk dat die duidelijkheid nu nog niet gegeven wordt door de overheid.

Ik vind het wat lastig om nu al over de vorige brief heen een brief toe te zeggen als we over die vorige brief nog niet echt met elkaar gedebatteerd hebben, mede omdat dit een onderwerp is dat maar een heel klein beetje aan dit debat raakt, wat de voorzitter onderschrijft, begrijp ik. Dat zeg ik niet om mevrouw Buitenweg weg te sturen of iets dergelijks, wat trouwens ook helemaal niet in mijn vermogen zou liggen. Ik wil alleen maar aangeven dat ik haar gevoelen deel dat het goed is dat we met elkaar spreken over deze problematiek, maar dat ik zou willen voorstellen om dat eerst te doen aan de hand van de aan uw Kamer geschreven brief. Vervolgens is het, aan de hand van wat er uit dat debat voortkomt, misschien nuttig om een aantal dingen nog eens nader uit te werken voor uw Kamer. De centrale term — en daar wil ik het verder bij laten — in dit soort zaken is natuurlijk "nationale veiligheid".

De heer Verhoeven heeft een vraag gesteld over de kwestie van onbekende kwetsbaarheden. Als onbekende kwetsbaarheden bij het NCSC worden gemeld, worden die dan door de dienst of de politie gebruikt? Welnu, ik benadruk dat bij het NCSC het verhelpen van een onbekende kwetsbaarheid vooropstaat.

Ook dit onderwerp is maar zeer zijdelings aan de orde, maar ik wil de heer Verhoeven toch graag de mogelijkheid geven om één vraag te stellen.

Het is niet zijdelings aan de orde, het is onderdeel van de schriftelijke beantwoording van de minister over deze wet. Het is absoluut niet zijdelings. Ik zal het wel kort houden, voorzitter, maar dat spreekt eigenlijk voor zich. Het staat voorop, ja dat weet ik, maar ik vroeg natuurlijk of de minister duidelijkheid kan bieden dan wel kan uitsluiten dat dat gebeurt.

Met te zeggen "het staat voorop" bied ik duidelijkheid. Ik denk dat de heer Verhoeven niet verbaasd kan zijn als ik zeg dat ik daarover geen uitsluiting ga geven. Het kan zijn dat er een situatie is waar het belang van de nationale veiligheid speelt, waar het NCSC mogelijkerwijs wel degelijk de diensten van informatie moet voorzien over een onbekende kwetsbaarheid. Dat is niet uit te sluiten. Door te zeggen, zoals ik begonnen ben, dat het verhelpen van de onbekende kwetsbaarheid vooropstaat, wil ik alleen heel duidelijk aangeven dat dat het uitgangspunt is. Dat is de regel, waarop heel soms een uitzondering mogelijk is, in het kader van die nationale veiligheid.

De heer Verhoeven tot slot.

Dit is absoluut duidelijker, en dank daarvoor. Sommige dingen sluit het kabinet wel uit, sommige dingen sluit het kabinet niet uit. Dit sluit het kabinet niet uit. Dat is helder. De minister laat ook weten waarom. Ik kom er in mijn tweede termijn nog wel even kort op terug. Ik wil de minister wel vragen hoe er, mocht het dan in die uitzonderlijke situatie gebeuren, wordt omgegaan met de ethische hacker in kwestie die de onbekende kwetsbaarheid heeft aangereikt bij het Nationaal Cyber Security Centrum.

Ik zit even te denken. Daar wil ik op mijn beurt ook even in tweede termijn iets over zeggen, als u dat goed vindt.

Dan komt de minister daar in tweede termijn op terug.

Ja, ik begrijp dat punt wel, maar daarover moeten wij elkaar even goed toespreken in de tweede termijn.

Mevrouw Buitenweg heeft gevraagd of drie meldingen bij een incident niet te veel van het goede zijn en of er niet één loket zou moeten zijn. Het klopt dat het bij bepaalde incidenten zo kan zijn dat een aanbieder dat bij drie verschillende instanties moet melden. Ik noem ze maar even. Bij het CSIRT, bij de bevoegde autoriteit en dan eventueel ook nog eens de AP, de Autoriteit Persoonsgegevens, als er persoonsgegevens in het geding zijn. Die drie instanties hebben nadrukkelijk onderscheiden taken die maken dat ze alle zo direct mogelijk melding moeten ontvangen van een ernstig incident. Het NCSC als het in dat geval het CSIRT is — al die afkortingen voor het publiek elke keer — om hulp te verlenen. Bij de bevoegde autoriteit moet je het melden vanwege de toezichtfunctie en bij de Autoriteit Persoonsgegevens voor die specifieke toezichthoudende taken op de persoonsgegevens.

Wij streven ernaar — mevrouw Buitenweg wees daar terecht op — om de lasten als gevolg van die meldplichten technisch zo in te richten dat het melden bij die instanties uiteindelijk maar één handeling zou vergen, want dat scheelt een enorm stuk voor iedereen. Vakdepartementen, toezichthouders en NCSC zijn daarover momenteel druk in overleg en zullen later dit jaar, als het goed is, tot een besluit komen. Daarnaast zal met de Autoriteit Persoonsgegevens worden bezien of op enig moment met zo weinig mogelijk extra lasten aan die meldplicht kan worden voldaan.

De heer Van Dam heeft een vraag gesteld over de administratieve lasten voor bedrijven als gevolg van de dubbele meldplicht. Naar verwachting zal de meldplicht in het wetsvoorstel dat nu nog "Cybersecuritywet" heet, niet leiden tot een groot aantal meldingen voor aanbieders van essentiële diensten en digitaledienstverleners — AED's en DDV's, zoals ik ze dan maar even noem — omdat alleen ernstige incidenten gemeld moeten worden. De inschatting, mede op basis van de in de huidige wet gemaakte inschattingen, is als volgt. Men verwacht per jaar bij de aanbieders van essentiële diensten maximaal tien tot twintig meldplichtige incidenten en bij digitaledienstverleners maximaal vijftien meldplichtige incidenten. De dubbele melding en de extra vervolghandelingen per incident zullen naar schatting gemiddeld 300 minuten betreffen. Voor aanbieders van essentiële diensten gaat het dan per incident om 40 minuten extra ten opzichte van de meldplicht bij het NCSC waaraan nu al moet worden voldaan. Voor de digitaledienstverleners, die nu nog niet onder de meldplicht vallen, bedragen nieuwe administratieve lasten per incident dus 300 minuten. Laten we even heel goed benadrukken dat we het dan wel over ernstige incidenten hebben. 300 minuten gedeeld door 60, dat is vijf uur. Dat is best veel tijd, maar een ernstig incident verdient wel die aandacht.

Zoals ik al heb gezegd in antwoord op een vraag van het lid Buitenweg, er wordt naar gestreefd om de meldplicht technisch zo in te richten dat het verspreiden van de benodigde informatie maar één handeling vergt om zo de administratieve lasten te reduceren.

Mevrouw Buitenweg heeft hier toch nog een vraag over.

U gaf ook een aantal uren aan. Wat is nu het aantal uren waarbinnen gemeld moet worden? Hier staat "zo snel mogelijk" terwijl er bijvoorbeeld bij de AVG een meldplicht van 72 uur is. Kan dat niet vergelijkbaar zijn?

Ik had ernaar verwezen dat nieuwe administratieve lasten per incident 300 minuten belopen. Dat is vijf uur. Sorry, ik dacht dat ik dat duidelijk heb gezegd, maar het kan zijn dat dat niet het geval was.

Kan ik dan sowieso de vraag stellen over de uren, de meldplicht en de tijd waarbinnen een melding moet zijn gedaan? Bij de AVG is dat 72 uur. Hier staat "zo snel mogelijk". Is het mogelijk om daar een gezamenlijke lijn in te trekken?

U wilt daar een lijn in trekken? Dan moet ik even nadenken, want er zijn wel wat wezenlijke verschillen. Dat komt nog aan de orde bij een aantal vragen over de AVG, die ik nog ga beantwoorden. Die pak ik er dan toch maar eventjes bij. Voorzitter, ik hoop dat u het goedvindt dat ik even naar die vraag spring. Mevrouw Buitenweg vroeg of de implementatie vergelijkbaar is met die van de AVG, de Algemene Verordening Gegevensbescherming. Dan zeg ik: nee, het wetsvoorstel is nauwelijks vergelijkbaar met de AVG. Die gaat over de bescherming van persoonsgegevens terwijl de NIB-richtlijn de lidstaten opdraagt om werk te maken van de beveiliging van ICT, die cruciaal is voor het goed functioneren van de samenleving. Dat zijn toch echt twee behoorlijk uit elkaar liggende activiteiten. Mevrouw Buitenweg vroeg of we dit nu ook zo snel mogelijk zouden kunnen invullen langs de lijn van 72 uur. Ik wil er even over nadenken hoe we dat zouden kunnen doen. Daar kom ik in tweede termijn nog even op terug.

De heer Verhoeven vroeg waarom er binnen de zorgsector geen aanbieders van essentiële diensten worden toegewezen. En hoe staat het met de oprichting van het Zorg-CERT? Om te beginnen, er zijn en worden uiteraard allerlei maatregelen genomen om de ICT in de zorg adequaat te beveiligen. Maar zorg is geen deel van de vitale infrastructuur, zoals gedefinieerd in de regelgeving. Er is grote diversiteit in aanbieders, en er is een mogelijkheid tot onderlinge vervangbaarheid in de zorgsector. Daarom worden er in die sector geen vitale aanbieders c.q. aanbieders van essentiële diensten aangewezen.

Dan het Zorg-CERT. Er is een sectorale CERT opgericht voor de gehele zorgsector. Dat is specifiek belast met monitoring, preventie en herstel van ICT-incidenten in de zorg. Voorts heeft het ministerie van VWS samen met de grote koepels in de sector een actieplan opgezet voor de verhoging van de veiligheid van patiëntgegevens. De minister voor Medische Zorg zal u daar periodiek over informeren.

De heer Alkaya heeft op dit punt een vraag voor u.

Het is niet mijn punt, maar het is wel een belangrijk punt. Begrijp ik het goed dat er op dit moment voor toekomstige ontwikkelingen in de zorg, met allerlei patiëntendata, waar we allemaal kritische vragen over hebben, geen verplichting in de wet staat om dat soort diensten goed te beveiligen?

We moeten het even goed zien. Ik heb uitgelegd dat de zorg geen deel uitmaakt van de vitale infrastructuur, zoals die onder de richtlijn is komen te vallen. Ik heb ook uitgelegd waarom dat zo is. Ik wil dat niet nog een keer herhalen, als u mij dat niet euvel duidt. Dat neemt niet weg dat er wel andere maatregelen zijn genomen om de ICT in de zorg adequaat te beveiligen; dat heb ik ook onderstreept. Maar daar gaat het vandaag niet zozeer over. Vandaag gaat het over de toelichting op deze wetgeving.

De heer Alkaya, ten slotte.

Uiteraard. Ik wil niet met de minister in een definitiekwestie komen over wat een vitale dienst is en wat niet. Volgens mij gaat het vandaag om de vraag: welke organisaties zouden volgens ons straks onder deze wet moeten vallen, of in ieder geval onder de wettelijke verplichting moeten vallen om hun systemen degelijk te beveiligen? Ik lees in de memorie van toelichting dat er niet is voorzien om zorginstellingen onder deze wet te laten vallen. D66 heeft daar terecht aandacht voor gevraagd. Dit staat los van de vraag wat een vitale dienst is, want het staat de minister vrij om alsnog te zeggen: voor deze sectoren vind ik het alsnog belangrijk dat zij systemen goed beveiligen, want zij werken met patiëntendata. Hoe kan de minister dan ... Of laat ik het anders vragen. Sluit de minister uit dat in de toekomst zorginstellingen altijd niet als AED zullen worden aangewezen? Of kunnen die volgens deze wet alsnog als AED, dus als vitale dienst, worden aangewezen, zodat zij ook hun beveiliging op orde moeten krijgen?

Ik wil daar meteen over zeggen dat ik niet iets per definitie ga uitsluiten. Er kan een toekomstige ontwikkeling in de zorgsector zijn die tot een zodanige situatie leidt dat zorginstellingen wel degelijk alsnog in deze wet zouden worden opgenomen. Dat kan ik niet uitsluiten. De toekomst is een beetje een glazen bol. Maar ik wil terug naar wat ik net uiteen heb gezet. Het is een optelsom van twee elementen. Het ene element — daar ben ik ook mee begonnen — is: let wel, er zijn allerlei andere maatregelen genomen om die beveiliging in de zorg adequaat te regelen. Het tweede element is dat deze regelgeving nou eenmaal een omschrijving geeft van wat vitale infrastructuur is, dus: wat moet volgens deze richtlijn nu precies onder deze regels vallen? Onder die definitie valt de zorgsector op dit moment niet. Die twee elementen tezamen vormen de uitleg van waarom zorginstellingen niet als aanbieders van essentiële diensten zijn aangewezen. Let u vooral op het eerste element. Daar moeten we het nu vandaag niet over hebben, maar in de zorg zijn er adequate andere maatregelen.

Voorzitter, dan wou ik naar de vraag van mevrouw Buitenweg over hoe ik mijn taak op het gebied van cybersecurity zie naar aanleiding van het nieuws van de afgelopen dagen over cybersecurity bij andere ministeries. Laat ik heel duidelijk zeggen dat ik het helemaal met u eens ben, mevrouw Buitenweg, dat de overheid het goede voorbeeld op het gebied van cybersecurity moet geven. Als minister ben ik coördinerend bewindspersoon, wat overigens niet wil zeggen dat ik de verantwoordelijkheid van anderen overneem. Ieder ministerie moet de eigen verantwoordelijkheid oppakken voor digitale beveiliging. Mijn collega van Binnenlandse Zaken heeft gisteren toegezegd met een brief te komen. Ik sta hierover in nauw contact met haar en zal vanuit de coördinerende rol kijken naar acties die binnen de overheid worden uitgezet.

Mevrouw Buitenweg vroeg of er klachten van bedrijven bekend zijn over summiere wetgeving. Mijn ministerie staat veelvuldig in contact met de vitale sectoren en met de digitaledienstverleners, juist ook over het nu voorliggende wetsvoorstel en de implementatie daarvan. Daarbij zijn mij, noch mijn medebewindspersonen, tot op heden grote klachten gebleken. Voor zover er nog onduidelijkheid mocht bestaan over de precieze inhoud, kan ik de Kamer meedelen dat momenteel door de betrokken bevoegde autoriteiten én mijn ministerie wordt bezien of en in hoeverre nog nadere regels in beleidsregels of richtsnoeren moeten worden vastgelegd.

Hoe gaat de minister rapporteren over de voortgang? In de Wet gegevensverwerking en meldplicht cybersecurity is aangegeven dat we drie jaar na inwerkingtreding van de NIB-richtlijn gaan evalueren. In de tussenliggende jaren zullen we uiteraard scherp kijken naar hoe het met de implementatie gaat. Bijzonderheden over de voortgang worden in de jaarlijkse voortgangsbrief over cybersecurity meegenomen om uw Kamer verder te informeren.

De heer Van Dam vroeg of er nulmetingen komen in elke sector voor het huidige beveiligingsniveau. Het sectorale toezicht is in ontwikkeling en wordt nader vormgegeven. Het is aan de vakministers om te bepalen of in hun sector zo'n nulmeting nodig of wenselijk is. Ik wil dat écht aan hen overlaten.

De heer Rutte had een interessant idee, zeg ik eerlijk. Hij vroeg of ik bereid ben om politievrijwilligers in te zetten tegen cybercrime. Bij de politie zijn thans vrijwilligers werkzaam. Ik heb half april op een vrijdagavond een werkbezoek gebracht aan politievrijwilligers. Welnu, ik kan u verzekeren dat het buitengewoon indrukwekkend is wat mensen zonder enige vergoeding in hun vrije tijd, naast hun gewone werk, bereid zijn te verrichten voor de politie. Er zijn ook mensen die te kennen hebben gegeven over cyberexpertise te beschikken, die ze meebrengen uit hun reguliere beroep of achtergrond. Op dit moment wordt onderzocht op welke wijze we die vrijwilligers op cyber kunnen inzetten. Daarbij spelen wel zaken een rol als het vereiste screeningsniveau, de verenigbaarheid met de reguliere baan en het mogelijk moeten volgen van aanvullende opleidingen. Ik wil hardop gezegd hebben dat ik dit idee van harte zeer steun. De politie gaat er structureel mee aan de slag om te kijken hoe dat kan worden opgepakt.

Heel veel dank voor deze toezegging van de minister. Is de minister ook bereid om even te kijken naar het Engelse programma waarin de politie echt een aanbod aan werkgevers doet en werkgevers een aanbod terugdoen? Ze noemen dit "Employer Supported Policing". Het is echt meebewegen: we geven vrije tijd en betalen die door, waardoor dit een beetje body kan krijgen. Dat zou heel mooi zijn. De bedrijven die ik sprak, zeiden: we wachten op dat aanbod van de politie en dan gaan we meebewegen.

Dat gaan we zeker meenemen. We moeten de plussen van ons eigen systeem op het gebied van politievrijwilligers erbij pakken, maar natuurlijk ook kijken naar hoe anderen om ons heen dat doen.

Mevrouw Buitenweg vroeg wat ik ga doen aan informatiebeveiliging bij ministeries, dit naar aanleiding van het Verantwoordingsdebat. Daar heb ik al op gereageerd.

Mevrouw Buitenweg vroeg of het zinvol zou zijn om zo'n coördinatiemechanisme op te zetten als in de AVG is voorzien, de zogeheten artikel 29-werkgroep. Ja, de NIB-richtlijn legt veel nadruk op samenwerking tussen de lidstaten. Zo is er inmiddels een samenwerkingsgroep actief waaraan alle lidstaten, de Europese Commissie en ENISA deelnemen. Dat is artikel 11 van de NIB-richtlijn. Die richtlijn verplicht de nationale instanties op allerlei plaatsen om elkaar op de hoogte te stellen. Zij moeten ook met elkaar informatie uitwisselen over incidenten, zeker als er sprake is van grensoverschrijdende gevolgen.

Ik heb zo, dacht ik, alle vragen beantwoord.

De heer Van Dam is het daar nog niet mee eens.

Waar ik de minister nog niet over heb gehoord, is mijn amendement. Ik kan mij voorstellen dat hij daar in de tweede termijn op terugkomt.

Ik heb het hier liggen en ik moet bekennen dat het natuurlijk jammer is dat de heer Verhoeven nu op het laatste moment toch nog een Engels woord gaat gebruiken.

Het komt niet in de Handelingen.

Dat vind ik nu weer een enorme opluchting. Ik wil onmiddellijk zeggen dat ik het oordeel over het amendement aan de Kamer laat. Dat klinkt wat erg lauw, maar ik wil wel zeggen dat ik het op prijs stel dat een lid van uw Kamer heeft gekeken naar hoe we deze wet een goede Nederlandstalige benaming geven. Dat is in dit geval zeker geen overbodige luxe, zoals mijn oude moeder zou zeggen, want cybersecurity, zo merken we, is toch een moeilijk bij het publiek door te laten dringen begrip. Met een zekere mate van enthousiasme laat ik het oordeel over het amendement aan de Kamer over.

Dank uw wel, minister. Er staat voor de tweede termijn nog een vraag open van de heer Verhoeven over ethische hackers en een van mevrouw Buitenweg over uren en minuten. Ik kijk even naar de Kamerleden of zij behoefte hebben aan een tweede termijn. Dat is het geval. Het woord is aan mevrouw Buitenweg voor haar tweede termijn.

Ik heb toch een vraag aan mevrouw Buitenweg. Uit de beantwoording van de minister heb ik begrepen dat er in Nederland jaarlijks vijftien meldingen van de ene en twintig van de andere categorie zijn. Vindt mevrouw Buitenweg het niet wat te veel van het goede om daarvoor in Europees verband een hele werkgroep, of wat dan ook, à la de AVG op te richten? De AVG is ook best wel een zwaar ingesteld fenomeen. Zou ze dat misschien nog wat nader kunnen toelichten want dat zou mij kunnen helpen bij mijn positiebepaling ten opzichte van haar motie?

Ik kan de heer Van Dam zeggen dat zo'n werkgroep er in feite al zit, alleen niet helemaal met dezelfde taak. Het gaat er nu vooral om dat zaken op elkaar worden afgestemd, terwijl ik het juist van belang vind dat er gezamenlijke afspraken worden gemaakt over hoe iets moet worden geïnterpreteerd, juist ook zodat er inderdaad een gelijk speelveld is. Het is dan niet alleen helder hoe de richtlijn in Nederland maar ook in Duitsland of Italië wordt geïmplementeerd. Het is dus niet zo dat er een hele groep nieuwe mensen bij elkaar moet worden gebracht, want die is er in feite al. Die groep krijgt een nieuwe taak en het is volgens mij dan ook een beperkte aanpassing.

Hartelijk dank. Dan geef ik het woord aan de heer Alkaya namens de SP.

Dank u wel. Dan geef ik het woord aan heer Arno Rutte namens de VVD. Nee, hij blijkt geen behoefte te hebben aan een tweede termijn. De heer Verhoeven namens D66 heeft dat wel. Dan is het woord aan hem.

Ook niet in het Duits overigens.

O, helaas. Nou, dan ben ik toch in overtreding geweest, voorzitter, excuus. Ik wilde dit eigenlijk als bruggetje gebruiken om aan te geven dat ik het amendement van de heer Van Dam over de naam van deze wet zal steunen. Dat is bij dezen dan ook gelijk helder.

Twee punten nog qua inhoud. Ik ga nog even kauwen op de motie van de heer Alkaya van de SP, versus, dan wel in het licht van, het antwoord van de minister met betrekking tot de zorgsector. Ik ben heel benieuwd naar het oordeel van de minister. Ik begrijp de motie van de heer Alkaya wel, maar ik moet even kijken of het antwoord van de minister voor ons voldoende geruststellend is. Ik zie wel in dat hij daarmee probeerde aan te geven dat er in de zorg wel degelijk een organisatie is om die vitaliteit voldoende te kunnen waarborgen.

Tot slot het punt van die zero-day. Ik zou daar nog even op terugkomen in tweede termijn. Dat is nu en ik doe dat toch maar gewoon via een motie. Ik dien een motie in waarmee ik de kabinetsuitzonderingen die de minister wil openhouden, niet gelijk afsluit, maar tegelijkertijd uitdruk dat ik het toch heel belangrijk vind dat het NCSC de taak voorop houdt waarvan de minister zegt dat die vooropstaat, namelijk het dichten en het helpen herstellen van onbekende fouten in software. Dat wil ik doen middels de volgende motie.

Ik heropen de vergadering en geef graag het woord aan de minister.

Ik vroeg het ook omdat de minister had gezegd te gaan kijken naar één loket in plaats van drie. Ik geef aan hem mee dat daarbij bekeken moet worden dat er verschillende uurlimieten zijn.

Laat ik zeggen: één technisch portaal dat tot multipele meldingen kan leiden. Zo zie ik dat. Het woord "loket" vind ik misschien iets te beperkend.

Mevrouw Buitenweg had ook gevraagd: waarom niet de mogelijkheid van een soort bindend oordeel op EU-niveau zoals bij de AVG? Welnu, zo'n mechanisme zit niet in de NIB-richtlijn. Dit wetsvoorstel beperkt zich tot de implementatie van die richtlijn. Wel gaan we in de EU intensief samenwerken, zoals ik heb gezegd.

Daarmee kom ik ook meteen bij de motie op stuk nr. 9 van mevrouw Buitenweg, die ik toch echt moet ontraden. Een EU-werkgroep vind ik op dit moment nog veel te zwaar. We moeten eerst kijken hoe de lidstaten allemaal aan de slag gaan met de verplichtingen van de NIB-richtlijn en vervolgens de noodzaak en de wijze waarop gaan bepalen.

Dan is er nog een tweetal andere moties. Allereerst de motie op stuk nr. 10 van de heer Alkaya. Even het volgende. Ik heb al toegelicht waarom zorg geen vitale infrastructuur is. Maar even voor alle duidelijkheid: dat is door de minister voor Medische Zorg aangegeven. Die heeft geoordeeld: het is niet vitaal. Het is primair zijn verantwoordelijkheid. Ik vind echt: als u daar inhoudelijk over wilt gaan debatteren, dan zou dat eigenlijk separaat met hem moeten. Daarnaast zeg ik: mocht blijken dat de vakminister zegt dat iets misschien toch wel vitale infrastructuur is, bijvoorbeeld na een discussie of een debat met uw Kamer, dan zal ik het geen probleem vinden om alsnog die aanwijzing te doen. Maar er zijn in de zorg, dat wil ik nog eens benadrukken, echt al heel veel waarborgen met betrekking tot ICT-beveiliging. Men moet op dat gebied voldoen aan allerlei NEN-richtlijnen die dat waarborgen. Dat heb ik steeds gezegd. Dat is een belangrijk punt, dat maakt dat er voor mij een borging is op het punt van de zorg. Ik ontraad de motie. En ik zou de heer Alkaya dus willen suggereren om daar eventueel het debat over aan te gaan met de minister voor Medische Zorg.

De minister voor Medische Zorg heeft dus aangegeven aan deze minister dat hij dat niet van vitaal belang acht. Ik vind de toelichting daarop die wij in de memorie van toelichting hebben gekregen niet afdoende. Volgens mij zouden de zorgaanbieders er wel onder moeten vallen. Zou ik de minister een plezier doen als wij op deze manier laten weten een schriftelijke toelichting van de minister voor Medische Zorg te verwachten waarin meer wordt toegelicht waarom de zorg niet onder deze wet zou moeten vallen? Dan kan ik mijn motie aanhouden en misschien dat ik me dan laat overtuigen. Het lijkt me sterk, maar ik vind dat het zoals het nu in de memorie van toelichting staat gewoon geen goed verhaal is.

Je moet nooit op recensies van je eigen werk ingaan, dus dat zal ik niet doen. Ik wil nog wel een keer benadrukken dat het geen vitale infrastructuur is, dixit ook de minister die daar echt over gaat en dat is die voor Medische Zorg. Het andere punt is, nogmaals, dat men al heel veel regels en richtlijnen heeft waaraan voldaan moet moet worden, waardoor er al een waarborging is. Dat heeft te maken met het specifieke karakter van die zorgsector. Ik heb in mijn eerste termijn gezegd dat als bijvoorbeeld een deel van één bepaald ziekenhuis uit zou vallen, vervanging heel goed direct mogelijk is. Dat is heel wat anders dan bij de bedrijven die echt tot de vitale infrastructuur worden gerekend. Hier wil ik het bij laten, want anders ga ik u vermoeien met herhalingen en dat moet ik niet doen.

Desalniettemin ben ik van mening dat bij zorgaanbieders de veiligheid op het gebied van internet en de cyberveiligheid echt op orde moeten zijn, hoewel ik misschien ook naar een ander ziekenhuis zou kunnen gaan als één ziekenhuis uitvalt. Toch wil ik dat mijn patiëntgegevens goed beveiligd worden. Daarom denk ik dat ik mij aan mijn eigen voorstel houd. Ik houd deze motie aan. Die motie zou in principe nog in stemming gebracht kunnen worden tot november, als wij de Algemene Maatregel van Bestuur verwachten. In de tussentijd zou ik dan de voorzitter willen vragen om op deze manier een verzoek bij de minister voor Medische Zorg neer te leggen om deze commissie nadere informatie toe te sturen over waarom zorg niet onder deze wet zou moeten vallen, dus niet als vitale dienst aangewezen zou moeten worden in de algemene maatregel van bestuur.

Ik wil de heer Alkaya adviseren om dat dinsdag bij de regeling te vragen en dan constateer ik dat hij vooralsnog zijn motie aanhoudt.

Op verzoek van de heer Alkaya stel ik voor zijn motie (34883, nr. 10) aan te houden.

Daartoe wordt besloten.

Het gaat om een specifiek verzoek aan een andere minister dan deze minister. We kunnen vragen aan deze minister of hij bereid is om dat te vragen aan de minister van Volksgezondheid. Als de minister dat toezegt, is dat in orde. Als de minister daar niet toe bereid is, zal de heer Alkaya dat volgende week bij de regeling aan de minister van Volksgezondheid moeten vragen.

De minister voor Medische Zorg.

De minister voor Medische Zorg.

Ik ga dat verzoek niet doorgeven en daar heb ik ook echt een beetje een principepunt in. De heer Alkaya gaat niet in op het door mij echt nou al diverse keren herhaalde punt dat echt belangrijk is, los van het punt dat de zorg niet kwalificeert voor vitale infrastructuur. Dat is overigens iets anders dan dat wij zorg, goede zorg, niet heel belangrijk vinden en dat wij de veiligheid van patiëntgegevens niet heel belangrijk vinden. Het gaat erom dat — op dat punt is niet ingegaan — de zorg heel goed zijn eigen beveiligingsregelingen heeft. Als een motie wordt aangehouden, is het niet aan mij om daar verder nog een oordeel over te geven. Een eventuele brief van de collega daar ga ik niet over. Ik heb uiteengezet dat hij het in ieder geval niet heeft gekwalificeerd. Daar wou ik het bij laten.

Voorzitter, dan wou ik naar de derde en laatste motie.

Meneer Alkaya, ten slotte.

Het spijt me voor de minister dat hij mij niet heeft kunnen overtuigen, maar ik zal dan via de regeling het verzoek om een nadere toelichting doen aan de minister voor Medische Zorg.

Dank je wel.

Nou ja, ik had nou juist graag hier de inhoudelijke discussie gevoerd over die vraag. Ik heb gezegd: de zorg heeft die beveiliging. Als we daar niet over discussiëren, vind ik dat ook bijzonder jammer, maar dan moet dat op een andere manier.

Ik kom ten slotte op een motie van de heer Verhoeven over de onbekende kwetsbaarheden. Laat ik zeggen dat ik die motie oordeel Kamer kan laten als ik haar zo mag uitleggen dat er nog altijd een uitzondering is in die situaties waarin er naar het oordeel van het NCSC sprake is van een belang van nationale veiligheid. Dat is eigenlijk wat ik in eerste termijn ook gezegd heb. Als we het daarover eens zijn, laat ik de motie aan het oordeel van de Kamer.

Ik denk dat ik het met de minister eens ben. Die uitzondering om het aan de diensten te geven mag wat mij betreft overeind blijven, maar ik zou het prettig vinden als het NCSC het ook laat weten aan het bedrijf dat de software maakt. En dat past volgens mij precies binnen de systematiek die gebruikelijk is, namelijk dat je aan de ene kant de kans krijgt om een kwetsbaarheid te herstellen, en aan de andere kant, in het geval waarin het écht nodig is, die kwetsbaarheid ook aan een ander geeft, maar hij moet óók gemeld worden aan de maker van de software.

Ik heb in de eerste termijn aangegeven dat er uitzonderingssituaties denkbaar zijn waarin dat toch niet kan, op grond van de nationale veiligheid. Als ik dat kan lezen in de motie, dan kan ik haar oordeel Kamer laten.

De heer Van Dam heeft daar ineens een vraag over.

Voorzitter, ik besef dat ik in debat ben met de minister, maar ik hoop via wellicht drie U-bochten toch ook bij de heer Verhoeven uit te komen. Laat ik het zo zeggen: als de minister oordeel Kamer geeft, dan zou ik het, gelet op toch het enorm gevoelige element dat hier kan spelen, wel op prijs stellen als er een motie op papier staat waar we niet dingen in hoeven te lezen, maar waar de dingen gewoon in staan. Ik zou het dus enorm op prijs stellen als dan de tekst van de motie wordt aangepast, om op dat vlak werkelijk iedere twijfel weg te nemen. Dat zou het mij met dat "oordeel Kamer" wel een stuk makkelijker maken.

We gaan niet via de minister en de voorzitter met elkaar debatteren, maar ik wil toch de heer Verhoeven de mogelijkheid geven om hierop te reageren.

Ja. Ik snap het punt van de minister. Hij zegt: er zijn situaties waarbij de nationale veiligheid in het geding is waardoor wij onbekende kwetsbaarheden graag gemeld zien door het NCSC aan de diensten. Dat zie ik ...

En zelfs situaties waarin er aan de diensten wordt gemeld en het in uitzonderlijke gevallen op dat moment niet wordt gemeld aan de maker.

Dat laatste komt niet overeen met mijn motie. Ik vind een aanpassing van de motie dan te veel het gebied in duiken waar ik nou juist helderheid over wilde verschaffen. Ik zou mijn motie dus níét uitgelegd willen zien zoals de minister haar uitlegt.

Oké.

Dus dan zal de minister haar ...

Dan moet ik haar ontraden om redenen die ik uiteen heb gezet. De heer Verhoeven en ik hebben genoeg in dit debat gehoord om te weten waar het over gaat.

Mijnheer Verhoeven, helemaal tot slot.

Ja, en ik wil dus benadrukken dat mijn motie níét behelst het niet mogen gebruiken van die onbekende kwetsbaarheid, maar ik wil dat er tegelijkertijd een situatie ontstaat waarbij het bedrijf aan de slag kan met die onbekende kwetsbaarheid. Dan zijn er volgens mij dus twee trajecten tegelijkertijd. Maar het is nooit een traject waarbij het bedrijf dat de software gemaakt heeft niet geïnformeerd wordt ten faveure van de diensten. Dat is wat ik wil uitsluiten. Dat is een andere lezing dan die van de minister, dus dan moeten we het inderdaad helder houden, zoals de heer Van Dam heeft verzocht. Dan is de minister degene die de motie ontraadt.

Dat station waren we inderdaad al gepasseerd en dat is helder. Ik had u die lezing aangeboden. Het is niet zozeer mijn lezing als wel de vraag: kunnen we de motie zo begrijpen? Voorzitter, ik motiveer nog even waarom ik deze motie ontraad. Ik ontraad haar omdat er situaties kúnnen zijn waarin ... Nee, laat ik even het volgende zeggen. Deze motie is zo algemeen geformuleerd dat überhaupt de algemene uitzondering dat er een situatie kan zijn dat men aan de diensten wil melden, niet helder in de motie is opgenomen. Daarnaast sluit de motie, begrijp ik nu uit de toelichting, helemaal de situatie uit dat besloten wordt, om redenen van nationale veiligheid, de maker van de software in uitzonderingsgevallen niet die onbekende kwetsbaarheid te melden. Dat maakt dat ik de motie moet ontraden, met klem moet ontraden.

Voorzitter. Ik ben daarmee aan het eind gekomen.

Ik dank de minister. Daarmee is er een eind gekomen aan dit debat.

Ik stel voor dat we dinsdag gaan stemmen over de wet, het amendement en beide moties. De minister hartelijk dank, de deelnemers hartelijk dank, de kijkers hartelijk dank. Ik wens iedereen een goede en veilige reis naar huis.