5 VAO cybersecurity en veiligheid overheidswebsites

Aan de orde is het debat naar aanleiding van een algemeen overleg op 10 april 2012 over cybersecurity en veiligheid overheidswebsites.

De voorzitter:

In dit VAO geldt een spreektijd van twee minuten per fractie.

Mevrouw Gesthuizen (SP):

Voorzitter. Ik zal mijn uiterste best doen om daarbinnen te blijven. We hebben vrij recentelijk nog gedebatteerd met de minister van BZK en de minister van Justitie over dit belangrijke onderwerp, waar nota bene vandaag een parlementaire werkgroep mee aan de slag is gegaan voor nader onderzoek. Het betreft ICT, veiligheid en privacy. We werden het op een heel aantal vlakken eens. Ik denk dat we ook allemaal hetzelfde doel voor ogen hebben, namelijk veiligheid op ICT-vlak. Over een aantal zaken zijn we het ook niet eens. Minister Spies weet dat ik er veel belang aan hecht dat we er, in een zo kort mogelijke tijd, voor zorgen dat er assessments plaatsvinden, zodat er bij overheden, klein en groot, veiligheid is rond bijvoorbeeld het gebruik van DigiD. Om het kabinet op dit terrein nog eens extra aan te sporen, dien ik de volgende motie in.

Motie

De Kamer,

gehoord de beraadslaging,

overwegende dat personen die verplicht worden gebruik te maken van DigiD ervan uit moeten kunnen gaan dat de overheid alles op alles zet om de veiligheid ervan te garanderen;

van mening dat de afgelopen periode heeft aangetoond dat er dringend ingezet moet worden op een betere beveiliging van de ICT bij de overheid;

verzoekt de regering om, in het belang van deze beveiliging en de ingrijpende gevolgen die gebreken in de beveiliging van DigiD kunnen hebben, alle DigiD-gebruikende organisaties te verplichten (nader) werk te maken van de veiligheid ervan en hiervoor eind 2012 een ICT-beveiligingsassessment te laten uitvoeren,

en gaat over tot de orde van de dag.

De voorzitter:

Deze motie is voorgesteld door de leden Gesthuizen, El Fassed en Recourt. Naar mij blijkt, wordt de indiening ervan voldoende ondersteund.

Zij krijgt nr. 232 (26643).

De heer Elissen (PVV):

Voorzitter. Cyber security was een prioriteit van het kabinet. Ook de Tweede Kamer benadrukte steeds dat dit een belangrijk onderwerp was. Ik ga er dan ook van uit dat we dit met zijn allen nog steeds een belangrijk onderwerp vinden. Een goede cyber-security-strategie en een goed veiligheidsbewustzijn van de overheid helpen om de privacy van burgers te beschermen. Het bewustzijn bij de overheid van het feit dat gegevens van burgers echt van de burgers zelf zijn en dat die gegevens zorgvuldig en veilig moeten worden bewaard, moet verder worden vergroot. De PVV zet zich hiervoor in. Privacy is voor de PVV erg belangrijk.

Wat blijkt nu echter? Gegevens van burgers in de Gemeentelijke Basisadministratie worden door de overheid gewoon gedeeld met allerlei bedrijven en instellingen zonder dat de burger erom vraagt en zonder dat de burger het weet. De overheid geeft er dus blijk van, niet zo veel met gegevensbescherming of privacy te hebben. Er is bepaald geen sprake van privacy by design, waarover ik eerder al een motie indiende. Je zou inmiddels toch mogen verwachten dat de Nederlandse overheid gegevens van burgers niet met derden deelt? Zomaar gegevens van burgers met bedrijven en instellingen delen, zou toch uit den boze moeten zijn?

De voorzitter:

Als u een motie hebt, moet u daar snel naartoe gaan.

De heer Elissen (PVV):

De PVV vindt dan ook dat dit niet meer moet kunnen, vandaar de volgende motie.

Motie

De Kamer,

gehoord de beraadslaging,

overwegende dat indien de Nederlandse overheid over gegevens van burgers beschikt, zij deze zorgvuldig dient te beheren;

overwegende dat de Nederlandse overheid mede op basis van de Nationale Cyber Security Strategie werkt aan dataprotectie;

overwegende dat naast technische aspecten ook beleidsmatige aspecten een belangrijke rol spelen bij de bescherming van data;

overwegende dat voor het veilig en adequaat beheren van gegevens van burgers bij de Nederlandse overheid de attitude vereist is dat gegevens vertrouwelijk behandeld dienen te worden;

overwegende dat het delen van gegevens van burgers met bedrijven en instellingen die daar krachtens de wet geen recht op hebben, niet te rijmen valt met deze overwegingen;

verzoekt de regering om te zorgen voor wetgeving waarmee gemeenten verplicht worden om alle gegevens in de Gemeentelijke Basisadministratie van een verstrekkingsbeperking te voorzien, zodat uitsluitend rechthebbenden deze gegevens kunnen inzien,

en gaat over tot de orde van de dag.

De voorzitter:

Deze motie is voorgesteld door het lid Elissen. Naar mij blijkt, wordt de indiening ervan voldoende ondersteund.

Zij krijgt nr. 233 (26643).

Mevrouw Hennis-Plasschaert (VVD):

Dit vind ik een sympathieke motie. Deze problematiek is eerder ook door de VVD-fractie al aan de orde gesteld. Ik vraag de heer Elissen echter om de motie aan te houden en die te betrekken bij de behandeling van het voorstel inzake de Wet basisregistratie personen. Die behandeling zal binnenkort plaatsvinden. Dat vind ik meer een geëigend moment.

De heer Elissen (PVV):

Dat wetsvoorstel hebben wij natuurlijk ook bekeken. In paragraaf 5.3 van de memorie van toelichting staat nog steeds, zoals ook in het heden het geval is, dat op verzoek van ingeschrevenen een aantekening kan worden gesteld. Het initiatief moet dan dus nog steeds van de burger komen. Wij willen juist het initiatief aan de kant van de overheid leggen, de zaak aan de voorkant goed regelen. Dat wetsvoorstel kan natuurlijk worden geamendeerd. Dat zullen we ook doen. Daarnaast vinden we echter dat dit geen reden is om niet alvast vanuit overheidszijde de verstrekking te beperken, omdat heel veel mensen zomaar gebruikmaken van die gegevens zonder dat de burger daarop zit te wachten.

De voorzitter:

Kortom, u houdt uw motie niet aan.

Mevrouw Hachchi (D66):

Voorzitter. Slechte ICT-beveiliging kan vergaande gevolgen hebben. Denk bijvoorbeeld aan de Iraniërs bij DigiNotar en de lekken in SCADA-systemen. De Rijkswet Onderzoeksraad voor veiligheid biedt de mogelijkheid om een persoon of instantie aan te wijzen die verplicht is om voorvallen te melden bij de Onderzoeksraad Voor Veiligheid. Van deze mogelijkheid is gebruikgemaakt voor de scheepvaart, het luchtverkeer en het spoorverkeer, maar nog niet voor de ICT-infrastructuur. Daarom dien ik de volgende motie in.

Motie

De Kamer,

gehoord de beraadslaging,

constaterende dat ICT-systemen in toenemende mate gekoppeld worden aan het internet;

constaterende dat daarbij vaak niet de juiste beveiligingsmaatregelen worden getroffen en het toezicht hierop beperkt is;

overwegende dat als gevolg van een ICT-beveiligingsincident zich een voorval kan voordoen in de zin van de Rijkswet Onderzoeksraad voor veiligheid;

verzoekt de regering, te bewerkstelligen dat deze voorvallen worden gemeld bij de Onderzoeksraad Voor Veiligheid en daartoe een persoon of organisatie aan te wijzen die hiertoe verplicht is,

en gaat over tot de orde van de dag.

De voorzitter:

Deze motie is voorgesteld door het lid Hachchi. Naar mij blijkt, wordt de indiening ervan voldoende ondersteund.

Zij krijgt nr. 234 (26643).

Mevrouw Hachchi (D66):

Ik dien ook een motie in over hackrichtlijnen.

Motie

De Kamer,

gehoord de beraadslaging,

constaterende dat de regering bezig is een kader op te stellen voor "responsible disclosure";

overwegende dat het van groot belang is dat beveiligingslekken in de ICT van overheidsorganisaties worden gemeld;

overwegende dat overheidsorganisaties verschillend met meldingen omgaan;

overwegende dat dit tot rechtsonzekerheid leidt bij potentiële melders, waardoor zij ontmoedigd kunnen worden om een melding te maken;

verzoekt de regering, de uitwerking van de "responsible disclosure" openbaar te maken en te bevorderen dat overheidsorganisaties meldingen op gelijke wijze behandelen,

en gaat over tot de orde van de dag.

De voorzitter:

Deze motie is voorgesteld door het lid Hachchi. Naar mij blijkt, wordt de indiening ervan voldoende ondersteund.

Zij krijgt nr. 235 (26643).

De heer Recourt (PvdA):

Voorzitter. Een paspoort is er om te laten zien dat je bent wie je bent. Daarmee is de beveiliging in het gewone leven geregeld. Beveiliging houdt dan in dat je de grens over kunt of dat je je kunt identificeren. In een digitale wereld is dat anders. Er zou eigenlijk ook een digitaal paspoort ontwikkeld moeten worden voor zover dat er in aanleg al niet is met DigiD. Daarom dien ik de volgende motie in.

Motie

De Kamer,

gehoord de beraadslaging,

overwegende dat bij het veelvuldige digitaal contact tussen burger en overheid belangrijke en privacygevoelige informatie wordt gedeeld en opgeslagen;

overwegende dat er behoefte bestaat aan een waterdichte vaststelling van de identiteit op internet voor contact tussen burger en overheid en desgewenst tussen burgers onderling;

overwegende dat kinderen extra kwetsbaar zijn voor misbruik van identiteit;

constaterende dat voor de identificatie en beveiliging tussen burger en overheid DigiD wordt gebruikt;

constaterende dat de Nationale ombudsman recentelijk heeft vastgesteld dat het beveiligingsniveau van DigiD niet op orde is;

verzoekt de regering, een digitaal paspoort te ontwikkelen opdat het contact op internet tussen burger en overheid optimaal beveiligd is;

verzoekt de regering tevens, te onderzoeken voor welke toepassingen dit digitale paspoort eveneens kan worden gebruikt,

en gaat over tot de orde van de dag.

De voorzitter:

Deze motie is voorgesteld door de leden Recourt en Gesthuizen. Naar mij blijkt, wordt de indiening ervan voldoende ondersteund.

Zij krijgt nr. 236 (26643).

We wachten even tot de bewindspersonen alle moties hebben.

De vergadering wordt enkele ogenblikken geschorst.

Minister Spies:

Voorzitter. Met mijn collega van Veiligheid en Justitie heb ik afgesproken dat ik een oordeel zal geven over de moties op de stukken nrs. 232, 233 en 236. Hij zal dan het woord voeren over de moties op de stukken nrs. 234 en 235. Ik dank de leden van de Kamer voor hun inbreng in dit VAO.

Mevrouw Gesthuizen heeft terecht opgemerkt dat we de ambitie om ICT zo veilig mogelijk te laten zijn, delen. De mogelijkheden daarvoor en het tempo waarin we die ambitie realiseren, vormden de belangrijkste verschillen van inzicht tussen mevrouw Gesthuizen en mij tijdens het algemeen overleg. In haar motie op stuk nr. 232 wordt de regering verzocht om alle organisaties die gebruikmaken van het DigiD te verplichten (nader) werk te maken van de veiligheid ervan en hiervoor eind 2012 een ICT-beveiligingsassessment te laten uitvoeren. Daarmee vraagt mevrouw Gesthuizen in feite om twee dingen, namelijk om een verplichting en om de verkorting van het tijdpad van 2013 naar 2012.

Ik heb een aantal overwegingen bij dit verzoek. Ten eerste kan een verplichting slechts door middel van wet- en regelgeving tot stand worden gebracht. Tegen de tijd dat we dat geregeld hebben, is het eind 2012. Dat lijkt me dus ingewikkeld. Ten tweede heb ik al eerder gezegd dat het tempo opschroeven een gedeelde ambitie is, maar dat we ook realistisch moeten zijn. We hebben de afspraak dat de grootste organisaties de assessments nog in 2012 klaar zullen hebben. Onder die organisaties vallen bijvoorbeeld het UWV en de Sociale Verzekeringsbank. Gemeenten zijn gestart met ondersteuning van KING. Ik heb vorige week een bestuurlijk overleg gevoerd met vertegenwoordigers van alle decentrale overheden en uitvoerende organisaties. Ik heb daar heel nadrukkelijk de ambitie van de Kamer neergelegd en de organisaties opgeroepen om hier zo snel mogelijk werk van te maken. Wij zijn bovendien in gesprek met marktpartijen om te bekijken of zij meer kunnen dan nu mogelijk lijkt. Een harde verplichting voor eind 2012 is echter onmogelijk. Daarom moet ik deze motie ontraden.

Mevrouw Gesthuizen (SP):

Tot enkele weken, misschien maanden geleden lag er een plan van het kabinet waarin stond dat het eigenlijk nu al op orde had moeten zijn. Tijdens het debat heeft de minister gezegd dat dit te optimistisch was, maar ik kan me toch niet aan de indruk onttrekken dat er driekwart jaar geleden een groot gevoel van urgentie was. Met het verschijnen van het rapport van de Rijksauditdienst, waarvan de strekking was dat de overheid het nog niet zo slecht doet, lijkt er een meer relaxte houding te zijn ontstaan: het is nu nog niet heel zeker, maar we doen het er maar mee. Dat vind ik onacceptabel. Mag ik hier een reactie op van de minister?

Minister Spies:

Als dat zo was, zou ik het ook onacceptabel vinden. Dat gevoel van urgentie hoort er te zijn. In het bestuurlijk overleg met de betrokken organisaties, dat ik mede naar aanleiding van het debat in de Kamer heb gevoerd, heb ik niets gemerkt van een gebrek aan gevoel van urgentie. Ik heb inmiddels ook met KING en met vertegenwoordigers van alle decentrale overheden gesproken. Zij zijn voluit bezig. Het impactassessment is het resultaat van een heel traject dat nu doorlopen wordt. Er is echter slechts een beperkt aantal partijen beschikbaar om de impactassessments uit te voeren. Daarom is het onmogelijk om voor eind 2012 alle impactassessments klaar te hebben. Als we dat willen doen, kan dat bovendien bijna alleen maar via wet- en regelgeving, want dit is een traject dat gemeenten, provincies, waterschappen en uitvoerende organisaties helemaal moeten doorlopen. Voor zover dat nog nodig is, zetten wij er alle druk op, hoewel het gevoel van urgentie bij de organisaties zelf ook zeer hoog is. Het onmogelijke kunnen we echter niet van hen vragen. Met haar motie doet mevrouw Gesthuizen dat wel. Als wij hierin meegaan, moeten wij voor het eind van 2012 weer met een bericht naar de Kamer komen waarin wij te kennen geven dat wij de gevraagde deadline ondanks alle inspanningen, druk en urgentie niet gehaald hebben. Dat kan ik de Kamer nu al op een briefje geven. Ik heb er een ontzettende hekel aan om dingen te beloven die ik niet waar kan maken.

Mevrouw Gesthuizen (SP):

Minister Spies is een waardig opvolger van minister Donner, die ook altijd zei dat wij niet het onmogelijke van hem mochten vragen. Ik maak een korte afsluitende opmerking. Het gaat hier om ICT en het is misschien de virtuele wereld, maar het gaat om echte, praktische, duidelijke en serieuze problemen. Ik heb toch het idee dat we nu bezig zijn om alvast de snelweg aan te leggen maar dat we nog eventjes niet de capaciteit hebben om ervoor te zorgen dat er fatsoenlijk toezicht en een vangrail is. Er wordt gezegd: gaat u maar alvast rijden en dan zien we wel. Ik ben er echt bang voor dat we hiermee tegen de lamp gaan lopen.

Minister Spies:

Wij praten over heel veel organisaties die op dit moment allemaal hard lopen. Die vangrail is er wel. Op het moment dat de veiligheid er niet is, worden ze gewoon uit de lucht gehaald. Dat lijkt mij een behoorlijke stok achter de deur om dat in ieder geval te voorkomen. Het is echter onmogelijk om nu aan de voorkant te garanderen dat alle impact assessments er voor eind 2012 zijn en om te proberen dat via wet- en regelgeving af te dwingen. Om die reden blijf ik dus bij het oordeel dat ik deze motie ontraad.

Dan kom ik bij de motie van de heer Elissen, op stuk nr. 233. Daarin wordt de regering gevraagd om wetgeving op stellen waarin gemeenten verplicht worden om alle gegevens in de GBA van een verstrekkingsbeperking te voorzien, zodat uitsluitend rechthebbenden deze gegevens kunnen inzien. Naar mijn stellige overtuiging is dat op dit moment reeds vormgegeven in de wetgeving rondom de GBA. Wij hebben een nieuw wetsvoorstel in voorbereiding; dat ligt ook bij de Kamer. Als de heer Elissen van oordeel is dat bestaande wetgeving niet voldoet en nieuwe wetgeving nog verder verbeterd kan worden, nodig ik hem uit om tijdens de behandeling van het wetsvoorstel amendementen dan wel moties in te dienen. Dat is naar mijn stellige overtuiging ook de snelste route, als de heer Elissen tot het oordeel komt dat er nu nog gaten in zitten. Op dit moment is deze motie overbodig. De heer Elissen heeft op een verzoek van mevrouw Hennis-Plasschaert aangegeven dat hij niet overweegt om de motie aan te houden. Dan kan ik niet anders dan tot de conclusie komen dat deze motie op dit moment overbodig is.

De voorzitter:

Dus u ontraadt haar?

Minister Spies:

Ja.

De heer Elissen (PVV):

Zowel in de huidige als de voorliggende wetgeving hebben we te maken met paragraaf 5.3. Dan blijft het initiatief dus liggen bij die burger en verwacht de minister dus dat 16 miljoen burgers naar het gemeentehuis gaan om te zeggen dat ze niet willen dat hun gegevens aan derden verstrekt worden. Omdat de burgers verplicht zijn om gegevens aan te leveren, zou ik nu juist willen dat de overheid daarom vraagt. Ik zou willen dat we, vanuit de zorgplicht van de overheid en vanuit het idee van een betrouwbare overheid, juist zelf het initiatief nemen en het dus omkeren.

Minister Spies:

In de bestaande Wet GBA en ook in het wetsvoorstel zitten natuurlijk aan de voorkant voor gemeenten ook heel veel beperkende voorwaarden. Die mogen niet zomaar op verzoek van welke organisatie dan ook gegevens uit de GBA ter beschikking stellen. Aan de voorkant zitten dus heel veel borgingen, die naar mijn stellige overtuiging precies voorschrijven wat de heer Elissen op dit moment vraagt. Ik blijf dus bij mijn oordeel.

De heer Elissen (PVV):

Het is jammer, want er zijn dus inderdaad tientallen, zo niet honderden verzekeraars, kerkgenootschappen en ook anderen, die al die gegevens gewoon krijgen. Ik vind dat zeer onzorgvuldig naar de burger en betreur dit. Verder kan ik er op dit moment weinig aan doen, maar ik zal zeker gaan amenderen.

Minister Spies:

Ik bestrijd dat de hekken nu wagenwijd openstaan en iedereen zonder randvoorwaarden maar gegevens kan opvragen.

Tot slot kom ik bij de motie op stuk nr. 236, van de leden Recourt en Gesthuizen. Daarin wordt de regering gevraagd om te onderzoeken voor welke toepassingen een digitaal paspoort kan worden gebruikt. In de stukken voor de voorbereiding van het algemeen overleg heb ik aangegeven dat op dit moment al een onderzoek loopt naar de elektronische identiteitskaart. Dat is in feite dat digitale paspoort, waar deze motie om vraagt. Ik heb ook aangegeven dat we na de zomer bij de Kamer terugkomen met de resultaten van dat onderzoek en dat ik die resultaten zal voorzien van een voorstel waarin staat of en op welke manier wij met die elektronische identiteitskaart verder zouden kunnen. Dat maakt dat deze motie volgens mij past in het traject dat op dit moment al loopt. In die zin kan zij dus als ondersteuning van beleid worden gezien.

Minister Opstelten:

Voorzitter. Dank aan de geachte afgevaardigden. De moties van mevrouw Hachchi op de stukken nrs. 234 en 235 hebben betrekking op mijn beleidsterrein. Dank daarvoor.

Over de motie op stuk nr. 234 wil ik het volgende vragen. In de debatten die wij hebben gevoerd – overigens prima debatten waarin we duidelijke afspraken hebben gemaakt en stappen vooruit hebben gezet – was het onderwerp in die motie een belangrijk punt. Wij zullen voor het zomerreces komen met de uitwerking van de motie-Hennis-Plasschaert c.s. over de security breach notification. Daarin zitten deze elementen ook en daarin is ook nadrukkelijk sprake van melding bij het Nationaal Cyber Security Centrum. In die uitwerking zullen wij de relatie met de ICT-wereld aangeven. Om die reden vraag ik mevrouw Hachchi om haar motie aan te houden, om daarna te beoordelen of die nodig is en om vervolgens zorgvuldig om te gaan met de specifieke verantwoordelijkheid van de Onderzoeksraad voor Veiligheid. Wij kunnen daaraan absoluut geen opdracht geven, omdat de raad zelf beslist over zijn opdrachten. In een soort handreiking aan mevrouw Hachchi vraag ik dus of zij haar motie wil aanhouden.

Mevrouw Hachchi (D66):

Ik dank de minister voor zijn antwoord. Ik ken de motie-Hennis-Plasschaert ook, ik heb die ook gesteund. Mijn motie gaat echter ook in op de rol van de onderzoeksraad en gaat dus iets verder. Als de minister wil toezeggen dat hij in de uitwerking van de motie ingaat op wat ik hier voorstel, ben ik bereid om mijn motie aan te houden.

Minister Opstelten:

Ja. Ik kom eraan tegemoet dat ik daarop inga. Dat zal ik zeker doen. Ik vraag mevrouw Hachchi om daarna te beoordelen of haar motie nog noodzakelijk is.

De voorzitter:

Op verzoek van mevrouw Hachchi stel ik voor, haar motie (26643, nr. 234) aan te houden.

Daartoe wordt besloten.

Minister Opstelten:

Ik kom vervolgens bij de motie op stuk nr. 235 en daar ben ik snel mee klaar. Ik dank mevrouw Hachchi voor deze ondersteuning van het beleid. Daar wil ik het bij laten. Zo voelt het kabinet dat.

Mevrouw Gesthuizen (SP):

Voorzitter. Ik zal mijn motie wijzigen, waardoor de verplichting eruit gaat. Ik zal haar vervolgens wel in stemming laten brengen. Als het goed is, zullen wij er later vandaag nog over stemmen.

De beraadslaging wordt gesloten.

De voorzitter:

Ik dank beide ministers voor hun aanwezigheid bij dit VAO. Over enkele ogenblikken gaan wij verder met het VAO Actieprogramma criminele jeugdgroepen.

De vergadering wordt enkele ogenblikken geschorst.

Naar boven