Handeling
Datum publicatie | Organisatie | Vergaderjaar | Vergadernummer | Datum vergadering |
---|---|---|---|---|
Tweede Kamer der Staten-Generaal | 2021-2022 | nr. 86, item 8 |
Zoals vergunningen, bouwplannen en lokale regelgeving.
Adressen en contactpersonen van overheidsorganisaties.
U bent hier:
Datum publicatie | Organisatie | Vergaderjaar | Vergadernummer | Datum vergadering |
---|---|---|---|---|
Tweede Kamer der Staten-Generaal | 2021-2022 | nr. 86, item 8 |
Aan de orde is de behandeling van:
- het wetsvoorstel Wijziging van het voorstel van wet houdende algemene regels inzake het elektronisch verkeer in het publieke domein en inzake de generieke digitale infrastructuur (Wet digitale overheid) ( 35868 ).
De voorzitter:
Aan de orde is het debat over de Wet digitale overheid. Ik heet de staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties van harte welkom, evenals de woordvoerders, de mensen op de publieke tribune en de mensen die dit debat op een andere manier volgen. Het gaat over een novelle. Ik wil ook aan de woordvoerders vragen om de aandacht vooral daarop te richten. Er is namelijk al een behandeling geweest en dit debat gaat over de novelle.
De algemene beraadslaging wordt geopend.
De voorzitter:
Ik geef als eerste het woord aan mevrouw Leijten van de SP.
Mevrouw Leijten (SP):
Voorzitter. Myrthe kon geen treinabonnement afsluiten, want een automatische kredietcheck stelde vast dat ze schulden had. Dat is niet zo; het was de vorige bewoner op haar adres. "Eerst dacht ik dat het een foutje was," vertelt Myrthe in Trouw. "dus ik nam contact op met de NS. Ik zei nog dat ik nooit een schuld heb gehad. Maar ze geloven daar in eerste instantie het systeem. En het is echt heel moeilijk om te bewijzen dat het systeem het mis heeft."
Hierover stelde de SP in januari Kamervragen en gisterenavond kwam er eindelijk antwoord. Mijn reactie op dat antwoord is: we hebben dus géén zicht op hoe het met geautomatiseerde systemen zit, op hoe ze werken en op welke procedures er zijn ingericht om fouten te corrigeren. En als het misgaat, zeg je: ga maar naar de Autoriteit Persoonsgegevens en die lost het wel op. De omgang met de AVG, het delen van data, het verzamelen van data, het missen van de menselijke tussenkomst bij fouten als mensen een geautomatiseerd besluit krijgen, de omgang met zogenaamde techniekonafhankelijke wetgeving: het zijn allemaal onderwerpen die raken aan dit voorstel. Ze raken zeker aan "de volgende tranches" van deze wet, zoals dat dan heet. De Raad van State schreef daarover een mooi advies. Ik weet nog dat we dat vorig jaar juni samen in ontvangst hebben genomen. U deed dat als Voorzitter van de Kamer en ik deed dat destijds als fungerend voorzitter van de commissie voor Digitale Zaken.
In dat advies waarschuwt de Raad van State ons voor de digitalisering in wetgevingsprocessen en bij bestuursrecht. Juist over die techniekonafhankelijke zaken zegt de Raad van State: die zijn niet techniekonafhankelijk, want daarin worden keuzes gemaakt waar je ook als medewetgever, als Kamer, zicht op moet houden. Volgens de Raad van State kunnen daarin keuzes worden gemaakt waarbij uit zicht raakt wat je eigenlijk beoogde met het voorstel. We hebben nog steeds geen reactie op dat advies. Dat vind ik eigenlijk wel een blamage. We staan hier namelijk een wet te behandelen waarin ik heel veel zaken terugzie uit het advies van de Raad van State op de novelle. Die zaken komen overeen met die waarschuwing die we kregen van de Raad van State over onze positie als wetgever, maar zeker ook met heel veel adviezen aan de regering over hoe je wetten die raken aan digitalisering beter moet maken. We weten echt al heel lang dat ICT en overheid geen gelukkig huwelijk vormen. We hebben het toeslagenschandaal gezien. De uitkomst daarvan was ontzettend pijnlijk voor mensen. Dat heette deze week "onbedoeld racisme". Maar goed, we wisten het natuurlijk allemaal al: laag inkomen, alleenstaande moeder, andere achtergrond, andere achternaam, bepaalde religies; de scores in het risicoselectiesysteem maakten wel dat je bovenop de stapel kwam te liggen. We kennen ook de vernietiging van mensenlevens die dat tot gevolg had. Zij hadden vragen daarover die ze niet beantwoord kregen: waarom gebeurde dat? Heel veel mensen voerden in hun eentje een gevecht tegen de Staat. Dat was het gevolg.
Een van de simpele dingen is: bij foute besluitvorming moet er menselijke tussenkomst zijn. In de beantwoording van de Kamervragen wordt heel erg omschreven dat dat wenselijk is en eigenlijk volgt uit de AVG, maar we hebben er geen zicht op. En dan staan we hier een wet te behandelen die niet de uitsluiting of het ontstaan van racisme of andere diepe ellende oplost in het kader van de overheid en digitalisering. Nee, het gaat hier over de eerste tranche van de Wet digitale overheid. Die regelt dat er private inlogsystemen gaan komen. DigiD deugt niet meer. Dat is een publiek inlogsysteem. Dat gaan we niet verbeteren. Nee, we brengen het naar de markt.
De eerste wet was zo ondeugdelijk dat de Eerste Kamer zei: lever beter werk. Dat zei niet alleen de Eerste Kamer. Ook de Raad van State zei dat. Veel experts die gehoord werden, zeiden dat ook. Deze overheid, deze regering, ziet de dataeconomie als kans en blijft algoritmes gebruiken die mensen niet in hun waarde laten. Daardoor zijn mensen ook steeds vaker aangewezen op digitale communicatie met de overheid. We staan eigenlijk op een punt dat we een wezenlijke vraag moeten beantwoorden: hoe willen we dat de overheid omgaat met digitale middelen? Als mensen inloggen, willen wij dan dat dat via private middelen gebeurt?
De vorige regering stelde, en deze staatssecretaris gaat daarmee door, dat mensen daar meer keuzevrijheid mee zouden krijgen. Maar je wilt vooral dat er een inlogmiddel is dat goed is en waarvan je zeker weet dat het werkt. Nu is er een nieuwe wet. De wet was te vaag. De toezichthoudende taak kon niet worden ingevuld. Ook de regie die mensen moeten kunnen voeren op hun eigen data en datagebruik was onvoldoende een onderwerp. Maar de vorige staatssecretaris — deze staatssecretaris doet dat waarschijnlijk ook —gaf dan telkens het antwoord: ja, dat komt bij het tweede deel van de wet wel. Maar volgens mij moeten we eerst die fundamentele vragen beantwoorden, voordat we deze stap zetten naar private inlogmiddelen.
Hoe kan de Kamer hier nou mee instemmen? Hoe kan iemand hier vragen ... Kan ik de staatssecretaris vragen een antwoord te geven op wat open source nou precies is, als dat straks de norm is? Of, zoals de staatssecretaris zegt, wordt er van partijen geëist dat zij een beweging inzetten naar het gebruik van open source? Dat staat in de nota naar aanleiding van het verslag. De Raad van State zegt hierover: je moet man en paard noemen, want praten over zoogdieren is te abstract. Vermoedelijk schreef de Raad van State dat toen, toen zij zich afvroegen wat "een beweging inzetten naar open source" dan precies behelst. Maar misschien kan de staatssecretaris dat hier wel duidelijk aangeven.
Private bedrijven die inlogmiddelen ontwikkelen, mogen die data niet verkopen; maar gebruiken mogen ze die data wel, om geld te verdienen, om goede reclames te maken, gericht op de persoon, op basis van die verzamelde data. De reactie van de staatssecretaris is dat het buiten de bevoegdheid van dit wetsvoorstel en het ministerie van Buitenlandse Zaken valt om daar iets aan te doen. Dat lijkt me nou heel erg raar, want als overheid kunnen wij eisen stellen aan het gebruik van gegevens die via inlogmiddelen worden verkregen. Daarom heb ik op dit voorstel een verduidelijkend amendement gemaakt — ik weet niet of het al is rondgegaan, maar anders komt het zo meteen — maar mijn conclusie was wel dat dit wetsvoorstel de goede kant op amenderen eigenlijk niet mogelijk is. Want het houdt die vaagheid over "techniekonafhankelijke processen", waarvan de Raad van State juist zegt: hou daar zicht op, want daar zitten wezenlijke politieke keuzes in. Wij hebben nu gezegd dat de data die worden verkregen door het inloggen, ook niet mogen worden gebruikt voor iets anders. Ze mogen niet worden verkocht, maar ze mogen ook niet worden gebruikt voor bijvoorbeeld reclame. Maar het liefst zouden wij zien dat het goed inloggen bij overheidsdiensten publiek geregeld wordt.
De voorzitter:
Er is een interruptie van mevrouw Rajkowski van de VVD.
Mevrouw Rajkowski (VVD):
Ik heb er ondertussen drie in mijn hoofd, dus ik ben even aan het kijken welke ik ga doen. Als het gaat over die commerciële uitnutting en het maken van reclame, denk ik dat de SP de hele Kamer aan haar zijde vindt door te zeggen dat elke vorm van commerciële uitnutting van persoonsgegevens buiten de werkingssfeer van dit wetsvoorstel valt. Volgens mij is daar de verduidelijking van de staatssecretaris op gekomen. Daar waren wij heel blij mee. Dat betekent dan toch ook: geen reclame? Als er zo duidelijk staat dat al die vormen buiten dit wetsvoorstel vallen, waarin zit dan de zorg: in dat het er niet goed in staat of in dat het niet wordt gedaan?
Mevrouw Leijten (SP):
In dat het er niet in staat. Er is geen verbod op het gebruik. Jouw data zijn bekend. Die mogen niet worden verkocht, maar er is geen verbod op het gebruik van jouw data, terwijl het enige wat je doet, is dat je dat middel gebruikt om in te loggen voor toegang tot publieke diensten. Dan moeten die data gewist worden, wat ons betreft. Je mag ze gewoon niet gebruiken. Daarover gaat het amendement dat straks wordt rondgedeeld.
Mevrouw Rajkowski (VVD):
Dan ga ik de tekst er nog even bij pakken, want ik had het anders gelezen. In de memorie van toelichting staat: het in algemene zin reguleren van alle vormen van commerciële uitnutting van persoonsgegevens valt buiten de werking van dit wetsvoorstel. De toelichting is op dit punt verduidelijkt. Ik zie dus niet … Maar ik wacht het amendement dan even af.
Mevrouw Leijten (SP):
Maar niks valt buiten dit wetsvoorstel. Dit wetsvoorstel kan alles regelen. Het is staatsrechtelijk een totaal onverklaarbare opmerking. Dan kan de staatssecretaris haar handtekening er wel onder vandaan halen. Dit wetsvoorstel regelt dat er private aanbieders komen die middelen aanbieden waarmee je kunt inloggen bij overheden. Daarmee kunnen ze data verzamelen, want er zijn data nodig om in te loggen. Die data mogen ze niet verkopen, maar ook niet gebruiken; die moeten ze dus wissen. Dat gaat wel degelijk over dit wetsvoorstel. Ik vind het ook onverklaarbaar dat wordt gezegd: daar gaan we niet over. Daar gaan we wel over. Wij gaan daar echt over, in wat we besluiten, want wij besluiten hier die private inlogmiddelen toe te staan. Dan besluiten we dus ook wat die private bedrijven met die data kunnen doen. De SP zegt: niet verkopen en niet verhandelen, maar ook niet gebruiken.
Mevrouw Rajkowski (VVD):
Laatste keer. Helemaal mee eens. Maar eigenlijk hoor ik hier iets tussendoor. Vindt de SP het überhaupt wel wenselijk dat er marktpartijen zijn, aan welke eisen ze ook voldoen, die dit soort inlogmiddelen gaan maken? Want dat sijpelt er voor mij een beetje doorheen. Als de SP zegt "joh, het maakt ons eigenlijk niet uit; aan welke eisen op het gebied van veiligheid of de verwerking van persoonsgegevens een bedrijf ook voldoet, wij vertrouwen het toch niet", dan hebben we hier wel een andere discussie met elkaar.
Mevrouw Leijten (SP):
Nou, het goed in de wet zetten, zou de wet aanzienlijk verbeteren. Maar betekent dat dat wij voor deze eerste tranche en die private inlogmiddelen zijn? Nee. Dat waren we ook niet bij de eerste ronde. Wij vinden dat op het moment dat je het mogelijk maakt om bij publieke instanties in te loggen, je dat het liefst via een publieke partij moet doen. Eigenlijk is dit het wetsvoorstel "afschaffen DigiD". We behouden dat dan wel, maar je krijgt meer keuzevrijheid. Volgens mij zitten mensen niet zozeer te wachten op keuzevrijheid, als wel op goed en deugdelijk. Wij denken dat het de wet aanzienlijk zou verbeteren als in ieder geval de verkregen data door die private inlogmiddelen op geen enkele manier gebruikt mogen worden.
De heer Bontenbal (CDA):
Je had ook nog kunnen zeggen: er moet ten minste, zowel voor burgers als bedrijven, een publiek inlogmiddel zijn. Je kunt het helemaal naar de markt sturen of je kunt de voorwaarde aanbrengen dat er ten minste een goed werkend inlogmiddel moet zijn. Is dat voor de SP misschien ook voldoende? Of zegt u: überhaupt never nooit een privaat inlogmiddel aanbieden?
Mevrouw Leijten (SP):
Nooit? Dat is een heel groot woord, maar op basis van dit wetsvoorstel zeg ik: niet toelaten. Ik denk dat ik daar sta. Ik vind echt dat we andere fundamentele vragen hier eerst moeten beantwoorden. We zouden het goed moeten hebben over het rapport van de Raad van State dat we hebben gehad, met de reactie van de regering. We zouden dan best al veel afspraken kunnen maken, ook met de regering, over wetgeving die digitale keuzes in zich heeft. Hoe zorgen we daar nou goed voor? In het advies staat bijvoorbeeld om artikel 22 van de AVG goed uit te werken, zodat er altijd een menselijke tussenkomst mogelijk is als iemand dat verzoekt. Dat is nu aan de gegevensverwerker, maar er zijn er zo veel en zij delen zo veel met elkaar dat nauwelijks terug te leiden is waar die gegevens vandaan komen, waar het fout is gegaan en waar je die dan zou moeten verbeteren. Dat debat zouden we moeten voeren. Volgens mij zouden we het best wel snel eens worden. Als dat fundament goed geregeld is en er komen private inlogmiddelen die op dat fundament hun werk gaan doen, dan zou het wellicht wel kunnen als er ook echt de wil voor die keuzevrijheid is. Maar het fundament is nu dataverzameling, datadeling en de data-economie. Dat biedt volgens het regeerakkoord heel veel kansen, maar wij zitten toch aan de voorzichtige kant na wat we gezien hebben met al die data. Daarom vinden we dit wetsvoorstel met die mogelijkheid het verkeerde fundament, het verkeerde uitgangspunt.
De heer Bontenbal (CDA):
Ik snap die voorzichtige kant heel goed. Maar waar het is misgegaan, is bij de publieke instellingen. Een publiek inlogmiddel verzekert mij nog steeds niet dat elke publieke organisatie daar goede dingen mee doet. We hebben in het verleden gezien dat dat ook geen garantie is dat het goed gaat. Daarnaast zou je ook nog kunnen zeggen dat privaat misschien wel een aantal innovaties uitlokt die ook goed zijn. Soms kan het bedrijfsleven dat iets beter dan de overheid. Houdt u zo hard vol dat publiek altijd beter is dan privaat? Zou u privaat toch niet een kans moeten geven, mits er inderdaad altijd een publieke optie is?
Mevrouw Leijten (SP):
Dat het enorm fout gaat met de overheid en ICT, daar ben ik zo'n beetje mee begonnen. We hebben hier jarenlang debatten gehad over DigiD, dat het onveilig was en noem maar op. We zien juist bij overheidsinstellingen ontzettend veel dataleks. Het vorige debat stond mijn voorganger hier best wel te sneren over het feit dat uitgerekend de Belastingdienst e-herkenning ging vormgeven. We kunnen nog hele debatten voeren over hoe ontzettend goed of niet goed dat werkt voor mensen. Zeggen dat de overheid het beter kan dan de markt, zal ik op dit vlak echt niet doen. Maar het gaat wel over publieke waarborgen. De markt gaat het om winst maken. Die winst gaat over data die jij als inwoner afgeeft om met de overheid te communiceren. Daar vind ik principieel wel wat van. Ik denk dat in de ontwikkeling heel veel geleerd zou kunnen worden van de markt, maar de beschikbaarheid van onze data moet je op die manier niet vrijgeven. Hierop heb ik een amendement ingediend, waarvan ik hoop dat het op een meerderheid kan rekenen.
Gaat de SP dan voor dit wetsvoorstel stemmen? De consequentie van de tegenstem van de vorige keer zal er nu ook zijn. Ik zou het liefst zien dat we eerst dat fundamentele debat gaan voeren en die basis veranderen, in plaats van doorgaan op het idee van de data-economie en "daar wordt iedereen blij van". Maar het is toch vooral heel erg risicovol voor jouw data. Gisteren hadden we daar ook nog een debat over bij de Telecomraad. Toen had de minister daar ook niet altijd een goed antwoord op. Bij dat fundamentele debat zijn we eigenlijk nog niet, maar dat zouden we wel moeten voeren.
De voorzitter:
U vervolgt uw betoog.
Mevrouw Leijten (SP):
Voorzitter. Onlangs verscheen er een onderzoeksrapport van Bits of Freedom. Gemeenten hebben hun dataveiligheid niet op orde. Ze hebben te weinig kennis, te weinig middelen en te weinig prioriteit voor dit onderwerp. Bits of Freedom adviseert daarom dat de overheid niet met allemaal nieuwe plannen moet komen, maar eerst de basis op orde moet brengen. Dat advies lijkt mij hier ook te gelden, en ik hoop dat het kabinet dat ook ter harte neemt.
De voorzitter:
Dank u wel. Dan gaan we naar mevrouw Dekker-Abdulaziz van D66.
Mevrouw Dekker-Abdulaziz (D66):
Dank, voorzitter. Pluk de vruchten van digitalisering, maar beperk de schaduwkanten. Dat betekent zorg voor veiligheid en toegankelijkheid bij digitale toepassingen. Dat zijn kernprincipes die keer op keer terugkomen als wij hier wetgeving over de digitale overheid bespreken. Vandaag bespreken we een novelle van de Wet digitale overheid, een wet waarvan de internetconsultatie al begon in 2016. De novelle komt tegemoet aan zorgen uit de Eerste Kamer over de wet. De D66-fractie kan zich daar goed in vinden, want de uitgangspunten van de voorliggende wijzigingen gaan de goede kant op, zoals privacy by design, een verbod op het verhandelen van data en het voorschrijven van open source. Maar er blijven wel veel vragen open.
Voorzitter. Allereerst het verbod op het verhandelen van data, een belangrijke verbetering, want het moet niet zo zijn dat inloggen voor overheidsdiensten een verdienmodel wordt voor bedrijven. Als we artikel 9, lid 2 goed lezen, blijven er vragen hangen. Gaat het hier ook om metadata en geaggregeerde data? Is het dan ook verboden om een profiel te maken met die data? Is het verhandelen van metadata ook uitgesloten in dit wetsvoorstel? Zo niet, dan overweeg ik hierover een amendement in te dienen. Acht de minister het verhandelverbod in zijn algemeenheid streng genoeg, zodat bedrijven niet vanwege de data die ze verzamelen, inlogmiddelen gaan aanbieden?
Voorzitter. Ik wil het ook graag over open source hebben, want het streven naar open source is goed, zolang dit op een veilige manier kan. Transparantie en veiligheid zorgen voor het vertrouwen in deze systemen, maar het mag nog ambitieuzer wat D66 betreft. Momenteel staat er in het wetsvoorstel dat er een minimale hoeveelheid open source moet zijn. Hoe meet je dit? Waar gaat de staatssecretaris dit op baseren? Zou het niet wenselijker zijn als we stellen "open source, tenzij"? Acht de staatssecretaris het waarschijnlijk dat grote techreuzen — ik noem maar wat: Facebook of Google — nu al kunnen voldoen aan de opensource-eisen? Volgens de Wet open overheid vallen alle overheidsbroncodes onder de wet. Alles moet immers herleidbaar zijn. Hoe verhouden de eis voor open source en deze wet in het algemeen zich tot de eis die al in de Wet open overheid staat?
Voorzitter. Dan kom ik bij mijn derde onderwerp, privacy by design. Ik begrijp de lastige balans tussen goede waarborgen vastleggen en niet al te specifiek technische eisen vastleggen in de wet.
De voorzitter:
Net te laat, volgens mij. Het woord is aan mevrouw Rajkowski, VVD.
Mevrouw Rajkowski (VVD):
Ik zat nog even te kauwen op die "open source, tenzij". Als ik het goed begreep, stelde D66 net voor dat er nog wel wat meer open source mag, dus laten we gaan naar "open source, tenzij". Ik zou D66 willen vragen om die zin even af te maken. "Open source, tenzij ..."?
Mevrouw Dekker-Abdulaziz (D66):
Met "open source, tenzij" bedoel ik dat idealiter in de wet zou moeten staan dat het open source moet zijn, tenzij dat niet voldoet aan bijvoorbeeld de veiligheidseisen.
Mevrouw Rajkowski (VVD):
Wat als open source wel voldoet aan de veiligheidseisen, maar closed source een veiligere oplossing is? Als beide voldoen aan de veiligheidseisen, maar eentje is veiliger, namelijk closed source, waar gaat D66 dan voor? Voor de veiligheid van de inwoners en hun gegevens of voor het ideologische streven naar open source?
Mevrouw Dekker-Abdulaziz (D66):
Ik denk dat deze twee dingen elkaar niet bijten. Het is namelijk niet zo dat open source per definitie niet veilig is. Als je een goede community hebt die dat controleert, dan is open source juist veiliger. Je hebt dan namelijk toegang tot de broncode.
Ten tweede is het natuurlijk geen programma met eisen. Je kunt niet kiezen tussen een veilige of een minder veilige optie. De overheid is hier dus niet aan het inkopen. Je laat alleen aanbieders toe. Er is een eis, namelijk minimale veiligheid. Als je daaraan voldoet, dan mag je je producten aanbieden.
Mevrouw Rajkowski (VVD):
Dan nog mijn laatste interruptie, want dat is precies het punt en de zorg bij de VVD. Open source is natuurlijk een mooi ideologisch model. Het is een streven dat de wereld in meerdere of mindere mate mee kan kijken hoe veilig een systeem is. Maar het kan zo afhankelijk van een community zijn. Communities veranderen ook. Daarin zit onze zorg. Bij ons staat veiligheid voorop. Het gaat om de veiligste optie, of dat nou open source of closed source is. Dat vinden wij het allerbelangrijkst. Het gaat namelijk om identificatiemiddelen voor Nederlanders.
Mevrouw Dekker-Abdulaziz (D66):
Ik reageer daar toch even op. Wij zien open source niet als een ideologie. Open source is juist beter voor de transparantie. Volgens mij is het gewoon beter. Open source is niet ideologisch. Nogmaals, als open source veilig genoeg is, dan zouden wij kiezen voor open source in plaats van closed source, want dan is er geen garantie.
Mevrouw Leijten (SP):
Ik wil nog even wat vragen over die data. Stel, mevrouw Dekker-Abdulaziz krijgt een kind en geeft dat digitaal aan bij de gemeente Utrecht. Dan krijgt ze opeens allemaal reclames die gericht zijn op luiers, kleine kinderen en noem het allemaal maar op. Dat kan natuurlijk, want de gegevens, de data, zijn bekend. Ze zijn dan misschien niet verhandeld, maar ze worden wel commercieel gebruikt. Dat zou op dit moment de uitkomst zijn van dit wetsvoorstel. Wat vindt D66 daarvan?
Mevrouw Dekker-Abdulaziz (D66):
Dat vind ik eigenlijk een hele goede vraag, want daar liggen onze zorgen ook. Overigens is het bij het opgeven van een kind bij de gemeente nu niet het geval, maar het is wel het geval als je de blije doos haalt. Wees gewaarschuwd, zeg ik dus. Doe het niet. Als we het wetsvoorstel en de toelichting daarop — die is net door mevrouw Rajkowski voorgelezen — zo begrijpen, dan valt dat er niet onder. Je kunt het dus niet commercieel uitbuiten. Daarom stel ik ook deze vraag, min of meer op een indirecte manier, aan de staatssecretaris. Wat verbieden wij eigenlijk met het verhandelverbod? Mag het ook uitgebreid worden? Mag je een profiel maken? Mag je metadata uitzetten?
Mevrouw Leijten (SP):
Dat vind ik echt stuk voor stuk goede vragen van D66. Ik ken mevrouw Dekker-Abdulaziz ook als iemand die hier heel goed op let. Ik vind het echter zorgelijk dat er in de nota naar aanleiding van het verslag stond dat dit niet de reikwijdte zou zijn van het ministerie. Dat heb ik net ook gezegd, in antwoord op mevrouw Rajkowski. Dat is natuurlijk wel onze reikwijdte. We maken immers een wet waarbij we het mogelijk maken dat private identificatiemiddelen worden gebruikt. Dat betekent dat jouw gegevens in handen komen van private organisaties. Die mogen ze niet verhandelen. Die mogen ze niet commercieel benutten. Waarvoor zouden ze die dan nog wel mogen gebruiken?
Mevrouw Dekker-Abdulaziz (D66):
Als het aan mij ligt, zouden ze die alleen maar mogen gebruiken om te checken of mevrouw Leijten inderdaad mevrouw Leijten is, en niet meer dan dat. Als het wel meer dan dat is, dan hoor ik dat graag van de staatssecretaris. Dan zou het namelijk echt zorgelijk zijn.
De voorzitter:
U vervolgt uw betoog.
Mevrouw Dekker-Abdulaziz (D66):
Ik vervolg mijn betoog. Ik begrijp de lastige balans tussen het vastleggen van goede waarborgen en niet al te specifieke technische eisen in de wet, vooral bij digitalisering. Daar veranderen de middelen en techniek namelijk snel. Kan de staatssecretaris uitweiden over waar privacy by design dan aan moet voldoen? Zitten daar ook organisatorische eisen aan? Hoe zal dit getoetst worden? Welke richtlijnen worden gevolgd? Het moet natuurlijk geen intentieverklaring zijn.
Voorzitter. Dan kom ik bij het toezicht. Toezicht is een belangrijke vereiste, niet alleen bij de toetreding van nieuwe aanbieders, maar ook bij technologische ontwikkelingen. Denkt de staatssecretaris dat het Agentschap Telecom voldoende capaciteit heeft om dit goed te doen? Dit gaat om private dienstverleners. Bij publieke dienstverleners gaat het om interbestuurlijk toezicht. Hoe werkt dat? Wie gaat er dan toezicht houden op gemeentes? Gaat het dan om provincies? Hebben zij daarvoor de expertise en voldoende middelen? Ook kreeg ik het bericht van een aantal gemeentes dat zij ervoor vrezen of zij wel kunnen voldoen aan uitvoering van de wet. Is er contact geweest met gemeentes om te horen of zij hier wel tijdig mee uit de voeten kunnen?
Voorzitter. Dan wil ik het graag over de rol van big tech hebben. De deur wordt namelijk opengezet voor innovatie, maar ook voor nieuwe problemen. Denk bijvoorbeeld aan het uitfaseren van de sms. We snappen dat het gebruik van een authenticatieapp veiliger is dan een sms, maar worden mensen hierdoor niet gedwongen, naar het ecosysteem van Google of Apple, om een app te downloaden? Acht de staatssecretaris dit wenselijk? Zijn er alternatieven denkbaar?
Tot slot heb ik nog een aantal losse vragen. Allereerst. Kan de staatssecretaris toelichten hoe deze wet zich verhoudt tot de eIDAS-verordening? Ten tweede hoor ik graag van de staatssecretaris of zij het wenselijk acht om de evaluatie naar voren te halen, naar drie jaar, om te kijken naar de uitvoering van de wet. Ik overweeg hierover een motie. Ten slotte. In welke mate sluit de novelle aan op de checklist van de Raad van State over digitalisering en wetgeving, gezien dit rapport vrij recent is? Graag ontvang ik een reflectie van de staatssecretaris hierop.
Ik heb een boel vragen, voorzitter. Ik kijk uit naar de beantwoording.
De voorzitter:
Dank u wel. Dan gaan we naar mevrouw Rajkowski, VVD.
Mevrouw Rajkowski (VVD):
Dank dat wij op deze vrolijke dag dit debat onder uw leiding mogen voeren, voorzitter. Gefeliciteerd.
Voorzitter. De VVD is het eens met de punten waarop het voorstel is aangepast, maar plaatst ook een paar kanttekeningen bij het blind sturen op open source. Fysiek is het controleren van identiteit natuurlijk een stuk makkelijker. Iemand komt met een paspoort naar de balie, je kan een vingerdruk controleren en je kan makkelijker zien of diegene zich voordoet als iemand anders. Online is dit een stuk lastiger, maar wel noodzakelijk. Daarom wordt er al jaren gebruikgemaakt van instrumenten zoals DigiD. Zo kunnen mensen veilig, betrouwbaar en toegankelijk met de overheid communiceren. Het wordt allemaal nog wat veiliger, toegankelijker en betrouwbaarder. Dat regelt deze wet. Daar zijn de Eerste en de Tweede Kamer dan ook tevreden over.
De Eerste Kamer gaf nog wel een aantal privacywaarborgen mee die ze zeiden in de wet te missen. Daar heeft de staatssecretaris, naar mening van de VVD, de wet netjes op aangepast. We hebben wel nog wat zorgen. Eerst heb ik wat over open source. Daarna zal ik wat zeggen over de standaarden voor informatieveiligheid.
Eerst open source. Samen ben je slimmer, dus open source kan ook een veiligere optie zijn. Ook kan je hierdoor minder afhankelijk worden van softwareleveranciers, wat weer innovatie, veiligheid en de strijd tegen de bureaucratie ten goede kan komen. Het streven naar open source is dus begrijpelijk, maar veiligheid staat bij de VVD voorop, niet of iets open of closed source is, hoe sterk de lobby soms ook is richting het parlement. De VVD heeft hier nog een aantal vragen over.
Om open source veilig te laten zijn, is het belangrijk om een goede afweging te maken over wat open source precies in gaat houden. Er zijn natuurlijk allerlei gradaties te bedenken, van transparantie tot controle en het wel of niet mee kunnen schrijven. Hoe wordt er tussentijds getoetst, als er al voor een opensourceoptie is gekozen, of open source nog steeds de veiligste en meest betrouwbare vorm is? Is de staatssecretaris het met de VVD eens dat het ook onhaalbaar is om de leverancier te vragen om een lijst te delen met alle opensourcesoftware waar hij gebruik van maakt? Juist vanwege de complexiteit van digitale systemen is het niet altijd inzichtelijk welke software aan elkaar hangt en wat er onder water wordt gebruikt. We zagen dat Log4j soms wel vier lagen onder water in systemen lag en dat het eigenlijk bijna alle bedrijven en organisaties raakte. Het is gewoon heel lastig om daar inzicht in te krijgen. Dus hoe gaat de staatssecretaris hiermee om? Als laatste op dit onderwerp: klopt het dat de keuze voor open dan wel closed source in lagere regelgeving terechtkomt en dat die ook wordt voorgehangen aan het parlement?
Voorzitter, als laatste de standaarden voor veilige e-mailprotocollen. Het wetsvoorstel biedt ook mogelijkheden om overheden te verplichten standaarden te gebruiken voor informatieveiligheid, zoals protocollen voor veiligere e-mail, dus ook communicatie onderling. Maar het is mijn fractie nog onduidelijk op welke manier dat nu geregeld gaat worden. Mijn vraag aan de staatssecretaris is simpel: hoe staat het hiermee?
Voorzitter. Verder wil ik me aansluiten bij de opmerking van de SP. Het zou zo moeten gaan dat data niet verhandeld noch intern gebruikt mag worden voor commerciële doeleinden. Als het over dit soort informatie gaat, is dat wat ons betreft een no-go. En ik sluit mij ook aan bij de zorgen die mevrouw Dekker van D66 uitsprak. We moeten bij dit soort wetten ook voorkomen dat we mensen in de armen van de big tech duwen. Het zou juist fijn zijn als we daar wat onafhankelijker van kunnen worden. Dus bij die zorgen sluit mijn fractie zich ook aan.
De voorzitter:
Dank u wel. Er is een interruptie van mevrouw Van Weerdenburg van de PVV.
Mevrouw Van Weerdenburg (PVV):
Ik ben benieuwd hoe mevrouw Rajkowski de eis van open source heeft gelezen. Ik zal daar zelf in mijn inbreng een aantal vragen over stellen aan de staatssecretaris. De wetstekst spreekt over open source onder licentie, en in de memorie van toelichting gaat het echt over gratis software die ook gratis beschikbaar gesteld moet worden. Hoe leest mevrouw Rajkowski dat? En wat vindt zij ervan dat je dan private partijen, veelal commerciële bedrijven, toch eigenlijk oplegt om hun sourcecode, hun broncode vrij en gratis beschikbaar te stellen aan iedereen? Vindt mevrouw Rajkowski dat eerlijk?
Mevrouw Rajkowski (VVD):
Ik begin met het laatste. Als private partijen zich graag willen begeven in het domein van het je kunnen identificeren bij overheidsbedrijven, dan zullen ze toch echt aan de strengste eisen moeten voldoen. En transparantie valt daar ook onder. Dat betekent natuurlijk niet dat zij de broncode van hun hele systeem moeten blootleggen. Maar ze moeten wel de broncode blootleggen van de systemen die over identificatie gaan. Dat lijkt me alleen maar goed. We hebben al DigiD. We willen het betrouwbaarder en veiliger maken. Juist als je het heel veilig en betrouwbaar wilt hebben, zal er ook op een bepaalde manier meer openheid gegeven moeten worden. Bedrijven moeten dan zelf maar de keuze maken of ze daaraan gaan bijdragen of niet.
De eerste vraag die mij door de PVV werd gesteld, ging over open source. Juist daarom vroeg ik ook: over welke soort open source gaat het dan precies? Ik interrumpeerde ook net met collega van D66. Toen zei ik dat het lastige bij sommige gratis open source is, dat het zo afhankelijk van de community is. En communities veranderen. Wat ons betreft is open source echt niet de heilige graal. Dit zijn wel nieuwe ontwikkelingen, niet in de echte wereld, maar wel in de wereld waar wij ons hier in begeven. Het is goed dat wij het daar ook over hebben en dat wij erover nadenken. Maar wat mij betreft moet het gewoon het veiligste zijn. Het maakt mij daarbij niet zo veel uit of het open source of closed source is.
Mevrouw Van Weerdenburg (PVV):
Dank. Op zich zijn mevrouw Rajkowski en ik het daarover eens. Maar je kunt natuurlijk ook werken met een verplichting tot het publiceren van het deel van de broncode dat het implementatiegedeelte is. De security, de firewall hoeft er niet bij. Dat zijn we eens. Maar dan hoeft er natuurlijk nog niet per se bij dat de software gratis beschikbaar is voor andere ontwikkelaars. Je kunt daar best wel werken met een soort copyright, net als bij boeken. Boeken publiceer je, maar dan is het alsnog niet toegestaan voor anderen om die gratis helemaal over te schrijven. Dat is dus ook nog een optie. Als het gaat om transparantie kunnen we daar ook voor kiezen. Misschien is daar ook voor gekozen. Dat moet blijken uit de antwoorden op mijn verduidelijkende vragen die ik straks ga stellen. Maar ziet mevrouw Rajkowski dat als minimum?
Mevrouw Rajkowski (VVD):
Daar zou ik eigenlijk wel voor openstaan. Ik moet eigenlijk meteen aan een volgende situatie denken. Als jij voedsel koopt in de supermarkt, dan is er wel een etiketje waarop de ingrediënten staan, maar daarop staat niet per se het recept. En als er echt twijfels zijn over de vraag of een banaan, een appel of de inhoud van een potje wel of niet veilig is, dan is er altijd een instantie die dieper in de informatie kan duiken en het kan checken. Dus daar zou je inderdaad uit kunnen afleiden dat we misschien niet alles hoeven te openbaren, maar alleen maar een stukje. Maar dit gaat over identificatiemiddelen. Er komen meerdere opties. Inwoners kunnen het spannend vinden dat ze moeten gaan kiezen tussen middelen. Ik wil dan dat elk middel honderd procent veilig is. En dan moet er een optie bestaan, in ieder geval voor een controlerende instantie, om de code tot achter de komma te kunnen controleren.
Mevrouw Leijten (SP):
We staan hier te praten over een Wet digitale overheid die nu met een novelle verbeterd wordt. Dat wordt toegejuicht door mevrouw Rajkowski. Maar als het aan de meerderheid in de Tweede Kamer had gelegen, dan hadden wij in januari 2020 met het vorige wetsvoorstel ingestemd, een wetsvoorstel dat dus niet goed genoeg was.
Mevrouw Rajkowski (VVD):
Ja.
Mevrouw Leijten (SP):
Hoe kijkt de VVD-fractie daar nou op terug? Die fractie heeft destijds voor dat vorige wetsvoorstel gestemd. Hoe kijkt de VVD-fractie er nou op terug dat we, dus een meerderheid van de Tweede Kamer, worden teruggefloten door de Eerste Kamer als het gaat over digitale waarborgen? Vooral de voorstemmers worden natuurlijk teruggefloten.
Mevrouw Rajkowski (VVD):
Ik denk dat het goed is dat de Eerste Kamer dat heeft gedaan. Ik noem het dan maar even "voortschrijdend inzicht". Dat betekent wat ons betreft niet dat het hele onderliggende wetsvoorstel fout is, maar ik ben erg blij met de aanpassingen die zijn gedaan. Ik ben het er niet helemaal mee eens open source als heilige graal te zien, maar het lijkt mij alleen maar verstandig om open source in de overweging mee te nemen.
Mevrouw Leijten (SP):
Nou staat de VVD blij te zijn met een novelle waar nogal veel kritiek op is, ook van de Raad van State, onder andere op de definities, maar ook op de delegatiebepaling en de beperking van de verwerking van die gegevens, die data. Dat worden nu juist wel de drie verbeterpunten genoemd. In het licht van de vorige wet, waar de Raad van State heel kritisch op was en waar de VVD toen voor was, is er nu een verbetering waar de VVD blij mee is, maar de Raad van State tegelijkertijd kritisch over is. Doet dat iets met de beoordeling door de VVD van het voorliggende wetsvoorstel?
Mevrouw Rajkowski (VVD):
Het doet er in die zin zeker wat mee dat wij er nog een keertje goed met de stofkam doorheen zijn gegaan. Oké, als de Eerste Kamer vraagt om een novelle, dan is het belangrijk dat wij alles nog even goed bekijken. En wat betreft privacy by design en open source: ik ben heel blij dat we het daar nu met elkaar over hebben. Ik weet niet of dat twee jaar geleden überhaupt in de Tweede Kamer is gewisseld. Dat weet ik niet; misschien wel, maar ik was er toen niet bij. Als die onderwerpen toen wel zijn gewisseld en de VVD toen heeft gezegd "daar zien wij niks in", dan krijgt u bij dezen ons hernieuwde standpunt. Maar ik denk dat het goed is dat we, gezien de ontwikkelingen van deze tijd, hier nu ook goed naar kijken. Wat ons betreft heeft de staatssecretaris de punten netjes aangepast. Het is belangrijk dat er naar privacy by design wordt gekeken, dus dat privacy altijd wordt meegenomen. We hebben gelukkig ook de AVG en we hebben de eIDAS-verordening. Dus volgens mij hebben we wat dat betreft een mooi pakketje aan wet- en regelgeving om het zo veilig mogelijk te maken. Ik zou wel graag van de staatssecretaris straks nog heel scherp uitgedrukt willen horen dat data niet voor enig commercieel gewin gebruikt mag worden, dus ook niet intern.
Mevrouw Leijten (SP):
Maar daar is net een amendement over rondgegaan, nr. 8, dat het nog beter regelt. Maar ik vind het wel zorgelijk. Dit is nu het derde wetsvoorstel dat passeert over de digitale communicatie met de overheid door inwoners en het maken van profielen, zoals bij de Landelijke Aanpak Adreskwaliteit. Iedere keer liggen er rodevlagadviezen en iedere keer stemt toch weer een meerderheid van deze Tweede Kamer vóór, terwijl we twee, drie maanden geleden ook nog het debat over de wetgevende taak van de Kamer hebben gevoerd. Als het er dus op aankomt dat de regering met iets verder wil, dan hoop ik echt dat de VVD-fractie wat kritischer is. Want ik hoor wel heel vaak een kritische toon, en dat vind ik heel goed, bij de VVD en bijvoorbeeld bij D66, maar bij het stemmen lopen deze partijen dan toch weer in de pas. Volgens mij is dat nou juist iets wat de commissie-Bosman heeft gezegd: let op die wetgevende taak.
Mevrouw Rajkowski (VVD):
Ik loop met niemand in de pas, alleen met mijn eigen geweten. Ik heb het amendement op stuk nr. 8 nog niet gelezen, maar ik zal daar goed naar kijken.
De voorzitter:
Er is nog een interruptie van mevrouw Dekker-Abdulaziz.
Mevrouw Dekker-Abdulaziz (D66):
Toch even over open source; ik kan het niet laten. Ik hoor de VVD roepen dat we mensen niet in de armen van big tech moeten drijven. Maar een ambitieuze open source zorgt ervoor dat big tech hier geen voet tussen de deur krijgt. Hoe kijkt de VVD hiernaar? Ik heb een tweede vraag. De VVD zegt veel inzicht te willen hebben in de veiligheid maar dat je dat inzicht niet hebt bij open source. Maar bij closed source heb je dat ook niet, want je kunt niet in de broncode kijken. Hoe kijkt de VVD daartegen aan?
Mevrouw Rajkowski (VVD):
Ik denk dat mijn collega van D66 juist aangeeft hoe lastig het is, of je nou voor closed source of voor open source kiest. Het is contextafhankelijk en het ligt eraan voor welke functionaliteiten het is bedoeld. Daarom vind ik het belangrijk om te weten welke afwegingen er worden gemaakt. Waar wordt naar gekeken? De veiligheid staat voorop. Dus los van de vraag welke van de twee het dan wordt, in beide gevallen moet het met waarborgen omkleed zijn. Veiligheid betekent voor de VVD ook dat wij letten op onze strategische onafhankelijkheid, dus dat wij niet op allerlei plekken binnen de overheid afhankelijk gaan worden van Google, Apple of Microsoft. Als wij dat in steeds meer systemen laten terugkomen, dan worden wij zodanig strategisch afhankelijk dat daardoor de veiligheid in bepaalde mate in het geding kan zijn. Wat ons betreft is dat een integrale afweging.
Mevrouw Dekker-Abdulaziz (D66):
Tot slot. Dat zijn juist inderdaad de bigtechbedrijven die de VVD noemt. Wij zijn van mening dat opensourceaanbieders daarop tegenwicht zouden kunnen bieden en voor alternatieven kunnen zorgen. Daardoor kunnen we minder afhankelijk worden van big tech. Hoe kijkt de VVD daartegen aan?
Mevrouw Rajkowski (VVD):
Wij zijn ook zeker niet tegen open source, dus als ik die indruk heb gewekt, kan ik die weghalen. Wij vinden het allebei prima. Alleen, toen we de stukken lazen, dachten wij: oeh, we moeten oppassen dat we ons niet blindstaren op open source. Dat is onze zorg. Maar we vinden het allebei prima zolang de veiligheid prioriteit nummer één is.
De voorzitter:
Dank u wel. Dan geef ik het woord aan mevrouw Van Weerdenburg, PVV.
Mevrouw Van Weerdenburg (PVV):
Voorzitter, dank u wel. Deze wetsbehandeling verdient geen schoonheidsprijs. Een moeizaam traject van ruim vier, vijf jaar met een lelijke novelle als teleurstellend sluitstuk. Terwijl Nederlandse bedrijven al jaren staan te springen om een toelating of het krijgen van erkenning op grond van de Wet digitale overheid, moeten ze met lede ogen toezien hoe hun Europese concurrenten, die slechts aan de basale eisen van de eIDAS-richtlijn hoeven te voldoen, nu dreigen de Nederlandse markt te betreden. Prachtige Nederlandse bedrijven en initiatieven van hoog niveau, zowel op privacy- als veiligheidsgebied, zitten noodgedwongen op hun handen, terwijl ze getuige zijn van de worsteling van het parlement met deze wet. Het parlement lijkt maar geen grip te krijgen op digitalisering en laat daardoor slechte wetgeving passeren. Ik vind dan ook echt dat we dit in het vervolg beter moeten doen als Kamer. Met de komst van de vaste commissie voor Digitale Zaken hebben we ook alle gelegenheid om dit in het vervolg beter te doen. De hoeveelheid expertise die ons van buitenaf wordt aangeboden is heel waardevol. Die heeft mij persoonlijk geholpen om meer inzicht te krijgen in de wet en de wijziging die nu voorligt.
Voorzitter. Dat was hard nodig ook, want deze wetswijziging blinkt niet uit in helderheid noch in de uitvoerbaarheid, laat staan in toetsbaarheid. Deze lelijke novelle moet de Eerste Kamer tevredenstellen zodat die alsnog instemt met de Wet digitale overheid, onder het mom van "het doel heiligt de middelen" en "iets is beter dan niets".
Voorzitter. De PVV heeft daar grote moeite mee. Allereerst over het eerste element van de wijzigingswet: privacy by design. Dat is wat ons betreft een volstrekt open deur. De Algemene verordening gegevensbescherming regelt dit al. Datzelfde geldt deels voor het tweede element: het verhandelverbod van persoonsgegevens. De PVV vraagt zich af hoe dit getoetst gaat worden, met name bij toe te laten producten die gedeeltelijk op closedsourcesoftware zijn gebaseerd. Die worden immers tijdelijk wel toegestaan totdat er genoeg opensourcealternatieven beschikbaar zijn. Maar als de broncode niet kan worden ingezien, hoe kun je dan controleren of een private partij niet op de een of andere manier toch geld verdient met verkregen inlog- of authenticatiegegevens van gebruikers door profilering of verrijking van data of iets dergelijks? Hoe kun je dit adequaat controleren? En wie moet dat gaan controleren? Het Agentschap Telecom? Ambtenaren van het ministerie? Ik zou de staatssecretaris willen vragen om ons heel precies mee te nemen in het proces van toetsing dat haar voor ogen staat.
Dat brengt mij automatisch bij het derde en wat ons betreft meest problematische gedeelte van de voorliggende wetswijziging: de verplichting voor private partijen om zo veel mogelijk opensourcesoftware te gebruiken. Daar heeft de PVV heel veel vragen over, allereerst over de uitvoerbaarheid. Hoe controleer je de mate waarin er gebruikgemaakt wordt van open source, zeker als iets onderdeel is van een product dat gedeeltelijk gebaseerd is op closedsourcesoftware? Tegenwoordig wordt er trouwens al heel veel gebruikgemaakt van stukken opensourcesoftware. Zo'n beetje elk softwarepakket bevat vele honderden open source dependencies, zogeheten bouwsteentjes. Gaat elk bouwsteentje dan apart beoordeeld worden om te zien in hoeverre een voldoende grote community toezicht houdt op de kwaliteit daarvan? Hoe meet je of een stuk open source vaak genoeg gecheckt is door een kundige community member? Kan de staatssecretaris aangeven wanneer er voldaan is aan dit meerogenprincipe? Hoe weegt zij dit in het licht van de Log4J-kwetsbaarheid, waar mevrouw Rajkowski het ook al over had? De wereldwijde opensourcecommunity heeft daar maar liefst acht jaar overheen gekeken. Dat stukje broncode, die bouwsteen, is zo'n beetje overal in verwerkt. De nasleep hiervan zal nog vele jaren voortduren en toont pijnlijk aan dat het gebruik van een bestaande, beschikbare opensourcecode niet de harde garantie kan geven dat de software daardoor veiliger is. Ook nu vraag ik aan de staatssecretaris wie überhaupt moet controleren en beoordelen of in voldoende mate gebruikt wordt gemaakt van opensourcesoftware in een product waarvoor om toelating wordt gevraagd. Hoe wordt die minimumnorm gekwantificeerd? En wie checkt of er inderdaad geen opensourcealternatief is voor closedsourcedelen van het product? Again: zijn dat de ambtenaren van een ministerie, of is dat het Agentschap Telecom of een andere toezichthouder?
Voorzitter. Ik begrijp dat we hier de kaderwet bespreken die nog nader zal worden uitgewerkt, maar we moeten hier wel alvast nadenken over die uitwerking en over de vraag of wat wij hier überhaupt mee beogen, wel uitvoerbaar is. Verder vraagt de PVV zich af hoe we de in de wetswijziging gehanteerde omschrijving van open source precies moeten interpreteren. De letterlijke omschrijving in de wetstekst is: software die onder een opensourcelicentie is gepubliceerd. Maar in de memorie van toelichting wordt specifiek gesproken over opensourcesoftware die voor iedereen gratis te gebruiken, te kopiëren en te wijzigen is, waarbij ontwikkelaars worden aangemoedigd om de software te verbeteren. Kan de staatssecretaris aangeven wat exact bedoeld wordt met "onder een opensourcelicentie publiceren"? Is bijvoorbeeld het publiceren van de broncode van de kern van de software, namelijk die voor de werking van het identificatiemiddel of de ontsluitende dienst noodzakelijke processen dan genoeg? Mag een private partij die publicatie koppelen aan een restrictieve licentie, zodat gratis hergebruik van de software niet zonder meer mogelijk is? Het publiceren van de broncode betekent namelijk niet automatisch dat die door iedereen gratis gekopieerd en hergebruikt mag worden. Er kan door de maker een copyright of restrictieve licentie op geplaatst worden, net als bij boeken of films. Dat is helemaal prima. Het doel is tenslotte om transparantie te bieden aan onder meer de gebruikers. Het openbaar publiceren van de broncode is dan voldoende. Iedereen kan die zien en iedereen kan er een oordeel erover vellen. Op die manier geef je private aanbieders de kans om innovatieve middelen te bouwen, zelf te ontwikkelen en hun voordeel te behouden, met behoud van transparantie voor de gebruikers. Dat is win-win. Vandaar de vraag of private aanbieders verplicht worden om bestaande opensourcesoftware te verwerken in hun product, dat dan ook nog eens gratis gebruikt mag worden en hergebruikt moet worden. Het is nogal ingrijpend om dit ook te eisen van private aanbieders, veelal commerciële bedrijven. Wat is voor hen dan nog het verdienmodel?
Voorzitter. Ik zou hier graag helderheid over hebben, want in de bestaande "open, tenzij"-aanpak van de rijksoverheid op het gebied van opensourcesoftware wordt namelijk ook onderscheid gemaakt tussen deze twee modellen van opensourcesoftware. Daarin staat letterlijk het volgende. Ik citeer. "Het doel van het openstellen is meestal (her)gebruik en kwaliteitsverbetering van de software. Als het doel (her)gebruik is, dan is de aanwezigheid van een actieve gemeenschap ('community') van (her)gebruikers een belangrijke succesfactor. Van de eigenaar wordt dan meer verwacht dan alleen het beschikbaar stellen van de broncode. Het is dan ook raadzaam om met het vrijgeven van de broncode ook een community open te stellen die het proces rondom wijzigingen, beheer en interactie organiseert. Als het doel transparantie is, dan kan vaak volstaan worden met het beschikbaar stellen van de broncode op een plek op het internet waar veel broncode te vinden is." We moeten dan denken aan GitHub, GitLab en andere. Mijn vraag aan de staatssecretaris: waarom is niet gekozen voor de verplichting tot het gedeeltelijk publiceren van de broncode, het implementatiegedeelte? Waarom is gekozen voor het verplichten van reeds bestaande vrije software? Of valt die er wel onder en is mijn zorg niet terecht?
Tot slot, voorzitter. De PVV betwijfelt dat deze novelle de zorgen van de Eerste Kamer weg zal nemen. Veel zal afhangen van de toelichting die de staatssecretaris ons vandaag in dit debat zal geven.
Tot zover. Dank u wel.
De voorzitter:
Dank u wel. Er is een interruptie van mevrouw Dekker-Abdulaziz.
Mevrouw Dekker-Abdulaziz (D66):
Ik hoor de PVV ook veel kritiek op open source hebben. Overigens wordt ontzettend veel geld verdiend met opensourcesoftware; die is dus niet per definitie gratis. Maar goed, er is hier veel kritiek. Ik hoor de PVV zeggen dat closed source veilig is en dat open source dat niet per se is. Maar bij open source geldt dat mensen, de community én de toezichthouder kijken. Bij closed source is dat alleen de toezichthouder. Hoezo vindt de PVV closed source veiliger?
Mevrouw Van Weerdenburg (PVV):
Excuus, dan heeft mevrouw Dekker mij niet goed begrepen. De PVV is een enorme voorstander van opensourcesoftware. In de tijd van de CoronaMelder hebben wij daar zelfs een motie toe ingediend. Nee, dat willen we eigenlijk absoluut als voorwaarde. Dat is dan ook onze vraag: waarom staat publiceren niet gewoon in de wet? Op zijn minst publiceren met een restrictieve licentie. En als een private aanbieder zoiets heeft van "nou, prima; iedereen mag het verder ontwikkelen" enzovoort, nog beter. Maar mijn minimumvereiste zou zijn het moeten publiceren, want het doel is tenslotte transparantie. Dus wij zijn geenszins voor closed software. En wat mevrouw Rajkowski in haar betoog ook in interruptie antwoordde: het is een soort valse tegenstelling. Wat nou als de closedsourceoptie veiliger is dan open source? Ik denk niet dat daar echt sprake van is, dat daar zo'n verschil tussen zit. Het is natuurlijk wel zo dat je bij het publiceren van de broncode onderscheid kunt maken. Het gaat om wat er wordt gedaan met de gegevens. In het geval van inloggen hoef je helemaal niet ook het stuk veiligheidscode erbij te leveren, want daar gaat het niet om. Ik wil zien wat er gebeurt met mijn gegevens, waar dat naartoe gezonden wordt enzovoort. En hoe dat bedrijf dan dat hele systeem beveiligt met een firewall of wat dan ook, hoeft dan niet gepubliceerd te worden.
Mevrouw Dekker-Abdulaziz (D66):
Dat snap ik. En we zijn het ook met elkaar eens dat transparantie het doel is van open source, en niet het verdienmodel per se. Maar ik hoorde de PVV wel letterlijk zeggen van: hoe houd je dan toezicht op de veiligheid van open source, terwijl je bij closed source wel toezicht hebt? En ik wilde zeggen: bij open source heb je dan de toezichthouders, het Agentschap Telecom, plus de hele community die meekijkt. Dus hoezo heeft de PVV daar dan juist vragen over, terwijl we bij closed source helemaal geen inzicht hebben?
Mevrouw Van Weerdenburg (PVV):
Dat ben ik helemaal met mevrouw Dekker eens. Ik heb juist ook willen vragen, en misschien was dat niet helemaal duidelijk: hoe kunnen we dan toezicht houden op een deel closedsourcesoftware; hoe beoordeel je dan of dat veilig genoeg is? En mij is niet duidelijk geworden of er een toezichthouder is die dan wel in de gesloten broncode kan kijken; closed source is closed source. Of is de private partij dan wel verplicht om aan een instantie, een toezichthouder, de broncode te leveren? Daar zou ik dan voor zijn. Maar dan nog, het enige wat ik wilde aangeven is dat open source niet een remedie is voor alles. Dat hebben we gezien bij Log4j. Daar heeft de hele community tegen aan zitten kijken, totdat het doordrong: hé, daar is iets mee. Dus we moeten er wel voorzichtig mee zijn dat dat niet overkomt als een soort van garantie. Maar het liefst hebben wij gewoon transparantie op grond van het publiceren van broncode, of in ieder geval het essentiële gedeelte. En daar moet ook toezicht op gehouden worden, net als met closed source, maar ik vraag me af hoe je dat kan doen met closed source.
De voorzitter:
Mevrouw Dekker, tot slot.
Mevrouw Dekker-Abdulaziz (D66):
Dan zijn we het deels eens met elkaar. Dank je wel.
De voorzitter:
Dank u wel. Dan geef ik het woord aan mevrouw Bouchallikh, GroenLinks.
Mevrouw Bouchallikh (GroenLinks):
Dank u wel, voorzitter. Deze inbreng is mede namens de Partij van de Arbeid. De overheid moet er voor iedereen zijn, fysiek en digitaal - letterlijk en figuurlijk. Wat ons betreft gaat het bij de digitale overheid ook hierover. We maken ons namelijk zorgen over het gebrek aan aandacht voor toegankelijkheid in deze wet. Er zijn in Nederland namelijk ruim 2,5 miljoen laaggeletterden, en 6% van de Nederlanders boven de 12 jaar heeft nog nooit internet gebruikt. Het is van groot belang dat alle overheidsdiensten voor iedereen beschikbaar zijn, ook voor deze groepen. Systemen worden nu nog te vaak gebouwd met een bepaald prototype als gebruiker. In werkelijkheid is er niet één standaardpersoon die deze systemen gebruikt. Deze gebruikers zijn divers in hun kennis en kunde van computers en systemen. Daarom moet bij het bouwen van deze systemen sprake zijn van een inclusief design. Geef bijvoorbeeld mensen de keuze om zowel digitaal als fysiek zaken te doen met de overheid. Ik denk hierbij aan ouders van meervoudig gehandicapte kinderen die geen keuze hebben om digitaal zaken te doen voor hun kind, omdat alleen het kind zelf diens ouders kan machtigen. Of ik denk ook aan de covidvaccinatiestrategie, waarbij het in theorie mogelijk was om telefonisch een afspraak te maken, maar de wachttijden immens waren. Toen kwam de QR-code, waarvoor je een smartphone voor moest hebben, en handig moest zijn met je DigiD. Wederom was het in theorie mogelijk om een QR-code te printen, maar zonder digitale vaardigheden was het een onredelijk belastend proces. Het resultaat was dat veel laaggeletterden en ouderen nog steeds niet mee konden doen in de samenleving.
Voorzitter. Deze voorbeelden reiken misschien iets verder dan deze specifieke wet, maar ze zijn om aan te geven dat een grote groep in de samenleving uiteindelijk door al onze keuzes hier wordt geraakt. Daar moeten we oog voor blijven houden. Daarom vraag ik de staatssecretaris hoe zij terugkijkt op deze specifieke casussen. Hoe wordt voorkomen dat dit opnieuw kan gebeuren, in deze wet en in de afwegingen die worden gemaakt voor komende wetgeving?
Voorzitter. Het recht op een keuze tussen digitale en niet-digitale dienstverlening moet veel beter gewaarborgd worden, ook specifiek in deze wet. In de memorie van toelichting staat: "Burgers kunnen voor bestaande diensten vooralsnog gewoon blijven inloggen met hun vertrouwde DigiD, of desgewenst via de papieren weg diensten van de overheid afnemen, voor zover niet anders is bepaald in sectorale wetgeving." De nadruk in dit citaat ligt vooral op het woordje "vooralsnog". Ik maak me daar namelijk ontzettend zorgen over. Het is essentieel dat analoge manieren om met de overheid te communiceren te allen tijde gewaarborgd worden. De wet zou sterker zijn zonder "vooralsnog" en met een expliciete waarborg van dit recht. Digitale vaardigheden moeten op een positieve wijze door de overheid gestimuleerd worden. Het mag geen vereiste zijn om te kunnen communiceren met de overheid. Bovendien dient wetgeving expliciet en nauwkeurig te zijn, zonder woorden als "vooralsnog" te gebruiken voor zoiets belangrijks als dienstverlening van de overheid.
De voorzitter:
Dank u wel. Er is een interruptie van mevrouw Rajkowski, VVD.
Mevrouw Rajkowski (VVD):
Ik ben even aan het zoeken, want ik ben het inhoudelijk eens met GroenLinks en de PvdA — we hebben er ook meerdere debatten over gehad — maar ik zie eigenlijk niet zozeer wat dit nu met de novelle te maken heeft. Als ik kijk naar onze tijd en alle debatten die wij hebben, denk ik dat dit buiten de orde van de vergadering is. Of begrijp ik het verkeerd? Heeft dit te maken met open source, een verhandelverbod of privacy by design?
Mevrouw Bouchallikh (GroenLinks):
Ik gaf ook net in mijn intro aan dat er wat voorbeelden zijn die verder reiken, maar wat ons betreft is dit een punt dat constant aan de orde moet komen. Daarom de keuze om het wel terug te laten komen, ook omdat dit aspect wat ons betreft niet voldoende is meegenomen in de memorie van toelichting.
Mevrouw Rajkowski (VVD):
Alleen, of je nu voor of tegen bent, de Tweede Kamer heeft al over de wet gestemd. De Eerste Kamer heeft gezegd dat de novelle, de wet, in de Tweede Kamer op drie punten nog even aangepast moest worden. Daar praten wij nu over. Ik voer graag urenlang debatten over dit onderwerp. Als het gaat om toegankelijkheid, is het juist belangrijk dat iedereen niet alleen verplicht wordt om digitale middelen te gebruiken, maar ook dat de baliefunctie, papier en telefoon allemaal beschikbaar blijven. Maar dat zou ik dan wel willen doen in een debat dat daarover gaat. Anders gaan we hier ook langs elkaar heen praten. Dat zou ik zonde vinden voor de behandeling van deze drie belangrijke punten.
Mevrouw Bouchallikh (GroenLinks):
Ik luister naar wat mevrouw Rajkowski zegt. Ik neem het mee, maar we hebben expliciet de keuze gemaakt om dit wel weer aan de orde te stellen, juist om het belang daarvan te onderstrepen.
Dan ga ik door met open source. Dan maak ik mevrouw Rajkowski misschien toch blij. Of misschien niet, want ik ben het niet helemaal met haar eens. Ik zit iets meer op de lijn van de collega van D66. Wij zijn namelijk ook blij met de focus op open source. Het is het uitgangspunt en niet de uitzondering, wat ons betreft. Net als D66 vragen wij ons ook af hoe het principe van "ja, tenzij" precies wordt gehandhaafd. Hoe wordt beoordeeld of terecht is afgeweken van deze principes van open source?
Dan tot slot, voorzitter, de Autoriteit Persoonsgegevens. Daar begin ik vaker over, juist omdat zij zo'n belangrijke rol spelen. In de wetswijziging wordt geregeld dat bij inlogmiddelen het privacy-by-designprincipe wordt toegepast en dat de Autoriteit Persoonsgegevens hierop toeziet. Mijn fractie vraagt hoe ervoor wordt gezorgd dat de AP hierop voldoende wordt toegerust. Zijn er voldoende middelen? Hoe wordt de rol van dit belangrijke orgaan gewaarborgd? Dank u wel.
De voorzitter:
Dank u wel. Dan geef ik het woord aan de heer Bontenbal, CDA.
De heer Bontenbal (CDA):
Dank u wel, voorzitter. Ik gooi mijn inbreng meteen om, omdat ik graag eerst de voorzitter wil feliciteren met haar verjaardag. Volgens mij is er niks leukers dan op je verjaardag een debat over de Wet digitale overheid te voeren, zeker met deze commissie.
Voorzitter. De Wet digitale overheid regelt dat elektronische dienstverlening door gemeenten, uitvoeringsorganisaties zoals het UWV, de SVB en de Belastingdienst en organisaties zoals zorg- en onderwijsinstellingen veilig en betrouwbaar is. Specifiek gaat het hier om veilige en betrouwbare inlogmiddelen. Dat is van groot belang bij de toegang tot patiëntgegevens en het aanvragen van een vergunning, uitkering of toeslag. De wet regelt dat publieke en private partijen die inlogmiddelen aanbieden persoonsgegevens alleen mogen verwerken om het veilig inloggen mogelijk te maken en dat elk ander gebruik van persoonsgegevens, bijvoorbeeld het verhandelen van persoonsgegevens of het inloggedrag, wordt uitgesloten. Het is belangrijk om op te merken dat deze wet burgers niet verplicht om digitaal zaken te doen met de overheid, maar burgers en bedrijven het recht geeft om digitaal zaken te doen met de overheid. Dat gebeurt dan veilig, betrouwbaar en gebruiksvriendelijk. Burgers kunnen dan kiezen voor publieke inlogmiddelen, zoals DigiD, of private, dus door de markt aangeboden inlogmiddelen. Overheidsinstanties hebben de plicht om toegelaten inlogmiddelen te accepteren, mits deze aan strenge toelatingseisen voldoen.
Er is reeds een uitvoerige behandeling geweest van dit wetsvoorstel. De reden dat we er nu opnieuw over spreken, is de novelle die het gevolg is van het debat over het wetsvoorstel in de Eerste Kamer. Het voorliggende wetsvoorstel brengt een drietal verbeteringen aan, namelijk op de punten van privacy by design, het verhandelverbod inzake persoonsgegevens en een betere uitwerking van het begrip "open source". Mijn fractie heeft een zestal vragen.
De eerste vraag is de volgende. In de memorie van toelichting bij het wetsvoorstel staat: "Bij de beoordeling van de aanvraag om erkenning is de actuele stand van processen en techniek leidend: bezien wordt of het ontwerp naar de stand der techniek en andere redelijkerwijs beschikbare mogelijkheden op het moment van aanvraag voldoende voorziet in de bescherming van gegevens." Verderop staat: "De voorgestelde wijziging van het zevende lid van artikel 9 regelt namelijk dat een erkenning kan worden gewijzigd, geschorst of ingetrokken indien het ontwerp van een identificatiemiddel of de ontsluitende dienst niet (langer) voldoet aan de stand der techniek en andere redelijkerwijs beschikbare mogelijkheden voor de bescherming van gegevens. Een houder van een erkenning wordt geacht over te gaan tot het implementeren van eventuele nieuwe technieken en processen en daarvoor een wijziging van de erkenning aan te vragen. Gebeurt dat niet, dan kan de erkenning worden ingetrokken." De vraag is dan natuurlijk hoe hierop gehandhaafd gaat worden. Vindt er dan nog regelmatige controle plaats of diensten nog aan de actuele stand der techniek voldoen? Hoe gaat dit er dan in de praktijk uitzien?
Het tweede punt is het volgende. Het uitgangspunt van de wet is "open source, tenzij". Waar redelijkerwijs gebruikgemaakt kan worden van opensourcesoftware, moet daarvan gebruik worden gemaakt. Wanneer deze opensourcesoftware niet beschikbaar is, wordt gewogen of het redelijk is de broncode van de ontwikkelde oplossing openbaar te maken. De CDA-fractie vraagt zich af of een al te sterke sturing op het gebruik van opensourcesoftware niet ook een tegenovergesteld effect kan hebben, namelijk dat nieuwe aanbieders te makkelijk toegang kunnen krijgen tot de software die nodig is om de inlogmiddelen te maken. Trekt deze ontwikkeling niet ook allerlei louche aanbieders aan met alle kwetsbaarheden van dien?
Mijn derde vraag is de volgende. De Raad van State en de minister verschillen op een belangrijk punt van mening. Kort gezegd is de minister van mening dat de techniekonafhankelijkheid geborgd moet worden in de wet en daarom alleen de functionele eisen van de generieke digitale infrastructuur voldoende in de wet beschreven moeten worden en de techniekafhankelijke uitwerking overgelaten moet worden aan lagere regelgeving. Maar de Raad van State is van mening dat de wet hoofdelementen van de regeling moet bevatten omdat de wet anders te abstract en te vaag wordt en het niet meer duidelijk is waar we als Kamer nu mee instemmen. Eén zin uit de reactie van de eerbiedwaardige Raad van State moet ik toch even citeren, en ook mevrouw Leijten heeft dat al gedaan: "De wet dient man en paard te noemen en het niet te laten bij een algemene aanduiding dat het gaat om zoogdieren." De minister repliceert dat: "Het noemen van begrippen als DigiD of MijnOverheid in de wet leidt niet tot een betere inkadering van de voorzieningen. Integendeel; door deze begrippen niet te benoemen moet in de wet zelf een beschrijving gegeven worden van welke functie deze voorzieningen hebben, hetgeen een grotere waarborg voor het in stand houden van een dergelijke functie garandeert." Kan de minister nog eens duidelijk toelichten waarom zij dit punt uit het advies van de Raad van State naast zich neerlegt? Volgens mij is dit een van de grote springende punten van het debat: waarom dit wel of niet in de wet opnemen? De Raad van State is daar kritisch over. Ik denk dus dat het goed is om dat nog eens even goed toe te lichten.
Het vierde punt. De CDA-fractie heeft bij de behandeling van het wetsvoorstel de vraag gesteld welke mogelijkheden de minister heeft om eventueel in het belang van de nationale veiligheid of andere risico's rondom privacy of cybersecurity, nieuwe aanbieders te weigeren of hen de accreditatie die ze eerder hebben ontvangen, te ontnemen. Mijn fractie zou deze vraag graag opnieuw stellen, in het licht van de snel veranderende verhoudingen in de wereld. We zijn te lang naïef geweest in bijvoorbeeld onze afhankelijkheid van energie en grondstoffen uit Rusland en China. We spreken terecht weer over de noodzaak van strategische autonomie. Moeten we in dit licht ook niet de vraag stellen welke bedrijven we überhaupt zouden willen weren bij het verlenen van dit soort digitale diensten?
Punt vijf. Zoals gezegd verplicht de Wet digitale overheid burgers niet om zaken te doen met de overheid langs de digitale weg. Mijn fractie wil graag blijven benadrukken dat de overheid toegankelijk moet blijven voor iedereen in de samenleving. Sorry, mevrouw Rajkowski, dat ik dit punt ook maak. Het is misschien enigszins buiten de orde, maar ik maak dit punt toch even af. Menselijk contact en de menselijke maat moeten altijd mogelijk blijven, zeker voor kwetsbare mensen of mensen met een beperking. Hoe zorgt de minister ervoor dat dit altijd mogelijk blijft? Mijn collega Van der Molen heeft destijds een amendement ingediend om de voorgestelde evaluatie van de wet ook te richten op minder digitaal geletterden, zodat we kunnen kijken of er mensen buiten de boot vallen.
Tot slot, mijn zesde punt. Voor bedrijven is er op dit moment geen publiek inlogmiddel zoals dat er voor burgers wel is. Ik citeer de staatssecretaris van Binnenlandse Zaken uit de vorige kabinetsperiode, die daarover het volgende zei: "In het standpunt over de rol van de overheid lijkt wel een verschuiving merkbaar, in deze Kamer, maar ook daarbuiten, zoals bijvoorbeeld door de Cyber Security Raad is aangegeven. Daarbij wordt veilig inloggen meer en meer als een nutsfunctie gezien, en wordt van de overheid een grotere rol verwacht in het gehele maatschappelijke verkeer." Dat is dus een quote van de vorige staatssecretaris van Binnenlandse Zaken. Mijn vraag is: hoe kijkt deze minister naar die uitspraken? Moet er bijvoorbeeld ook een publiek inlogmiddel voor bedrijven komen?
Tot zover, voorzitter.
De voorzitter:
Dank u wel. Er is een interruptie van mevrouw Van Weerdenburg, PVV.
Mevrouw Van Weerdenburg (PVV):
Ik voel me een beetje geroepen om aan te sluiten bij het pleidooi van de heer Bontenbal dat er altijd een niet-digitale route naar de overheid moet zijn. Ik heb dat niet genoemd in mijn bijdrage, omdat ik me heb gefocust op de wet die voorligt, maar in de vorige wetsbehandeling die we met deze commissie hebben gedaan in deze zaal, heeft de PVV daar een heel groot pleidooi voor gehouden. Toen was het CDA niet aanwezig, dus vandaar dat ik dat nu even toevoeg. Mijn vraag aan de heer Bontenbal is hoe hij het opensourcevereiste in deze wet interpreteert. Het argument is soms dat er geen opensourcealternatief beschikbaar is. Kijk, een bedrijf, een private partij, kan natuurlijk gewoon zelf een sourcecode laten maken en die dan publiceren. Als je het publiceert, als het voor iedereen inzichtelijk is, als het op het internet staat, is het in de ogen van de heer Bontenbal dan open source?
De heer Bontenbal (CDA):
Misschien een opmerking vooraf: ik vind het nu al een geslaagd debat. Ik vind het tof om te zien dat een aantal collega's heel goed ingevoerd zijn in deze materie. Ik ben zelf nog maar een paar maanden woordvoerder op dit dossier.
Ik neig heel erg naar het punt dat collega Rajkowski maakte: dat het niet zozeer uitmaakt of iets open source of closed source is, maar dat veiligheid het belangrijkste is. Ik denk ook dat voor beide wat te zeggen valt. Closed source zorgt er ook wel voor dat professionele bedrijven hun eigen producten volgens de laatste stand van de techniek op orde houden. Dan is de vervolgvraag: hoe zorg je voor die transparantie? Dan kom ik bij uw punt. Ik denk dat het heel goed is dat dat soort broncodes open zijn. De vraag is op welk niveau dat dan moet. Moet dat helemaal uitgeschreven zijn, zodat ook de concurrenten kunnen zien wat erin staat? Dat weet ik niet. Dat zou ik ook willen vragen aan de minister. Maar als je dat wel doet, ben ik het met u eens dat je ook zou moeten kijken naar een manier om daar iets van copyright op te geven, zodat andere bedrijven niet aan de haal gaan met de software die bedrijven met veel energie en moeite hebben ontwikkeld.
Mevrouw Van Weerdenburg (PVV):
Duidelijk. Voor het CDA zou dat dus de voorkeur hebben ten opzichte van closed source.
De heer Bontenbal (CDA):
Ja, maar ik vind de wet en de begeleidende tekst daarbij — op dat punt sluit ik me weer aan bij mevrouw Rajkowski — te veel duwen naar open source, alsof dat een soort heilige graal is. Dat geloof ik niet. Ik denk dat er een gelijk speelveld moet zijn. Ik heb ook veel geleerd van uw bijdrage, waarin u precies uitlegde dat in heel veel stukken software ook allerlei kleine stukjes software zitten, waarvoor ook gebruikgemaakt wordt van open source. Volgens mij is het dus niet heel makkelijk te knippen.
Mevrouw Leijten (SP):
Was de heer Bontenbal klaar met zijn bijdrage?
De voorzitter:
Ja.
Mevrouw Leijten (SP):
Dan heb ik eigenlijk dezelfde vraag aan de heer Bontenbal als die ik had aan mevrouw Rajkowski. We hebben een wet behandeld in de Tweede Kamer waar een meerderheid voor heeft gestemd, waaronder het CDA, maar die kon de toets der kritiek van de Eerste Kamer niet doorstaan; die zou daar zijn weggestemd als er geen novelle was gekomen. Vindt de CDA-fractie nu echt dat er op de drie punten waarop er verbetering zou moeten komen, daadwerkelijk verbetering is gekomen, zeker in het licht van dat kritische proza van de Raad van State?
De heer Bontenbal (CDA):
Een beetje een flauw antwoord van mij zou kunnen zijn: ik wacht eerst de antwoorden af. Maar dat ga ik niet zeggen. Ik ben oprecht benieuwd naar het belangrijkste punt: wat doet het kabinet met het advies van de Raad van State? Daar heb ik gewoon nog geen goed antwoord op. Voor mijn oordeel zal ik daar goed naar gaan luisteren. Over de Eerste Kamer: het laat alleen maar zien hoe belangrijk de Eerste Kamer is en hoe belangrijk het is om de Eerste Kamer niet al te zeer politiek te maken, maar die gewoon goed te laten kijken naar hoe goed en gedegen wetsvoorstellen in elkaar zitten.
Mevrouw Leijten (SP):
Ik hoop ook dat ze gaan kijken naar de andere twee wetsvoorstellen die de Tweede Kamer zijn gepasseerd met een meerderheid, terwijl wij fundamentele bezwaren zagen, zeker gezien hetgeen we de afgelopen jaren geleerd hebben: hoe maken we profielen, hoe delen we data? Denk aan het verhaal van Myrthe, die geen abonnement kon krijgen bij de NS vanwege de gegevens van iemand anders. Dat debat zouden we eerder moeten hebben. Maar even terug naar onze wetgevende taak. De staatssecretaris heeft al de kans gehad om te reageren, aanvankelijk op het advies van de Raad van State, vervolgens bij de nota naar aanleiding van het verslag, de schriftelijke voorbereiding. Ik hoor hier dat de heer Bontenbal nog geen overtuigend antwoord heeft gehad — de SP is dat overigens met hem eens — als het gaat over het opnemen van die zogenaamde techniek-onafhankelijke delen, waarvan de Raad van State zegt: pas op Tweede Kamer, want er zitten politieke keuzes in die je ook moet afwegen. Als dat vandaag niet verandert, is dat dan essentieel voor de CDA-fractie? Of is het: dit staat op de rails, deze trein moet rijden, dus dan stemmen we maar met een zwaar gemoed in?
De heer Bontenbal (CDA):
Mevrouw Leijten loopt al heel wat jaren in deze Kamer rond en ik heb inmiddels gemerkt dat zij alle retorische trucjes in dit soort debatten beheerst. Eentje daarvan is dat je dit soort vragen stelt en dan gelijk de consequenties doorakkert: als u voor of tegen bent, wat gaat u dan als fractie doen? Ik wacht gewoon de antwoorden af. Ik ga goed luisteren wat de minister zegt en dan ga ik wegen wat mijn fractie gaat doen. Gelukkig zit ik niet in mijn eentje in de fractie; mijn fractie vindt er vermoedelijk ook nog wat van. Het is goed gebruik in onze fractie om dit soort discussies met elkaar af te wegen.
De voorzitter:
Tot slot.
Mevrouw Leijten (SP):
Maar waar staan we dan? Dat is een beetje wat het is. Is dit van wezenlijk belang? Moet dit veranderen? Kunnen we er anders een amendement op maken? Ik denk dat het voor ons als Kamerleden heel moeilijk is om die techniek-onafhankelijke dingen erin te amenderen. Maar eigenlijk vragen wij allebei wel om daar duidelijker in te zijn, dus om het niet over zoogdieren te hebben, maar over mannen en paarden of over vrouwen en vissen. O, dat is geen zoogdier. Daar ga ik met mijn retorische trucjes. Maar ik zou zo graag van het CDA willen weten of dat van wezenlijk belang is. Ook richting de staatssecretaris is dat van belang. Dan weet ze of ze nog aan de bak moet om de Tweede Kamer te overtuigen, voordat zij straks wellicht weer staat te schutteren in de Eerste Kamer.
De heer Bontenbal (CDA):
Voorspellen dat iemand gaat staan schutteren, zou ik niet doen. Ik ga gewoon netjes de antwoorden van de minister afwachten. Ik vind dat gewoon netjes. Wij stellen volgens mij allebei dezelfde fundamentele vragen. Als daar geen goed antwoord op komt, dan is het vervolgens aan mij om te wegen of ik zo'n wetsvoorstel daarvoor torpedeer, ja of nee, of dat ik er nog voldoende goeds in zie om het toch te laten doorgaan. Die afweging heb ik gewoon nog niet gemaakt. Ik heb zes vragen gesteld en daarop zijn allerlei antwoorden mogelijk. Het kan zijn dat ik op vijf vragen hele goede antwoorden krijg en op één niet, maar dat ik dat toch goed genoeg vind om ermee door te gaan. Het kan ook zijn dat ik het niet genoeg vind en dan hoort u dat van mij.
De voorzitter:
Dank u wel, meneer Bontenbal. Daarmee zijn we aan het einde gekomen van de eerste termijn van de kant van de Kamer. De staatssecretaris heeft aangegeven dat ze ongeveer twintig minuten nodig heeft om zich voor te bereiden.
De vergadering wordt van 15.22 uur tot 15.45 uur geschorst.
De voorzitter:
Aan de orde is het vervolg van de behandeling van de Wet digitale overheid. Ik geef het woord aan de staatssecretaris.
Staatssecretaris Van Huffelen:
Dank u wel, voorzitter. Het is goed dat we deze wet, of beter gezegd, de novelle bij deze wet, vandaag hier kunnen bespreken. Want dit wetsvoorstel kent al een lange historie. Het is een wet met een vrij brede naam: digitale overheid. Terecht werd er door een aantal van uw leden op gewezen dat deze wet vooral gaat over veilig en betrouwbaar inloggen, zaken doen met de overheid, veilige en betrouwbare websites. Ik denk dat het belangrijk is om dat goed in gedachten te houden als wij deze wet behandelen. Dit wetsvoorstel maakt het mogelijk om slagvaardig, veilig en open met de overheid om te gaan in digitale zin, en vooral natuurlijk ook om te zorgen dat de rechten en behoeften van mensen centraal staan, zoals we ook in de hoofdlijnenbrief over digitalisering hebben geschreven. Persoonsgegevens goed beschermen, de mogelijkheid om hulp te bieden als mensen in de problemen komen, een goede toepassing van standaarden bij overheidswebsites en natuurlijk ook zorgen voor standaarden voor mensen met een beperking.
Gelukkig hebben we deze wet de afgelopen tijd kunnen aanpassen op basis van de laatste inzichten. Dat was ook nodig, omdat de afhankelijkheid van de digitale overheid toeneemt. Dan is het dus ook ontzettend belangrijk dat we met elkaar aan de slag gaan, niet alleen om te zorgen voor veilige en betrouwbare inlogmogelijkheden, maar ook om te zorgen dat we dat doen op een manier, die werkt voor de mensen en de bedrijven die er gebruik van moeten maken. Uw Kamer heeft in de eerdere debatten, maar zeker ook vandaag een aantal thema's aan de orde gesteld, die centraal staan in de novelle. Het lijkt mij goed dat we aan de slag gaan met het beantwoorden van de vragen die u heeft gesteld over de novelle. Ik zal de algemene introductie bij deze wet niet te lang maken, maar overgaan tot de beantwoording van de gestelde vragen.
Dat wil ik doen in een paar onderdelen, te beginnen met de novelle in het algemeen. Dan over het onderwerp open source, waarover u veel vragen heeft gesteld, dan het onderwerp verhandelverbod van gegevens. Iets meer over de vragen die gesteld zijn over de wet in het algemeen, dus niet zozeer de novelle, maar de wet in het algemeen. Dan de algemene maatregelen van bestuur die voorgehangen zijn. Dan nog iets over overheidsorganisaties, private inlogmiddelen en het onderwerp inclusie. Die laatste zijn wat kleinere onderwerpen.
Ik wil beginnen met de novelle in het algemeen. Een belangrijke vraag die werd gesteld ging over de verhouding tussen het rapport van de Raad van State en de novelle. Mevrouw Dekker-Abdulaziz van D66 vroeg namelijk, hoe die novelle nu aansluit bij het rapport van de Raad van State. Dat rapport bepleit de burger centraal te stellen en goede waarborgen te bieden. Dat is natuurlijk ongelofelijk belangrijk. Het bepleit met name om te zorgen voor een goede en betrouwbare gegevensbescherming. De novelle is al voor het verschijnen van het rapport van de Raad van State ingediend, maar sluit er goed op aan. De inhoudelijke afwegingen komen namelijk overeen met de afwegingen die in de Wdo en in de novelle zijn gemaakt.
De andere onderwerpen van het rapport van de Raad van State — we hebben het hier over het rapport dat de Raad van State heeft gemaakt over digitalisering in het algemeen — komen terug in het werkprogramma dat ik aan het maken ben over digitalisering. Het is belangrijk om daarover met u in debat te treden op dat moment.
De voorzitter:
Een vraag van mevrouw Leijten, SP.
Mevrouw Leijten (SP):
Voorzitter. Wij hebben gevraagd om een reactie op dat rapport. Dat is in het najaar geweest. We hebben bij herhaling rappels gestuurd, herinneringen zoals dat heet. En nu zegt de staatssecretaris: ik kom daarop terug in mijn werkprogramma? Nee, wij willen een reactie op dat rapport! Puntsgewijs. Daar zit namelijk heel veel advies in over onze wetgevende taak, onze controlerende taak en onze toezichthoudende taak. Dat moet niet in een werkprogramma landen met een verwijzing naar "zo geef ik invulling aan dat rapport". Wij willen gewoon een reactie op dat rapport van de Raad van State.
Staatssecretaris Van Huffelen:
Dat is ook absoluut mijn bedoeling. Het idee is dat we voor de zomer met een werkprogramma komen, nadat we een debat hebben gehad over de hoofdlijnenbrief over digitalisering. Ik zal ervoor zorgen dat er een aparte bijlage bij zit waarin we een reactie geven op dat rapport.
Mevrouw Leijten (SP):
Ik snap niet waarom de staatssecretaris dit zo volgtijdelijk doet. Het is een losstaand advies dat breed toepasbaar is op alle werkzaamheden, voor alle Kamerleden en voor alle bewindspersonen. Ik zou dat het liefst niet als onderdeel van een werkprogramma of als bijlage willen zien. Er zijn echt hele fundamentele vragen gesteld. Die gaan bijvoorbeeld ook over het bestuursrecht. Ik snap dus niet waarom de reactie op zo'n manier gemanaged wordt.
Ik zie het ook niet als iets wat alleen van deze staatssecretaris is. Ik zou dus de volgende oproep willen doen aan deze staatssecretaris. Behandel dit rapport. Geef antwoorden. Wacht niet op een hoofdlijnendebat en een werkprogramma. Maak er geen bijlage van. Beschouw dit echt als een eigenstandig advies aan de hele Kamer, aan de hele wetgevende macht. Kom ook met zo'n soort reactie daarop, want dat vereist dat rapport.
Staatssecretaris Van Huffelen:
Volgens mij zijn we het ontzettend met elkaar eens. Ik vind dit namelijk een belangrijk rapport. Het is uiteraard de bedoeling dat we daar niet alleen maar vanuit Binnenlandse Zaken naar kijken, maar vanuit het hele kabinet. Wat mij betreft gaan we dus ook zo'n reactie schrijven. Ik hoop vooral dat we die reactie zo snel mogelijk naar uw Kamer kunnen sturen.
Ik wil overgaan tot de onderwerpen over open source. Dat is een belangrijk thema. Velen van u hebben daar vragen over gesteld. Het is natuurlijk een onderwerp van de novelle.
Mevrouw Leijten van de SP vroeg: kunt u uitleggen hoe u open source in deze context zou willen zien? Ik wil daar graag met u doorheen lopen. De kern is dat open source software is waarvan de broncode openbaar is. Het is ook software waarvan gebruikers en anderen door de openbaarheid kunnen controleren hoe de software eruitziet, hoe die werkt, of die betrouwbaar en veilig is en of je er iets aan kunt verbeteren. Wij vinden dat er bij open source niet alleen maar sprake is van openbaarheid, maar dat er ook een community van mensen is die rondom de openbare software werkt om te kijken of die op een goede manier functioneert en of er mogelijkheden zijn om die te verbeteren. De transparantie en de community maken dat het mogelijk is om op basis van die software betere inlogmiddelen te creëren. Het wetsvoorstel regelt dat die opensourcesoftware voor bepaalde onderdelen van het inlogmiddel moet worden gebruikt. Daarbij gaat het over verschillende bouwstenen. Dat zeiden meneer Bontenbal en mevrouw Van Weerdenburg ook al. De kern van de software is openbaarheid. Een community helpt om ervoor te zorgen dat de codes steeds weer verbeterd worden.
Mevrouw Van Weerdenburg (PVV):
Als ik het goed begrijp, zegt de staatssecretaris dat het niet voldoende is voor toelating als een private partij een heel nieuw product schrijft en het implementatiegedeelte publiceert op GitHub. Dan is er namelijk nog geen community. Als dat zo is, hoeveel tijd moet er dan overheen gaan? Als het op internet staat, kan namelijk iedereen ernaar kijken. Bij de CoronaMelder is de code ook een of twee dagen eerder gepubliceerd dan de app online ging.
Staatssecretaris Van Huffelen:
De kern is dus dat we zeggen dat er twee elementen belangrijk zijn bij de open source. Het eerste element is het feit dat de broncodes openbaar zijn. Het tweede element is dat er een community is die kijkt hoe de broncode steeds weer kan worden verbeterd. Het gaat dan bijvoorbeeld over veiligheidsgaatjes en andere thema's. De vraag is: hoe kunnen die worden verbeterd? Die combinatie is van belang.
Maar dan ga ik even verder. We moeten bepalen welke inlogmiddelen we willen toelaten. We vinden open source belangrijk, omdat het helpt om betere software te maken, betere programma's te maken en in dit geval betere inlogmiddelen te maken. Maar het is wel van belang dat we bezien — daarom noemen we het "ernaartoe groeien" — dat op dit moment nog niet alle inlogmiddelen daaraan al zouden kunnen voldoen of er al aan voldoen. Zo is bijvoorbeeld DigiD nog niet volledig open source. Het is wel een inlogmiddel dat we gebruiken en dat we als veilig bestempelen, maar het is niet volledig open source. Dus wij willen ervoor zorgen dat de inlogmiddelen die private of publieke partijen gebruiken en die we straks willen toelaten in ons systeem, idealiter gebaseerd zijn op 100% procent open source. Op dit moment zien we dat die nog niet voor 100% procent te leveren zijn. Wij willen ons erover laten adviseren wat minimaal noodzakelijk is en hoe we ervoor zorgen dat we daarnaartoe groeien. We willen op een verantwoorde manier naar die vereisten toe gaan groeien. U stelde daar een aantal vragen over; daar kom ik zo meteen op terug.
Mevrouw Van Weerdenburg (PVV):
Laten we de DigiD als voorbeeld nemen. Ik begrijp dat het product zo is ontworpen dat het even tijd kost om qua broncode te schiften wat hoort bij het securitygedeelte — ik zeg het even heel plastisch — en de code te ontwarren om te zien welk deel gepubliceerd kan worden. Gaat het daarom? Het lijkt mij dan namelijk handig om bestaande aanbieders daar een overgangstermijn voor te geven, maar daar hoef je met nieuwe aanbieders toch geen rekening mee te houden? Je kan toch zeggen: welkom nieuwe aanbieders, allemaal prima, maar wees erop voorbereid dat het wel de bedoeling is dat je de code publiceert?
Staatssecretaris Van Huffelen:
Dat is ook precies wat we willen. We hebben het dus over de bestaande, maar ook over de nieuwe aanbieders. Nogmaals, het gaat niet alleen over de publicatie. We moeten er ook voor zorgen dat er een community is die ervoor kan zorgen dat het beter wordt. Beide moeten we op een goede manier gaan vormgeven, want het is beide relevant om ervoor te zorgen dat het inlogmiddel steeds weer opnieuw verbetert op basis van het feit dat er mensen zijn die daar voortdurend mee bezig zijn. Bovendien kunnen wij het door de transparantie zelf ook controleren en kijken of het systeem daadwerkelijk veilig is en aan onze eisen voldoet. Hoe we dat precies willen doen — u heeft daar een aantal vragen over gesteld, ook met betrekking tot de percentages — hebben we op dit moment nog niet scherp, maar dat willen we wel scherp gaan maken en publiceren in de ministeriële regeling. Het einddoel daarbij is heel duidelijk: toegroeien naar 100% open source. Maar in de tussentijd zouden we kunnen leven met onderdelen die dat nog niet helemaal zijn.
Mevrouw Van Weerdenburg (PVV):
Kan de staatssecretaris zeggen hoe zij de community ziet? Een softwareontwikkelaar heeft misschien 50 programmeurs die constant bezig zijn met het veilig houden, verbeteren en doorontwikkelen van het product. Is dat community genoeg? We hebben het hier wel over spul dat gepubliceerd is. Of moeten het vrijwilligers zijn op GitLab, GitHub of … Wat is die community?
Staatssecretaris Van Huffelen:
Die scherpte moeten wij gaan definiëren. Daar laten we ons ook goed over adviseren. De bedoeling is natuurlijk dat het sowieso haalbaar is, dat het mogelijk is, en dat we met elkaar het idee hebben dat we daadwerkelijk een community hebben die zin heeft. Ik wil de precieze omvang ervan, hoe breed die moet zijn, en of het mensen mogen zijn van één organisatie of dat we er meer voor nodig hebben, vast gaan stellen om daarmee ook de definitie van open source beter te krijgen. Het oogmerk daarbij is — daar gaat het over; het zijn allemaal middelen tot een doel — dat ervoor gezorgd wordt dat de middelen voldoen aan de eisen die we stellen. Zo moeten ze veilig zijn en transparant, en moeten er met de gegevens van mensen geen dingen gebeuren die we niet willen.
Mevrouw Rajkowski (VVD):
Het kenmerk van een community is dat ze zich niet per se houdt aan de door ons gestelde regels over hoe een community eruit zou moeten zien. Een community is flexibel, fluïde en kan uit vrijwilligers bestaan. Zij hebben niet heel veel op met developers die hun vrije tijd steken in het controleren van systemen. Zij hebben niet heel veel op met de vraag of wij vinden dat zij dat zouden moeten doen of niet, en terecht, want die community werkt op een hele andere manier.
De VVD maakt zich eigenlijk nog wat meer zorgen over het volgende. We hoorden de staatssecretaris net zeggen dat we eerst gaan kijken naar opensourceoplossingen, en dat we dan gaan kijken wat veilig is. Dat is precies het punt uit mijn inbreng dat gaat over blindstaren. Als je alleen maar naar technieken gaat kijken, dan kan je zomaar een veel veiligere optie buiten beschouwing laten. In plaats van alleen maar kijken naar technieken, kun je kijken naar principes: het moet veilig zijn. Ik begrijp dat de kans vrij groot is dat een opensourcesysteem misschien wel veilig is. Maar we moeten niet vergeten dat we nu in een soort hype meegaan waarbij we closed source buiten beschouwing laten. We moeten voorkomen dat we hier over zoveel jaar weer staan en moeten concluderen: het heeft toch niet helemaal gewerkt, dus nu gaan we weer voor honderd procent naar closed source. Het moet techniekneutraal.
Staatssecretaris Van Huffelen:
De kern is natuurlijk dat het veilig en betrouwbaar moet zijn, hoe je het ook wendt of keert. We weten dat dat in open source vaak beter te detecteren is, want het is dan ook zichtbaar of het veilig en betrouwbaar is. Ik zeg nogmaals: wij willen ons goed laten adviseren of er onderdelen van een inlogmiddel zijn die nog niet open source zijn, wat daarvan dan de reden is en of dat ook moet worden toegestaan. Want we willen er natuurlijk wel voor zorgen dat we inderdaad die inlogmiddelen hebben en dat er ook partijen zijn die ze kúnnen leveren. We willen ervoor zorgen dat het mogelijk is om dat te doen en dat het veilig is. Het moet veilig zijn, betrouwbaar, transparant, enzovoort, op basis van de eisen die we met elkaar vastleggen.
U heeft het over die community. Welke eisen stel je daar nou aan? Natuurlijk moet een community zichzelf vormen. En de communities zullen ook fluïde zijn. Maar wij kunnen natuurlijk wel zeggen dat we een community van één misschien wel een beetje weinig vinden. Dus de kern is dat wij daarover ook wel het een en ander kunnen aangeven. Ik zeg nogmaals: daar willen we ons ook over laten adviseren, op een goede manier. Hoe kun je ervoor zorgen dat zo'n community een bepaalde vorm heeft, of voldoet aan een soort minimale vereisten, zodat je ook kunt zeggen dat de community goed bestaat? Ik hoor ook heel goed uw pleidooi waarbij u zegt: je moet het kind ook weer niet met het badwater weggooien. Als we die ministeriële regeling gaan uitwerken en we naar iets toe moeten groeien, zal ik ervoor zorgen dat we ook de goede eisen stellen aan het onderwerp van de gesloten broncodes, als dat eraan bijdraagt dat we daadwerkelijk ook wel een systeem hebben dat goed, transparant en veilig is.
Mevrouw Rajkowski (VVD):
Dit stelt mijn fractie al wat geruster, dus dat is fijn. Maar ik kom toch nog even terug op die community. Er is een momentopname en een check. En als het goed is gaan producten, systemen, software die de overheid gebruikt, juist vaak tientallen jaren mee, misschien met wat aanpassingen hier en daar. Het is niet onze bedoeling om Nederland elk jaar nieuwe systemen en nieuwe apps op te leggen. Tijdens zo'n traject kan zo'n community dus zomaar veranderen waardoor ze niet meer aan die check voldoet. Hoe gaat dat er dan uitzien?
Staatssecretaris Van Huffelen:
Nogmaals, dat moeten we met elkaar verder uitwerken. Van belang is natuurlijk dat we inderdaad blijvend evalueren of zo'n inlogmiddel voldoet aan de eisen, omdat er inderdaad sprake is van ontwikkelende technieken en ontwikkelende wensen ten aanzien van de dienstverlening. Men kan bijvoorbeeld de mogelijkheid willen hebben om ook bij andere organisaties in te loggen, of men kan iets op een andere manier willen doen omdat er nieuwe ideeën zijn over veiligheid. Ik denk dat we dus ook goed moeten bekijken hoe we regelmatig blijven checken of het nog voldoet. Want stel nou dat DigiD op een goede dag niet meer voldoende haar werk doet — ik hoop niet dat het gebeurt — om ervoor te zorgen dat de systemen veilig blijven. Dan wil je uiteindelijk zo'n middel natuurlijk niet meer blijven toelaten, want dan is het gewoon geen veilig middel meer. Dat kan om verschillende redenen zo zijn. Dus het is en blijft wat mij betreft nodig om bij die inlogmiddelen heel goed te blijven checken of ze blijvend voldoen aan de regels die wij met elkaar beogen.
De heer Bontenbal (CDA):
Volgens mij hebben we hier wel een belangrijk punt te pakken. Hoe definieer je nou zo'n community? Misschien is het wel veiliger om een bedrijf te hebben dat met honderd man al tien jaar software ontwikkelt, dan drie knutselaars op zolder die zichzelf een community noemen. Volgens mij is het heel belangrijk dat we goed definiëren wat dan zo'n community is. En de staatssecretaris zegt wel: we willen naar honderd procent open source. Dat vind ik dan wel gevaarlijk, omdat ze nog niet precies weet of dit goed afloopt. Zou je niet moeten zeggen: we creëren een gelijk speelveld voor open source en closed source, waarbij de voorwaarden hetzelfde zijn, namelijk: het moet veilig zijn en het moet transparant zijn? Ik betwijfel of je van tevoren moet zeggen dat het naar honderd procent open source moet. Als je dat doet, weet je namelijk het antwoord al op een ontwikkeling terwijl je helemaal niet weet hoe die ontwikkeling afloopt.
Staatssecretaris Van Huffelen:
Het is toch wel een belangrijk punt dat u noemt. Wij gaan verder aan de slag om de kern, de definitie van de community en de vereisten daarvoor, scherp te krijgen, in dit geval ten behoeve van de inlogmiddelen. Als u zegt net zo goed voor een level playing field te willen kiezen voor iets wat totaal gesloten is, dan is dat niet ons oogmerk. Want wij gaan er nog steeds van uit dat op basis van alle informatie die we nu hebben, open source ons ook daadwerkelijk gaat helpen. Omdat het openbaar is, omdat mensen het kunnen volgen en wij het kunnen volgen, en omdat er ook veel meer waarborgen zijn dat er daadwerkelijk ook goed gewerkt wordt om ervoor te zorgen dat het inlogmiddel steeds weer betrouwbaar en beter wordt. De wens is dus zeker om daarnaartoe te groeien — dat is ook de kern van wat er in deze novelle staat — maar we doen dat wel verantwoord en op een manier die zorgt dat we ook daadwerkelijk bereiken wat we willen bereiken. Als er een reden zou zijn waarom we helemaal nooit tot die 100% kunnen komen, dan zullen we die moeten vinden, maar op dit moment is ons beeld dat het wel degelijk mogelijk is om dat te doen.
De heer Bontenbal (CDA):
Misschien ga ik nu een domme vraag stellen. Wat precies is het verschil tussen open source en transparantie? Streeft u naar 100% open source of naar 100% transparantie?
Staatssecretaris Van Huffelen:
Nee, het is goed om dat nog een keer te zeggen. We hebben het over opensourcesoftware, dus software die transparant is en waarvan de broncodes gepubliceerd zijn, maar waar ook zo'n community omheen zit die zorgt dat er steeds weer wordt gewerkt aan het verbeteren daarvan. Dat is voor ons echt superbelangrijk. Het gaat dus om beide kanten. Het gaat er dus niet alleen om dat het gepubliceerd is, maar het gaat er ook om dat er bij voortduring, in een openbare community, wordt gewerkt aan het verbeteren daarvan, en vooral dat daar de mogelijkheid voor is.
De voorzitter:
Tot slot, de heer Bontenbal.
De heer Bontenbal (CDA):
Dit vind ik wel tricky. Het moet dus transparant zijn en er moet een community zijn, en dan is het open source. Maar u weet niet of die communities gaan werken en of ze daadwerkelijk gevormd worden. U streeft naar 100% open source, maar volgens mij zou het doel 100% transparantie moeten zijn. Dus verwart u middel en doel nu niet te veel?
Staatssecretaris Van Huffelen:
Nee, dat denk ik niet. De achtergrond hiervan is dat de combinatie maakt dat je betere en veiligere inlogmiddelen krijgt. Nogmaals, de precieze definitie hiervan, welke elementen open moeten zijn en hoe zo'n community er dan uit zou moeten zien enzovoort, enzovoort, is precies waaraan wij in het kader van een ministeriële regeling verder vorm en inhoud willen geven, om ervoor te zorgen dat ook scherp en helder is hoe dat gaat functioneren.
De voorzitter:
Mevrouw Van Weerdenburg, over hetzelfde punt?
Mevrouw Van Weerdenburg (PVV):
Ja. Collega Bontenbal noemde het tricky. Ik wil hem wel bijvallen en noem het dan ook onnodig. Wanneer heeft het kabinet het standpunt, dat verwoord is in de beleidsbrief over het vrijgeven van de broncode van overheidssoftware, gewijzigd? Ik heb hier de brief van april 2020 over de "open, tenzij"-policy. Die is nog van kracht, want ik heb 'm nog op de website gevonden gisteravond. Daar staat heel duidelijk in: "Als het doel transparantie is, dan kan heel vaak volstaan worden met het beschikbaar stellen van de broncode op een plek op het internet waar veel broncode te vinden is (bijvoorbeeld GitLab.com). Een actieve community van (her)gebruikers is dan niet noodzakelijk". Dit is staand beleid. Dus wanneer is besloten om daarvan af te zien en dat te mixen, te mengen, met de vergaande eis van een community?
Staatssecretaris Van Huffelen:
Ik kan hier niet de datum precies noemen, maar de kern is dat wij bij deze inlogmiddelen het juist belangrijk vinden dat er wel degelijk zo'n community is.
De voorzitter:
Tot slot.
Mevrouw Van Weerdenburg (PVV):
Ja, tot slot. Voor de transparantie is het niet nodig. En daar gaat het om. Het gaat er toch niet om ... Want dat was het andere: de community was er juist voor kwaliteitsverbetering van software, met als doel hergebruik. Als het gaat om software die gemaakt is voor de overheid, met publiek geld betaald, dan is die van iedereen en dan is dat natuurlijk wel een goed te volgen redenering. Maar hier is het gewoon echt niet nodig.
Staatssecretaris Van Huffelen:
Dat ben ik niet met u eens. De reden daarvoor is eigenlijk andersom. Want alleen maar transparantie zou transparantie zijn in termen van dat er verder niks meer mee gebeurt als er bijvoorbeeld foutjes in die broncode zitten of als dingen op een gegeven moment niet meer veilig blijken te zijn. Zo'n community helpt ook om te zorgen dat er steeds weer gekeken wordt of de broncode nog voldoet aan de vereisten. Wat ons betreft is de community wel degelijk van belang en is dat een onderwerp dat hierin thuishoort. Wel is het belangrijk om nog eens even goed met elkaar uit te werken wat dat betekent in het geval van deze inlogcodes en van deze wet, en met name de novelle.
Mevrouw Leijten (SP):
Snapt u het nog, voorzitter?
De voorzitter:
Ik kan het redelijk volgen — zei ze zelfverzekerd.
Mevrouw Leijten (SP):
Nou, ik durf dat wat minder zelfverzekerd te zeggen, zal ik u zeggen. Als ik mijn collega's zo hoor aan de interruptiemicrofoon, hebben we dat allemaal. Het is niet dat we niet begrijpen hoe dit werkt, maar we begrijpen niet wat de bedoeling is en waar we dus ja tegen zeggen als we dit wetsvoorstel aannemen. Daarmee kom ik toch terug op wat de Raad van State daarover zegt, juist als het gaat om de delegatiebepaling. Het gevaar van het in de wet zetten van zulke abstracte hoofdelementen die niet meer herkenbaar worden beschreven, is dat het parlement als medewetgever zich er eigenlijk geen voorstelling van kan maken waarmee het instemt. Vindt de staatssecretaris dat niet een fundamenteel probleem?
Staatssecretaris Van Huffelen:
Volgens mij komen we daar zo meteen nog wat verder op, maar ik vind het niet een fundamenteel probleem. Misschien kan ik kort wat zeggen over de kern, en dan komen we er misschien straks nog wat uitgebreider over te spreken. In de wetgeving die er bijvoorbeeld is over auto's, schrijven we ook niet de merknamen op van wat er precies aan auto's in Nederland is. Nee, je beschrijft wat een auto is, waar die op rijdt en waar die op kan rijden enzovoort. Juist bij wetgeving die over techniek gaat, in dit geval techniek die zich heel snel ontwikkelt, is het heel belangrijk dat wij met elkaar praten over de uitgangspunten: onder welke condities vinden wij dat mensen digitaal zaken moeten kunnen doen met en moeten kunnen inloggen bij de overheid? We moeten proberen aan de slag te gaan met het zorgen dat dan ook duidelijk is welke soorten van, in dit geval, inlogmiddelen mee mogen doen. Dat doen we door steeds dingen te vernieuwen en aanpassingen te doen in onderliggende regelingen. Voldoet DigiD aan de vereisten die we eraan stellen, en blijft het er ook aan voldoen? Zijn er private inlogmiddelen die voldoen aan de eisen die we eraan stellen? Open source is hierbij een middel. Hoe zorgen we ervoor dat we ook werken aan de ontwikkeling van technieken die ons helpen om dat ook voor elkaar te krijgen?
Mevrouw Leijten (SP):
De staatssecretaris zegt hier zo veel dingen waar ik op zou willen reageren. Ze stelt hier zo effe in een bijzinnetje ter discussie of DigiD in de toekomst blijft bestaan. Ik hoorde mevrouw Bouchallikh daar hele goede dingen over zeggen in haar eerste termijn, namelijk dat het onzorgvuldig is om dat soort bijzinnetjes te gebruiken omdat die ergens op tenderen. Maar mijn vraag is natuurlijk een andere. Het wordt allemaal zo abstract. Er wordt gezegd dat dit in nadere regelgeving zal worden neergelegd. Dat is in een ministeriële regeling. Die krijgen wij niet meer te zien, dus wij weten niet waar wij ja tegen zeggen. Heeft de staatssecretaris die ministeriële regeling al af?
Staatssecretaris Van Huffelen:
Nee, die hebben we nog niet af. Die zijn we aan het ontwikkelen, met mensen die expert zijn op dit gebied. Dat is ook heel erg nodig om een heel helder beeld te krijgen van hoe het precies zit als we gebruikmaken van deze opensourcesoftware, welke onderdelen dan belangrijk zijn en hoe we omgaan met de community. Het gaat om die combinatie.
Mevrouw Leijten (SP):
Oké. Dus we hebben hier een wet die is aangenomen in de Tweede Kamer in januari 2020. We zijn nu bijna tweeënhalf jaar verder. Er is wel een novelle gemaakt, maar er is nog geen ministeriële regeling.
Staatssecretaris Van Huffelen:
Er zijn ook AMvB's gemaakt, die bij u voorhangen, maar we hebben inderdaad deze specifieke ministeriële regeling nog niet uitgewerkt.
Mevrouw Leijten (SP):
Wat zou het bezwaar zijn om te wachten totdat de staatssecretaris de ministeriële regeling heeft uitgewerkt voordat wij dit wetsvoorstel verder behandelen?
Staatssecretaris Van Huffelen:
Er is wel een groot bezwaar als we wachten met het invoeren van deze wet. Deze wet maakt het bijvoorbeeld mogelijk voor mensen die in de zorg werken om in te loggen met DigiD. Wees gerust: het is niet aan de orde dat DigiD verdwijnt. Ik zal het voorbeeld ook niet meer noemen. Maar natuurlijk zal DigiD, net als elk ander inlogmiddel, voortdurend aan de allerhoogste eisen moeten blijven voldoen. Ik denk dat we dit met elkaar eens zijn. Maar de kern is dat als we dit niet doen, de zorgmedewerkers, die nu niet op een veilige manier met elkaar informatie over patiënten kunnen uitwisselen, dat straks ook niet kunnen doen. Dat is een van de belangrijke redenen om wel degelijk aan deze wet te werken. En daarmee kunnen we doorgaan met het werken aan allerlei inlogmiddelen die er nu al zijn, zoals DigiD, zodat we die kunnen gebruiken in een bredere context dan we vandaag de dag doen.
Mevrouw Leijten (SP):
Dus patiëntengegevens worden nu niet veilig uitgewisseld. Weer een nieuwtje in dit debat dat er zo even — plof! — in komt. Daar zijn ook echt wetten over gemaakt, en gesneuveld in de Eerste Kamer. Dat ging over het elektronisch patiëntendossier. Dat dat vervolgens gewoon door is gegaan, weten we. Maar blijkbaar is het onveilig en gaat deze wet dat repareren. Ik zie de connectie niet, om heel eerlijk te zijn. Ik vind dit wetgevingstechnisch problematisch worden. De staatssecretaris geeft hier staande de vergadering een definitie van wat zij onder open source verstaat. Daar hoort die community bij. Daar is discussie over. Om heel eerlijk te zijn: ik kan niet eens goed beoordelen waar ik sta in die discussie. Maar we moeten straks wel ja of nee zeggen tegen deze wet, waarin van alles geregeld gaat worden buiten ons zicht. Ik vind dat echt problematisch. Het is te abstract, staatssecretaris.
Staatssecretaris Van Huffelen:
Ik besef heel goed dat het hier in dit debat gaat over iets wat klein klinkt, namelijk "veilig inloggen bij de overheid", maar wat tegelijkertijd complex is vanwege de techniek die erachter zit. Tegelijkertijd moeten we met elkaar aan het werk om dit te regelen, want als we dit niet regelen, zorgen we er niet voor dat we op een veilige manier die ongelooflijke hoeveelheid dingen kunnen doen die we inmiddels willen gaan doen met de overheid. We hebben niet alleen vastgelegd dat het mogelijk moet zijn om offline met de overheid zaken te doen, maar vooral ook dat dat online, digitaal kan. Heel veel mensen willen dat ook. En wij willen er met elkaar voor zorgen dat dat op een veilige, betrouwbare en goede manier gebeurt. Daar gaat deze wet specifiek over. Ik vind het dus ontzettend belangrijk dat we het hierover hebben. Daarmee gaat het ook over techniek. Daarmee gaat het ook over onderwerpen die ingewikkeld zijn. Dat is ook een van de redenen waarom u voorafgaand aan dit debat een technische briefing hebt gehad. Dat is om erin te duiken en met elkaar scherp te krijgen wat we nodig hebben om te zorgen dat dit ook op een goede manier gebeurt.
De voorzitter:
U heeft nog een aantal vragen te beantwoorden.
Staatssecretaris Van Huffelen:
Ik heb er nog een heleboel.
De voorzitter:
Ik bedoel over het onderwerp open source.
Staatssecretaris Van Huffelen:
Ja, over het onderwerp open source.
De voorzitter:
Ik wil eerst even de staatssecretaris de kans geven om het onderwerp open source af te ronden. Dan is er daarna de mogelijkheid voor interrupties.
Staatssecretaris Van Huffelen:
Dan ga ik naar de vraag van de PVV over hoe gecontroleerd kan worden als de broncode niet zichtbaar is. Openbaarheid van de broncode kan helpen bij de controleerbaarheid. Beter gezegd: het maakt het mogelijk. Maar er zijn ook wel andere middelen voor controle. Bij de toelating kan ook op basis van eisen worden gecontroleerd. Op dit moment wordt er al toezicht gehouden, maar bij open source kan dat op een betere en dus ook transparantere manier.
Mevrouw Leijten van de SP vroeg of er van partijen geëist wordt dat zij een beweging inzetten naar het gebruik van open source. Ja, die beweging wordt ingezet. Het is ook de bedoeling dat dat gebeurt. Dat doen we vooral om ervoor te zorgen dat middelen extra veilig worden. We willen natuurlijk ook zorgen dat er meer middelen komen, zodat burgers veilig kunnen inloggen. Dus op grond van dit wetsvoorstel wordt dan aangewezen welke onderdelen open source moeten zijn. Op basis van die ministeriële regeling gaan we dat verder vormgeven.
Dan is er de vraag van mevrouw Dekker-Abdulaziz of er een minimale hoeveelheid open source geëist zal worden en hoe dat precies gaat werken. Wij zullen aanwijzen welke onderdelen open source moeten zijn. De aanvraagfunctie en de inlogfunctie zijn daar voorbeelden van. Bij dat aanwijzen houden we rekening met veiligheid en continuïteit. Het is dus niet een percentage; het gaat veel meer over de functionaliteit. In de tekst van de AMvB die nu voorligt kunnen we dat verduidelijken. We werken dat ook verder uit in de ministeriële regeling.
Dan is er ook de vraag van mevrouw Dekker: een echte ambitie zou zijn "open source, tenzij"; dat staat er nu niet in, waarom is dat? Maar de kern is dat ik heb aangegeven in het begin van de beantwoording dat wij het niet verantwoord vinden om nu helemaal voor 100% over te gaan op open source, omdat dat onaanvaardbare gevolgen heeft voor de inlogmiddelen die we vandaag de dag gebruiken, dus bijvoorbeeld de DigiD en e-herkenning. Ik vind het belangrijk dat ook private partijen gelijk behandeld worden. Dus we moeten ervoor zorgen dat we die verplichting pas introduceren wanneer dat ook 100% kan. Maar het is wel onze nadrukkelijke wens om daarnaartoe te groeien. Het transitiepad willen we dan ook in de komende tijd gaan schetsen.
Dan was er de vraag: is de verplichting van open source niet een middel om big tech buiten de deur te houden? Ik vind het dus belangrijk om gebruik te maken van open source. Die verplichting is er, maar niet een volledige, vanwege het feit dat er ook middelen zijn die daar nog niet aan kunnen voldoen, maar we die transitie wel moeten doormaken. Een volledige verplichting voor het hanteren van open source kan dus op dit moment niet, en een beheerste overgang is natuurlijk wel van belang. Nogmaals, wij laten ons daar goed op adviseren, zodat we ook goed in staat zijn om dat in de komende tijd vorm te geven. En natuurlijk kunnen ook grotere bedrijven, ook big tech, zich aanmelden als partij, maar die kunnen daar natuurlijk alleen in meegroeien als dat betekent dat zij ook meewerken aan het opensourcebeleid.
Dan ging het over hoe de opensource-eis in deze wet zich verhoudt met de Wet open overheid; worden opensourceaanbieders met dit systeem niet juist belemmerd? Het antwoord is: broncode viel al onder de Wob. Nieuw in de Woo is ook de actieve openbaarmaking daarvan. Net zoals voor andere onderwerpen of documenten geldt dat die broncode alleen openbaar kan worden gemaakt als de overheid daarover beschikt en zaken als veiligheidseisen en auteursrecht geen belemmering vormen. De Wdo, dus deze Wet digitale overheid, bepaalt specifiek voor inlogdiensten welke onderdelen openbaar moeten worden gemaakt.
Dan is er de vraag hoe je de mate controleert waarin open source is gebruikt. Ik heb daar net ook al iets over gezegd. Het gaat om de meest essentiële onderdelen van de inlogmiddelen. Die gaan we ook beschrijven. En van belang is natuurlijk ook dat dat onderdelen zijn die te maken hebben met bijvoorbeeld de aanvraag- of de inlogfunctie. Wij laten ons goed ondersteunen om te zorgen dat we dat ook op een juiste manier kunnen doen.
Dan is er de vraag van de PVV over wie beoordeelt of er voldoende gebruik is gemaakt van open source. Nou, ik heb aangegeven dat we daarbij deskundigen laten meekijken, om te zorgen dat daar waar dat maar mogelijk is er gebruik wordt gemaakt van open source. Wij gaan verder die inventarisatie maken van over welke onderdelen het gaat, en we gaan ook kijken hoe we de transitie van de huidige situatie naar open source kunnen vormgeven, waarbij de lat ook steeds hoger komt te liggen.
Dan de vraag of open source ook wel veilig is, naar aanleiding van de vragen die gesteld zijn over onder andere Log4j. De kern is dat open source veel voordelen heeft, ook in veiligheid en transparantie. Die voordelen gaan niet vanzelf. En het feit dat er ook voorbeelden van zijn dat het niet altijd 100% goed gaat, betekent dus dat we beheerst toe willen groeien naar open source, zodat ondersteuning en veiligheid ook goed geborgd zijn.
Dan was er de vraag van de VVD, van mevrouw Rajkowski: hoe ga ik om met de verschillende opensourceonderdelen in een middel? Ik denk dat ik daar zonet in de antwoorden al iets meer over heb gezegd. Dus het middel kan gebruikmaken van verschillende onderdelen, op soorten software die met elkaar samenhangen, ook besturingssystemen en ondersteunende software. Waarom het gaat, is dat we die essentiële onderdelen inzichtelijk maken, die essentiële onderdelen van de broncode. Nogmaals, wij laten ons daar goed op adviseren, om te zorgen dat met name die aanvraagfunctie of inlogfunctie op een goede manier open source wordt gemaakt, en dat die dan ook beschikbaar zijn en veilig kunnen worden ingezet.
Dan kom ik op de laatste vraag over het onderwerp open source, van mevrouw Van Weerdenburg. Is het publiceren van de broncode van de kern van het inlogmiddel voldoende om aan de opensource-eisen te voldoen? Het publiceren van die broncode is voldoende. Bij die inlogmiddelen gaat het dus vooral om transparantie. Je moet ervoor zorgen dat die broncode openbaar is en dat die partijen en communities in de gelegenheid zijn om daaraan te werken en dat te verbeteren. Voor sommige opensourcelicenties gelden ook andere voorwaarden, maar het thema transparantie speelt daarbij niet noodzakelijkerwijs een rol van belang.
De voorzitter:
Dank u wel. Er zijn vragen van mevrouw Van Weerdenburg en daarna mevrouw Leijten.
Mevrouw Van Weerdenburg (PVV):
Mevrouw Leijten had hier even geleden wat zorgen geuit die ik eigenlijk deel. Vooropgesteld, ik wil die Wdo helemaal niet vertragen en niet alles hoeft geregeld te worden in de kaderwet, maar het hele idee van dit debat — daarom heb ik ook veel vragen gesteld — was de hoop dat de staatssecretaris een beetje kon schetsen hoe de nadere invulling eruit zou zien. Als we over de meest basale begrippen al geen duidelijkheid krijgen of iets horen wat in onze ogen niet juist is, dan groeit mijn onrust ook om ja te zeggen op deze novelle, met vertraging als gevolg. Ik ga het nog één keer proberen met mijn vraag over open source. Bij een private partij die zelf software schrijft en goede ontwikkelaars heeft, staat ook de reputatie van het bedrijf op het spel als je ze verplicht om die code te publiceren. De concurrenten kijken allemaal mee en gaan onwijs veel moeite doen om de foutjes in de code aan te wijzen. Daar is een soort van accountability. Dat heb je niet als ze stukken open source gaan gebruiken waar, zoals de heer Bontenbal het noemde, hobbyisten op een zolderkamer naar kijken. Stel dat die een fout maken en de code zo wijzigen dat er een enorme kwetsbaarheid in blijkt te zitten, dan is het: ja, jammer, balen. Die zijn dan verder niet verantwoordelijk, niet accountable, terwijl het bedrijf er wel schade van heeft. Ik zie niet in hoe dat model meer veiligheid garandeert dan het idee dat je reputatie als softwareontwikkelaar op het spel staat, of misschien wel je toelating. Je eigen mensen kijken ernaar en de concurrenten kijken ernaar, dus publiceer dat gewoon! Ik zie niet in waarom een community van vrijwilligers, hoe groot die ook mag zijn, meer veiligheid garandeert dan dat andere model.
Staatssecretaris Van Huffelen:
Er is altijd iemand de aanbieder van dat inlogmiddel. Die aanbieder is er verantwoordelijk voor dat dat inlogmiddel doet wat wij vinden dat het moet doen, dat het veilig is, enzovoorts. Die aanbieder maakt gebruik van software of bouwstenen uit software waarvan wij zeggen dat het goed zou zijn dat die open source zijn. Wij gaan uit van het principe dat er daarmee betere elementen in zitten. Dat wil niet zeggen dat de aanbieder van die software nu al honderd procent open source moet zijn, omdat dat niet in alle gevallen mogelijk is. We gaan goed bekijken bij welke elementen dat wel en niet kan. Maar je wilt natuurlijk ook altijd — daarom willen we wat duidelijker beschrijven wat we bedoelen met zo'n community — helder hebben wat we oké vinden als het gaat over de combinatie van die twee dingen. Voor de publicatie geldt dat net zo goed. Overigens, als iemand zelf iets ontwikkelt terwijl concurrenten meekijken en daar kritisch op zijn, dan kan dat wellicht alleen maar leiden tot verbetering. Maar de kern is dat de aanbieder moet zorgen dat het op orde is. Wij toetsen daarop. We willen graag open source omdat dat helpt om het te verbeteren. Dat past ook binnen de huidige manier van werken. Maar we gaan er wel van uit dat er een combinatie nodig is van zowel publicatie en transparantie als een community daaromheen. En nogmaals, wij gaan dit nog verder uitwerken om het scherp te krijgen. Maar het is dus niet zo dat iemand die zelf software ontwikkelt, niet kan meedoen. Wel willen we graag dat het open source gebeurt en dat het transparant is.
Mevrouw Van Weerdenburg (PVV):
Dus als ik het goed begrijp, is een softwareontwikkelaar die al twintig jaar bezig is met een groot bedrijf en honderden programmeurs, die een product ontwerpt en daarna de code publiceert, niet genoeg. Maar als ze de code publiceren en tegelijkertijd dat gedeelte zelf op GitLab gooien, is er ineens wel een community en mag toelating wel.
Staatssecretaris Van Huffelen:
Hoe we dat precies vormgeven, dus waar die community moet zijn en hoe die werkt, gaan we met elkaar uitwerken. Maar de kern van dit opensource-idee is wel dat er inderdaad een community is die meekijkt naar dit product.
Mevrouw Dekker-Abdulaziz (D66):
Ik wil eerst heel eventjes het beeld weerleggen van drie mensen op zolder als community. Linux, waarop het Androidsysteem gebaseerd is, is ook open source geweest. De makers waren zeker geen drie mensen op zolder.
Maar nu ik heb twee vragen aan de staatssecretaris. Ik hoor de staatssecretaris zeggen dat wij geen 100% open source willen eisen omdat het nu niet kan. Dat is redeneren vanuit het huidige aanbod en we weten natuurlijk niet wat de techniek met zich mee gaat brengen. Maar "open source, tenzij" houdt natuurlijk niet in dat je 100% open source eist, maar dat je dat eigenlijk zo veel mogelijk wilt. Het is meer een principe: het is open source, tenzij je bijvoorbeeld uitlegt dat het niet kan. Hoe kijkt de staatssecretaris daar dus tegen aan?
En mijn tweede vraag is: wie beoordeelt dan of het voldoende is? Hoorde ik de staatssecretaris zeggen dat deskundigen dat doen? Mijn vraag is: is het dan niet de toezichthouder, Agentschap Telecom?
Staatssecretaris Van Huffelen:
Als ik het heb over de deskundigen die ons helpen, gaat het over het vormgeven van die regeling. Goed dat u het zo formuleert. De kern is inderdaad: het is open, tenzij. In principe is het dus open source, maar als het niet kan, dan lukt het niet. We zien dat het op dit moment sowieso nog niet helemaal lukt, maar we willen daarnaar toegroeien.
Het tweede is dat de toezichthouder daar inderdaad uiteindelijk naar moet kijken. Maar het formuleren van de vereisten is natuurlijk iets wat wij vanuit het ministerie moeten doen. Daarbij willen we ons vooral ook goed laten ondersteunen door mensen die deskundig zijn op dit gebied, zodat we ook de juiste keuzes maken en op de juiste manier omgaan met dit vereiste. Doel en oogmerk zijn daarbij dat die inlogmiddelen goed en veilig zijn.
Mevrouw Dekker-Abdulaziz (D66):
Dat is wel fijn om te weten. Deskundigen gaan daar dus naar kijken, zodat we een goede ministeriële regeling hebben. Dat is wel fijn.
Ik ga nu even terug naar dat "open source, tenzij". Wij kunnen daar nu niet aan voldoen. Het gevaar van redeneren vanuit het nu is dat je dan per definitie niet naar de toekomst kan kijken. Ik heb dus eigenlijk geen vraag, maar ik vind het toch wel een beetje zorgwekkend: "We kunnen er nu niet aan voldoen, dus we gaan het niet eisen." Dan kom je in zo'n vicieuze cirkel terecht dat je het nooit kan eisen, want je kunt er nu niet aan voldoen, maar misschien over tien jaar wel.
Staatssecretaris Van Huffelen:
Als je in de wet eist dat het altijd moet zijn, dat het 100% moet zijn, en het kan nu nog niet, dan voldoe je vandaag al niet aan de eis. Dan zou je de DigiD moeten stoppen. Dat willen we natuurlijk voorkomen. Maar tegelijkertijd zijn het belang en het oogmerk natuurlijk dat we doorgaan met open source en dat we dat ook steeds blijven doen. Het is ontzettend belangrijk dat we dat ook inzetten. Nogmaals, wij vinden dat niet alleen maar belangrijk voor nu, maar ook voor de komende tijd. We gaan dat verder uitwerken en we gaan met mensen goed kijken hoe we dat vorm kunnen geven, inclusief wat dan de inhoud en vorm van zo'n community zou moeten zijn.
Dan ga ik door naar het punt van het verhandelverbod. Dat is een ander thema waarover vragen gesteld zijn. Mevrouw Van Weerdenburg vroeg: is het publiceren van de broncode van de kern van het inlogmiddel genoeg? Sorry, dit gaat nog over open source. Ik kijk niet bij de goede vragen. We hadden bij het verhandelverbod namelijk een andere set van vragen. Ik zit het zelf slecht te organiseren, zie ik, want ik heb het in een verkeerd mapje gestopt. Excuses daarvoor!
Het verhandelverbod.
Een vraag van mevrouw Leijten: wat mogen private en commerciële aanbieders wel en niet doen met de data die ze verzamelen op basis van deze inlogmiddelen? Mevrouw Leijten noemde een voorbeeld. Een private partij die een inlogmiddel exploiteert of, beter gezegd, die zorgt voor zo'n inlogmiddel, zou in staat zijn om de gegevens van personen te gebruiken voor commerciële doeleinden. Dat is uitdrukkelijk niet zo. De partijen kunnen die gegevens niet verhandelen. Ze kunnen ze ook niet gebruiken voor andere doeleinden dan waarvoor ze bedoeld zijn, namelijk voor het inlogmiddel zelf. Dat minimale gebruik is geregeld in onze wet. Het is ook echt heel erg belangrijk dat dat gebeurt, zodat de dingen waarover u het heeft, niet kunnen gebeuren. Private partijen die een inlogmiddel verzorgen, moeten niet iets anders met de gegevens kunnen doen dan ze gebruiken voor het inloggen.
Mevrouw Rajkowski vroeg ook of die data niet voor enig commercieel doel kunnen worden gebruikt. Het antwoord is dus: nee, die kunnen niet voor enig commercieel doel worden gebruikt, niet om te verkopen, niet om reclames op te maken, niet voor andere dingen. De toezichthouder die dat in de gaten houdt, is het Agentschap Telecom.
Mevrouw Dekker-Abdulaziz vroeg of metadata ook vallen onder het verhandelverbod. Dat is zo. Die vallen daar ook onder.
Zowel SP als D66 vroeg of het verhandelverbod wel stevig genoeg is. Mijn beeld is dat dat zo is. De Eerste Kamer heeft mij gevraagd om dit uit te dragen in Europa. Dat zal ik zeker doen. In de wet is vastgelegd dat gegevens alleen mogen worden gebruikt om inloggen mogelijk te maken. In de novelle is nog een keer extra geregeld dat partijen niet aan de gegevens mogen verdienen. Bovendien is het ook nog zo dat de gegevens over de gebruiker en het gebruik gescheiden bewaard moeten worden. Ook daarop wordt toezicht gehouden door het Agentschap Telecom.
Hiermee heb ik volgens mij de punten gehad over het verhandelverbod.
De voorzitter:
Is het handig om nu ook te kijken naar het amendement van mevrouw Leijten? Of wilt u dat in tweede termijn doen?
Staatssecretaris Van Huffelen:
Dat doe ik graag in tweede termijn.
De voorzitter:
Dan gaan we naar mevrouw Leijten.
Mevrouw Leijten (SP):
De staatssecretaris vindt het voldoende geregeld. Daar is de SP-fractie het niet mee eens. In de nota naar aanleiding van het verslag schreef de staatssecretaris dat het niet onder haar bevoegdheid of haar reikwijdte viel om het verder in te perken. Waar komt die staatsrechtelijke gedachte vandaan?
Staatssecretaris Van Huffelen:
Ik weet niet of ik u helemaal precies goed begrijp. Maar wat we hiermee geregeld hebben, is dat er geen mogelijkheid is om de gegevens te verhandelen of voor een ander oogmerk te gebruiken dan alleen maar voor dat inloggen. Daarmee regelen we voor deze toepassing dat er door de partijen niets anders met die data kan worden gedaan dan zorgen voor een inlogmogelijkheid. Er is geen mogelijkheid voor welke commerciële toepassing dan ook.
Mevrouw Leijten (SP):
Ik ben, omdat ik daarover twijfels had, naar de uitstekende juristen van ons Bureau Wetgeving gegaan en die zeggen: het kan wel degelijk scherper in de wet. Ook de Raad van State wees daarop. Dat heeft geleid tot mijn amendement. De staatssecretaris gaat daar nu niet op in, maar ik vind dat een spelletje spelen. Zeggen dat je het niet wilt, wil niet zeggen dat dat ook niet gebeurt. Wat is voor een private aanbieder nou het interessante van identificatie bij de overheid? Dat gaat om data, namelijk: die mevrouw of die meneer doet zaken met die overheidsinstantie en misschien wel over die inhoud. Dat is informatie die ze verkrijgen, omdat de overheid digitaal met zijn inwoners wil communiceren of andersom. Dus daar gaan ze iets mee doen.
Staatssecretaris Van Huffelen:
Ik ga natuurlijk graag nog verder in op uw amendement, want als het niet goed genoeg geregeld is, moeten we het scherper regelen. Maar de kern is dat deze partijen met die data niets anders kunnen doen dan het doel waarvoor het bedoeld is. Ze kunnen met die data geen commerciële activiteiten ontwikkelen. Dat is niet wat er mag en niet wat we willen, of het nou gaat over reclames of over het doorverkopen op een andere manier. Precies dat is nou zo belangrijk in deze wet. Als je met je DigiD inlogt — dat is toevallig een publiek middel — of met een privaat middel of met een buitenlands middel, mogen die gegevens niet worden gebruikt voor enig ander oogmerk dan het inloggen en het faciliteren daarvan.
Mevrouw Leijten (SP):
Dan zou je eigenlijk nog verder moeten gaan dan ik in mijn amendement ben gegaan. Dan zou je moeten zeggen dat die gegevens verwijderd moeten worden, want dan kan je ze niet meer gebruiken. Als ze niet ergens anders voor gebruikt mogen worden, waarom zou je ze dan houden?
Staatssecretaris Van Huffelen:
Er is eigenlijk maar één reden waarom je de inloggegevens wel wil bewaren. Als iemand z'n telefoon of laptop verliest, kan je nog wel laten loggen dat er sprake is geweest van een inlog, bijvoorbeeld bij een instantie als UWV of de gemeente. Dat wil je kunnen bewaren. Andere soorten van gegevens wil je niet kunnen bewaren.
De voorzitter:
Mevrouw Leijten tot slot.
Mevrouw Leijten (SP):
Maar ook dat regelt de wet niet. Je registreert dat de heer Bontenbal heeft ingelogd bij UWV — gelukkig hoeft hij daar nu niet te zijn in Rotterdam, de gemeente waar hij woont — en het feit dat hij daar heeft ingelogd, bewaren we, maar niet waarvoor of hoe laat. Het wordt niet geregeld dat de andere data worden gewist. Er wordt gesteld dat het niet commercieel gebruikt mag worden, omdat het niet het oogpunt van de wet is. Maar het is gewoon niet geregeld.
Staatssecretaris Van Huffelen:
Ik ben op dit specifieke vraagstuk even overvraagd op dit moment. Ik kom daar graag in tweede termijn op terug. De kern van wat wij willen regelen, is precies ook wat mevrouw Leijten bedoelt: zorgen dat die gegevens — van wat meneer Bontenbal in dit voorbeeld bij UWV heeft gedaan — inderdaad niet worden bewaard, maar het feit dat hij heeft ingelogd wel.
Mevrouw Van Weerdenburg (PVV):
Ik was benieuwd hoe die controle precies gaat op een nieuw middel dat toelating vraagt. Hoe wordt precies gecontroleerd dat het programma niet doet wat wij hier bepalen dat niet mag? Wordt dan gekeken naar de beschrijving van het product? Dit zou ook close source software kunnen zijn. Of moet zo'n private partij dan de volledige broncode overhandigen en komt er dan een softwaredeveloper die de code minutieus gaat napluizen om te zien of er toch niet een koppeling of iets dergelijks in zit, want software kan best geraffineerd zijn. Gaat dat zo specifiek?
Staatssecretaris Van Huffelen:
Ik denk dat het zo is dat we de precieze stapjes die daarin zitten, verder willen uitschrijven, maar de kern is wel dat het zo specifiek moet zijn. Het moet echt aantoonbaar zijn dat die gegevens niet op een andere manier worden gebruikt. Nogmaals, het toezicht daarop is ontzettend belangrijk, omdat we willen dat iemand die op welke manier dan ook inzage heeft in deze gegevens, er niks mee kan doen.
Mevrouw Van Weerdenburg (PVV):
Is die expertise er? En zo ja, waar zit die? Hoe gaat de staatssecretaris die aantrekken?
Staatssecretaris Van Huffelen:
Die expertise zullen we moeten inhuren. Daarbij moeten natuurlijk gebruikmaken van de huidige toezichthouders, bijvoorbeeld het Agentschap Telecom.
De voorzitter:
Mevrouw Dekker, tot slot.
Mevrouw Dekker-Abdulaziz (D66):
Het is wel fijn om te horen dat ook de metadata onderdeel zijn van deze wetgeving, of dus de heer Bontenbal ingelogd is en wanneer.
De voorzitter:
Het gaat wel veel over de heer Bontenbal.
Mevrouw Dekker-Abdulaziz (D66):
Ja. Oké, ik ga even door. Het gaat over commerciële activiteiten en dat die uitgesloten moeten worden. Maar in de digitale wereld zie je heel vaak het volgende: wij gebruiken uw gegevens voor het verbeteren van onze dienstverlening. Is dat dan ook uitgesloten in deze wet?
Staatssecretaris Van Huffelen:
Ik ga dat voor u uitzoeken. Maar als dat zou kunnen, moeten we dat alleen maar doen als het alleen maar precies daarvoor bedoeld is en niet voor andere commerciële activiteiten. Ik kom daar in tweede termijn graag op terug.
Dan ga ik naar de vragen over de wet in het algemeen. Daar waren ook nog een aantal vragen over. Ik kijk even naar de vragen die door mevrouw Leijten zijn gesteld over de menselijke tussenkomst bij besluiten. Dat onderwerp hebben we vaker besproken. Bij de toepassing van welke vorm van algoritmes of digitalisering dan ook is het ongelofelijk belangrijk dat er sprake is van die menselijke tussenkomst. Dit wetsvoorstel gaat daar in principe natuurlijk niet over, maar wel over veilig inloggen. Ook daarbij moet het steeds mogelijk zijn dat mensen daadwerkelijk ergens terechtkunnen als er problemen zijn. Dat is in deze situaties natuurlijk ook heel erg belangrijk.
Dan was er nog de vraag — we zijn er al eerder op ingegaan — over het thema techniekonafhankelijk en het advies van de Raad van State daarover. Ik heb daar eerder al iets over gezegd, namelijk dat we het zo belangrijk vinden dat wetgeving die over techniek gaat steeds kan worden aangepast aan de stand van de techniek. Ook bij deze wet hebben we gezien dat het maken van een wet lang kan duren. Twee jaar geleden is de wet ook al aangenomen, maar die kent natuurlijk een langer traject. Ik geloof dat het inmiddels al vier jaar geleden is dat we begonnen zijn met het maken van deze wet. Inmiddels is de technologie natuurlijk voortgeschreden. Ik vind het ongelofelijk belangrijk dat we ervoor zorgen dat we de hoofdlijnen weliswaar ... We hadden het net over de vergelijking met auto's. Wat dat precies zijn, wordt vastgelegd in de wet, maar in lagere regelgeving zorgen we dat we aanpassingen kunnen maken. Dat is ook de reden dat we op dit punt de Raad van State uiteindelijk niet hebben gevolgd, hoewel we heel veel andere elementen uit het advies wel degelijk hebben verwerkt.
Dan de checklist digitalisering van de Raad van State. Die komt uit het rapport waarover we het eerder vandaag ook al hadden. Dat rapport is van na de novelle, maar sluit daar voor het grootste deel gelukkig wel op aan. Een belangrijk thema daaruit is de aanbeveling om intensief op te trekken met de uitvoering. In de toelichting op de AMvB's hebben we ook aangegeven hoe we met de verschillende belangen van de adviezen van de Raad van State omgaan. Verder is er het thema van de mens centraal, namelijk dat de WDO dient te zorgen voor goede, veilige en betrouwbare dienstverlening aan de burgers en bedrijven van Nederland.
Dan de vraag over het toezicht door Agentschap Telecom. Dat was een vraag van mevrouw Dekker van D66. Is daar goed voor gezorgd? Uw Kamer heeft met een amendement deze toezichthouder rechtstreeks aangewezen voor deze wetgeving. Ik onderschrijf dat ook. Agentschap Telecom houdt al jarenlang toezicht op het eHerkenningstelsel. Inmiddels heeft het daar kennis voor ontwikkeld en heeft het voldoende capaciteit om dat ook te doen.
De vraag van GroenLinks ging over de Autoriteit Persoonsgegevens. Is die inmiddels voldoende toegerust om het werk te doen? Het toezichthouden op privacy by design is een onderwerp waarbij ik zelf betrokken ben. Zij houden op dit moment natuurlijk al toezicht op het verwerken van persoonsgegevens. Dat wordt niet anders. Het is wel van belang dat we zorgen dat de AP ook hiervoor voldoende capaciteit en tijd inzet. Daarover ga ik graag met hen in overleg.
Dan de vraag van de heer Bontenbal. Volgens mij heb ik die al besproken. Die ging met name over de samenhang tussen de techniek en de onderliggende wet. Hoe is dat georganiseerd? In de praktijk betekent de handhaving dat de wet en de ministeriële regeling toelating regelen voor authenticatiediensten, machtigingsdiensten enzovoorts, enzovoorts die voldoen aan de stand van de techniek. De toezichthouder controleert op de eisen van de wet- en regelgeving. De handhaving die daarbij hoort, is natuurlijk een uitvloeisel van dat toezicht.
Dan ga ik naar de vraag van mevrouw Dekker-Abdulaziz. Hoe verhoudt de Wet digitale overheid zich tot de eIDAS-verordening? De WDO is daarmee in lijn. De WDO regelt wel meer dan de eIDAS op dit moment doet. De huidige versie van die richtlijn zegt dat het mogelijk moet zijn om met verschillende inlogmiddelen binnen Europa zaken te doen met de overheden, zodat je bijvoorbeeld met je DigiD ook aan de slag kunt bij de Belgische of Duitse overheid, als je daar iets wilt regelen. Dat is niet in alle gevallen al helemaal goed geregeld, zoals we gisteren ook hebben besproken. De WDO zorgt ervoor dat er extra verplichtingen en standaarden zijn zodat dit veilig gebeurt. Denk bijvoorbeeld aan een slotje op de websites, de veiligheidseisen die aan overheden worden gesteld en de grondslagen van de verantwoordelijkheden in de zogenaamde generieke data-infrastructuur die we hebben, zoals bij de DigiD. Wij hebben ook aanvullende eisen aan de inlogmiddelen, bovenop de eIDAS. De herziening daarvan is er natuurlijk nog niet, dus daarvan kunnen we nog niet zeggen hoe die aansluit. Maar op basis van de huidige eIDAS zorgen we ervoor dat de inlogmiddelen aan aanvullende eisen voldoen.
Mevrouw Rajkowski vroeg: hoe staat het met het wettelijk reguleren van de standaarden of het verplichte gebruik daarvan? Het kabinetsbeleid is dat open standaarden worden toegepast, tenzij een overheidsorganisatie redenen heeft om dat niet te doen. We werken met het thema "pas toe of leg uit". We stellen het pas verplicht als dit het sluitstuk is van het instrumentarium. Het wetsvoorstel voorziet erin dat de toepassing van open standaarden verplicht wordt. Daarmee kunnen we de goede werking daarvan organiseren. De noodzaak tot een aanwijzing of anderszins zal in de AMvB worden opgenomen, maar in principe werken we dus met de open standaarden.
Dan de evaluatievraag van mevrouw Dekker: kan het in plaats van na vijf jaar al na drie jaar? Natuurlijk zal het zo zijn dat dienstverleners of aanbieders van inlogmiddelen in de komende jaren gefaseerd aan zullen sluiten op het stelsel. De vraag is of het na drie jaar al voldoende volgroeid is om dat te doen. We denken dat het effectiever is om het na vijf jaar te doen dan na drie jaar. We vinden het wel van belang dat er tussentijds monitoring plaatsvindt op de werking van het stelsel, om ervoor te zorgen dat we zien wie zich meldt als aanbieder van inlogmiddelen, hoe dat gaat, hoe dat werkt, enzovoorts, enzovoorts.
Mevrouw Dekker-Abdulaziz (D66):
Dank voor het antwoord. Op zich is monitoring een goed idee. Is de staatssecretaris bereid om meteen een jaarrapportage naar de Kamer te sturen naar aanleiding van de monitoring?
Staatssecretaris Van Huffelen:
Ja, zeker.
Dan de vraag van mevrouw Leijten over het rapport van Bits of Freedom. Zij maakte een punt en stelde niet per se een vraag. In dat onderzoek is vastgesteld dat een tiental gemeenten zich nog niet voldoende houdt aan de privacyrichtlijnen. Gelukkig gaan er dingen goed, maar er zijn ook nog zaken die niet goed gaan. Opvolging van adviezen van de toezichthouders worden nu verder uitgewerkt door deze gemeenten. Dat betekent dat er hard wordt gewerkt om de aanbevelingen van Bits of Freedom, die ik ondersteun, daadwerkelijk uit te voeren. Ik zal ervoor zorgen dat er een gesprek blijft tussen ons en de Vereniging van Nederlandse Gemeenten, om ervoor te zorgen dat de gemeenten die nog niet voldoen aan alle vereisten daadwerkelijk worden geholpen om dat wel te gaan doen.
Dan kom ik op de laatste vier korte blokjes. Allereerst een vraag van mevrouw Rajkowski: klopt het dat de keuze voor open dan wel closed source in lagere regelgeving terechtkomt en wordt voorgehangen? We hebben het conceptbesluit in december 2021 aan u voorgelegd. Daarin worden de verplichtingen van partijen opgenomen. Daarin wordt ook aangegeven welke belangen worden afgewogen. Er staat ook dat partijen voor de aangewezen processen open source moeten gebruiken. Verder is vastgelegd dat bij die aanwijzingen rekening wordt gehouden met veiligheid en continuïteit. We hebben dat dus inderdaad in de AMvB's aangegeven.
Dan is er de vraag van mevrouw Dekker over het interbestuurlijk toezicht. Het gaat vooral over de vraag of het mogelijk is om toezicht te houden op de publieke dienstverleners. Uiteraard is de vakminister verantwoordelijk voor interbestuurlijk toezicht. Bij BZK zijn wij dat voor de Rijksdienst voor Identiteitsgegevens en Logius, de partijen die de DigiD beheren. Voor gemeenten en waterschappen geldt dat de provincies op hen toezicht houden. Naar aanleiding van eerdere vragen vanuit de VNG en IPO heb ik de mogelijkheid besproken van een directer toezicht vanuit het Rijk om te zorgen dat dat beter en meer adequaat is, omdat het voor een aantal van de provincies en waterschappen heel lastig was om dat toezicht goed vorm te geven. We hebben daar met elkaar een oplossing voor gemaakt. Die ligt nu voor bij het bestuur van IPO en de VNG. Ik heb geen signalen dat ze daar niet mee zullen instemmen, maar verwacht nog wel een reactie. Ik zal zorgen dat uw Kamer dan daarover wordt geïnformeerd. Het idee is om dit toezicht op onderdelen wat meer centraal te leggen.
Dan was er nog de vraag van mevrouw Dekker of ik weet of gemeenten in staat zijn om de WDO tijdig te kunnen uitvoeren. Voor de aansluiting van gemeenten op het stelsel van het digitaal inloggen wordt een aansluitschema afgesproken en vastgelegd in een ministeriële regeling. Ik zal dat uiteraard in goed overleg met de dienstverleners doen. Dat aansluitschema gaat uit van een geleidelijke aansluiting van alle dienstverleners in de komende periode, in principe van 1 april 2023 tot 1 april 2026. Om hen daarbij te ondersteunen zorgen we voor aanvullende advisering. De start en doorlooptijd vanaf 1 april is vooral om te zorgen dat we daadwerkelijk gemeenten in staat stellen om aan te sluiten. We hopen natuurlijk dat zo veel mogelijk partijen dat zo snel mogelijk zullen doen.
Dan was er nog een vraag van mevrouw Dekker over big tech. Volgens mij heb ik die al beantwoord, maar ik loop het nog even door. Hoe zorgen we ervoor dat we allemaal niet alleen maar met middelen van de big tech kunnen inloggen? Dat kan alleen maar wanneer zij voldoen aan alle vereisten. Wij zullen er altijd voor zorgen dat er altijd ook een publiek inlogmiddel blijft, zowel voor inwoners als voor burgers en bedrijven. Die vraag was nog gesteld door de heer Bontenbal. Op die manier is het niet noodzakelijk om gebruik te maken van een privaat inlogmiddel, maar kun je ook een publiek inlogmiddel kiezen.
Dan is er nog de vraag van de heer Bontenbal hoe we onbetrouwbare partijen kunnen weren. Natuurlijk worden ze alleen als er wordt voldaan aan de toegangseisen. Die erkenning kan altijd worden geweigerd, als er sprake is van staatsveiligheid of cyberveiligheid. We toetsen vooraf en we zorgen dat er goed wordt gekeken naar deze partijen. Er zijn natuurlijk allerlei instrumenten om te zorgen dat partijen waarvan wij niet vinden dat die zouden kunnen meedoen, daadwerkelijk worden geweerd.
Dan kom ik op het laatste thema, opgebracht door een tweetal partijen, in ieder geval door GroenLinks. Het gaat over inclusie: is het voor iedereen mogelijk om mee te doen? We hebben aangegeven dat het altijd mogelijk moet zijn voor mensen om geen gebruik te maken van een digitale inlogmethode. U zei er nog bij: maar dan moet het ook nog wel goed geregeld zijn, zodat je niet als gevolg daarvan heel veel verschillende formulieren of heel veel verschillende loketten enzovoort, enzovoort. Dat moeten we goed doen. Dat is van belang, niet alleen in dit geval maar ook op allerlei andere vlakken. Als er sprake is van het gebruikmaken van digitale inlogmiddelen, is het van belang dat er een mogelijkheid is voor mensen om daar hulp bij te krijgen. Dat gebeurt nu bijvoorbeeld doordat mensen bij de bibliotheek terechtkunnen en daar geholpen kunnen worden. Ik vind het dus niet alleen van belang om een alternatief te hebben voor mensen die helemaal geen gebruik willen maken van die digitale methodes, maar ook om te zorgen dat mensen die dat wel willen maar hulp nodig om dat goed te kunnen doen, daarbij worden ondersteund. Dan ben ik volgens mij door alle onderwerpen heen.
De voorzitter:
Dank u wel. Mevrouw Bouchallikh, GroenLinks.
Mevrouw Bouchallikh (GroenLinks):
Fijn dat de staatssecretaris ook specifiek oog heeft voor deze groep. Mijn vraag ging nog wel over een zinssnede in de memorie waarin werd gesteld dat het "vooralsnog" mogelijk zou moeten blijven dat alternatieven mogelijk zijn: waarom is dat er überhaupt ingezet? Want ik hoor de staatssecretaris vaker zeggen dat dat überhaupt geen vraag is. Vandaar ook de verrassing en dat ik daar toch nog even bij stil wilde staan. Kan de staatssecretaris daar iets over zeggen?
Staatssecretaris Van Huffelen:
Als dat woord er daadwerkelijk nog in staat, dan moeten we dat eruit halen, want de kern is dat het altijd gewoon mogelijk moet blijven om gebruik te maken van een niet-digitale manier om je zaken te doen met de overheid en daarnaast hulp te krijgen als je dat nodig hebt. Ik zou daar graag op terugkomen in de tweede termijn, maar als dat woord er nog in staat, dan moeten we ervoor zorgen dat het er niet meer in staat.
De voorzitter:
Dan wil ik de staatssecretaris bedanken voor het beantwoorden van de vragen. Daarmee zijn we aan het einde gekomen van de eerste termijn. Ik kijk even of er behoefte is aan een tweede termijn. Dat is het geval. Ik schors de vergadering voor een enkel moment en dan gaan we over naar de tweede termijn aan de kant van de Kamer.
De vergadering wordt enkele ogenblikken geschorst.
De voorzitter:
Aan de orde is de tweede termijn aan de kant van de Kamer. Ik geef als eerste het woord aan mevrouw Leijten van de SP.
Mevrouw Leijten (SP):
Voorzitter. Zo zie je maar hoe belangrijk het is dat je wetten behandelt. Want wat bedoelt iemand nou met iets? Ik vroeg aan de staatssecretaris wat zij nou precies bedoelde met: "Daarmee wordt van partijen geëist dat zij een beweging inzetten naar het gebruik van open source." Iets is open source of iets is het niet. Hoe ziet zij die "beweging inzetten" voor zich? Daar kwam geen antwoord op anders dan: ja nee, dat is de bedoeling. Er blijft een vaagheid over na dit debat. De Raad van State heeft ons ook gewaarschuwd niet te abstract te worden over de hoofdelementen, zoals ze dat noemden, bijvoorbeeld: wat bedoel je nou met "open source" of "privacy by design"? Als je dat niet duidelijk maakt, dan heb je het dus over zoogdieren in plaats van over mensen — man en paard. Dan zegt de staatssecretaris: ja, nou ja, een auto is ook een auto. Dat is nou precies het duidelijker aangeven van het verschil. Als je "voertuigen" zou zeggen, dan vragen wij: hebben we het over een motor, een fiets, een step of een auto? Nee, het gaat over auto's, die op de weg rijden, die vier wielen, een deur, een stuur en een veiligheidsgordel hebben. Dan is het minder abstract dan wanneer je het over vervoersmiddelen hebt. De staatssecretaris wil dus zeggen: ik heb in de abstractie gekozen voor een auto. Maar dat is natuurlijk precies het verkeerde voorbeeld.
We hebben het hier uiteindelijk wel over de data van mensen, die gebruikt kunnen worden, die een private organisatie verwerft als je inlogt bij een overheid. Op de vraag of je die stap wil in het huidige tijdsgewricht — dat fundament waar ik het al over had — heb ik geen bespiegeling gezien van de staatssecretaris. Weten we nou waar we ja tegen zeggen? Weten we wat de gevolgen daarvan zijn en of mensen op een veilige manier digitaal met de overheid kunnen communiceren als dat straks door een private organisatie wordt gedaan? Volgens mij kunnen we daar niet ja op zeggen. Dat is de intentie, maar we kunnen er niet ja op zeggen. De hoofdelementen zijn vaag omschreven.
Het oordeel op het amendement zal ik nog krijgen. Dat wordt overigens gewijzigd, omdat mevrouw Dekker-Abdulaziz heeft gevraagd of ze mee mag ondertekenen. Volgens mij hebben wij het nu strakker geformuleerd. De staatssecretaris zegt nu: we willen dat de data met eigenschappen van je, de dingen die geld waard zijn, eigenlijk niet meer gebruikt worden, ook niet commercieel, maar dat die verdwijnen. Dat staat niet in de wet, maar de staatssecretaris zei het wel. Eigenlijk zouden we daar dan ook een amendement voor moeten maken als dat de bedoeling is. Noodzakelijke gegevens, zoals dat er contact is geweest tussen mevrouw Leijten en het UWV, wat je wil aantonen als het UWV zegt dat een bezwaar niet ontvankelijk is bij wijze van spreken, zou je namelijk ook nog met een afschrift kunnen doen, dat iemand in de mail krijgt. Dan hoef je die gegevens niet op te slaan. Het is heel goed dat je die niet mag verhandelen, maar dat je die niet meer kan gebruiken ... Wat als de leverancier van het inlogsysteem ook allerlei andere dingen doet, bijvoorbeeld commerciële dingen? Dan wordt het straks in de eigen organisatie opnieuw gebruikt. Een organisatie als Google zou dat kunnen doen. Die zouden vervolgens op maat toegesneden producten kunnen aanbieden. Dat is handig, want ze weten dat je werkzoekende bent. Misschien krijg je dan wel door Google gepromote vacaturesites. Dat kan handig zijn, maar die data zijn wel verkregen omdat je met een overheidsdienst bezig bent en niet omdat je zegt: "Hé, dat is handig! Google, wilt u mij helpen bij het zoeken van een baan?". En dat is wel waar we het hier over hebben.
Voorzitter. Ik vind het een beetje een rare motie. Je kunt dat verzoek natuurlijk doen: mogen we eerst een ministeriële regeling en dan stemmen? Ik heb dat net gevraagd aan de staatssecretaris, maar toen zei ze: die is er nog niet en ik weet ook niet op welke termijn die er is. Je kan van een ministeriële regeling een algemene maatregel van bestuur maken en die voorhangen in de Kamer, zodat je er zicht op hebt. Maar eigenlijk zou ik gewoon willen zeggen: kom maar door met die ministeriële regeling en dan gaan we daarna over de wet stemmen. Daarom heb ik de volgende motie.
De Kamer,
gehoord de beraadslaging,
constaterende dat de Raad van State bij de novelle op de Wet digitale overheid waarschuwt dat bij te veel abstract omschreven hoofdelementen "het parlement als medewetgever zich geen voorstelling kan maken van waarmee het instemt";
van mening dat het nodig is te weten hoe de regering bij ministeriële regeling hoofdelementen als "open source" en "privacy by design" vormgeeft;
verzoekt de regering de ministeriële regeling naar de Kamer te sturen voordat wij over het wetsvoorstel stemmen,
en gaat over tot de orde van de dag.
Mevrouw Leijten (SP):
Ik moet nog even een woordje toevoegen.
De voorzitter:
Dank u wel. Dan gaan we naar mevrouw Dekker-Abdulaziz van D66.
Mevrouw Dekker-Abdulaziz (D66):
Dank, voorzitter. Dank aan de staatssecretaris voor de toezegging om een monitor met een jaarlijkse rapportage naar de Kamer te sturen. Dat stelt gerust.
Het stelt ons ook gerust dat geaggregeerde data en metadata in deze wet zitten. Daarom is ons amendement niet nodig. Dat ga ik dus niet indienen. Ik heb het amendement van mevrouw Leijten wel gesteund.
Voorzitter. Ten slotte wil ik zeggen dat je bij closed source ook niet de garantie hebt dat de code base bijgehouden wordt. Bij open source heb je in ieder geval meer ogen om mee te kijken. Daarom ga ik een motie indienen. Ik hoop dat de Kamer mij steunt om met deze motie een kleine stap vooruit te zetten.
De Kamer,
gehoord de beraadslaging,
overwegende dat open source kan zorgen dat software veiliger en betrouwbaarder wordt door gemeenschappelijke controle;
overwegende dat onder de Wet open overheid ook alle overheidsbroncode valt;
verzoekt het kabinet om open source niet als minimale vereiste op te nemen in de Wet digitale overheid, maar met inachtneming van het "open source, tenzij"-principe,
en gaat over tot de orde van de dag.
Mevrouw Dekker-Abdulaziz (D66):
Dank je wel.
De voorzitter:
Dank u wel. Dan gaan we naar mevrouw Rajkowski van de VVD. Gaat uw gang.
Mevrouw Rajkowski (VVD):
Dank, voorzitter. Als we de publieke tribune leeg willen hebben, moeten we heel vaak "open source" zeggen. Er zijn nog een paar strijders op de publieke tribune aanwezig.
De voorzitter:
Dat zijn nieuwe mensen.
Mevrouw Rajkowski (VVD):
Dat zijn nieuwe mensen! De publieke tribune zat vol toen we begonnen met dit debat. Dat is misschien iets voor onszelf, maar goed.
Voorzitter. We zeggen dat het belangrijk is dat we delen van apps, codes en systemen online gaan zetten. Ik heb het dan over open source of open standaarden. Die kunnen er uiteindelijk aan bijdragen dat we juist meer zeggenschap hebben. De overheid wordt minder afhankelijk van een paar leveranciers doordat die codes voor een gedeelte openbaar zijn. Je kunt dan ook gevoeligheden detecteren en makkelijker patchen. Ik maak me nog wel zorgen over het hoe en wat. Wij zijn geen opensource-experts. Je merkt ook hier weer dat wij daar een beetje mee worstelen. Ik heb ondertussen wat op Twitter gegooid en ik heb daar wat leuke reacties op gekregen. Eén iemand gaf aan: bij open source is het belangrijk dat vrijwilligers niet de basis worden, maar een zinvolle toevoeging. Volgens mij is dat een beetje de kern van het debat dat wij net voerden over de community. Dus graag hoor ik nog wel van de staatssecretaris hoe zij dat dan gaat organiseren. Want daar zit het 'm voor ons uiteindelijk in. De VVD is helemaal geen tegenstander van open source, we vinden het een hele mooie tool, maar met "blindstaren op" bedoelen we dat we het wel goed met elkaar moeten regelen om het te laten slagen.
Voorzitter, mijn laatste vraag. Is DigiD eigenlijk open source of moet dat dan meer open source worden? Of wordt er voor de publieke oplossing een uitzondering gemaakt?
De voorzitter:
Dank u wel. U zei echt "leuke reacties op Twitter"? Dat is best bijzonder in deze tijd.
Mevrouw Rajkowski (VVD):
Mensen waren best aardig. Het kan, het kan!
De voorzitter:
Het zou mooi zijn als we vaker positief op Twitter zijn. Dan geef ik het woord aan mevrouw Van Weerdenburg van de PVV.
Mevrouw Van Weerdenburg (PVV):
Dank, voorzitter. Ik ga eerlijk zijn: ik ben teleurgesteld. Ik heb veel vragen gesteld. Ik vond de wetswijziging onduidelijk, onhelder. Ik dacht dat het aan mij lag, maar dat is niet zo. Eigenlijk is de verwarring bij mij alleen maar groter geworden. Want zoals ik al in eerste termijn zei: de wetstekst lijkt te hinten op de invulling van open source die nodig is voor transparantie volgens het eigen standaardbeleid van de overheid: gewoon publiceren, iedereen kan dan zien of het oké is. De memorie van toelichting hinkt op die andere gedachte van: nee, iedereen moet het gratis kunnen gebruiken, aanpassen enzovoort, enzovoort. Ik heb gevraagd welke het nou is. Nou komt er een soort mix, en soort compromisvoorstel, ineens, out of nowhere, uit het niets: publiceren is voldoende, maar daar moet wel een community omheen zitten. Als we dan een beetje doorvragen — wat is dan die community en wat is dan genoeg? — dan komt er geen enkel vergezicht. Dan heb ik heel veel moeite om in te schatten waar we zo meteen ja tegen moeten zeggen. Daar heb ik echt een probleem mee. Nogmaals, ik wil de WDO niet vertragen, want een heleboel partijen zitten erom te springen en het duurt al zo lang. Maar ja, geef ons iets, een vergezicht!
Ik ga het nog één keer proberen wat die community betreft. Laat ik een voorbeeld geven. Microsoft heeft heel veel opensourceprojecten. De projectleiders daarvan zijn Microsoftmedewerkers. Natuurlijk werken ook vrijwilligers daaraan, en die veranderen er dingen aan, maar de Microsoftmensen bepalen wat wel en wat niet veranderd wordt. De grote techbedrijven — dat zeg ik even in de richting van mijn collega van D66 — houd je niet buiten de deur, want alle grote techbedrijven hebben tegenwoordig open source uitgebracht. Ze zijn zelfs een hele grote drijfveer in de opensourcebeweging. Ook Facebook, Meta, de grote boeman hier altijd, heeft zijn framework voor de userinterface jaren geleden al ge-opensourcet, en het is nu een van de meest gebruikte. Ook de grootste programmeertalen en de frameworks van Microsoft zijn open source. Dus enerzijds houd je de grote techbedrijven niet buiten de deur. Overigens word ik niet betaald door de grote techbedrijven, maar dit is een illustratie ervan dat we langs elkaar heen praten.
Wat is dan de community? Hoeveel mensen zijn dat? Moeten het vrijwilligers zijn? Want je kunt er best wel ... Ik snap nu dat een heleboel bedrijven zicht niet zo druk maken om deze lelijke novelle, want ze kunnen er wel omheen werken, bijvoorbeeld door het op het moment van publicatie ook op GitLab te zetten. Een paar van je medewerkers zijn dan de community. Ik snap nu dus wel waarom ze zich geen zorgen maken. Maar dat is dus niet wat we willen met z'n allen. Dus waarom nou niet gewoon het eigen overheidsbeleid volgen en zeggen: prima, je mag toetreden, maar publiceer de code, zodat we weten dat het akkoord is. De PVV vindt in ieder geval dat het voor adequate transparantie — dat was ook de wens van de Eerste Kamer — voldoende is om de broncode van het implementatiegedeelte van de software te publiceren en te openbaren. En dat moeten we dan ook gewoon verplicht stellen met deze wetswijziging: voor nieuwe aanbieders meteen en voor bestaande aanbieders eventueel met een korte overgangstermijn om de code te kunnen schonen of ontwarren. Dat is in mijn ogen niet te veel gevraagd. En nogmaals, niet alles hoeft gepubliceerd. Het securitygedeelte kan best wel achterwege blijven, maar wat er gedaan wordt met de persoonsgegevens en hoe dat werkt, dat moet gewoon openbaar worden. Nogmaals, ten aanzien van de hele discussie van "dat soort open source is er nog niet": op het moment dat closed source er wel is en je dat publiceert, is het open source. Zo simpel is het. Zo simpel zou het moeten zijn. Het securitygedeelte hoeft dus niet per se, ook om het kwaadwillenden niet te makkelijk te maken.
Tot slot: ik heb er heel grote twijfels over of dit voldoende is voor de Eerste Kamer. Ik denk het niet. Eerlijk gezegd heb ik er grote moeite mee om na dit debat deze novelle te laten passeren. Ik overweeg in ieder geval één amendement om de "open source"-kwalificatie toch helderder te maken. Ook bedrijven die misschien zitten te wachten om een product aan te bieden, moeten namelijk weten waar ze aan toe zijn. Dus nog één keer: is het voldoende om de code te publiceren en daar een community omheen te hebben, of moet er ook bij dat het gratis beschikbaar gesteld wordt? Dus mag het wel onder een restrictieve licentie als die community er maar omheen zit? Dat tot slot.
De voorzitter:
Dank u wel. Dan gaan we luisteren naar mevrouw Bouchallikh van GroenLinks.
Mevrouw Bouchallikh (GroenLinks):
Dank u wel, voorzitter. Wanneer is een stap vooruit een stap genoeg? Dat is voor mij de vraag die boven deze discussie hangt. GroenLinks heeft eerder tegen deze wet gestemd en daarbij samen met D66 nog wel een amendement ingediend waarmee er een zwaardere voorhang komt, zodat wij wat meer zicht hebben op de AMvB's. Dat is wat ons betreft een goede stap vooruit. Dat is deze novelle ook. Wij hebben er nog wel vraagtekens bij of dat genoeg is. Ik dank dus ook mijn collega voor de goede discussie hier vandaag. We zullen dat zeker meenemen in onze uiteindelijke afweging bij de stemming.
Dan heb ik één motie, voorzitter.
De voorzitter:
Voordat u verdergaat, is er een vraag van mevrouw Leijten.
Mevrouw Leijten (SP):
Ik heb het niet helemaal scherp. Ik was natuurlijk niet bij de eerdere wetsbehandeling. Misschien kan mevrouw Bouchallikh deze vraag ook niet beantwoorden, hoor. AMvB's een zwaardere voorhang geven is goed. Dan kan je eventueel nog wat doen in die voorhangtijd, al leidt dat vaak niet echt tot iets. Maar is het ook zo dat de ministeriële regelingen AMvB's zijn geworden? Of blijven het ministeriële regelingen? Want die gaan natuurlijk helemaal buiten ons zicht. Die worden gepubliceerd. Dat is precies waar de Raad van State op wijst. We zouden de ministeriële regelingen ook nog kunnen opwaarderen naar AMvB's die voorgehangen worden. Dan zou mijn motie kunnen vervallen. Ik heb net tijdens het debat die motie zitten typen, maar daar zouden we ook nog aan kunnen denken. Dat zou namelijk wel betekenen dat we hier een nieuw debat kunnen voeren zodra de ministeriële regeling af is. Tegelijkertijd blijft wel het punt staan: waar zeggen we nou precies ja tegen als we voor dit wetsvoorstel stemmen? Maar dat is eigenlijk een andere vraag. Mijn vraag is dus: zijn de ministeriële regelingen ook meegenomen in dat amendement over die AMvB's met zware voorhang? Als ik u daarin overvraag, dan moet u het ook zeggen hoor, want ik weet het ook niet. Ik zou het eigenlijk ook op orde moeten hebben.
Mevrouw Bouchallikh (GroenLinks):
Eén ding dat ik als beginnend Kamerlid heb geleerd, is dat je nooit moet bluffen. Ik ga dus niet doen alsof. Ik weet het niet. Dat is ook precies mijn dilemma. Ik ben dus ook blij met deze vragen, want ik ben constant aan het zoeken: wanneer is het genoeg, en hebben wij in het verleden voldoende stappen daarin gezet? Ik vind het bij deze wetsbehandeling, en ook bij eerdere wetsbehandelingen, oprecht moeilijk. Dan is er ooit een goed idee geweest, en dan wordt het uiteindelijk in gang gezet en zitten we hier te praten over iets waarvan ik denk: was dit nou de bedoeling? Dat zijn ook de vragen en de beoordelingskaders die ik meeneem in het afwegen hiervan, gelukkig ook met ondersteuning. Dat wilde ik nog wel even meegeven, want als ik de staatssecretaris hoor, zie ik wel dat er stappen vooruit worden gezet. Tegelijkertijd: als de Eerste Kamer iets terugstuurt omdat het nog niet voldoet, vind ik het toch ingewikkeld om te kijken in hoeverre het voldoende is ingesteld op wat daar is gezegd. Dat is ook gewoon een kwestie van nog niet helemaal de kunde hebben om dat in te schatten. Dat blijft een proces.
De voorzitter:
De motie.
Mevrouw Bouchallikh (GroenLinks):
Los daarvan, ongeacht de uitkomst, hebben wij wel een motie om er hopelijk aan bij te dragen dat het iets beter wordt dan het nu is. De motie gaat over toegankelijkheid. Die luidt als volgt.
De Kamer,
gehoord de beraadslaging,
constaterende dat er een grote groep mensen is die moeite heeft met het gebruik van elektronische middelen;
overwegende dat het daarom van groot belang is dat iedereen zich altijd ook op niet-digitale wijze kan identificeren, zowel nu als in de toekomst;
verzoekt de regering er zorg voor te dragen dat er altijd een mogelijkheid zal bestaan tot niet-digitale identificatie,
en gaat over tot de orde van de dag.
Mevrouw Bouchallikh (GroenLinks):
Dan wil ik tot slot nog even herhalen wat ik eerder heb aangegeven. Ik heb de staatssecretaris vaker horen zeggen dat ze hier echt zorg voor zal dragen. Dat is voor mij een manier om het even vast te leggen. Dan hoop ik dat ik er niet meer opnieuw naar zal hoeven vragen.
Dank u wel.
De voorzitter:
Dank u wel. Er is een vraag van mevrouw Rajkowski over de motie, denk ik.
Mevrouw Rajkowski (VVD):
Niet om vervelend te doen, maar dit is volgens mij echt buiten de orde van de vergadering. Want anders kan ik ook nog wel allemaal onderwerpen in gaan brengen over het onderliggende wetsvoorstel of over het onderwerp ten brede. Volgens mij is het trouwens ook overbodig omdat we twee weken geleden over een soortgelijke motie hebben gestemd. Maar goed, ik ga niet over het geven van het oordeel. Maar volgens mij is dit toch echt buiten de orde van de vergadering, helaas.
De voorzitter:
Ik heb een suggestie voor wat u misschien kunt doen. Er komt nog een debat over de digitale zaken op hoofdlijnen. U zou de motie kunnen aanhouden, zodat er meer een debat over dit onderwerp gevoerd kan worden. Die suggestie geef ik u mee.
Mevrouw Bouchallikh (GroenLinks):
Ik wil toch wel even hierop reageren, voorzitter. De aanleiding voor mij om het hierover te hebben, is een zin die ik letterlijk heb geciteerd uit de memorie. Dan kunt u vinden dat het misschien niet in de reikwijdte van dit debat valt; daar kunnen de meningen over verschillen. Maar het komt wel uit een van de stukken die vandaag op de agenda staan. Dus vandaar dat ik de motie wel vandaag indien. Ik snap dat ik misschien een andere inschatting maak dan uzelf zou maken, maar het is wel wat ik heb gedaan.
Mevrouw Rajkowski (VVD):
Dat begrijp ik. Alleen is er volgens mij hier geen discussie over "wel of niet waar". Het gaat hier om een novelle. Dat betekent dat het enige waar wij het hier in de Tweede Kamer over gaan hebben, is wat de Eerste Kamer aan vragen heeft gesteld. Dat ging niet over dit onderwerp; volgens mij is dat gewoon vrij feitelijk het geval. Dat is niet om vervelend te doen, maar als we dit bij dit soort debatten gaan doen, dan voorzie ik een soort vrijheid van allerlei moties en instrumenten, terwijl we juist meer willen kaderen en focussen tijdens debatten. Dus ik doe het niet vanwege het onderwerp, maar ik vind het juist zo fijn als we debatten wat scherper kunnen voeren op wat er voorligt.
Mevrouw Bouchallikh (GroenLinks):
Dat snap ik heel goed en als we voortaan zo met elkaar gaan werken, wil ik daar best in tegemoetkomen, maar dan wil ik wel dat we dat allemaal doen. Dat is ook een beetje de vraag die ik soms heb, want ik heb één specifieke zin uit het stuk gehaald dat wel op de agenda staat en daar heb ik een motie over ingediend. Ik denk dat ik de motie nu wel handhaaf en dan zal ik de volgende keer misschien wat beter daarop letten. Ik hoop dat we dan met z'n allen gaan kantelen, want anders hangt het af van een of twee mensen hier. Ik denk dat dat ook niet is hoe het werkt.
De voorzitter:
Dank u wel. Dan gaan we naar de heer Bontenbal, CDA. Weet in ieder geval dat wij ook binnen de commissie voor de Werkwijze bezig zijn met kijken hoe wij omgaan met moties en appreciaties. Er gaat dus in ieder geval ook vanuit mij enige scherpte komen richting Presidium om te kijken hoe we het aantal moties met elkaar wat kunnen verminderen, maar dat staat even los van de discussie die net ontstond. De heer Bontenbal, gaat uw gang.
De heer Bontenbal (CDA):
Dank, voorzitter. Ik heb geen moties. Ik had wel zes vragen. Een heel aantal daarvan is beantwoord of enigszins beantwoord, maar gaandeweg dit debat ben ik me inderdaad wel wat zorgen gaan maken over hoe wij sturen op open source en met name over de motivatie daarachter. De staatssecretaris lijkt te zeggen dat open source volledige transparantie plus een community is. Als ik het goed heb begrepen, hebben we eigenlijk niet goed gedefinieerd wat die community nou precies is. Dan krijg ik toch de indruk dat open source als middel belangrijker wordt gemaakt dan het doel, namelijk dat inzichtelijk is wat er gebeurt bij dit soort inlogmiddelen. Ik zou daar dus nog een reflectie op willen. Dit punt laat mij wel wat confused uit dit debat gaan. Ik weet ook niet precies wat ik daarmee ga doen. Ik ben erg benieuwd naar eventuele amendementen van collega's hierop. Ik vind het heel interessant om daarnaar te kijken. Ik zal ook goed kijken naar de motie van D66, die hier vergelijkbare dingen over zegt. Ik zou dus ook tegen de collega's willen zeggen: laten we even kijken wat er nog te repareren valt. Maar ik heb hetzelfde ongemak als een aantal collega's, met name over het sturen op open source, terwijl de reden mij nog niet helemaal duidelijk is.
Dank u wel, voorzitter.
De voorzitter:
Dank u wel. Daarmee zijn we aan het einde gekomen van de tweede termijn van de kant van de Kamer. De staatssecretaris heeft aangegeven ongeveer tien minuten nodig te hebben om zich voor te bereiden.
De vergadering wordt van 17.25 uur tot 17.36 uur geschorst.
De voorzitter:
Ik geef het woord aan de staatssecretaris voor haar tweede termijn.
Staatssecretaris Van Huffelen:
Dank u wel, voorzitter. Ik had nog een aantal vragen liggen die ik graag wil beantwoorden. Ik ga uiteraard ook in op de moties en amendementen.
De eerste vraag komt nog uit de eerste termijn. Die ging over het bewaren van de gegevens. Dat was een vraag van mevrouw Leijten en mevrouw Dekker-Abdulaziz. Het ging over het vraagstuk of we in dit besluit nou gaan regelen in welke soort van ... Nee, ik moet het even goed zeggen: welke soort van gegevens mogen worden bewaard en hoelang; wat wordt er geregeld? Het uitgangspunt daarbij is dataminimalisatie, dus geen persoonsgegevens gebruiken die je niet nodig hebt. Het is zo dat we alleen maar gegevens willen gebruiken die kunnen helpen en ondersteunen bij het oplossen van problemen. Er worden dus geen persoonsgegevens bewaard, behalve de gegevens over het inloggen. Die moeten er vooral toe dienen dat er nog kan worden teruggezocht wanneer iemand bij welk soort van organisatie heeft ingelogd. Maar er wordt niet gelogd wat er dan precies met die organisatie is gewisseld.
De vraag van GroenLinks was of het woordje "vooralsnog" uit de memorie van toelichting kan worden gehaald. In feite is het antwoord op die vraag: ja, met dit debat. Dit debat is ook wetsgeschiedenis. Daarmee is dat woordje er dan voorlopig uit, omdat het de bedoeling is dat het altijd voor mensen mogelijk moet blijven om niet digitaal met de overheid in contact te zijn en te treden en dingen te regelen die geregeld moeten worden, zoals ik in het eerdere antwoord al heb aangegeven. Het kan daarbij zowel om belastingen, uitkeringen of wat dan ook gaan.
Dan was er de vraag van mevrouw Dekker over de open community. Dat is eigenlijk een vraag die ook door mevrouw Rajkowski is gesteld en door een aantal anderen ook in de tweede termijn. Die vraag was: kunt u iets scherper zijn over wat u nou bedoelt met die community? We hebben het over opensourcesoftware. Die willen we zo veel mogelijk inzetten. Beter gezegd: als het enigszins kan, willen we ervoor zorgen dat we zo goed mogelijke producten en diensten krijgen, zo veilig en betrouwbaar mogelijk. Dat betekent dus dat de broncodes openbaar moeten zijn, maar ook dat er een community moet zijn. De vraag daarover was: wat moeten we ons voorstellen bij zo'n community? Ik heb gezegd dat we dat beter gaan definiëren in de ministeriële regeling. Belangrijk is wat mij betreft dat die community bestaat uit een aantal personen die niet noodzakelijkerwijs vrijwilligers hoeven te zijn. Zij houden zich bezig met het verbeteren van software. Dat kunnen dus ook mensen zijn die bij het bedrijf werken dat de code heeft ontwikkeld. Het idee is wel dat het een open community is, dus dat ook anderen mee kunnen doen en dat die groep van enige omvang is en vooral gericht is op het beter maken van de software die gebruikt wordt. De community hoeft dus niet alleen maar uit vrijwilligers te bestaan of mensen die het alleen maar gratis doen, maar de community moet wel zodanig zijn dat die open is en dat anderen mee kunnen doen. Op die manier organiseren we dat er voldoende vanuit verschillende hoeken wordt gekeken naar het verbeteren van de software.
Het onderwerp open source is natuurlijk niet iets wat we voor het eerst bij deze wet aan de orde hebben. De rijksoverheid heeft al eerder gezegd dat ze dat een weg vindt die ze moet gaan, omdat de communis opinio is dat open source helpt om betere software te maken. Het zorgt ervoor dat die beschikbaar is voor andere partijen en dat ook kleinere partijen in de markt kunnen figureren en aantreden. Dat is eigenlijk de kern daarvan. Nogmaals, wij gaan dit verder beschrijven in de ministeriële regeling.
Mevrouw Van Weerdenburg (PVV):
Dit is eindelijk een soort van invulling, maar in de laatste zin kroop er toch weer iets bij. Het gaat om het publiceren van de broncode en de community met de beschrijving die de staatssecretaris zojuist gaf. Is daar dan ook nog bij verplicht dat de broncode gratis door anderen ...? Er mag dus wel een restrictieve licentie op zitten, als die community maar geregeld is.
Staatssecretaris Van Huffelen:
Zeker. Het hoeft niet gratis te zijn. Het is ook niet altijd gratis. Er bestaat overigens wel gratis opensourcecode, maar het hoeft niet gratis te zijn. Daarmee hoop ik ook uw tweede vraag te hebben beantwoord; ik zou daarop terugkomen.
Dan de vraag van mevrouw Rajkowski of DigiD open source is. Dat is op dit moment niet zo. Het werkt niet volledig met opensourcesoftware. Dat komt omdat het op dit moment nog niet voor alle processen veilig kan worden gebruikt. Maar voor DigiD moet dit natuurlijk ook gaan gelden, net zo goed als dat voor andere inlogmiddelen geldt. Het ingroeipad daarvoor willen we in de komende tijd vormgeven.
Dan ga ik naar de moties. Ik begin met de motie op stuk nr. 10 van mevrouw Leijten, die zegt dat de ministeriële regeling eerst naar de Kamer moet worden gestuurd voordat de Kamer over het wetsvoorstel kan stemmen. Dat is eigenlijk een omkering van wat we normaal doen, namelijk dat er eerst een wet wordt gemaakt en dat daarna onderliggende wetgeving in de vorm van AMvB's of ministeriële regelingen volgt. Bij dit wetsvoorstel zijn dus ook AMvB's, die inmiddels al ter voorhang naar u zijn gestuurd. Het idee is dat we eerst beginnen met de contouren van de wet en die daarna verder invullen. Wat mij betreft is het dus ook niet verstandig om eerst de ministeriële regeling te maken en dan pas te stemmen over de wet. Ik begrijp heel goed dat het belangrijk is dat de ministeriële regeling voor jullie goed en inzichtelijk wordt, zodat jullie weten wat er precies wordt geregeld rondom open source, de community enzovoort. Ik wil daarom aanbieden dat ik de ministeriële regeling actief naar u zal sturen. Wanneer u vindt dat die ministeriële regeling niet voldoet aan de eisen die u daaraan zou willen stellen, kunnen we er daarna uiteraard met elkaar over van gedachten wisselen. Mijn voorstel is dus om de ministeriële regeling actief op te sturen, maar uiteraard nadat er eerst gestemd is over de wet. Ik wil deze motie dan ook ontraden.
Mevrouw Leijten (SP):
Met dat voorstel van de staatssecretaris blijft het natuurlijk zo dat wij niet weten waar we ja tegen zeggen als we over de wet stemmen. Dat principiële punt hebben we daarmee niet opgelost. Maar ik zie ook wel dat de staatssecretaris een beweging wil maken. Bedoelt ze dan dat ze de ministeriële regeling naar ons stuurt als die af is en dat we dan ook nog iets kunnen wijzigen? Want volgens mij is het voorhangen van een ministeriële regeling heel moeilijk. Dan zou je er eigenlijk een AMvB van moeten maken en die moeten voorhangen. Als de staatssecretaris bereid is dat te doen bij nota van wijziging, dan houden we materieel wel zicht op wat er gebeurt.
Staatssecretaris Van Huffelen:
Als wij met elkaar in debat gaan over de ministeriële regeling, over de dingen die we daarin regelen en over de definities en u het graag anders wil, dan moeten we dat gesprek natuurlijk kunnen voeren. Dan moeten we het ook kunnen wijzigen als het nodig is. Punt. Maar het is natuurlijk niet hetzelfde soort instrument als een wet. Maar nogmaals, ik vind het belangrijk, ook gehoord het debat van vandaag, dat wij en de mensen die met ons meekijken goed begrijpen wat er gebeurt. Het gaat namelijk om techniek, het is soms complex en er verandert veel in die wereld. We moeten zorgen dat niet alleen het ministerie, maar ook de Tweede Kamer en straks de Eerste Kamer goed zicht houden op wat er gebeurt. Het is dus ook mijn idee om daarover in debat te gaan, desgewenst, want u kan ook zeggen: ik vind het prima wat erin staat.
Mevrouw Leijten (SP):
Maar dan zou ik dat wel zuiver willen regelen. Dan zou ik de staatssecretaris willen vragen om van deze ministeriële regelingen, die de hoofdelementen bevatten, algemene maatregelen van bestuur te maken en die voor te hangen. Dat betekent namelijk ook dat de Eerste Kamer zou kunnen zeggen daarover te willen spreken. U kunt een ministeriële regeling met ons bespreken, maar wij kunnen dat materieel niet afdwingen. Op het moment dat je een AMvB in een wet hebt, dan geldt dat gewoon tot in de lengte der dagen, ook als wij en de goedwillende staatssecretaris er niet meer zijn. Dan is het de systematiek van de wet. Ik vraag haar dus toch om het zo te doen. Als ze het niet op zo'n manier wil regelen, dan moet de Kamer dat denk ik doen. Maar dan moeten we wel bekijken of we het redden om volgende week te stemmen, want we hebben natuurlijk nog meer werk liggen. Maar goed, dat moeten wij dan even met elkaar regelen. Maar eigenlijk zou ik de staatssecretaris willen vragen om het zuiver te maken en met een nota van wijziging te komen.
Staatssecretaris Van Huffelen:
Dat vind ik eerlijk gezegd weer een stap te ver. Nogmaals, ik vind het belangrijk dat we met elkaar goed kunnen volgen wat er in deze wetgeving gebeurt. Het is heel belangrijk dat dit goed geregeld is. Ik stuur de ministeriële regeling actief naar u toe. Sowieso is zo'n regeling openbaar. We kunnen daar dan het gesprek over hebben. Mevrouw Leijten kent mij als iemand die altijd goed luistert naar wat de Kamer zegt. Ik ga er dus ook graag met u over in gesprek. We kunnen het erover hebben mocht die ministeriële regeling niet voldoen aan de vereisten. Maar ik vind het onverstandig om het nu weer anders te gaan inrichten.
De voorzitter:
Mevrouw Leijten, tot slot.
Mevrouw Leijten (SP):
Ik moet echt m'n best doen om m'n geduld niet te verliezen. De staatssecretaris zegt: ik wil het nu niet anders gaan doen. Nee, ze moet het doen zoals het staatsrechtelijk hoort! Dat betekent dat je een algemene maatregel van bestuur maakt. Dan waardeer je de controlefunctie van de medewetgever op, want die kan vervolgens zeggen: we willen voorhang, nahang of allebei. Die kunnen ook nog zwaar zijn. Dát is staatsrechtelijk juist. De staatssecretaris zegt: ik wil het nu niet anders doen. Maar het is niet de staatssecretaris die de route bepaalt. Het is een wet. Ik kondig aan dat we de motie indienen om het zelf op te waarderen. Maar dan ga ik er wel van uit dat de staatssecretaris hierbij gezegd heeft: die krijgt oordeel Kamer.
Staatssecretaris Van Huffelen:
Ik geef geen oordeel Kamer over iets wat ik nog niet kan beoordelen of zeggen. Nogmaals, de systematiek van de wet is inderdaad dat er zowel AMvB's als ministeriële regelingen zijn, met het oogmerk dat we op basis van veranderingen in de techniek of anderszins andere aanbieders in staat stellen om dat goed te regelen. Het verzoek van de Kamer is om daarover goed met elkaar van gedachten te wisselen. Daar wil ik uiteraard graag invulling aan geven. Dat zou ik willen doen op de manier zoals ik heb aangegeven. Daarmee ontraad ik de motie.
Dan ga ik naar de motie op stuk nr. 11 van mevrouw Dekker-Abdulaziz. Zij wil open source niet als minimale vereiste in de wet, maar kiest voor het principe "open source, tenzij". Wij gaan zo veel mogelijk in op het opensourceprincipe en de verplichting, afgezien van gevallen waarin de veiligheid of de continuïteit in het geding is. Ik ben het eens met mevrouw Dekker en ik zou deze motie dan ook oordeel Kamer willen geven.
Dan de motie van mevrouw Bouchallikh op stuk nr. 12. Daarin wordt de regering verzocht er zorg voor te dragen dat er altijd een mogelijkheid zal bestaan tot niet-digitale identificatie. In april is het wetsvoorstel Modernisering elektronisch bestuurlijk verkeer door deze Kamer aangenomen. In dat wetsvoorstel zijn twee artikelen voorgesteld die gezamenlijk het recht geven op niet-elektronisch verkeer met bestuursorganen. Dat betreft ook de niet-digitale identificatie. Als dat wetsvoorstel wet wordt, krijgen burgers daarmee dus dat recht. Wat mij betreft is de motie daarmee overbodig. Ik zal de motie oordeel Kamer geven, omdat zij in lijn ligt met wat wij willen.
De voorzitter:
Is het dan misschien mogelijk om de motie over te nemen? Ik kijk even naar de collega's of daar bezwaar tegen bestaat.
Mevrouw Bouchallikh (GroenLinks):
Dan wil ik de motie wel laten overnemen, want we moeten niet gaan stemmen over iets wat al geregeld is. Dan hoeven we het er niet nog een keer over te hebben.
Staatssecretaris Van Huffelen:
Prima.
De voorzitter:
Ik kijk even of daar bezwaar tegen is. Dat is niet het geval.
Mevrouw Leijten (SP):
De staatssecretaris heeft mijn motie op stuk nr. 10 ontraden. Ik heb haar gevraagd of zij de ministeriële regeling tot een AMvB met voorhang wil maken. Ik heb aangekondigd dat ik dat zelf zal doen. Daarmee is deze motie eigenlijk overbodig geworden. Blijft staan dat we niet weten waar we ja tegen zeggen, maar als dit wordt aangenomen, krijgen we meer grip op wat er gebeurt in de uitwerking van de wet. Ik denk dat ik de motie kan intrekken.
De voorzitter:
Dank u wel.
Aangezien de motie-Leijten (35868, nr. 10) is ingetrokken, maakt zij geen onderwerp van beraadslaging meer uit.
Staatssecretaris Van Huffelen:
Dan is er het amendement van de leden Leijten en Dekker-Abdulaziz. Dat amendement scherpt aan dat private aanbieders geen gebruik mogen maken van de gegevens voor commerciële doeleinden. Ze mogen die gegevens ook niet verhandelen. Overigens geldt dit dus ook voor de verbetering van dienstverleningsactiviteiten. Ik geef het amendement graag oordeel Kamer. Het verscherpt het verhandelsverbod.
Daarmee heb ik de vraag beantwoord en de moties en amendementen behandeld. Ik denk dat het goed was om in dit debat goed in te gaan op die techniekelementen. Ik vind het goed dat we daar in de komende tijd goed naar blijven kijken. Het is voor ons allemaal van belang dat we heel scherp hebben wat we afspreken en wat we wel en niet regelen, zeker als het gaat over onderwerpen die te maken hebben met de gegevens en privégegevens van burgers en met de dienstverlening van onze overheid. Wij brengen daarin verbeteringen aan en wij willen ervoor zorgen dat er geen fouten in worden gemaakt. Ik hoop dat deze wet met alles wat wij besproken hebben tot een goed einde kan worden gebracht. Dat zal ergens deze of volgende week gebeuren.
De voorzitter:
Dank u wel. Daarmee zijn we aan het einde gekomen van deze beraadslaging. Ik dank de staatssecretaris en de woordvoerders. Ik vond het een mooi debat. Fijn dat ik dat op mijn verjaardag heb mogen leiden. Ik zou nergens anders willen zijn dan hier. Dank aan de mensen op de publieke tribune. Dank aan de ondersteuning.
De algemene beraadslaging wordt gesloten.
De voorzitter:
De planning is dat we volgende week dinsdag stemmen over het wetsvoorstel, het amendement en de motie. Als dat anders wordt, dan hoor ik dat volgende week wel. Ik schors de vergadering tot 19.10 uur. Dan beginnen we met een andere wetsbehandeling.
De vergadering wordt van 17.52 uur tot 19.12 uur geschorst.
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/h-tk-20212022-86-8.html
De hier aangeboden pdf-bestanden van het Staatsblad, Staatscourant, Tractatenblad, provinciaal blad, gemeenteblad, waterschapsblad en blad gemeenschappelijke regeling vormen de formele bekendmakingen in de zin van de Bekendmakingswet en de Rijkswet goedkeuring en bekendmaking verdragen voor zover ze na 1 juli 2009 zijn uitgegeven. Voor pdf-publicaties van vóór deze datum geldt dat alleen de in papieren vorm uitgegeven bladen formele status hebben; de hier aangeboden elektronische versies daarvan worden bij wijze van service aangeboden.