Handeling

Datum publicatieOrganisatieVergaderjaarVergadernummerDatum vergadering
Tweede Kamer der Staten-Generaal2016-2017nr. 52, item 2

2 Vragenuur: Vragen Verhoeven

Aan de orde is het mondelinge vragenuur, overeenkomstig artikel 136 van het Reglement van Orde. 

Vragen van het lid Verhoeven aan de minister van Infrastructuur en Milieu over het bericht "Vastgoedregister Kadaster kampt met ernstige veiligheidrisico's in ICT". 

De heer Verhoeven (D66):

Voorzitter. Het Financieele Dagblad legde gisteren de ICT-problemen van het Kadaster bloot. Het spreekt onder meer van slepende computerproblemen, kwetsbare technische infrastructuur, onacceptabel grote veiligheidskwesties, een systeem dat zo lek is dat onbevoegden erin kunnen, onbeveiligde rondslingerende usb-sticks en het gebruik van Windows 2003. Uit interne stukken blijkt dat het Kadaster al een aantal jaren kampt met grote problemen. Deloitte waarschuwde in 2012 al en KPMG in 2013 en 2014, net als de Directie IT van het Kadaster zelf deed in 2014. 

Het Kadaster is een vitale database waar iedere pandeigenaar in dit land in staat. Het is de basis voor veilige vastgoedtransacties. Niet alleen het Kadaster kampt met structurele ICT-problemen. Vorige week bleek ook de stemsoftware onveilig, vorige week lagen de adviezen van de Stemwijzer op straat, vorige week kampte de Belastingdienst met grote ICT-problemen, gemeentewebsites bleken recent structureel onveilig te zijn en ook de ministers van dit kabinet mailden doodleuk met hun onveilige privémailadressen. 

Op vele plekken heeft de overheid haar ICT niet op orde. Daarom heb ik enkele vragen aan het kabinet. Waarom laat het kabinet dit telkens weer, week in, week uit, gebeuren? Waarom wordt dit probleem, waar we echt letterlijk wekelijks mee geconfronteerd worden, niet serieus opgepakt? Waarom reageert het kabinet steeds pas achteraf? En, het belangrijkste, waarom doet het kabinet — dat is ook week in, week uit — steeds alsof er niets aan de hand is? Graag een reactie. 

Minister Schultz van Haegen-Maas Geesteranus:

Voorzitter. De heer Verhoeven heeft mij een hoop vragen gesteld. Vooral over terreinen van collegaministers, maar ook over mijn eigen terrein: het Kadaster. Ik wil het maar even laten bij het beantwoorden daarvan, omdat ik denk dat het goed is om specifiek op deze casus in te gaan. Waarom laat het kabinet dit week in, week uit gebeuren? Ik concentreer me maar even op het Kadaster. Wat betreft het Kadaster hebben wij heel goed in de gaten waar we goed in zijn en waar nog uitdagingen liggen. Het Kadaster beveiligt zich op een soort algemeen rijksniveau. Daar voldoet het ook. Het wil zich echter ook op een hoger niveau beveiligen en daar voldoet het nog niet op alle punten. Daarom hebben we partijen gevraagd om dat te bekijken, ons daarop te reviewen. Die reviews liggen er, ook op punten die zelf in de organisatie geconstateerd waren. Eigenlijk is dus om een kritische rapportage gevraagd op de punten waarvan we vinden dat het er nog niet aan voldoet. Die hebben we ook gekregen. Ik vind het prima dat de heer Verhoeven mij daarop bevraagt, maar het niet zo dat daar niets mee gebeurt. Het is juist onderdeel van de actie die we plegen op dat terrein. Er wordt twee keer in de week over gesproken en er worden maatregelen op genomen. Dat is één. 

Twee is de vraag of er sprake is van zodanige onveiligheid dat bijvoorbeeld persoonsgegevens in beeld komen. Dat is te lezen in het achterliggende rapport. Je kunt daar natuurlijk iets heel spannends van maken en zeggen dat het allemaal een grote ellende is. Er staat bijvoorbeeld dat er als gevolg van onvoldoende sturing een risico is op discontinuïteit en ongeautoriseerde toegang, wat leidt tot tijdelijk geen beschikbaarheid van digitale dienstverlenging en onjuistheid en onvolledigheid van data. Waar gaat het dan bijvoorbeeld om? Dat is dat de website niet beschikbaar is. Het gaat er dus niet om dat persoonsgegevens inzichtelijk zijn, want daarvoor zijn er gescheiden systemen die voorkomen dat dat gebeurt. Is het oké dat die website niet beschikbaar is? Nee, ook dat is erg. Wij werken daaraan. Wij constateren zelf waar de hiaten zitten en wij zijn daar ook constant mee bezig. De heer Verhoeven vraagt waarom wij niets doen, maar wij zijn daar wel degelijk continu mee bezig. 

Waarom reageert het kabinet pas achteraf? Dat doet het niet, want het is er nog steeds mee bezig. Het is een continu proces. Ook naar aanleiding van deze nieuwe rapporten zal er opnieuw gerapporteerd worden door het Kadaster over de voortgang, zoals het mij daar ieder jaar over rapporteert. 

De heer Verhoeven (D66):

De minister doet nu alsof ik er iets spannends van maak, maar dat doen de overheidsorganisaties die voortdurend, week in, week uit, hun ICT-organisatie niet op orde hebben. De minister zegt dat eraan gewerkt wordt. Dat zei de minister van Binnenlandse Zaken vorige week ook tegen mij toen we het over de stemsoftware hadden. Dit gebeurt iedere keer. We doen net alsof het allemaal onder controle is en alsof het allemaal wel meevalt. De minister die erop wordt aangesproken, wil alleen maar praten over zijn specifieke onderdeel van de totale ICT-organisatie, want daarvoor is hij of zij verantwoordelijk. Dat gebeurde vorige week ook met de minister van Binnenlandse Zaken toen we het hadden over de stemsoftware. Er werd toen heel laconiek gezegd: er is niets aan de hand. Maar daarna kwam er een brief, waaruit bleek dat er wel wat aan de hand was. Hetzelfde gebeurde vorige week met staatssecretaris Wiebes van Financiën. Ook hij reageerde laconiek en beperkte zich tot de problemen bij de Belastingdienst. Het viel volgens hem allemaal wel mee. 

Ik vind het kwalijk dat elke bewindspersoon vooral bezig is om zijn eigen straatje schoon te vegen door te doen alsof er niets aan de hand is. Misschien komt dat omdat we een beetje aan het eind van deze kabinetsperiode zijn; dat weet ik niet. Maar hiermee lossen we het grotere probleem natuurlijk niet op. Er is wél een groter probleem. Ik kan geen andere conclusie trekken dan dat dit kabinet gewoon faalt met zijn ICT-beleid en ICT-veiligheid. Het faalt structureel op dat gebied. Dit hardnekkige probleem vraagt om een grondige aanpak. Daarvoor hebben we voortdurend gewaarschuwd. We kunnen dit niet langer negeren. De ICT-systemen van alle vitale overheidsdiensten moeten worden doorgelicht. Ik zou daar niet om vragen als dit de eerste keer was. Maar het gebeurt week in, week uit. Het is tijd voor een noodoperatie. Je zou het ook een spoed-apk kunnen noemen, maar er moet nu wel iets gebeuren. Is de minister bereid om vrijdag in de ministerraad voor te stellen om het BIT, het Bureau ICT-toetsing, te vragen om alle ICT-systemen van de vitale overheidsdiensten door te lichten? Ik wil daarop graag een reactie. 

Minister Schultz van Haegen-Maas Geesteranus:

De heer Verhoeven houdt een heel betoog ... 

De heer Verhoeven (D66):

Absoluut. 

Minister Schultz van Haegen-Maas Geesteranus:

... eindigend in één vraag over het BIT. Ik wil een paar dingen uit zijn betoog aan de orde stellen, want er worden hier wel wat beschuldigingen neergelegd. Er wordt gedaan alsof iedere minister de problematiek niet zou willen bekijken, maar dat is zeker niet waar. Wij maken ons allemaal zorgen over de grote ICT-uitdagingen voor de toekomst. Ik spreek nu namens mijzelf, maar ik hoor dat ook van collega's. Het is niet voor niets dat het BIT in het verleden is ingesteld en ook nu onze nieuwe uitdagingen bekijkt. Als ik de Omgevingswet wil omzetten in digitale dienstverlening, ga ik daarvoor langs het BIT. Dat geldt ook voor andere grote, nieuwe projecten en voor de bestaande infrastructuur. Kunnen we alles wat we zouden willen? Zijn we overal up-to-date zoals we graag zouden willen? Nee, daar hoort ook geld, menskracht en fte bij. Betekent dit dat we er niet naar omkijken of er niets mee doen? Nee, zeker niet. Ik wil die zorg graag wegnemen. Ik weet niet hoeveel collega's er mee bezig zijn, maar ondanks het feit dat wij straks weggaan, kijken wij ook vooruit. Wij geven onze opvolgers juist mee om op dat punt wat extra's te doen. 

Wil ik dit vragen aan het kabinet? Als de heer Verhoeven echt een integrale benadering wil hebben, is daar een minister voor. Naast het feit dat iedere minister individueel verantwoordelijk is voor IT, hebben we ook een minister wiens verantwoordelijkheid het gehele digitale stelsel van de overheid integraal behelst, namelijk de minister van BZK. De heer Verhoeven kan bij hem met zijn vraag terecht. Hij zit nu zelfs achter mij. 

De heer Verhoeven (D66):

Ik word naar een ander loket verwezen. Dat gebeurt wel vaker bij de overheid. Het antwoord van de minister is misschien goedbedoeld, maar het is wel een gemiste kans. Een bewindspersoon steekt nu opnieuw de kop in het zand en toont geen gevoel voor urgentie, terwijl dat op dit moment wel terecht zou zijn. De overheid investeert structureel te weinig in ICT, stapelt voortdurend allerlei systemen op elkaar, geeft geen openheid van zaken en vertoont slordig beheer. Als het kabinet dit probleem niet gaat aanpakken, maar het doorschuift, heb ik eigenlijk aan deze minister geen vragen meer. Ik hoop dat een volgend kabinet cyberveiligheid wel tot een topprioriteit wil maken. 

Minister Schultz van Haegen-Maas Geesteranus:

Ondanks het feit dat de heer Verhoeven geen vragen had: er wordt juist door het kabinet voor het eerst weer aandacht aan besteed, ook door individuele ministers. Op basis van een individueel geval, waar we nu niet dieper op ingaan, wordt het hele ICT-systeem van de overheid aangepakt als zouden wij er niets aan willen doen. Ik werp dat verre van mij. Volgens mij staat het goed op ons netvlies en zal dat ook voor de opvolgers in de toekomst gelden. De uitdaging zal alleen maar groter worden. 

Mevrouw Oosenbrug (PvdA):

Ik heb een inhoudelijke vraag, gericht op het Kadaster. Uit het verhaal bleek een beetje dat notarissen op dit moment niet zeker weten — dat zou tenminste uit onderzoek moeten blijken — of de beschikbare data ook de juiste data zijn. Hoe komen zij erachter dat het geen gemanipuleerde data zijn? Is daar een manier voor? 

Minister Schultz van Haegen-Maas Geesteranus:

Dat is een belangrijke vraag. Er werd geïnsinueerd dat de informatie niet altijd betrouwbaar zou zijn. Ondanks het feit dat er 11.000 aanvallen per maand plaatsvinden op het Kadaster, is geconstateerd dat geen van de aanvallen heeft geresulteerd in inbreuk op of aantasting van de systemen van het Kadaster. De feitelijke kadastergegevens kunnen ook niet van buitenaf gewijzigd worden, omdat de infrastructuur gescheiden systemen kent. Informatieverstrekking en het muteren van gegevens staan los van elkaar. Er zijn ook verschillende waarborgen. Wijzigingen moeten geautoriseerd worden goedgekeurd. Daarnaast worden elke dag alle mutaties nog een keer gecontroleerd. Er is dus 100% controle. Volgens het Kadaster mag men er daarom van uitgaan dat de kadastergegevens juist zijn. Ik vind dat een heel belangrijke boodschap om naar buiten te brengen. Hier ontstaat immers onrust. Dat er aan de systemen het een en ander kan worden verbeterd en gewijzigd en dat er uitval kan plaatsvinden, is een feit, maar het is niet zo dat hiermee de betrouwbaarheid van de gegevens aan de orde is. We zullen er altijd aan moeten blijven werken om ervoor te zorgen dat dit ook in de toekomst zo is. 

De voorzitter:

Dank u wel.