6 Privacylek in de systemen van de GGD

We gaan verder met het debat over een privacylek in de systemen van de GGD en zijn toegekomen aan de eerste termijn van het kabinet. Ik zie de heer Verhoeven bij de interruptiemicrofoon staan.

Voorzitter. Voordat we beginnen, heb ik even een vraag. Anders moet ik de minister weer onderbreken. De eerste vraag is of we nu als Kamer echt alles weten wat er is aan onderzoeken, omdat de situatie vorige week heel anders leek dan nu. Ten tweede, er wordt in een aantal stukken van het kabinet gesproken over een geheime risicoanalyse die de GGD recent zelf heeft uitgevoerd. Mijn vraag is waarom die nou toch niet op de een of andere manier naar de Kamer kan worden gestuurd, omdat het wel een analyse is waarop in de stukken heel veel wordt gebaseerd als het gaat om de vervolgacties. Dus de Kamer heeft te maken met een risicoanalyse die geheim is en vervolgens gaan we praten over de vervolgstappen van de minister.

Ik dacht dat u een punt van orde had. Maar dit is geen punt van orde.

Het is een punt van orde om de Kamer te vragen om mij bij te vallen om die risicoanalyse waar mogelijk openbaar te maken, met eventueel eerst een reactie van de minister op de vraag of we nu echt alles weten. Ik vraag dit opdat we goed kunnen debatteren en dit geheime stuk op de een of andere manier toch aan de Kamer kan worden gezonden.

Ja. Ik kijk even naar de minister. Ik zie ook mevrouw Agema. Is dat in aanvulling hierop?

Ja, voorzitter. De heer Verhoeven was mij even voor. In antwoord op mijn vragen verwijst de minister naar een brief van 24 december, waarin hij uitleg geeft over die risicoanalyse. Er wordt hard gewerkt door ketenpartners, het risico op datalekken wordt geminimaliseerd, er wordt hoogwaardige cybersecurityexpertise ingezet. Maar hij zegt ook in dat stuk dat de risicoanalyse op 11 december in concept opgeleverd is en, mede na overleg met het NCSC, vanwege de veiligheidsreden "vertrouwelijk" blijft. Me dunkt dat de minister op 24 december veel meer wist dan de summiere verslaggeving in deze brief. Het verzoek van de heer Verhoeven wil ik dus steunen. Ik zou willen weten wat de minister wist op 11 december. Dat weten we dus niet, omdat dit stuk geheimgehouden wordt.

Ik denk dat het goed is dat de minister gewoon het woord krijgt. Dan kan hij deze vraag ook beantwoorden.

Dus met andere woorden …

Dat is de reden dat ik dat niet openbaar kan maken. Kan ik het delen met de Kamer? Dat zou een terechte vraag kunnen zijn. Ja, dat kan, maar slechts onder de voorwaarde van vertrouwelijkheid.

Kijk, dat we niet willen dat er op basis van informatie dan een kwetsbaarheid in de systemen ontstaat, zal het grootste deel van de Kamer wel met de minister eens zijn. Maar ik ben wel heel benieuwd of al die informatie in dat stuk nou echt wijst op kwetsbare onderdelen van de systemen waarvan kwaadwillenden gebruik gaan maken, of bijvoorbeeld ook een aantal dingen die de Kamer gewoon hoort te weten, omdat er dingen zijn misgegaan, omdat er dingen onzorgvuldig zijn opgepakt, omdat er te lang gewacht is. Als die dingen onder het mom van veiligheid van systemen terzijde worden geschoven en niet aan de Kamer worden gemeld in een debat als dit, dan vind ik dat niet goed. Dan vind ik het toch een oplossing om het in ieder geval vertrouwelijk voor te leggen. Ik wil daar ook de collega's over horen, want het is altijd wel lastig praten over vertrouwelijke stukken. Je kunt die dan niet gebruiken in het debat.

Ja, dat is altijd zo, dat klopt.

Dus ik ben ook benieuwd naar de mening van anderen, maar dan kunnen we in ieder geval als Kamer kijken of er niet dingen in staan die de minister vallen aan te rekenen, los van de systeemveiligheid.

U kunt het niet beoordelen omdat u dat stuk niet heeft kunnen inzien. Uw voorstel is om een deel vertrouwelijk in te zien en om dat niet te doen bij wat misschien gevoelig is. Dat is wat u voorstelt? Is iedereen het daarmee eens?

Ik vind het in ieder geval fijn dat de minister nu iets opheldert. In antwoord op vraag 260 zegt hij: "De risicoanalyse die ik op 24 december aan u heb toegezonden." Dat stoort mij, voorzitter, dus ik wil wel heel duidelijk in de Handelingen hebben voordat wij hier overheen stappen dat de brief van 24 december daar geen duidelijkheid over geeft. Op zich vind ik het wel een goed voorstel om iets vertrouwelijk in te zien, maar wat ik weten wil, is of de minister ervan op de hóógte was dat er sprake was van datadiefstal. Daar geeft de brief van 24 december geen openheid over. Wat ik dus niet wil, is als ik onder vertrouwelijkheid en geheimhouding een brief inzie waarin staat dat de minister wist van datadiefstal, en dat ik dat dan niet mag gebruiken in het debat. Dus ik wil wel heel helder hebben dat duidelijk gecommuniceerd wordt welke delen van die brief nou gevoelige informatie bevatten en welke delen van die brief eigenlijk wel gedeeld zouden kunnen worden met het parlement.

Ik kijk even naar de minister. Wilt u hier kort op reageren?

Ja, ik wil hier heel graag op reageren, op een paar manieren. Het eerste is dat ik nog een keer ga onderstrepen dat mij er alles aan gelegen is om zo transparant mogelijk te zijn. Dat is namelijk de enige manier om het vertrouwen te herwinnen dat is geschaad. Daarom heb ik alles wat onder ons was en wat wij in deze korte tijd tussen vorige week en deze week konden vinden op het departement, in de verslagen et cetera, u doen toekomen in bijlages, in feitenrelazen, zowel vanuit de GGD als vanuit het ministerie van VWS. Ik heb die ook zo ordelijk mogelijk in de brief proberen toe te lichten. Daarbij kan het zijn dat er dingen over het hoofd zijn gezien. Daarbij kan het zijn, gegeven de korte tijdsduur om al deze stukken boven tafel te halen, dat er dingen zijn gemist. Als dat zo is, dan zal ik de Kamer daarover informeren, want ik wil volledig transparant zijn.

Daarnaast speelt dat er twee rapporten zijn waarvan het NCSC zegt: "Die mogen niet openbaar worden wegens de kwetsbaarheid in de systemen". Die mógen niet openbaar worden. Dat gaat over de risicoanalyse die in opdracht is gedaan door de LCT en het gaat over een eigen risicoanalyse door KPMG in opdracht van de GGD. Ik ben bereid die in vertrouwen te delen, maar ik kan niet toestaan dat die rapporten openbaar worden, gegeven de veiligheid van die systemen. Daarvoor moeten eerst alle reparaties plaatsvinden en dan kan ik bezien welk deel daarvan wel of niet openbaar kan worden. Want anders maken we de systemen te kwetsbaar.

Het spijt me, ik zie jullie allemaal staan, maar ik wil toch ook verder met dit debat. Dus ik wil toch toe naar een conclusie waarvan ik hoop dat iedereen die ook deelt, dat de minister nu zegt: in principe zouden de rapporten niet openbaar, vertrouwelijk, worden gedeeld, en een deel van de informatie dat te risicovol is wordt niet gedeeld. Zeg ik het goed? Ja, ik weet dat u het er niet mee eens bent, maar ik wil toch even kijken.

Ik kan die rapporten dus niet openbaar maken. Ik kan ze vertrouwelijk met de Kamer delen. Later in de tijd zou een deel daarvan wellicht — wellicht zeg ik erbij — wel openbaar kunnen worden, namelijk als de veiligheidsrisico's die in dat rapport beschreven staan, zijn afgedicht.

Of u het ermee eens bent of niet, u mag het zeggen, maar ik wil toch verder met het debat. Meneer Hijink.

Mij gaat het erom dat de basis moet zijn dat alles in de openbaarheid wordt gebracht. Als dan blijkt dat bepaalde passages niet in de openbaarheid kunnen worden gebracht omdat daarmee systemen in gevaar komen, moeten we dat niet doen. Daar is iedereen het denk ik over eens. Maar dit zijn rapporten van eind vorig jaar. Inmiddels zijn we een stuk verder en zijn er heel veel kwetsbaarheden in de publiciteit geweest: bijvoorbeeld de exportfunctie, bijvoorbeeld de printfunctie.

Ja maar nu wordt het een debat, meneer Hijink.

Nee, nee, nee, nee, voorzitter, even mijn punt afmaken.

Ja, graag.

Als in die stukken staat dat dit type kwetsbaarheden niet gedeeld mag worden en niet openbaar mag worden, dan is dat achterhaalde informatie, omdat we die informatie inmiddels al hebben. Dus volgens mij moet het uitgangspunt zijn: die stukken zijn openbaar en kunnen worden gedeeld met de Kamer, tenzij er passages tussen zitten die absoluut vertrouwelijk moeten blijven. Ik heb vaker vertrouwelijke stukken ingezien, en het zit me mateloos dwars als je er vervolgens niks mee kan, dus we moeten het omdraaien: eerst openbaar en dan vervolgens kijken wat echt niet kan.

Ik kijk even naar de minister. Kan hij zich hierin vinden?

Ik ga hier niet nu, staande het debat, in tegen het oordeel dat het NCSC heeft gegeven. Het NCSC zegt: niet openbaar. Dat is de uitdrukkelijke instructie van het NCSC en daar ga ik niet, staande het debat, een ander oordeel over vellen, omdat ik dat niet kan overzien. Als het gaat om transparantie, ben ik het volledig eens met de heer Hijink. Ik wil volmaakt transparant zijn over wat er niet goed is gegaan. Daarom heb ik ook zo veel mogelijk alles wat ik kon vinden aan de Kamer gestuurd. Ik heb het geordend. Alle feiten die mij bekend zijn, heeft u ook. Die staan in de brief en die staan in de antwoorden. Die staan in het feitenrelaas dat is meegezonden.

Ik kan me voorstellen dat u overvallen wordt door zo'n vraag over vertrouwelijkheid. Is het een idee dat u lopend het debat, of in de tweede termijn, daarover wat meer informatie geeft?

Dat is een heel goed voorstel. Ik weet dat er goed wordt meegeluisterd door tientallen ambtenaren.

Ja, er wordt meegeluisterd.

Ik ga in de tweede termijn toelichten hoe we hiermee kunnen omgaan. In de tussentijd probeer ik ruggespraak te houden met het NCSC.

Prima. Ik zie jullie bij de interruptiemicrofoon staan, maar ik ga geen conclusie trekken, want dat roept altijd nieuwe discussie op.

Even over uw conclusie. Mijn punt was heel duidelijk, namelijk dat het volgende van belang is. Ik snap dat de minister de gevoelige delen in vertrouwelijkheid wil delen, maar als er bijvoorbeeld in staat dat de minister wel op de hoogte was van het datalek of van onveilige situaties, dan vind ik niet dat ik op voorhand ertoe gedwongen moet worden om dat dan vertrouwelijk te houden. Ik zou het wel fijn vinden als u dat meeneemt.

Dat is goed.

In aanvulling daarop is het natuurlijk cruciaal om te weten op welk moment geadviseerd werd om die automatische controles uit te oefenen. Daarvan heeft de minister gezegd: dat doen we al, dat deden we toch niet. Voor mij is het heel cruciaal of al geadviseerd en toegezegd was aan de AP om dat eind december te implementeren. Hij schrijft nu in de brief: dat gaan we alsnog doen.

Dan geef ik nu het woord aan de minister.

Daar kom ik over te spreken, ook over wat ik daarover heb gezegd in het vragenuur en over wat ik daarbij eigenlijk had moeten zeggen. Dus daar kom ik zo meteen op.

Voorzitter. Ik denk dat het goed is om dit debat van de kant van het kabinet te beginnen met te onderstrepen dat mensen te allen tijde erop moeten kunnen vertrouwen dat medische gegevens veilig worden gedeeld en veilig worden bewaard. Juist vanwege het privacygevoelige karakter van die gegevens is dat van belang. Het bericht dat mensen datasets met persoonsgegevens uit de GGD-systemen HPZone en CoronIT hebben aangeboden, is een heel ernstig bericht. Ik betreur het dat dit heeft kunnen plaatsvinden, want als er daadwerkelijk handel in persoonsgegevens heeft plaatsgevonden, is dat in de eerste plaats heel erg ernstig voor de mensen die daar het slachtoffer van zouden kunnen worden.

Twee. Dit heeft natuurlijk tot onrust geleid, die mogelijkerwijs van invloed zou kunnen zijn op het vertrouwen dat mensen hebben in het hele testbeleid en in de manier waarop wordt omgegaan met gegevens bij dat testen.

Een derde reden waarom het een ernstig feit is, is dat dit raakt aan het vertrouwen in alle medewerkers van de GGD, ook al die duizenden medewerkers die iedere dag te goeder trouw hun werk doen. Daarom is het ernstig en dat betreurt het kabinet zeer.

Ik zal zo dadelijk mijn vragen in drieën indelen. Blok één, hoe heeft het zover kunnen komen, welke signalen had ik daartoe en wat gaan we eraan doen? De kern van het debat, denk ik. Een tweede belangrijke punt in het debat zijn de slachtoffers en het herstel van vertrouwen. Een aantal vragen daarover zullen overigens worden beantwoord door collega Dekker, de collega van Rechtsbescherming, met name over het wettelijk kader. Dan heb ik nog wat overige vragen en collega Dekker gaat daarna in op de AP. De meer algemene vragen over de AP, maar ook de AP in deze kwestie.

Voorzitter. Voordat ik de vragen beantwoord, zou ik graag een aantal dingen willen rechtzetten van de beantwoording van vorige week in het mondelinge vragenuur. Ik heb toen namelijk een aantal dingen gezegd die ik anders had moeten zeggen. Eén is dat ik heb gezegd dat de GGD sinds de start van de pandemie continu het gebruik van de systemen controleert. Dat heeft, weet ik nu, de indruk gewekt dat er nu reeds sprake is van een geautomatiseerde controle, terwijl de GGD tot nu toe structureel steekproefsgewijs heeft gecontroleerd. Dat is geïntensiveerd, maar daar komen we zo meteen op. Ik heb daarna gezegd dat die controles ook worden geautomatiseerd, zodat ze volcontinu kunnen worden uitgevoerd. Daar had ik, voor de helderheid, beter bij kunnen zeggen dat dit pas in maart zal zijn gerealiseerd. Dat is één.

Twee is dat ik duidelijker had moeten zijn over de NEN-norm. Ik heb gezegd dat de GGD, het systeem van de GGD, voldoet aan de laatste NEN-norm. Hoewel dat strikt genomen klopt — het systeem voldoet aan die norm — had ik duidelijker moeten formuleren dat dit wel geldt voor het softwareplatform, maar dat de organisatie van de GGD GHOR nog niet volledig is NEN-gecertificeerd. Ze bereiden zich daarop wel voor.

Tot slot mijn uitspraak — ik denk eerlijk gezegd dat die nog het meest steekt bij Kamerleden, en zo heb ik u ook gehoord in de eerste termijn — dat tegen een misdrijf, een misdaad, geen kruid gewassen is. Nu ik in de afgelopen dagen alles goed op een rij heb gezet, wat er wanneer bekend was, wat er aan voorgenomen acties wel is uitgevoerd en nog niet is uitgevoerd, moet je op z'n minst zeggen: er was wel meer kruid tegen gewassen geweest. Zoals de voorzitter van de GGD zelf ook zei: gelegenheid maakt de dief. Mevrouw Agema had een citaat van Jacob Cats. Misschien had ik dat citaat daar ook bij moeten gebruiken, want inderdaad, als je de gelegenheid zo duidelijk biedt, dan is het nog steeds een misdrijf, en uiteindelijk is tegen een misdrijf ook geen kruid gewassen, maar hier was wel veel meer kruid tegen gewassen geweest. Ik hecht eraan om dat voorafgaand aan het debat recht te zetten in de richting van uw Kamer, voorzitter.

Dan begin ik met: hoe zijn we hier gekomen en welke maatregelen zijn nodig? Ik denk dat het belangrijk is om daarbij stil te staan. Met de uitbraak van de pandemie — een aantal van u heeft daar ook aan gerefereerd — hebben de GGD'en hun capaciteit om te testen en traceren enorm moeten opschalen. Dat moest om uitvoering te kunnen geven aan de enorme vraag naar testen en naar bron- en contactonderzoek. Bron- en contactonderzoek was de klassieke taak van de GGD. Testen was eigenlijk een nieuwe taak voor de GGD, althans in deze vorm. Zij hebben die nieuwe taak halsoverkop op zich genomen — op zich móéten nemen — omdat die pandemie nu eenmaal over de wereld raasde en we in Nederland, net zoals in alle landen, eigenlijk op geen enkele manier opgewassen waren tegen een pandemie van deze omvang. Het is letterlijk een figuurlijk een ongekende pandemie. Het testen op het coronavirus op de huidige schaal is dus nieuw en er moest dus ook halsoverkop een nieuw IT-systeem worden gebouwd. Dat is CoronIT.

Twee: bron- en contactonderzoek is geen nieuwe taak is. Dat deed men al een tijdje. Alleen werd bron- en contactonderzoek af en toe gedaan, bij een kleine uitbraak. Wie maakte er gebruik van dat systeem HPZone? Dat waren de artsen infectieziektebestrijding. Die maakten gebruik van dat systeem. Dat oude systeem moest in plaats van af en toe voor een kleinschalige uitbraak ineens door duizenden mensen tegelijk worden gebruikt. Daar is HPZone Lite voor ontwikkeld, om het mogelijk te maken dat na de opschaling ook een landelijk team bron- en contactonderzoekers aan de slag kon. Ik denk dat we allemaal, als we terugkijken naar die debatten van toen — de debatten hier, maar ook het gesprek in de samenleving — dingen herkennen: die testen moesten snel uit de grond worden gestampt en het bron- en contactonderzoek moest heel snel worden opgeschaald, met heel veel medewerkers. Zo is het gekomen dat er heel veel aandacht is gegaan naar functionaliteit, de enorme oploopsnelheid, doorlooptijden, de bedrijfscontinuïteit, het voorkomen van storingen, de gebruiksvriendelijkheid — je moest online een testafspraak kunnen maken en zelf contacten kunnen doorgeven — en het verbeteren daarvan. Er was ook wel aandacht voor privacy en dataveiligheid, maar, naar nu blijkt, onvoldoende. Er heeft datadiefstal plaats kunnen vinden. Daarmee moet je constateren dat de aandacht voor dataveiligheid onvoldoende is geweest.

Waren er dan niet eerder signalen? Ja, die waren er wel. Ik heb de signalen zoals die ons bekend waren, weergegeven in de beantwoording van de schriftelijke vragen die zijn gesteld en in de brief. Er waren natuurlijk signalen, soms in kranten en soms werd er een direct signaal gemeld. Er waren bijvoorbeeld signalen bij Nieuwsuur, niet alleen over storingen in het IT-systeem, maar ook over de mate waarin meerdere mensen contacten konden opzoeken in de systemen. Er is vanuit het AD een signaal gemeld. De GGD heeft mij deze week gemeld dat er op 2 juli één signaal formeel is binnengekomen bij de GGD GHOR Nederland. Ik heb u zo goed mogelijk geïnformeerd over signalen die ik eerder had, maar ik moet hier echt een voorbehoud maken. Het zou best kunnen zijn dat er straks meer signalen bovenkomen die er al eerder zijn geweest. Die heb ik alleen niet kunnen vinden in de afgelopen dagen.

Hoe het ook zij, het belangrijkste moment voor ons om in actie te komen, was het moment waarop we in het najaar steeds vaker datastoringen hadden. Dat hebben we hier in de Kamer ook aan de orde gesteld. We zagen namelijk instabiliteit van systemen. Ik heb u toen toegelicht dat we Osiris hadden vanuit het RIVM, HPZone voor het bron- en contactonderzoek en CoronIT van de GGD, en dat in de gegevensuitwisseling tussen die systemen nogal wat instabiliteit zat. Dat is voor de voorzitter van de LCT de aanleiding geweest om opdracht te geven voor een ketenbrede analyse van het IT-landschap, want als dit misgaat, zo was zijn overtuiging, als er namelijk instabiliteit is in gegevensstromen, dan zal er ook wel meer mis zijn in de IT-systemen, die natuurlijk niet allemaal vanaf het begin fit for purpose waren. Zo is de opdracht voor die analyse gegeven. Dat heeft geleid tot de brief die ik u heb gestuurd op 24 december. Daarin staan een aantal elementen genoemd, onder andere dataveiligheid en privacy. Er is toen opdracht gegeven tot een verbeterplan, dat deze week voorligt. Daartussendoor kwam het signaal via RTL van anderhalve week geleden. Dat kwam ertussendoor. Dat bevat vergelijkbare observaties ten aanzien van de dingen die moesten gebeuren. Alle dingen die al in gang zijn gezet vanaf het doen van de analyse — men heeft daar zeker niet gewacht op een verbeterplan — blijken nu allemaal versneld te moeten plaatsvinden.

Ik denk dat het goed is als ik zo bij al die maatregelen stilsta, want daar zijn heel veel vragen over gesteld. Dat snap ik ook, want dat is natuurlijk de kern van het debat. Maar laat ik hier even pauzeren.

Dan heb ik mevrouw Agema, mevrouw Kröger, de heer Hijink en de heer Azarkan. Mevrouw Agema.

De minister heeft het over verbeteringen aan een systeem dat hij eigenlijk gelijk wil houden. Voor het doen van zoiets eenvoudigs als een test moeten al die persoonsgegevens verzameld worden. Maar de minister wil tegelijkertijd het testbeleid nog veel verder opschalen. Hij wil maximaal gaan testen, ook als uitweg uit de crisis. Mijn vraag aan de minister is: dat is toch niet houdbaar in een systeem waarin zo veel persoonsgegevens worden verzameld? Moet hij niet overgaan op een systeem dat veel laagdrempeliger werkt, bijvoorbeeld met een eenmalige code?

Hier zitten veel vragen onder die de kern raken van dit debat. Ik sluit mijn antwoord af in de richting van mevrouw Agema, want ik denk dat ik een flinke stap in haar richting zou kunnen zetten. Maar ik wil eerst beginnen met de vraag die vaak wordt gesteld: waarom wordt er eigenlijk überhaupt een bsn-nummer gebruikt? Daarop moet het antwoord zijn: omdat het wettelijk verplicht is. Het gaat hier over een behandelovereenkomst in de zin van de WGBO. Het klinkt een beetje zwaar, maar het is toch een medisch dossier dat moet worden opgebouwd. Bij een medisch dossier hoort een bsn-nummer. Maar ook daarvan kan je de vraag stellen, en die vraag heb ik ook gesteld aan de GGD: zou je na de registratie het bsn vervolgens in de verwerking van de gegevens niet kunnen pseudonimiseren, dus er een andere code aan kunnen hangen, zodat je in de verdere verwerking van de gegevens minder met het bsn werkt? Ik denk, eerlijk gezegd, dat dat mogelijk is, maar ik kan dat op dit moment nog niet helemaal overzien. Ik denk echter dat dat mogelijk is en die vraag heb ik dus gesteld. Maar mevrouw Agema wijst volgens mij terecht op iets anders. Dit gaat over het bestrijden van het virus, dit gaat over testen in het kader van het bestrijden van het virus. We doen heel veel testen in het kader van het bestrijden van het virus. Maar we willen testen natuurlijk ook gaan gebruiken voor een ander doeleinde. Mevrouw Agema vraagt: zou het daar nou ook niet op een andere manier kunnen? Mijn antwoord op die vraag is: ja. Ik zal u daarover uiteraard uitgebreider informeren als we er helemaal uit zijn hoe we dat zouden moeten gaan doen. Maar mijn idee daarover is het volgende. Een test is gewoon een medische handeling waar een medisch dossier bij hoort. Nogmaals: dit klinkt te zwaar, maar dat is het nou eenmaal. Maar vervolgens heb je dat natuurlijk niet nodig om jezelf ergens toegang toe te verschaffen. Het enige wat je dan nodig hebt, is een bewijs van een negatieve testuitslag. Vanaf dat moment is het eigenlijk geen medisch dossier meer, maar is het gewoon een gegeven dat je daaruit zou kunnen halen en dat je dus aanbiedt om te bewijzen dat je negatief getest bent. Dat is voor toegangstesten het enige wat je vervolgens nodig hebt. Dus de oplossing die wij nu aan het voorbereiden zijn, zit op zo'n manier in elkaar dat daar eigenlijk gewoon nul persoonsgegevens meer bij betrokken zijn. Het enige wat daar nog is, is een bewijs van een negatieve testuitslag, gewoon als een persoonlijk gegeven, zonder dat dat een medisch dossier is.

Ik zie hier heel erg de richting naar een heel flinke en forse toezegging door de minister. Er zit mij echter nog wel een dingetje dwars, namelijk dat gegeven van die behandelrelatie die zogenaamd aangegaan wordt bij het aangaan van een test. Daar zit het echt dwars. Als de politie een alcoholcontrole doet en allemaal automobilisten aan de kant zet, en die automobilisten allemaal een blaastest laat doen, dan wordt daar niks over geregistreerd. Er is geen behandelovereenkomst over aangegaan, er is geen bsn bij gevraagd. Nee, iedereen die negatief test, kan gewoon door. Pas als iemand te veel gedronken heeft, zijn er consequenties en gebeurt er van alles. Mijn punt is dat we eigenlijk een systeem hadden moeten hebben waarbij er pas een soort van behandelrelatie ontstaat als je positief getest bent. Want anders ben je eigenlijk gewoon lukraak informatie van mensen aan het verzamelen die allemaal niet eens besmet zijn en met wie je daarna ook eigenlijk niks meer van doen hebt. Die informatie wordt ook nog eens twintig jaar bewaard en is privacygevoelig. Ik denk dus dat de minister echt een stap terug moet. Hij moet terug naar: wanneer ga ik nou eigenlijk die behandelovereenkomst aan, en wanneer moet ik dat in de toekomst eigenlijk niet meer doen? Ik begrijp dat hij daar nu niet opeens op terug kan komen, maar ik hoop dat hij de toezegging kan doen dat hij daar dieper op in zal gaan. Het moet gewoon mogelijk zijn om met een eenmalige code met een blaastest ... De minister staat vandaag nog met die blaastesten in de krant. Ik kan me toch niet voorstellen dat ...

O, kijk eens aan. Dat zijn de minder fortuinlijke foto's van een blaastest.

Ik kan me niet voorstellen dat de minister bedoelt dat je hier een hele behandelovereenkomst voor moet aangaan. Dus daar zou ik hem graag over horen. Als het vandaag niet kan, kan het wellicht op een ander moment. Op die manier zouden we tot een veel laagdrempeliger en minder privacygevoelig systeem kunnen komen.

Op twee manieren ga ik hierop terugkomen. Ik kom er in de eerste plaats op terug in de brief die ik u over een week of zes hoop te kunnen sturen. Die brief gaat over waar we staan met al die maatregelen die we ons hebben voorgenomen. In die brief kom ik hierop terug, want inderdaad is bij de GGD de vraag gesteld: hoe zou je het gebruik van bsn kunnen minimaliseren? Persoonsgegevens heb je wel nodig, maar alleen die persoonsgegevens die wettelijk verplicht zijn en alleen de persoonsgegevens die je ook daadwerkelijk nodig hebt om het werk op een goede manier te kunnen doen. Doelbinding is daarbij dus een belangrijk fenomeen. De doelbinding in de Wpg is nogal breed omschreven, dus daar zal voorlopig het probleem niet zitten. Maar je wilt ook daar het uitgangspunt van dataminimalisatie. Je wilt ook daar het uitgangspunt van zo veel mogelijk pseudonimiseren. Ik kom dus terug op de vraag op welke manier het inderdaad wettelijk voorgeschreven is, en ook hoe je dat tot een minimum zou kunnen beperken.

Ten aanzien van het toegangstesten kom ik daar al eerder op terug, omdat ik al eerder met uw Kamer wil delen hoe ik dat voor ogen heb. Maar het is denk ik goed om te weten dat de techniek die we daar nu voor in voorbereiding hebben, in ieder geval geen gebruikmaakt van persoonsgegeven, omdat dat eigenlijk geen medisch dossier meer is, maar slechts een negatieve uitslag uit dat medisch dossier, dat je gebruikt als toegangsbewijs.

Helder. Mevrouw Kröger heeft een vraag.

De privacygevoelige gegevens van miljoenen mensen hebben we verzameld, heeft de GGD verzameld in een systeem dat zo lek was als een mandje. In de analyse van de minister hoor ik eigenlijk twee sporen. Aan de ene kant is de analyse: we hadden haast, er stond druk op en daarbij is privacy niet goed genoeg en niet zorgvuldig genoeg geborgd. Dus: onzorgvuldigheid versus snelheid. De andere analyse is eigenlijk: om medewerkers hun werk effectief te kunnen laten doen, was een bepaalde mate van toegang nodig. Mijn vraag is op welke van die twee het nou zit. Waar is die afweging gemaakt?

De afweging zoals die wordt gemaakt, is natuurlijk geen bewuste afweging waarbij je op de weegschaal die meerdere elementen naast elkaar legt en zegt: zullen we vandaag maar eens eventjes geen rekening houden met privacy? Zo heb ik dat dus niet kunnen traceren. Het is wel zo dat alles wat aandacht krijgt, groeit. Wat had op dat moment de meeste aandacht? Dat was de snelheid waarmee men kon opschalen, de snelheid waarmee men nog meer mensen in het bron- en contactonderzoek aan de slag kon zetten, het praktisch kunnen werken met een hele grote groep die je landelijk neerzet en die ook regionaal kan bijspringen. Daar hebben we heel veel over gesproken, ook hier in de Kamer. Dat had dus de meeste aandacht. Dat heb ik ook gezien in het contact tussen het departement en de GGD, tussen ons als opdrachtgever en de GGD GHOR, de landelijke GGD-organisatie, als opdrachtnemer. Daar ging het met name over: kan het sneller, meer, harder en beter? Dat was eigenlijk telkens toch de inhoud van het gesprek. Er was onvoldoende aandacht — die was niet helemaal afwezig; helemaal niet — voor privacy. Ik hoorde daarover ook het debat met de heer Veldman en ik denk dat we moeten oppassen met daar een tegenstelling van maken. Dat deed u overigens ook niet. Het is namelijk geen tegenstelling. Het is niet óf veiligheid óf gezondheid óf privacy. Dat is het niet, maar er is wel een zekere uitruil, want als je heel erg veel aandacht geeft aan de gebruiksvriendelijkheid of aan de praktische uitvoerbaarheid van een systeem, kan de beveiliging van gegevens weleens in het geding komen of dan kan de aandacht daarvoor afnemen. Dat is niet goed geweest.

Nu zegt de minister aan de ene kant dat we niet moeten doen alsof het een tegenstelling is, maar aan de andere kant schetst hij toch dat dat wel het geval is, terwijl privacy by design toch de randvoorwaarde is voor het systeem dat wij gebruiken om de gegevens van nieuwe mensen op te slaan.

Exact.

Dat is dus niet randvoorwaardelijk geweest.

Ja, dat is zo. Dat is zeker zo. Dat geldt voor die twee systemen natuurlijk enigszins verschillend. Bij HPZone kun je zeggen dat dat in de oorsprong — dat systeem is in 2003 ontwikkeld en wordt door bijna alle GGD'en gebruikt — nooit bedoeld is geweest voor dit type gebruik. HPZone is bedoeld geweest voor een exquise club van artsen infectieziektebestrijding, een kleine club die daarvan gebruikmaakt, met alle waarborgen van dien. Het is nooit bedoeld voor duizenden bron- en contactonderzoekers, ook van buiten, die in het systeem zouden kunnen. Daarvoor is het systeem überhaupt niet geschikt geweest. Bij CoronIT is er wel degelijk, ook vanaf het begin, aandacht geweest voor privacy. Ik zeg niet dat het een uitruil is tussen het een of het ander. Ik zeg ook niet dat het een tegenstelling is. Ik zeg wel het volgende. Als ik terugkijk naar waarover het departement met de GGD het meest heeft gesproken met betrekking tot CoronIT of überhaupt testen en traceren, dan was dat over: kan het sneller, kan er meer, kan het beter et cetera? Dat was dus veel meer de inhoud van het gesprek dan de privacy. Ik denk dat het daarmee een onderbelicht thema is geweest, maar ik hecht eraan het met mevrouw Kröger erover eens te willen zijn dat het geen tegenstelling is. Ik denk dat privacy by design niet voor niets dé manier is om tot IT te komen, zeker tot IT in overheidshanden en in handen van de gezondheidszorg. Dat hebben we bijvoorbeeld bij die app ook gedaan. En de app die nu wordt gebouwd, GGD Contact, gaat op precies dezelfde manier. De toegangstestapp wordt op precies dezelfde manier tot stand gebracht.

Ik hoor hier van de minister dus de erkenning dat in de gesprekken tussen VWS en de GGD privacy onvoldoende aan bod is geweest …

Zeker.

… en dat het allemaal is gegaan over snelheid. Als het dan gaat over snelheid en haast, snap ik werkelijk niet dat een onderwerp dat zowel intern als extern een aantal keren is geagendeerd, die exportfunctie, er uiteindelijk volgens mij in 24 uur af is gegaan. Toen was er weer een nieuw nieuwsbericht van de NOS: boem, de printfunctie was eraf.

Ja.

Kennelijk kan er dus heel snel gehandeld worden …

Klopt.

… als de druk maar hoog genoeg is. Hoe kan het nou dat die eerdere signalen niet die druk hebben gegenereerd? Hoe kan dat?

Omdat al het andere ook aandacht vraagt en vroeg. Dat is natuurlijk toch een beetje het punt in deze crisis. Dat zou mijn verklaring zijn. Dat is meer een verklaring. Het is geen excuus, integendeel. Het is een verklaring, omdat ik de vraag ook verklarend hoor. Alles is belangrijk. Alles is belangrijk, alles moet morgen af, alles moet sneller, meer, harder, beter et cetera, de hele tijd, al een jaar lang. De GGD staat ook op die manier in een crisistijd. Reflecterend op de afgelopen kerstvakantie kan ik zeggen dat ik eindeloos met de GGD in gesprek ben geweest, echt iedere dag, over vaccinatie en over hoe dat sneller uit de grond kon worden gestampt en hoe we sneller konden starten met vaccinatie. Dat was mijn gesprek in het hele kerstreces met de GGD. Ik deel met mevrouw Kröger, want zo hoor ik haar, de vraag of het niet meer aandacht had moeten krijgen. Het antwoord op die vraag is gewoon "ja, het had meer aandacht moeten krijgen".

Ik begrijp niet zo goed wat de minister net zegt. Hij zegt eigenlijk: we hebben alle signalen die sinds de zomer aangaven dat de systemen lek zijn, niet opgepakt. Pas toen in het najaar bleek dat er te veel storingen kwamen in het contact tussen het RIVM en de GGD'en, zijn er stemmen opgegaan die zeiden: "O, als er heel veel storingen zijn, zijn er misschien ook wel veel andere problemen met het systeem". Dat is toch eigenlijk heel erg vreemd. Waarom is er op die momenten, na de Nieuwsuuruitzending, toen het AD met het nieuws kwam en toen de melding bij de GGD zelf kwam, niet direct gereageerd?

Ik heb me die vraag natuurlijk ook gesteld. Ik kan daar alleen maar van terughalen, zo zie ik het in hindsight, dat op het moment dat zo'n signaal via de media tot ons kwam, we aan de GGD hebben gevraagd — overigens soms ook omdat u daar Kamervragen over stelde — hoe dit zit en of dit signaal is opgepakt. Ja, was daarop het antwoord. Dat klopt op zichzelf genomen ook wel in de taakverdeling, omdat het natuurlijk zo is dat de IT-systemen van de GGD zijn. Gegevensverwerking is in eerste instantie een taak van de verantwoordelijke voor de gegevensverwerking. Maar, zeg ik daar gelijk bij, had ik hier niet ook zelf scherper bovenop moeten zitten? En ik zeg dit ook een beetje om de heer Hijink voor te zijn, waarna ik het dan weer met hem eens zou zijn. Het antwoord op die vraag is ja. Niet omdat ik verantwoordelijk ben voor de systemen van de GGD, maar omdat dit soort berichten natuurlijk ook het vertrouwen kunnen schaden in het testbeleid als geheel en voor dat stelsel en voor dat testbeleid ben ik wel degelijk eindverantwoordelijk. Dus ja, ik had daar toen zelf ook scherper bovenop moeten zitten.

Ik kan me nog het debat herinneren dat we hier in april/mei hadden. De GGD voelde zich overvallen door de manier waarop deze minister met de GGD omging. De GGD moest per persconferentie horen dat nieuwe groepen als eerste getest moesten kunnen worden. Het ging niet alleen om de snelheid waarmee dat gebeurde, maar ook om het gebrek aan samenwerking. De minister is de opdrachtgever voor het optuigen van dit soort systemen. De minister moet dan toch ook volgen hoe de GGD dat doet? De minister en het ministerie moeten dan toch ook de signalen opvangen, zeker als dat in september bij Nieuwsuur zo breed wordt uitgemeten, dat het systeem zo lek is als een mandje? Er moeten dan toch alarmbellen afgaan? Ook op het ministerie moeten er toch mensen zijn die denken: ho, wacht 'ns. Het gaat hier helemaal mis. Als we nu niet uitkijken, ligt er straks heel veel data op straat. We moeten nu met de GGD'en om de tafel om te zorgen dat dat gat wordt gedicht.

Toch weer even terug. Ook toen heb ik van die berichten van individuele DPG'en die zich hierdoor overvallen voelden, gezegd: ik heb dit type afspraken — de afspraken die ik naar buiten toe meldde, die ik de Kamer meldde en die ik in persconferenties heb gemeld — natuurlijk met de GGD gemaakt. Alleen "de" GGD — dat is wellicht een discussie voor na de crisis — is het geheel van 25 GGD'en met een koepelorganisatie; dat is "de" GGD. Het kan dan best zo zijn dat niet alle medewerkers van al die GGD'en evenzeer op de hoogte zijn van de afspraken die centraal zijn gemaakt. Hoe het ook zij, de heer Hijink heeft natuurlijk gelijk. Dat zeg ik juist ook over de signalen die bijvoorbeeld via het Algemeen Dagblad en via Nieuwsuur — dit was meen ik in september en het Algemeen Dagblad in oktober — tot ons zijn gekomen. Daarvan hebben wij gezegd "GGD, zijn jullie hiermee aan de slag? Pak dit op, want dit is belangrijk." Dat type communicatie kan ik traceren. We hebben daar onvoldoende zelf bovenop gezeten door te vragen wat ze precies gaan doen en of ze datgene wat ze eraan konden doen, maximaal hebben gedaan. Aan de ene kant kun je de vraag stellen of dat wel mijn taak is, want die systemen zijn niet van ons. Dat klopt. Aan de andere kant zou je ook kunnen zeggen en zo zegt u het volgens mij ook: we hadden inderdaad ook toen tot de conclusie moeten kunnen komen dat het kan raken aan het vertrouwen dat mensen hebben in het systeem van testen. Dat maakt dat ik nu vind, met wat ik nu weet, dat ik er toen scherper bovenop had moeten zitten.

Tot slot, de heer Hijink.

Ik blijf met de vraag zitten wat er gebeurd zou zijn als er niet een slimme journalist bij RTL was geweest die dit probleem boven tafel had gebracht. Ik vrees dat er dan helemaal niks was veranderd. Ik vrees dat we dan tot aan de zomer met een systeem hadden gezeten, twee systemen, die zo lek waren als een mandje. Deelt de minister die opvatting?

Nee, die deel ik niet, en dat zal ik toelichten. In november heeft de voorzitter van de LCT, het hele testdatalandschap overziend, gezegd: dit is te houtje-touwtje. Ik zeg het veel te huiselijk, maar u begrijpt wat ik bedoel. Hij zei: gegevens komen niet altijd door en we moeten de basis op orde gaan brengen, want dit gaat niet goed zo. Daarbij ging het ook over de dataveiligheid en over de privacybescherming. Die analyse is niet voor niets gemaakt. Wij hebben die in opdracht van de LCT gemaakt. Vervolgens is onder de LCT met alle partners in de hele testketen, laboratoria, GGD'en en RIVM, een regiegroep opgericht die nu juist hiermee bezig is. Het gaat allemaal over de digitale ondersteuning van testen en traceren. Die regiegroep heeft na de analyse de opdracht gekregen om met een verbeterplan te komen. Het verbeterplan ligt donderdag op tafel in de LCT, maar ik heb mij uiteraard verstaan met de voorzitter van de LCT. Ik zie dat de inhoud van het verbeterplan overeenkomt met wat er moet gebeuren, eenzelfde observatie als die Daniël Verlaan van RTL heeft gedaan.

U vraagt of het ook zonder de journalist aan het licht was gekomen. Ik weet natuurlijk nooit of het dan in volledigheid en met dezelfde power aan het licht was gekomen. Daarom ben ik hem dankbaar voor de melding. Ik geloof dat het gevoelig ligt als ik dat zo zeg, maar ik ben blij dat het gemeld is, dat het nieuws gebracht is. Ik ben er blij mee omdat ik daarmee aan de slag kan. Maar ik zie wel dat de dingen die daardoor moeten gebeuren, mijns inziens overeenkomen met de dingen die ook in het verbeterplan staan. Uiteraard zal ik u over het verbeterplan informeren. Ik zal u vervolgens informeren over de audit die we over zes weken gaan doen om te kijken of echt alles is gebeurd wat er mogelijk is. Ik ga zo in op alle maatregelen die we treffen. Ik vind het belangrijk om te zeggen dat we bezig waren om die IT-infrastructuur op orde te brengen.

Ik snap wel dat de minister zegt "ik wil graag naar de maatregelen", maar dat is met alle respect niet de kern van dit verhaal. Als je de maatregelen nu goed leest, kun je niet anders dan tot de conclusie komen dat het in zijn geheel prima maatregelen zijn. Het probleem is dat we die ergens in het begin of op zijn minst halverwege het jaar hadden moeten nemen. Daar gaat de discussie over. Deze minister krijgt signalen in juni. Mensen konden massaal opzoeken. GGD'ers die al heel lang bij de GGD werkten, maakten zich zorgen. Ze zagen nieuwe mensen binnenkomen en die konden van vrienden, van kennissen, van bekende Nederlanders van huis uit alles opzoeken en hadden daar geen restricties in. De minister zegt dat hij, op het moment dat die signalen kwamen, gevraagd heeft aan de GGD GHOR om het op te pakken. Het antwoord was "dat doen we". Mijn vraag is: waaruit blijkt dat dat is opgevolgd? Wat heeft de minister daarna gedaan om te waarborgen dat niet een tijd later 6,5 miljoen mensen hun data wellicht kwijt zijn?

Over dat laatste moeten we het zo hebben. Daar moet u iets preciezer in zijn. Maar ik begin even met het eerste. Het is goed om na te gaan welke signalen er waren. Ik heb alles wat mij bekend is in de brief beschreven. Ik heb al toegezegd dat, als er de komende tijd meer bekend zou worden, ik dat zal melden. Voor het departement ging het over twee signalen: eentje via Nieuwsuur en eentje via het Algemeen Dagblad.

En de Volkskrant.

Wat ik heb geschreven in de brief, in ieder geval. Maar geen signalen in juni. Dat is niet aan de orde geweest. Vervolgens heb ik daar uiteraard contact over gehad met de GGD, onder andere omdat u daar Kamervragen over stelde. Vervolgens heb ik de GGD gevraagd om dit op te pakken. Dat is vervolgens opgepakt. Maar ik zeg nu, wetend wat de impact zou kunnen zijn geweest, dat ik — dat zei ik zojuist in de richting van de heer Hijink — daar achteraan had moeten gaan om te kijken hoe je het dan oppakt en wat het resultaat daarvan is. Het is niet zo — dat beeld moeten we niet hebben — dat de GGD daar achteloos mee omgaat, integendeel. Ik ken veel DPG'en die veel aandacht hebben voor privacybescherming. Maar in de veelheid van taken die bij de GGD waren belegd, ook in de veelheid van taken waarover het ministerie en de GGD'en zich met elkaar hebben te verstaan, heeft dit niet boven op de stapel gelegen. En dat had met terugwerkende kracht wel gemoeten.

De heer Azarkan.

Het tweede punt waarover ik wil spreken, is dat het toch een beetje een soort van excuus zoeken is. De minister zegt: wij moesten nog heel veel andere dingen doen, alles had prioriteit, het land moest gered worden en daardoor hadden wij hier even minder oog voor. Nu lees ik wat de minister voorstelde aangaande het plan van aanpak om dat datalek te dichten. Hij zei daarover: dat kunnen we doen zonder dat dit invloed heeft op de aanpak van corona. Mijn vraag is waarom deze zaken niet in september konden worden doorgevoerd? Een auditteam instellen. Expertise ter beschikking stellen. Op enig moment zeggen: hier gaat iets gebeuren wat wij nog nooit gedaan hebben, dan is het misschien verstandig dat ik een aantal experts vanuit de Auditdienst Rijk of vanuit de ICT-omgeving vraag om daar eens even langs te gaan om te kijken wat daar gebeurt, want er bereiken mij signalen dat het gewoon niet goed gaat.

Ik had inderdaad beter bovenop die signalen moeten zitten. Dat is van toen. Wat wij vervolgens juist wel hebben gedaan, is dat de LCT — de LCT valt onder de verantwoordelijkheid van VWS — de opdracht heeft gegeven voor die analyse, dus om die analyse goed te doen. Toen is er een team naar binnen gebracht bij alle gegevensverwerkers binnen de hele testketen, bestaande uit experts vanuit het Rijk en vanuit externe expertise, die moesten bekijken wat er aan de hand is. Die zijn met een rapport gekomen. Over dat rapport hebben wij het zojuist gehad. Op basis van dat rapport heeft het NCSC gezegd: beter maar niet delen. Daar zijn allerlei verbeteracties uit naar voren gekomen. Die verbeteracties zijn nu omgezet in een verbeterplan dat deze week wordt vastgesteld. En ondertussen is men wel degelijk aan de slag gegaan met die acties.

De vraag is: had dat eerder gekund? Had dat eerder gemoeten? Mijn antwoord op die vraag is: ja, dat had eerder gemoeten. Maar hoe kan het dan dat het niet eerder is gebeurd? Dat heeft als verklaring — niet als excuus — dat wij inmiddels een jaar in crisis zijn …

Dat heeft u al gezegd.

… en dat wij de hele tijd, meer, harder en beter op de GGD'en aan het duwen zijn en daarbij niet alle dagen evenveel aandacht voor alle aspecten hebben gehad. Wij hebben onvoldoende aandacht gehad voor de privacybescherming en de veiligheid.

Tot slot op dit punt, de heer Azarkan.

Tot slot. De minister zegt ook: aan het eind van het afgelopen jaar hadden we al behoorlijk in de smiezen hoe we het moesten doen; we zagen de risico's en we waren ermee bezig. Maar dan moet het toch ook de inschatting van de minister zijn om op enig moment te zeggen: als het risico zo groot is, dan moeten wij dat als de wiedeweerga gaan doen? Ik vind het weer tekenend dat er zo lang gewacht wordt tot het misgaat, en dat het dan vervolgens wél kan. Hoe kijkt de minister daartegenaan?

Ik meen dat ik u in december heb laten weten wat onze bevindingen waren op basis van de analyse. Ik heb toen ook laten weten wat we daarmee zouden gaan doen. Dus ik denk dat ik het eens ben met de heer Azarkan als hij zegt dat ik daar eigenlijk al vanaf de start meer aandacht voor had moeten hebben. Daar zou ik het mee eens zijn.

Ik zou het ook eens zijn met de heer Azarkan als hij zegt: er waren toch in het najaar al meerdere signalen, in september en oktober, die je wel erg aan de GGD hebt gelaten, en had je je daar niet wat dichter tegenaan moeten bemoeien? Dat ben ik ook met hem eens. Maar wij hebben de opdracht gegeven om tot die analyse te komen, in november. Dat heeft vervolgens tot een resultaat geleid in december, half december meen ik. Dat resultaat heb ik vervolgens eind december met uw Kamer gedeeld en dat heeft geleid tot een verbeterplan dat deze week wordt vastgesteld, waarbij ondertussen al meerdere acties in gang zijn gezet. Dan denk ik dat wij vanaf november precies gedaan hebben wat wij zouden moeten doen. Had dat eerder gekund en had dat eerder gemoeten? Mijn antwoord op die vraag is: ja, dat had eerder gekund en dat had eerder gemoeten.

Ik ga naar mevrouw Kuiken.

Ik snap hoe het in de snelheid is gegaan. Ik snap de keuzes voor informatie. Ik snap ook dat de minister zegt dat hij er meer bovenop had moeten zitten. Maar ik snap nog steeds niet het tempo van handelen van de GGD, ook in combinatie met het handelen van VWS. Bij de start van de CoronIT is er namelijk al een analyse gemaakt van de informatiebeveiliging en de privacy. Daar moeten risico's uit gekomen zijn. Dat was in juni. Dus waarom is er toen al niet proactief gehandeld? In september lezen we terug in de notulen: moeten we de Kamer niet proactiever informeren? Uiteindelijk is dat niet gebeurd, maar dat komt niet zomaar uit de lucht vallen. De GGD weet dus eigenlijk vanaf juni al dat er risico's zijn. Belangrijke ambtenaren van VWS weten dat ook. Dat zijn dezelfde mensen als die we in beeld hebben gezien bij de CoronaMelder. Dan blijft nog steeds de vraag: waarom zijn er niet al in september, oktober of november stringentere veiligheidsmaatregelen genomen? Het was in ieder geval zeker in november bekend, maar er is pas vorige week actie ondernomen. Die vraag is nog steeds onbeantwoord, hoe vervelend het ook is dat we daarop doorvragen.

Dat is niet vervelend, maar dat is volgens mij terecht. Als ik het voor mezelf zou moeten reconstrueren, dan is het niet zo dat er geen aandacht voor is geweest. Er is wel degelijk aandacht voor geweest, maar VWS is er, in haar rol van opdrachtgever, van uitgegaan dat de GGD daarmee als opdrachtnemer — en als opdrachtgever voor de bouw van die systemen — aan de slag was op een manier die ook passend was. Ik weet en ik zie ook dat er allerlei acties zijn ondernomen om te zorgen dat het veiliger kon. Maar wat je ook ziet is dat in die discussies, ook intern bij de GGD, verschillende aspecten een rol speelden die met elkaar om voorrang aan het strijden waren. Dat heeft wel degelijk te maken met de gebruikersvriendelijkheid en met de manier waarop de systemen het werk dat moest gebeuren, zouden kunnen ondersteunen. Als ik dan meer in reflectie kijk naar wat VWS er toen aan heeft gedaan in de richting van de GGD, dan is dat met name het gesprek voeren over hoe er nog sneller opgeschaald kon worden in het bron- en contactonderzoek en over hoe er nog sneller opgeschaald kon worden in het testen. Het gesprek ging onvoldoende over: weet je heel zeker dat je alles doet om de privacy ook te waarborgen? Kortom, ik denk dat het niet zo is dat er niks is gebeurd. Ik denk dat er wel degelijk flinke stappen zijn ondernomen door de GGD zelf, maar dat VWS daarvoor, in haar rol van opdrachtgever, onvoldoende aandacht heeft gehad.

Oké, dus ambtenaren van VWS hebben geweten van de risico's, maar ze waren zo bezig met alleen maar de opschaling dat ze dit gemakshalve hebben laten liggen. In ieder geval hebben ze er niet op doorgeacteerd, terwijl de risico's wel inzichtelijk waren.

Nou, er waren natuurlijk eerder signalen. "De risico's" is heel breed. Er waren signalen vanuit Nieuwsuur, vanuit het Algemeen Dagblad en — zo hoorde ik zojuist — ook vanuit de Volkskrant, vanuit de media dus. Daarbij waren er ook vragen vanuit de Kamer. Die Kamervragen hebben wij beantwoord door aan de GGD te vragen: hoe zit dat en kun je ons helpen met de beantwoording daarvan? Maar dat is iets anders dan er heel dicht bovenop zitten en afspraken maken over hoe je dat gaat oplossen, checken of het is opgelost, et cetera. Daar kun je twee dingen van zeggen. Een: dat hoeft ook helemaal niet, want in de verantwoordelijksverdeling zijn dat gewoon de systemen van de GGD. Dat is deels waar. Twee: maar omdat het impact zou kunnen hebben op het vertrouwen van de mensen in het testen als geheel, vind ik toch dat ik daar toen dichter bovenop had moeten zitten.

Het is echt heel belangrijk, maar ik hoor steeds dezelfde antwoorden. De vragen worden, net als in de eerste termijn, ook steeds herhaald. U krijgt ook steeds hetzelfde antwoord. Tot slot, mevrouw Kuiken.

Ik probeer vooral te achterhalen wat er, als het gaat om dit soort grote datasystemen, nodig is om de checks-and-balances in orde te brengen. Ondanks dat ambtenaren van VWS aan tafel zaten, ondanks dat ze technische briefings hebben verzorgd waarover vragen zijn gesteld, onder anderen door mevrouw Agema en de heer Öztürk van DENK, zeiden ze niet: we weten het niet. Dat was echt al half december. Dat laat zien dat die checks-and-balances onvoldoende zijn. Het tweede en laatste punt is dat vaststel dat het, ondanks de grondige analyse in december, vervolgens tot eind januari heeft geduurd voordat een aantal simpele beveiligingsaspecten, zoals export- en printfuncties, eruit zijn gehaald. Daar was wel mediadruk voor nodig. Mijn vraag is dan ook oprecht: waarom had dat nog een maand nodig?

Die vraag kan ik niet anders beantwoorden dan door te zeggen: ja, ik vind ook dat dat eerder had gemoeten.

Ik waardeer op zich dat de minister zegt: we hebben een hele ingewikkelde afweging gemaakt en daar zijn een aantal dingen uit voortgevloeid die hebben geleid tot dit probleem. Hij wil nu de hele tijd naar de acties die gaan zorgen voor verbetering. Maar ik krijg de afgelopen uren een aantal signalen van mensen die zeggen dat het exporteren bij verschillende GGD's nog steeds mogelijk is. In de brief is nadrukkelijk gecommuniceerd dat die exportfunctie zou zijn uitgezet. Dat kon direct na alle publicaties van afgelopen week. Maar dat exporteren schijnt nog steeds te kunnen. Kan de minister vragen aan zijn mensen of dat nu daadwerkelijk gelijk wordt afgesloten? Want anders zijn we echt een debat aan het voeren ...

Het tweede punt gaat over hetzelfde. Er is gezegd: we hebben het automatisch volledig controleren van de loggings, dus het nagaan van wie in welke systemen kan en wie op welke manier welke transacties heeft gedaan, per maart in orde. Dat heeft de minister geschreven. Maar de GGD heeft al aan het eind van het jaar beloofd aan de Autoriteit Persoonsgegevens dat het voor het eind van 2020 op orde zou zijn. Ik vind het heel goed om terug te kijken op de manier waarop gebeurtenissen hebben plaatsgevonden, maar ik krijg tijdens dit debat over het nemen van maatregelen die problemen kunnen oplossen, van verschillende kanten signalen dat het óf allang op orde had moeten zijn, want dat is maanden geleden beloofd, óf dat het exporteren van grote hoeveelheden data nog steeds kan bij minimaal twee GGD'en in Nederland.

Wat betreft het eerste: dat kan ik vanaf hier natuurlijk niet overzien. Ik hoor uw signaal en ik weet dat er enkele tientallen ambtenaren meeluisteren die dit signaal ook horen. Die gaan denk ik even bellen; dat zou ik ze in ieder geval willen suggereren. Als ik in tweede termijn een antwoord heb, dan zal ik u dat antwoord geven. Ik denk dat het belangrijk is om dit even te checken. Misschien dat u zo vriendelijk wilt zijn om ...

... de signalen te delen.

Ja, om buiten de uitzending eventjes door te geven welke GGD'en het zijn, want anders moeten we 25 telefoontjes doen.

Daarnaast zegt u over logging dat ik dat aan de AP heb beloofd. Maar ik heb niets aan de AP beloofd. Ik hoor u nu zeggen dat het om de GGD gaat. Exact. En overigens wordt logging natuurlijk wel gedaan. Ook het controleren van die logging wordt wel degelijk gedaan. Dat was het dispuut rondom het vragenuur. Het wordt steekproefsgewijs gedaan. Dit is overigens in de afgelopen week geïntensiveerd naar dagelijks steekproefsgewijs, met een team intern en een team extern. Het bewijs dat logging wordt gedaan, zit hem in dat de GGD er 30 mensen heeft uitgegooid. Waarom is men strenger gaan controleren? Dat was naar aanleiding van die eerdere signalen van onder andere Nieuwsuur. Men is dus strenger gaan controleren en dat heeft geleid tot ontslag van mensen. Ja, inderdaad, het moet volautomatisch. Daarvoor moet de systemen worden aangepast. Wat ik daarvan van de GGD hoor, leer en weet, is dat dat niet eerder lukt dan in maart. Die volautomatische loggingscreening kan dus pas dan plaatsvinden. Maar tot die tijd wordt er dagelijks, en in die zin dus ook continu, door een intern en een extern team gecontroleerd.

Voor het bellen met betrekking tot de exportfunctie: het gaat om Den Haag en Leeuwarden.

Dat helpt.

Ik kan natuurlijk niet zeggen hoe ik dit weet, maar ik heb dit gehoord en ik wil natuurlijk dat dit te goeder trouw zo goed mogelijk wordt afgehandeld op een manier waarmee we die datasluis en het vermenigvuldigen van al die data gelijk dichtzetten. Dat is wat we hier gelezen hebben en wat beloofd is.

Over dat automatisch controleren van de logging: als je dat steekproefsgewijs doet, dan mis je heel veel transacties. De minister schrijft op verschillende plekken dat een groot aantal handelingen controleerbaar en inzichtelijk geweest is. Maar dat is steekproefsgewijs. Als je op basis van steekproeven 30 mensen kan ontslaan, dan had je misschien op basis van volautomatisch en het controleren van alle logging veel meer kunnen weten. Dat is dus niet gebeurd.

Op basis van signalen heeft de AP in september tegen de GGD gezegd: wij willen weten wat er aan de hand is en wij willen weten hoe jullie je aan de AVG houden. De GGD heeft toen beloofd dat vóór het eind van 2020 de volautomatische logging op orde is. Dat heeft de GGD beloofd. Nu wordt gezegd dat dat pas in maart lukt. Ik zeg niet dat de minister allemaal dingen verkeerd gezegd heeft en ik zie heus wel dat het een keten is van verantwoordelijkheden, waar mevrouw Van den Berg het over had. Maar ik sta hier in de Kamer te debatteren met déze minister. Ik kan alleen maar aan hem vragen hoe het zit. En we hebben dus blijkbaar ineens drie maanden extra nodig om het volautomatisch controleren van de logging op orde te krijgen, iets wat cruciaal is om op basis van het oude systeem veilig te kunnen testen in de komende maanden.

De minister zal hier dus misschien nog een telefoontje over moeten plegen met de GGD, met de koepel van de GGD of met wie er dan ook verantwoordelijk is om dit op orde te krijgen. Anders staan we allemaal terug te blikken, en dan kunnen we over een paar weken weer debatteren en terugblikken op wat er de komende weken allemaal door de minister is gezegd. Ik ben nog steeds van mening dat hij volledig te goeder trouw is, zijn werk goed probeert te doen, niet alle informatie kan hebben, ongelofelijk veel druk heeft om te testen testen testen, wat hij al een jaarlang heeft gedaan. Maar hij moet wel zorgen dat het nu goed gaat.

Ik denk dat ik de heer ...

Verhoeven. Nee, hij doet niet vaak mee aan dit soort debatten, daarom.

Ja, de heer Verhoeven, dank. Ik denk dat ik hem in zoverre kan geruststellen dat de controle op de login dagelijks is, door een omvangrijk team. De controle is enorm opgevoerd, en dat vergroot de pakkans. En ik denk dat dat helpt. Ter verdediging van de GGD'en zou ik wel willen zeggen dat ik sinds dit najaar ongelofelijk veel vragen, ook op IT-gebied en over uitbreiding, bij de GGD heb neergelegd, onder andere — en daar hebben we een heel debat over gehad — over die versnelling van de vaccinatieoperatie, die ook een flinke IT-inspanningen vergde om daar klaar voor te zijn. Maar ook deze hoort gewoon gedaan te worden, dus dat volautomatische zal ook worden gedaan. En tot die tijd zal er dagelijks op grote schaal worden gecontroleerd, teamintern en teamextern. Zou het sneller kunnen? Ik heb me ervan vergewist dat het niet sneller zou kunnen dan dat dat volautomatische in maart is ingeregeld, maar tot die tijd — zo heb ik me laten vertellen — is de pakkans sterk vergroot.

Tot slot, de heer Verhoeven.

Wat mij betreft voeren we dit debat omdat op basis van vragen van de collega's net vóór mij, die allemaal die inderdaad terechte terugblik maakten, gebleken is dat er een cultuur was van snelheid: overhaast, onder druk, zo snel mogelijk die functionaliteit en die capaciteit opschalen. En we moeten nu naar een cultuur van een zorgvuldige balans waarin privacy en databescherming en burgerrechten worden beschermd. En er moet dus door de minister op álle fronten in die keten echt voor gezorgd worden dat alles volledig gesloten wordt, dat alle onderdelen die hij nu heeft genoemd in zijn brief daadwerkelijk gedaan worden, want anders is het echt helemaal niks, dit debat.

Zo is dat. Zo is dat.

Dan ga ik naar mevrouw Van den Berg. Nee, mevrouw Kröger is al uitgebreid geweest. Dus: mevrouw Van den Berg. Ja, mevrouw Kröger?

Hoeveel interrupties hebben we?

Nou, ik wil die eigenlijk niet beperken, omdat het soms ook om feitelijke informatie gaat. Maar ik behoud wel het recht om, als het zich steeds herhaalt ... Want de minister staat hier nu bijna een uur, en hij is nog bezig met terugblikken op waar het mis is gegaan, en hij heeft uitentreuren toegegeven wat wel en niet goed ging. Maar ik wil ook gewoon verder, want we hebben ook nog andere debatten, we hebben nog een minister, en de minister staat hier morgen ook weer, dus ...

Zeker, voorzitter, en ik vind het prima als mevrouw Van den Berg voorgaat, maar ik zou heel graag toch wel een vraag willen stellen, en u kunt als voorzitter ervan uitgaan dat dat geen herhaling van zetten is.

Oké, dan krijgt u de gelegenheid voor het stellen van één vraag, tenminste op dit punt. Mevrouw Van den Berg.

Dank u wel, voorzitter. De minister gaf net aan dat het hoofd van de testketen eigenlijk aan de minister aangaf: we moeten hier toch echt naar kijken. En de minister gebruikte de woorden "een beetje houtje-touwtje in elkaar zit". Nou, het is goed dat dat in ieder geval is gebeurd. Maar waar ik mij wel zorgen over maak, is of dat nu binnen de GGD ook veel beter geborgd is. Want uiteindelijk is het dus iemand van de testketen van het ministerie die aan de bel heeft getrokken, en niet iemand bij de GGD zelf. Kan de minister daar nog wat over zeggen?

Ja, dat kan ik. Kijk, de GGD is zelf natuurlijk onderdeel van die testketen, en een belangrijke speler in die testketen. Hij heeft zelf, naast de ketenbrede analyse, ook een KPMG-rapport op laten stellen. Daar komen ook verbeteracties uit voort; dus zowel uit het ketenbrede verbeterplan alsook uit het KPMG-plan, en eigenlijk zijn dat ook nog eens een keer dezelfde, en eigenlijk ook dezelfde die we hier met elkaar wisselen. Dus het goede nieuws is dat dat allemaal nogal congruent is met elkaar. En ja, de GGD is daar volop mee bezig, met allerlei acties die ik zo meteen nog zal toelichten. Dus daar wordt volop actie op ondernomen.

Oké, maar misschien heb ik dat dan net verkeerd begrepen, maar ik heb begrepen dat ook het onderzoek van KPMG gestart was naar aanleiding van het feit dat in de testketen het hoofd van de testketen zei: het gaat niet helemaal goed. Dus het is niet bij de GGD zelf opgekomen om dat op te pakken, en dat is eigenlijk waar ik naar zoek om dat beter te borgen.

Maar dat laat onverlet dat er ook daarvoor op basis van eerdere signalen al wel degelijk acties zijn ondernomen. Dus het is niet zo dat daarmee is gewacht. Zojuist werd door de heer Verhoeven gerefereerd aan het eerdere signaal van Nieuwsuur, en vervolgens ook de AP die zich heeft gemeld, en vervolgens het contact dat er is geweest tussen de GGD en de AP. Toen heeft men de controles opgevoerd op de login, en men heeft ook gezegd dat men het systeem nog verder zou gaan aanpassen, namelijk dat dat ook volcontinu gebeurt. Dat was allemaal van een eerdere datum. Dus het is niet zo dat je hoeft te wachten op een rapport om verstandige dingen te doen, en het is ook niet zo dat er dan geen verstandige dingen gebeuren. De vraag die we nu hebben te beantwoorden, is: was het genoeg? En het antwoord op die vraag is: nee, het was niet genoeg, en het moet beter. En dat gaan we dus ook doen. Dus misschien is het goed om die maatregelen toe te lichten.

Maar ik heb mevrouw Kröger beloofd dat ze op dit punt nog een vraag mag stellen.

Ja, op dit punt. We hebben het nu uitgebreid gehad over hoe privacy vanuit het ministerie onvoldoende aandacht heeft gekregen in het contact met de GGD. Wij hebben in september Kamervragen gesteld. Daar is in november antwoord op gekomen. Hierin schrijft de minister dat er scherpe controle is op de logging: "Door zorgvuldig te loggen wordt nauwlettend bijgehouden welke dossiers door wie worden ingezien." Met de kennis van nu zal de minister toegeven dat dit een onjuist antwoord is. Is er dan onjuist geïnformeerd door de GGD's? Want ik neem aan dat die informatie bij iemand vandaan komt. Hebben de GGD's het ministerie daar onjuist over geïnformeerd?

Ik aarzel om daar ja op te zeggen. Uiteraard moest ik voor mijn informatie terecht bij de GGD. Tegelijkertijd ben ik aan het einde van de dag altijd zelf verantwoordelijk voor de antwoorden die ik u geef. Dus ik ga de schuld niet bij een ander leggen.

Oké. Gaat u verder.

Dan is het denk ik belangrijk, ook omdat er natuurlijk veel mensen meekijken die misschien bezorgd zijn, om kort aan te stippen welke acties er gebeuren om de gaten te dichten op de korte en op de iets langere termijn. Het eerste is dat HPZone beperkt wordt en zo snel mogelijk wordt vervangen door een systeem dat voldoet aan alle security- en privacyvereisten. Ik kom zo terug op de brief die ik vanmorgen heb gekregen van Jaap van Dissel, van het Centrum Infectieziektebestrijding. Daar moeten we wel echt iets mee. Maar in ieder geval wordt HPZone beperkt en zo snel mogelijk vervangen.

Twee. De print- en exportfuncties zijn in beide systemen uitgeschakeld of slechts toegankelijk gehouden voor een selecte groep specialisten in de infectieziektebestrijding die dit nodig hebben voor hun werk. Drie. De toegang in zoekmogelijkheden wordt beperkt. Vier. Sinds 24 januari zijn interne en externe teams dagelijks bezig met het herkennen van verdachte patronen en het opvolgen van verdacht gedrag. Dit zullen zij blijven doen totdat de automatische controle op logging is geïmplementeerd. Dat verhoogt de pakkans. Vijf. Externe IT-deskundigen lichten het systeem nu verder door. Zes. De vog-administratie wordt zo snel mogelijk op orde gebracht. En zeven. Er loopt een forensisch onderzoek, dat nodig is om te kunnen kijken wie er allemaal wederrechtelijk heeft gehandeld bij het kijken in verschillende files.

Het tweede punt is expertise. De GGD heeft aan mij gevraagd om expertise op gebied van privacy en informatiebeveiliging voor de uitwerking en de implementatie aan te bieden. De komende week start een kernteam met de inhoudelijke expertise, overigens ook vanuit de GGD. Er wordt een kernteam samengesteld om te zorgen dat alles wat moet gebeuren, ook daadwerkelijk gebeurt. Er wordt ook goed gekeken welke veiligheidsvereisten eventueel nog meer zijn aan te brengen.

Het derde punt is dat we strakker gaan sturen. De aanbevelingen uit de risicoanalyse en het KPMG-rapport moeten versneld worden uitgevoerd. Dat is een heel aantal aanbevelingen. Die gaan allemaal over informatiebeveiliging en privacy, maar ook over data, stabiliteit en toekomstbestendigheid. De GGD meldt zijn voortgang wekelijks in de regiegroep digitale ondersteuning testen en traceren. Die rapporteert aan de voorzitter van de LCT, en die weer aan mij. Dus we zitten daar wekelijks bovenop.

Tot slot: een externe audit. Ik wil samen met de GGD opdracht geven om over zes weken, als alle verbeteracties moeten zijn uitgevoerd, echt diepgaand te kijken, niet alleen naar de analyse maar ook naar de aanpak en de executie, waarbij we leren van het gegeven dat juist die executie ertoe doet en allesbepalend is voor of het wel of niet is gebeurd. Over de hele keten, dus los van de GGD, wordt gewerkt aan de verbeterplannen, ook aan dit verbeterplan. Daarop zal strakker worden gestuurd. Met al die maatregelen is het natuurlijk niet in één dag opgelost, maar we kijken wel wat er zo snel mogelijk kan gebeuren.

Voorzitter. Dan nog een aantal vragen, voor zover in dit blokje nog niet beantwoord. Waarom is de exportfunctie pas vorige week uit het systeem gehaald? Dit was een vraag van de Partij van de Arbeid. Die exportfunctie werd gebruikt voor verschillende werkzaamheden, zoals voor het creëren van datasets, voor statistische analyses en voor het verdelen van werk. Achteraf gezien is onvoldoende rekening gehouden met de risico's die hiermee gemoeid gaan. Dat is natuurlijk niet goed. De datalek was aanleiding om de exportfunctie grotendeels uit te zetten. Nu is de exportfunctie niet langer toegankelijk voor alle BCO-medewerkers, maar alleen voor een kleine groep specialisten, zoals de IZB-artsen en de verpleegkundigen. Dat zijn per GGD eigenlijk maar een paar personen.

De heer Azarkan vraagt: komen er nog meer lijken uit de kast? Nou, dat wil je natuurlijk niet. Ik heb alle kennis die ik heb met u gedeeld. Als er nog aanvullend signalen boven water komen, zal ik die aanvullend met u delen. Ik heb maatregelen genomen om alle problemen op te lossen en ik vind het belangrijk om hier te zeggen dat we alles zullen doen in alle transparantie. Dus alles wat ik weet ten aanzien van de dataveiligheid van dit type systemen, en wat daaraan gedaan moet worden, zal ik delen met de Kamer, voor zover de veiligheid van de systemen dat toelaat natuurlijk. Daar hebben we het zojuist over gehad.

Dan vraagt de heer Verhoeven: zijn die vier actielijnen wel voldoende? Ik denk dat we met een aantal veiligheidswaarborgen in ieder geval voorkomen dat het onvoldoende is. Het eerste is dat er een red team, een ondersteuningsteam vanuit VWS bij de GGD aan de slag gaat om met de GGD-IT'ers te kijken wat er eventueel aanvullend noodzakelijk zou zijn. Dat ten eerste. Dat zijn heel goede mensen, dat kan ik erbij zeggen.

Het tweede is dat wij na zes weken een externe audit doen op alles wat er gebeurd is. Deugde de analyse en is die eigenlijk wel volledig? Deugt de aanpak om een echt antwoord te kunnen bieden op die analyse? En zijn alle maatregelen die men zich had voorgenomen daadwerkelijk geëxecuteerd? Naar aanleiding van die audit hoop ik u over een week of zes te kunnen informeren over of het antwoord op die vraag volmondig ja kan zijn.

Dan vraagt het CDA naar de cultuur. Het gaat mij iets te ver om hier een cultuur in te willen zien waarbij het onbelangrijk wordt gevonden of waarbij men schouderophalend voorbijgaat aan signalen, of wat dan ook. Dat is denk ik echt niet het geval. Waar het hier om gaat is dat er een veelheid aan taken op het bord ligt van de GGD en er maar 24 uren in een dag zitten. Dat is geen excuus, nogmaals, maar wel een verklaring. Dat geldt ook voor het departement van VWS in relatie tot de GGD. We hebben zo veel onderwerpen in gezamenlijkheid met de GGD te bespreken en op te lossen, dat dit niet alle dagen op de agenda stond en zeker niet bovenaan. Dat is verwijtbaar, zou je kunnen zeggen. Dat moet anders, zou je kunnen zeggen. Ik denk dat we ons lesje op dat punt wel geleerd hebben. Hoe het ook zij, dat cultuuraspect, dus of mensen bijvoorbeeld intern met signalen terecht kunnen, kan ook betrokken worden bij de audit. Dus ik ga vragen of de auditeurs dat ook mee kunnen nemen. Voorzitter, ik denk dat ik het meeste wel heb gehad.

Dat had u nou net niet moeten zeggen!

Nee, dat is heel onverstandig. Maar ik praat ook nog heel snel even door.

Kijk maar of er nog vragen zijn blijven liggen.

Ik heb in ieder geval al veel beantwoord, althans als het gaat over de te nemen maatregelen. Dan ga ik nu naar het volgende blok over wat we gaan doen met de ondersteuning van slachtoffers.

Dan heb ik de heer Hijink, mevrouw Agema, mevrouw Van Brenk en mevrouw Van den Berg.

Ik hoor de heer Verhoeven zeggen dat hij ook op de lijst wil. Ik heb u ook op de lijst, maar ik zie mensen die u niet ziet. Ik heb een apart overzicht. Eerst de heer Hijink.

Een grote zorg die er bij ons nog zit, is dat er heel veel organisaties betrokken zijn geraakt bij deze beide systemen. Ik denk dat dat ook een van de redenen is waarom het zo mis heeft kunnen gaan. In de schriftelijke beantwoording van onze vragen staat dat niet alleen de 25 GGD'en maar ook bepaalde uitzendbureaus en andere private bedrijven toegang hebben tot beide systemen. Die kunnen ook accounts aanmaken en mensen autoriseren om gegevens te delen en zelf te verwerken. Als je met zo veel partijen werkt — en het worden er misschien nog wel meer — dan zit er natuurlijk een levensgroot risico in. Dan vraag je haast om lekkage. Is de minister het daarmee eens?

Ik ben het er zeker mee eens dat als je zou willen werken met heel veel mensen in een systeem, met ook een hele grote groep aan landelijke ondersteuning die telkens regionaal komt bijspringen, en soms in meerdere regio's komt bijspringen, dat inderdaad leidt tot een te grote hoeveelheid mensen die in een systeem kan. Dus je moet het strakker compartimenteren. Dat is ook een van de maatregelen die men neemt.

Misschien is het in dit verband goed om ook de zorg van de Landelijke Coördinatie Infectieziektebestrijding hier te delen. Ik was namelijk een vraag vergeten. Je hebt aan de ene kant CoronIT en je hebt aan de andere kant HPZone. HPZone is dat systeem dat in 2003 eigenlijk voor een vrij specialistische activiteit is gebouwd. Je hebt in Nederland maar een heel klein groepje artsen IZB, dus artsen infectieziektebestrijding. Die gebruiken HPZone voor het analyseren van een cluster. Er komen verschillende elementen uit bron- en contactonderzoek bij elkaar. Dan wordt het een cluster en dan wordt er vervolgens geanalyseerd. Dan wordt gekeken: wie heeft wie besmet, en wanneer en in welke volgorde? Soms zelfs, bij een groter cluster, wordt er gesequencet en wordt gekeken welke stammen er binnen dat cluster zitten. Dan wordt op die manier nagegaan wie wie besmet heeft. Dat is HPZone. Dat is het systeem dat dat werk ondersteunt. Maar dat is de volledige versie van HPZone. Hiervoor wordt HPZone-light gebruikt. Daarbij gaat het eigenlijk vooral om het invoeren van bron- en contactgegevens in plaats van het ook kunnen overzien van alle gegevens van anderen.

Kortom, kan dat niet anders? Kun je HPZone niet gewoon laten voor de artsen infectieziektebestrijding — overigens niet HPZone Lite maar HPZone — dus voor een heel klein groepje? En kun je ter invoering van de gegevens die je uit bron- en contactonderzoek zou willen halen, niet iets heel anders gebruiken? Daarvoor is al een tijdje de app GGD Contact in ontwikkeling. Die was aanvankelijk bedoeld ter ondersteuning van het werk van de GGD. Ik heb die overigens genoemd in diezelfde persconferentie waarin ik ook die andere app aankondigde. Dat weet u nog wel. Die app wordt vervolgens doorontwikkeld tot een systeem dat eigenlijk dienstbaar zou kunnen zijn aan dat bron- en contactonderzoek zonder toegang te verschaffen tot alle gegevens van het bron- en contactonderzoek. Ik denk dat het zo moet werken.

Er komt alleen een waarschuwing bij. Dat is de waarschuwing van de heer Van Dissel. Hij zegt namens de LCI, de Landelijke Coördinatie Infectieziektebestrijding: pas nou op, gooi nou geen oude schoenen weg voor je nieuwe hebt. Zo lees ik zijn brief. Hij zegt: pas nou op, want we hebben die gegevens wel nodig, omdat we in het hart zitten van de infectieziektebestrijding. Wij kunnen ons dus niet veroorloven om even een paar weken zonder HPZone te zitten, want dan klopt onze clusteranalyse niet meer. Dan klopt de hele gegevensverwerking niet meer, en die hebben we nodig in de analyse van zaken als: hoe gaat het met de Britse variant, wie besmet wie in een groot cluster, et cetera. Die brief hebben we, denk ik, serieus te nemen. De artsen infectieziektebestrijding hebben een vergelijkbare brief gestuurd.

Wat ik moet doen, is met de GGD kijken of er een oplossing is die én tegemoetkomt aan hun zorg — want dat zijn terechte zorgen; we moeten de specialisten echt serieus nemen op dit punt — én tegemoetkomt aan de noodzaak om heel veel minder mensen toegang te geven tot heel veel minder data. Dat zal allebei moeten gebeuren, en allebei op een hele korte termijn.

Daar zijn we het over eens. Ik heb die zorg dus ook, als ik kijk welke organisaties allemaal toegang hebben. Dat is bijvoorbeeld een stichting die hangt onder VNO-NCW. SOS International heeft toegang, Unique, Yacht, het Landelijk Serviceloket Testen, het Rode Kruis, Teleperformance, de 25 GGD'en. Het is een hele waslijst van organisaties die toegang hebben tot CoronIT en die dus ook mensen kunnen toevoegen en autoriseren om gegevens te delen. Mijn zorg is dat er als wij straks nóg meer gaan testen misschien nog meer organisaties bijkomen. Hoe gaat de minister het dan in de hand houden dat iemand nog het overzicht heeft over welke mensen allemaal worden toegevoegd en welke rechten deze mensen hebben?

Ik denk dat die app zoals die gaat werken eigenlijk helemaal niet meer toegang geeft tot zo'n baaierd aan informatie, want dat is wat noodzakelijk is. Je moet überhaupt het gebruik van persoonsgegevens helemaal terugdringen tot alleen de persoonsgegevens die strikt genomen noodzakelijk zijn voor het werk dat je moet doen. Dat is één.

Twee is dat je nu juist wel met een waaier aan organisaties willen werken omdat je anders gewoon onvoldoende mensen om die veelheid van taken uit te voeren. Daar hebben we het natuurlijk ook regelmatig over gehad: waarom schaal je het niet op, waarom betrek je dat initiatief en dat initiatief er niet bij? Dat hebben we gedaan, met een hele grote pool aan mensen om uit te putten en een onwaarschijnlijke hoeveelheid bron- en contact- onderzoekers. Maar dat laat onverlet het minimaliseren van het gebruik aan data. Ik denk dat je beide dingen kunt doen door strak te compartimenteren en door heel strak de autorisatie in te regelen. Er was nog een andere vraag, ik dacht van mevrouw Kröger, of die autorisatie nou wordt ingeregeld per GGD, nee toch zeker, kan dat niet landelijk? Ja het autorisatiebeleid moet sowieso landelijk en wie dan welk knopje aanklikt, weet ik verder niet, maar het autorisatiebeleid moet je natuurlijk landelijk met elkaar willen bepalen, absoluut.

Als het gaat om de informatieveiligheid, hadden de GGD'en dan al gecertificeerd moeten zijn voor de NEN 7510?

Ik wist wel dat ze ermee bezig waren, ik weet ook dat het systeem het al is en of ze dat al hadden moeten zijn, weet ik eerlijk gezegd niet.

Ik denk dat u daarop terugkomt met informatie.

Ja, dat wil ik wel doen.

Ik hoor de minister steeds zeggen dat eraan gewerkt wordt. Dat vind ik iets vaag, want ik lees bijvoorbeeld in een brief van GGD Gelderland-Zuid dat ze pas per 1 januari 2022 gecertificeerd willen zijn. Dat is een jaar vanaf nu. Dat lijkt me toch niet helemaal de bedoeling.

Daar moet ik op terugkomen. Daar heb ik op dit moment onvoldoende informatie over.

Mevrouw Van Brenk en dan de heer Verhoeven.

Ik had twee vragen die nog niet beantwoord zijn, ten eerste de vraag over het feitenrelaas van mei vorig jaar over CoronIT. Daarin werd gesteld: "Hierbij wordt voldaan aan de eisen van veilig gebruik van gegevens bij burgers". Mijn vraag was: waarop was die uitspraak destijds gebaseerd als je ziet dat het nu toch helemaal niet veilig was?

Dan refereert u aan een uitspraak in een brief van mij aan de Kamer?

Ja, het feitenrelaas inderdaad.

Het kan niet anders dan dat ik dat gebaseerd heb op informatie die ik moet hebben gekregen van de GGD.

Dan is dat achteraf gewoon niet correct gebleken. En ik had nog een vraag gesteld: mensen gaan naar de GGD met bijvoorbeeld een soa-test. Betekent dit dat de reguliere GGD-gegevens ook zo baggerslecht beveiligd zijn?

Even los van de kwalificatie, die ik voor uw rekening laat. Ik wil hier wel zorgvuldig in zijn, want er kijken heel veel mensen mee en ik vraag van mensen ook om zich morgen weer te laten testen. Dus ik denk dat we ook in onze kwalificaties preciezer moeten zijn. U heeft mij net een waslijst aan maatregelen horen oplezen en ik denk niet dat je die kwalificatie daarop van toepassing kunt verklaren. Soa's worden niet in CoronIT geregistreerd en ik mag aannemen dat de aandacht die nodig is voor informatieveiligheid aan deze kant ook natuurlijk nodig is voor de informatieveiligheid in andere systemen. Hoe dat exact wel wordt geregistreerd, heb ik niet paraat. Als u daarin geïnteresseerd bent, kan ik u dat laten toezenden. Dat kan ik zeker doen, maar dat heb ik nu niet paraat.

Ja, ik ben daarin geïnteresseerd. Ik wil graag dat de gegevens van burgers veilig bewaakt worden, dus graag, bedankt voor de toezegging.

Het punt dat de SP net maakte, is wel echt heel relevant, ook weer op de korte termijn. In de tijd dat we de komende weken aan het kijken zijn of we wel of niet naar een nieuw systeem gaan, zijn er inderdaad, zoals de SP terecht zei, misschien wel tientallen organisaties die extern zijn en die dus veel minder die GGD-ervaring en misschien ook wel betrokkenheid en passie hebben. Organisaties die op een vrij snelle manier, licht ingewerkt, bij wijze van spreken net uit hun bed gekomen zijn en in het callcenter gaan zitten. We hebben het over compartimentering en autorisatie. Dat zijn hele goede termen, maar dan wil ik wel graag weten hoe dat dan concreet de komende weken wordt afgegrendeld. Anders krijg ik straks nog meer mailtjes van mensen die via een tweede lijn toegang hebben en zeggen "ik kan nog steeds grote hoeveelheden data wegsluizen", of met andere voorbeelden komen. Of zij krijgen toegang tot onderdelen waar ze eigenlijk geen toegang toe te hoeven hebben voor de uitvoering van hun taak.

Exact. Er zal een vrij lange waslijst van aanpassingen worden doorgevoerd ten aanzien van de toegang en ten aanzien van het aantal mensen dat toegang heeft. De autorisatie voor de zoekfunctie wordt sterk beperkt. Het is een vrij lange lijst met allerlei technische aanpassingen. Die wordt 4 februari geëffectueerd. Daarmee is het gewoon niet meer mogelijk om de zoekfunctie te gebruiken. De exportfunctie was sowieso al weg. Ook de printfunctie is weg. Althans, ik ga ervan uit dat die weg is, maar dat checken we even bij die twee GGD'en. Misschien is die functie nog beschikbaar voor een hele kleine groep. Dat zou het euvel kunnen zijn, maar ik check dat.

Alles wat er op hele korte termijn kan gebeuren op het gebied van autorisatie en compartimentering wordt morgen geëffectueerd. We moeten wel gebruikmaken van grote callcenters, die grote aantallen mensen kunnen leveren, want de operatie moet wel doorgaan. Bij de vaccinatie gaat het om duizenden mensen die afspraken moeten kunnen maken. Voor het testen geldt dat eigenlijk ook. Dus het gaat over hele grote callcenters die worden gebruikt. Vervolgens moeten die bij heel weinig gegevens kunnen komen. Dat is het doel.

De minister heeft dus toegezegd dat dit morgen allemaal op orde is en dat er alleen maar strakke vakken zijn waar mensen bij kunnen, ook als ze bij wijze van spreken pas net een dag begonnen zijn bij een callcenter of als vrijwilliger van een bepaalde organisatie. Dat is heel geruststellend om te horen.

Een andere vraag gaat over dat forensisch onderzoek. In hoeverre is het überhaupt nog mogelijk om een datalek dat al maanden geleden een bepaalde vorm begon te krijgen helemaal in kaart te brengen?

Dat hangt af van de logging. Je hoopt dat dat goed genoeg is gebeurd. Dat moeten we gewoon zien. Laten we dat maar even overlaten aan de mensen die daarin gespecialiseerd zijn. We moeten hopen dat dit kan. Je wilt natuurlijk wel mensen bij de kladden kunnen grijpen die daar niet met goeds in de zin hun werk hebben gedaan. Dat doen we niet alleen op basis van de periodieke controles, die straks volautomatisch worden uitgevoerd, maar nu in ieder geval dagelijks en hoogintensief, maar ook op basis van het forensisch onderzoek.

De heer Veldman en dan mevrouw Van Esch.

Ik wil nog even doorgaan op het straks eventueel grootschaliger en uitgebreider sneltesten, bijvoorbeeld bij evenementen waar moet worden uitgesloten dat iemand besmet is als hij binnenkomt. De minister en ik hebben daar eerder met elkaar over gesproken, volgens mij tijdens een van de coronadebatten in december. Toen was de minister naar mijn gevoel nog niet zover om onderscheid te maken tussen het testen om op te sporen en het testen om uit te sluiten. Nu proef ik een beetje in de wisseling met mevrouw Agema dat hij zich wel kan voorstellen dat je bij sommige testen de informatieopslag minimaliseert, waarbij je op een andere manier dingen registreert dan dat je volledig in beeld hebt wie, wat, waar en wanneer. Ik wil kijken of ik een stapje verder kan gaan met de minister in dat vastleggen van informatie. Stel dat wij in een fase terechtkomen waarin je goed gevalideerde thuistesten hebt, dan is er volgens mij helemaal geen sprake meer van registratie. Ik ben dan thuis en test mezelf 's ochtends: kan ik wel of niet de deur uit? Komt er een positieve uitslag uit, dan is het misschien verstandig om nog even langs de GGD-teststraat te gaan om het zeker te weten. Maar als ik een negatieve uitslag heb, kan ik gewoon naar buiten. Dan is het niet zo dat ik de GGD of iemand anders ga bellen: ik heb een testje bij mezelf gedaan, wilt u dat registreren? Kan de minister zich voorstellen dat, als we langzamerhand deze weg opgaan van het grootschaliger thuistesten, er situaties zijn waarbij je eigenlijk helemaal geen registratie nodig hebt, juist omdat je niet meer doet dan het uitsluiten van een besmetting?

Je zult altijd op z'n minst een registratie van de positieve uitslag nodig hebben. Dat geldt gewoon in het kader van de infectieziektebestrijding. Ik deel ook niet de observatie met de heer Veldman dat ik ooit iets anders van plan zou zijn geweest met het testen in spoor 1, infectieziektebestrijding, en in spoor 2 om veilig werken, veilig studeren en toegang mogelijk te maken, dus voor het heropenen van de samenleving. U kent die overzichten nog wel. Dat zijn twee verschillende doelen van het testbeleid. In de basis is het testen altijd te begrijpen als een medische handeling, maar zoals ik zojuist al tegen mevrouw Agema zei, vind ik überhaupt dat ook bij die medische handeling het gebruik van bsn en andere persoonsgegevens moet worden geminimaliseerd.

Bij toegangstesten geldt nog een keer expliciet dat, hoewel het testen zelf een medische handeling is, het laten zien van je negatieve testuitslag dat in ieder geval niet is. Vanaf het moment dat je je negatieve testuitslag daar bijvoorbeeld via DigiD downloadt, inlaadt op je telefoon, hoef je echt alleen maar je negatieve uitslag te laten zien, zonder daar ook nog persoonsgegevens aan te hangen. Die worden niet gecheckt. Die negatieve uitslag wordt verder aan de toegang ook niet geregistreerd. Er vindt dus nul registratie van persoonsgegevens plaats. Ik denk dat dat van belang is bij het mogelijk maken van toegangstesten. Zodra ik namelijk aan de Kamer wetgeving zou voorleggen om toegangstesten mogelijk te maken, waar een stevige persoonsgegevensverwerking onderdeel van zou zijn, dan zou uw Kamer zeggen: "Doe dat maar niet; beter van niet". Dat zou ik dan trouwens met uw Kamer ook eens zijn. In de techniek van hoe het nu wordt voorbereid, zowel qua wetgeving alsook qua applicatieontwikkeling, wordt het op zo'n manier vormgegeven dat er geen gebruik zal worden gemaakt van persoonsgegevens.

Deze vraag is uitgebreid beantwoord.

I know. Hij wordt opnieuw gesteld, dus ik dacht dan beantwoord ik hem ook.

De beantwoording was echt uitgebreid, ook naar aanleiding van de vraag van mevrouw Agema. De heer Veldman.

De toevoeging die de minister doet, inderdaad wel, voorzitter. Mijn vraag blijft daarmee staan in de zin dat, als dit de lijn is die de minister volgt, hij daarmee dan eigenlijk zegt dat thuistesten, als die er straks zijn, geen toegevoegde waarde hebben. Ze leiden immers niet tot een negatieve testuitslag die je ergens kunt gebruiken. Die test zegt hooguit voor je eigen gevoel iets, zoals je thuis ook een thermometer hebt. Van: goh, ben ik wel of niet besmet? Maar that's it.

Dat is niet gering. Die toegevoegde waarde is er wel degelijk. Je kunt allerlei toepassingen bedenken van zelftesten thuis. De groep van onder anderen Jan Kluytmans doet daar allerlei pilots mee, onder zorgpersoneel bijvoorbeeld. Dat zou heel interessant kunnen zijn. Maar gewoon voor medewerkers inderdaad als een soort thermometer: kan ik vandaag wel naar mijn werk? Dat is een van de pilots die op dit moment lopen, maar er lopen er meerdere. Twee, voor kinderen in de klas zou het ook een interessante toepassing kunnen zijn. Dat is een van de pilots die lopen onder leiding van Patricia Bruijning, waarbij begeleide zelfafname onder andere het toekomstperspectief zou kunnen zijn. Daarnaast zou je je überhaupt kunnen voorstellen dat je breed in de samenleving 's morgens naast het tandenpoetsen ook een zelftest hebt liggen. Dat kan allemaal.

We zijn alleen nog niet uitgedacht over de vraag hoe je voorkomt dat daarmee wordt gerommeld als toegangstest. Je moet dat, denk ik, niet willen omdat het onmogelijk is om fraude tegen te gaan. Dat is onmogelijk. En twee, hoe zorg je ervoor dat een positieve testuitslag wel degelijk wordt gemeld bij de GGD. Dat moet namelijk. Het is een meldingsplichtige ziekte, een A-ziekte in de Wpg. Als je dat niet zou doen, handel je niet conform de Wpg. Dat zijn vragen waar wij nog niet over uitgedacht zijn. Dat laat onverlet dat allerlei pilots en allerlei validaties nu plaatsvinden, maar wij zijn over die beleidsvragen nog niet uitgedacht.

U heeft toegezegd dat u daar uitgebreid op terugkomt. Klopt dat?

Iedere twee weken stuur ik een brief van een kantje of honderd waarin dat soort dingen staan.

Ja, vooral specifiek op dit punt. De heer Veldman.

Ja.

Ik zou de minister willen vragen of hij in het verdere verloop van die pilots mee wil nemen wat we nu wel en wat we nu vooral niet registreren, met als nadrukkelijk aandachtspunt om vooral ook dingen níét te registreren. Registreer misschien ook maar niks, omdat je — precies zoals de minister zegt — goed moet kijken wat voor gevolgen en wat voor effect dat heeft. Maar dat is niets anders dan als er nu iemand thuis de thermometer heeft gepakt en koorts heeft; die is dus misschien met het coronavirus besmet, maar heeft verder geen klachten en gaat gewoon naar buiten zijn ding doen. Dat willen wij niet, want we roepen mensen op: heb je klachten, blijf thuis. Maar ook dat kun je niet garanderen. 100%-garanties bestaan niet. Daarom moet je volgens mij, als je ervoor kiest om testen te gebruiken om de samenleving weer open te zetten, op andere manieren omgaan met registreren. Dat zou ik de minister graag willen meegeven.

Ja, dank voor het meegeven, maar dat laat toch onverlet de dilemma's die ik zojuist schetste. Wij komen daarop terug.

Ik wil een paar stapjes terug doen naar een vraag die mevrouw Agema stelde over de NEN-normen die er zouden zijn. Wij hebben daar in onze schriftelijke vragen ook aandacht aan besteed en de beantwoording wekte bij ons alleen wat verwarring. Aangezien er net al is toegezegd daarop terug te komen, wil ik mijn vragen bij dezen dan ook stellen. Er wordt namelijk aangegeven dat er wordt gewerkt volgens de certificering, volgens de NEN 7510-norm. Onze vraag is: wanneer wordt die 7510-norm dan herzien en opnieuw bekeken? Er wordt alleen aangegeven dat de NEN 7512-norm wordt herzien. Dan blijft natuurlijk nog steeds de vraag staan: wanneer is die 7510-norm dan voor het laatst herzien? Gaan we die nog herzien? Hoe staat het daarmee, zeker gezien de Partij voor de Dieren al jaren geleden een motie aangenomen heeft gekregen dat die norm zou worden herzien? Ik vraag me af hoe het daarmee staat, want dat is een zorgwekkende situatie.

Daarop aansluitend vragen wij ons af of het in deze situatie alleen maar over NEN 7510 gaat en of het niet ook over de NEN 7512-norm gaat. Het klinkt als een heleboel, maar het zijn twee vragen, die nu misschien niet beantwoord kunnen worden.

Nee.

Dat dacht ik al wel.

Het zijn vooral twee hele moeilijke vragen. Voordat wij hier in codes tegen elkaar gaan spreken: vindt u het goed als ik hier schriftelijk op terugkom?

Ik vind dat lastig, want we hebben deze vragen al bewust schriftelijk gesteld. Het antwoord daarop is alleen maar onduidelijker geworden. Ik zou daar anders zelf in mijn tweede termijn een motie over willen indienen. Ik vind het dus ingewikkeld om hier opnieuw schriftelijk over door te gaan. Over NEN-normen praten klinkt heel heftig, maar het gaat over privacynormen. Het is dus een heel logisch onderdeel van het debat.

Precies, het gaat over de zorg. Wat ik doe, is het volgende. Ik denk dat dat het meest praktisch is. Ik ben gewoon niet geëquipeerd om in NEN-normen met u te spreken. Ik ben een eenvoudig mens. Maar wat ik wel kan doen, is tegen onze mensen zeggen: de vragen zijn niet goed beantwoord en ik wil ze wel graag goed beantwoorden. Dan kan ik zorgen dat ik met een beter schriftelijk antwoord terugkom in uw richting.

Oké, daar zal ik het mee moeten doen, denk ik, voor nu. Ik ben benieuwd.

Het is altijd goed om alle schriftelijke vragen van mevrouw Van Esch van tevoren goed te lezen …

Ja, absoluut.

… want ik weet: altijd als er vragen worden gesteld, dan hebben ze — niet alleen mevrouw Van Esch, maar ook mevrouw Ouwehand — er eerder aandacht voor gevraagd.

Dan is mijn antwoord onvoldoende en dan spreekt u mij daarop aan. Ja, I know the drill.

Dan bent u voorbereid.

Nog één korte vraag aan de minister op dit punt. Dank voor de toezegging dat hij ook de cultuur meeneemt in de audit. De minister geeft ook aan dat er expertise is gevraagd van VWS en dat er nog een apart expertteam van buiten komt. Maar nu werd aan het begin gezegd dat met name de organisatie nog niet voldoet aan die NEN-norm. Ik vroeg me af of daar een tijdpad voor is. Dat nu al die externe hulptroepen komen is prima, maar wanneer staat de organisatie bij de GGD zelf, zodat ze dat zelf kunnen managen?

Ik ga toezeggen dat ik terugkom op het fenomeen NEN-norm en de mate waarin de GGD daaraan voldoet. Dan beantwoord ik de vraag van mevrouw Agema, de vraag van mevrouw Van den Berg en de vragen van mevrouw Van Esch.

Meneer Azarkan. Of staat u daar gewoon? Het is een beetje een hangplek daar.

Zo lijkt het soms, voorzitter. Ik had nog een vraag over de wettelijke melding van het datalek en de omvang daarvan. Op welk moment heeft de minister die gedaan?

Het is niet aan de minister om dat te doen. Het is aan de GGD om dat te doen. De GGD heeft dat onverwijld gedaan na ommekomst van de melding.

Wanneer was dat?

Niet afgelopen vrijdag, maar de vrijdag ervoor.

Is ook bekend wat de omvang is, bij benadering?

Daar gaat collega Dekker zo meteen iets over zeggen. Dat raakt ook aan de vragen die zijn gesteld in het strafrechtelijk onderzoek. Maar het is juist heel moeilijk om te zeggen wat de omvang is.

Dank u wel. Gaat u verder.

Dan kom ik bij de vragen die gaan over de mensen die mogelijkerwijs slachtoffer zijn geworden en wat daaraan is te doen. Collega Dekker zal daar ook een deel van beantwoorden, dus ik beantwoord zelf de helft van de vragen die op dat punt zijn gesteld.

De VVD heeft gevraagd hoelang het duurt voordat mensen weten of hun gegevens gestolen zijn. De GGD heeft mij gemeld dat, wanneer bekend is van welke personen mogelijkerwijs informatie gestolen zou zijn, de GGD hen zal informeren. De GGD heeft ook een telefoonnummer geopend, want het is belangrijk dat mensen ergens terechtkunnen met de vragen die ze op dat punt hebben. Maar nogmaals: wat de omvang is van een mogelijke — want dat moet ik er echt wel bij zeggen — datadiefstal, weten we nog niet. We kennen de beschrijving daarvan zoals die ook bij RTL voorbij is gekomen, maar we kennen nog niet de uitkomst van het strafrechtelijk onderzoek.

Is nog in de systemen te achterhalen hoe groot het lek eigenlijk is? De GGD heeft mij aangegeven dat de gegevens van de systemen zijn veiliggesteld. De GGD heeft mij ook aangegeven dat het forensisch onderzoek inmiddels is gestart. Daaruit kán blijken wie onbevoegde handelingen heeft gedaan. We kunnen niet op dat onderzoek vooruitlopen. De politie doet ook onderzoek naar het aanbieden van de persoonsgegevens.

De heer Van der Staaij vraagt of de minister meer gevoel kan geven bij de omgang. Nou, ik begrijp dat ik toch die vragen beantwoord. Dat is dus heel erg moeilijk. Die gegevens zijn wel veiliggesteld, maar we weten echt nog niet of de gegevens daadwerkelijk zijn verhandeld en in welke mate er wederrechtelijk toegang is verkregen tot persoonsgegevens. En we weten dus ook niet het antwoord op de vraag van de ChristenUnie in welke mate de gegevens zijn gebruikt. Die vragen kan ik op dit moment gewoon niet beantwoorden.

Hoe kunnen mensen er dan op vertrouwen dat hun gegevens veilig zijn, vroegen mevrouw Kuiken, mevrouw Kröger en de heer Hijink. Mensen moeten ervan uit kunnen gaan dat hun gegevens veilig zijn bij de GGD. Dat is ook de reden dat dit een ernstige zaak is. Ik heb zojuist aangegeven wat we allemaal doen om ervoor te zorgen dat we op de kortst denkbare termijn alle gaten dichtzetten, en wat we allemaal doen om nader te compartimenteren, en minder mensen toegang te geven tot nóg minder informatie. Ik heb verteld over systemen die uiteindelijk ook vervangen zullen gaan worden. Al die dingen doen we nou juist om te zorgen dat mensen er vertrouwen in kunnen houden dat hun gegevens veilig zijn. Daarbij heb ik wel rekening te houden met de continuïteit van de operatie en met de functionaliteit. Dat zal ik doen. Maar ik hecht eraan, het eens te zijn met mevrouw Kröger: dat ís geen tegenstelling en we moeten ervoor zorgen dat dat uiteindelijk geen tegenstelling is. En dus zal ik de Kamer laten weten op welke wijze we dat zouden kunnen doen.

Eigenlijk hebben alle fracties gevraagd wat er wordt gedaan om slachtoffers te helpen. GGD GHOR is sinds 29 januari actief gaan communiceren over de achtergronden van de datadiefstal, en de maatregelen die zijn genomen en die genomen zullen gaan worden. Inmiddels is er een telefoonnummer geopend waar mensen zeven dagen per week van 9.00 uur tot 21.00 uur terechtkunnen met hun vragen. De GGD heeft mij ook laten weten dat men de mensen zal informeren zodra voor de GGD duidelijk is welke informatie mogelijkerwijs gestolen zou zijn en wie dat betreft. Dat is overigens natuurlijk ook gewoon een wettelijke plicht, op grond van de AVG.

Er is ook gevraagd: zou je dan ook kunnen compenseren? Ik dacht dat 50PLUS dat gevraagd heeft, maar ook de VVD, de SGP, het CDA en de PVV. Wie compenseert de schade en zorgt er voor juridische bijstand? De GGD is natuurlijk aan zet, want het is gewoon wettelijk verplicht om te informeren. Maar als er sprake is van schade die zou voortvloeien uit het datalek, is de GGD daar op dat moment ook voor aansprakelijk. En als de GGD daarbij ondersteuning nodig heeft vanuit VWS, zal ik die natuurlijk geven. Dus in formele zin is het de GGD, maar als er sprake zou zijn van noodzaak tot ondersteuning, zullen we dat natuurlijk doen.

Kan de minister garanderen dat medewerkers misstanden intern of extern kunnen melden zonder vervolg? De risicoanalyse en de gesprekken hebben helder gemaakt dat het geen gemeengoed was om incidenten onderling te melden aan partners in de test- en traceerketen. Daarom is eind december de afspraak gemaakt dat met onmiddellijke ingang een ketenbreed incidentenmeldingsproces van kracht is geworden. Dat is ook geëffectueerd. Datalekken die risico's met zich meebrengen voor betrokken personen, moeten uiteraard door de verantwoordelijke organisatie worden gemeld aan de Autoriteit Persoonsgegevens. Mevrouw Van den Berg had ook aandacht voor het cultuuraspect. Dat aspect zal worden meegenomen in de audit.

Voorzitter. Ik denk dat ik hiermee de vragen heb beantwoord die raken aan mensen die mogelijkerwijs slachtoffer zijn geworden. Voordat ik het woord kan geven aan de heer Dekker, moet ik nog ingaan op een aantal overige vragen.

Eerst geef ik mevrouw Kuiken even het woord, en dan de heer Hijink.

Ik maak de algemene opmerking dat ik het raar blijf vinden dat niet automatisch alle mensen die zich hebben laten testen, gewoon een veiligheidswaarschuwing hebben gehad. Dat zou denk ik netjes zijn geweest, maar daar is niet voor gekozen.

Mijn vraag gaat echter ergens anders over. We horen ook nog steeds dat mensen vragen om het verwijderen of anonimiseren van gegevens, maar dat dat eigenlijk niet gaat, terwijl wel gezegd wordt dat dat kan. Is de minister zich daarvan bewust en, zo ja, wat gaan we daar dan aan doen?

Over dat tweede: ik ben mij er niet van bewust dat dat moeilijk zou gaan. Dat signaal moet ik even checken. Daar kom ik op terug, want dat zou mogelijk moeten zijn. Ten aanzien van het breed informeren: omdat het natuurlijk over heel veel mensen gaat die zich hebben laten testen, heeft men ervoor gekozen om het hele publiek en plein public en op de website voluit te informeren en om zodra bekend is welke groep mensen het zou kunnen betreffen — als dat bekend wordt — direct ook deze mensen te informeren.

Ik weet wel waar men voor gekozen heeft, maar volgens mij is dat niet de exacte uitwerking zoals we die wettelijk hebben vastgelegd. De keuze is nu gemaakt, maar feitelijk had volgens mij iedereen die een potentieel risico liep een melding moeten krijgen dat er een potentieel lekgevaar is geweest.

Maar die discussie hebben we …

Op dat punt ben ik het dus niet eens met de uitleg van de wet. Laten we die discussie nu stoppen, maar ik denk dat het feitelijk wel had gemoeten.

Dan toch nog één zin daarover. We hebben die discussie eerder gehad bij het Donorregister, waar de suggestie ook werd gedaan om dan iedereen te informeren die mogelijk daarmee te maken zou hebben. Maar dat zou ook wel weer opnieuw tot een datalek kunnen leiden. Als je miljoenen mensen gaat aanschrijven, waarvan een deel misschien niet meer op dat adres woont, dan ga je misschien wel weer opnieuw dataonveiligheid creëren.

Het blijft lastig dat wij twee weken na dato nog steeds geen goed zicht hebben op hoe groot het probleem nu eigenlijk is. Ik hoor de minister net ook weer spreken over mogelijke diefstal. Volgens mij heeft Rouvoet al erkend dat er sprake is van diefstal. Volgens mij weten we ook dat het vrij groot is. Ik vind het dus wel belangrijk dat we hier niet net doen alsof het misschien nog een klein beetje kan meevallen of dat er misschien wel helemaal niks aan de hand zou kunnen zijn. Er zijn niet voor niks mensen opgepakt; er zijn drie mensen opgepakt. Dat worden er misschien nog wel meer. Wat kan de minister daar nou over zeggen?

Niet zo heel veel. Maar u heeft helemaal gelijk. Je mag aannemen dat er van diefstal inderdaad sprake is, want anders was deze berichtgeving niet op deze manier tot ons gekomen. Dat is één. Twee is dat wij nog onvoldoende weten of er daadwerkelijk verhandeling heeft plaatsgevonden. Maar dat zou kunnen hebben plaatsgevonden. Je mag inderdaad aannemen dat als er mensen zijn aangehouden, dat niet voor niets is geweest. Maar we moeten — zo werkt het toch wel in een rechtsstaat — wel even afwachten wat de politie daar op enig moment ook zelf over concludeert. Ik kan hier niet vooruitlopen op de uitkomsten van strafrechtelijk onderzoek. Collega Dekker gaat daar zo op in, maar ik voorspel alvast dat dat heel beperkt zal zijn. Ik ben niet bezig om het te doen voorkomen alsof het allemaal zou kunnen meevallen. Ik denk niet dat het meevalt, want volgens mij heeft u mij zojuist de conclusie horen uitspreken dat het enkele feit dat het mogelijk was dat de systemen dit niet verhinderden terwijl zij wel degelijk een hogere mate van beveiliging hadden kunnen bieden, reden genoeg is om dit debat met elkaar te hebben.

Ik stel de vraag, omdat wij veel mailtjes krijgen van mensen die zich zorgen maken. Ik denk dat andere fracties die mailtjes ook krijgen. Mensen vragen zich af of hun gegevens nu op straat liggen of in handen van criminelen zijn. Ik kan mij die zorgen heel goed voorstellen. Volgens mij is het belangrijk dat dit niet te lang duurt, want hoe langer het duurt, hoe groter het risico wordt dat gegevens die al weken geleden, misschien vorig jaar al, zijn gestolen, nog steeds ondergronds rondgaan. We kunnen misschien nu niet vaststellen dat daar op dit moment in gehandeld wordt of dat ze verhandeld worden, maar wie weet worden de data die vorig jaar al gestolen zijn alsnog weer illegaal te koop aangeboden. Als we net zo lang gaan wachten tot we precies weten of er op dit moment gehandeld wordt in illegale data, dan zitten mensen nog heel lang in onzekerheid. Ik vind dat toch lastig, want die mensen willen gewoon weten of zij zich nu zorgen moeten maken en of zij extra scherp in de gaten moeten houden of zij opgelicht worden.

Maar daarvoor is sowieso het informatienummer geopend. Dat is zeven dagen per week bereikbaar, van 09.00 uur tot 21.00 uur. Daarvoor is sowieso een website met allerlei vragen en antwoorden de lucht in gegaan. Daar wordt in die hoedanigheid dus op geacteerd, voor zover nu mogelijk is. Om de omvang te bepalen, om daadwerkelijk tegen mensen te kunnen zeggen "misschien zat uw adres er wel bij", moet je echt meer weten dan we nu weten. Daarvoor vindt strafrechtelijk onderzoek maar ook aanvullend forensisch onderzoek binnen de GGD zelf plaats. Als daar informatie uitkomt die deelbaar is, wordt die gedeeld.

Tot slot.

En wanneer wordt dat verwacht? Dat weet ik niet. Dat is op dit moment echt niet te zeggen. Dat hangt er gewoon van af. Dat heeft ook echt te maken met de strafrechtelijke kant hiervan. Maar laat ik het als volgt toezeggen. Het wordt uiteraard zorgvuldig gedaan. Er wordt geen dag langer gewacht dan strikt genomen noodzakelijk. Zodra ik daar meer van weet, zorg ik dat u daar ook meer van weet.

Prima. Mevrouw Kröger. We moeten echt pijltjes gaan neerleggen.

De minister heeft net aan mevrouw Van den Berg toegezegd om ook de cultuur binnen de GGD's mee te nemen in de audit.

Ja, zeker.

Ik ben eigenlijk heel benieuwd. Ik hoop dat de minister eigenlijk ook de stelsel- of organisatiekant wil meenemen: hoe we het nou geregeld hebben met de GGD's, 25 entiteiten met daarboven een koepelorganisatie en een minister die dat maar deels echt direct kan aansturen en hoe dat eigenlijk bijdraagt aan het feit dat wij op dit vlak niet hele strakke lijnen hebben.

We moeten niet een te brede stelseldiscussie voeren over de GGD. Het is niet verstandig om midden in de oorlog het stelsel van het leger te evalueren. Dat moeten we niet doen. Over die vraag komen we op enig moment zeker te spreken, maar na de crisis en niet tijdens de crisis. Met de IT-vragen kunnen we niet wachten tot na de crisis. Daar waar het gaat over de IT gaat het over de vraag of de organisatie en de sturing op de organisatie adequaat zijn ingeregeld om te mogen verwachten dat dit type lekken niet meer voorkomt en dat signalen over informatiebeveiliging altijd op de goede manier terechtkomen. Dat moet zeker worden meegenomen.

Goed. Daar ben ik blij om. Daarbij betrek ik graag ook bij hoe de relatie is bij een koepelorganisatie. Als er bij één GGD een probleem wordt gesignaleerd, wordt dat dan via een koepel eenduidig in beleid doorgezet naar al die GGD's? Want daar lijkt toch het nodige aan te schorten.

Ja, deels. Ja. oké, zeker. Ik ga ervan uit dat dat een onderdeel is, en anders bij dezen.

De vragen die via interrupties zijn beantwoord, hoeft u niet meer te behandelen.

Dat weet ik. Ik heb nog een paar vragen te doen die in het blokje varia vallen; ook tijdens dit debat moeten we sommige tradities gewoon in ere willen houden.

Dat zie ik, ja.

De vraag van de heer Verhoeven van D66 was of het geen goed idee is dat elke organisatie een chief privacy officer heeft. Het antwoord is: ja, dat is een goed idee. Maar er is geen rijksbrede verplichting of een rijksbreed beleid ten aanzien van het hebben van een chief privacy officer. Elke organisatie die persoonsgegevens verwerkt, heeft iemand nodig die haar privacyadvies geeft. Dat kan een privacy officer zijn. Een chief privacy officer is pas aan de orde als er suborganisaties zijn die een eigen privacy officer hebben. Zo hebben de verschillende onderdelen van mijn ministerie een privacy officier en dus heeft ook ons ministerie één chief privacy officer. Volgens mij hebben de meeste departementen dit op die manier ingeregeld. Kortom, ja, het is een goed idee, zeker voor grote organisaties, maar het is op dit moment geen wettelijke verplichting.

Op de brief van het RIVM ben ik ingegaan. Ik denk dat ik de vragen daarover afdoende heb beantwoord.

Dan de vaccinatiegegevens. Is voldoende beveiligd wat daar wordt geregistreerd en ook wie daarin kan? Dat is hetzelfde systeem, CoronIT, zij het dat dat gecompartimenteerd is, maar wel op een aggregatieniveau waarvan ik denk dat het echt nog wel een tandje strakker kan. Dat wordt nu dus ook gedaan. We hebben de GGD ook gevraagd of het echt nodig is om over en weer te kunnen kijken. Dat is natuurlijk maar deels zo. De GGD zegt bijvoorbeeld: als je een vaccinatieafspraak maakt, willen wij wel graag dat je ook de testuitslagen kunt zien. Waarom dan, zeggen we. Nou, als je onlangs positief getest bent, zou dat een contra-indicatie kunnen zijn om op dat moment gevaccineerd te worden. Maar mijn vraag zou dan zijn: kun je dat dan niet gewoon aan mensen vragen? Heb je daar per se inzage in het systeem voor nodig? Ik denk dat we op die manier nog wel eventjes kritisch moeten kijken of het daadwerkelijk nodig is dat je over en weer een deel van de informatie zou kunnen zien. Daar gaan we dus ook met de GGD mee aan de slag en daar kom ik dus op terug. In ieder geval moet het zo zijn dat in alles wat nu aan extra veiligheidsmaatregelen wordt ingebouwd voor de testkant, natuurlijk meteen ook de vaccinatiekant wordt meegenomen.

Voorzitter, volgens mij heb ik daarmee de vragen beantwoord. Dan zou ik willen vragen of het goed is dat collega Dekker de beantwoording voortzet.

Ik kijk naar mevrouw Van den Berg. Is er een vraag blijven liggen, mevrouw Van den Berg?

Misschien ligt het bij minister Dekker of komt de minister er schriftelijk op terug, maar ik had ook nog een vraag over het bsn-nummer. Wij krijgen veel mailtjes van mensen die zeggen: ja, kan ik nou mijn bsn-nummer nog wel gebruiken?

Daar komt collega Dekker op terug. Ik heb een registratie gemaakt, voor mijzelf uiteraard, waar ik schriftelijk op terug moet komen en waar ik in tweede termijn op terug moet komen. Dat zal ik dus zo meteen doen.

Mevrouw Van Esch, geen moeilijke vragen stellen.

O, o. Ik ging er helemaal van uit dat de corona-opt-invragen die ik heb gesteld bij het blokje varia zouden horen, maar daar kwamen ze niet aan de orde.

Daar zou ik nog schriftelijk op terugkomen. Ik ga dat dus uitgebreid schriftelijk doen. In het vorige debat, bij het vragenuurtje, heb ik dat al toegezegd. Ook toen heeft de voorzitter onderstreept dat ik dat dan wel moet doen. Dus ik ga daar schriftelijk op terugkomen, maar uiteraard heb ik het antwoord ook paraat. De corona-opt-in gaat over het bij de spoedzorg raadpleegbaar maken van specifiek medische gegevens in het patiëntendossier bij de huisarts. Dat zei ik toen ook in het vragenuurtje. Dat heeft betrekking op de huisarts, niet hierop. Het gaat over de zogenoemde professionele samenvatting. Enkel geautoriseerde zorgprofessionals bij de huisartsenposten en bij de SEH hebben toegang tot deze gegevens. De corona-opt-in zorgt niet voor toegang tot deze gegevens voor apothekers bijvoorbeeld. De corona-opt-in komt van pas wanneer een patiënt direct en niet via de huisarts naar de spoedeisende hulp komt. Mijn collega voor Medische Zorg en Sport gaat de corona-opt-in tijdelijk verankeren per AMvB, die nu voor advies bij de AP voorligt.

En toch blijven wij ook hierin privacygevaren zien. We hadden geen corona-opt-in. Er is aangegeven dat die tijdelijk nodig zou zijn in de bestrijding van de coronacrisis. We hebben herhaaldelijk aangegeven dat het zorgelijk blijft om die corona-opt-in te laten voortduren. Het lijkt nu nog weer langer te gaan duren. Is het echt nodig om op deze manier de corona-opt-in door te zetten? Worden dezelfde privacychecks gehanteerd die we bij al die andere systemen noodzakelijk vinden? Ik merk dat ik het ook hier een beetje beangstigend vind, want er wordt net gedaan of het hiermee allemaal wel oké is, ondanks dat we medische dossiers van 8 miljoen mensen hebben opengesteld. Ik vind dat best een kritiek punt. Weten we heel erg zeker dat we alle privacywaarborgen hebben gehanteerd die nodig zijn om ook niet hier weer een lek te laten ontstaan dat we hadden kunnen voorkomen?

Niet voor niets ligt de AMvB die dit moet regelen voor bij de Autoriteit Persoonsgegevens, die die toets zal doen, exact met de vraag die mevrouw Van Esch hier stelt. Maar waar het hier om gaat, is niet een openstelling van het medische dossier van miljoenen mensen voor iedereen die daar maar zou willen inkijken. Het gaat om de SEH. Stel, je gaat niet via de huisarts naar de spoedeisende hulp maar direct. Heeft de SEH-arts dan via de professionele samenvatting inzage om een aantal contra-indicaties, allergieën bijvoorbeeld, mee te nemen in zijn inschatting? Deze dingen moet je weten om een snelle behandeling zonder ongelukken in te zetten. Als er spoed nodig is, wil je niet eerst door een eindeloze papierwinkel heen moeten voordat je die zorg kunt verlenen die nodig is. Daar gaat die corona-opt-in over.

Heel kort. Ik snap het. Volgens mij heeft de PvdD ook aangegeven dat als het noodzakelijk is, middenin de bestrijding van een pandemie, wij daar niet voor gaan liggen. Wij hebben echter niet voor niks een systeem in Nederland waar mensen juist daarvoor toestemming geven. Dat systeem is ingericht om de privacy van mensen te beschermen. Eigenlijk zouden we altijd vanuit die optiek moeten handelen. Mensen geven toestemming voor het delen van hun medische gegevens. Ik zou niet toe willen naar een situatie waarin we zeggen: die gegevens zijn vanaf nu altijd open tussen die medische beroepen. Ik wil terug naar het systeem waarin mensen toestemming geven voor het delen van die medische informatie. Ik wil daarvoor een tijdspad. Ik wil hier niet zomaar carte blanche geven om er altijd mee te kunnen doorgaan.

Maar dat is het debat dat u met collega Van Ark zal moeten hebben bij gelegenheid van de AMvB. De AMvB ligt nu voor advies voor bij de Autoriteit Persoonsgegevens en daarna zal het debat volgen.

Goed, dan komt het vanzelf naar de Kamer. Daar ga ik tenminste van uit.

Dan schors ik even totdat de minister zijn spullen heeft gepakt.

Ik geef het woord aan de minister voor Rechtsbescherming.

Ja, afrondend.

Misschien mag ik dit blokje afronden? Mevrouw Van den Berg vroeg of de AP niet meer aan de voorkant zou moeten meekijken en zou moeten meedenken over hoe je dit op een goede manier oplost. Ik ben daar zelf heel erg terughoudend in omdat de AP een sterk toezichthoudende functie en rol heeft. Die toezichthoudende functie kan je minder goed uitvoeren als je aan de voorkant medeverantwoordelijk bent voor het design en het opzetten van de systemen. Bij hoge uitzondering zal het misschien weleens een keertje gebeuren. Ik zie dat er bij de corona-app aan de voorkant ook meer is meegedacht. Maar ik hecht eraan dat de AVG uitgaat van toezicht achteraf. Heel veel diensten en overheidsorganisaties kunnen zich door allerlei bureaus laten bijstaan in het goed ontwerpen van een betrouwbare beveiligingsarchitectuur.

Heeft u hiermee alle vragen over de capaciteit en de AP gehad?

Nee, nog niet, want dit gaat over de AP-casus. Breder is: hoe verhoudt zich dit tot de discussie over de capaciteit? Meer in zijn algemeenheid: ik ken de discussie en ik ken ook de opvatting van de AP daarover. U heeft daar eerder deze week ook een briefing over gehad naar aanleiding van een rapport dat eind vorig jaar is gepubliceerd. Ik hecht eraan om aan te geven dat in dat rapport wordt gewerkt met een aantal scenario's, een aantal modellen, maar dat — ik citeer even letterlijk uit het rapport — het onderzoek duidelijk maakt dat er nog te veel onzekerheden aanwezig zijn om tot een eenduidige, meerjarige, vooruitkijkende capaciteitsraming te komen. Dat is inherent aan de dynamiek waarin de AP opereert en de datapositie die voorhanden is. Ook is dit het gevolg van de beleidsruimte die er onder andere in wetgeving is om bepaalde keuzes daarin te maken. Met andere woorden: het is niet een vast gegeven dat de scenario's die in het rapport worden gepresenteerd, ook echt strikt noodzakelijk zijn om de AP goed te outilleren. Dit nog even los van het feit dat we in de afgelopen jaren natuurlijk enorm hebben geïnvesteerd in de AP. Het budget van de AP is de afgelopen vijf jaar verdriedubbeld. Niet 10% of 20%, maar 300% erop. Daarmee is de AP een van de best bemenste en een van de best gefinancierde autoriteiten in Europa. Ik daag de heer Verhoeven graag uit voor een interruptie. Uit het rapport blijkt dat er echt fors is geïnvesteerd in de AP. Ook in het lopend jaar heb ik er weer extra geld bij gedaan.

Heeft u hiermee alle vragen op dit punt beantwoord? Dan heb ik de heer Azarkan, mevrouw Van den Berg en de heer Verhoeven.

Ik begin bij het laatste. Wij kennen de opvattingen van de heer Dekker.

Van de minister.

Van de minister, de heer Dekker, over onder andere toegang tot het recht. Dan komt hij met statistiekjes en zegt hij dat het eigenlijk nergens in de wereld zo goed geregeld is als in Nederland. We horen bij de top. Toch zien we dat tienduizenden burgers kapot zijn gemaakt door die overheid omdat ze geen toegang hadden tot dat recht, omdat ze gewoon nergens terechtkonden. Ik vind het echt typisch weer minister Sander Dekker, die zegt: we hebben hartstikke goed geïnvesteerd.

En de vraag?

Nou ja, aan de andere kant, wat is dan de werkelijkheid van de Autoriteit Persoonsgegevens die aangeeft maar een paar tienden van procenten van de meldingen in ontvangst te kunnen nemen? Die aangeeft dat ze zo'n grote zaak als de toeslagenaffaire …

De vraag?

Daar hebben ze een jaar en twee maanden over gedaan. Hoe kan de minister nou zeggen dat ze goed geëquipeerd zijn? Waar blijkt dat dan uit?

Ik gaf net wat aan over de groei die de AP heeft doorgemaakt. Het budget is in vijf jaar tijd verdriedubbeld. Ik denk dat er geen overheidsorganisatie is in Nederland die dat kan zeggen. Ik zeg niet dat daarmee de problemen volledig van de baan zijn. Ik zie ook dat de werkdruk bij de AP behoorlijk hoog is. Maar het is niet zo dat we de afgelopen tijd niets hebben gedaan. En ja, er komen heel veel meldingen binnen bij de Autoriteit Persoonsgegevens, maar dat is ook niet zo gek, want er is een verplichting in de AVG dat je het meldt als er sprake is van een datalek. En niet ieder datalek noodzaakt onmiddellijk tot een heel groot en diepgravend onderzoek. Dan moet je kijken naar hoeveel signalen je binnenkrijgt en naar wat de ernst van de signalen is. Dat zie je ook in deze casus. Het begint klein en dan wordt er een eerste actie ondernomen door de AP. Naarmate het ernstiger wordt, wordt het toezicht geïntensiveerd. Ik heb daar gisteren uitvoerig met de AP over gesproken. Zij zijn ook echt van mening dat zij hier hebben opgetreden volgens hun eigen manier van werken en volgens wat de wet vraagt.

Ik vraag mij echt af of de minister een beetje door heeft hoe hard het gaat met het verzamelen van data en hoeveel data er elke dag bij komen. Hij zegt dat in de afgelopen vijf jaar het budget is verdrievoudigd, en dat er geen overheidsorganisatie is die dat kan zeggen, maar die vergelijking slaat als een tang op een varken. De conclusie, ook van de Algemene Rekenkamer, van de AP en van andere instituten, is dat de overheid geen grip op de eigen data heeft. Aan de ene kant zien we dat algoritmes gebruikt worden op plekken waar ze niet gebruikt mogen worden. De AP heeft geconstateerd dat de overheid de wet overtreedt.

En de vraag?

Mijn vraag is: hoe kan de minister nou volhouden dat er geen behoefte aan is en dat we dat niet moeten doen? Er moet gewoon meer geïnvesteerd worden in hoe moet worden omgegaan met al die data die de overheid verzamelt, waar niemand toezicht op houdt en waarvan burgers het slachtoffer kunnen worden.

Ik probeer de tegenstelling niet onnodig groot te maken. Ik gaf net in mijn inleiding aan dat we extra investeren in beveiliging van informatie, in de Autoriteit Persoonsgegevens, in cybersecurity en in heel veel andere dingen. Dat moeten we ook blijven doen. De heer Azarkan heeft helemaal gelijk dat het verwerken van data en gegevens waarschijnlijk niet minder wordt. Het wordt alleen maar meer. Maar in de discussie over of de AP voldoende is uitgerust, is mijn punt dat ik weliswaar zie dat er druk is op die organisatie, maar dat ik ook constateer dat er eigenlijk ieder jaar extra geld naartoe is gegaan. We investeren ook in de AP.

Tot slot, de heer Azarkan.

Dan de vraag die ik eigenlijk echt wilde stellen.

Die andere vraag niet?

Nou, deze gaat over wat de minister in een bijzin zei over de ernstige gebreken die door de AP zijn geconstateerd bij de GGD ten aanzien van deze twee systemen. De afspraak was dat die eind 2020 of begin 2021 opgeheven zouden zijn. Ik vind dat nogal nonchalant en ook niet geloofwaardig. Volgens mij heeft de AP geconstateerd dat er ernstige gebreken waren en gezegd dat die aan het eind van 2020 opgeheven moesten zijn. Zegt de minister nou dat ze een aantal maanden de tijd kregen? Hij zei net: "de eerste helft van 2021". Was het: "Kijkt u maar eens even wanneer u het oplost"? Hoe is dat gegaan?

Nee. Naar aanleiding van het datalek in november heeft de AP contact gehad met de GGD. Daarbij is aangegeven dat er verbetermaatregelen genomen zouden worden die eind 2020 of begin 2021 tot een afronding zouden komen. Vervolgens werden we ingehaald door wat er in januari is gebeurd.

De minister heeft net uitgelegd dat het meekijken bij de ontwikkeling eigenlijk niet zozeer bij een toezichthouder past. Dat kan ik begrijpen. Maar ik had ook nog gevraagd: had de AP niet eerder verscherpt toezicht moeten toepassen, juist omdat ze wist dat het hier potentieel over miljoenen data gaat? Want dat is pas recentelijk gebeurd.

Ja, je moet niet met de kennis van nu kijken. Je moet kijken naar wat we in september wisten en naar wat de AP toen heeft gedaan, en naar wat we in november wisten en naar wat de AP toen gedaan heeft. Als je dat tijdsverloop doorloopt, dan vind ik het heel logisch dat de AP contact opneemt naar aanleiding van een uitzending van Nieuwsuur, waarin anoniem door medewerkers op beeld gezegd wordt dat zij onvoldoende getraind zijn. Dat was een eerste signaal op basis waarvan contact is opgenomen. Dat vind ik goed. Dan kun je zeggen: hadden ze toen niet meteen een diepgravend onderzoek moeten instellen? Nee, dat zit niet in de manier waarop zij toezicht houden. Daar zit een bepaalde gelaagdheid in; je grijpt niet onmiddellijk naar je zwaarste middel. Dit even los van het feit dat, als je een onderzoek doet, er vaak maanden overheen gaan voordat het wat oplevert. Dus ik vind het niet gek dat er in september gezegd is "hoe zit dat eigenlijk met jullie basis, is die op orde?", en dat er vervolgens in november gekeken wordt, naar aanleiding van een aantal meldingen, wat er aan de hand is. Dan worden afspraken gemaakt over verbeteringen. Maar nu zit er eigenlijk een volgende stap in, namelijk dat er gezegd wordt: ja, dit is wel heel ernstig; we gaan dit nu ook nauwgezet volgen.

Maar dan concludeer ik dat de minister in feite zegt dat de AP geen rekening houdt met de potentiële grootte. Want we spreken hier natuurlijk over een databestand met miljoenen data, en dan zit er niet in het achterhoofd van de AP dat, als daar wat misgaat, het dan echt nog veel massiever misgaat dan wanneer je, bij wijze van spreken, ergens met tien datalekken zit.

Maar daar houden ze zeker wel rekening mee. Dat is bijvoorbeeld een van de redenen waarom ze onmiddellijk contact hebben opgenomen in september, en waarom ze dat naar aanleiding van de melding van het datalek in november wederom hebben gedaan. U kunt zich voorstellen dat er datalekken zijn in heel veel soorten en maten. Dagelijks krijgt de AP verschillende meldingen binnen. Op heel veel van die meldingen wordt ook niet automatisch gereageerd; er is bij wijze van spreken al een datalek als je wat per ongeluk in je e-mail naar buiten stuurt. Dat moet je melden. Ook dat soort meldingen komen binnen, en die leiden niet allemaal automatisch tot een contact. En dat heeft de AP hier, in deze gevallen, wel gedaan, juist vanwege de ernst en de omvang.

Nu de heer Verhoeven, de heer Hijink en mevrouw Kuiken. De vragen moeten echt kort zijn, want we hebben ook nog een tweede termijn. Ja? De heer Verhoeven.

De minister zegt — en ik heb er jaren met hem over gesproken — het weer met een stalen gezicht: de AP heeft achterstanden. De AP heeft het toezicht op de AVG, ze moeten allerlei wetsovertredingen van de overheid corrigeren, zoals vandaag ook weer met het GGD-datalek. Daar heeft men zich niet aan de AVG gehouden; een datalek. Daar schieten ze volledig tekort, zoals net door de SP is uitgelegd. Aan alle kanten loopt het water over de schoenen. Er zijn verschillende rapportages geweest in het afgelopen jaar, die allemaal aanwijzen dat er flinke tekorten zijn. Het is een jaar geweest met SyRI, het is een jaar geweest met de toeslagenaffaire, met een datalek. We hebben net weer een wet aangenomen waarvan de AP heeft gezegd "niet doen": de Wgs, ook weer van dit ministerie. Aan alle kanten dendert die datatrein maar door. Het is zorgelijk dat het gebeurt, want er wordt wel met data gewerkt door de overheid en dat is prima, maar niet op een goede manier. Wat hebben we nodig? Een sterke toezichthouder, die echt kan ingrijpen. Hebben we die? Nee. Moet het dan elke dag met een druppel op een gloeiende plaat, moet het dan met de salamitactiek? Nee, en dat weet de minister stiekem ook wel. Waarom nou niet, als er moties van de Kamer zijn, een keer aan het einde van zo'n kabinetsperiode zeggen: we doen er wat geld bij voor die Autoriteit Persoonsgegevens? Die mensen werken keihard om aan alle kanten allerlei datamisstanden recht te zetten.

Ik vind dat de heer Verhoeven hier de AP echt tekortdoet. Want de AP doet ongelofelijk haar best om heel veel te verwerken, om goede adviezen te geven op wetgeving. Ze is ook met grote regelmaat heel erg streng op de dingen die we wel of niet zouden moeten doen. Er werken ruim 180 mensen bij de AP ongelofelijk hard, en dat doen ze in mijn ogen gewoon heel erg goed.

Voorzitter, dit is een beetje balletje-balletje spelen met mijn vraag. Ik zeg dat er een groot probleem is met de capaciteit. En de minister maakt daar een soort spelletje van, dat ik zeg dat de kwaliteit niet goed is. Ze kunnen niet de kwaliteit leveren die nodig is, vanwege de gebrekkige capaciteit. Scenario's uit alle onderzoeken, ook in het laatste rapport van KPMG, net twee dagen geleden met de Kamer gedeeld, wijzen uit dat capaciteit het probleem is. D66 of ik zal nooit zeggen dat de Autoriteit Persoonsgegevens haar werk niet goed doet. Dit is gewoon heel flauw van de minister. Ik snap ook niet waarom dat antwoord nu nodig is, na alles wat er het afgelopen jaar gebeurd is. Het gaat om de capaciteit! Kan de minister nou niet gewoon zeggen: de capaciteit schiet tekort, aan alle kanten loopt het water over de schoenen. Toezichthouders als de ACM zijn vele malen groter, met enorme budgetten, en de Autoriteit Persoonsgegevens blijft een relatief kleine club. En dan zegt de minister: ja, de heer Verhoeven doet de AP tekort. Nee, de minister doet de AP tekort; letterlijk, met geld.

De heer Verhoeven en ik zijn het gewoon met elkaar faliekant oneens.

Dat heb ik gemerkt.

Hij trekt een conclusie uit een rapport die ik niet onmiddellijk trek. Ik zei wat over de scenario's die erin staan, maar ook de grote disclaimer die de onderzoekers daarbij plaatsen, dat de cijfers eigenlijk onvoldoende goed en hard zijn om daar betrouwbare uitspraken over te doen. Ik heb zojuist al aangegeven dat ik jaar in, jaar uit extra geld richting de AP stuur om ervoor te zorgen dat ze haar taken kan doen.

Ik denk niet dat jullie het erover eens worden, maar het staat de Kamer vrij om het op een andere manier aan de orde te stellen. Ik ga naar de heer Hijink.

Ik moet even iets rechtzetten. Ik heb eerder gezegd dat de Autoriteit Persoonsgegevens één dag in de week één iemand beschikbaar heeft om actief op zoek te gaan naar datalekken. Dat is niet waar, want deze persoon moet daarnaast ook nog heel veel andere dingen doen. Die moet namelijk niet alleen actief zoeken naar datalekken, maar kijkt naar alle vormen van signalen, van tips tot datalekken tot klachten, et cetera. Het opsporen van datalekken is alleen een onderdeel van een van de vele dingen die die ene persoon op die ene dag in de week te doen heeft. Eén persoon, één dag in de week. Als je kijkt naar hoeveel data wij hebben, naar wat er vanuit de overheid allemaal over het land wordt uitgestort, vindt de minister het dan voldoende dat één iemand, één dag in de week datalekken kan opsporen? Vindt hij werkelijk dat dat genoeg is?

Er moet geen karikatuur gemaakt worden van de AP. Er werken ruim 180 mensen bij de Autoriteit Persoonsgegevens. Er werkt een veelheid aan mensen bij de afdelingen die zich bezighouden met onderzoek en met handhaving. De heer Hijink zegt dat er zo weinig capaciteit is om proactief of preventief op zoek te gaan naar datalekken. Maar heel eerlijk, dat is ook niet de taak van de Autoriteit Persoonsgegevens. De Autoriteit Persoonsgegevens moet optreden daar waar datalekken zijn. Iedereen, elke organisatie, privaat of publiek, heeft de plicht om datalekken te melden. Sterker nog, als dat niet gebeurt, kan de AP ook fors ingrijpen. Kijk bijvoorbeeld naar twee jaar geleden, toen Uber te maken had met een groot datalek en dat te laat meldde. Die heeft een forse boete gekregen. En dat is de manier waarop het toezicht werkt.

Tot slot.

Voorzitter, ik maak echt bezwaar tegen hoe de minister hier staat te praten. Hij deed net al tegen de heer Verhoeven alsof wij de Autoriteit Persoonsgegevens tekort zouden doen. De minister doet dat. En nu zou ik een karikatuur schetsen van hoe de AP functioneert. De minister maakt er een karikatuur van. Wat hebben wij aan een toezichthouder die geen toezicht houdt, die pas ingrijpt, pas handelt, nadat het is misgegaan? Het lijkt mij dat een goede toezichthouder actief op zoek gaat naar lekken, zodat we kunnen ingrijpen voordat mensen getroffen worden. Daarvoor hebben we toch een toezichthouder, zou ik zeggen. Dus wat is nou het probleem? Het verzoek van de AP is dat we die 0,2 fte, dus die ene dag in de week dat iemand daarmee bezig is, gaan verhogen tot een aantal mensen die daar gewoon fulltime mee bezig kunnen zijn. Dan kunnen we dit soort problemen voorkomen. Dan hoeven we hier niet te staan om dit debat te hebben over een groot datalek bij de GGD. Dan hadden we misschien in september al een toezichthouder gehad die had gezegd: hier gaat het helemaal mis; hier grijpen we in.

Goed.

Ik kijk gewoon naar wat de wet vraagt en naar wat de wet zegt. Dan is de Autoriteit Persoonsgegevens een risicogestuurde toezichthouder. Dat betekent dat er kan worden gereageerd als er signalen binnenkomen. Dat is wat anders dan proactief of preventief op zoek gaan. Ik denk ook dat het een illusie is om te denken dat je met zoveel duizenden bedrijven en overheidsorganisaties in Nederland in staat bent om dit op een goede manier te doen, tenzij je de AP misschien vertien- of verhonderdvoudigt. Dat is de filosofie van de AVG. Er wordt heel veel verantwoordelijkheid neergelegd bij de organisaties zelf, met heel veel verplichtingen. En als het dan fout gaat, hebben we een toezichthouder die daarop kan optreden.

U mag nog één vraag stellen, maar ik heb niet de indruk dat door die ene vraag een totaal andere conclusie zal worden getrokken over de AP.

Dat zou kunnen, voorzitter, maar ik wil dan wel de vergelijking maken met de IGJ, de Inspectie Gezondheidszorg en Jeugd. Die doet ook vaak risicogestuurd toezicht, maar dat wil niet zeggen dat zij alleen maar afgaat op meldingen. Het is natuurlijk een heel rare vorm van toezicht houden als je alleen maar afgaat op meldingen. Een goede toezichthouder gaat niet af op meldingen, maar kijkt zelf waar problemen zijn. Als je alleen maar afgaat op meldingen, heb je dus zelf niet goed in beeld waar de risico's zijn, want dan ben je altijd afhankelijk van iemand anders die iets meldt.

Dit punt heeft u volgens mij al genoeg duidelijk gemaakt. Ik zie dat mevrouw Kuiken nog wil interrumperen.

Ik ben het wederom niet eens met de minister als het gaat om de Autoriteit Persoonsgegevens, ook omdat berekeningen gewoon laten zien dat als je alle taken daar neerlegt, er meer fte's moeten zijn. Maar die discussie ga ik nu niet verder voeren. Die komt op een ander moment en wellicht in een regeerakkoord aan de orde, wie daar ook aan tafel zit. Mijn vraag is de volgende. Wij hebben een grote uitdaging op het gebied van ICT om deze crisis in goede banen te leiden, zowel als het gaat om testen, om vaccineren als om het maken van afspraken. Als ik nu alle notulen lees, dan zie ik dat VWS aan alle kanten is betrokken, maar dat JenV eigenlijk ontbreekt. We constateren ook met elkaar dat er wel heel veel taken op het terrein van minister De Jonge liggen. Mijn vraag is dan ook even: waar is JenV in dit verhaal? Ik vraag dit ook omdat we al langere tijd weten dat er dingen niet goed gaan. Dat is ook bekend bij het ministerie van Justitie en Veiligheid.

Doelt mevrouw Kuiken dan specifiek op informatiebeveiliging? Want JenV is natuurlijk op heel veel terreinen wel degelijk heel intensief betrokken bij het managen van deze crisis als het gaat om handhaving. Ik geloof dat mijn collega Grapperhaus hier met grote regelmaat staat.

Ja, dat weten we.

We hebben het nu niet over rellen of andere dingen. Ik dacht dat ik hier in een debat stond over datalekken.

Ik zei dat om het even specifiek te maken. Als het specifiek gaat om informatiebeveiliging, is de rol van Justitie die van wetgever. We maken daar het kader voor. Wij zijn verantwoordelijk voor de toezichthouder, die een grote mate van onafhankelijkheid heeft, maar wij moeten ervoor zorgen dat de AP haar werk goed kan doen. Dat betekent dat we niet betrokken zijn bij het ontwikkelen en de architectuur van heel veel trajecten. Mijn collega De Jonge gaf net al aan welke verbeterslagen er allemaal gemaakt worden binnen de zorgpijler om ervoor te zorgen dat je zo snel mogelijk weer up to par komt. Wij zitten aan de toezichtkant. Als er echt iets niet goed gaat, dan zit de AP daarbovenop. De AP zit nu inmiddels in een fase dat ze ook echt met grote mate regelmaat contact hebben met de GGD om te kijken of de afspraken goed zijn en of die worden nagekomen. Ze noemen dat zelf verscherpt toezicht.

Tot slot, mevrouw Kuiken.

De checks-and-balances waren gewoon niet goed, want er waren allemaal alarmsignalen, zowel intern als via de media, en het duurde lang voordat er ingegrepen werd. Kunnen we nu een actieve rol van deze minister verwachten als het gaat om het verdere verloop van dit dossier? Er worden beloftes gedaan waarvan we nog maar moeten zien of die realistisch zijn. De toezichthouder heeft gewoon te weinig capaciteit. Dus dat vraagt ook echt om een actieve bemoeienis. Dat is althans mijn opvatting.

Ik ga het even heel precies doen. Ik ben niet de AP. Ik denk dat de AP het ook heel vervelend zou vinden als ik ga zeggen: ik ga de AP nu opdracht geven. Het is geen uitvoeringsorganisatie. Sterker nog, het is wettelijk verboden dat ze aanwijzingen krijgen van de verantwoordelijk minister. Ik leg verantwoording af, ik zorg dat de AP goed haar werk kan doen en ik kan u toezeggen dat de AP mij heeft aangegeven dat ze hier bovenop zitten. Dus ja, ze zijn betrokken.

Goed. Dan ga ik naar mevrouw Kröger.

Ik wil toch nog even door op de vraag die net gesteld werd door de collega's Verhoeven en Hijink over de signalerende rol van de AP. Dat zien we ook bij andere toezichthouders, zoals de ILT of de NVWA; juist de noodzaak dat er ook uit eigen beweging onderzoek kan worden gedaan. De minister maakt dat eigenlijk heel klein. Hij zegt: er wordt een karikatuur van gemaakt als er gezegd wordt dat er maar heel weinig fte voor is, want het is ook helemaal niet de bedoeling dat ze dat doen. Maar ik lees gewoon op de website van de AP, bij hun eigen beschrijving van hun activiteiten: "Onderzoek doen uit eigen beweging naar mogelijke overtredingen van de wet". Dat ís hun rol. Dan moeten we ze daar toch ook voor equiperen?

Ik ben het daar volledig mee eens, maar de karikatuur is dat er maar 0,2 of 1 fte beschikbaar zou zijn om dit soort werk te doen. Er werken ruim 180 mensen en de belangrijkste taak die de AP heeft, is toezicht houden op de naleving van de AVG. Dat is haar bestaansrecht.

Zeker, alleen in reactie op de vragen zei de minister: Ja, als er een melding gedaan wordt, want dat is verplicht, dan gaat de AP toezicht houden. Maar juist het ook uit eigen beweging onderzoek doen, signaleren, kijken wat er misgaat, is uitdrukkelijk een opdracht. Daar equiperen we ze nu niet voor, met alle gevolgen van dien. Dus daar moeten wij toch de verantwoordelijkheid voor nemen, juist als wij als overheid zo ongelooflijk veel data verzamelen en verwerken?

Ik gaf net aan hoe de AP haar toezicht invult. Dat gebeurt langs drie lijnen. Eén: risicogestuurd. Twee: gericht op nakoming, dus niet onmiddellijk met je bonnenboekje staan maar zorgen dat dat je ook lichtere vormen kunt gebruiken om ervoor te zorgen dat organisaties compliant worden. Drie: met een intensivering. Je grijpt niet onmiddellijk naar je allerzwaarste middel. Als ik dan kijk naar deze casus, heb ik echt de indruk dat dat ook langs die weg is verlopen.

Tot slot.

Nu gaat de minister weer terug naar de casus, maar we hebben een gesprek over iets breders, namelijk het functioneren van de Autoriteit Persoonsgegevens. De minister komt op alle vragen over zelf onderzoek terug met: risicogericht. Maar net, in reactie op de collega's Verhoeven en Hijink, werd letterlijk gezegd: nee, er wordt een melding gedaan en dan wordt er opgetreden, het is helemaal niet de bedoeling dat ze zelf onderzoek doen. Maar dat is dus wél de bedoeling.

Het overgrote deel …

Dat lees ik net voor, dus dat is wél de bedoeling, en daar moeten we ze dus ook voor equiperen en dan hebben ze meer capaciteit nodig. Is de minister dit dan eindelijk toch met ons eens?

Dan komen we weer terug op de capaciteitsdiscussie. Volgens mij gaan we dan in cirkeltjes lopen.

Dat hebben we net gehad. Daarover is gewoon een verschil van mening en dat is voldoende gewisseld, volgens mij. Het is aan de Kamer om dat op een andere manier misschien aan de orde te stellen, en anders na de verkiezingen.

Voorzitter, zal ik nog wat zeggen over het strafrechtelijke deel en slachtoffers?

Als dat kan, heel graag, en dan gaan we naar de tweede termijn.

Voorzitter. Uiteraard is het stelen en doorverkopen van persoonsgegevens een ernstig misdrijf. Ik kan u verzekeren dat politie en OM hier bovenop zitten. Nadat een melding werd ontvangen op 22 januari zijn in deze zaak binnen 24 uur twee aanhoudingen verricht. Gisteren is er nog een aanhouding verricht, en meer aanhoudingen worden zeker niet uitgesloten, werd mij door het OM verzekerd. Er wordt nu door politie en OM onderzoek gedaan. Dat zal meer inzicht kunnen geven in de omvang van de datadiefstal. Er zijn onder meer telefoons in beslag genomen en het berichtenverkeer wordt in kaart gebracht. Ook wordt bezien welke maatregelen nodig zijn om vervolgschade te beperken. De eerste twee verdachten zijn inmiddels voorgeleid aan de rechter-commissaris.

Specifiek is gevraagd of ik een indicatie kan geven over de omvang. Ik kan dat nu niet doen. Dat zou echt te voorbarig zijn. Een indicatie geven van de omvang zou kunnen als de GGD goed in beeld heeft wat er is vervreemd, maar daar heeft mijn collega al wat over gezegd. Ook politie en OM hebben daar tot nu toe nog een onvoldoende scherp beeld van. Dat is onderdeel van een lopend onderzoek.

Wat kun je dan doen als slachtoffer? Ik begrijp dat mensen ongerust zijn. Wat zijn de risico's die hieruit naar voren komen? Ik heb mij door de experts laten vertellen dat de grootste risico's zitten in het gebruik van naw-gegevens en bsn-gegevens voor vormen van phishing. Dus iemand doet zich met die gegevens voor als een betrouwbaar persoon en mensen die daar niet scherp genoeg op letten, gaan daarin mee. Dat is een reëel risico. Ik heb begrepen van de Rijksdienst voor Identiteitsgegevens dat de kans op identiteitsfraude kleiner is. Dat heeft ermee te maken dat bsn- en naw-gegevens onvoldoende zijn om bankrekeningen te openen of telefoonabonnementen af te sluiten, maar ook hiervoor geldt natuurlijk: laat mensen er alsjeblieft heel erg scherp op zijn. Als er dingen gebeuren waarvan je zegt "hé, dit vertrouw ik niet", neem dan contact op.

Met wie kun je dan contact opnemen? Als er sprake is van fraude en oplichting, kan dat met de Fraudehelpdesk. Die geeft informatie en praktische adviezen. Zij kunnen eventueel doorverwijzen naar de politie. Als er sprake is van misbruik van persoonsgegevens en van identiteitsfraude, dan kunnen mensen naar het Centraal Meldpunt Identiteitsfraude en -fouten (CMI). Als het via die kant loopt, wordt er aangifte gedaan bij de politie. Tot slot kan Slachtofferhulp Nederland mensen begeleiden, bijvoorbeeld bij het vinden van hulp als zij schade hebben geleden.

Tot slot was de vraag: wat kun je dan doen als je eventueel schade hebt geleden? Dan is er wel sprake van schade: laten we hopen dat dit niet voorkomt, of dat de schade in ieder geval zo minimaal mogelijk is. Dan zijn er een aantal wegen, bijvoorbeeld een civiele procedure tegen de GGD. Dat kan zowel individueel als collectief. Maar het kan ook doordat slachtoffers zich voegen in het eventuele strafproces dat zal volgen na het werk van het Openbaar Ministerie.

Waren dat alle vragen?

Ja, voorzitter, daarmee ben ik aan het einde gekomen van de beantwoording.

Mevrouw Van der Graaf, korte vraag.

Het is fijn om te horen waar mensen terechtkunnen op het moment dat ze het vermoeden hebben dat er sprake is van fraude en van gebruik van hun gegevens. Er kijken heel erg veel mensen mee met dit debat, want veel mensen maken zich zorgen. Ik krijg meerdere e-mails van mensen die zeggen: onze zorg zit in het feit dat we het met elkaar hebben over misbruik op korte termijn, maar je geboortedatum, woonplaats en bsn-nummer zijn gegevens die een leven lang mee kunnen gaan. Wat kan de overheid preventief doen, of hoe kan zij anticiperen? Ik heb dat in het debat gevraagd, omdat ik die vraag ook van mensen krijg. Daarom herhaal ik hem: als mensen aanleiding hebben om te denken dat er iets mis is, kunnen zij dan een nieuwe bsn-nummer krijgen? Ik wil heel graag dat er ook over preventieve maatregelen wordt nagedacht. Het is niet niks wat hier is gebeurd.

Dat laatste ben ik helemaal met mevrouw Van der Graaf eens. Ik weet dat BZK bijzonder terughoudend is als het gaat om nieuwe bsn-nummers, omdat dit een enorme doorwerking heeft in allerlei systemen. Je bsn-nummer is eigenlijk het nummer waar heel veel dingen samenkomen. Denk bijvoorbeeld aan je zorgdossier in het ziekenhuis. Denk aan belastingen. Ik zeg niet dat er geen uitzonderlijke gevallen zijn waarin je het toch zou moeten doen, maar als je overgaat naar een nieuw bsn-nummer, heeft dat ongelooflijke consequenties. Vandaar die terughoudendheid.

Dit onderstreept precies de zorg die mensen hebben. Het is spot-on dat we het hierover hebben in zo'n debat, maar ik wil toch aan de regering vragen om eens na te denken over een pakket maatregelen. We weten dat die gegevens voor duizenden euro's verhandeld worden, juist omdat het interessant is dat er bsn-nummers bij zitten. Even een klein anekdotisch voorbeeldje: als ik een foto maak van mijn paspoort, kan ik er zo'n sjabloon over leggen waardoor mijn bsn-nummer niet bekend wordt als ik ergens ga logeren of als ik dat ergens moet delen. We schermen dat niet voor niets heel vaak af. Dus ik zou heel graag willen dat het kabinet daarover gaat nadenken. Wat zouden we preventief kunnen doen in het aller-, allerergste geval? We hopen niet dat dat gaat gebeuren, maar het kan wel.

Ik ga daar graag het gesprek over aan met staatssecretaris Knops. Het nadenken moet nooit stilstaan. Ik wil niet mensen onterecht geruststellen, want ik zou tegen iedereen willen zeggen: blijf alsjeblieft alert, ook op andere plekken kunnen je gegevens worden vervreemd, los van wat hier is gebeurd. Maar bijvoorbeeld voor het openen van een bankrekening is een bsn-nummer nooit genoeg. Je moet je bsn-nummer opgeven, maar ook een aantal andere dingen. Bijvoorbeeld een kopie van een identiteitsbewijs waar ook een nummer aan gekoppeld is. Het zit hem vaak in de combinatie van dingen, voordat je in heel vergaande consequenties belandt.

Maar u gaat het met de staatssecretaris van Binnenlandse Zaken opnemen en de Kamer daarover informeren.

Ja.

Heel goed. Dan wil ik u ontzettend bedanken voor uw antwoorden. We zijn nu toegekomen aan de tweede termijn van de zijde van de Kamer. Ik geef nu het woord aan de heer Verhoeven namens D66. Ik zie dat u moties heeft, ik zou daarmee beginnen.

Heel kort, voorzitter. De minister speelt topvoetbal, maar vorige week leek het alsof hij trimvoetbal speelde: hij gaf een aantal antwoorden aan de Kamer die echt niet klopten. Vandaag heeft hij een hoop daarvan rechtgezet, waarvoor dank. Het ondergeschoven kindje privacy is alsnog blootgelegd. Het is goed dat een aantal toezeggingen zijn gedaan op het gebied van exporteren, toegang en bijvoorbeeld ook de login. Mijn moties heb ik ingediend.

Tot slot vond ik de woorden van de minister voor Rechtsbescherming over de Autoriteit Persoonsgegevens een minister voor Rechtsbescherming onwaardig en zeer teleurstellend.

Voorzitter, dank u wel.

Dank u wel, meneer Verhoeven. Dan geef ik nu het woord aan de heer Hijink namens de SP.

Ja, dat is een mooie, hè?

Nou, dat weet ik niet. Dank u wel, meneer Azarkan. Dan geef ik nu het woord aan mevrouw Van Brenk namens 50PLUS.

Voorzitter. Het is van groot belang dat burgers vertrouwen houden in de GGD, de teststraten en het systeem. Het is van groot belang dat hun gegevens goed behandeld worden en dat daar voorzichtig mee om wordt gegaan. Daarom hoop ik dat de minister in de tweede termijn nog een keertje burgers kan oproepen om zich te laten testen als ze wat mankeren, want dat is van groot belang, en dat hij kan zeggen dat de gegevens veilig zijn.

Dank u wel.

Dank u wel, mevrouw Van Brenk. Dan geef ik nu het woord aan mevrouw Kröger namens GroenLinks. Gaat uw gang.

Tot slot, voorzitter. Ik denk dat er veel ligt in hoe de relatie tussen VWS en de GGD's en tussen de GGD's onderling is vormgegeven. Ik vind het belangrijk dat dit wordt meegenomen in de audit en sluit mij aan bij de woorden die eerder gesproken zijn over de Autoriteit Persoonsgegevens.

Dank u wel, mevrouw Kröger. Dan geef ik nu het woord aan mevrouw Van Esch namens de Partij voor de Dieren.

Ja.

De heer Veldman.

Dank u wel. Dan geef ik nu het woord aan de heer Van der Staaij namens de SGP.

Dank u wel. Dan geef ik nu het woord aan mevrouw Van der Graaf namens de ChristenUnie. Gaat uw gang.

Ja, allang.

Nou, ik heb niet zo heel veel geïnterrumpeerd volgens mij.

Het geeft niet.

Dus ik neem even de ruimte.

Voorzitter. Ik denk dat het goed is dat we dit debat hebben gevoerd. We weten dat onze overheid nog lang niet AVG-proof opereert, bijvoorbeeld de Belastingdienst pas in 2024. Het debat laat zien dat het belangrijk is dat we het met elkaar hierover hebben. In de Kamer is ook een advies gegeven om daar in de nieuwe periode een nieuwe Kamercommissie voor op te richten. Maar het vraagt ook iets van het kabinet. Volgens mij hadden we hier vandaag met ten minste vier bewindslieden over kunnen spreken ...

Dank u wel.

Ik denk dat hier een opdracht ligt.

Dank u wel, mevrouw Van der Graaf. Dan geef ik nu het woord aan mevrouw Agema namens de PVV.

Twaalf.

Er wordt altijd onderhandeld. Ik schors tot 16.50 uur, sorry, tot 16.55 uur; laat ik het zo afspreken, want wij hebben aansluitend nog een ander debat.

Ja.

Ik geef de minister van VWS het woord.

Die is van mevrouw Kuiken en de heer Hijink. Bedoelt u die?

Ja, die bedoel ik inderdaad.

Dan ga ik eerst naar mevrouw Van Esch. Heel kort en alleen als u iets wilt aanhouden of intrekken, of als het gaat om een kleine wijziging.

Ik snap het antwoord niet. De minister gaf net aan dat hij terug zou komen op de NEN-normen, omdat hij de antwoorden niet kon geven. Toen zei ik: dan dien ik alvast een motie in, maar ik snap dat ik die moet aanhouden omdat de antwoorden nog komen. Maar nu wordt die motie ontraden.

Hetzelfde geldt voor de motie op stuk nr. 247. U gaf aan: daar komt minister Van Ark binnenkort op terug. Toen zei ik: oké, dan dien ik een motie in, maar dan zal ik die alvast aanhouden totdat dat debat er is. Maar nu wordt die toch ontraden, dus ik snap het niet meer. Want volgens mij willen beide ...

Daarom gaf ik u het woord, want ik voelde dit al aankomen.

Dan gaan we eerst even terug naar de motie op stuk nr. 246 ...

En op stuk nr. 247. Allebei.

Daarin staat een verzoek aan de regering om de NEN-normen te herzien, maar dat is niet aan de regering. Dus die kan ik sowieso ontraden. Vervolgens heb ik mevrouw Van Esch toegezegd om in te gaan op de NEN-normen, voor wie die gelden, op welke wijze die worden herzien et cetera. Daar kom ik nog steeds schriftelijk op terug, dus die toezegging blijft staan. Alleen, de motie ontraad ik om een andere reden, namelijk omdat het geen opdracht aan de regering kan zijn om een NEN-norm te herzien. Dat is een.

Twee. Wat betreft het vervangen of schrappen van de corona-opt-in: ik heb gezegd dat het verstandig is om het debat te vervolgen op het moment dat de AMvB er ligt. Maar deze motie verzoekt de regering om de corona-opt-in te vervangen of te schrappen. Ik weet dat collega Van Ark de corona-opt-in in een AMvB wil vastleggen en die voor wil leggen aan de Kamer. Op dit moment ligt die voor bij de AP.

Goed, maar misschien ...

De motie vraagt nu aan het kabinet om die te schrappen. Ik weet sowieso dat ik de motie kan ontraden, want collega Van Ark wil dat ding juist houden.

Ja, maar het staat mevrouw Van Esch vrij om die moties eventueel aan te houden.

Dat kan altijd.

Daar heeft zij tot volgende week dinsdag de tijd voor. U was begonnen met de motie op stuk nr. 248 van mevrouw Kuiken en de heer Hijink. Weet u dat nog?

Ja. De motie op stuk nr. 248 van mevrouw Kuiken en de heer Hijink ga ik ontraden, omdat dit een opdracht is aan het kabinet, terwijl dit om medewerkers gaat die door de GGD zijn ingehuurd. Daar kan ik niet in treden. Dat is echt aan de sociale partners.

De motie-Agema op stuk nr. 249 geef ik oordeel Kamer. Die verzoekt de regering te bewerkstelligen dat persoonlijke gegevens in de coronasystemen bij de GGD op verzoek snel verwijderd kunnen worden. Dat is gewoon de wet, dus die motie kan oordeel Kamer krijgen. Mevrouw Kuiken heeft gevraagd: klopt het dat er signalen zijn dat dat niet zo soepel gaat? Die signalen moet ik sowieso nog uitzoeken. Deze motie krijgt dus oordeel Kamer, maar de signalen moet ik nog uitzoeken en daar kom ik schriftelijk op terug.

Dan een actieplan. U weet dat ik daar dol op ben, maar ik denk dat een actieplan Voorkom en herstel dataschade testbeleid niet nodig is. Dat is de motie op stuk nr. 250 van mevrouw Agema. Laten we nou eerst kijken wat de omvang is en laten we, als helder is wat de omvang is, kijken hoe het zit met de aansprakelijkheid en de daadwerkelijke schade. Daarna zal ik ook, conform de motie-Van Brenk, de GGD ondersteunen bij het nakomen van de verplichtingen ten aanzien van de aansprakelijkheid om de slachtoffers te helpen. Dat ga ik sowieso doen, maar daar heb ik dit actieplan niet voor nodig. Deze motie ga ik dus ontraden.

Dan de motie op stuk nr. 251 van mevrouw Van den Berg c.s. over een CIO bij de GGD GHOR. Ik hecht eraan te onderstrepen dat het aan de GGD GHOR is om een CIO aan te nemen. Dat staat er ook, namelijk: "te bevorderen". Ik kan het oordeel dus aan de Kamer laten.

Dan een aantal vragen die ik nog zou beantwoorden. De eerste en misschien belangrijkste vraag gaat over de openbaarmaking van de risicoanalyse en van het assessment van KPMG. Ten aanzien van de risicoanalyse heb ik aangegeven dat op dit moment het NCC openbaarmaking ontraadt. Dat zou namelijk een nadelig effect kunnen hebben op de veiligheid van systemen. De analyse heeft nou juist die punten op het oog die in de komende weken verbeterd zullen worden. Dus ik zou met de Kamer willen afspreken dat ik de analyse in vertrouwelijkheid met haar zal delen. Zodoende kan de analyse ook onderdeel zijn van de informatievoorziening aan de Kamer. Maar het besluit over openbaarmaking schort ik op tot de audit over een week of zes, waaruit zal moeten blijken of het in afdoende mate is gelukt om zaken te dichten die worden gesignaleerd en worden aangepakt in het verbeterplan. Na ommekomst van de audit, waarbij ik deze vraag zou willen meenemen, wil ik bezien welke delen openbaar gemaakt kunnen worden. De intentie is: zo veel mogelijk, tenzij dat veiligheidstechnisch niet verantwoord is.

Dat ten aanzien van de risicoanalyse. Ten aanzien van het assessment van KPMG geldt iets anders. Dat is niet ons assessment, maar dat is van de GGD. Ik zal dus met de GGD in overleg gaan of ik daar iets vergelijkbaars mee zou kunnen doen of dat daar een andere afspraak voor moet gelden. Maar dat is niet míjn assessment, niet míjn rapport, dat is van de GGD. Kortom, dat gesprek moet ik echt eerst voeren ten aanzien van de risicoanalyse, zoals ik zojuist heb gezegd.

Dan de exportfunctie. Dat betreft Den Haag en Fryslân. Alleen mensen met de rol van administrator hebben nog toegang tot de exportfunctie. De GGD'en bepalen wie de rol van administrator krijgt. Dat gaat om IZB-artsen, IZB-verpleegkundigen, werkverdelers en enkele specialistische functies. In Haaglanden gaat het om zeven personen. In Fryslân gaat het om een mij nu onbekend aantal personen. Echter, de heer Verhoeven heeft deze signalen niet voor niets gekregen. Daar kan het zijn dat er toch nog steeds ook op een andere wijze een mogelijkheid zou kunnen zijn om toegang te kunnen krijgen tot die exportfunctie. Dat moet natuurlijk meteen worden uitgeschakeld. Ik moet er iets meer tijd voor nemen om dat heel precies te weten. Ik zal de heer Verhoeven laten weten, ik zal uw Kamer laten weten op welke wijze dat is dichtgezet.

Dat brengt mij bij iets anders. En ik doe dat even heel precies, om te voorkomen dat ik dingen moet herstellen op een later moment. Ik wil even terugkomen op een debatje dat ik had met de heer Verhoeven over welke maatregelen per 4 februari zijn verwerkt. De heer Verhoeven vatte mijn bijdrage namelijk samen, en daar mag geen misverstand over bestaan in een later stadium. Ik zet dus even op een rij wat er per morgen gaat gebeuren of is gebeurd. Per 4 februari is het voor GGD-medewerkers van callcenters niet meer mogelijk om van grote hoeveelheden mensen persoonsgegevens te zien. Twee. De zoekfunctie wordt aangepast, waardoor een combinatie van persoonsgegevens nodig is om überhaupt een dossier in te kunnen zien. Het aantal mensen waarvan de gegevens kunnen worden ingezien, wordt sterk beperkt. Daarnaast controleert de GGD dagelijks de login, maar dat doen ze ook nu al. Dat blijft zo, totdat de automatische controle op de login is geïmplementeerd.

Voorzitter. Daarmee denk ik antwoord te hebben gegeven op de vragen waarop ik in tweede termijn zou terugkomen. Ik heb nog een aantal vragen waarop ik later schriftelijk terugkom, zoals de vraag van mevrouw Van Brenk over de soa's. Ik zal daar in een van de coronabrieven op terugkomen.

Prima. Dank u wel. Dan wachten we heel even voordat de minister voor Rechtsbescherming het woord krijgt.

Het woord is aan de minister voor Rechtsbescherming.

Heel kort over de motie, meneer Verhoeven.

Ik laat de motie gewoon in stemming brengen. Het verschil tussen een functionaris gegevensbescherming uit de AVG en een chief privacy officer zoals ik het bedoel in deze motie is echt best wel groot. Die chief privacy officer moet echt een counterpart zijn van de CEO. De FG komt pas veel later in het proces.

Ik wil u ook vragen om al die Engelse termen gewoon in het Nederlands te vertalen. Wij hebben vast wel een mooi alternatief. "Bevoegd chef privacy", dat is goed. De minister.

Ik ken het verschil, maar ik zie dat in de boards van bijvoorbeeld het UWV vaak al een chief information officer zit, die volgens mij al grotendeels doet wat u wilt. Om daar nog weer een aparte chief privacy officer naast te zetten, is overbodig, denk ik.

Dat heeft u gezegd.

Voorzitter. Dan de motie op stuk nr. 240. Ik kan natuurlijk vragen om die aan te houden tot de volgende begrotingsronde, want dat is eigenlijk de plek waar je deze discussies hebt over meer budget voor een organisatie. De afgelopen jaren is er steeds meer geld naar de AP gegaan. Ik heb ook richting uw Kamer aangegeven dat we bij de volgende begrotingsronde weer zullen kijken wat er nodig is. Maar als deze motie in stemming wordt gebracht, moet ik haar in deze vorm zeker ontraden.

Voorzitter. De motie op stuk nr. 241 is overbodig, want dit is eigenlijk wat de wet al voorschrijft. Die ontraad ik dus.

Tot slot de motie op stuk nr. 245. Ik ben niet in staat geweest om dat in tien minuten schorsing te checken bij mijn collega van BZK. Dit ligt echt op het terrein van de staatssecretaris. Het gaat namelijk over de aanbesteding van digitale systemen. Ik hoop dat u bereid bent om haar aan te houden. Dan kan ik vragen of hij zo snel mogelijk door middel van een brief reageert op deze motie.

Prima. Dan kijk ik naar mevrouw Kröger.

Daar ben ik uiteraard toe bereid. Dan krijg ik heel graag dat oordeel vóór de stemming van dinsdag.

Ik denk dat dat moet lukken. Als dat niet lukt, kunt u de motie wellicht op donderdag in stemming brengen. Maar ik ga mijn best doen.

U houdt de motie dus aan? We gaan dinsdag stemmen, dus u kunt haar alsnog dinsdag aanhouden. Dat is ook prima.

Dank u wel. Daarmee zijn we aan het einde gekomen van dit debat. Ik dank natuurlijk de woordvoerders, maar ook de minister van VWS en de minister voor Rechtsbescherming.

Over de ingediende moties zullen we volgende week dinsdag stemmen.