3 Privacylek in de systemen van de GGD

Ik heet iedereen — de woordvoerders, maar ook de minister van Volksgezondheid, Welzijn en Sport en de minister voor Rechtsbescherming — van harte welkom. Aan de orde is het debat over het privacylek in het systeem van de GGD. Ik geef de heer Verhoeven als eerste spreker het woord, maar ik zie de heer Azarkan.

Voorzitter, een punt van orde. We vragen regelmatig om op tijd de informatie te krijgen, zodat we een goed debat kunnen voeren met elkaar. Ik constateer dat we gisteren een paar minuten voor tien in de avond de brief van vele kantjes hebben ontvangen op basis waarvan we vandaag het debat moeten voeren. Ik vind dat echt te laat.

U heeft uw punt gemaakt, volgens mij mede namens heel veel Kamerleden. Klopt dat? Ja, dat is het geval. Dan is die boodschap ook overgebracht. Dank u wel. Dan geef ik nu het woord aan de heer Verhoeven namens D66.

Dank u wel. Dan geef ik nu het woord aan de heer Hijink namens de SP.

Ja, bij sommigen doe ik dat preventief. Gaat uw gang.

Voorzitter. Kunnen mensen erop vertrouwen dat hun gegevens in de teststraat veilig zijn? Kunnen zij daarop vertrouwen? Die vraag staat wat de SP betreft vandaag centraal. Als mensen de teststraat gaan mijden omdat zij vrezen dat hun bsn-nummer op straat komt te liggen, hebben wij een groot probleem met de aanpak van het coronavirus en raken wij het zicht op het virus kwijt. De diefstal van gegevens is heel heftig en ik denk dat door velen toch nog wordt ontkend dat als jouw data op straat liggen, criminelen daar hele nare dingen mee kunnen doen. Van de week was dit tijdens een uitzending van Pointer nog weer eens te zien. Als mensen heel veel gegevens hebben, kunnen ze heel gericht proberen om jouw portemonnee leeg te plukken. Dat moeten we koste wat het kost voorkomen. Nu is er vorig jaar door de GGD met stoom en kokend water een nieuw systeem opgetuigd en zijn systemen aangepast om het bron- en contactonderzoek te kunnen doen en om het testbeleid snel te kunnen opschalen. Wij hebben best heel veel begrip voor de snelheid waarmee dat heeft moeten gebeuren. We hebben ook heel veel respect en waardering voor alle mensen die bij de GGD dit belangrijke werk doen. Dat moet ook gezegd blijven worden. Maar, als dingen zo misgaan, mag dat niet worden weggemoffeld. Dat is wel wat er vorige week in het vragenuurtje is gebeurd. Als er dingen misgaan, omdat het met heel veel spoed heeft moeten gebeuren, erken dan het probleem, pak het probleem aan en leg hier verantwoording af, maar houd hier geen onzinverhalen.

De problemen die er met de ICT-systemen bij de GGD speelden, waren al vanaf de zomer bekend. Medewerkers hebben het gemeld. Nieuwsuur had in september al een hele rapportage over het grote aantal mensen dat toegang had tot data. Waarom is er al die maanden niks gedaan om dit probleem op te lossen, vraag ik de minister. Wat was zijn eigen rol daarin? Wat was de rol van het ministerie? Hoe kan het dat als hij de opdrachtgever is van deze systemen, hij heeft toegekeken hoe het een halfjaar, drie kwart jaar mis heeft kunnen gaan?

Een belangrijke vraag is nu hoeveel data er eigenlijk is gestolen? Hoe groot is het lek? Daar zegt de minister nog niks over. Maar het is natuurlijk wel belangrijk. Gaat het om duizenden mensen, gaat het om honderdduizenden mensen of gaat het zelfs om data van miljoenen mensen? Wanneer krijgen we daar meer van te horen? Nog belangrijker, wanneer krijgen mensen zelf te horen dat hun data mogelijk in criminele handen zijn?

Voorzitter. Dan het vragenuurtje van vorige week. De minister heeft daar met heel veel bravoure een hoop onzin verteld. Dat kan wat de SP betreft niet door de beugel. Mijn vraag aan de minister: was hij nou gewoon niet op de hoogte van de ernst van het probleem of dacht hij met heel veel bravoure het probleem wel te kunnen bagatelliseren? Ik weet eerlijk gezegd niet wat erger is. Hij sprak over screenshots die zouden worden gedeeld met criminelen, maar het gaat om grootschalige diefstal van grote bestanden. Hij noemde veel lagere aantallen van medewerkers die toegang hadden tot de data en nu blijkt dat veel meer mensen toegang hadden tot die data. Vervolgens sluit de minister af met "tja, zo werkt het jongens", alsof de Kamer gek is en deze minister alles onder controle heeft, wat overduidelijk niet aan de hand is.

Voorzitter. Het valt de SP op dat deze minister heel gretig is met het claimen van succes, maar heel veel moeite heeft met het erkennen en aanpakken van de grote problemen waar we voor staan. Een van de oplossingen waar wij als SP naar zoeken, is het voorkomen van dit soort grote datalekken. We moeten dit echt zien te voorkomen. Dat kan bijvoorbeeld door de Autoriteit Persoonsgegevens nu eindelijk de middelen te geven om proactief aan de slag te gaan om lekken op te sporen. Daar is onlangs een briefing over geweest. En wat blijkt? Hoeveel mensen zijn er beschikbaar bij de Autoriteit Persoonsgegevens om proactief naar datalekken te speuren? Dat is welgeteld 0,2 fte. Er is dus iedere week één iemand bij de Autoriteit Persoonsgegevens één dag in de week bezig met het opsporen van datalekken. Vinden we het dan gek dat we er zo veel hebben en dat we altijd te laat zijn?

Voorzitter, ik wil van het kabinet horen waarom het van de privacywaakhond een spitsmuis maakt. Waarom krijgen zij niet het geld en de middelen om hun werk fatsoenlijk te kunnen doen? Is het enorme datalek waarover wij nu spreken niet de zoveelste reden om eindelijk te gaan investeren in de Autoriteit Persoonsgegevens, zodat die haar werk kan waarmaken en niet voor een dubbeltje op de eerste rij moet zitten?

Dank u wel.

Dank u wel, meneer Hijink. Dan geef ik nu het woord aan de heer Azarkan namens DENK.

Ik zie dat mevrouw Van den Berg wil interrumperen, maar ik begrijp dat zij nog even wil wachten met haar interruptie. Misschien is het ook goed om het over de minister te hebben.

Zeker. Als ik het over Hugo de Jonge heb, dan spreek ik over de minister, voorzitter.

Ja, maar hij zit in een functie. Dat probeer ik u mee te geven. Gaat u verder.

De minister kan met veel woorden en overtuiging onzin vertellen. Dat deed hij over het testen, dat deed hij over het bron- en contactonderzoek, dat deed hij over de corona-app, dat doet hij over de vaccinatiestrategie en nu ook over de bescherming van gegevens van burgers. En wat is het volgende? Wanneer komt er weer een lijk uit de kast van Hugo? En hoe groot is die kast eigenlijk? Nederland verdient beter leiderschap. Nederland verdient een betere aanpak van de corona. Nederland verdient een minister die pal staat voor de privacy.

Ik wil de heer Azarkan toch een paar feiten voorleggen. Hij legt allerlei dingen bij minister De Jonge neer die volgens mij op een ander bureau thuishoren. Eerst hebben wij de app gehad. Als er één ding is wat er met de appontwikkeling is gebeurd, dan is het dat de Autoriteit Persoonsgegevens aan het begin van het proces daarbij betrokken is geweest. Op basis van haar advies zijn er ook nog allerlei aanpassingen geweest. Dus dat is, denk ik, alleen maar een compliment voor de minister.

Dan zou ik eigenlijk aan de heer Azarkan willen vragen: moet hij zijn vragen niet richten aan de minister voor Rechtsbescherming? De GGD valt immers niet onder het ministerie van VWS, de Autoriteit Persoonsgegevens valt wel onder de verantwoordelijkheid van de minister voor Rechtsbescherming. Daar zou ik graag even een reactie op willen hebben.

Tegen mevrouw Van den Berg van het CDA zou ik willen zeggen: hou eens op! Hou eens op! Er zijn 6,5 miljoen burgers die het gevaar lopen om opgelicht te worden. En dan gaan wij hier een debat voeren over de vraag bij wie wij daarvoor precies moeten zijn. Wij hebben hier te maken met twee ministers. Wij hebben hier te maken met de minister die de corona-aanpak coördineert. Daar bevragen wij hem op. Het maakt die burgers toch niet uit of de GGD dat uitvoert of niet? In de brief — ik heb die goed doorgelezen — staat heel goed hoe het kan. Ineens, nu dit datalek is gebleken, kan de minister van alles op korte termijn regelen. Er staan vier aanpakken in de brief. Die zijn prima. Het enige is dat hij dat in april vorig jaar had moeten doen. Dan hadden die burgers nu niet thuis hoeven zweten en zich moeten afvragen: wanneer krijg ik een verzoek via phishing; wanneer wordt mij gevraagd om iets te betalen zonder dat ik het weet? Dus ik begrijp niet welke kant mevrouw Van den Berg op wil. Moet ik nu complimenten gaan uitdelen voor het feit dat hier data van burgers zijn gelekt, of dat het met de corona-app goed is gegaan?

Laten we vooropstellen dat het CDA niets wil afdoen aan de ernst van alles wat er gebeurt. Dat wil ik even heel duidelijk maken. Maar waar ik het wel over wil hebben, is ten eerste dat de heer Azarkan sommige feiten niet correct noemt. Die wil ik graag even herstellen. En ten tweede: als je kijkt hoe je dit structureel op een andere manier kunt organiseren, dan is het ook goed dat de heer Azarkan kijkt wat de rol is van deze minister en wat de rol is van andere onderdelen. Moeten wij het daar dan als Kamer misschien over hebben?

Degene die de zaken en de feiten niet op orde heeft, is uw minister. Dat is Hugo de Jonge. Die heeft hier zaken staan vertellen tegen de Kamer waar mensen in de samenleving en experts zich enorm aan gestoord hebben. Hij heeft gewoon onzin staan te verkondigen. Hij heeft staan vertellen dat de vog-verklaring voldoende was. Nu blijkt in de praktijk dat je die zes werken kon werken binnen de GGD en bij die gegevens kon, zonder vog. De minister geeft aan dat er gestructureerd, langdurig permanent onderzoek is. Dat was niet zo. Déze minister heeft de feiten niet op orde. U zou zich daarop moeten richten en niet op mij.

Goed. Dank u wel. En de minister zit hier in zijn functie als minister namens de Kroon en niet als persoon.

Dan geef ik nu het woord aan mevrouw Van Brenk, namens 50PLUS.

Dank u wel. Dan geef ik nu het woord aan mevrouw Kröger namens de fractie van GroenLinks.

Dank u wel. Dan geef ik nu het woord aan mevrouw Van Esch namens de Partij voor de Dieren.

Dank u wel, mevrouw Van Esch. Dan geef ik nu het woord aan mevrouw Kuiken namens de PvdA.

Dank u wel. Dan geef ik nu het woord aan de heer Veldman namens de VVD.

Dank u wel. De heer Hijink.

Ik heb de heer Veldman niet gehoord over hoe we ervoor kunnen zorgen dat we dit soort fouten, dit soort datalekken, dit soort hacks, dit soort diefstal kunnen voorkomen. Een van de manieren om dat te doen, is om de Autoriteit Persoonsgegevens veel meer mogelijkheden te geven om dit preventief aan te kunnen pakken. Bij de AP is er iedere week één iemand die één dag preventief op zoek kan naar datalekken. Dat heb ik net ook verteld. Ik zou aan de VVD willen vragen of ze dat acceptabel vinden. Vindt de heer Veldman ook niet dat als je dit soort problemen wilt voorkomen, je dan veel beter moet investeren in de Autoriteit Persoonsgegevens?

Ik ben het met de heer Hijink eens dat je met elkaar goed moet kijken wat de omvang en de structuur van de Autoriteit Persoonsgegevens moeten zijn om datgene te doen waarvoor zij ook zijn opgericht. Maar daar zeg ik graag bij dat de Autoriteit Persoonsgegevens niet is opgericht om eigenaar te worden of te zijn van systemen waarmee gewerkt wordt. Het is niet de autoriteit die eigenaar is van systemen waar fouten in zitten. Het is in dit geval de GGD die eigenaar is van die systemen. Dus het is ook aan de GGD om ervoor te zorgen dat er geen mogelijkheid is voor het lekken van data, dat er geen mogelijkheid is om uit die systemen op niet geautoriseerde wijze gegevens te verkrijgen en die te verhandelen.

Dit is een hele rare redenering. Dat zou betekenen dat we ook geen politie nodig hebben, omdat de heer Veldman eigenaar is van zijn eigen auto en dus zelf bepaalt of hij wel of niet te hard rijdt. Je hebt een waakhond om op zoek te gaan naar kwetsbaarheden, naar fouten, om dan vervolgens vroegtijdig in te grijpen, zodat de data van miljoenen mensen niet op straat belanden. Dat is de reden dat je een waakhond hebt. Alleen deze waakhond kan amper blaffen. Die heeft niet eens tijd om te blaffen, want er is maar één iemand die één dag in de week daarnaar op zoek mag. Voor heel Nederland! Dat is toch bizar weinig! Ik vraag de heer Veldman niet wie de eigenaar van het probleem is, maar wie als waakhond moet optreden en of die voldoende middelen heeft om dat ook te doen.

De autoriteit is die waakhond, net zo goed als de politie een waakhond is in gevallen waarbij dingen fysiek gestolen worden. Dat wil nog niet zeggen dat we oneindig veel politiecapaciteit moeten hebben om ervoor te zorgen dat mijn auto niet gestolen wordt als ik die hierbuiten met draaiende motor parkeer. Dan heb ik ook zelf een verantwoordelijkheid om ervoor te zorgen dat als ik niet in de buurt van mijn auto ben, mijn auto op slot is, dat de dief er niet zomaar in kan. En ja, als die gestolen is, dan hebben we de politie om ervoor te zorgen dat de dader wordt opgespoord. Maar dat is iets anders dan wanneer de politie aan de voorkant naast mijn auto gaat staan om ervoor te zorgen dat die niet gestolen wordt.

Voorzitter. Ik stel toch net een simpele vraag …

En dat geldt ook voor de Autoriteit Persoonsgegevens.

De heer Hijink.

Ik stel toch een hele simpele vraag. Is één persoon die één dag in de week beschikbaar is bij de Autoriteit Persoonsgegevens om datalekken op te sporen, voldoende in de ogen van de VVD? Of vindt de VVD het eigenlijk ook wel een blamage dat dat maar zo weinig is?

Volgens mij kunnen en de heer Hijink en ik op basis van de rekensom die de heer Hijink maakt, niet beoordelen of dat nou wel of niet voldoende is. Daarom zei ik net al: ja, ik ben het met de heer Hijink eens dat we met elkaar moeten kijken wat qua uitvoeringscapaciteit bij de Autoriteit Persoonsgegevens nodig is om hun rol op een goede manier waar te maken. De heer Hijink trekt de conclusie om bij voorbaat te zeggen: dat moet meer, want ze hebben een verantwoordelijkheid voor de datalekken. Nee, het is niet de Autoriteit Persoonsgegevens die de verantwoordelijkheid heeft voor de datalekken. Degene die eigenaar is van het systeem, heeft de verantwoordelijkheid om ervoor te zorgen dat zijn systeem waterdicht is.

Echt tot slot op dit punt, want anders wordt het een herhaling.

Dit is niet mijn opvatting. Er ligt een uitgebreide analyse over de Autoriteit Persoonsgegevens dat er een chronisch tekort is aan mensen en dat een verdubbeling van het aantal fte's nodig is om überhaupt fatsoenlijk hun normale taken, zoals het opsporen van datalekken, te kunnen uitvoeren. Dat is niet mijn opvatting. Extern onderzoek heeft dat aangetoond. En dan heb je het dus over een bedrag dat richting de 62 miljoen euro gaat, dat nodig zou zijn om alleen al het werk te doen voor de taken die ze nu hebben. En dat geld is er gewoon niet, omdat de VVD en ook het CDA dat telkens blokkeren. Een groot deel van de Kamer wil dat dat geld er wel komt, juist om dit soort grote problemen te voorkomen. Maar u hebt dat iedere keer tegengehouden. En nu zit er dus maar één iemand, één dag in de week.

Dat heeft u duidelijk gemaakt, meneer Hijink.

Voorzitter. Volgens mij is het een herhaling van zetten. Ik heb net al gezegd dat ik graag bereid ben om met de heer Hijink te kijken wat er in de volle breedte van de Autoriteit Persoonsgegevens nodig is. Dat maakt nog niet dat de autoriteit de verantwoordelijkheid heeft voor het dichten van lekken. Het dichten van lekken is een verantwoordelijkheid van de eigenaar van het systeem.

Ik vind dit betoog van collega Veldman van de VVD tenenkrommend. Dat vindt mijn collega Hijink waarschijnlijk ook. Op papier hebben we iets ingericht. We hebben namelijk een instituut, een autoriteit. De praktijk is dat die autoriteit zegt: we hebben totaal geen capaciteit om dit te doen. We hebben hier vorige week een hoorzitting gehad over de toeslagenaffaire. Het heeft een jaar en twee maanden geduurd voordat de Autoriteit Persoonsgegevens met haar rapportage kwam, waaruit bleek dat Nederlanders gediscrimineerd waren, dat er verkeerd was gewerkt en dat de AVG op tal van punten was overtreden. Een van die hartenkreten van de Autoriteit Persoonsgegevens is: geef ons alsjeblieft iets meer mankracht. Ik vraag het nogmaals, net zoals collega Hijink van de SP. Zou het in het veranderende tijdsgewricht waarin we zien dat heel veel organisaties gebruikmaken van data, algoritmes et cetera, niet logisch zijn om ze dat ook te gunnen?

Dezelfde vraag als die van de heer Hijink.

Ja, voorzitter, dezelfde vraag verdient ook weer hetzelfde antwoord. Ook met de heer Azarkan ben ik bereid om na te denken en te kijken waar het nodig is om eventueel zaken te doen, ook bij de Autoriteit Persoonsgegevens. Dat laat onverlet dat de eigenaar van het systeem de verantwoordelijkheid heeft om ervoor te zorgen dat zijn systeem op orde is. Ik investeer liever in het zorgen voor goede systemen dan in eindeloos opbouwen en opbouwen van ontrollen op controle op controle. Volgens mij gaat het om de basis op orde hebben. Dat zijn systemen zelf, en dan is de GGD in dit geval de eigenaar.

Voorzitter ...

Zelfde antwoord.

Wat we hier zien is dat dat hier juist verkeerd is gegaan, ondanks al die meldingen, die wellicht in gebruik hadden kunnen worden genomen door de Autoriteit Persoonsgegevens als ze de capaciteit hadden gehad, waardoor ze misschien heel veel Nederlanders hadden kunnen behoeden. De waarschuwingen wáren er. Er waren interne medewerkers die zeiden: "Hoe kan het nou dat iedereen toegang heeft tot die data?". Natuurlijk is het zo dat mensen en organisaties verantwoordelijk zijn voor de bescherming van hun spullen. Maar als we één agent in Nederland hebben en als we vervolgens zeggen: "We zien de toename van het aantal inbraken", dan kunnen we toch niet zeggen dat iedereen alleen verantwoordelijk is voor de bescherming van zijn eigen spullen? Het gebeurt steeds meer en daarom het rechtvaardigt het dat we meer daar meer capaciteit brengen. Laten we ernaar kijken. Kom op, meneer Veldman, zeg ik via u, voorzitter!

De heer Azarkan slaat de spijker op z'n kop. De waarschuwingen waren er, intern, van medewerkers. De gesprekken met de Autoriteit Persoonsgegevens zijn er geweest in het najaar. Wie is er dan verantwoordelijk voor het oplossen van het probleem? Niet de autoriteit. De GGD was en is verantwoordelijk voor het dichten van datalekken. De signalen waren er van medewerkers. De signalen en gesprekken waren er vanuit de autoriteit. Dus er gebeurt precies datgene wat de heer Azarkan zegt. Het gebeurt!

Ik zal daar één vraag over stellen en ik zal proberen wat scherper te krijgen wat meneer Veldman nou wil, want hij schuift met verantwoordelijkheden en daar ben ik het niet mee eens. Er zijn gedeelde verantwoordelijkheden, maar we hebben SyRI gehad, de toeslagenaffaire, nu het GGD-datalek. Rode draad? De AVG, de Europese privacywet, wordt steeds, en dus stelselmatig door de overheid overtreden. De Autoriteit Persoonsgegevens is er om de AVG te handhaven, ook als de overheid die overtreedt, zoals vandaag blijkt en steeds is gebleken het afgelopen jaar. Vervolgens zijn er drie, vier onderzoeken geweest, Kamermoties, die allemaal uitwijzen dat meer geld voor de autoriteit keihard nodig is. De VVD is een partij van law and order, van keihard aanpakken, van misstanden vól aanpakken en oplossen. En nu staat de heer Veldman hier en zegt tegen mijn collega's: "Ja, we kunnen er eens naar kijken." Geef nou volmondig toe dat die autoriteit keihard nodig is, dat ze meer geld nodig hebben en dat we daarnaar gaan kijken, bij wijze van spreken in de volgende kabinetsperiode. Zeg dat nou gewoon toe!

Volgens mij heb ik dat net gezegd, namelijk dat ik graag bereid ben om met elkaar te kijken wat er uiteindelijk nodig is. Maar dat laat onverlet, en dat herhaal ik dan ook maar richting de heer Verhoeven, dat in de casus die we vandaag bespreken de signalen er waren, de gesprekken met de autoriteit er zijn geweest en het dus aan de GGD is om ervoor te zorgen dat die datalekken er niet zijn. Dat had dus misschien wel aan het begin gemoeten. Dan had dat gesprek niet hier, maar misschien ook wel op andere plekken moeten worden gevoerd. Waarom niet in de gemeenteraad van Amsterdam, met wethouder Kukenheim, verantwoordelijk voor gezondheidszorg en dus ook verantwoordelijk voor de GGD. Investeren we voldoende in de GGD? Daar hadden ook de gesprekken plaats moeten vinden, niet alleen maar aan het eind van de rit, als je ziet dat er een datalek is, en dan zeggen: we moeten de Autoriteit Persoonsgegevens groter maken. Ja, we moeten met elkaar kijken hoe groot die autoriteit moet zijn en of ze hun werk op een goede manier en voldoende aankunnen. Maar in deze casus, het GGD-datalek dat we hier vandaag bespreken, constateer ik in ieder geval dat de autoriteit de gesprekken gevoerd heeft, en dat we met elkaar constateren …

U zou een scherpe vraag stellen, meneer Verhoeven.

… dat er onvoldoende gedaan is.

Anders wordt het echt voor de zoveelste keer dezelfde vraag in verschillende gedaantes.

Ik ben de belofte van een scherpe vraag volgens mij nagekomen. Eén aanvullende vraag. De heer Veldman doet nu alsof alles wat de Autoriteit Persoonsgegevens doet achteraf gebeurt, op het moment dat het al misgegaan is. Er is al in september contact geweest tussen de autoriteit en de GGD over dit voorval. Ik meen in de brief van de minister van gisteravond laat te lezen dat er weinig opvolging is geweest. Ik denk dat dat komt doordat er ongelooflijk veel dossiers op de bureaus bij de autoriteit liggen die allemaal vragen om extra aandacht, extra controle. Dat is nog niet zo makkelijk met al die digitale systemen. Dus heb nou alsjeblieft oog — zeg ik tegen de heer Veldman via u, voorzitter — voor het serieuze tekort, dat onze rechtsstaat ondermijnt, bij de Autoriteit Persoonsgegevens als waakhond van de Europese privacywet.

Dat heeft u ook eerder gezegd volgens mij.

Ik deel met de heer Verhoeven de waarneming uit de berichten van gisteravond dat er weinig opvolging is geweest. Die opvolging had moeten plaatsvinden bij de GGD. De minister geeft ons nu aan welke stappen er gezet zijn, met de vraag wat er nog meer nodig is. Die stappen hadden dus in september gezet moeten worden door de GGD.

Ik ga door op dit punt. We zijn een stapje verder, want de heer Veldman geeft toe dat we moeten gaan kijken hoeveel capaciteit de Autoriteit Persoonsgegevens nodig heeft. Maar de simpele constatering op dit moment is dat die capaciteit onvoldoende bescherming biedt om te zorgen dat dit soort datalekken niet kan plaatsvinden. Erkent de heer Veldman dat nu? Ik ga terug naar de eerdere vraag van de SP.

Dit is een herhaling van dezelfde vraag, namelijk: is de heer Veldman, is de VVD, bereid om te kijken naar wat er nou nodig is qua omvang bij de Autoriteit Persoonsgegevens? En ja — dat heb ik volgens mij nu vier keer gezegd — ik ben bereid om daar met elkaar naar te kijken. Alleen, waar ik niet blindelings "ja" tegen zeg, is: gooi er maar extra geld tegenaan en dan komt het goed. Want dat wil niet zeggen dat het dan goed komt. In de basis is het nog steeds de eigenaar van het systeem die ervoor moet zorgen dat zijn systeem op orde is.

Dat heeft u een paar keer gezegd. Mevrouw Kröger. Dit wordt een herhaling van zetten.

Daarom gaan wij nu een debat voeren over de noodzaak om bijvoorbeeld privacy by design veel beter te borgen. Maar het is te gemakkelijk om te doen alsof je een oneindige hoeveelheid politie nodig hebt, of 0,2 fte één dag per week. De erkenning dat er meer capaciteit bij moet bij de Autoriteit Persoonsgegevens hoor ik dan nu schoorvoetend. Kunnen we dat nu in ieder geval vaststellen in dit debat?

Nee, niks "schoorvoetend". De simpele constatering is dat we met elkaar gewoon moeten doen wat nodig is. En ja: privacy by design. Ook dan slaat mevrouw Kröger de spijker op zijn kop. Het is niet de Autoriteit Persoonsgegevens die zorgt voor het design. Het is de ontwerper, de eigenaar, van het systeem die zorgt voor het design.

Ik zie mevrouw Kuiken en ik zie mevrouw Van Brenk. Dezelfde vraag kan niet tienduizend keer worden herhaald en dan net in een andere vorm. Jullie krijgen hetzelfde antwoord, dus ik wil toch even vragen of u een nieuwe vraag hebt, mevrouw Kuiken.

Ja, voorzitter. Ik ben het wel eens met D66 en de SP, maar ik heb een andere vraag. Mijn vraag gaat hierover. De heer Veldman verwijst voortdurend naar de verantwoordelijkheid die bij de GGD ligt. Maar de heer Veldman is het toch met mij eens dat dit ook in opdracht van VWS gebeurde? Ik heb de notulen erop nagelezen. Ze zijn bij alle belangrijke gesprekken geweest die plaatsvonden over het systeem. In ieder geval vanaf november zijn ze daarbij aanwezig geweest, voor zover ik heb kunnen terugkijken. Dus ze hebben geweten van de risico's en ze waren op de hoogte van de informatiebeveiligingslekken die er in potentie waren. Dus ik vind het iets te gemakkelijk om alleen te kijken naar de GGD, zeker omdat het een nationale crisis betreft. Is de heer Veldman dit met mij eens?

Zeker. Als mevrouw Kuiken mijn bijdrage goed beluisterd heeft, dan weet zij dat ik daar een aantal dingen over heb gezegd. Sterker, ik sloot af met de zin: kortom, welke stap naar voren gaat de minister nu zetten? Natuurlijk heeft de minister hierin ook een verantwoordelijkheid, juist omdat hij de aanwijzingen geeft. Juist omdat hij nationaal dé coronaminister is. Uiteraard heeft de minister een verantwoordelijkheid. Ook ik zie, met mevrouw Kuiken, dat er in de brief van de minister van gisteren heel vaak staat "de GGD meldt", "de GGD geeft aan", "de GGD zegt dit", "De GGD zegt dat". Dan is mijn vraag: wat zegt dan de minister? Wat doet de minister? Dus ja, ik ben het met mevrouw Kuiken eens.

... Mijn tweede vraag is ...

Komt u maar naar deze microfoon, want de middelste is echt voor grote, zware mannen bedoeld.

Dat vind ik een compliment, in de strijd tegen de coronakilo's. Dank u wel voorzitter.

Ik word weer even serieus. De heer Veldman loopt in ieder geval vanaf juni al mee op dit dossier. Ik was even getriggerd door het feit dat de minister al een aantal keren heeft gezegd dat de Kamer was geïnformeerd over de kwetsbaarheden. Mijn vraag is oprecht: was de heer Veldman echt gealarmeerd door het feit dat er zo'n groot probleem was met de systemen zoals ze nu zijn opgetuigd?

Ik denk dat we daar, als we met elkaar terugkijken als hele Kamer, misschien onvoldoende op aangeslagen hebben. Ik heb gezien dat GroenLinks toen schriftelijke vragen heeft gesteld. Volgens mij stelde de heer Hijink ook schriftelijke vragen. We hebben er een aantal keren in technische briefings over gesproken, maar blijkbaar hebben we daar met elkaar onvoldoende op aangeslagen. Terugkijkend hadden we dat met elkaar beter moeten doen.

Mijn afrondende vraag is: hoe komt dat dan? Werd er onvoldoende gealarmeerd? Mij viel op dat in sommige verslagen werd gesproken over serieuze kwetsbaarheden. Maar als ik dan terugkijk wat we daarover zagen staan in de beantwoording, dan ging het over "enkele zaken" waar aandacht aan besteed moest worden. Dat werd niet gespecificeerd. Vandaar nog even oprecht mijn vraag. We hadden beter naar onszelf moeten kijken, maar was u toen voldoende gealarmeerd, met de kennis van nu?

Ik denk dat we daar, wat ik net zei, met elkaar scherper op hadden moeten zijn. Maar ik denk ook dat we met elkaar iedere keer de balans gezocht hebben. Wat is nodig? Als ik naar de afgelopen tien maanden kijk, dan zie ik een Kamer, inclusief mijzelf, die zich behoorlijk zorgen maakte over het zicht op het virus en over de snelheid van het beschikbaar hebben van testresultaten. Ik kan me dat debat nog wel herinneren waarin we een gesprek hadden met deze minister over het feit dat het drie, vier, vijf dagen duurde voordat een testuitslag binnen was. Dat vraagt dus iets van de mensen die daar werken, en dat vraagt iets van de systemen. Daartussen is het zoeken naar een balans, precies wat ik de minister net ook gevraagd heb. Hoe weegt hij de balans tussen zicht houden op het virus — de alarmerende brief van het RIVM die net voor dit debat binnenkwam — en zorgvuldigheid en veiligheid?

Ik sla ook heel even aan op het punt dat de VVD maakt over de verantwoordelijkheid. Volgens mij zegt de heer Veldman: de GGD is verantwoordelijk voor het lek. Wat betekent dat voor de vraag of burgers die straks in de problemen komen door dit datalek, een compensatie krijgen voor de geleden ellende? Volgens mij heeft de VVD dat punt ook gemaakt. Moeten zij dan ook bij de GGD zijn, of vindt de VVD dat dan toch deze overheid hier een rol in speelt?

Dat weet ik niet. Vandaar dat ik net aan de minister heb gevraagd of er wordt nagedacht over het compenseren van slachtoffers, als mensen aantoonbaar door deze datalekken de vernieling ingaan. Dat is precies mijn vraag. Ik weet niet of daar dan de GGD aan zet is of een ander. Ik weet wel dat het een vraag is die we met elkaar moeten beantwoorden.

Ik heb een motie op dit gebied. Misschien kunnen we samenwerken, want ik vind dat burgers die door de overheid gevraagd worden om naar een teststraat te gaan en daar nu de dupe van worden, de dupe niet mógen worden. Als de VVD daar ook zo in staat — en misschien geldt dat wel voor de hele Kamer — dan denk ik dat we daarover een krachtig signaal zouden moeten afgeven. Ik hoop dat de VVD het daarmee eens is.

Dat signaal heb ik in mijn bijdrage net afgegeven door de minister te vragen of er wordt nagedacht over het compenseren van mensen. Ik vind namelijk dat de overheid een verantwoordelijkheid heeft tegenover de mensen die nu door deze datalekken echt de vernieling in worden geholpen. Ik hoop dat de minister daar dadelijk een heel goed, duidelijk en helder antwoord op heeft. Dan heb ik daarna geen motie nodig. Maar indien nodig, gaan we daar met elkaar naar kijken.

Ik wil eigenlijk doorgaan op de beantwoording van de laatste vraag van mevrouw Kuiken, waarin er een soort van schijntegenstelling wordt gecreëerd. We moeten een pandemie bestrijden, dus moet privacy maar even op de tweede plek. Volgens mij waren hierover ook uitspraken gedaan door de GGD en ik ben daar wel benieuwd naar. Volgens mij is dat absoluut niet noodzakelijk. Volgens mij kun je prima aan privacy doen én een crisis bestrijden. Ik ben wel benieuwd of de VVD vindt dat je een soort van keuze zou moeten maken tussen privacy en het bestrijden van de crisis.

Ik heb in mijn beantwoording — misschien is het verkeerd overgekomen — zeker niet willen zeggen dat er een schijntegenstelling is. Volgens mij heb ik die suggestie ook niet gedaan. Sterker nog, het kán een conflicterende tegenstelling zijn. Er is dus geen sprake van schijn. Juist het feit dat die twee dingen tegenover elkaar staan, maakt dat je er niet tussen moet kiezen. Je moet zorgen voor de goede balans tussen beide. Want én zorgvuldigheid, veiligheid en bescherming van privacygevoelige gegevens zijn van het grootste belang. Maar het is, gezien de situatie waar wij als maatschappij in zitten, ook van het grootste belang dan we zo snel mogelijk uit deze crisis komen, dat we zo snel mogelijk kunnen testen. Het is dus terecht dat deze Kamer in het voorjaar deze minister heeft aangesproken op de snelheid van het testen. Het kan niet zo zijn dat sommige mensen vijf dagen moeten wachten voordat ze de uitslag krijgen. Er is geen schijnbare tegenstelling. Er ís een tegenstelling in belangen en dat vraagt om een goede balans.

Ik vind dat toch best wel zorgwekkend, want dat hoeft niet zo te zijn. Er is geen tegenstelling tussen het belang van privacy en het bestrijden van de crisis. Als we hier gewoon altijd systemen maken waarin privacy by design vooropstaat, ook in het bestrijden van een crisis, is er geen tegenstelling. Dan hoeft dat niet zo te zijn. Dan is die er gewoon niet. Ik vind het dus echt zorgwekkend, want ik voel en proef toch een beetje bij de VVD alsof we nu gewoon bezig zijn met het bestrijden van een crisis, en de privacy, en zeker ook het privacy by design ontwikkelen, dan toch een beetje op de tweede plek komt te staan. Volgens mij is dat echt niet noodzakelijk. Ik vind dat dus best wel zorgelijk.

In theorie ben ik het helemaal met mevrouw Van Esch eens. Als de systemen op orde zouden zijn ... Alleen waren ze dat niet, hebben we gezien. Maar er moest wel gehandeld worden. Dat maakt, zo lees ik in de brief van het RIVM vandaag, dat het RIVM zegt: om nu lopende de crisis over te gaan naar een nieuw systeem is wel erg kwetsbaar. En ja, ik kan me bij die kwetsbaarheid wel iets voorstellen. Het vraagt dus om een goede balans. Maar in theorie ben ik het helemaal met mevrouw Van Esch eens. Als de systemen aan de voorkant op orde waren geweest, dan was er inderdaad geen tegenstelling geweest, want dan waren de gegevens gewoon goed beschermd.

Mevrouw Agema heeft ook een vraag voor u.

Het kabinet is natuurlijk wel van plan om gedurende de crisis het hele testbeleid nog veel meer op te krikken. We krijgen straks bijvoorbeeld proeftuinen bij festivals en noem maar op. Ik zou graag de gedachten van de heer Veldman daarover willen weten. Wordt dat dan een systeem zoals dit? Je gaat een avondje uit en je hele bsn en alles zit in een systeem? Of moet dat iets laagdrempeligs worden, als we zo veel moeten gaan opschalen?

Nou, dat eerste lijkt me zeker niet. Volgens mij hebben we vandaag dit debat omdat we met z'n allen redelijk ontstemd zijn over het feit dat zo veel gegevens van mensen op straat liggen en dat er nu gehandeld wordt in persoonsgegevens van mensen. Ik ben het dus helemaal met mevrouw Agema eens: als we op een andere manier gaan testen en sneltesten doen, waarbij we niet alleen testen voor het opsporen van het virus maar ook voor het uitsluiten van het virus zodat mensen naar een evenement kunnen, dan zal dat op een goede manier moeten gebeuren. Volgens mij liggen er bij deze minister nog vragen uit eerdere debatten over hoe dat georganiseerd gaat worden. Ik ben het met mevrouw Agema eens dat we dat alleen maar moeten inzetten als dat op een veilige en goede manier kan.

Ik bedoel eigenlijk ook laagdrempeliger. Er zijn nu al zo'n 7 miljoen testen gedaan, met heel veel risico's voor mensen die hier het slachtoffer kunnen worden van datadiefstal. Ik kan me toch niet voorstellen dat je straks je hele reutemeteut moet overleggen om naar een festival te kunnen. Ik vraag de VVD dus eigenlijk: is de VVD het met mij eens dat als je een toekomstig testbeleid wilt inrichten, dat veel laagdrempeliger moet, met een tijdelijke code of iets dergelijks, met een streepjescode of iets in die trant? Want je kan toch niet de volledige geschiedenis en data en noem maar op van mensen gaan opvragen voor iets laagdrempeligs zoals toegang tot bijvoorbeeld een evenement?

Volgens mij ben ik dat met mevrouw Agema eens. Dat sluit naadloos aan bij mijn eigen pleidooi van een aantal maanden geleden, toen we het hadden over de weg uit de problemen waar we in zitten via het grootschalig testen en kijken of testen kan helpen bij het weer openen van sectoren. Toen heb ik expliciet benoemd dat er volgens mij twee verschillende manieren van testen zijn, namelijk testen in het opsporen van het virus, waarbij een arts op basis van de Wet publieke gezondheid ook een verantwoordelijkheid heeft om dat door te geven, naast het testen om uit te sluiten dat er een besmet iemand binnenkomt. Ik kan me voorstellen dat dat laatste veel grootschaliger en dus ook laagdrempeliger kan en moet zijn, omdat je dan aan de evenementenorganisator vraagt om ervoor te zorgen dat er geen besmette mensen binnenkomen. Dat is een andere verantwoordelijkheid dan het opsporen. Binnen die andere verantwoordelijkheid kan ik mij voorstellen dat het kleinschaliger, laagdrempeliger en dus met veel minder uitwisseling van gegevens kan dan nu in de GGD-teststraten gebeurt.

Dank u wel. Dan geef ik nu het woord aan de heer Van der Staaij namens de SGP. Gaat uw gang.

Dank u wel, meneer Van der Staaij. Dan geef ik nu het woord aan mevrouw Van der Graaf namens de ChristenUnie.

Dank u wel. Dan geef ik nu het woord aan mevrouw Agema namens de PVV.

Dank u wel. Dan geef ik nu het woord aan mevrouw Van den Berg namens het CDA.

Inmiddels weten we uit de antwoorden en de brief van de minister en uit de notulen dat er in april al meldingen waren en dat er in juni signalen waren. In september was het in Nieuwsuur. Los van wat medewerkers intern wel of niet gemeld hebben, wisten ook de heer Rouvoet en VWS het toen al. Dat roept in algemene zin de vraag op, los van wat medewerkers hebben gemeld, waarom er toen niet al stringentere maatregelen zijn genomen. Het was toen immers al evident, zoals we terug kunnen zien in de verslaglegging.

Een terechte vraag van mevrouw Kuiken, want ik zou ook willen weten hoe het intern met die governance is gesteld. Waarom wordt er op dat moment niets mee gedaan? Het ministerie was opdrachtgever, maar de GGD was de uitvoerder en die moet op de eerste plaats zorgen dat die systemen op orde zijn. Het verbaast mij dat daar intern niet op gereageerd is. Als dat een cultuurprobleem is, zou ik daar met name actie op willen hebben.

Dat zijn terechte vragen. Dat is ook mijn zoektocht, maar de hamvraag is, nu ik alles goed heb doorgelezen en gezien heb wat we er publiekelijk al over wisten en wat men er intern over wist, waarom er niet al eerder exportfuncties en printfuncties uit zijn gehaald en niet veel stringenter is opgeschaald. Eigenlijk zijn er pas vorige week stappen genomen, terwijl men in april, juni en september zowel publiek als intern bij VWS en GGD wist dat er iets aan de hand was. En dan lijkt het erop dat, op het moment dat de nood hoog genoeg wordt en RTL er een item aan besteedt, we het daarna pas echt urgent vinden dat er actie wordt ondernomen. Samenvattend is mijn punt: het maakt niet uit of mensen het intern wel of niet gemeld hebben, er had sowieso bij de GGD en bij VWS al veel eerder actie ondernomen moeten worden. Is mevrouw Van den Berg dat met mij eens?

Dat ben ik zeer met mevrouw Kuiken eens. Mijn grote vraag is: wat heeft er in de cultuur gezeten waardoor dat niet is gebeurd? Wat zijn de belemmeringen geweest om die acties niet te ondernemen? In mijn inbreng net gaf ik ook aan dat dit gewoon bepaalde basics zijn, waar je niet eens een ICT-expert voor hoeft te zijn. Een paar keer is het voorbeeld van het huis gegeven: als iemand tegen jou zegt dat je raam kapot is en je slot niet goed werkt, dan weet je gewoon dat je wel heel erg toegankelijk bent voor diefstal. Dus ik zou met name willen weten: wat is er in de cultuur bij de GGD niet op orde dat dit op deze manier niet wordt opgepakt?

Mevrouw Kuiken, tot slot.

Ja, die cultuur, prima, maar volgens mij ontbreekt het ook aan een basis van checks-and-balances, bij de GGD maar ook bij VWS, waardoor er gewoon geen navolging is gegeven, noch op basis van interne rapportages die gewoon bekend waren, noch naar de Autoriteit Persoonsgegevens. Dus met andere woorden: er zit totaal geen externe druk op om ervoor te zorgen dat dit soort zaken gewoon geregeld worden.

Ik denk dat mevrouw Kuiken terecht vraagt naar de opdrachtgeverfunctie van VWS en wat daarmee gebeurd is. Daar heb ik sowieso in algemene termen ook al eerder aandacht voor gevraagd tijdens de bespreking van de jaarrekening vorig jaar, door te vragen of er ook nog een apart onderzoek komt van de Rekenkamer, juist om naar die hele governance te kijken. Dat hebben wij bijvoorbeeld ook gezien bij de dataschijven die bij het Donorregister zijn verdwenen. Is dat nu overal goed ingeregeld, ook bij VWS?

Ik heb hier ook een vraag over. Er wordt gesproken over de cultuur bij de GGD's. In de antwoorden op onze vragen in het schriftelijk overleg lees ik dat de autorisatie per GGD is geregeld. Er is dus geen centrale richtlijn vanuit de GGD, aangestuurd vanuit de ministeries, over hoe de autorisatie geregeld is. Dat elke GGD het door een volstrekte decentralisatie op haar eigen manier doet, gaat natuurlijk voorbij een cultuur. Dan is er gewoon sprake van een systeemfout.

In ieder geval het CDA heeft in het begin al vragen gesteld over de wijze waarop de GGD's met elkaar georganiseerd zijn. Ik denk dat de minister terecht heeft aangegeven dat het vaak niet de beste oplossing van problemen is om midden in een crisis een reorganisatie door te voeren. Maar dat hier nader naar gekeken moet worden, ook naar hoe de GGD's onderling zijn verbonden en hoe er een eenduidiger structuur en eenduidiger interne lijnen kunnen komen, dat is het CDA van harte eens met mevrouw Kröger.

Volgens mij gaat het er niet om of wij nu, midden in een pandemie, een hele reorganisatie doen. Het gaat erom dat je via een ministeriële aanwijzing wel degelijk kunt zeggen: we gaan bepaalde dingen op een bepaalde manier regelen en alle GGD's gaan zich conformeren aan hetzelfde autorisatieprotocol, want wij kunnen het niet hebben dat dit per GGD bedacht en uitgevoerd kan worden.

Ik zou daar graag een antwoord op hebben van de minister, want ik heb toch begrepen dat dit complexer ligt dan mevrouw Kröger nu aangeeft, ook al omdat de GGD's onder de verantwoordelijkheid van de gemeenten vallen. VWS kan dus wel de opdracht geven dat iets op een bepaalde manier moet gebeuren, maar ze heeft er dan veel minder zeggenschap over hoe dat dan precies gebeurt.

Dan kijken we allebei uit naar het antwoord op deze vraag.

Dat zullen we straks horen. De heer Azarkan.

Mevrouw Van den Berg heeft een heleboel vragen, maar de antwoorden staan gewoon op de pagina's 2 en 3. Het is eigenlijk vrij simpel. De minister zegt: wij hadden onvoldoende aandacht voor de privacy en dataveiligheid. Wij hebben niet goed gestuurd, wij hebben eigenlijk een beetje domme dingen gedaan. Wij hebben iedereen toegang gegeven terwijl dat niet nodig was. Dat kunnen we uitzetten en dat kunnen we zo doen dat dit het testen en het bron- en contactonderzoek niet in gevaar brengt. Dat is wel een beetje dom. Vervolgens zegt hij dat er te weinig expertise is ingeregeld …

U gaat niet alles voorlezen, hè?

Nee, maar het zijn de vragen die mevrouw Van den Berg gesteld heeft. Vervolgens zegt hij: ik moet strakker sturen en dat doe ik samen met de GHOR. Bovendien komt er een externe audit. En als laatste zegt hij: we hebben de aanbevelingen uit december niet snel genoeg geïmplementeerd en dat gaan we alsnog doen. Dat zijn gewoon mensenhandelingen die zijn veronachtzaamd. Dat is toch wat er aan de hand is: te weinig gestuurd, te weinig expertise, niet op tijd, en data was niet belangrijk? Welke antwoorden wilt u nog hebben?

Nogmaals, VWS is opdrachtgever van dit project, maar het zijn de GGD's die het uitvoeren. Voor de basicdingen die ik noem, zou VWS geen aandacht moeten hoeven vragen. Dat zou een organisatie uit zichzelf moeten oppakken. Ik wil weten waarom dat bij de GGD niet automatisch is gebeurd.

Zo werkt het niet. Ik kan in ieder geval uit eigen ervaring vertellen dat, als het over ICT-projecten gaat, het ministerie dat de uitvraag doet, deze aan alle voorwaarden moet laten voldoen. Dat toets je. Je zegt niet: gaat u maar aan de gang met een systeem en ik hoop dat u uit uzelf de waarborgen biedt. Nee, het is hier van wezenlijk belang dat we met elkaar corona bestrijden. Daarbij is privacy ontzettend belangrijk, want dat geeft vertrouwen aan de burgers. Vanuit VWS had gewoon moeten worden gezegd: dit heeft hoge prioriteit en ik ga ervan uit dat u dit, dit en dit doet. Punt. Dat gaat niet vanzelf. Niets gaat vanzelf in Nederland.

Nee, maar wat ik wel heb begrepen, is dat er werd voortgebouwd op systemen die er al waren. Wat is de reden dat de GGD, bijvoorbeeld aan het begin van het project, niet zelf heeft gezegd: ja, maar moet je eens luisteren, als ik dit systeem zo moet gaan opschalen, dan zijn er heel andere ICT-risico's waar we met elkaar over moeten spreken?

Tot slot op dit punt, meneer Azarkan.

Dat is nu exact wat er aan de hand is. Alles wat ik lees dat gaat gebeuren, dat kan allemaal. Dat kon een halfjaar geleden ook. Ik lees dat het geen invloed heeft op het kunnen testen en op het brononderzoek. Het is dus gewoon een verkeerde inschatting. Voor mijn oma maakt het toch niet uit of, als ze straks wordt opgelicht, dat de verantwoordelijkheid van de GGD dan wel de verantwoordelijkheid van VWS is? We staan toch voor de belangen van burgers die hun privacy beschermd moeten zien?

Dat ben ik geheel met de heer Azarkan eens. De burger maakt het echt niet uit waardoor het is gekomen. Maar als Kamer moeten we wel praten over hoe we dit opgelost kunnen krijgen en over hoe we kunnen voorkomen dat we dit soort zaken nog een keer krijgen. En dan moeten we wél praten over de onderlinge structuren en culturen.

Gaat u verder, mevrouw Van den Berg.

In september meldde Nieuwsuur dat de uitslagen van de coronatest en de bijbehorende persoonlijke gegevens toegankelijk waren voor medewerkers van de coronatestlijn die hier eigenlijk geen toegang toe zouden moeten hebben. Andere collega's hebben dat ook genoemd. De Autoriteit Persoonsgegevens vroeg de GGD toen om opheldering, maar er volgde verder geen onderzoek. We zijn ervan uitgegaan dat wat we toen deden, voldoende was om het op orde te brengen, stelt de toezichthouder. Vindt de minister voor Rechtsbescherming dat de Autoriteit Persoonsgegevens hiermee op een juiste manier heeft gehandeld? Waarom heeft de Autoriteit Persoonsgegevens de GGD niet eerder onder toezicht gesteld? Waarom is bijvoorbeeld bij de ontwikkeling van de app wel uitgebreid meegekeken door de Autoriteit Persoonsgegevens, maar is dat niet gebeurd bij dergelijke signalen over een lek in een softwaresysteem waar tienduizenden konden meekijken?

Voorzitter. Dit probleem moet zo snel mogelijk worden opgelost. De GGD geeft aan dat ze geautomatiseerd gaat onderzoeken of medewerkers ongeoorloofd in privégegevens van burgers hebben gekeken. Maar wanneer is dat gerealiseerd? Welke andere maatregelen worden genomen? Op welke manier wordt de Autoriteit Persoonsgegevens hier nu wel strak bij betrokken?

Ten slotte. Wij ontvangen vragen van mensen over de veiligheid van hun bsn-nummer. Als mensen erachter komen dat hun gegevens gelekt zijn, wat is dan het advies van de minister aan deze mensen? Waar kunnen mensen terecht met hun vragen? Wat is mogelijk voor mensen die echt het slachtoffer zijn geworden doordat hun bsn-nummer is misbruikt? Kan de minister daarop reageren?

Dank u wel, voorzitter.

Dank u wel. Ik zie de heer Verhoeven.

2020, het afgelopen jaar, was een slecht jaar voor de rechtsstaat, met SyRI dat verboden is door de rechter, de toeslagenaffaire en nu weer dit datalek. Dit had allemaal gevolgen voor onschuldige burgers. Het CDA heeft hier terecht grote woorden over geuit, met woorden over de trias politica en over het dualisme. Die woorden zijn terecht. Maar waar blijven de daden van het CDA? Het CDA stemt tegen moties voor meer toezicht en meer geld voor de Autoriteit Persoonsgegevens. Het CDA stemt nog steeds voor hele risicovolle datawetten als de Wgs. En bij dit debat neemt mevrouw Van den Berg een beetje de houding aan van "ja, we moeten kijken naar de verschillende verantwoordelijkheden in de keten", maar zij maakt niet heel concreet hoe het nou echt beter kan waar dat nodig is. Bij het keihard aanpakken van privacyproblemen is het CDA eigenlijk veel milder dan op andere gebieden. Waarom is dat?

Dat zou ik toch graag willen wegnemen. Ik heb juist het voorbeeld genoemd van de app, waarbij volgens mij de halve wereld heeft meegekeken naar de ontwikkeling. Die is juist vanaf de basis vanuit de privacy ontwikkeld. Dat zou dus ook de opdracht moeten zijn voor andere systemen die we ontwikkelen. Er moet ontwikkeld worden vanuit een visie op privacy. Hoe kan bij voorbaat voorkomen worden dat er misbruik van wordt gemaakt? Daar moet aan worden gedacht. Ik vind dat daar bij de ontwikkeling al veel meer naar gekeken moet worden, terwijl we nu heel veel dingen aan het repareren zijn.

Ik vind het prima dat we het even over de corona-app hebben en over het proces van een halfjaar tijd daaromheen. Dat begon met dezelfde bravoure als vorige week bij het vragenuur: "We gaan het wel even regelen". En vervolgens is er inderdaad ingezet op checks-and-balances, is er tegenspraak georganiseerd onder leiding van een uitstekende CIO en is er tot een redelijk goed tot goed resultaat gekomen. Daar heeft mevrouw Van den Berg gelijk in. Maar ik vroeg iets heel anders. Ik vroeg: gaat het CDA, na alle grote woorden over de rechtsstaat, het dualisme en de trias politica, nu ook daden tonen, om ervoor te zorgen dat burgers beschermd worden tegen een datazuchtige en datahongerige overheid, die voortdurend dezelfde fouten maakt? Dat was de vraag die ik aan mevrouw Van den Berg stelde. En daar wil ik toch echt graag een antwoord op. Dat is wat structureler dan dit debat, maar wel van belang.

Ik heb zelf inderdaad net met voorbeelden aangegeven dat het structureler is dan dit debat. Ik heb ook het feit genoemd dat de Rekenkamer, op basis van een motie van mij, een apart onderzoek doet naar de ICT bij VWS en de onderlinge governance. Ik wil dit ook structureler aanpakken. Bij nieuwe systemen moeten we voorkomen dat er iedere keer gerepareerd moet worden. We moeten daar juist aan het begin, bij de ontwikkeling van een systeem, veel beter op letten.

Tot slot, meneer Verhoeven.

Dan sla ik het tot slot maar een beetje plat. Ik stel dezelfde vraag die ook aan de heer Veldman gesteld is. Het CDA en de VVD hebben een lange historie van het stemmen tegen moties die meer geld willen voor de Autoriteit Persoonsgegevens. Is het CDA nu ook bereid, net zoals de heer Veldman van de VVD zojuist heeft gezegd, om serieus te kijken naar een toereikend en groter budget voor de Autoriteit Persoonsgegevens? Het is toch echt wel duidelijk geworden dat dat op alle fronten tekortschiet.

We zien steeds meer digitalisering, dus ik kan me goed voorstellen dat er behoefte is aan een autoriteit. Net zoals meneer Veldman zou ik dus zeggen dat we moeten kijken naar wat nodig is. Maar ik neem even een heel simpel voorbeeld. Als je een huis hebt waarvan een ruit kapot is, het slot van de deur niet goed werkt en waarin geen alarminstallatie geïnstalleerd is, dan moet je om de haverklap de politie bellen omdat er iets aan de hand is. De oplossing is dan niet dat we meer politie moeten hebben. Nee, de eerste oplossing is dan dat we aan de basis de systemen veel beter inrichten. Ik ben graag bereid te kijken of je dan misschien toch meer dan nu de Autoriteit Persoonsgegevens nodig hebt, maar dat is voor mij stap twee.

Mevrouw Van den Berg gebruikt dezelfde bliksemafleider als de heer Veldman. Natuurlijk, die systemen moeten op orde worden gebracht door degene die ze gemaakt heeft en die ze beheert. Maar als ik lees wat de Autoriteit Persoonsgegevens doet ... De Autoriteit Persoonsgegevens kreeg in 2019 27.000 meldingen van datalekken, en daarvan heeft de autoriteit 0,3% — 0,3%! — kunnen onderzoeken. Met 99,7% van alle datalekken die gemeld worden kan de autoriteit op dit moment niks doen en die worden niet onderzocht. Nou, het is toch glashelder dat je dan als autoriteit te weinig middelen hebt om gewoon goed je werk te kunnen doen?

Daar heeft mevrouw Van den Berg net een reactie op gegeven.

Ja, voorzitter. Want het gaat mij erom dat je die hoeveelheid naar beneden moet krijgen, dat men daar bij die systemen en bij die instellingen zelf veel meer checks-and-balances doet om te kijken hoe ze een datalek kunnen voorkomen. Het is wat om te zeggen "ja, het is weer misgegaan", en je legt het bij de autoriteit. Je moet ervoor zorgen aan de basis. Ik noemde het voorbeeld van het HagaZiekenhuis dat we toen hebben gezien: er werd gewoon niet goed gelogd, er werd niet regelmatig gekeken. Je moet gewoon zien wie er is ingelogd in een systeem en daar constant controles op doen. Dan kan je ook veel meer datalekken voorkomen.

Maar dat was ... De heer Hijink.

Ik ben dat met mevrouw Van den Berg eens: je moet dat zo veel mogelijk zien te voorkomen. Maar dan helpt het natuurlijk wel als er een strenge autoriteit is die organisaties heel hard kan aanpakken als zij in de fout gaan. Dat werkt ook preventief. Maar als je weet dat er in 99,7% van de gevallen toch geen onderzoek komt ... Ja, dat is nou niet bepaald een afschrikwekkend effect of zo.

Ja ...

Dus daarom is mijn vraag: als maar 0,3% van de bekende datalekken kan worden onderzocht, vindt het CDA dan ook niet dat er meer capaciteit moet komen, zodat er een substantieel aantal onderzoeken kan worden gedaan naar datalekken?

Graag ook een hele korte reactie, mevrouw Van den Berg.

Voorzitter. Ik ben graag bereid om te kijken hoe we de pakkans kunnen verhogen, want dat is volgens mij waar de heer Hijink naar vraagt.

Dank u wel, mevrouw Van den Berg. U was klaar, hè?

Ik wacht heel even, we gaan heel even schoonmaken. Jawel, dat moet. U behoort zeker tot een risicogroep. Het woord is aan de heer Baudet namens Forum voor Democratie.

Dank u wel. Daarmee zijn we aan het einde gekomen van de eerste termijn van de zijde van de Kamer.

Er is behoefte aan een iets langere schorsing dan we gewend zijn, dus ik schors de vergadering tot 13.45 uur. Dan krijgen beide ministers de gelegenheid om jullie vragen te beantwoorden. Ik schors de vergadering tot … O, meneer Verhoeven.

Ik ben natuurlijk niet tegen gedegenheid, zeker niet na het mondelinge vragenuur van vorige week. Dus ik ben voor een lange beantwoordingstijd van de minister, als hij die nodig heeft. Maar we hebben ook de beperking van het debat. Ik weet waar het dan vaak op uitdraait: bijna geen interrupties meer. Dan wordt de Kamer beperkt in de mogelijkheid om door te vragen op bepaalde onderdelen. Ik zou graag van de voorzitter horen hoe we dat dan aanpakken. U kijkt moeilijk, maar u begrijpt me volgens mij heel goed.

Ik kijk altijd moeilijk als u het woord neemt, meneer Verhoeven.

Dat is pijnlijk, maar …

Wat vraagt u eigenlijk precies aan de voorzitter?

Ik hoor het mevrouw Agema heel goed zeggen: krijgen we in de beperkte tijd straks voldoende ruimte om wel door te kunnen vragen op een aantal zaken? Het gaat erom dat we niet aan de oppervlakte blijven en door kunnen vragen.

Dat vraagt ook iets van de Kamerleden.

Kort.

Precies. Hoe wist u dat zo goed?

En niet moeilijk naar elkaar kijken.

Precies, ook. De interrupties bestaan uit korte vragen en korte opmerkingen, en niet uit herhalingen. Hoeveel vragen waren er gesteld? 399 vragen zijn schriftelijk beantwoord. Die heeft u allemaal gelezen. Inderdaad, vannacht. U moet dus geen vraag stellen die eigenlijk al beantwoord is. Zullen we dat zo afspreken? Goed zo. Dan schors ik de vergadering tot 13.45 uur.