Het wetsvoorstel en de nota naar aanleiding van het verslag hebben de commissie aanleiding gegeven tot het maken van de volgende opmerkingen en het stellen van de volgende vragen.2

Inleiding

In 2017 is het Digital Trust Center (DTC) opgericht als onderdeel van het Ministerie van Economische Zaken en Klimaat (EZK). Het DTC heeft als missie bedrijven weerbaarder te maken tegen cyberdreigingen. De behoefte bestaat om het bedrijfsleven niet alleen over algemene, maar ook over specifieke digitale dreigingen en kwetsbaarheden te informeren. Deze uitbreiding van de informatievoorziening vraagt een verdere inbedding van de taken en bevoegdheden van de Minister van EZK. Het wetsvoorstel biedt de expliciete wettelijke grondslag om in het kader van de taakuitvoering persoonsgegevens te verwerken. Naar aanleiding van dit voorstel hebben de fractieleden van de BBB enkele vragen aan de regering.

Vragen en opmerkingen van de leden van de BBB-fractie

Het delen van gevoelige dreigingsinformatie met bedrijven die hun informatiebeveiliging onvoldoende op orde hebben kan datalekken van bedrijfsgevoelige/privacygevoelige informatie juist in de hand werken. De regering zegt informatie te delen mits de beveiliging op orde is.3 Hoe wordt dit bepaald?

De regering hanteert voor de medewerkers die deze wet uitvoeren een Data Protection Impact Assessment (DPIA). De Minister van EZK bepaalt wie welke toegang krijgt, er is een screening en men krijgt toegang op basis van «need to know». De fractie van de BBB kan zich voorstellen dat deze informatie interessant is voor cybercriminelen. Wordt ook gekeken in hoeverre deze medewerkers chantabel zijn? Hoe is de beveiliging van deze medewerkers geregeld? In hoeverre is er voldoende personeel beschikbaar?

Wat is de stand van zaken van de samenwerkingsafspraken tussen het Nationaal Cyber Security Centrum (NCSC) en het DTC?

In hoeverre overweegt de regering een toekomstig samengaan in het kader van efficiency en de schaarste aan vakkundig personeel?

In hoeverre is de beoogde capaciteit en het budget van het DTC toereikend, ook gezien de toename van cyberdreiging en de mogelijke overlap tussen vitale en niet-vitale bedrijven?

Waarom kan de rechtspersoon op grond van artikel 3, tweede lid persoonsgegevens ook aan de Minister van EZK verstrekken als de verstrekking onverenigbaar is met de doeleinden waarvoor de persoonsgegevens zijn verzameld? Welk doel dient dit? Waarom is hier gekozen voor een kan-bepaling? Is het aanleveren van gegevens door niet-vitale bedrijven vrijblijvend en vrijwillig? De leden van de BBB-fractie verzoeken u om een toelichting.

Waarom kan de Minister van EZK de vertrouwelijke gegevens met betrekking tot een vitale aanbieder zonder diens toestemming verstrekken aan de Minister van J&V/ Computer Incident Response Team (CSIRT) ten behoeve van diens taken als bedoeld in artikel 3, eerste titel van de Wet beveiliging netwerk- en informatiesystemen? Waarom is ervoor gekozen geen toestemming te vragen? In hoeverre en op welke wijze wordt de vitale aanbieder hierover geïnformeerd?

Hoe gaat de Minister van EZK op basis van deze wet de weerbaarheid van niet-vitale bedrijven versterken tegen digitale dreiging? In hoeverre wordt de advisering van het DTC voorzien van een handelingsperspectief?

Hoe worden toezicht- en handhaving geregeld?

Wat zijn de mogelijke gevolgen van deze wet voor de regeldruk van bedrijven?

De vaste commissie voor Economische Zaken en Klimaat ziet met belangstelling uit naar de nota naar aanleiding van het tweede verslag en ontvangt deze graag uiterlijk vrijdag 5 juli 2024.

De voorzitter van de vaste commissie voor Economische Zaken en Klimaat, Kluit

De griffier van de vaste commissie voor Economische Zaken en Klimaat, Karthaus