Handeling
Datum publicatie | Organisatie | Vergaderjaar | Vergadernummer | Datum vergadering |
---|---|---|---|---|
Tweede Kamer der Staten-Generaal | 2020-2021 | nr. 4, item 4 |
Zoals vergunningen, bouwplannen en lokale regelgeving.
Adressen en contactpersonen van overheidsorganisaties.
U bent hier:
Datum publicatie | Organisatie | Vergaderjaar | Vergadernummer | Datum vergadering |
---|---|---|---|---|
Tweede Kamer der Staten-Generaal | 2020-2021 | nr. 4, item 4 |
Vragen van het lid Van Brenk aan de minister van Infrastructuur en Waterstaat over de digitale beveiliging van Waternet.
De voorzitter:
De derde vraag is van mevrouw Van Brenk namens 50PLUS aan de minister van Infrastructuur en Waterstaat, die ik van harte welkom heet. De vraag gaat over de digitale beveiliging van Waternet.
Dan is nu het woord aan mevrouw Van Brenk.
Mevrouw Van Brenk (50PLUS):
Voorzitter. Ik was boos toen ik het relaas las van Follow the Money over de digitale beveiliging van Waternet. Interne bronnen daar melden dat het niet de vraag is óf het verkeerd gaat maar wannéér, en dat het dan ook goed fout gaat en dat Waternet dan het slachtoffer wordt van een hack. Dit is niet de eerste keer dat 50PLUS kritische vragen aan deze minister stelt over de cybersecurity van onze vitale voorzieningen.
In dat artikel wordt een huiveringwekkend beeld geschetst over een bedrijf dat het drinkwater van 1,3 miljoen mensen levert. Waternet heeft volgens de Algemene verordening gegevensbescherming de plicht om zorgvuldig om te gaan met persoonsgegevens. Het lijkt erop dat de persoonlijke belangen van enkele mensen daar zwaarder wegen dan al die veiligheidsdingen. Er is een angstcultuur ontstaan. Niemand durft er meer iets over te zeggen. Dat klinkt voor ons toch wel heel erg vreemd. Een vitale openbare nutsvoorziening verkeert in direct gevaar om gehackt te worden. Wat ons betreft is het nodig dat deze minister nu onmiddellijk ingrijpt. Ik heb daarom de navolgende vragen.
Wat vindt u ervan dat Waternet grote risico's neemt met de drinkwaterveiligheid, het waterbeheer en de persoonlijke gegevens van zo veel mensen? Hoe oordeelt u over het feit dat het management van deze vitale infrastructuur de veiligheid van deze organisatie, de waterveiligheid in vele opzichten en de klantgegevens op deze manier willens en wetens in groot gevaar brengt? Denkt de minister dat dit management nog geschikt is voor zijn taak?
Hoe is het mogelijk dat Waternet op elke — ik herhaal: elke — beveiligingslaag met problemen kampt? Wat vindt u van het feit dat ook een IT-specialist stelt dat hier onacceptabele veiligheidsrisico's worden genomen? Wat vindt u van de constatering dat het geen vraag is óf maar wánneer er iets gebeurt? Wat heeft de minister inmiddels gedaan of wat gaat zij doen om de digitale veiligheid per direct te verbeteren?
De voorzitter:
Dan geef ik nu het woord aan de minister.
Minister Van Nieuwenhuizen-Wijbenga:
Dank u wel, voorzitter. Het was een hele serie vragen van mevrouw Van Brenk, maar ik begrijp de ongerustheid zeer, want als je het artikel leest, dan schrik je je te pletter. Dat had ik ook toen ik het las, dus ik begrijp zeer goed waar de vragen vandaan komen. Ik ben het ook zeer met mevrouw Van Brenk eens dat een en ander gewoon op orde moet zijn, of het nu gaat om de privacyaspecten zoals we die in Nederland in de AVG beschrijven, of om de cybersecurity. Dat moet boven iedere twijfel verheven zijn. Er moet gewoon aan de wet worden voldaan.
Als je zo'n artikel leest, is het natuurlijk ook passend om te kijken naar de vraag wat Waternet, de organisatie waarover het gaat, zich hiervan aantrekt en wat zij hieraan doet. Ik vind het dus ook goed dat zij er nu voor kiest om een extern onderzoek in te stellen, want nogmaals, het moet boven iedere twijfel verheven zijn; je moet gewoon kunnen instaan voor de privacy en de cybersecurity.
Mevrouw Van Brenk weet ook dat dit onderwerp mij zeer na aan het hart ligt. We hebben niet voor niks in deze periode voor het eerst een addendum bij het Bestuursakkoord Water gemaakt waarin we met elkaar ook afspraken hebben gemaakt over de cybersecurity en de privacyaspecten ervan. Het is uiteraard ook aan de ILT, die daar toezicht op moet houden, om de contacten hierover te onderhouden.
Ik wacht natuurlijk ook het externe onderzoek van Waternet af. Zij zijn er in eerste instantie zelf verantwoordelijk voor om dit op orde te hebben. Dat past ook in de sfeer van hoor en wederhoor. Dat is eigenlijk in het kort mijn reactie.
Mevrouw Van Brenk (50PLUS):
Wij hebben hier inderdaad vaker over gesproken. Er is ook een motie van 50PLUS aangenomen over het verbeteren van de cybersecurity van de vitale waterwerken. Is de minister dan ook van mening dat die motie net zo goed voor Waternet geldt? Heeft zij signalen dat deze problemen ook bij andere waterbedrijven spelen? Er is daar een behoorlijk stevig signaal uitgegaan van — dit is een moeilijke naam — de chief information security officer. Dat wordt genegeerd. Het management legt dat naast zich neer. Ik heb er dus geen vertrouwen in dat Waternet het probleem oppakt met een onderzoek. Intern is er kritiek. Ze doen er niets mee. Ze laten het gewoon gebeuren. En nu het zo openlijk is, geven we eigenlijk ook alle ruimte aan de mensen die hacker zijn. Welke risico's lopen wij? En hoe snel gaat de minister dit oppakken?
Minister Van Nieuwenhuizen-Wijbenga:
Mevrouw Van Brenk zei aan het begin van haar betoog: het lijkt zo te zijn dat. Dat zou ik echt nog wel boven tafel willen hebben. Daarvoor is het volgens mij heel erg noodzakelijk dat het externe onderzoek goed gaat plaatsvinden. Dan mag mevrouw Van Brenk mij erop aanspreken dat ik er indirect op toezie dat we echt het naadje van de kous te zien krijgen, want nogmaals, alle onderdelen van het cybersecuritymanagement moeten op orde zijn. Dat geldt vooraf, waar de penetratietesten goed op orde moeten zijn. Dat geldt voor het monitoren, want niemand kan voorkomen dat je ooit toch een indringer krijgt, maar dan moet je het in ieder geval weten. En dat geldt aan de achterkant voor je contingency plan, je rampenplan, wat als het toch gebeurt? Dat moet allemaal op orde zijn. Ik verwacht dat in het externe onderzoek op al die zaken serieus zal worden ingegaan. De ILT zal daar ook op toezien.
De voorzitter:
Tot slot, mevrouw Van Brenk.
Mevrouw Van Brenk (50PLUS):
Ik maak me heel erg zorgen over de gegevens die in het artikel staan. Daar staat ook heel simpel dat er een phishingmail intern is rondgegaan en dat nergens, maar dan ook helemaal nergens in het bedrijf een signaal is afgegaan dat iemand is binnengekomen. Dat is je eerste beschermingslaag. Ik wil graag weten van deze minister op welke termijn we duidelijkheid hebben. Dit kan niet lang duren. Het kan een probleem opleveren voor onze drinkwatervoorziening en de veiligheid van 1,3 miljoen mensen in gevaar brengen. Dit mag echt niet lang duren. Dus hoe snel hebben we duidelijkheid?
Minister Van Nieuwenhuizen-Wijbenga:
Ik weet niet precies wanneer het externe onderzoek klaar is. Ik weet ook niet precies wanneer de ILT dit inzichtelijk heeft, maar ik zal er zeer op aandringen dat dit gebeurt. Overigens staan er in het artikel ook nog zaken over het patchmanagement, los van de voorbeelden die u noemt. Dat betekent in gewoon Nederlands: op tijd je update toepassen. Op al die punten wil ik gerustgesteld worden dat het op orde is. Ik weet niet wanneer wij een algemeen overleg Water hebben, maar ...
Mevrouw Van Brenk (50PLUS):
Over zes weken.
Minister Van Nieuwenhuizen-Wijbenga:
Over zes weken. Dat weet u wel heel goed. U bent het misschien nu al aan het voorbereiden. Laat ik dan mijn uiterste best doen om in ieder geval op zo veel mogelijk van die vragen antwoord te krijgen vóór dat algemeen overleg Water.
De voorzitter:
Dank u wel. Dank u wel, mevrouw Van Brenk. Ik dank ... Oh, nee. De heer Stoffer heeft nog een vraag namens de SGP. Excuses.
De heer Stoffer (SGP):
De minister dacht: het is al klaar. Maar nee, ik stel toch nog een extra vraag. Het is heel goed dat mevrouw Van Brenk dit aan de vork heeft gestoken, want als dadelijk ons water bedreigd wordt ... Dat is immers een eerste levensbehoefte. Zonder dat kunnen we niet vooruit, zelfs geen dag. Nu is dit vorige week bij de Algemene Politieke Beschouwingen ook aan de orde geweest, namelijk de digitale veiligheid in algemene zin. Toen heeft het kabinet toegezegd om een brief naar de Kamer te sturen waarin versnippering en coördinatie rond digitale veiligheid nadrukkelijk aan de orde zullen komen. Mijn concrete vraag aan de minister is: kan zij deze casus en wellicht ook de uitkomsten van het onderzoek dat volgt, meenemen in die brief?
Minister Van Nieuwenhuizen-Wijbenga:
Ik weet niet helemaal hoe de timing van de brief er precies uit gaat zien. Maar in ieder geval heb ik mevrouw Van Brenk net toegezegd om de commissie voor Infrastructuur en Waterstaat over dit onderdeel zo snel mogelijk te informeren. We hebben, naar aanleiding van het rapport van de Rekenkamer over de cyberveiligheid van onze kritische infrastructuur, in juni, dacht ik, ook nog een brief naar de Kamer gestuurd. We zullen daar natuurlijk ook de follow-up van meenemen. Het treft dat collega Grapperhaus ook in de zaal is, die over de coördinatie van de cyberveiligheid gaat. Als we samen een momentum kunnen vinden om het in die brief een plek te geven, dan verzet zich daar niks tegen, denk ik. Maar het moet wel even afhangen van de timing. Anders informeer ik uw Kamer gewoon via de commissie voor Infrastructuur en Waterstaat.
De voorzitter:
Dank u wel.
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/h-tk-20202021-4-4.html
De hier aangeboden pdf-bestanden van het Staatsblad, Staatscourant, Tractatenblad, provinciaal blad, gemeenteblad, waterschapsblad en blad gemeenschappelijke regeling vormen de formele bekendmakingen in de zin van de Bekendmakingswet en de Rijkswet goedkeuring en bekendmaking verdragen voor zover ze na 1 juli 2009 zijn uitgegeven. Voor pdf-publicaties van vóór deze datum geldt dat alleen de in papieren vorm uitgegeven bladen formele status hebben; de hier aangeboden elektronische versies daarvan worden bij wijze van service aangeboden.