Handeling
Datum publicatie | Organisatie | Vergaderjaar | Vergadernummer | Datum vergadering |
---|---|---|---|---|
Tweede Kamer der Staten-Generaal | 2020-2021 | nr. 52, item 3 |
Zoals vergunningen, bouwplannen en lokale regelgeving.
Adressen en contactpersonen van overheidsorganisaties.
U bent hier:
Datum publicatie | Organisatie | Vergaderjaar | Vergadernummer | Datum vergadering |
---|---|---|---|---|
Tweede Kamer der Staten-Generaal | 2020-2021 | nr. 52, item 3 |
Aan de orde is het debat over een privacylek in de systemen van de GGD.
De voorzitter:
Ik heet iedereen — de woordvoerders, maar ook de minister van Volksgezondheid, Welzijn en Sport en de minister voor Rechtsbescherming — van harte welkom. Aan de orde is het debat over het privacylek in het systeem van de GGD. Ik geef de heer Verhoeven als eerste spreker het woord, maar ik zie de heer Azarkan.
De heer Azarkan (DENK):
Voorzitter, een punt van orde. We vragen regelmatig om op tijd de informatie te krijgen, zodat we een goed debat kunnen voeren met elkaar. Ik constateer dat we gisteren een paar minuten voor tien in de avond de brief van vele kantjes hebben ontvangen op basis waarvan we vandaag het debat moeten voeren. Ik vind dat echt te laat.
De voorzitter:
U heeft uw punt gemaakt, volgens mij mede namens heel veel Kamerleden. Klopt dat? Ja, dat is het geval. Dan is die boodschap ook overgebracht. Dank u wel. Dan geef ik nu het woord aan de heer Verhoeven namens D66.
De heer Verhoeven (D66):
Voorzitter. Ruim een decennium terug ontdekten de overheden data als grootschalig uitvoeringsmiddel. De bedoeling was het aanpakken van terreur, fraudeurs en virussen, maar in de praktijk werd onze rechtsstaat langzaam tot surveillancestaat. Het afgelopen jaar brachten SyRI, de toeslagenaffaire en dit GGD-datalek onschuldige mensen in problemen door discriminatie, ongekend onrecht en identiteitsdiefstal. IT-overmoed, een heilig datageloof, leidde tot blind vertrouwen, blinde vlekken en oogkleppen, met maatschappelijke schade als gevolg. We zingen in koor: de wetgeving, de uitvoering en de controle moeten beter. Maar we doen het niet. De Kamer stemde recent voor de superdatawet WGS. De politie, Defensie en de Belastingdienst overtreden de wet en toezichthouders als de Autoriteit Persoonsgegevens krijgen geen extra geld. Als dit niet verandert, blijven data-affaires zoals deze zich herhalen en hollen we de rechtsstaat verder uit. Graag een reactie van de minister voor Rechtsbescherming.
Voorzitter. Het GGD-lek is geen incident, maar een structureel probleem. De coronacrisis roept om daadkracht. Men ging dus aan de slag, onder druk en overhaast, met testen, testen, testen. De wankele systemen uit 2003 werden snel opgeschaald. Duizenden medewerkers werden ingezet met haast onbeperkte toegang tot heel veel gegevens, zonder gedegen controle op misbruik. Ook na tien maanden was de beveiliging niet verbeterd en bleef die dus ondermaats.
Voorzitter. Al vanaf 1 juli waren er zorgwekkende signalen van medewerkers en diverse media. Er zijn verschillende risicoanalyses uitgevoerd door Fox-IT in opdracht van het ministerie van VWS, het RIVM en de GGD en ook een geheime analyse door de GGD zelf. Waarom geheim, vraag ik aan de minister. De begeleidingscommissie deelde haar zorgen met de GGD, maar op basis van alle signalen en analyses is maandenlang niets gedaan en de signalen bereikten de minister niet. Hierdoor informeerde hij de Kamer vorige week verkeerd. Waarom liet de minister dit gebeuren? Waarom is zo lang gewacht met serieus ingrijpen, terwijl al zo veel bekend was over de problemen? Waarom kon het vorige week, nadat alles naar buiten gekomen was, ineens wél? Waarom kon toen wél de exportknop uit? Waarom kon toen wél de printknop uit? Waarom konden toen wél minder medewerkers toegang krijgen tot allerlei gegevens? En weten we nu alles? Zijn er nog andere onderzoeken lopende? Worden er nog andere onderzoeken uitgevoerd of zijn die gaande?
Voorzitter. De Europese privacywet, de APG, is duidelijk: bij datasets met testuitslagen, bsn's en adressen van miljoenen Nederlanders horen technische voorzieningen, zoals toegangsbeperking en organisatorische voorzieningen, zoals controle en sancties. De praktijk was totaal anders. Er waren geen regie en geen scherpe kaders voor datagebruik. Er waren steekproeven in plaats van systematisch bijhouden wie welke dossiers kon inzien — het zogenaamde loggen — en functies voor het wegsluizen en uitprinten van data konden grootschalig worden gebruikt. Wat gebeurt er nu om het lek te dichten en de slachtoffers te helpen? Zijn de vier actielijnen van de minister wel voldoende? En waarom moet het allemaal weer maanden duren? Is het intussen, in de komende twee maanden, wel allemaal veilig?
De hele overheid zal haar datahuishouding ingrijpend moeten verbeteren. Ik zeg het ook tegen de collega's, nogmaals: ICT en data vormen een politiek kernthema.
Voorzitter. Tot slot een aantal vragen en suggesties voor een wat meer algemene manier van oplossen van dit structurele probleem. Is het mogelijk om het bsn anders in te zetten, bijvoorbeeld met een tijdelijk nummer per transactie? Dat verkleint de kans op identiteitsdiefstal. Gaat de overheid structureel inzetten op privacy by design, dataminimalisatie, doelbinding, audits, kwaliteitsnormen om dit soort zaken te voorkomen? En gaat het kabinet bij elke grote uitvoeringsinstantie een chief privacy officer aanstellen die centraal de privacy regelt? Laten we stoppen met het stapelen van incidenten en overheids-ICT en -dataystemen structureel verbeteren. Dus ondanks onze structurele voorkeur voor de korte termijn en onze afkeer voor complexiteit, moeten we onze besluitvorming en het matige trackrecord met ICT doorbreken en eindelijk komen tot serieuze verantwoordelijkheid op het gebied van data.
De voorzitter:
Dank u wel. Dan geef ik nu het woord aan de heer Hijink namens de SP.
De heer Hijink (SP):
Er staat nu wel "afronden", voorzitter.
De voorzitter:
Ja, bij sommigen doe ik dat preventief. Gaat uw gang.
De heer Hijink (SP):
Voorzitter. Kunnen mensen erop vertrouwen dat hun gegevens in de teststraat veilig zijn? Kunnen zij daarop vertrouwen? Die vraag staat wat de SP betreft vandaag centraal. Als mensen de teststraat gaan mijden omdat zij vrezen dat hun bsn-nummer op straat komt te liggen, hebben wij een groot probleem met de aanpak van het coronavirus en raken wij het zicht op het virus kwijt. De diefstal van gegevens is heel heftig en ik denk dat door velen toch nog wordt ontkend dat als jouw data op straat liggen, criminelen daar hele nare dingen mee kunnen doen. Van de week was dit tijdens een uitzending van Pointer nog weer eens te zien. Als mensen heel veel gegevens hebben, kunnen ze heel gericht proberen om jouw portemonnee leeg te plukken. Dat moeten we koste wat het kost voorkomen. Nu is er vorig jaar door de GGD met stoom en kokend water een nieuw systeem opgetuigd en zijn systemen aangepast om het bron- en contactonderzoek te kunnen doen en om het testbeleid snel te kunnen opschalen. Wij hebben best heel veel begrip voor de snelheid waarmee dat heeft moeten gebeuren. We hebben ook heel veel respect en waardering voor alle mensen die bij de GGD dit belangrijke werk doen. Dat moet ook gezegd blijven worden. Maar, als dingen zo misgaan, mag dat niet worden weggemoffeld. Dat is wel wat er vorige week in het vragenuurtje is gebeurd. Als er dingen misgaan, omdat het met heel veel spoed heeft moeten gebeuren, erken dan het probleem, pak het probleem aan en leg hier verantwoording af, maar houd hier geen onzinverhalen.
De problemen die er met de ICT-systemen bij de GGD speelden, waren al vanaf de zomer bekend. Medewerkers hebben het gemeld. Nieuwsuur had in september al een hele rapportage over het grote aantal mensen dat toegang had tot data. Waarom is er al die maanden niks gedaan om dit probleem op te lossen, vraag ik de minister. Wat was zijn eigen rol daarin? Wat was de rol van het ministerie? Hoe kan het dat als hij de opdrachtgever is van deze systemen, hij heeft toegekeken hoe het een halfjaar, drie kwart jaar mis heeft kunnen gaan?
Een belangrijke vraag is nu hoeveel data er eigenlijk is gestolen? Hoe groot is het lek? Daar zegt de minister nog niks over. Maar het is natuurlijk wel belangrijk. Gaat het om duizenden mensen, gaat het om honderdduizenden mensen of gaat het zelfs om data van miljoenen mensen? Wanneer krijgen we daar meer van te horen? Nog belangrijker, wanneer krijgen mensen zelf te horen dat hun data mogelijk in criminele handen zijn?
Voorzitter. Dan het vragenuurtje van vorige week. De minister heeft daar met heel veel bravoure een hoop onzin verteld. Dat kan wat de SP betreft niet door de beugel. Mijn vraag aan de minister: was hij nou gewoon niet op de hoogte van de ernst van het probleem of dacht hij met heel veel bravoure het probleem wel te kunnen bagatelliseren? Ik weet eerlijk gezegd niet wat erger is. Hij sprak over screenshots die zouden worden gedeeld met criminelen, maar het gaat om grootschalige diefstal van grote bestanden. Hij noemde veel lagere aantallen van medewerkers die toegang hadden tot de data en nu blijkt dat veel meer mensen toegang hadden tot die data. Vervolgens sluit de minister af met "tja, zo werkt het jongens", alsof de Kamer gek is en deze minister alles onder controle heeft, wat overduidelijk niet aan de hand is.
Voorzitter. Het valt de SP op dat deze minister heel gretig is met het claimen van succes, maar heel veel moeite heeft met het erkennen en aanpakken van de grote problemen waar we voor staan. Een van de oplossingen waar wij als SP naar zoeken, is het voorkomen van dit soort grote datalekken. We moeten dit echt zien te voorkomen. Dat kan bijvoorbeeld door de Autoriteit Persoonsgegevens nu eindelijk de middelen te geven om proactief aan de slag te gaan om lekken op te sporen. Daar is onlangs een briefing over geweest. En wat blijkt? Hoeveel mensen zijn er beschikbaar bij de Autoriteit Persoonsgegevens om proactief naar datalekken te speuren? Dat is welgeteld 0,2 fte. Er is dus iedere week één iemand bij de Autoriteit Persoonsgegevens één dag in de week bezig met het opsporen van datalekken. Vinden we het dan gek dat we er zo veel hebben en dat we altijd te laat zijn?
Voorzitter, ik wil van het kabinet horen waarom het van de privacywaakhond een spitsmuis maakt. Waarom krijgen zij niet het geld en de middelen om hun werk fatsoenlijk te kunnen doen? Is het enorme datalek waarover wij nu spreken niet de zoveelste reden om eindelijk te gaan investeren in de Autoriteit Persoonsgegevens, zodat die haar werk kan waarmaken en niet voor een dubbeltje op de eerste rij moet zitten?
Dank u wel.
De voorzitter:
Dank u wel, meneer Hijink. Dan geef ik nu het woord aan de heer Azarkan namens DENK.
De heer Azarkan (DENK):
Dank, voorzitter. We kennen allemaal voorbeelden van ouderen die het slachtoffer worden van oplichting, vaak omdat ze informatie en data hebben waarvan je denkt: hé, daar kan die persoon niet zomaar aan gekomen zijn. Miljoenen Nederlanders lopen het gevaar dat ze opgelicht worden — net als in het voorbeeld dat ik net schetste — omdat deze minister zijn werk niet heeft gedaan. Deze minister heeft de beveiliging van de gegevens van mensen die zich bij de GGD hebben laten testen niet op orde. Daarom wordt er op internet gehandeld in persoonsgegevens van heel veel Nederlanders.
Toegang tot een dataset van 6,5 miljoen Nederlanders: de natte droom van datacriminelen. Dat komt doordat onder verantwoordelijkheid van Hugo de Jonge cruciale fouten zijn gemaakt. Al in het begin van 2020 waren er zorgen over de veiligheid van de datasystemen. Medewerkers gaven aan dat zij allemaal bij de data van mensen konden, waaronder het bsn-nummer. Er waren al maanden zorgen over datalekken, maar daar is niets mee gedaan. Ik lees dat in de afgelopen periode 30 mensen ontslagen zijn bij de GGD omdat er met data is gesjoemeld. Ambtenaren van deze minister waren al vanaf de zomer op de hoogte dat de bescherming van de gegevens niet op orde was. Eind vorig jaar bleek uit de risicoanalyse dat er inderdaad sprake was van een groot risico op datalekken.
Voorzitter. Deze minister lag te slapen. Hij vond het niet belangrijk. Interne waarschuwingen van betrokken GGD'ers zijn genegeerd. Noodkreten van medewerkers gingen de prullenbak in. Ik vraag me überhaupt af of er een melding is gemaakt van het datalek bij de Autoriteit Persoonsgegevens. Wanneer is dat eigenlijk gebeurd?
Het is natuurlijk niet verrassend. Privacy en minister Hugo de Jonge zijn als water en vuur. Hugo de Jonge heeft niet zo veel met het beschermen van persoonsgegevens. Deze minister deelde tijdenlang, zonder dat mensen het wisten, testgegevens met onderzoekers en bedrijven in andere landen. Deze minister wil het coronapaspoort invoeren waarin staat of iemand getest is of niet.
Voorzitter. We hebben allemaal het debacle van de corona-app meegemaakt. De kritiek van de Autoriteit Persoonsgegevens op die app was snoeihard. Het was onduidelijk wat grote techgiganten als Google met die gegevens zouden doen. De server was onveilig. Onder leiding van Hugo de Jonge wordt het laatste beetje privacy dat we hebben, geslachtofferd.
Wat mij het meeste raakt — en ook heel veel burgers — is de wijze waarop Hugo de Jonge omgaat met die fouten. Hij erkent op geen enkele wijze dat er een gevaar zit in het misbruik van die gegevens. Hij weet altijd beter hoe het zit: "zo werkt het nu eenmaal, jongens". Hij belooft veel, maar komt zijn afspraken niet na, staat niet open voor kritiek, maar geeft de boeven de schuld en neemt geen verantwoordelijkheid voor het eigen handelen. Voorzitter, hij informeerde de Kamer tijdens het vragenuur op de verkeerde wijze.
De voorzitter:
Ik zie dat mevrouw Van den Berg wil interrumperen, maar ik begrijp dat zij nog even wil wachten met haar interruptie. Misschien is het ook goed om het over de minister te hebben.
De heer Azarkan (DENK):
Zeker. Als ik het over Hugo de Jonge heb, dan spreek ik over de minister, voorzitter.
De voorzitter:
Ja, maar hij zit in een functie. Dat probeer ik u mee te geven. Gaat u verder.
De heer Azarkan (DENK):
De minister kan met veel woorden en overtuiging onzin vertellen. Dat deed hij over het testen, dat deed hij over het bron- en contactonderzoek, dat deed hij over de corona-app, dat doet hij over de vaccinatiestrategie en nu ook over de bescherming van gegevens van burgers. En wat is het volgende? Wanneer komt er weer een lijk uit de kast van Hugo? En hoe groot is die kast eigenlijk? Nederland verdient beter leiderschap. Nederland verdient een betere aanpak van de corona. Nederland verdient een minister die pal staat voor de privacy.
Mevrouw Van den Berg (CDA):
Ik wil de heer Azarkan toch een paar feiten voorleggen. Hij legt allerlei dingen bij minister De Jonge neer die volgens mij op een ander bureau thuishoren. Eerst hebben wij de app gehad. Als er één ding is wat er met de appontwikkeling is gebeurd, dan is het dat de Autoriteit Persoonsgegevens aan het begin van het proces daarbij betrokken is geweest. Op basis van haar advies zijn er ook nog allerlei aanpassingen geweest. Dus dat is, denk ik, alleen maar een compliment voor de minister.
Dan zou ik eigenlijk aan de heer Azarkan willen vragen: moet hij zijn vragen niet richten aan de minister voor Rechtsbescherming? De GGD valt immers niet onder het ministerie van VWS, de Autoriteit Persoonsgegevens valt wel onder de verantwoordelijkheid van de minister voor Rechtsbescherming. Daar zou ik graag even een reactie op willen hebben.
De heer Azarkan (DENK):
Tegen mevrouw Van den Berg van het CDA zou ik willen zeggen: hou eens op! Hou eens op! Er zijn 6,5 miljoen burgers die het gevaar lopen om opgelicht te worden. En dan gaan wij hier een debat voeren over de vraag bij wie wij daarvoor precies moeten zijn. Wij hebben hier te maken met twee ministers. Wij hebben hier te maken met de minister die de corona-aanpak coördineert. Daar bevragen wij hem op. Het maakt die burgers toch niet uit of de GGD dat uitvoert of niet? In de brief — ik heb die goed doorgelezen — staat heel goed hoe het kan. Ineens, nu dit datalek is gebleken, kan de minister van alles op korte termijn regelen. Er staan vier aanpakken in de brief. Die zijn prima. Het enige is dat hij dat in april vorig jaar had moeten doen. Dan hadden die burgers nu niet thuis hoeven zweten en zich moeten afvragen: wanneer krijg ik een verzoek via phishing; wanneer wordt mij gevraagd om iets te betalen zonder dat ik het weet? Dus ik begrijp niet welke kant mevrouw Van den Berg op wil. Moet ik nu complimenten gaan uitdelen voor het feit dat hier data van burgers zijn gelekt, of dat het met de corona-app goed is gegaan?
Mevrouw Van den Berg (CDA):
Laten we vooropstellen dat het CDA niets wil afdoen aan de ernst van alles wat er gebeurt. Dat wil ik even heel duidelijk maken. Maar waar ik het wel over wil hebben, is ten eerste dat de heer Azarkan sommige feiten niet correct noemt. Die wil ik graag even herstellen. En ten tweede: als je kijkt hoe je dit structureel op een andere manier kunt organiseren, dan is het ook goed dat de heer Azarkan kijkt wat de rol is van deze minister en wat de rol is van andere onderdelen. Moeten wij het daar dan als Kamer misschien over hebben?
De heer Azarkan (DENK):
Degene die de zaken en de feiten niet op orde heeft, is uw minister. Dat is Hugo de Jonge. Die heeft hier zaken staan vertellen tegen de Kamer waar mensen in de samenleving en experts zich enorm aan gestoord hebben. Hij heeft gewoon onzin staan te verkondigen. Hij heeft staan vertellen dat de vog-verklaring voldoende was. Nu blijkt in de praktijk dat je die zes werken kon werken binnen de GGD en bij die gegevens kon, zonder vog. De minister geeft aan dat er gestructureerd, langdurig permanent onderzoek is. Dat was niet zo. Déze minister heeft de feiten niet op orde. U zou zich daarop moeten richten en niet op mij.
De voorzitter:
Goed. Dank u wel. En de minister zit hier in zijn functie als minister namens de Kroon en niet als persoon.
Dan geef ik nu het woord aan mevrouw Van Brenk, namens 50PLUS.
Mevrouw Van Brenk (50PLUS):
Voorzitter. We hebben het vaker gezegd: de overheid en ICT, dat is geen gelukkige combinatie. Op zich is dat een understatement, maar de overheid heeft zichzelf hier overtroffen, in negatieve zin welteverstaan. Dit is geen privacylek meer te noemen; dit is het wijd openzetten van alle ramen en deuren met de hartelijke uitnodiging: komt u maar binnen. En dat van een regering — demissionair of niet — die zelf cybersecurity tot een van haar prioriteiten heeft verklaard. Een overheid die zelf de gegevens van haar burgers te grabbel gooit. De minister heeft vorige week in het vragenuurtje de zaak echt gebagatelliseerd: ja, er is een probleem, maar nee, het is niet zo erg als u zegt. Maar in de brief van gisteravond werd dat toch echt wel genuanceerd. De systemen zijn niet ingericht op een taak van deze omvang; ze zijn ingericht op oorspronkelijke GGD-taken en niet op een pandemie. Zo kan het gebeuren dat GGD-medewerkers toegang hebben tot een onvoorstelbare hoeveelheid privégegevens waartoe ze helemaal geen toegang zouden moeten hebben. Daarnaast zijn er overhaast mensen aangenomen, zonder noemenswaardige screening, soms zonder vog; een walhalla voor criminelen die kwaad willen met andermans gegevens. Zo gemakkelijk is het nog nooit geweest. De overheid zelf heeft hen de moeite van een hack bespaard. Goed beschouwd, is het een wonder dat het nog zo lang heeft geduurd voordat er iemand met deze gegevens aan de haal ging.
In het feitenrelaas lezen we dat in mei vorig jaar over CoronIT werd gesteld: hierbij wordt voldaan aan de eisen van veilig gebruik van gegevens van burgers. Waarop was deze uitspraak destijds gebaseerd? Op 16 september meldt Nieuwsuur dat testmedewerkers bij gegevens konden die niet voor hen noodzakelijk waren. Een dag later meldt de inspectie dat er steeds meer stabiliteit en koppelingen ontstaan, waardoor de knelpunten op ICT-gebied steeds minder werden. Tussen mei en september is er volgens het feitenrelaas weinig gebeurd waaruit bleek dat er veiligheidsproblemen waren. Toch heeft de inspectie het over knelpunten. In de tussentijd moeten er dus signalen geweest zijn. Kan de minister hierop ingaan? En wordt er alsnog een wittoets uitgevoerd? Uit de brief maken we op dat er op korte termijn — pas in maart — maatregelen uitgevoerd worden. Waarom is dat niet eerder gebeurd? We zitten dus nog twee maanden met een onveilig systeem. Pas deze week worden de toegang en de zoekmogelijkheden beperkt. Waarom is dat niet eerder gebeurd? En wil dit lek zeggen dat de gegevens van mensen die voor reguliere GGD-taken komen, ook op straat liggen? De hamvraag is wat ons betreft: wie is nu eigenlijk eindverantwoordelijk voor dit drama? Is dat de voorzitter, de heer Rouvoet, die eindverantwoordelijk is voor het functioneren van de GGD's waar signalen van medewerkers zijn genegeerd? Of is het deze minister?
Voorzitter. Mensen maken zich zorgen over hun gegevens. Het is duidelijk dat gegevens zijn doorverkocht. Hun zorgen zijn dus niet meer dan terecht. Wat als criminelen slagen in hun opzet om — ik noem maar iets — leningen af te sluiten op naam van deze mensen? Wat gaat u doen om de schade te beperken? Verwijzing naar websites is wat ons betreft echt onvoldoende. Wie compenseert de schade? Wie zorgt voor juridische bijstand? We hebben net een brief ontvangen van het RIVM. Wat zegt dat nou? Wat betekent dit? Kan de minister daarop ingaan?
Kort en goed, voorzitter, dit is de zoveelste keer dat deze minister van VWS de zaken niet onder controle heeft. Het gevoel bekruipt ons dat het allemaal een maatje te groot begint te worden. Het lijkt erop dat hij zich wegbluft uit de problemen en dat wekt geen vertrouwen, niet bij de Tweede Kamer, maar al helemaal niet bij de burgers. Het gaat erom dat mensen vertrouwen hebben en dat ze terecht kunnen blijven komen bij teststraten en ze niet bang hoeven te zijn dat hun gegevens kwijtraken.
Dank u wel.
De voorzitter:
Dank u wel. Dan geef ik nu het woord aan mevrouw Kröger namens de fractie van GroenLinks.
Mevrouw Kröger (GroenLinks):
Voorzitter. We hebben vandaag dit debat mede vanwege de initiële reactie van de minister, maar ook van de voorzitter van de GGD GHOR, op het nieuws dat de gegevens van miljoenen mensen mogelijk verhandeld kunnen worden. Die reactie was volstrekt misplaatst, namelijk met zelfoverschatting maar ook met volstrekte onderschatting van het probleem. Gemakzuchtig zou je het kunnen noemen, want de minister wuifde bij het vragenuurtje de zorgen over het IT-systeem weg en hij sprak over crimineel gedrag van individuen waar geen kruid tegen gewassen is. De GGD kwam met een verklaring dat er sprake was van allerlei verhalen vol onjuistheden en onvolledigheden, in plaats van gewoon heel duidelijk en heel eerlijk de pijnlijke waarheid toe te geven: de IT-systemen die de GGD gebruikt, waren zo lek als een mandje. Er was onvoldoende controle op misbruik en er is een groot risico genomen met privacygevoelige informatie, waardoor mensen nu de dupe kunnen worden van criminelen die daar misbruik van maken.
"Ja, jongens, zo werkt het nu eenmaal." Dat was de reactie van de minister tijdens het vragenuurtje vorige week, toen mijn collega Buitenweg aandrong op een antwoord op de vraag of het klopte dat duizenden medewerkers — we begrijpen nu uit de brieven dat het om tienduizenden medewerkers gaat — toegang hebben tot gevoelige informatie van miljoenen Nederlanders. "Zo werkt het nu eenmaal." Die houding is wat ons betreft precies het probleem, want zo hoeft het natuurlijk helemaal niet te werken, als je privacy by design als uitgangspunt neemt en als je basisprincipe bij het ontwerp van al je IT-systemen is dat zo min mogelijk medewerkers toegang hebben tot zo min mogelijk informatie om het werk toch goed te kunnen blijven doen. Want waarom zou een callcentermedewerker alle mensen die getest worden op moeten kunnen zoeken? Waarom zou iemand die bron- en contactonderzoek doet en dus mensen belt met de vraag met wie ze contact hebben, ook de gegevens van 100 mensen moeten kunnen uitprinten of downloaden? Dat is onnodig en risicovol.
Het is goed dat de minister in zijn brief van gisteravond toch echt toegeeft dat tijdens het vragenuurtje het misverstand heeft kunnen ontstaan dat de controle wel op orde was. Want dat is inderdaad niet zo. Het gaat om structurele steekproefsgewijze controle, geeft de minister nu toe. Wat een contrast met het antwoord op onze Kamervragen, gesteld in september en met antwoorden van november, waarin hij schrijft dat er "scherpe controle plaatsvindt op de logging". Hoe kijkt de minister nu naar dat antwoord? Erkent hij dat dat antwoord feitelijk onjuist is? Of zou hij "structureel steekproefsgewijs" definiëren als "scherpe controle"? Dat hoop ik toch echt niet. En waarom wordt er nu pas werk gemaakt van een automatisch controlesysteem, dat dan eind maart klaar is, terwijl toch al veel langer duidelijk is dat het systeem niet functioneert?
Ik verwacht van de minister dat hij in dit debat onomwonden toegeeft dat er grote fouten zijn gemaakt bij de GGD, maar ook bij het ministerie dat uiteindelijk verantwoordelijk is voor de corona-aanpak.
Hoe nu verder? Hoe herstellen we het vertrouwen van mensen in het testen en in het handelen van de GGD? Want testen is cruciaal in de aanpak van de pandemie — dat zijn we uiteraard met de minister eens. Het belangrijkste punt daarvoor is privacy by design. Worden alle systemen — CoronIT, HPZone en het registratiesysteem van het RIVM voor de vaccinaties — getoetst door externe partijen om te kijken of medewerkers echt alleen toegang hebben tot die informatie die absoluut noodzakelijk is voor hun werkzaamheden? En waarom is autorisatie per GGD geregeld? Hier moeten toch glasheldere, centrale richtlijnen voor zijn? Komt er nou een waterdicht systeem om bij te houden of medewerkers in data neuzen waar ze absoluut niets mee hoeven?
Voorzitter, afsluitend. Dit schandaal heeft een lelijke smet geworpen op het vertrouwen dat mensen hebben in hoe de overheid met hun gegevens omgaat. Het registeren van bepaalde gegevens voor het testen, het vaccineren en zo direct een quarantaineverplichting is helaas noodzakelijk bij het bestrijden van de pandemie. Daarom moet privacy prioriteit zijn.
De voorzitter:
Dank u wel. Dan geef ik nu het woord aan mevrouw Van Esch namens de Partij voor de Dieren.
Mevrouw Van Esch (PvdD):
Dank u, voorzitter. Ik denk dat niemand van ons hier vandaag wil staan, en dat de minister ook liever ergens anders had gezeten. Maar zo is het elke keer weer bij een datalek in de zorg, en die waren er helaas nog weleens in de afgelopen jaren. Het is namelijk de sector met de meeste datalekken. De GGD, de ggz, het Donorregister en de ziekenhuiszorg: het is helaas telkens weer raak. Ook nu weer zitten miljoenen mensen zich af te vragen of hun gegevens zijn gelekt. Sommigen vragen zich letterlijk af of ze thuis nog wel veilig zijn. Dan is het pijnlijk voor die mensen dat de minister eigenlijk nog altijd geen idee heeft van hoe groot het lek is en van wie welke data nou precies gelekt zijn. Dat helpt natuurlijk niet bij het terugwinnen van het vertrouwen in dat zo cruciale bron- en contactonderzoek en in dat cruciale testbeleid. Is nog in eigen systemen te achterhalen hoe groot dit lek nou eigenlijk was, vragen wij ons af.
Wat natuurlijk ook niet helpt bij het terugdringen van het vertrouwen, is dat de minister naar de Kamer komt en ons vorige week toch wel echt een beetje verzuchtend en feitelijk onjuiste antwoorden geeft. Hij biedt daar in zijn brief wel enigszins zijn verontschuldigingen voor aan, maar ik vond het vorige week toch wel tekenend. Ik vond het tekenend voor het gebrek aan besef en voor wat de consequenties zijn als mogelijk miljoenen gegevens verloren raken. Dat is letterlijk levensgevaarlijk. Privacy en databeveiliging zijn niet het sluitstuk, maar zouden juist de basis moeten zijn.
Allereerst wil ik dan ook van de minister weten waarom niet eerder in het jaar aandacht is geweest voor die privacy bij de GGD. We zitten sinds maart in deze situatie. We lezen dat vooral in november en december meer aandacht gekomen is voor privacy. Hoe kan dat nou, zeker als de Kamer in april al zo duidelijk heeft gemaakt hoezeer zij daaraan hecht? Was er nou echt niemand op het ministerie die dacht: goh, als we het bij de app zo dichtgetimmerd willen hebben, dan zullen ze dit ook bij de GGD zo willen?
Ten tweede, is de minister nog altijd van mening dat alle callcentermedewerkers toegang moeten hebben tot alle dossiers? Dat strookt niet met dat, door andere partijen al genoemde, principe van privacy by design. Hoe wordt nu gewerkt aan het terugbrengen van die toegang, zowel van het aantal dossiers waartoe iemand toegang heeft, als het aantal mensen dat die toegang heeft?
Dan wil ik toch ook nog kort ingaan op die corona-opt-in. De minister noemt het niet vergelijkbaar, maar in de basis kent die corona-opt-in precies hetzelfde gevaar, namelijk grote hoeveelheden privacygegevens die in te zien zijn door grote groepen mensen die daar eigenlijk niks mee te maken hebben. 8 miljoen mensen hebben nooit toestemming gegeven. Toch kunnen medewerkers van huisartsenposten, spoedeisende hulpen en apotheken gluren en handelen in die medische gegevens van mensen, als ze dat zouden willen. Net zoals de GGD-medewerkers dat konden. Wij snappen echt niet waarom nog steeds diezelfde methode kan blijven bestaan bij die corona-opt-in. We vragen dan ook om terug te gaan naar die andere basis van die corona opt-in, en dat is dus níet die corona-opt-in.
De corona-opt-in en andere datalekken die ik noemde, zijn wat mijn fractie betreft voorbeelden van een brede misstand. Alsmaar weer worden systemen opgetuigd met de focus op wat er allemaal kan met data. Eigenlijk nooit wordt gefocust op wat er allemaal niet zou moeten kunnen met die data. En wat mijn fractie betreft moet de minister inzien dat er jaren aan de verkeerde weg is getimmerd, dat breed in de zorg ICT-systemen terug naar die tekentafel zouden moeten, dat de NEN-normen moeten worden aangescherpt en dat privacynormen voortaan op één moeten staan voordat je begint aan zo'n ICT-systeem. En als dat niet gebeurt, dan vrees ik dat we hier in een volgende periode weer zullen staan.
Dank u wel.
De voorzitter:
Dank u wel, mevrouw Van Esch. Dan geef ik nu het woord aan mevrouw Kuiken namens de PvdA.
Mevrouw Kuiken (PvdA):
Voorzitter. We zitten in een ongekende crisis en in een crisis worden fouten gemaakt, terwijl er door duizenden mensen knetterhard wordt gewerkt, en ook door de minister. Dat is zwaar, en dat zien wij heus wel. Dat neemt echter niet weg dat het ook onze rol is om als Kamer kritisch te blijven op het moment dat er dingen niet goed gaan. En vooral omdat het bij een datalek om zo ongelooflijk veel mensen gaat: 8 miljoen mensen, bijna de helft van Nederland, waarvan adresgegevens, medische gegevens, bsn-nummer potentieel op straat liggen. En kwalijk dat criminelen daarbij konden, maar nog schandelijker dat de interne berichtgeving daarover en de signalen en waarschuwingen daarover zijn genegeerd.
Bij het mondelinge vragenuur vorige week reageerde de minister te nonchalant, met een voor hem bekende bravoure, en werden er dingen verteld of geschetst die nu — zo weten we — gewoonweg niet waar waren. Inmiddels ligt er een uitgebreide brief en antwoorden op 399 vragen, en daarvoor heel veel dank. Ik heb ze doorgenomen, maar toch blijft er een aantal vragen onvoldoende beantwoord. Ik beperk me tot een aantal zaken.
Bij de start van CoronIT zijn door partijen testen uitgevoerd op de informatieveiligheid en -privacy. Mij is echter alleen nog steeds niet duidelijk wat er nu precies in deze testen stond. Waarom, is ook mijn tweede vraag, zijn er niet eerder stringentere veiligheidsmaatregelen genomen? Het is namelijk niet zo dat we pas sinds vorige week weten wat er aan de hand is; al in april waren er signalen, in juni waren er signalen, in september was er een uitgebreide reportage in Nieuwsuur, waarin we eigenlijk al wisten dat er een groot veiligheidsrisico was. En waarom zijn een aantal functies, zoals de exportfunctie, pas sinds vorige week uit het systeem gehaald?
Mijn derde vraag is dat de minister herhaalt dat de Kamer van de kwetsbaarheden op de hoogte was. Nou, dat trek ik me aan, dus ik heb gekeken. Ja, er zijn inderdaad wat Kamervragen gesteld. Er is een technische briefing geweest, maar ook daarin mist de alarmerende functie. Ik lees in een verslag van de LCT van voor 24 december dat er sprake was van serieuze kwetsbaarheden. In de brief van 24 december die wij vervolgens kregen, staat dat er wordt gesproken over enkele kwetsbaarheden. Op Kamervragen die zijn gesteld in de technische briefing wordt door de heer Van der Zalm van VWS gezegd: ik weet het antwoord niet. Dat vindt plaats in november.
Voorzitter. Het is ontzettend belangrijk voor het draagvlak dat er vertrouwen blijft in de wijze waarop er wordt getest en waarop er met persoonsgegevens wordt omgegaan. En er worden fouten gemaakt in een crisis, maar dit datalek staat niet op zichzelf. We hebben de mondmaskers gehad, we hebben het testen gehad, we hebben het trage vaccineren, we hebben het gegoochel met vaccinatiecijfers. En dat doet dan ook de vraag oprijzen of het deze minister niet over de schoenen loopt, of er niet gewoon een aantal taken in het kabinet herverdeeld moeten worden; misschien richting minister Van Ark, misschien richting minister Ollongren. Want als er niet een gesmeerde en gestructureerde crisisorganisatie op poten wordt gezet, als het vertrouwen elke keer wordt ondermijnd, zal dat uiteindelijk het draagvlak van de inwoners van Nederland ondermijnen. En dat is het slechtste wat we kunnen hebben. We hebben allemaal behoefte aan een beetje perspectief. We hebben allemaal een beetje behoefte aan lucht, maar voorlopig moeten we het echt doen met voldoende draadvlak voor de stringente maatregelen die het kabinet voorstelt.
Dank u wel, voorzitter.
De voorzitter:
Dank u wel. Dan geef ik nu het woord aan de heer Veldman namens de VVD.
De heer Veldman (VVD):
Voorzitter. We smachten allemaal naar het einde van de coronacrisis. Met testen en vaccineren bewandelen we die weg naar het einde. Een enorme operatie waar duizenden mensen dagelijks mee bezig zijn en die in een razend tempo ingevoerd moest worden en uitgevoerd moet worden. Maar juist wanneer onder grote druk dergelijke projecten worden opgezet en ingericht, is het risico op vermijdbare fouten groter en moet je extra stappen nemen om je interne organisatie te beveiligen. Met deze wetenschap en de berichtgeving afgelopen september over het niet op orde zijn van de processen en ICT bij de GGD, is het des te kwalijker dat de screening van nieuwe medewerkers niet adequaat is gedaan. Ondanks het feit dat voor corona bekend was dat de registratiesystemen niet veilig waren, is er toch voor gekozen om met deze systemen te blijven werken tijdens de coronacrisis. Signalen over deze veiligheidsrisico's zijn niet actief aangepakt.
Voorzitter. Het is schandalig dat er personen rondlopen die in een crisis als deze misbruik maken van hun positie en gevoelige data illegaal verkopen. Zijn alle personen die zich hieraan schuldig hebben gemaakt, in beeld? Wat zijn nu de vervolgstappen? Het is ook schandalig dat de 25 GGD'en, zoals hun voorman Rouvoet dat ook verwoordt, de dief de gelegenheid hebben geboden.
Voorzitter. De gewraakte exportfunctie waarmee grote bestanden met persoonsgegevens gedeeld konden worden, is inmiddels uit HPZone verwijderd, zo hebben we begrepen. Maar ik ben wel benieuwd welke invloed dit heeft op de werkzaamheden van de GGD en de bron- en contactonderzoekers. Hoe zit het met de exportfunctie in andere systemen? Hoe is de veiligheid in die systemen geborgd? Welke stappen worden verder genomen om systemen veilig te krijgen? Het duurt blijkbaar namelijk tot maart voordat systemen automatisch en continu op misbruik zullen worden gecontroleerd.
Voorzitter. Hoe weegt de minister de snelheid van het kunnen beschikken over data, wat ons zicht op het virus oplevert, ten opzichte van veiligheid en zorgvuldigheid, waarvan het belang minstens zo groot is? Ik zag net voor het debat een brandbrief van het RIVM, dat hier ook voor waarschuwt. Mogen we ervan uitgaan dat de systemen op orde zijn bij de vaccinatieregistratie, nog voor we aan de grote aantallen toe zijn?
Voorzitter. Dat persoonsgegevens zijn gelekt kunnen we helaas niet terugdraaien. Het is des te belangrijker om duidelijkheid te hebben over de vervolgstappen. De GGD zegt nog niet te kunnen zeggen van wie de gegevens zijn gestolen, omdat dit onderdeel is van het onderzoek. Wat is de stand van zaken van dit onderzoek? Is er zicht op de omvang van het aantal gelekte gegevens? Hoelang duurt het voordat mensen weten of hun gegevens zijn gestolen? Mensen zijn bang dat hun gegevens in verkeerde handen zijn gevallen. Die zorgen zijn terecht. Zij lopen het risico om slachtoffer te worden van oplichting, identiteitsfraude en fraude met medische informatie. Vorige week bereikten ons berichten dat persoonsgegevens die werden gestolen bij de GGD vorig jaar al zijn gebruikt door oplichters. De Fraudehelpdesk zou ongeveer 40 meldingen terug hebben kunnen koppelen naar de berichtgeving van vorige week maandag. Klopt deze berichtgeving?
Voorzitter. Het is belangrijk aandacht te hebben voor fraudevormen waar individuele slachtoffers mee te maken hebben of mogelijk gaan krijgen. Wat gebeurt er nu om de handel in buitgemaakte persoonsgegevens te stoppen? Hoe gaat de minister de slachtoffers hiervan informeren? Wordt er al nagedacht over hoe we eventueel misbruik van persoonsgegevens door dit datalek kunnen compenseren? En minstens zo belangrijk: hoe wint de minister van Volksgezondheid het vertrouwen van Nederlanders terug? Hoe houden we de test- en vaccinatiebereidheid hoog? Deze fout van de GGD mag niet als resultaat hebben dat mensen zich niet meer willen laten testen of vaccineren, uit angst om gegevens kwijt te raken. Kortom, welke stap naar voren gaat de minister nu zetten?
Dank u wel.
De voorzitter:
Dank u wel. De heer Hijink.
De heer Hijink (SP):
Ik heb de heer Veldman niet gehoord over hoe we ervoor kunnen zorgen dat we dit soort fouten, dit soort datalekken, dit soort hacks, dit soort diefstal kunnen voorkomen. Een van de manieren om dat te doen, is om de Autoriteit Persoonsgegevens veel meer mogelijkheden te geven om dit preventief aan te kunnen pakken. Bij de AP is er iedere week één iemand die één dag preventief op zoek kan naar datalekken. Dat heb ik net ook verteld. Ik zou aan de VVD willen vragen of ze dat acceptabel vinden. Vindt de heer Veldman ook niet dat als je dit soort problemen wilt voorkomen, je dan veel beter moet investeren in de Autoriteit Persoonsgegevens?
De heer Veldman (VVD):
Ik ben het met de heer Hijink eens dat je met elkaar goed moet kijken wat de omvang en de structuur van de Autoriteit Persoonsgegevens moeten zijn om datgene te doen waarvoor zij ook zijn opgericht. Maar daar zeg ik graag bij dat de Autoriteit Persoonsgegevens niet is opgericht om eigenaar te worden of te zijn van systemen waarmee gewerkt wordt. Het is niet de autoriteit die eigenaar is van systemen waar fouten in zitten. Het is in dit geval de GGD die eigenaar is van die systemen. Dus het is ook aan de GGD om ervoor te zorgen dat er geen mogelijkheid is voor het lekken van data, dat er geen mogelijkheid is om uit die systemen op niet geautoriseerde wijze gegevens te verkrijgen en die te verhandelen.
De heer Hijink (SP):
Dit is een hele rare redenering. Dat zou betekenen dat we ook geen politie nodig hebben, omdat de heer Veldman eigenaar is van zijn eigen auto en dus zelf bepaalt of hij wel of niet te hard rijdt. Je hebt een waakhond om op zoek te gaan naar kwetsbaarheden, naar fouten, om dan vervolgens vroegtijdig in te grijpen, zodat de data van miljoenen mensen niet op straat belanden. Dat is de reden dat je een waakhond hebt. Alleen deze waakhond kan amper blaffen. Die heeft niet eens tijd om te blaffen, want er is maar één iemand die één dag in de week daarnaar op zoek mag. Voor heel Nederland! Dat is toch bizar weinig! Ik vraag de heer Veldman niet wie de eigenaar van het probleem is, maar wie als waakhond moet optreden en of die voldoende middelen heeft om dat ook te doen.
De heer Veldman (VVD):
De autoriteit is die waakhond, net zo goed als de politie een waakhond is in gevallen waarbij dingen fysiek gestolen worden. Dat wil nog niet zeggen dat we oneindig veel politiecapaciteit moeten hebben om ervoor te zorgen dat mijn auto niet gestolen wordt als ik die hierbuiten met draaiende motor parkeer. Dan heb ik ook zelf een verantwoordelijkheid om ervoor te zorgen dat als ik niet in de buurt van mijn auto ben, mijn auto op slot is, dat de dief er niet zomaar in kan. En ja, als die gestolen is, dan hebben we de politie om ervoor te zorgen dat de dader wordt opgespoord. Maar dat is iets anders dan wanneer de politie aan de voorkant naast mijn auto gaat staan om ervoor te zorgen dat die niet gestolen wordt.
De heer Hijink (SP):
Voorzitter. Ik stel toch net een simpele vraag …
De heer Veldman (VVD):
En dat geldt ook voor de Autoriteit Persoonsgegevens.
De voorzitter:
De heer Hijink.
De heer Hijink (SP):
Ik stel toch een hele simpele vraag. Is één persoon die één dag in de week beschikbaar is bij de Autoriteit Persoonsgegevens om datalekken op te sporen, voldoende in de ogen van de VVD? Of vindt de VVD het eigenlijk ook wel een blamage dat dat maar zo weinig is?
De heer Veldman (VVD):
Volgens mij kunnen en de heer Hijink en ik op basis van de rekensom die de heer Hijink maakt, niet beoordelen of dat nou wel of niet voldoende is. Daarom zei ik net al: ja, ik ben het met de heer Hijink eens dat we met elkaar moeten kijken wat qua uitvoeringscapaciteit bij de Autoriteit Persoonsgegevens nodig is om hun rol op een goede manier waar te maken. De heer Hijink trekt de conclusie om bij voorbaat te zeggen: dat moet meer, want ze hebben een verantwoordelijkheid voor de datalekken. Nee, het is niet de Autoriteit Persoonsgegevens die de verantwoordelijkheid heeft voor de datalekken. Degene die eigenaar is van het systeem, heeft de verantwoordelijkheid om ervoor te zorgen dat zijn systeem waterdicht is.
De voorzitter:
Echt tot slot op dit punt, want anders wordt het een herhaling.
De heer Hijink (SP):
Dit is niet mijn opvatting. Er ligt een uitgebreide analyse over de Autoriteit Persoonsgegevens dat er een chronisch tekort is aan mensen en dat een verdubbeling van het aantal fte's nodig is om überhaupt fatsoenlijk hun normale taken, zoals het opsporen van datalekken, te kunnen uitvoeren. Dat is niet mijn opvatting. Extern onderzoek heeft dat aangetoond. En dan heb je het dus over een bedrag dat richting de 62 miljoen euro gaat, dat nodig zou zijn om alleen al het werk te doen voor de taken die ze nu hebben. En dat geld is er gewoon niet, omdat de VVD en ook het CDA dat telkens blokkeren. Een groot deel van de Kamer wil dat dat geld er wel komt, juist om dit soort grote problemen te voorkomen. Maar u hebt dat iedere keer tegengehouden. En nu zit er dus maar één iemand, één dag in de week.
De voorzitter:
Dat heeft u duidelijk gemaakt, meneer Hijink.
De heer Veldman (VVD):
Voorzitter. Volgens mij is het een herhaling van zetten. Ik heb net al gezegd dat ik graag bereid ben om met de heer Hijink te kijken wat er in de volle breedte van de Autoriteit Persoonsgegevens nodig is. Dat maakt nog niet dat de autoriteit de verantwoordelijkheid heeft voor het dichten van lekken. Het dichten van lekken is een verantwoordelijkheid van de eigenaar van het systeem.
De heer Azarkan (DENK):
Ik vind dit betoog van collega Veldman van de VVD tenenkrommend. Dat vindt mijn collega Hijink waarschijnlijk ook. Op papier hebben we iets ingericht. We hebben namelijk een instituut, een autoriteit. De praktijk is dat die autoriteit zegt: we hebben totaal geen capaciteit om dit te doen. We hebben hier vorige week een hoorzitting gehad over de toeslagenaffaire. Het heeft een jaar en twee maanden geduurd voordat de Autoriteit Persoonsgegevens met haar rapportage kwam, waaruit bleek dat Nederlanders gediscrimineerd waren, dat er verkeerd was gewerkt en dat de AVG op tal van punten was overtreden. Een van die hartenkreten van de Autoriteit Persoonsgegevens is: geef ons alsjeblieft iets meer mankracht. Ik vraag het nogmaals, net zoals collega Hijink van de SP. Zou het in het veranderende tijdsgewricht waarin we zien dat heel veel organisaties gebruikmaken van data, algoritmes et cetera, niet logisch zijn om ze dat ook te gunnen?
De voorzitter:
Dezelfde vraag als die van de heer Hijink.
De heer Veldman (VVD):
Ja, voorzitter, dezelfde vraag verdient ook weer hetzelfde antwoord. Ook met de heer Azarkan ben ik bereid om na te denken en te kijken waar het nodig is om eventueel zaken te doen, ook bij de Autoriteit Persoonsgegevens. Dat laat onverlet dat de eigenaar van het systeem de verantwoordelijkheid heeft om ervoor te zorgen dat zijn systeem op orde is. Ik investeer liever in het zorgen voor goede systemen dan in eindeloos opbouwen en opbouwen van ontrollen op controle op controle. Volgens mij gaat het om de basis op orde hebben. Dat zijn systemen zelf, en dan is de GGD in dit geval de eigenaar.
De heer Azarkan (DENK):
Voorzitter ...
De voorzitter:
Zelfde antwoord.
De heer Azarkan (DENK):
Wat we hier zien is dat dat hier juist verkeerd is gegaan, ondanks al die meldingen, die wellicht in gebruik hadden kunnen worden genomen door de Autoriteit Persoonsgegevens als ze de capaciteit hadden gehad, waardoor ze misschien heel veel Nederlanders hadden kunnen behoeden. De waarschuwingen wáren er. Er waren interne medewerkers die zeiden: "Hoe kan het nou dat iedereen toegang heeft tot die data?". Natuurlijk is het zo dat mensen en organisaties verantwoordelijk zijn voor de bescherming van hun spullen. Maar als we één agent in Nederland hebben en als we vervolgens zeggen: "We zien de toename van het aantal inbraken", dan kunnen we toch niet zeggen dat iedereen alleen verantwoordelijk is voor de bescherming van zijn eigen spullen? Het gebeurt steeds meer en daarom het rechtvaardigt het dat we meer daar meer capaciteit brengen. Laten we ernaar kijken. Kom op, meneer Veldman, zeg ik via u, voorzitter!
De heer Veldman (VVD):
De heer Azarkan slaat de spijker op z'n kop. De waarschuwingen waren er, intern, van medewerkers. De gesprekken met de Autoriteit Persoonsgegevens zijn er geweest in het najaar. Wie is er dan verantwoordelijk voor het oplossen van het probleem? Niet de autoriteit. De GGD was en is verantwoordelijk voor het dichten van datalekken. De signalen waren er van medewerkers. De signalen en gesprekken waren er vanuit de autoriteit. Dus er gebeurt precies datgene wat de heer Azarkan zegt. Het gebeurt!
De heer Verhoeven (D66):
Ik zal daar één vraag over stellen en ik zal proberen wat scherper te krijgen wat meneer Veldman nou wil, want hij schuift met verantwoordelijkheden en daar ben ik het niet mee eens. Er zijn gedeelde verantwoordelijkheden, maar we hebben SyRI gehad, de toeslagenaffaire, nu het GGD-datalek. Rode draad? De AVG, de Europese privacywet, wordt steeds, en dus stelselmatig door de overheid overtreden. De Autoriteit Persoonsgegevens is er om de AVG te handhaven, ook als de overheid die overtreedt, zoals vandaag blijkt en steeds is gebleken het afgelopen jaar. Vervolgens zijn er drie, vier onderzoeken geweest, Kamermoties, die allemaal uitwijzen dat meer geld voor de autoriteit keihard nodig is. De VVD is een partij van law and order, van keihard aanpakken, van misstanden vól aanpakken en oplossen. En nu staat de heer Veldman hier en zegt tegen mijn collega's: "Ja, we kunnen er eens naar kijken." Geef nou volmondig toe dat die autoriteit keihard nodig is, dat ze meer geld nodig hebben en dat we daarnaar gaan kijken, bij wijze van spreken in de volgende kabinetsperiode. Zeg dat nou gewoon toe!
De heer Veldman (VVD):
Volgens mij heb ik dat net gezegd, namelijk dat ik graag bereid ben om met elkaar te kijken wat er uiteindelijk nodig is. Maar dat laat onverlet, en dat herhaal ik dan ook maar richting de heer Verhoeven, dat in de casus die we vandaag bespreken de signalen er waren, de gesprekken met de autoriteit er zijn geweest en het dus aan de GGD is om ervoor te zorgen dat die datalekken er niet zijn. Dat had dus misschien wel aan het begin gemoeten. Dan had dat gesprek niet hier, maar misschien ook wel op andere plekken moeten worden gevoerd. Waarom niet in de gemeenteraad van Amsterdam, met wethouder Kukenheim, verantwoordelijk voor gezondheidszorg en dus ook verantwoordelijk voor de GGD. Investeren we voldoende in de GGD? Daar hadden ook de gesprekken plaats moeten vinden, niet alleen maar aan het eind van de rit, als je ziet dat er een datalek is, en dan zeggen: we moeten de Autoriteit Persoonsgegevens groter maken. Ja, we moeten met elkaar kijken hoe groot die autoriteit moet zijn en of ze hun werk op een goede manier en voldoende aankunnen. Maar in deze casus, het GGD-datalek dat we hier vandaag bespreken, constateer ik in ieder geval dat de autoriteit de gesprekken gevoerd heeft, en dat we met elkaar constateren …
De voorzitter:
U zou een scherpe vraag stellen, meneer Verhoeven.
De heer Veldman (VVD):
… dat er onvoldoende gedaan is.
De voorzitter:
Anders wordt het echt voor de zoveelste keer dezelfde vraag in verschillende gedaantes.
De heer Verhoeven (D66):
Ik ben de belofte van een scherpe vraag volgens mij nagekomen. Eén aanvullende vraag. De heer Veldman doet nu alsof alles wat de Autoriteit Persoonsgegevens doet achteraf gebeurt, op het moment dat het al misgegaan is. Er is al in september contact geweest tussen de autoriteit en de GGD over dit voorval. Ik meen in de brief van de minister van gisteravond laat te lezen dat er weinig opvolging is geweest. Ik denk dat dat komt doordat er ongelooflijk veel dossiers op de bureaus bij de autoriteit liggen die allemaal vragen om extra aandacht, extra controle. Dat is nog niet zo makkelijk met al die digitale systemen. Dus heb nou alsjeblieft oog — zeg ik tegen de heer Veldman via u, voorzitter — voor het serieuze tekort, dat onze rechtsstaat ondermijnt, bij de Autoriteit Persoonsgegevens als waakhond van de Europese privacywet.
De voorzitter:
Dat heeft u ook eerder gezegd volgens mij.
De heer Veldman (VVD):
Ik deel met de heer Verhoeven de waarneming uit de berichten van gisteravond dat er weinig opvolging is geweest. Die opvolging had moeten plaatsvinden bij de GGD. De minister geeft ons nu aan welke stappen er gezet zijn, met de vraag wat er nog meer nodig is. Die stappen hadden dus in september gezet moeten worden door de GGD.
Mevrouw Kröger (GroenLinks):
Ik ga door op dit punt. We zijn een stapje verder, want de heer Veldman geeft toe dat we moeten gaan kijken hoeveel capaciteit de Autoriteit Persoonsgegevens nodig heeft. Maar de simpele constatering op dit moment is dat die capaciteit onvoldoende bescherming biedt om te zorgen dat dit soort datalekken niet kan plaatsvinden. Erkent de heer Veldman dat nu? Ik ga terug naar de eerdere vraag van de SP.
De heer Veldman (VVD):
Dit is een herhaling van dezelfde vraag, namelijk: is de heer Veldman, is de VVD, bereid om te kijken naar wat er nou nodig is qua omvang bij de Autoriteit Persoonsgegevens? En ja — dat heb ik volgens mij nu vier keer gezegd — ik ben bereid om daar met elkaar naar te kijken. Alleen, waar ik niet blindelings "ja" tegen zeg, is: gooi er maar extra geld tegenaan en dan komt het goed. Want dat wil niet zeggen dat het dan goed komt. In de basis is het nog steeds de eigenaar van het systeem die ervoor moet zorgen dat zijn systeem op orde is.
De voorzitter:
Dat heeft u een paar keer gezegd. Mevrouw Kröger. Dit wordt een herhaling van zetten.
Mevrouw Kröger (GroenLinks):
Daarom gaan wij nu een debat voeren over de noodzaak om bijvoorbeeld privacy by design veel beter te borgen. Maar het is te gemakkelijk om te doen alsof je een oneindige hoeveelheid politie nodig hebt, of 0,2 fte één dag per week. De erkenning dat er meer capaciteit bij moet bij de Autoriteit Persoonsgegevens hoor ik dan nu schoorvoetend. Kunnen we dat nu in ieder geval vaststellen in dit debat?
De heer Veldman (VVD):
Nee, niks "schoorvoetend". De simpele constatering is dat we met elkaar gewoon moeten doen wat nodig is. En ja: privacy by design. Ook dan slaat mevrouw Kröger de spijker op zijn kop. Het is niet de Autoriteit Persoonsgegevens die zorgt voor het design. Het is de ontwerper, de eigenaar, van het systeem die zorgt voor het design.
De voorzitter:
Ik zie mevrouw Kuiken en ik zie mevrouw Van Brenk. Dezelfde vraag kan niet tienduizend keer worden herhaald en dan net in een andere vorm. Jullie krijgen hetzelfde antwoord, dus ik wil toch even vragen of u een nieuwe vraag hebt, mevrouw Kuiken.
Mevrouw Kuiken (PvdA):
Ja, voorzitter. Ik ben het wel eens met D66 en de SP, maar ik heb een andere vraag. Mijn vraag gaat hierover. De heer Veldman verwijst voortdurend naar de verantwoordelijkheid die bij de GGD ligt. Maar de heer Veldman is het toch met mij eens dat dit ook in opdracht van VWS gebeurde? Ik heb de notulen erop nagelezen. Ze zijn bij alle belangrijke gesprekken geweest die plaatsvonden over het systeem. In ieder geval vanaf november zijn ze daarbij aanwezig geweest, voor zover ik heb kunnen terugkijken. Dus ze hebben geweten van de risico's en ze waren op de hoogte van de informatiebeveiligingslekken die er in potentie waren. Dus ik vind het iets te gemakkelijk om alleen te kijken naar de GGD, zeker omdat het een nationale crisis betreft. Is de heer Veldman dit met mij eens?
De heer Veldman (VVD):
Zeker. Als mevrouw Kuiken mijn bijdrage goed beluisterd heeft, dan weet zij dat ik daar een aantal dingen over heb gezegd. Sterker, ik sloot af met de zin: kortom, welke stap naar voren gaat de minister nu zetten? Natuurlijk heeft de minister hierin ook een verantwoordelijkheid, juist omdat hij de aanwijzingen geeft. Juist omdat hij nationaal dé coronaminister is. Uiteraard heeft de minister een verantwoordelijkheid. Ook ik zie, met mevrouw Kuiken, dat er in de brief van de minister van gisteren heel vaak staat "de GGD meldt", "de GGD geeft aan", "de GGD zegt dit", "De GGD zegt dat". Dan is mijn vraag: wat zegt dan de minister? Wat doet de minister? Dus ja, ik ben het met mevrouw Kuiken eens.
Mevrouw Kuiken (PvdA):
... Mijn tweede vraag is ...
De voorzitter:
Komt u maar naar deze microfoon, want de middelste is echt voor grote, zware mannen bedoeld.
Mevrouw Kuiken (PvdA):
Dat vind ik een compliment, in de strijd tegen de coronakilo's. Dank u wel voorzitter.
Ik word weer even serieus. De heer Veldman loopt in ieder geval vanaf juni al mee op dit dossier. Ik was even getriggerd door het feit dat de minister al een aantal keren heeft gezegd dat de Kamer was geïnformeerd over de kwetsbaarheden. Mijn vraag is oprecht: was de heer Veldman echt gealarmeerd door het feit dat er zo'n groot probleem was met de systemen zoals ze nu zijn opgetuigd?
De heer Veldman (VVD):
Ik denk dat we daar, als we met elkaar terugkijken als hele Kamer, misschien onvoldoende op aangeslagen hebben. Ik heb gezien dat GroenLinks toen schriftelijke vragen heeft gesteld. Volgens mij stelde de heer Hijink ook schriftelijke vragen. We hebben er een aantal keren in technische briefings over gesproken, maar blijkbaar hebben we daar met elkaar onvoldoende op aangeslagen. Terugkijkend hadden we dat met elkaar beter moeten doen.
Mevrouw Kuiken (PvdA):
Mijn afrondende vraag is: hoe komt dat dan? Werd er onvoldoende gealarmeerd? Mij viel op dat in sommige verslagen werd gesproken over serieuze kwetsbaarheden. Maar als ik dan terugkijk wat we daarover zagen staan in de beantwoording, dan ging het over "enkele zaken" waar aandacht aan besteed moest worden. Dat werd niet gespecificeerd. Vandaar nog even oprecht mijn vraag. We hadden beter naar onszelf moeten kijken, maar was u toen voldoende gealarmeerd, met de kennis van nu?
De heer Veldman (VVD):
Ik denk dat we daar, wat ik net zei, met elkaar scherper op hadden moeten zijn. Maar ik denk ook dat we met elkaar iedere keer de balans gezocht hebben. Wat is nodig? Als ik naar de afgelopen tien maanden kijk, dan zie ik een Kamer, inclusief mijzelf, die zich behoorlijk zorgen maakte over het zicht op het virus en over de snelheid van het beschikbaar hebben van testresultaten. Ik kan me dat debat nog wel herinneren waarin we een gesprek hadden met deze minister over het feit dat het drie, vier, vijf dagen duurde voordat een testuitslag binnen was. Dat vraagt dus iets van de mensen die daar werken, en dat vraagt iets van de systemen. Daartussen is het zoeken naar een balans, precies wat ik de minister net ook gevraagd heb. Hoe weegt hij de balans tussen zicht houden op het virus — de alarmerende brief van het RIVM die net voor dit debat binnenkwam — en zorgvuldigheid en veiligheid?
Mevrouw Van Brenk (50PLUS):
Ik sla ook heel even aan op het punt dat de VVD maakt over de verantwoordelijkheid. Volgens mij zegt de heer Veldman: de GGD is verantwoordelijk voor het lek. Wat betekent dat voor de vraag of burgers die straks in de problemen komen door dit datalek, een compensatie krijgen voor de geleden ellende? Volgens mij heeft de VVD dat punt ook gemaakt. Moeten zij dan ook bij de GGD zijn, of vindt de VVD dat dan toch deze overheid hier een rol in speelt?
De heer Veldman (VVD):
Dat weet ik niet. Vandaar dat ik net aan de minister heb gevraagd of er wordt nagedacht over het compenseren van slachtoffers, als mensen aantoonbaar door deze datalekken de vernieling ingaan. Dat is precies mijn vraag. Ik weet niet of daar dan de GGD aan zet is of een ander. Ik weet wel dat het een vraag is die we met elkaar moeten beantwoorden.
Mevrouw Van Brenk (50PLUS):
Ik heb een motie op dit gebied. Misschien kunnen we samenwerken, want ik vind dat burgers die door de overheid gevraagd worden om naar een teststraat te gaan en daar nu de dupe van worden, de dupe niet mógen worden. Als de VVD daar ook zo in staat — en misschien geldt dat wel voor de hele Kamer — dan denk ik dat we daarover een krachtig signaal zouden moeten afgeven. Ik hoop dat de VVD het daarmee eens is.
De heer Veldman (VVD):
Dat signaal heb ik in mijn bijdrage net afgegeven door de minister te vragen of er wordt nagedacht over het compenseren van mensen. Ik vind namelijk dat de overheid een verantwoordelijkheid heeft tegenover de mensen die nu door deze datalekken echt de vernieling in worden geholpen. Ik hoop dat de minister daar dadelijk een heel goed, duidelijk en helder antwoord op heeft. Dan heb ik daarna geen motie nodig. Maar indien nodig, gaan we daar met elkaar naar kijken.
Mevrouw Van Esch (PvdD):
Ik wil eigenlijk doorgaan op de beantwoording van de laatste vraag van mevrouw Kuiken, waarin er een soort van schijntegenstelling wordt gecreëerd. We moeten een pandemie bestrijden, dus moet privacy maar even op de tweede plek. Volgens mij waren hierover ook uitspraken gedaan door de GGD en ik ben daar wel benieuwd naar. Volgens mij is dat absoluut niet noodzakelijk. Volgens mij kun je prima aan privacy doen én een crisis bestrijden. Ik ben wel benieuwd of de VVD vindt dat je een soort van keuze zou moeten maken tussen privacy en het bestrijden van de crisis.
De heer Veldman (VVD):
Ik heb in mijn beantwoording — misschien is het verkeerd overgekomen — zeker niet willen zeggen dat er een schijntegenstelling is. Volgens mij heb ik die suggestie ook niet gedaan. Sterker nog, het kán een conflicterende tegenstelling zijn. Er is dus geen sprake van schijn. Juist het feit dat die twee dingen tegenover elkaar staan, maakt dat je er niet tussen moet kiezen. Je moet zorgen voor de goede balans tussen beide. Want én zorgvuldigheid, veiligheid en bescherming van privacygevoelige gegevens zijn van het grootste belang. Maar het is, gezien de situatie waar wij als maatschappij in zitten, ook van het grootste belang dan we zo snel mogelijk uit deze crisis komen, dat we zo snel mogelijk kunnen testen. Het is dus terecht dat deze Kamer in het voorjaar deze minister heeft aangesproken op de snelheid van het testen. Het kan niet zo zijn dat sommige mensen vijf dagen moeten wachten voordat ze de uitslag krijgen. Er is geen schijnbare tegenstelling. Er ís een tegenstelling in belangen en dat vraagt om een goede balans.
Mevrouw Van Esch (PvdD):
Ik vind dat toch best wel zorgwekkend, want dat hoeft niet zo te zijn. Er is geen tegenstelling tussen het belang van privacy en het bestrijden van de crisis. Als we hier gewoon altijd systemen maken waarin privacy by design vooropstaat, ook in het bestrijden van een crisis, is er geen tegenstelling. Dan hoeft dat niet zo te zijn. Dan is die er gewoon niet. Ik vind het dus echt zorgwekkend, want ik voel en proef toch een beetje bij de VVD alsof we nu gewoon bezig zijn met het bestrijden van een crisis, en de privacy, en zeker ook het privacy by design ontwikkelen, dan toch een beetje op de tweede plek komt te staan. Volgens mij is dat echt niet noodzakelijk. Ik vind dat dus best wel zorgelijk.
De heer Veldman (VVD):
In theorie ben ik het helemaal met mevrouw Van Esch eens. Als de systemen op orde zouden zijn ... Alleen waren ze dat niet, hebben we gezien. Maar er moest wel gehandeld worden. Dat maakt, zo lees ik in de brief van het RIVM vandaag, dat het RIVM zegt: om nu lopende de crisis over te gaan naar een nieuw systeem is wel erg kwetsbaar. En ja, ik kan me bij die kwetsbaarheid wel iets voorstellen. Het vraagt dus om een goede balans. Maar in theorie ben ik het helemaal met mevrouw Van Esch eens. Als de systemen aan de voorkant op orde waren geweest, dan was er inderdaad geen tegenstelling geweest, want dan waren de gegevens gewoon goed beschermd.
De voorzitter:
Mevrouw Agema heeft ook een vraag voor u.
Mevrouw Agema (PVV):
Het kabinet is natuurlijk wel van plan om gedurende de crisis het hele testbeleid nog veel meer op te krikken. We krijgen straks bijvoorbeeld proeftuinen bij festivals en noem maar op. Ik zou graag de gedachten van de heer Veldman daarover willen weten. Wordt dat dan een systeem zoals dit? Je gaat een avondje uit en je hele bsn en alles zit in een systeem? Of moet dat iets laagdrempeligs worden, als we zo veel moeten gaan opschalen?
De heer Veldman (VVD):
Nou, dat eerste lijkt me zeker niet. Volgens mij hebben we vandaag dit debat omdat we met z'n allen redelijk ontstemd zijn over het feit dat zo veel gegevens van mensen op straat liggen en dat er nu gehandeld wordt in persoonsgegevens van mensen. Ik ben het dus helemaal met mevrouw Agema eens: als we op een andere manier gaan testen en sneltesten doen, waarbij we niet alleen testen voor het opsporen van het virus maar ook voor het uitsluiten van het virus zodat mensen naar een evenement kunnen, dan zal dat op een goede manier moeten gebeuren. Volgens mij liggen er bij deze minister nog vragen uit eerdere debatten over hoe dat georganiseerd gaat worden. Ik ben het met mevrouw Agema eens dat we dat alleen maar moeten inzetten als dat op een veilige en goede manier kan.
Mevrouw Agema (PVV):
Ik bedoel eigenlijk ook laagdrempeliger. Er zijn nu al zo'n 7 miljoen testen gedaan, met heel veel risico's voor mensen die hier het slachtoffer kunnen worden van datadiefstal. Ik kan me toch niet voorstellen dat je straks je hele reutemeteut moet overleggen om naar een festival te kunnen. Ik vraag de VVD dus eigenlijk: is de VVD het met mij eens dat als je een toekomstig testbeleid wilt inrichten, dat veel laagdrempeliger moet, met een tijdelijke code of iets dergelijks, met een streepjescode of iets in die trant? Want je kan toch niet de volledige geschiedenis en data en noem maar op van mensen gaan opvragen voor iets laagdrempeligs zoals toegang tot bijvoorbeeld een evenement?
De heer Veldman (VVD):
Volgens mij ben ik dat met mevrouw Agema eens. Dat sluit naadloos aan bij mijn eigen pleidooi van een aantal maanden geleden, toen we het hadden over de weg uit de problemen waar we in zitten via het grootschalig testen en kijken of testen kan helpen bij het weer openen van sectoren. Toen heb ik expliciet benoemd dat er volgens mij twee verschillende manieren van testen zijn, namelijk testen in het opsporen van het virus, waarbij een arts op basis van de Wet publieke gezondheid ook een verantwoordelijkheid heeft om dat door te geven, naast het testen om uit te sluiten dat er een besmet iemand binnenkomt. Ik kan me voorstellen dat dat laatste veel grootschaliger en dus ook laagdrempeliger kan en moet zijn, omdat je dan aan de evenementenorganisator vraagt om ervoor te zorgen dat er geen besmette mensen binnenkomen. Dat is een andere verantwoordelijkheid dan het opsporen. Binnen die andere verantwoordelijkheid kan ik mij voorstellen dat het kleinschaliger, laagdrempeliger en dus met veel minder uitwisseling van gegevens kan dan nu in de GGD-teststraten gebeurt.
De voorzitter:
Dank u wel. Dan geef ik nu het woord aan de heer Van der Staaij namens de SGP. Gaat uw gang.
De heer Van der Staaij (SGP):
Mevrouw de voorzitter. Ik zag vanmorgen op sociale media wat reacties langskomen: moet de Kamer nou weer een debat hebben over zo'n datalek? Mijn reactie zou zijn: ja, het is goed om het daarover te hebben, want het is een ernstige zaak. Het is niet om zomaar iets op te blazen, maar het is ernstig, omdat het mensen in problemen kan brengen als gevoelige informatie bij criminelen belandt. Het is ook ernstig omdat het een forse knauw kan opleveren voor de testbereidheid van mensen als ze denken: er wordt niet goed met mijn gegevens omgegaan. Daarom vind ik het belangrijk om hier vandaag met de regering over te spreken, in de eerste plaats om na te gaan wat we nou kunnen leren van hoe het misging. In de tweede plaats: wat kunnen we doen om de schade te beperken en slachtoffers te steunen? Mijn derde kernvraag is of nu alles op alles wordt gezet om herhaling te voorkomen en om gevoelige informatie zo goed mogelijk te beschermen.
Het eerste punt is dus: hoe kon het misgaan en wat kunnen we daarvan leren? Als ik het goed begrijp — ik heb hier zelf ook bij gezeten in debatten — was er een enorme druk om op te schalen. Testen is ontzettend belangrijk. Dan kan het zomaar zijn dat er te weinig aandacht wordt besteed aan privacy en dataveiligheid. Dat is niet goed en dat is geen rechtvaardiging, maar als we dat niet benoemen en niet snappen, dan gaan we ook weer te makkelijk aan deze werkelijkheid voorbij. Ik denk dat de les juist is: als er zo'n druk is op iets voor elkaar krijgen, hoe voorkom je dan dat bijvoorbeeld over die informatieveiligheid wordt gedacht dat dat iets is wat even minder prioriteit heeft en dat dat nog wel komt? Dat kan een risico zijn. Hoe kijkt de minister daarop terug?
Het is natuurlijk ook een beetje een bijzondere rol waarin we ook de minister van Volksgezondheid aanspreken, want het gaat eigenlijk niet om een wettelijke taak, maar om een dienstverleningsovereenkomst die eigenlijk is afgesloten met een koepel van organisaties, GGD GHOR, eigenlijk van gemeentelijke diensten die hier nu een hele bijzondere taak in krijgen. Ik heb die dienstverleningsovereenkomst nog even doorgenomen. Het valt me op dat die privacywaarborgen daarin niet heel sterk uit de verf komen. Zou het niet goed zijn om hiervan te leren dat je, als er nog eens een ander bijzonder groot project is waar heel veel druk op staat, wel moet zorgen dat ook in zo'n dienstverleningsovereenkomst niet alleen staat wat daaruit moet komen, maar ook dat het heel belangrijk is dat die randvoorwaarden van informatieveiligheid worden nagekomen? En is dat door deze bijzondere figuur van die dienstverleningsovereenkomst juridisch nu ook voldoende verankerd? Dat is nog een aanvullende vraag aan de minister.
Nog een laatste vraag over hoe het kon misgaan. Vele collega's hebben het al genoemd: is de tegenspraak in het proces wel voldoende georganiseerd geweest? Waarom is er onvoldoende gereageerd op signalen in de zin van: let op, hier is iets mis? Ik denk dat ook dat een kernvraag is die boven komt drijven.
Dan het tweede punt: wordt alles gedaan om schade te beperken en slachtoffers te steunen? Daar lees ik veel goede dingen over, zoals de lijn die de GGD's hebben geopend. Wat ik nog wel mis, is helderheid over de omvang van het datalek. Daardoor ontstaat er toch ook wat schimmigheid over waar we het nu precies over hebben. Ik snap het strafrechtelijk onderzoek, maar als strafrechtelijk onderzoek loopt bij een inbraak, weet je ook wel een beetje wat er uit jouw huis gestolen is; niet precies, maar je weet wel of de helft weggehaald is of dat het alleen om een laptop ging. Iets meer gevoel van waar we het nu over hebben, zou dus helpen. En hoe worden mensen bijgestaan die daadwerkelijk schade hebben?
Het laatste punt: wordt nu alles op alles gezet om herhaling te voorkomen? Volgens mij lees ik in de brief van gisteravond hele stevige acties. Ik heb daar eigenlijk weinig vragen over, twee nog slechts. De eerste vraag, even aan de andere kant hangend, is of het straks de snelheid niet aantast als we al deze informatieveiligheidsacties nu gaan doen. Want we willen natuurlijk niet dat het nu weer aan de andere kant misgaat. Die snelheid is ook weer belangrijk. Hoe wordt die balans daarin gezocht?
Het laatste punt: hoe zit het met de beveiliging van de vaccinatiegegevens in de registratie van het RIVM? Wat wordt nu precies geregistreerd en zijn die gegevens wel goed beveiligd?
Voorzitter, dat waren de vragen die ik graag wilde voorleggen.
De voorzitter:
Dank u wel, meneer Van der Staaij. Dan geef ik nu het woord aan mevrouw Van der Graaf namens de ChristenUnie.
Mevrouw Van der Graaf (ChristenUnie):
Dank u wel, mevrouw de voorzitter. Toen wij in onze fractie spraken ter voorbereiding op dit debat, zeiden we tegen elkaar: wat hier is gebeurd, is eigenlijk ongekend. Als je het hebt over de hoeveelheid data en de gevoeligheid van de informatie die over mensen, privé, naar buiten zijn gekomen, beschikbaar zijn en worden verhandeld door criminelen, is dat zeker een debat waard, zelfs in deze drukke week, waarin wij ook weten dat de minister van VWS meerdere dagen in deze Kamer moet verschijnen. Toch denken we dat het belangrijk is om hierover te spreken, want we lezen dat het voor €30 of €50 al mogelijk is om iemands woongegevens, telefoonnummer en bsn-nummer te krijgen. Het gaat om duizenden euro's, waarmee grote datasets worden verhandeld, omdat het zo uniek is dat er relatief makkelijk bsn-nummers in voorkomen.
Voorzitter, even terug in de tijd. Ook wij hebben in de Kamer aangedrongen op ondersteuning van het bron- en contactonderzoek. In de Kamer is veel aandacht geweest voor het inzetten van extra mensen om dat onderzoek uit te kunnen voeren. Er is veel druk geweest. Er was niet alleen personeel nodig, maar ook in de techniek moest worden opgeschaald, in systemen die daar waarschijnlijk achteraf toch niet voor bedoeld en gemaakt waren. Er moest door heel veel mensen met heel veel gevoelige informatie worden gewerkt. Dat is flink mis gegaan. Daar moeten we kritisch op zijn.
Het lijkt erop dat er een keuze moest worden gemaakt tussen snelheid en veiligheid, maar beide zijn belangrijk. Ik vraag de minister van VWS om hierop terug te blikken. Hoe kijkt hij nou terug op de keuzes die daarin zijn gemaakt?
Ik wil aandacht vragen voor de mensen van wie de gegevens op straat terecht zijn gekomen. Is inzichtelijk welke gegevens nou precies zijn gebruikt en hoeveel mensen hierdoor zijn getroffen? Wordt er ook actief gezocht naar aanbod van deze datasets online? En wat gaat het kabinet doen voor deze mensen? Ik noem het moment dat je slachtoffer wordt van identiteitsfraude of het moment dat je het vermoeden hebt dat je wordt belast of dat er misbruik is gemaakt van jouw gegevens. Hoe anticipeert de overheid daarop? Wij krijgen verontrustende berichten van mensen die zeggen: ik zou graag een nieuw bsn-nummer willen. Wat is dan de reactie van de overheid?
Als iemand echt slachtoffer wordt van identiteitsfraude en diefstal en kan aantonen dat dat op dit GGD-datalek is terug te brengen, kan die schade allemaal op de GGD worden verhaald. De GGD heeft de wet hiermee overtreden. Ik vraag het kabinet waar het rekening mee houdt en met welke omvang van aansprakelijkheid rekening moet worden gehouden.
Hoe zag de controle op die werkzaamheden er nou eigenlijk uit? We hoorden van een student die daar werkte, die het contrast schetste tussen het moment dat hij een tentamen aflegt waarbij er enorm veel controle is en het werken met GGD-gegevens, waarbij de controle nihil is. Dan heb ik ook de vraag: hebben alle medewerkers nu een vog? Klopt het dat je de eerste zes weken zonder vog kan werken en moeten we daar niet nu verandering in brengen?
Voorzitter. Ik vraag daarnaast naar de Autoriteit Persoonsgegevens. In hoeverre zijn de tekorten bij de Autoriteit Persoonsgegevens direct aanleiding geweest voor het voortsudderen van dit probleem? Hoe wordt er nu voor gezorgd dat het systeem wel veilig is? Zijn de exportfuncties inderdaad allemaal uitgeschakeld? Zou het adviescollege ICT-toetsing naast de AP misschien actief een rol kunnen spelen? Normaal gesproken adviseren zij achteraf, maar zouden we hen niet realtime mee moeten laten kijken om de zaken nu op te lossen? Graag een reactie van de minister.
Voorzitter. Ik vraag de minister of het mogelijk is om het bron- en contactonderzoek veilig te laten plaatsvinden. Hoe kan het kabinet mensen ervan verzekeren dat het veilig is om je te laten testen en je te laten vaccineren?
Dank u wel.
De voorzitter:
Dank u wel. Dan geef ik nu het woord aan mevrouw Agema namens de PVV.
Mevrouw Agema (PVV):
Dank u wel, voorzitter. "Een open deur roept den dief" is een spreuk van de bekende Nederlandse dichter en politicus Jacob Cats uit 1632. Hoe toepasselijk in de kwestie die wij hier vandaag bespreken en hoe jammer dat deze spreuk niet gebeiteld staat in de gevel van het Catshuis, waar het kabinet met enige regelmaat de coronaplannen bespreekt. Want zo is het toch in feite? Binnen het systeem voor het testbeleid stonden alle deuren wagenwijd open. Geen deur zat op slot. Je hoefde zelfs niet aan te kloppen. Iedereen kon overal naar binnen. Niemand controleerde wie er in- of uitging en wat er meegenomen werd. Zo kon het gebeuren dat dieven maandenlang hun gang konden gaan.
Wat betekent het als je identiteit gestolen wordt? De dief verpatst je identiteit voor een paar tientjes en criminelen bestellen vervolgens spullen op jouw naam, vragen in jouw naam een toeslag aan, sluiten in jouw naam abonnementen af of troggelen je geld af via jouw whatsapp. En jij? Jij kunt de rest van je leven bloeden en strijden tegen het onrecht, ook tegen de overheid waarschijnlijk. Dit staat allemaal in geen verhouding tot het doel van het testbeleid. Je zult maar met een lichte verkoudheid gehoor hebben gegeven aan de dringende oproep van de minister om je toch te laten testen en nu het slachtoffer worden van de diefstal van je identiteit. De fraudehelpdesk spreekt al over 40 gevallen, het topje van de ijsberg waarschijnlijk. Immers, er werden ruim 7,2 miljoen testen afgenomen. Te midden van al deze ellende spreekt de GGD over een intelligent opschalingsmodel dat in afstemming met het RIVM en het ministerie van VWS was opgesteld. Het kabinet ging van een intelligente lockdown naar een intelligente heropening van de samenleving. De GGD had een intelligent BCO-protocol en dus ook een intelligent opschalingsmodel voor het testen. Dat was wat over de top realiseert de voorzitter van de GGD zich inmiddels wel. Hij trok de afgelopen dagen een wat dommig gezicht voor de camera's en gaf ronduit toe dat hij al die tijd al wist dat de deur wagenwijd openstond. Hij had zelf bedacht dat identiteitsfraude niet opwoog tegen de bestrijding van de pandemie. Deelt de minister deze opvatting? Is dit wat hij zegt tegen de slachtoffers van de identiteitsfraude in de week na de val van het kabinet vanwege de toeslagenaffaire? Je zou haast denken dat de voorzitter van de GGD zijn dommigheid veinsde. Immers, ik kan me niet voorstellen dat een oud-fractievoorzitter over zo'n slechte politieke antenne beschikt.
De voorbije week heeft de vraag waarom de overheid vindt dat er zo veel gegevens van miljoenen mensen verzameld moet worden in een leksysteem voor zoiets simpels als een coronatest mij het meest bezig gehouden. De vragen die ik daarover stelde, werden beantwoord met een "daarom". Ik neem hier geen genoegen mee. Gezien ook het interruptiedebat dat ik zojuist had met de heer Veldman, zeg ik: we moeten naar een veel laagdrempeliger systeem waarin wordt gewerkt met slechts een eenmalige code. Je kunt de samenleving niet heropenen en van miljoenen mensen maar al hun gegevens blijven opvragen. Het kan niet! Ik ben geen dataspecialist, maar ik weet wel zeker dat dit niet kan als de opschaling van het testbeleid zo'n grote prioriteit is van het kabinet.
Wat mij opviel aan de e-mails die ik kreeg van mensen die wel verstand hebben van databeveiliging, is hoe makkelijk zij de fouten in het systeem konden benoemen. Daarnaast kreeg ik veel berichten van verontruste burgers. Mensen die zich ook mét klachten niet meer durven te laten testen. Mensen die bang zijn voor chantage en diefstal van hun identiteit. Wat kan de overheid betekenen voor die vragen? Uit de antwoorden op de vele vragen die de Kamer stelde, blijkt dat op een paar verbeterpunten na de situatie hetzelfde blijft. En, o ja, de bewaartermijn van al die persoonsgegevens van miljoenen Nederlanders gaat ook nog eens naar twintig jaar.
Minister De Jonge stuurde de afgelopen jaren een stuk of twintig actieplannen — hij mag me corrigeren op het juiste aantal — naar de Kamer, waar allemaal niks van terechtgekomen is. Maar ik vraag hem nu zijn lot te verbinden aan het beperken van de schade van dit immense, persoonlijke leed, dat zo veel goede en oprechte burgers van ons land aangedaan wordt.
Dank u wel.
De voorzitter:
Dank u wel. Dan geef ik nu het woord aan mevrouw Van den Berg namens het CDA.
Mevrouw Van den Berg (CDA):
Dank u wel, voorzitter. Om adequaat te kunnen testen, bron- en contactonderzoek te kunnen verrichten en te vaccineren, is het van belang dat gegevens bewaard worden. Maar mensen moeten er dan wel op kunnen vertrouwen dat er zorgvuldig wordt omgegaan met hun persoonsgegevens en dat hun gegevens veilig zijn. Het informatiebeheer bij de GGD moet aan de hoogste standaarden voldoen ten aanzien van de veiligheid, zoals de minister vorige week terecht aangaf.
Het CDA vindt het op de eerste plaats zorgelijk dat de GGD blijkbaar niet heeft aangegeven welke ICT-problemen zij hadden en dat de basics door de GGD niet zijn toegepast. Ik noem het blokkeren van de exportfunctie en het loggen wie er in het systeem zit. Nog in 2019 moest het HagaZiekenhuis in Den Haag €460.000 boete betalen omdat patiëntendossiers slecht waren beveiligd. Mensen die daar niets te zoeken hadden, konden gluren in medische dossiers. Je zou denken dat iedere instelling vanaf dat moment zou dubbelchecken hoe het met de eigen beveiliging staat. Ik vraag me hardop af of het klopt dat medewerkers van de GGD'en afgelopen zomer al waarschuwden over de privacyproblemen bij de coronasystemen van de GGD. Zijn deze signalen van de medewerkers serieus genomen? Op welke tafel zijn die beland binnen de GGD? Waarom heeft de voorzitter van de koepelorganisatie GGD GHOR, de heer Rouvoet, het oplossen van dit probleem niet als prioriteit opgepakt toen hij werd benoemd? Waarom heeft de heer Rouvoet er niet voor gezorgd dat er een CIO, een chief information officer, werd aangesteld? Kan de minister garanderen dat medewerkers misstanden intern en desnoods extern kunnen melden, zonder dat zij hoeven te vrezen voor represailles?
Mevrouw Kuiken (PvdA):
Inmiddels weten we uit de antwoorden en de brief van de minister en uit de notulen dat er in april al meldingen waren en dat er in juni signalen waren. In september was het in Nieuwsuur. Los van wat medewerkers intern wel of niet gemeld hebben, wisten ook de heer Rouvoet en VWS het toen al. Dat roept in algemene zin de vraag op, los van wat medewerkers hebben gemeld, waarom er toen niet al stringentere maatregelen zijn genomen. Het was toen immers al evident, zoals we terug kunnen zien in de verslaglegging.
Mevrouw Van den Berg (CDA):
Een terechte vraag van mevrouw Kuiken, want ik zou ook willen weten hoe het intern met die governance is gesteld. Waarom wordt er op dat moment niets mee gedaan? Het ministerie was opdrachtgever, maar de GGD was de uitvoerder en die moet op de eerste plaats zorgen dat die systemen op orde zijn. Het verbaast mij dat daar intern niet op gereageerd is. Als dat een cultuurprobleem is, zou ik daar met name actie op willen hebben.
Mevrouw Kuiken (PvdA):
Dat zijn terechte vragen. Dat is ook mijn zoektocht, maar de hamvraag is, nu ik alles goed heb doorgelezen en gezien heb wat we er publiekelijk al over wisten en wat men er intern over wist, waarom er niet al eerder exportfuncties en printfuncties uit zijn gehaald en niet veel stringenter is opgeschaald. Eigenlijk zijn er pas vorige week stappen genomen, terwijl men in april, juni en september zowel publiek als intern bij VWS en GGD wist dat er iets aan de hand was. En dan lijkt het erop dat, op het moment dat de nood hoog genoeg wordt en RTL er een item aan besteedt, we het daarna pas echt urgent vinden dat er actie wordt ondernomen. Samenvattend is mijn punt: het maakt niet uit of mensen het intern wel of niet gemeld hebben, er had sowieso bij de GGD en bij VWS al veel eerder actie ondernomen moeten worden. Is mevrouw Van den Berg dat met mij eens?
Mevrouw Van den Berg (CDA):
Dat ben ik zeer met mevrouw Kuiken eens. Mijn grote vraag is: wat heeft er in de cultuur gezeten waardoor dat niet is gebeurd? Wat zijn de belemmeringen geweest om die acties niet te ondernemen? In mijn inbreng net gaf ik ook aan dat dit gewoon bepaalde basics zijn, waar je niet eens een ICT-expert voor hoeft te zijn. Een paar keer is het voorbeeld van het huis gegeven: als iemand tegen jou zegt dat je raam kapot is en je slot niet goed werkt, dan weet je gewoon dat je wel heel erg toegankelijk bent voor diefstal. Dus ik zou met name willen weten: wat is er in de cultuur bij de GGD niet op orde dat dit op deze manier niet wordt opgepakt?
De voorzitter:
Mevrouw Kuiken, tot slot.
Mevrouw Kuiken (PvdA):
Ja, die cultuur, prima, maar volgens mij ontbreekt het ook aan een basis van checks-and-balances, bij de GGD maar ook bij VWS, waardoor er gewoon geen navolging is gegeven, noch op basis van interne rapportages die gewoon bekend waren, noch naar de Autoriteit Persoonsgegevens. Dus met andere woorden: er zit totaal geen externe druk op om ervoor te zorgen dat dit soort zaken gewoon geregeld worden.
Mevrouw Van den Berg (CDA):
Ik denk dat mevrouw Kuiken terecht vraagt naar de opdrachtgeverfunctie van VWS en wat daarmee gebeurd is. Daar heb ik sowieso in algemene termen ook al eerder aandacht voor gevraagd tijdens de bespreking van de jaarrekening vorig jaar, door te vragen of er ook nog een apart onderzoek komt van de Rekenkamer, juist om naar die hele governance te kijken. Dat hebben wij bijvoorbeeld ook gezien bij de dataschijven die bij het Donorregister zijn verdwenen. Is dat nu overal goed ingeregeld, ook bij VWS?
Mevrouw Kröger (GroenLinks):
Ik heb hier ook een vraag over. Er wordt gesproken over de cultuur bij de GGD's. In de antwoorden op onze vragen in het schriftelijk overleg lees ik dat de autorisatie per GGD is geregeld. Er is dus geen centrale richtlijn vanuit de GGD, aangestuurd vanuit de ministeries, over hoe de autorisatie geregeld is. Dat elke GGD het door een volstrekte decentralisatie op haar eigen manier doet, gaat natuurlijk voorbij een cultuur. Dan is er gewoon sprake van een systeemfout.
Mevrouw Van den Berg (CDA):
In ieder geval het CDA heeft in het begin al vragen gesteld over de wijze waarop de GGD's met elkaar georganiseerd zijn. Ik denk dat de minister terecht heeft aangegeven dat het vaak niet de beste oplossing van problemen is om midden in een crisis een reorganisatie door te voeren. Maar dat hier nader naar gekeken moet worden, ook naar hoe de GGD's onderling zijn verbonden en hoe er een eenduidiger structuur en eenduidiger interne lijnen kunnen komen, dat is het CDA van harte eens met mevrouw Kröger.
Mevrouw Kröger (GroenLinks):
Volgens mij gaat het er niet om of wij nu, midden in een pandemie, een hele reorganisatie doen. Het gaat erom dat je via een ministeriële aanwijzing wel degelijk kunt zeggen: we gaan bepaalde dingen op een bepaalde manier regelen en alle GGD's gaan zich conformeren aan hetzelfde autorisatieprotocol, want wij kunnen het niet hebben dat dit per GGD bedacht en uitgevoerd kan worden.
Mevrouw Van den Berg (CDA):
Ik zou daar graag een antwoord op hebben van de minister, want ik heb toch begrepen dat dit complexer ligt dan mevrouw Kröger nu aangeeft, ook al omdat de GGD's onder de verantwoordelijkheid van de gemeenten vallen. VWS kan dus wel de opdracht geven dat iets op een bepaalde manier moet gebeuren, maar ze heeft er dan veel minder zeggenschap over hoe dat dan precies gebeurt.
Mevrouw Kröger (GroenLinks):
Dan kijken we allebei uit naar het antwoord op deze vraag.
De voorzitter:
Dat zullen we straks horen. De heer Azarkan.
De heer Azarkan (DENK):
Mevrouw Van den Berg heeft een heleboel vragen, maar de antwoorden staan gewoon op de pagina's 2 en 3. Het is eigenlijk vrij simpel. De minister zegt: wij hadden onvoldoende aandacht voor de privacy en dataveiligheid. Wij hebben niet goed gestuurd, wij hebben eigenlijk een beetje domme dingen gedaan. Wij hebben iedereen toegang gegeven terwijl dat niet nodig was. Dat kunnen we uitzetten en dat kunnen we zo doen dat dit het testen en het bron- en contactonderzoek niet in gevaar brengt. Dat is wel een beetje dom. Vervolgens zegt hij dat er te weinig expertise is ingeregeld …
De voorzitter:
U gaat niet alles voorlezen, hè?
De heer Azarkan (DENK):
Nee, maar het zijn de vragen die mevrouw Van den Berg gesteld heeft. Vervolgens zegt hij: ik moet strakker sturen en dat doe ik samen met de GHOR. Bovendien komt er een externe audit. En als laatste zegt hij: we hebben de aanbevelingen uit december niet snel genoeg geïmplementeerd en dat gaan we alsnog doen. Dat zijn gewoon mensenhandelingen die zijn veronachtzaamd. Dat is toch wat er aan de hand is: te weinig gestuurd, te weinig expertise, niet op tijd, en data was niet belangrijk? Welke antwoorden wilt u nog hebben?
Mevrouw Van den Berg (CDA):
Nogmaals, VWS is opdrachtgever van dit project, maar het zijn de GGD's die het uitvoeren. Voor de basicdingen die ik noem, zou VWS geen aandacht moeten hoeven vragen. Dat zou een organisatie uit zichzelf moeten oppakken. Ik wil weten waarom dat bij de GGD niet automatisch is gebeurd.
De heer Azarkan (DENK):
Zo werkt het niet. Ik kan in ieder geval uit eigen ervaring vertellen dat, als het over ICT-projecten gaat, het ministerie dat de uitvraag doet, deze aan alle voorwaarden moet laten voldoen. Dat toets je. Je zegt niet: gaat u maar aan de gang met een systeem en ik hoop dat u uit uzelf de waarborgen biedt. Nee, het is hier van wezenlijk belang dat we met elkaar corona bestrijden. Daarbij is privacy ontzettend belangrijk, want dat geeft vertrouwen aan de burgers. Vanuit VWS had gewoon moeten worden gezegd: dit heeft hoge prioriteit en ik ga ervan uit dat u dit, dit en dit doet. Punt. Dat gaat niet vanzelf. Niets gaat vanzelf in Nederland.
Mevrouw Van den Berg (CDA):
Nee, maar wat ik wel heb begrepen, is dat er werd voortgebouwd op systemen die er al waren. Wat is de reden dat de GGD, bijvoorbeeld aan het begin van het project, niet zelf heeft gezegd: ja, maar moet je eens luisteren, als ik dit systeem zo moet gaan opschalen, dan zijn er heel andere ICT-risico's waar we met elkaar over moeten spreken?
De voorzitter:
Tot slot op dit punt, meneer Azarkan.
De heer Azarkan (DENK):
Dat is nu exact wat er aan de hand is. Alles wat ik lees dat gaat gebeuren, dat kan allemaal. Dat kon een halfjaar geleden ook. Ik lees dat het geen invloed heeft op het kunnen testen en op het brononderzoek. Het is dus gewoon een verkeerde inschatting. Voor mijn oma maakt het toch niet uit of, als ze straks wordt opgelicht, dat de verantwoordelijkheid van de GGD dan wel de verantwoordelijkheid van VWS is? We staan toch voor de belangen van burgers die hun privacy beschermd moeten zien?
Mevrouw Van den Berg (CDA):
Dat ben ik geheel met de heer Azarkan eens. De burger maakt het echt niet uit waardoor het is gekomen. Maar als Kamer moeten we wel praten over hoe we dit opgelost kunnen krijgen en over hoe we kunnen voorkomen dat we dit soort zaken nog een keer krijgen. En dan moeten we wél praten over de onderlinge structuren en culturen.
De voorzitter:
Gaat u verder, mevrouw Van den Berg.
Mevrouw Van den Berg (CDA):
In september meldde Nieuwsuur dat de uitslagen van de coronatest en de bijbehorende persoonlijke gegevens toegankelijk waren voor medewerkers van de coronatestlijn die hier eigenlijk geen toegang toe zouden moeten hebben. Andere collega's hebben dat ook genoemd. De Autoriteit Persoonsgegevens vroeg de GGD toen om opheldering, maar er volgde verder geen onderzoek. We zijn ervan uitgegaan dat wat we toen deden, voldoende was om het op orde te brengen, stelt de toezichthouder. Vindt de minister voor Rechtsbescherming dat de Autoriteit Persoonsgegevens hiermee op een juiste manier heeft gehandeld? Waarom heeft de Autoriteit Persoonsgegevens de GGD niet eerder onder toezicht gesteld? Waarom is bijvoorbeeld bij de ontwikkeling van de app wel uitgebreid meegekeken door de Autoriteit Persoonsgegevens, maar is dat niet gebeurd bij dergelijke signalen over een lek in een softwaresysteem waar tienduizenden konden meekijken?
Voorzitter. Dit probleem moet zo snel mogelijk worden opgelost. De GGD geeft aan dat ze geautomatiseerd gaat onderzoeken of medewerkers ongeoorloofd in privégegevens van burgers hebben gekeken. Maar wanneer is dat gerealiseerd? Welke andere maatregelen worden genomen? Op welke manier wordt de Autoriteit Persoonsgegevens hier nu wel strak bij betrokken?
Ten slotte. Wij ontvangen vragen van mensen over de veiligheid van hun bsn-nummer. Als mensen erachter komen dat hun gegevens gelekt zijn, wat is dan het advies van de minister aan deze mensen? Waar kunnen mensen terecht met hun vragen? Wat is mogelijk voor mensen die echt het slachtoffer zijn geworden doordat hun bsn-nummer is misbruikt? Kan de minister daarop reageren?
Dank u wel, voorzitter.
De voorzitter:
Dank u wel. Ik zie de heer Verhoeven.
De heer Verhoeven (D66):
2020, het afgelopen jaar, was een slecht jaar voor de rechtsstaat, met SyRI dat verboden is door de rechter, de toeslagenaffaire en nu weer dit datalek. Dit had allemaal gevolgen voor onschuldige burgers. Het CDA heeft hier terecht grote woorden over geuit, met woorden over de trias politica en over het dualisme. Die woorden zijn terecht. Maar waar blijven de daden van het CDA? Het CDA stemt tegen moties voor meer toezicht en meer geld voor de Autoriteit Persoonsgegevens. Het CDA stemt nog steeds voor hele risicovolle datawetten als de Wgs. En bij dit debat neemt mevrouw Van den Berg een beetje de houding aan van "ja, we moeten kijken naar de verschillende verantwoordelijkheden in de keten", maar zij maakt niet heel concreet hoe het nou echt beter kan waar dat nodig is. Bij het keihard aanpakken van privacyproblemen is het CDA eigenlijk veel milder dan op andere gebieden. Waarom is dat?
Mevrouw Van den Berg (CDA):
Dat zou ik toch graag willen wegnemen. Ik heb juist het voorbeeld genoemd van de app, waarbij volgens mij de halve wereld heeft meegekeken naar de ontwikkeling. Die is juist vanaf de basis vanuit de privacy ontwikkeld. Dat zou dus ook de opdracht moeten zijn voor andere systemen die we ontwikkelen. Er moet ontwikkeld worden vanuit een visie op privacy. Hoe kan bij voorbaat voorkomen worden dat er misbruik van wordt gemaakt? Daar moet aan worden gedacht. Ik vind dat daar bij de ontwikkeling al veel meer naar gekeken moet worden, terwijl we nu heel veel dingen aan het repareren zijn.
De heer Verhoeven (D66):
Ik vind het prima dat we het even over de corona-app hebben en over het proces van een halfjaar tijd daaromheen. Dat begon met dezelfde bravoure als vorige week bij het vragenuur: "We gaan het wel even regelen". En vervolgens is er inderdaad ingezet op checks-and-balances, is er tegenspraak georganiseerd onder leiding van een uitstekende CIO en is er tot een redelijk goed tot goed resultaat gekomen. Daar heeft mevrouw Van den Berg gelijk in. Maar ik vroeg iets heel anders. Ik vroeg: gaat het CDA, na alle grote woorden over de rechtsstaat, het dualisme en de trias politica, nu ook daden tonen, om ervoor te zorgen dat burgers beschermd worden tegen een datazuchtige en datahongerige overheid, die voortdurend dezelfde fouten maakt? Dat was de vraag die ik aan mevrouw Van den Berg stelde. En daar wil ik toch echt graag een antwoord op. Dat is wat structureler dan dit debat, maar wel van belang.
Mevrouw Van den Berg (CDA):
Ik heb zelf inderdaad net met voorbeelden aangegeven dat het structureler is dan dit debat. Ik heb ook het feit genoemd dat de Rekenkamer, op basis van een motie van mij, een apart onderzoek doet naar de ICT bij VWS en de onderlinge governance. Ik wil dit ook structureler aanpakken. Bij nieuwe systemen moeten we voorkomen dat er iedere keer gerepareerd moet worden. We moeten daar juist aan het begin, bij de ontwikkeling van een systeem, veel beter op letten.
De voorzitter:
Tot slot, meneer Verhoeven.
De heer Verhoeven (D66):
Dan sla ik het tot slot maar een beetje plat. Ik stel dezelfde vraag die ook aan de heer Veldman gesteld is. Het CDA en de VVD hebben een lange historie van het stemmen tegen moties die meer geld willen voor de Autoriteit Persoonsgegevens. Is het CDA nu ook bereid, net zoals de heer Veldman van de VVD zojuist heeft gezegd, om serieus te kijken naar een toereikend en groter budget voor de Autoriteit Persoonsgegevens? Het is toch echt wel duidelijk geworden dat dat op alle fronten tekortschiet.
Mevrouw Van den Berg (CDA):
We zien steeds meer digitalisering, dus ik kan me goed voorstellen dat er behoefte is aan een autoriteit. Net zoals meneer Veldman zou ik dus zeggen dat we moeten kijken naar wat nodig is. Maar ik neem even een heel simpel voorbeeld. Als je een huis hebt waarvan een ruit kapot is, het slot van de deur niet goed werkt en waarin geen alarminstallatie geïnstalleerd is, dan moet je om de haverklap de politie bellen omdat er iets aan de hand is. De oplossing is dan niet dat we meer politie moeten hebben. Nee, de eerste oplossing is dan dat we aan de basis de systemen veel beter inrichten. Ik ben graag bereid te kijken of je dan misschien toch meer dan nu de Autoriteit Persoonsgegevens nodig hebt, maar dat is voor mij stap twee.
De heer Hijink (SP):
Mevrouw Van den Berg gebruikt dezelfde bliksemafleider als de heer Veldman. Natuurlijk, die systemen moeten op orde worden gebracht door degene die ze gemaakt heeft en die ze beheert. Maar als ik lees wat de Autoriteit Persoonsgegevens doet ... De Autoriteit Persoonsgegevens kreeg in 2019 27.000 meldingen van datalekken, en daarvan heeft de autoriteit 0,3% — 0,3%! — kunnen onderzoeken. Met 99,7% van alle datalekken die gemeld worden kan de autoriteit op dit moment niks doen en die worden niet onderzocht. Nou, het is toch glashelder dat je dan als autoriteit te weinig middelen hebt om gewoon goed je werk te kunnen doen?
De voorzitter:
Daar heeft mevrouw Van den Berg net een reactie op gegeven.
Mevrouw Van den Berg (CDA):
Ja, voorzitter. Want het gaat mij erom dat je die hoeveelheid naar beneden moet krijgen, dat men daar bij die systemen en bij die instellingen zelf veel meer checks-and-balances doet om te kijken hoe ze een datalek kunnen voorkomen. Het is wat om te zeggen "ja, het is weer misgegaan", en je legt het bij de autoriteit. Je moet ervoor zorgen aan de basis. Ik noemde het voorbeeld van het HagaZiekenhuis dat we toen hebben gezien: er werd gewoon niet goed gelogd, er werd niet regelmatig gekeken. Je moet gewoon zien wie er is ingelogd in een systeem en daar constant controles op doen. Dan kan je ook veel meer datalekken voorkomen.
De voorzitter:
Maar dat was ... De heer Hijink.
De heer Hijink (SP):
Ik ben dat met mevrouw Van den Berg eens: je moet dat zo veel mogelijk zien te voorkomen. Maar dan helpt het natuurlijk wel als er een strenge autoriteit is die organisaties heel hard kan aanpakken als zij in de fout gaan. Dat werkt ook preventief. Maar als je weet dat er in 99,7% van de gevallen toch geen onderzoek komt ... Ja, dat is nou niet bepaald een afschrikwekkend effect of zo.
De voorzitter:
Ja ...
De heer Hijink (SP):
Dus daarom is mijn vraag: als maar 0,3% van de bekende datalekken kan worden onderzocht, vindt het CDA dan ook niet dat er meer capaciteit moet komen, zodat er een substantieel aantal onderzoeken kan worden gedaan naar datalekken?
De voorzitter:
Graag ook een hele korte reactie, mevrouw Van den Berg.
Mevrouw Van den Berg (CDA):
Voorzitter. Ik ben graag bereid om te kijken hoe we de pakkans kunnen verhogen, want dat is volgens mij waar de heer Hijink naar vraagt.
De voorzitter:
Dank u wel, mevrouw Van den Berg. U was klaar, hè?
Ik wacht heel even, we gaan heel even schoonmaken. Jawel, dat moet. U behoort zeker tot een risicogroep. Het woord is aan de heer Baudet namens Forum voor Democratie.
De heer Baudet (FvD):
Voorzitter. IT en de overheid is al heel lang een ongelukkige combinatie. Dat is ook niet zo moeilijk te begrijpen, omdat de kartelpolitici die leiding geven aan dat soort processen, net als alle andere kartelpolitici worden geselecteerd op loyaliteit en uitgezeten dienstjaren, en niet op kwaliteit of affiniteit met IT.
Maar toch, veel ernstiger dan het datalek bij de GGD wordt het niet. Gegevens van miljoenen Nederlanders waren inzichtelijk voor extern ingehuurde werkstudenten, die nog nooit zelfs maar een vog hadden overlegd. En niet alleen inzichtelijk, maar ook te exporteren. Van burgerservicenummer tot aan gevoelige patiëntgegevens, het ligt nu allemaal op straat. Hoe is dit mogelijk geweest? En hoe is het mogelijk dat dit al maandenlang bekend was, maar de GGD niets heeft gedaan om het datalek te dichten? Ik heb een déjà vu: het debat in verband met de toeslagenaffaire, het aftreden van het kabinet en de wonden van de slachtoffers. Het ligt allemaal nog vers in het geheugen. En ook bij dit schandaal vroeg men zich af: hoe kan het toch, dat bepaalde misstanden bekend zijn, maar dat er niets wordt gedaan? Het is identiek. Heel veel mensen hebben mij de afgelopen dagen gemaild: hoe kan het dat dit gebeurde, en hoe kan het dat hier niets aan is gedaan terwijl het wel bekend was? Heel veel mensen die mij mailden zijn bang dat hun burgerservicenummer gebruikt wordt voor identiteitsfraude; dat kan. Of oudere familieleden die nepberichten ontvangen om geld over te maken aan een familielid. Dat gebeurt, het is ook in mijn familie gebeurd. Het is echt ongelofelijk hoe makkelijk dat gaat met deze informatie. De overheid is hiervoor verantwoordelijk. Het is niet te geloven dat men dat maar een beetje laat gebeuren. Dit is uitermate ernstig. En ik wil van de minister horen hoe hij dit wil gaan oplossen. Wat wil hij eraan gaan doen om dat nou eens aan te pakken? Hoe kunnen we het vertrouwen terugkrijgen in een overheid die keer op keer niet alleen dit soort fouten maakt, maar ook weigert effectief op te treden? Het wordt tijd voor een omslag in het denken op het gebied van IT: privacy by design. Het is meer dan alleen maar een slogan. 17 miljoen Nederlanders hebben er recht op dat hun persoonsgegevens zorgvuldig en vertrouwelijk worden behandeld. Ik zou van het hele kabinet willen weten hoe kwetsbaar andere systemen voor soortgelijke problemen zijn. Is er al een integrale doorloop gedaan? De alarmbellen moeten gaan rinkelen. We moeten dit over de hele linie uitzoeken, opsporen en oplossen.
En dan is er nog het pijnlijke punt van het persoonlijke falen van deze minister. Na het gebrek aan tests, de stiekem gewijzigde richtlijnen rondom mondkopjes in verzorgingstehuizen met een drama als gevolg, het gefaalde bron- en contactonderzoek naar de horecasluiting die volstrekt onnodig is, na de nu al eindeloos voortslepende, zinloze en waarschijnlijk zelfs contraproductieve lockdown, na het feit dat De Jonge wel tijd vond om met Jaïr te gaan zingen met kerst maar niet kon voorkomen dat we als allerlaatste in de EU gaan vaccineren, na de zinloze avondklok en de gemanipuleerde vaccinatiecijfers, nu ook nog dit. Het vertrouwen is weg, en de vraag dient zich aan hoeveel schade we deze demissionaire minister nog aan Nederland laten berokkenen. Vandaag spreken we weer uren over deze privacylek, het zoveelste probleem, de zoveelste blunder van dit kabinet, van deze minister. Het echte issue is natuurlijk dat het kabinet ons land al jaren onherstelbare schade toebrengt en hier vrolijk mee doorgaat, zelfs nu het kabinet demissionair is. Hoe gaan we het vertrouwen terugkrijgen? Ik denk dat er maar één mogelijkheid is: we hebben een andere minister van Volksgezondheid nodig.
Dank u wel.
De voorzitter:
Dank u wel. Daarmee zijn we aan het einde gekomen van de eerste termijn van de zijde van de Kamer.
De beraadslaging wordt geschorst.
De voorzitter:
Er is behoefte aan een iets langere schorsing dan we gewend zijn, dus ik schors de vergadering tot 13.45 uur. Dan krijgen beide ministers de gelegenheid om jullie vragen te beantwoorden. Ik schors de vergadering tot … O, meneer Verhoeven.
De heer Verhoeven (D66):
Ik ben natuurlijk niet tegen gedegenheid, zeker niet na het mondelinge vragenuur van vorige week. Dus ik ben voor een lange beantwoordingstijd van de minister, als hij die nodig heeft. Maar we hebben ook de beperking van het debat. Ik weet waar het dan vaak op uitdraait: bijna geen interrupties meer. Dan wordt de Kamer beperkt in de mogelijkheid om door te vragen op bepaalde onderdelen. Ik zou graag van de voorzitter horen hoe we dat dan aanpakken. U kijkt moeilijk, maar u begrijpt me volgens mij heel goed.
De voorzitter:
Ik kijk altijd moeilijk als u het woord neemt, meneer Verhoeven.
De heer Verhoeven (D66):
Dat is pijnlijk, maar …
De voorzitter:
Wat vraagt u eigenlijk precies aan de voorzitter?
De heer Verhoeven (D66):
Ik hoor het mevrouw Agema heel goed zeggen: krijgen we in de beperkte tijd straks voldoende ruimte om wel door te kunnen vragen op een aantal zaken? Het gaat erom dat we niet aan de oppervlakte blijven en door kunnen vragen.
De voorzitter:
Dat vraagt ook iets van de Kamerleden.
De heer Verhoeven (D66):
Kort.
De voorzitter:
Precies. Hoe wist u dat zo goed?
De heer Verhoeven (D66):
En niet moeilijk naar elkaar kijken.
De voorzitter:
Precies, ook. De interrupties bestaan uit korte vragen en korte opmerkingen, en niet uit herhalingen. Hoeveel vragen waren er gesteld? 399 vragen zijn schriftelijk beantwoord. Die heeft u allemaal gelezen. Inderdaad, vannacht. U moet dus geen vraag stellen die eigenlijk al beantwoord is. Zullen we dat zo afspreken? Goed zo. Dan schors ik de vergadering tot 13.45 uur.
De vergadering wordt van 12.45 uur tot 13.47 uur geschorst.
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/h-tk-20202021-52-3.html
De hier aangeboden pdf-bestanden van het Staatsblad, Staatscourant, Tractatenblad, provinciaal blad, gemeenteblad, waterschapsblad en blad gemeenschappelijke regeling vormen de formele bekendmakingen in de zin van de Bekendmakingswet en de Rijkswet goedkeuring en bekendmaking verdragen voor zover ze na 1 juli 2009 zijn uitgegeven. Voor pdf-publicaties van vóór deze datum geldt dat alleen de in papieren vorm uitgegeven bladen formele status hebben; de hier aangeboden elektronische versies daarvan worden bij wijze van service aangeboden.