8 Wet digitale overheid

Aan de orde is het debat over de Wet digitale overheid. Ik heet de staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties van harte welkom, evenals de woordvoerders, de mensen op de publieke tribune en de mensen die dit debat op een andere manier volgen. Het gaat over een novelle. Ik wil ook aan de woordvoerders vragen om de aandacht vooral daarop te richten. Er is namelijk al een behandeling geweest en dit debat gaat over de novelle.

Ik geef als eerste het woord aan mevrouw Leijten van de SP.

Er is een interruptie van mevrouw Rajkowski van de VVD.

Ik heb er ondertussen drie in mijn hoofd, dus ik ben even aan het kijken welke ik ga doen. Als het gaat over die commerciële uitnutting en het maken van reclame, denk ik dat de SP de hele Kamer aan haar zijde vindt door te zeggen dat elke vorm van commerciële uitnutting van persoonsgegevens buiten de werkingssfeer van dit wetsvoorstel valt. Volgens mij is daar de verduidelijking van de staatssecretaris op gekomen. Daar waren wij heel blij mee. Dat betekent dan toch ook: geen reclame? Als er zo duidelijk staat dat al die vormen buiten dit wetsvoorstel vallen, waarin zit dan de zorg: in dat het er niet goed in staat of in dat het niet wordt gedaan?

In dat het er niet in staat. Er is geen verbod op het gebruik. Jouw data zijn bekend. Die mogen niet worden verkocht, maar er is geen verbod op het gebruik van jouw data, terwijl het enige wat je doet, is dat je dat middel gebruikt om in te loggen voor toegang tot publieke diensten. Dan moeten die data gewist worden, wat ons betreft. Je mag ze gewoon niet gebruiken. Daarover gaat het amendement dat straks wordt rondgedeeld.

Dan ga ik de tekst er nog even bij pakken, want ik had het anders gelezen. In de memorie van toelichting staat: het in algemene zin reguleren van alle vormen van commerciële uitnutting van persoonsgegevens valt buiten de werking van dit wetsvoorstel. De toelichting is op dit punt verduidelijkt. Ik zie dus niet … Maar ik wacht het amendement dan even af.

Maar niks valt buiten dit wetsvoorstel. Dit wetsvoorstel kan alles regelen. Het is staatsrechtelijk een totaal onverklaarbare opmerking. Dan kan de staatssecretaris haar handtekening er wel onder vandaan halen. Dit wetsvoorstel regelt dat er private aanbieders komen die middelen aanbieden waarmee je kunt inloggen bij overheden. Daarmee kunnen ze data verzamelen, want er zijn data nodig om in te loggen. Die data mogen ze niet verkopen, maar ook niet gebruiken; die moeten ze dus wissen. Dat gaat wel degelijk over dit wetsvoorstel. Ik vind het ook onverklaarbaar dat wordt gezegd: daar gaan we niet over. Daar gaan we wel over. Wij gaan daar echt over, in wat we besluiten, want wij besluiten hier die private inlogmiddelen toe te staan. Dan besluiten we dus ook wat die private bedrijven met die data kunnen doen. De SP zegt: niet verkopen en niet verhandelen, maar ook niet gebruiken.

Laatste keer. Helemaal mee eens. Maar eigenlijk hoor ik hier iets tussendoor. Vindt de SP het überhaupt wel wenselijk dat er marktpartijen zijn, aan welke eisen ze ook voldoen, die dit soort inlogmiddelen gaan maken? Want dat sijpelt er voor mij een beetje doorheen. Als de SP zegt "joh, het maakt ons eigenlijk niet uit; aan welke eisen op het gebied van veiligheid of de verwerking van persoonsgegevens een bedrijf ook voldoet, wij vertrouwen het toch niet", dan hebben we hier wel een andere discussie met elkaar.

Nou, het goed in de wet zetten, zou de wet aanzienlijk verbeteren. Maar betekent dat dat wij voor deze eerste tranche en die private inlogmiddelen zijn? Nee. Dat waren we ook niet bij de eerste ronde. Wij vinden dat op het moment dat je het mogelijk maakt om bij publieke instanties in te loggen, je dat het liefst via een publieke partij moet doen. Eigenlijk is dit het wetsvoorstel "afschaffen DigiD". We behouden dat dan wel, maar je krijgt meer keuzevrijheid. Volgens mij zitten mensen niet zozeer te wachten op keuzevrijheid, als wel op goed en deugdelijk. Wij denken dat het de wet aanzienlijk zou verbeteren als in ieder geval de verkregen data door die private inlogmiddelen op geen enkele manier gebruikt mogen worden.

Je had ook nog kunnen zeggen: er moet ten minste, zowel voor burgers als bedrijven, een publiek inlogmiddel zijn. Je kunt het helemaal naar de markt sturen of je kunt de voorwaarde aanbrengen dat er ten minste een goed werkend inlogmiddel moet zijn. Is dat voor de SP misschien ook voldoende? Of zegt u: überhaupt never nooit een privaat inlogmiddel aanbieden?

Nooit? Dat is een heel groot woord, maar op basis van dit wetsvoorstel zeg ik: niet toelaten. Ik denk dat ik daar sta. Ik vind echt dat we andere fundamentele vragen hier eerst moeten beantwoorden. We zouden het goed moeten hebben over het rapport van de Raad van State dat we hebben gehad, met de reactie van de regering. We zouden dan best al veel afspraken kunnen maken, ook met de regering, over wetgeving die digitale keuzes in zich heeft. Hoe zorgen we daar nou goed voor? In het advies staat bijvoorbeeld om artikel 22 van de AVG goed uit te werken, zodat er altijd een menselijke tussenkomst mogelijk is als iemand dat verzoekt. Dat is nu aan de gegevensverwerker, maar er zijn er zo veel en zij delen zo veel met elkaar dat nauwelijks terug te leiden is waar die gegevens vandaan komen, waar het fout is gegaan en waar je die dan zou moeten verbeteren. Dat debat zouden we moeten voeren. Volgens mij zouden we het best wel snel eens worden. Als dat fundament goed geregeld is en er komen private inlogmiddelen die op dat fundament hun werk gaan doen, dan zou het wellicht wel kunnen als er ook echt de wil voor die keuzevrijheid is. Maar het fundament is nu dataverzameling, datadeling en de data-economie. Dat biedt volgens het regeerakkoord heel veel kansen, maar wij zitten toch aan de voorzichtige kant na wat we gezien hebben met al die data. Daarom vinden we dit wetsvoorstel met die mogelijkheid het verkeerde fundament, het verkeerde uitgangspunt.

Ik snap die voorzichtige kant heel goed. Maar waar het is misgegaan, is bij de publieke instellingen. Een publiek inlogmiddel verzekert mij nog steeds niet dat elke publieke organisatie daar goede dingen mee doet. We hebben in het verleden gezien dat dat ook geen garantie is dat het goed gaat. Daarnaast zou je ook nog kunnen zeggen dat privaat misschien wel een aantal innovaties uitlokt die ook goed zijn. Soms kan het bedrijfsleven dat iets beter dan de overheid. Houdt u zo hard vol dat publiek altijd beter is dan privaat? Zou u privaat toch niet een kans moeten geven, mits er inderdaad altijd een publieke optie is?

Dat het enorm fout gaat met de overheid en ICT, daar ben ik zo'n beetje mee begonnen. We hebben hier jarenlang debatten gehad over DigiD, dat het onveilig was en noem maar op. We zien juist bij overheidsinstellingen ontzettend veel dataleks. Het vorige debat stond mijn voorganger hier best wel te sneren over het feit dat uitgerekend de Belastingdienst e-herkenning ging vormgeven. We kunnen nog hele debatten voeren over hoe ontzettend goed of niet goed dat werkt voor mensen. Zeggen dat de overheid het beter kan dan de markt, zal ik op dit vlak echt niet doen. Maar het gaat wel over publieke waarborgen. De markt gaat het om winst maken. Die winst gaat over data die jij als inwoner afgeeft om met de overheid te communiceren. Daar vind ik principieel wel wat van. Ik denk dat in de ontwikkeling heel veel geleerd zou kunnen worden van de markt, maar de beschikbaarheid van onze data moet je op die manier niet vrijgeven. Hierop heb ik een amendement ingediend, waarvan ik hoop dat het op een meerderheid kan rekenen.

Gaat de SP dan voor dit wetsvoorstel stemmen? De consequentie van de tegenstem van de vorige keer zal er nu ook zijn. Ik zou het liefst zien dat we eerst dat fundamentele debat gaan voeren en die basis veranderen, in plaats van doorgaan op het idee van de data-economie en "daar wordt iedereen blij van". Maar het is toch vooral heel erg risicovol voor jouw data. Gisteren hadden we daar ook nog een debat over bij de Telecomraad. Toen had de minister daar ook niet altijd een goed antwoord op. Bij dat fundamentele debat zijn we eigenlijk nog niet, maar dat zouden we wel moeten voeren.

U vervolgt uw betoog.

Voorzitter. Onlangs verscheen er een onderzoeksrapport van Bits of Freedom. Gemeenten hebben hun dataveiligheid niet op orde. Ze hebben te weinig kennis, te weinig middelen en te weinig prioriteit voor dit onderwerp. Bits of Freedom adviseert daarom dat de overheid niet met allemaal nieuwe plannen moet komen, maar eerst de basis op orde moet brengen. Dat advies lijkt mij hier ook te gelden, en ik hoop dat het kabinet dat ook ter harte neemt.

Dank u wel. Dan gaan we naar mevrouw Dekker-Abdulaziz van D66.

Net te laat, volgens mij. Het woord is aan mevrouw Rajkowski, VVD.

Ik zat nog even te kauwen op die "open source, tenzij". Als ik het goed begreep, stelde D66 net voor dat er nog wel wat meer open source mag, dus laten we gaan naar "open source, tenzij". Ik zou D66 willen vragen om die zin even af te maken. "Open source, tenzij ..."?

Met "open source, tenzij" bedoel ik dat idealiter in de wet zou moeten staan dat het open source moet zijn, tenzij dat niet voldoet aan bijvoorbeeld de veiligheidseisen.

Wat als open source wel voldoet aan de veiligheidseisen, maar closed source een veiligere oplossing is? Als beide voldoen aan de veiligheidseisen, maar eentje is veiliger, namelijk closed source, waar gaat D66 dan voor? Voor de veiligheid van de inwoners en hun gegevens of voor het ideologische streven naar open source?

Ik denk dat deze twee dingen elkaar niet bijten. Het is namelijk niet zo dat open source per definitie niet veilig is. Als je een goede community hebt die dat controleert, dan is open source juist veiliger. Je hebt dan namelijk toegang tot de broncode.

Ten tweede is het natuurlijk geen programma met eisen. Je kunt niet kiezen tussen een veilige of een minder veilige optie. De overheid is hier dus niet aan het inkopen. Je laat alleen aanbieders toe. Er is een eis, namelijk minimale veiligheid. Als je daaraan voldoet, dan mag je je producten aanbieden.

Dan nog mijn laatste interruptie, want dat is precies het punt en de zorg bij de VVD. Open source is natuurlijk een mooi ideologisch model. Het is een streven dat de wereld in meerdere of mindere mate mee kan kijken hoe veilig een systeem is. Maar het kan zo afhankelijk van een community zijn. Communities veranderen ook. Daarin zit onze zorg. Bij ons staat veiligheid voorop. Het gaat om de veiligste optie, of dat nou open source of closed source is. Dat vinden wij het allerbelangrijkst. Het gaat namelijk om identificatiemiddelen voor Nederlanders.

Ik reageer daar toch even op. Wij zien open source niet als een ideologie. Open source is juist beter voor de transparantie. Volgens mij is het gewoon beter. Open source is niet ideologisch. Nogmaals, als open source veilig genoeg is, dan zouden wij kiezen voor open source in plaats van closed source, want dan is er geen garantie.

Ik wil nog even wat vragen over die data. Stel, mevrouw Dekker-Abdulaziz krijgt een kind en geeft dat digitaal aan bij de gemeente Utrecht. Dan krijgt ze opeens allemaal reclames die gericht zijn op luiers, kleine kinderen en noem het allemaal maar op. Dat kan natuurlijk, want de gegevens, de data, zijn bekend. Ze zijn dan misschien niet verhandeld, maar ze worden wel commercieel gebruikt. Dat zou op dit moment de uitkomst zijn van dit wetsvoorstel. Wat vindt D66 daarvan?

Dat vind ik eigenlijk een hele goede vraag, want daar liggen onze zorgen ook. Overigens is het bij het opgeven van een kind bij de gemeente nu niet het geval, maar het is wel het geval als je de blije doos haalt. Wees gewaarschuwd, zeg ik dus. Doe het niet. Als we het wetsvoorstel en de toelichting daarop — die is net door mevrouw Rajkowski voorgelezen — zo begrijpen, dan valt dat er niet onder. Je kunt het dus niet commercieel uitbuiten. Daarom stel ik ook deze vraag, min of meer op een indirecte manier, aan de staatssecretaris. Wat verbieden wij eigenlijk met het verhandelverbod? Mag het ook uitgebreid worden? Mag je een profiel maken? Mag je metadata uitzetten?

Dat vind ik echt stuk voor stuk goede vragen van D66. Ik ken mevrouw Dekker-Abdulaziz ook als iemand die hier heel goed op let. Ik vind het echter zorgelijk dat er in de nota naar aanleiding van het verslag stond dat dit niet de reikwijdte zou zijn van het ministerie. Dat heb ik net ook gezegd, in antwoord op mevrouw Rajkowski. Dat is natuurlijk wel onze reikwijdte. We maken immers een wet waarbij we het mogelijk maken dat private identificatiemiddelen worden gebruikt. Dat betekent dat jouw gegevens in handen komen van private organisaties. Die mogen ze niet verhandelen. Die mogen ze niet commercieel benutten. Waarvoor zouden ze die dan nog wel mogen gebruiken?

Als het aan mij ligt, zouden ze die alleen maar mogen gebruiken om te checken of mevrouw Leijten inderdaad mevrouw Leijten is, en niet meer dan dat. Als het wel meer dan dat is, dan hoor ik dat graag van de staatssecretaris. Dan zou het namelijk echt zorgelijk zijn.

U vervolgt uw betoog.

Ik vervolg mijn betoog. Ik begrijp de lastige balans tussen het vastleggen van goede waarborgen en niet al te specifieke technische eisen in de wet, vooral bij digitalisering. Daar veranderen de middelen en techniek namelijk snel. Kan de staatssecretaris uitweiden over waar privacy by design dan aan moet voldoen? Zitten daar ook organisatorische eisen aan? Hoe zal dit getoetst worden? Welke richtlijnen worden gevolgd? Het moet natuurlijk geen intentieverklaring zijn.

Voorzitter. Dan kom ik bij het toezicht. Toezicht is een belangrijke vereiste, niet alleen bij de toetreding van nieuwe aanbieders, maar ook bij technologische ontwikkelingen. Denkt de staatssecretaris dat het Agentschap Telecom voldoende capaciteit heeft om dit goed te doen? Dit gaat om private dienstverleners. Bij publieke dienstverleners gaat het om interbestuurlijk toezicht. Hoe werkt dat? Wie gaat er dan toezicht houden op gemeentes? Gaat het dan om provincies? Hebben zij daarvoor de expertise en voldoende middelen? Ook kreeg ik het bericht van een aantal gemeentes dat zij ervoor vrezen of zij wel kunnen voldoen aan uitvoering van de wet. Is er contact geweest met gemeentes om te horen of zij hier wel tijdig mee uit de voeten kunnen?

Voorzitter. Dan wil ik het graag over de rol van big tech hebben. De deur wordt namelijk opengezet voor innovatie, maar ook voor nieuwe problemen. Denk bijvoorbeeld aan het uitfaseren van de sms. We snappen dat het gebruik van een authenticatieapp veiliger is dan een sms, maar worden mensen hierdoor niet gedwongen, naar het ecosysteem van Google of Apple, om een app te downloaden? Acht de staatssecretaris dit wenselijk? Zijn er alternatieven denkbaar?

Tot slot heb ik nog een aantal losse vragen. Allereerst. Kan de staatssecretaris toelichten hoe deze wet zich verhoudt tot de eIDAS-verordening? Ten tweede hoor ik graag van de staatssecretaris of zij het wenselijk acht om de evaluatie naar voren te halen, naar drie jaar, om te kijken naar de uitvoering van de wet. Ik overweeg hierover een motie. Ten slotte. In welke mate sluit de novelle aan op de checklist van de Raad van State over digitalisering en wetgeving, gezien dit rapport vrij recent is? Graag ontvang ik een reflectie van de staatssecretaris hierop.

Ik heb een boel vragen, voorzitter. Ik kijk uit naar de beantwoording.

Dank u wel. Dan gaan we naar mevrouw Rajkowski, VVD.

Dank u wel. Er is een interruptie van mevrouw Van Weerdenburg van de PVV.

Ik ben benieuwd hoe mevrouw Rajkowski de eis van open source heeft gelezen. Ik zal daar zelf in mijn inbreng een aantal vragen over stellen aan de staatssecretaris. De wetstekst spreekt over open source onder licentie, en in de memorie van toelichting gaat het echt over gratis software die ook gratis beschikbaar gesteld moet worden. Hoe leest mevrouw Rajkowski dat? En wat vindt zij ervan dat je dan private partijen, veelal commerciële bedrijven, toch eigenlijk oplegt om hun sourcecode, hun broncode vrij en gratis beschikbaar te stellen aan iedereen? Vindt mevrouw Rajkowski dat eerlijk?

Ik begin met het laatste. Als private partijen zich graag willen begeven in het domein van het je kunnen identificeren bij overheidsbedrijven, dan zullen ze toch echt aan de strengste eisen moeten voldoen. En transparantie valt daar ook onder. Dat betekent natuurlijk niet dat zij de broncode van hun hele systeem moeten blootleggen. Maar ze moeten wel de broncode blootleggen van de systemen die over identificatie gaan. Dat lijkt me alleen maar goed. We hebben al DigiD. We willen het betrouwbaarder en veiliger maken. Juist als je het heel veilig en betrouwbaar wilt hebben, zal er ook op een bepaalde manier meer openheid gegeven moeten worden. Bedrijven moeten dan zelf maar de keuze maken of ze daaraan gaan bijdragen of niet.

De eerste vraag die mij door de PVV werd gesteld, ging over open source. Juist daarom vroeg ik ook: over welke soort open source gaat het dan precies? Ik interrumpeerde ook net met collega van D66. Toen zei ik dat het lastige bij sommige gratis open source is, dat het zo afhankelijk van de community is. En communities veranderen. Wat ons betreft is open source echt niet de heilige graal. Dit zijn wel nieuwe ontwikkelingen, niet in de echte wereld, maar wel in de wereld waar wij ons hier in begeven. Het is goed dat wij het daar ook over hebben en dat wij erover nadenken. Maar wat mij betreft moet het gewoon het veiligste zijn. Het maakt mij daarbij niet zo veel uit of het open source of closed source is.

Dank. Op zich zijn mevrouw Rajkowski en ik het daarover eens. Maar je kunt natuurlijk ook werken met een verplichting tot het publiceren van het deel van de broncode dat het implementatiegedeelte is. De security, de firewall hoeft er niet bij. Dat zijn we eens. Maar dan hoeft er natuurlijk nog niet per se bij dat de software gratis beschikbaar is voor andere ontwikkelaars. Je kunt daar best wel werken met een soort copyright, net als bij boeken. Boeken publiceer je, maar dan is het alsnog niet toegestaan voor anderen om die gratis helemaal over te schrijven. Dat is dus ook nog een optie. Als het gaat om transparantie kunnen we daar ook voor kiezen. Misschien is daar ook voor gekozen. Dat moet blijken uit de antwoorden op mijn verduidelijkende vragen die ik straks ga stellen. Maar ziet mevrouw Rajkowski dat als minimum?

Daar zou ik eigenlijk wel voor openstaan. Ik moet eigenlijk meteen aan een volgende situatie denken. Als jij voedsel koopt in de supermarkt, dan is er wel een etiketje waarop de ingrediënten staan, maar daarop staat niet per se het recept. En als er echt twijfels zijn over de vraag of een banaan, een appel of de inhoud van een potje wel of niet veilig is, dan is er altijd een instantie die dieper in de informatie kan duiken en het kan checken. Dus daar zou je inderdaad uit kunnen afleiden dat we misschien niet alles hoeven te openbaren, maar alleen maar een stukje. Maar dit gaat over identificatiemiddelen. Er komen meerdere opties. Inwoners kunnen het spannend vinden dat ze moeten gaan kiezen tussen middelen. Ik wil dan dat elk middel honderd procent veilig is. En dan moet er een optie bestaan, in ieder geval voor een controlerende instantie, om de code tot achter de komma te kunnen controleren.

We staan hier te praten over een Wet digitale overheid die nu met een novelle verbeterd wordt. Dat wordt toegejuicht door mevrouw Rajkowski. Maar als het aan de meerderheid in de Tweede Kamer had gelegen, dan hadden wij in januari 2020 met het vorige wetsvoorstel ingestemd, een wetsvoorstel dat dus niet goed genoeg was.

Ja.

Hoe kijkt de VVD-fractie daar nou op terug? Die fractie heeft destijds voor dat vorige wetsvoorstel gestemd. Hoe kijkt de VVD-fractie er nou op terug dat we, dus een meerderheid van de Tweede Kamer, worden teruggefloten door de Eerste Kamer als het gaat over digitale waarborgen? Vooral de voorstemmers worden natuurlijk teruggefloten.

Ik denk dat het goed is dat de Eerste Kamer dat heeft gedaan. Ik noem het dan maar even "voortschrijdend inzicht". Dat betekent wat ons betreft niet dat het hele onderliggende wetsvoorstel fout is, maar ik ben erg blij met de aanpassingen die zijn gedaan. Ik ben het er niet helemaal mee eens open source als heilige graal te zien, maar het lijkt mij alleen maar verstandig om open source in de overweging mee te nemen.

Nou staat de VVD blij te zijn met een novelle waar nogal veel kritiek op is, ook van de Raad van State, onder andere op de definities, maar ook op de delegatiebepaling en de beperking van de verwerking van die gegevens, die data. Dat worden nu juist wel de drie verbeterpunten genoemd. In het licht van de vorige wet, waar de Raad van State heel kritisch op was en waar de VVD toen voor was, is er nu een verbetering waar de VVD blij mee is, maar de Raad van State tegelijkertijd kritisch over is. Doet dat iets met de beoordeling door de VVD van het voorliggende wetsvoorstel?

Het doet er in die zin zeker wat mee dat wij er nog een keertje goed met de stofkam doorheen zijn gegaan. Oké, als de Eerste Kamer vraagt om een novelle, dan is het belangrijk dat wij alles nog even goed bekijken. En wat betreft privacy by design en open source: ik ben heel blij dat we het daar nu met elkaar over hebben. Ik weet niet of dat twee jaar geleden überhaupt in de Tweede Kamer is gewisseld. Dat weet ik niet; misschien wel, maar ik was er toen niet bij. Als die onderwerpen toen wel zijn gewisseld en de VVD toen heeft gezegd "daar zien wij niks in", dan krijgt u bij dezen ons hernieuwde standpunt. Maar ik denk dat het goed is dat we, gezien de ontwikkelingen van deze tijd, hier nu ook goed naar kijken. Wat ons betreft heeft de staatssecretaris de punten netjes aangepast. Het is belangrijk dat er naar privacy by design wordt gekeken, dus dat privacy altijd wordt meegenomen. We hebben gelukkig ook de AVG en we hebben de eIDAS-verordening. Dus volgens mij hebben we wat dat betreft een mooi pakketje aan wet- en regelgeving om het zo veilig mogelijk te maken. Ik zou wel graag van de staatssecretaris straks nog heel scherp uitgedrukt willen horen dat data niet voor enig commercieel gewin gebruikt mag worden, dus ook niet intern.

Maar daar is net een amendement over rondgegaan, nr. 8, dat het nog beter regelt. Maar ik vind het wel zorgelijk. Dit is nu het derde wetsvoorstel dat passeert over de digitale communicatie met de overheid door inwoners en het maken van profielen, zoals bij de Landelijke Aanpak Adreskwaliteit. Iedere keer liggen er rodevlagadviezen en iedere keer stemt toch weer een meerderheid van deze Tweede Kamer vóór, terwijl we twee, drie maanden geleden ook nog het debat over de wetgevende taak van de Kamer hebben gevoerd. Als het er dus op aankomt dat de regering met iets verder wil, dan hoop ik echt dat de VVD-fractie wat kritischer is. Want ik hoor wel heel vaak een kritische toon, en dat vind ik heel goed, bij de VVD en bijvoorbeeld bij D66, maar bij het stemmen lopen deze partijen dan toch weer in de pas. Volgens mij is dat nou juist iets wat de commissie-Bosman heeft gezegd: let op die wetgevende taak.

Ik loop met niemand in de pas, alleen met mijn eigen geweten. Ik heb het amendement op stuk nr. 8 nog niet gelezen, maar ik zal daar goed naar kijken.

Er is nog een interruptie van mevrouw Dekker-Abdulaziz.

Toch even over open source; ik kan het niet laten. Ik hoor de VVD roepen dat we mensen niet in de armen van big tech moeten drijven. Maar een ambitieuze open source zorgt ervoor dat big tech hier geen voet tussen de deur krijgt. Hoe kijkt de VVD hiernaar? Ik heb een tweede vraag. De VVD zegt veel inzicht te willen hebben in de veiligheid maar dat je dat inzicht niet hebt bij open source. Maar bij closed source heb je dat ook niet, want je kunt niet in de broncode kijken. Hoe kijkt de VVD daartegen aan?

Ik denk dat mijn collega van D66 juist aangeeft hoe lastig het is, of je nou voor closed source of voor open source kiest. Het is contextafhankelijk en het ligt eraan voor welke functionaliteiten het is bedoeld. Daarom vind ik het belangrijk om te weten welke afwegingen er worden gemaakt. Waar wordt naar gekeken? De veiligheid staat voorop. Dus los van de vraag welke van de twee het dan wordt, in beide gevallen moet het met waarborgen omkleed zijn. Veiligheid betekent voor de VVD ook dat wij letten op onze strategische onafhankelijkheid, dus dat wij niet op allerlei plekken binnen de overheid afhankelijk gaan worden van Google, Apple of Microsoft. Als wij dat in steeds meer systemen laten terugkomen, dan worden wij zodanig strategisch afhankelijk dat daardoor de veiligheid in bepaalde mate in het geding kan zijn. Wat ons betreft is dat een integrale afweging.

Tot slot. Dat zijn juist inderdaad de bigtechbedrijven die de VVD noemt. Wij zijn van mening dat opensourceaanbieders daarop tegenwicht zouden kunnen bieden en voor alternatieven kunnen zorgen. Daardoor kunnen we minder afhankelijk worden van big tech. Hoe kijkt de VVD daartegen aan?

Wij zijn ook zeker niet tegen open source, dus als ik die indruk heb gewekt, kan ik die weghalen. Wij vinden het allebei prima. Alleen, toen we de stukken lazen, dachten wij: oeh, we moeten oppassen dat we ons niet blindstaren op open source. Dat is onze zorg. Maar we vinden het allebei prima zolang de veiligheid prioriteit nummer één is.

Dank u wel. Dan geef ik het woord aan mevrouw Van Weerdenburg, PVV.

Dank u wel. Er is een interruptie van mevrouw Dekker-Abdulaziz.

Ik hoor de PVV ook veel kritiek op open source hebben. Overigens wordt ontzettend veel geld verdiend met opensourcesoftware; die is dus niet per definitie gratis. Maar goed, er is hier veel kritiek. Ik hoor de PVV zeggen dat closed source veilig is en dat open source dat niet per se is. Maar bij open source geldt dat mensen, de community én de toezichthouder kijken. Bij closed source is dat alleen de toezichthouder. Hoezo vindt de PVV closed source veiliger?

Excuus, dan heeft mevrouw Dekker mij niet goed begrepen. De PVV is een enorme voorstander van opensourcesoftware. In de tijd van de CoronaMelder hebben wij daar zelfs een motie toe ingediend. Nee, dat willen we eigenlijk absoluut als voorwaarde. Dat is dan ook onze vraag: waarom staat publiceren niet gewoon in de wet? Op zijn minst publiceren met een restrictieve licentie. En als een private aanbieder zoiets heeft van "nou, prima; iedereen mag het verder ontwikkelen" enzovoort, nog beter. Maar mijn minimumvereiste zou zijn het moeten publiceren, want het doel is tenslotte transparantie. Dus wij zijn geenszins voor closed software. En wat mevrouw Rajkowski in haar betoog ook in interruptie antwoordde: het is een soort valse tegenstelling. Wat nou als de closedsourceoptie veiliger is dan open source? Ik denk niet dat daar echt sprake van is, dat daar zo'n verschil tussen zit. Het is natuurlijk wel zo dat je bij het publiceren van de broncode onderscheid kunt maken. Het gaat om wat er wordt gedaan met de gegevens. In het geval van inloggen hoef je helemaal niet ook het stuk veiligheidscode erbij te leveren, want daar gaat het niet om. Ik wil zien wat er gebeurt met mijn gegevens, waar dat naartoe gezonden wordt enzovoort. En hoe dat bedrijf dan dat hele systeem beveiligt met een firewall of wat dan ook, hoeft dan niet gepubliceerd te worden.

Dat snap ik. En we zijn het ook met elkaar eens dat transparantie het doel is van open source, en niet het verdienmodel per se. Maar ik hoorde de PVV wel letterlijk zeggen van: hoe houd je dan toezicht op de veiligheid van open source, terwijl je bij closed source wel toezicht hebt? En ik wilde zeggen: bij open source heb je dan de toezichthouders, het Agentschap Telecom, plus de hele community die meekijkt. Dus hoezo heeft de PVV daar dan juist vragen over, terwijl we bij closed source helemaal geen inzicht hebben?

Dat ben ik helemaal met mevrouw Dekker eens. Ik heb juist ook willen vragen, en misschien was dat niet helemaal duidelijk: hoe kunnen we dan toezicht houden op een deel closedsourcesoftware; hoe beoordeel je dan of dat veilig genoeg is? En mij is niet duidelijk geworden of er een toezichthouder is die dan wel in de gesloten broncode kan kijken; closed source is closed source. Of is de private partij dan wel verplicht om aan een instantie, een toezichthouder, de broncode te leveren? Daar zou ik dan voor zijn. Maar dan nog, het enige wat ik wilde aangeven is dat open source niet een remedie is voor alles. Dat hebben we gezien bij Log4j. Daar heeft de hele community tegen aan zitten kijken, totdat het doordrong: hé, daar is iets mee. Dus we moeten er wel voorzichtig mee zijn dat dat niet overkomt als een soort van garantie. Maar het liefst hebben wij gewoon transparantie op grond van het publiceren van broncode, of in ieder geval het essentiële gedeelte. En daar moet ook toezicht op gehouden worden, net als met closed source, maar ik vraag me af hoe je dat kan doen met closed source.

Mevrouw Dekker, tot slot.

Dan zijn we het deels eens met elkaar. Dank je wel.

Dank u wel. Dan geef ik het woord aan mevrouw Bouchallikh, GroenLinks.

Dank u wel. Er is een interruptie van mevrouw Rajkowski, VVD.

Ik ben even aan het zoeken, want ik ben het inhoudelijk eens met GroenLinks en de PvdA — we hebben er ook meerdere debatten over gehad — maar ik zie eigenlijk niet zozeer wat dit nu met de novelle te maken heeft. Als ik kijk naar onze tijd en alle debatten die wij hebben, denk ik dat dit buiten de orde van de vergadering is. Of begrijp ik het verkeerd? Heeft dit te maken met open source, een verhandelverbod of privacy by design?

Ik gaf ook net in mijn intro aan dat er wat voorbeelden zijn die verder reiken, maar wat ons betreft is dit een punt dat constant aan de orde moet komen. Daarom de keuze om het wel terug te laten komen, ook omdat dit aspect wat ons betreft niet voldoende is meegenomen in de memorie van toelichting.

Alleen, of je nu voor of tegen bent, de Tweede Kamer heeft al over de wet gestemd. De Eerste Kamer heeft gezegd dat de novelle, de wet, in de Tweede Kamer op drie punten nog even aangepast moest worden. Daar praten wij nu over. Ik voer graag urenlang debatten over dit onderwerp. Als het gaat om toegankelijkheid, is het juist belangrijk dat iedereen niet alleen verplicht wordt om digitale middelen te gebruiken, maar ook dat de baliefunctie, papier en telefoon allemaal beschikbaar blijven. Maar dat zou ik dan wel willen doen in een debat dat daarover gaat. Anders gaan we hier ook langs elkaar heen praten. Dat zou ik zonde vinden voor de behandeling van deze drie belangrijke punten.

Ik luister naar wat mevrouw Rajkowski zegt. Ik neem het mee, maar we hebben expliciet de keuze gemaakt om dit wel weer aan de orde te stellen, juist om het belang daarvan te onderstrepen.

Dan ga ik door met open source. Dan maak ik mevrouw Rajkowski misschien toch blij. Of misschien niet, want ik ben het niet helemaal met haar eens. Ik zit iets meer op de lijn van de collega van D66. Wij zijn namelijk ook blij met de focus op open source. Het is het uitgangspunt en niet de uitzondering, wat ons betreft. Net als D66 vragen wij ons ook af hoe het principe van "ja, tenzij" precies wordt gehandhaafd. Hoe wordt beoordeeld of terecht is afgeweken van deze principes van open source?

Dan tot slot, voorzitter, de Autoriteit Persoonsgegevens. Daar begin ik vaker over, juist omdat zij zo'n belangrijke rol spelen. In de wetswijziging wordt geregeld dat bij inlogmiddelen het privacy-by-designprincipe wordt toegepast en dat de Autoriteit Persoonsgegevens hierop toeziet. Mijn fractie vraagt hoe ervoor wordt gezorgd dat de AP hierop voldoende wordt toegerust. Zijn er voldoende middelen? Hoe wordt de rol van dit belangrijke orgaan gewaarborgd? Dank u wel.

Dank u wel. Dan geef ik het woord aan de heer Bontenbal, CDA.

Dank u wel. Er is een interruptie van mevrouw Van Weerdenburg, PVV.

Ik voel me een beetje geroepen om aan te sluiten bij het pleidooi van de heer Bontenbal dat er altijd een niet-digitale route naar de overheid moet zijn. Ik heb dat niet genoemd in mijn bijdrage, omdat ik me heb gefocust op de wet die voorligt, maar in de vorige wetsbehandeling die we met deze commissie hebben gedaan in deze zaal, heeft de PVV daar een heel groot pleidooi voor gehouden. Toen was het CDA niet aanwezig, dus vandaar dat ik dat nu even toevoeg. Mijn vraag aan de heer Bontenbal is hoe hij het opensourcevereiste in deze wet interpreteert. Het argument is soms dat er geen opensourcealternatief beschikbaar is. Kijk, een bedrijf, een private partij, kan natuurlijk gewoon zelf een sourcecode laten maken en die dan publiceren. Als je het publiceert, als het voor iedereen inzichtelijk is, als het op het internet staat, is het in de ogen van de heer Bontenbal dan open source?

Misschien een opmerking vooraf: ik vind het nu al een geslaagd debat. Ik vind het tof om te zien dat een aantal collega's heel goed ingevoerd zijn in deze materie. Ik ben zelf nog maar een paar maanden woordvoerder op dit dossier.

Ik neig heel erg naar het punt dat collega Rajkowski maakte: dat het niet zozeer uitmaakt of iets open source of closed source is, maar dat veiligheid het belangrijkste is. Ik denk ook dat voor beide wat te zeggen valt. Closed source zorgt er ook wel voor dat professionele bedrijven hun eigen producten volgens de laatste stand van de techniek op orde houden. Dan is de vervolgvraag: hoe zorg je voor die transparantie? Dan kom ik bij uw punt. Ik denk dat het heel goed is dat dat soort broncodes open zijn. De vraag is op welk niveau dat dan moet. Moet dat helemaal uitgeschreven zijn, zodat ook de concurrenten kunnen zien wat erin staat? Dat weet ik niet. Dat zou ik ook willen vragen aan de minister. Maar als je dat wel doet, ben ik het met u eens dat je ook zou moeten kijken naar een manier om daar iets van copyright op te geven, zodat andere bedrijven niet aan de haal gaan met de software die bedrijven met veel energie en moeite hebben ontwikkeld.

Duidelijk. Voor het CDA zou dat dus de voorkeur hebben ten opzichte van closed source.

Ja, maar ik vind de wet en de begeleidende tekst daarbij — op dat punt sluit ik me weer aan bij mevrouw Rajkowski — te veel duwen naar open source, alsof dat een soort heilige graal is. Dat geloof ik niet. Ik denk dat er een gelijk speelveld moet zijn. Ik heb ook veel geleerd van uw bijdrage, waarin u precies uitlegde dat in heel veel stukken software ook allerlei kleine stukjes software zitten, waarvoor ook gebruikgemaakt wordt van open source. Volgens mij is het dus niet heel makkelijk te knippen.

Was de heer Bontenbal klaar met zijn bijdrage?

Ja.

Dan heb ik eigenlijk dezelfde vraag aan de heer Bontenbal als die ik had aan mevrouw Rajkowski. We hebben een wet behandeld in de Tweede Kamer waar een meerderheid voor heeft gestemd, waaronder het CDA, maar die kon de toets der kritiek van de Eerste Kamer niet doorstaan; die zou daar zijn weggestemd als er geen novelle was gekomen. Vindt de CDA-fractie nu echt dat er op de drie punten waarop er verbetering zou moeten komen, daadwerkelijk verbetering is gekomen, zeker in het licht van dat kritische proza van de Raad van State?

Een beetje een flauw antwoord van mij zou kunnen zijn: ik wacht eerst de antwoorden af. Maar dat ga ik niet zeggen. Ik ben oprecht benieuwd naar het belangrijkste punt: wat doet het kabinet met het advies van de Raad van State? Daar heb ik gewoon nog geen goed antwoord op. Voor mijn oordeel zal ik daar goed naar gaan luisteren. Over de Eerste Kamer: het laat alleen maar zien hoe belangrijk de Eerste Kamer is en hoe belangrijk het is om de Eerste Kamer niet al te zeer politiek te maken, maar die gewoon goed te laten kijken naar hoe goed en gedegen wetsvoorstellen in elkaar zitten.

Ik hoop ook dat ze gaan kijken naar de andere twee wetsvoorstellen die de Tweede Kamer zijn gepasseerd met een meerderheid, terwijl wij fundamentele bezwaren zagen, zeker gezien hetgeen we de afgelopen jaren geleerd hebben: hoe maken we profielen, hoe delen we data? Denk aan het verhaal van Myrthe, die geen abonnement kon krijgen bij de NS vanwege de gegevens van iemand anders. Dat debat zouden we eerder moeten hebben. Maar even terug naar onze wetgevende taak. De staatssecretaris heeft al de kans gehad om te reageren, aanvankelijk op het advies van de Raad van State, vervolgens bij de nota naar aanleiding van het verslag, de schriftelijke voorbereiding. Ik hoor hier dat de heer Bontenbal nog geen overtuigend antwoord heeft gehad — de SP is dat overigens met hem eens — als het gaat over het opnemen van die zogenaamde techniek-onafhankelijke delen, waarvan de Raad van State zegt: pas op Tweede Kamer, want er zitten politieke keuzes in die je ook moet afwegen. Als dat vandaag niet verandert, is dat dan essentieel voor de CDA-fractie? Of is het: dit staat op de rails, deze trein moet rijden, dus dan stemmen we maar met een zwaar gemoed in?

Mevrouw Leijten loopt al heel wat jaren in deze Kamer rond en ik heb inmiddels gemerkt dat zij alle retorische trucjes in dit soort debatten beheerst. Eentje daarvan is dat je dit soort vragen stelt en dan gelijk de consequenties doorakkert: als u voor of tegen bent, wat gaat u dan als fractie doen? Ik wacht gewoon de antwoorden af. Ik ga goed luisteren wat de minister zegt en dan ga ik wegen wat mijn fractie gaat doen. Gelukkig zit ik niet in mijn eentje in de fractie; mijn fractie vindt er vermoedelijk ook nog wat van. Het is goed gebruik in onze fractie om dit soort discussies met elkaar af te wegen.

Tot slot.

Maar waar staan we dan? Dat is een beetje wat het is. Is dit van wezenlijk belang? Moet dit veranderen? Kunnen we er anders een amendement op maken? Ik denk dat het voor ons als Kamerleden heel moeilijk is om die techniek-onafhankelijke dingen erin te amenderen. Maar eigenlijk vragen wij allebei wel om daar duidelijker in te zijn, dus om het niet over zoogdieren te hebben, maar over mannen en paarden of over vrouwen en vissen. O, dat is geen zoogdier. Daar ga ik met mijn retorische trucjes. Maar ik zou zo graag van het CDA willen weten of dat van wezenlijk belang is. Ook richting de staatssecretaris is dat van belang. Dan weet ze of ze nog aan de bak moet om de Tweede Kamer te overtuigen, voordat zij straks wellicht weer staat te schutteren in de Eerste Kamer.

Voorspellen dat iemand gaat staan schutteren, zou ik niet doen. Ik ga gewoon netjes de antwoorden van de minister afwachten. Ik vind dat gewoon netjes. Wij stellen volgens mij allebei dezelfde fundamentele vragen. Als daar geen goed antwoord op komt, dan is het vervolgens aan mij om te wegen of ik zo'n wetsvoorstel daarvoor torpedeer, ja of nee, of dat ik er nog voldoende goeds in zie om het toch te laten doorgaan. Die afweging heb ik gewoon nog niet gemaakt. Ik heb zes vragen gesteld en daarop zijn allerlei antwoorden mogelijk. Het kan zijn dat ik op vijf vragen hele goede antwoorden krijg en op één niet, maar dat ik dat toch goed genoeg vind om ermee door te gaan. Het kan ook zijn dat ik het niet genoeg vind en dan hoort u dat van mij.

Dank u wel, meneer Bontenbal. Daarmee zijn we aan het einde gekomen van de eerste termijn van de kant van de Kamer. De staatssecretaris heeft aangegeven dat ze ongeveer twintig minuten nodig heeft om zich voor te bereiden.

Aan de orde is het vervolg van de behandeling van de Wet digitale overheid. Ik geef het woord aan de staatssecretaris.

Een vraag van mevrouw Leijten, SP.

Voorzitter. Wij hebben gevraagd om een reactie op dat rapport. Dat is in het najaar geweest. We hebben bij herhaling rappels gestuurd, herinneringen zoals dat heet. En nu zegt de staatssecretaris: ik kom daarop terug in mijn werkprogramma? Nee, wij willen een reactie op dat rapport! Puntsgewijs. Daar zit namelijk heel veel advies in over onze wetgevende taak, onze controlerende taak en onze toezichthoudende taak. Dat moet niet in een werkprogramma landen met een verwijzing naar "zo geef ik invulling aan dat rapport". Wij willen gewoon een reactie op dat rapport van de Raad van State.

Dat is ook absoluut mijn bedoeling. Het idee is dat we voor de zomer met een werkprogramma komen, nadat we een debat hebben gehad over de hoofdlijnenbrief over digitalisering. Ik zal ervoor zorgen dat er een aparte bijlage bij zit waarin we een reactie geven op dat rapport.

Ik snap niet waarom de staatssecretaris dit zo volgtijdelijk doet. Het is een losstaand advies dat breed toepasbaar is op alle werkzaamheden, voor alle Kamerleden en voor alle bewindspersonen. Ik zou dat het liefst niet als onderdeel van een werkprogramma of als bijlage willen zien. Er zijn echt hele fundamentele vragen gesteld. Die gaan bijvoorbeeld ook over het bestuursrecht. Ik snap dus niet waarom de reactie op zo'n manier gemanaged wordt.

Ik zie het ook niet als iets wat alleen van deze staatssecretaris is. Ik zou dus de volgende oproep willen doen aan deze staatssecretaris. Behandel dit rapport. Geef antwoorden. Wacht niet op een hoofdlijnendebat en een werkprogramma. Maak er geen bijlage van. Beschouw dit echt als een eigenstandig advies aan de hele Kamer, aan de hele wetgevende macht. Kom ook met zo'n soort reactie daarop, want dat vereist dat rapport.

Volgens mij zijn we het ontzettend met elkaar eens. Ik vind dit namelijk een belangrijk rapport. Het is uiteraard de bedoeling dat we daar niet alleen maar vanuit Binnenlandse Zaken naar kijken, maar vanuit het hele kabinet. Wat mij betreft gaan we dus ook zo'n reactie schrijven. Ik hoop vooral dat we die reactie zo snel mogelijk naar uw Kamer kunnen sturen.

Ik wil overgaan tot de onderwerpen over open source. Dat is een belangrijk thema. Velen van u hebben daar vragen over gesteld. Het is natuurlijk een onderwerp van de novelle.

Mevrouw Leijten van de SP vroeg: kunt u uitleggen hoe u open source in deze context zou willen zien? Ik wil daar graag met u doorheen lopen. De kern is dat open source software is waarvan de broncode openbaar is. Het is ook software waarvan gebruikers en anderen door de openbaarheid kunnen controleren hoe de software eruitziet, hoe die werkt, of die betrouwbaar en veilig is en of je er iets aan kunt verbeteren. Wij vinden dat er bij open source niet alleen maar sprake is van openbaarheid, maar dat er ook een community van mensen is die rondom de openbare software werkt om te kijken of die op een goede manier functioneert en of er mogelijkheden zijn om die te verbeteren. De transparantie en de community maken dat het mogelijk is om op basis van die software betere inlogmiddelen te creëren. Het wetsvoorstel regelt dat die opensourcesoftware voor bepaalde onderdelen van het inlogmiddel moet worden gebruikt. Daarbij gaat het over verschillende bouwstenen. Dat zeiden meneer Bontenbal en mevrouw Van Weerdenburg ook al. De kern van de software is openbaarheid. Een community helpt om ervoor te zorgen dat de codes steeds weer verbeterd worden.

Als ik het goed begrijp, zegt de staatssecretaris dat het niet voldoende is voor toelating als een private partij een heel nieuw product schrijft en het implementatiegedeelte publiceert op GitHub. Dan is er namelijk nog geen community. Als dat zo is, hoeveel tijd moet er dan overheen gaan? Als het op internet staat, kan namelijk iedereen ernaar kijken. Bij de CoronaMelder is de code ook een of twee dagen eerder gepubliceerd dan de app online ging.

De kern is dus dat we zeggen dat er twee elementen belangrijk zijn bij de open source. Het eerste element is het feit dat de broncodes openbaar zijn. Het tweede element is dat er een community is die kijkt hoe de broncode steeds weer kan worden verbeterd. Het gaat dan bijvoorbeeld over veiligheidsgaatjes en andere thema's. De vraag is: hoe kunnen die worden verbeterd? Die combinatie is van belang.

Maar dan ga ik even verder. We moeten bepalen welke inlogmiddelen we willen toelaten. We vinden open source belangrijk, omdat het helpt om betere software te maken, betere programma's te maken en in dit geval betere inlogmiddelen te maken. Maar het is wel van belang dat we bezien — daarom noemen we het "ernaartoe groeien" — dat op dit moment nog niet alle inlogmiddelen daaraan al zouden kunnen voldoen of er al aan voldoen. Zo is bijvoorbeeld DigiD nog niet volledig open source. Het is wel een inlogmiddel dat we gebruiken en dat we als veilig bestempelen, maar het is niet volledig open source. Dus wij willen ervoor zorgen dat de inlogmiddelen die private of publieke partijen gebruiken en die we straks willen toelaten in ons systeem, idealiter gebaseerd zijn op 100% procent open source. Op dit moment zien we dat die nog niet voor 100% procent te leveren zijn. Wij willen ons erover laten adviseren wat minimaal noodzakelijk is en hoe we ervoor zorgen dat we daarnaartoe groeien. We willen op een verantwoorde manier naar die vereisten toe gaan groeien. U stelde daar een aantal vragen over; daar kom ik zo meteen op terug.

Laten we de DigiD als voorbeeld nemen. Ik begrijp dat het product zo is ontworpen dat het even tijd kost om qua broncode te schiften wat hoort bij het securitygedeelte — ik zeg het even heel plastisch — en de code te ontwarren om te zien welk deel gepubliceerd kan worden. Gaat het daarom? Het lijkt mij dan namelijk handig om bestaande aanbieders daar een overgangstermijn voor te geven, maar daar hoef je met nieuwe aanbieders toch geen rekening mee te houden? Je kan toch zeggen: welkom nieuwe aanbieders, allemaal prima, maar wees erop voorbereid dat het wel de bedoeling is dat je de code publiceert?

Dat is ook precies wat we willen. We hebben het dus over de bestaande, maar ook over de nieuwe aanbieders. Nogmaals, het gaat niet alleen over de publicatie. We moeten er ook voor zorgen dat er een community is die ervoor kan zorgen dat het beter wordt. Beide moeten we op een goede manier gaan vormgeven, want het is beide relevant om ervoor te zorgen dat het inlogmiddel steeds weer opnieuw verbetert op basis van het feit dat er mensen zijn die daar voortdurend mee bezig zijn. Bovendien kunnen wij het door de transparantie zelf ook controleren en kijken of het systeem daadwerkelijk veilig is en aan onze eisen voldoet. Hoe we dat precies willen doen — u heeft daar een aantal vragen over gesteld, ook met betrekking tot de percentages — hebben we op dit moment nog niet scherp, maar dat willen we wel scherp gaan maken en publiceren in de ministeriële regeling. Het einddoel daarbij is heel duidelijk: toegroeien naar 100% open source. Maar in de tussentijd zouden we kunnen leven met onderdelen die dat nog niet helemaal zijn.

Kan de staatssecretaris zeggen hoe zij de community ziet? Een softwareontwikkelaar heeft misschien 50 programmeurs die constant bezig zijn met het veilig houden, verbeteren en doorontwikkelen van het product. Is dat community genoeg? We hebben het hier wel over spul dat gepubliceerd is. Of moeten het vrijwilligers zijn op GitLab, GitHub of … Wat is die community?

Die scherpte moeten wij gaan definiëren. Daar laten we ons ook goed over adviseren. De bedoeling is natuurlijk dat het sowieso haalbaar is, dat het mogelijk is, en dat we met elkaar het idee hebben dat we daadwerkelijk een community hebben die zin heeft. Ik wil de precieze omvang ervan, hoe breed die moet zijn, en of het mensen mogen zijn van één organisatie of dat we er meer voor nodig hebben, vast gaan stellen om daarmee ook de definitie van open source beter te krijgen. Het oogmerk daarbij is — daar gaat het over; het zijn allemaal middelen tot een doel — dat ervoor gezorgd wordt dat de middelen voldoen aan de eisen die we stellen. Zo moeten ze veilig zijn en transparant, en moeten er met de gegevens van mensen geen dingen gebeuren die we niet willen.

Het kenmerk van een community is dat ze zich niet per se houdt aan de door ons gestelde regels over hoe een community eruit zou moeten zien. Een community is flexibel, fluïde en kan uit vrijwilligers bestaan. Zij hebben niet heel veel op met developers die hun vrije tijd steken in het controleren van systemen. Zij hebben niet heel veel op met de vraag of wij vinden dat zij dat zouden moeten doen of niet, en terecht, want die community werkt op een hele andere manier.

De VVD maakt zich eigenlijk nog wat meer zorgen over het volgende. We hoorden de staatssecretaris net zeggen dat we eerst gaan kijken naar opensourceoplossingen, en dat we dan gaan kijken wat veilig is. Dat is precies het punt uit mijn inbreng dat gaat over blindstaren. Als je alleen maar naar technieken gaat kijken, dan kan je zomaar een veel veiligere optie buiten beschouwing laten. In plaats van alleen maar kijken naar technieken, kun je kijken naar principes: het moet veilig zijn. Ik begrijp dat de kans vrij groot is dat een opensourcesysteem misschien wel veilig is. Maar we moeten niet vergeten dat we nu in een soort hype meegaan waarbij we closed source buiten beschouwing laten. We moeten voorkomen dat we hier over zoveel jaar weer staan en moeten concluderen: het heeft toch niet helemaal gewerkt, dus nu gaan we weer voor honderd procent naar closed source. Het moet techniekneutraal.

De kern is natuurlijk dat het veilig en betrouwbaar moet zijn, hoe je het ook wendt of keert. We weten dat dat in open source vaak beter te detecteren is, want het is dan ook zichtbaar of het veilig en betrouwbaar is. Ik zeg nogmaals: wij willen ons goed laten adviseren of er onderdelen van een inlogmiddel zijn die nog niet open source zijn, wat daarvan dan de reden is en of dat ook moet worden toegestaan. Want we willen er natuurlijk wel voor zorgen dat we inderdaad die inlogmiddelen hebben en dat er ook partijen zijn die ze kúnnen leveren. We willen ervoor zorgen dat het mogelijk is om dat te doen en dat het veilig is. Het moet veilig zijn, betrouwbaar, transparant, enzovoort, op basis van de eisen die we met elkaar vastleggen.

U heeft het over die community. Welke eisen stel je daar nou aan? Natuurlijk moet een community zichzelf vormen. En de communities zullen ook fluïde zijn. Maar wij kunnen natuurlijk wel zeggen dat we een community van één misschien wel een beetje weinig vinden. Dus de kern is dat wij daarover ook wel het een en ander kunnen aangeven. Ik zeg nogmaals: daar willen we ons ook over laten adviseren, op een goede manier. Hoe kun je ervoor zorgen dat zo'n community een bepaalde vorm heeft, of voldoet aan een soort minimale vereisten, zodat je ook kunt zeggen dat de community goed bestaat? Ik hoor ook heel goed uw pleidooi waarbij u zegt: je moet het kind ook weer niet met het badwater weggooien. Als we die ministeriële regeling gaan uitwerken en we naar iets toe moeten groeien, zal ik ervoor zorgen dat we ook de goede eisen stellen aan het onderwerp van de gesloten broncodes, als dat eraan bijdraagt dat we daadwerkelijk ook wel een systeem hebben dat goed, transparant en veilig is.

Dit stelt mijn fractie al wat geruster, dus dat is fijn. Maar ik kom toch nog even terug op die community. Er is een momentopname en een check. En als het goed is gaan producten, systemen, software die de overheid gebruikt, juist vaak tientallen jaren mee, misschien met wat aanpassingen hier en daar. Het is niet onze bedoeling om Nederland elk jaar nieuwe systemen en nieuwe apps op te leggen. Tijdens zo'n traject kan zo'n community dus zomaar veranderen waardoor ze niet meer aan die check voldoet. Hoe gaat dat er dan uitzien?

Nogmaals, dat moeten we met elkaar verder uitwerken. Van belang is natuurlijk dat we inderdaad blijvend evalueren of zo'n inlogmiddel voldoet aan de eisen, omdat er inderdaad sprake is van ontwikkelende technieken en ontwikkelende wensen ten aanzien van de dienstverlening. Men kan bijvoorbeeld de mogelijkheid willen hebben om ook bij andere organisaties in te loggen, of men kan iets op een andere manier willen doen omdat er nieuwe ideeën zijn over veiligheid. Ik denk dat we dus ook goed moeten bekijken hoe we regelmatig blijven checken of het nog voldoet. Want stel nou dat DigiD op een goede dag niet meer voldoende haar werk doet — ik hoop niet dat het gebeurt — om ervoor te zorgen dat de systemen veilig blijven. Dan wil je uiteindelijk zo'n middel natuurlijk niet meer blijven toelaten, want dan is het gewoon geen veilig middel meer. Dat kan om verschillende redenen zo zijn. Dus het is en blijft wat mij betreft nodig om bij die inlogmiddelen heel goed te blijven checken of ze blijvend voldoen aan de regels die wij met elkaar beogen.

Volgens mij hebben we hier wel een belangrijk punt te pakken. Hoe definieer je nou zo'n community? Misschien is het wel veiliger om een bedrijf te hebben dat met honderd man al tien jaar software ontwikkelt, dan drie knutselaars op zolder die zichzelf een community noemen. Volgens mij is het heel belangrijk dat we goed definiëren wat dan zo'n community is. En de staatssecretaris zegt wel: we willen naar honderd procent open source. Dat vind ik dan wel gevaarlijk, omdat ze nog niet precies weet of dit goed afloopt. Zou je niet moeten zeggen: we creëren een gelijk speelveld voor open source en closed source, waarbij de voorwaarden hetzelfde zijn, namelijk: het moet veilig zijn en het moet transparant zijn? Ik betwijfel of je van tevoren moet zeggen dat het naar honderd procent open source moet. Als je dat doet, weet je namelijk het antwoord al op een ontwikkeling terwijl je helemaal niet weet hoe die ontwikkeling afloopt.

Het is toch wel een belangrijk punt dat u noemt. Wij gaan verder aan de slag om de kern, de definitie van de community en de vereisten daarvoor, scherp te krijgen, in dit geval ten behoeve van de inlogmiddelen. Als u zegt net zo goed voor een level playing field te willen kiezen voor iets wat totaal gesloten is, dan is dat niet ons oogmerk. Want wij gaan er nog steeds van uit dat op basis van alle informatie die we nu hebben, open source ons ook daadwerkelijk gaat helpen. Omdat het openbaar is, omdat mensen het kunnen volgen en wij het kunnen volgen, en omdat er ook veel meer waarborgen zijn dat er daadwerkelijk ook goed gewerkt wordt om ervoor te zorgen dat het inlogmiddel steeds weer betrouwbaar en beter wordt. De wens is dus zeker om daarnaartoe te groeien — dat is ook de kern van wat er in deze novelle staat — maar we doen dat wel verantwoord en op een manier die zorgt dat we ook daadwerkelijk bereiken wat we willen bereiken. Als er een reden zou zijn waarom we helemaal nooit tot die 100% kunnen komen, dan zullen we die moeten vinden, maar op dit moment is ons beeld dat het wel degelijk mogelijk is om dat te doen.

Misschien ga ik nu een domme vraag stellen. Wat precies is het verschil tussen open source en transparantie? Streeft u naar 100% open source of naar 100% transparantie?

Nee, het is goed om dat nog een keer te zeggen. We hebben het over opensourcesoftware, dus software die transparant is en waarvan de broncodes gepubliceerd zijn, maar waar ook zo'n community omheen zit die zorgt dat er steeds weer wordt gewerkt aan het verbeteren daarvan. Dat is voor ons echt superbelangrijk. Het gaat dus om beide kanten. Het gaat er dus niet alleen om dat het gepubliceerd is, maar het gaat er ook om dat er bij voortduring, in een openbare community, wordt gewerkt aan het verbeteren daarvan, en vooral dat daar de mogelijkheid voor is.

Tot slot, de heer Bontenbal.

Dit vind ik wel tricky. Het moet dus transparant zijn en er moet een community zijn, en dan is het open source. Maar u weet niet of die communities gaan werken en of ze daadwerkelijk gevormd worden. U streeft naar 100% open source, maar volgens mij zou het doel 100% transparantie moeten zijn. Dus verwart u middel en doel nu niet te veel?

Nee, dat denk ik niet. De achtergrond hiervan is dat de combinatie maakt dat je betere en veiligere inlogmiddelen krijgt. Nogmaals, de precieze definitie hiervan, welke elementen open moeten zijn en hoe zo'n community er dan uit zou moeten zien enzovoort, enzovoort, is precies waaraan wij in het kader van een ministeriële regeling verder vorm en inhoud willen geven, om ervoor te zorgen dat ook scherp en helder is hoe dat gaat functioneren.

Mevrouw Van Weerdenburg, over hetzelfde punt?

Ja. Collega Bontenbal noemde het tricky. Ik wil hem wel bijvallen en noem het dan ook onnodig. Wanneer heeft het kabinet het standpunt, dat verwoord is in de beleidsbrief over het vrijgeven van de broncode van overheidssoftware, gewijzigd? Ik heb hier de brief van april 2020 over de "open, tenzij"-policy. Die is nog van kracht, want ik heb 'm nog op de website gevonden gisteravond. Daar staat heel duidelijk in: "Als het doel transparantie is, dan kan heel vaak volstaan worden met het beschikbaar stellen van de broncode op een plek op het internet waar veel broncode te vinden is (bijvoorbeeld GitLab.com). Een actieve community van (her)gebruikers is dan niet noodzakelijk". Dit is staand beleid. Dus wanneer is besloten om daarvan af te zien en dat te mixen, te mengen, met de vergaande eis van een community?

Ik kan hier niet de datum precies noemen, maar de kern is dat wij bij deze inlogmiddelen het juist belangrijk vinden dat er wel degelijk zo'n community is.

Tot slot.

Ja, tot slot. Voor de transparantie is het niet nodig. En daar gaat het om. Het gaat er toch niet om ... Want dat was het andere: de community was er juist voor kwaliteitsverbetering van software, met als doel hergebruik. Als het gaat om software die gemaakt is voor de overheid, met publiek geld betaald, dan is die van iedereen en dan is dat natuurlijk wel een goed te volgen redenering. Maar hier is het gewoon echt niet nodig.

Dat ben ik niet met u eens. De reden daarvoor is eigenlijk andersom. Want alleen maar transparantie zou transparantie zijn in termen van dat er verder niks meer mee gebeurt als er bijvoorbeeld foutjes in die broncode zitten of als dingen op een gegeven moment niet meer veilig blijken te zijn. Zo'n community helpt ook om te zorgen dat er steeds weer gekeken wordt of de broncode nog voldoet aan de vereisten. Wat ons betreft is de community wel degelijk van belang en is dat een onderwerp dat hierin thuishoort. Wel is het belangrijk om nog eens even goed met elkaar uit te werken wat dat betekent in het geval van deze inlogcodes en van deze wet, en met name de novelle.

Snapt u het nog, voorzitter?

Ik kan het redelijk volgen — zei ze zelfverzekerd.

Nou, ik durf dat wat minder zelfverzekerd te zeggen, zal ik u zeggen. Als ik mijn collega's zo hoor aan de interruptiemicrofoon, hebben we dat allemaal. Het is niet dat we niet begrijpen hoe dit werkt, maar we begrijpen niet wat de bedoeling is en waar we dus ja tegen zeggen als we dit wetsvoorstel aannemen. Daarmee kom ik toch terug op wat de Raad van State daarover zegt, juist als het gaat om de delegatiebepaling. Het gevaar van het in de wet zetten van zulke abstracte hoofdelementen die niet meer herkenbaar worden beschreven, is dat het parlement als medewetgever zich er eigenlijk geen voorstelling van kan maken waarmee het instemt. Vindt de staatssecretaris dat niet een fundamenteel probleem?

Volgens mij komen we daar zo meteen nog wat verder op, maar ik vind het niet een fundamenteel probleem. Misschien kan ik kort wat zeggen over de kern, en dan komen we er misschien straks nog wat uitgebreider over te spreken. In de wetgeving die er bijvoorbeeld is over auto's, schrijven we ook niet de merknamen op van wat er precies aan auto's in Nederland is. Nee, je beschrijft wat een auto is, waar die op rijdt en waar die op kan rijden enzovoort. Juist bij wetgeving die over techniek gaat, in dit geval techniek die zich heel snel ontwikkelt, is het heel belangrijk dat wij met elkaar praten over de uitgangspunten: onder welke condities vinden wij dat mensen digitaal zaken moeten kunnen doen met en moeten kunnen inloggen bij de overheid? We moeten proberen aan de slag te gaan met het zorgen dat dan ook duidelijk is welke soorten van, in dit geval, inlogmiddelen mee mogen doen. Dat doen we door steeds dingen te vernieuwen en aanpassingen te doen in onderliggende regelingen. Voldoet DigiD aan de vereisten die we eraan stellen, en blijft het er ook aan voldoen? Zijn er private inlogmiddelen die voldoen aan de eisen die we eraan stellen? Open source is hierbij een middel. Hoe zorgen we ervoor dat we ook werken aan de ontwikkeling van technieken die ons helpen om dat ook voor elkaar te krijgen?

De staatssecretaris zegt hier zo veel dingen waar ik op zou willen reageren. Ze stelt hier zo effe in een bijzinnetje ter discussie of DigiD in de toekomst blijft bestaan. Ik hoorde mevrouw Bouchallikh daar hele goede dingen over zeggen in haar eerste termijn, namelijk dat het onzorgvuldig is om dat soort bijzinnetjes te gebruiken omdat die ergens op tenderen. Maar mijn vraag is natuurlijk een andere. Het wordt allemaal zo abstract. Er wordt gezegd dat dit in nadere regelgeving zal worden neergelegd. Dat is in een ministeriële regeling. Die krijgen wij niet meer te zien, dus wij weten niet waar wij ja tegen zeggen. Heeft de staatssecretaris die ministeriële regeling al af?

Nee, die hebben we nog niet af. Die zijn we aan het ontwikkelen, met mensen die expert zijn op dit gebied. Dat is ook heel erg nodig om een heel helder beeld te krijgen van hoe het precies zit als we gebruikmaken van deze opensourcesoftware, welke onderdelen dan belangrijk zijn en hoe we omgaan met de community. Het gaat om die combinatie.

Oké. Dus we hebben hier een wet die is aangenomen in de Tweede Kamer in januari 2020. We zijn nu bijna tweeënhalf jaar verder. Er is wel een novelle gemaakt, maar er is nog geen ministeriële regeling.

Er zijn ook AMvB's gemaakt, die bij u voorhangen, maar we hebben inderdaad deze specifieke ministeriële regeling nog niet uitgewerkt.

Wat zou het bezwaar zijn om te wachten totdat de staatssecretaris de ministeriële regeling heeft uitgewerkt voordat wij dit wetsvoorstel verder behandelen?

Er is wel een groot bezwaar als we wachten met het invoeren van deze wet. Deze wet maakt het bijvoorbeeld mogelijk voor mensen die in de zorg werken om in te loggen met DigiD. Wees gerust: het is niet aan de orde dat DigiD verdwijnt. Ik zal het voorbeeld ook niet meer noemen. Maar natuurlijk zal DigiD, net als elk ander inlogmiddel, voortdurend aan de allerhoogste eisen moeten blijven voldoen. Ik denk dat we dit met elkaar eens zijn. Maar de kern is dat als we dit niet doen, de zorgmedewerkers, die nu niet op een veilige manier met elkaar informatie over patiënten kunnen uitwisselen, dat straks ook niet kunnen doen. Dat is een van de belangrijke redenen om wel degelijk aan deze wet te werken. En daarmee kunnen we doorgaan met het werken aan allerlei inlogmiddelen die er nu al zijn, zoals DigiD, zodat we die kunnen gebruiken in een bredere context dan we vandaag de dag doen.

Dus patiëntengegevens worden nu niet veilig uitgewisseld. Weer een nieuwtje in dit debat dat er zo even — plof! — in komt. Daar zijn ook echt wetten over gemaakt, en gesneuveld in de Eerste Kamer. Dat ging over het elektronisch patiëntendossier. Dat dat vervolgens gewoon door is gegaan, weten we. Maar blijkbaar is het onveilig en gaat deze wet dat repareren. Ik zie de connectie niet, om heel eerlijk te zijn. Ik vind dit wetgevingstechnisch problematisch worden. De staatssecretaris geeft hier staande de vergadering een definitie van wat zij onder open source verstaat. Daar hoort die community bij. Daar is discussie over. Om heel eerlijk te zijn: ik kan niet eens goed beoordelen waar ik sta in die discussie. Maar we moeten straks wel ja of nee zeggen tegen deze wet, waarin van alles geregeld gaat worden buiten ons zicht. Ik vind dat echt problematisch. Het is te abstract, staatssecretaris.

Ik besef heel goed dat het hier in dit debat gaat over iets wat klein klinkt, namelijk "veilig inloggen bij de overheid", maar wat tegelijkertijd complex is vanwege de techniek die erachter zit. Tegelijkertijd moeten we met elkaar aan het werk om dit te regelen, want als we dit niet regelen, zorgen we er niet voor dat we op een veilige manier die ongelooflijke hoeveelheid dingen kunnen doen die we inmiddels willen gaan doen met de overheid. We hebben niet alleen vastgelegd dat het mogelijk moet zijn om offline met de overheid zaken te doen, maar vooral ook dat dat online, digitaal kan. Heel veel mensen willen dat ook. En wij willen er met elkaar voor zorgen dat dat op een veilige, betrouwbare en goede manier gebeurt. Daar gaat deze wet specifiek over. Ik vind het dus ontzettend belangrijk dat we het hierover hebben. Daarmee gaat het ook over techniek. Daarmee gaat het ook over onderwerpen die ingewikkeld zijn. Dat is ook een van de redenen waarom u voorafgaand aan dit debat een technische briefing hebt gehad. Dat is om erin te duiken en met elkaar scherp te krijgen wat we nodig hebben om te zorgen dat dit ook op een goede manier gebeurt.

U heeft nog een aantal vragen te beantwoorden.

Ik heb er nog een heleboel.

Ik bedoel over het onderwerp open source.

Ja, over het onderwerp open source.

Ik wil eerst even de staatssecretaris de kans geven om het onderwerp open source af te ronden. Dan is er daarna de mogelijkheid voor interrupties.

Dan ga ik naar de vraag van de PVV over hoe gecontroleerd kan worden als de broncode niet zichtbaar is. Openbaarheid van de broncode kan helpen bij de controleerbaarheid. Beter gezegd: het maakt het mogelijk. Maar er zijn ook wel andere middelen voor controle. Bij de toelating kan ook op basis van eisen worden gecontroleerd. Op dit moment wordt er al toezicht gehouden, maar bij open source kan dat op een betere en dus ook transparantere manier.

Mevrouw Leijten van de SP vroeg of er van partijen geëist wordt dat zij een beweging inzetten naar het gebruik van open source. Ja, die beweging wordt ingezet. Het is ook de bedoeling dat dat gebeurt. Dat doen we vooral om ervoor te zorgen dat middelen extra veilig worden. We willen natuurlijk ook zorgen dat er meer middelen komen, zodat burgers veilig kunnen inloggen. Dus op grond van dit wetsvoorstel wordt dan aangewezen welke onderdelen open source moeten zijn. Op basis van die ministeriële regeling gaan we dat verder vormgeven.

Dan is er de vraag van mevrouw Dekker-Abdulaziz of er een minimale hoeveelheid open source geëist zal worden en hoe dat precies gaat werken. Wij zullen aanwijzen welke onderdelen open source moeten zijn. De aanvraagfunctie en de inlogfunctie zijn daar voorbeelden van. Bij dat aanwijzen houden we rekening met veiligheid en continuïteit. Het is dus niet een percentage; het gaat veel meer over de functionaliteit. In de tekst van de AMvB die nu voorligt kunnen we dat verduidelijken. We werken dat ook verder uit in de ministeriële regeling.

Dan is er ook de vraag van mevrouw Dekker: een echte ambitie zou zijn "open source, tenzij"; dat staat er nu niet in, waarom is dat? Maar de kern is dat ik heb aangegeven in het begin van de beantwoording dat wij het niet verantwoord vinden om nu helemaal voor 100% over te gaan op open source, omdat dat onaanvaardbare gevolgen heeft voor de inlogmiddelen die we vandaag de dag gebruiken, dus bijvoorbeeld de DigiD en e-herkenning. Ik vind het belangrijk dat ook private partijen gelijk behandeld worden. Dus we moeten ervoor zorgen dat we die verplichting pas introduceren wanneer dat ook 100% kan. Maar het is wel onze nadrukkelijke wens om daarnaartoe te groeien. Het transitiepad willen we dan ook in de komende tijd gaan schetsen.

Dan was er de vraag: is de verplichting van open source niet een middel om big tech buiten de deur te houden? Ik vind het dus belangrijk om gebruik te maken van open source. Die verplichting is er, maar niet een volledige, vanwege het feit dat er ook middelen zijn die daar nog niet aan kunnen voldoen, maar we die transitie wel moeten doormaken. Een volledige verplichting voor het hanteren van open source kan dus op dit moment niet, en een beheerste overgang is natuurlijk wel van belang. Nogmaals, wij laten ons daar goed op adviseren, zodat we ook goed in staat zijn om dat in de komende tijd vorm te geven. En natuurlijk kunnen ook grotere bedrijven, ook big tech, zich aanmelden als partij, maar die kunnen daar natuurlijk alleen in meegroeien als dat betekent dat zij ook meewerken aan het opensourcebeleid.

Dan ging het over hoe de opensource-eis in deze wet zich verhoudt met de Wet open overheid; worden opensourceaanbieders met dit systeem niet juist belemmerd? Het antwoord is: broncode viel al onder de Wob. Nieuw in de Woo is ook de actieve openbaarmaking daarvan. Net zoals voor andere onderwerpen of documenten geldt dat die broncode alleen openbaar kan worden gemaakt als de overheid daarover beschikt en zaken als veiligheidseisen en auteursrecht geen belemmering vormen. De Wdo, dus deze Wet digitale overheid, bepaalt specifiek voor inlogdiensten welke onderdelen openbaar moeten worden gemaakt.

Dan is er de vraag hoe je de mate controleert waarin open source is gebruikt. Ik heb daar net ook al iets over gezegd. Het gaat om de meest essentiële onderdelen van de inlogmiddelen. Die gaan we ook beschrijven. En van belang is natuurlijk ook dat dat onderdelen zijn die te maken hebben met bijvoorbeeld de aanvraag- of de inlogfunctie. Wij laten ons goed ondersteunen om te zorgen dat we dat ook op een juiste manier kunnen doen.

Dan is er de vraag van de PVV over wie beoordeelt of er voldoende gebruik is gemaakt van open source. Nou, ik heb aangegeven dat we daarbij deskundigen laten meekijken, om te zorgen dat daar waar dat maar mogelijk is er gebruik wordt gemaakt van open source. Wij gaan verder die inventarisatie maken van over welke onderdelen het gaat, en we gaan ook kijken hoe we de transitie van de huidige situatie naar open source kunnen vormgeven, waarbij de lat ook steeds hoger komt te liggen.

Dan de vraag of open source ook wel veilig is, naar aanleiding van de vragen die gesteld zijn over onder andere Log4j. De kern is dat open source veel voordelen heeft, ook in veiligheid en transparantie. Die voordelen gaan niet vanzelf. En het feit dat er ook voorbeelden van zijn dat het niet altijd 100% goed gaat, betekent dus dat we beheerst toe willen groeien naar open source, zodat ondersteuning en veiligheid ook goed geborgd zijn.

Dan was er de vraag van de VVD, van mevrouw Rajkowski: hoe ga ik om met de verschillende opensourceonderdelen in een middel? Ik denk dat ik daar zonet in de antwoorden al iets meer over heb gezegd. Dus het middel kan gebruikmaken van verschillende onderdelen, op soorten software die met elkaar samenhangen, ook besturingssystemen en ondersteunende software. Waarom het gaat, is dat we die essentiële onderdelen inzichtelijk maken, die essentiële onderdelen van de broncode. Nogmaals, wij laten ons daar goed op adviseren, om te zorgen dat met name die aanvraagfunctie of inlogfunctie op een goede manier open source wordt gemaakt, en dat die dan ook beschikbaar zijn en veilig kunnen worden ingezet.

Dan kom ik op de laatste vraag over het onderwerp open source, van mevrouw Van Weerdenburg. Is het publiceren van de broncode van de kern van het inlogmiddel voldoende om aan de opensource-eisen te voldoen? Het publiceren van die broncode is voldoende. Bij die inlogmiddelen gaat het dus vooral om transparantie. Je moet ervoor zorgen dat die broncode openbaar is en dat die partijen en communities in de gelegenheid zijn om daaraan te werken en dat te verbeteren. Voor sommige opensourcelicenties gelden ook andere voorwaarden, maar het thema transparantie speelt daarbij niet noodzakelijkerwijs een rol van belang.

Dank u wel. Er zijn vragen van mevrouw Van Weerdenburg en daarna mevrouw Leijten.

Mevrouw Leijten had hier even geleden wat zorgen geuit die ik eigenlijk deel. Vooropgesteld, ik wil die Wdo helemaal niet vertragen en niet alles hoeft geregeld te worden in de kaderwet, maar het hele idee van dit debat — daarom heb ik ook veel vragen gesteld — was de hoop dat de staatssecretaris een beetje kon schetsen hoe de nadere invulling eruit zou zien. Als we over de meest basale begrippen al geen duidelijkheid krijgen of iets horen wat in onze ogen niet juist is, dan groeit mijn onrust ook om ja te zeggen op deze novelle, met vertraging als gevolg. Ik ga het nog één keer proberen met mijn vraag over open source. Bij een private partij die zelf software schrijft en goede ontwikkelaars heeft, staat ook de reputatie van het bedrijf op het spel als je ze verplicht om die code te publiceren. De concurrenten kijken allemaal mee en gaan onwijs veel moeite doen om de foutjes in de code aan te wijzen. Daar is een soort van accountability. Dat heb je niet als ze stukken open source gaan gebruiken waar, zoals de heer Bontenbal het noemde, hobbyisten op een zolderkamer naar kijken. Stel dat die een fout maken en de code zo wijzigen dat er een enorme kwetsbaarheid in blijkt te zitten, dan is het: ja, jammer, balen. Die zijn dan verder niet verantwoordelijk, niet accountable, terwijl het bedrijf er wel schade van heeft. Ik zie niet in hoe dat model meer veiligheid garandeert dan het idee dat je reputatie als softwareontwikkelaar op het spel staat, of misschien wel je toelating. Je eigen mensen kijken ernaar en de concurrenten kijken ernaar, dus publiceer dat gewoon! Ik zie niet in waarom een community van vrijwilligers, hoe groot die ook mag zijn, meer veiligheid garandeert dan dat andere model.

Er is altijd iemand de aanbieder van dat inlogmiddel. Die aanbieder is er verantwoordelijk voor dat dat inlogmiddel doet wat wij vinden dat het moet doen, dat het veilig is, enzovoorts. Die aanbieder maakt gebruik van software of bouwstenen uit software waarvan wij zeggen dat het goed zou zijn dat die open source zijn. Wij gaan uit van het principe dat er daarmee betere elementen in zitten. Dat wil niet zeggen dat de aanbieder van die software nu al honderd procent open source moet zijn, omdat dat niet in alle gevallen mogelijk is. We gaan goed bekijken bij welke elementen dat wel en niet kan. Maar je wilt natuurlijk ook altijd — daarom willen we wat duidelijker beschrijven wat we bedoelen met zo'n community — helder hebben wat we oké vinden als het gaat over de combinatie van die twee dingen. Voor de publicatie geldt dat net zo goed. Overigens, als iemand zelf iets ontwikkelt terwijl concurrenten meekijken en daar kritisch op zijn, dan kan dat wellicht alleen maar leiden tot verbetering. Maar de kern is dat de aanbieder moet zorgen dat het op orde is. Wij toetsen daarop. We willen graag open source omdat dat helpt om het te verbeteren. Dat past ook binnen de huidige manier van werken. Maar we gaan er wel van uit dat er een combinatie nodig is van zowel publicatie en transparantie als een community daaromheen. En nogmaals, wij gaan dit nog verder uitwerken om het scherp te krijgen. Maar het is dus niet zo dat iemand die zelf software ontwikkelt, niet kan meedoen. Wel willen we graag dat het open source gebeurt en dat het transparant is.

Dus als ik het goed begrijp, is een softwareontwikkelaar die al twintig jaar bezig is met een groot bedrijf en honderden programmeurs, die een product ontwerpt en daarna de code publiceert, niet genoeg. Maar als ze de code publiceren en tegelijkertijd dat gedeelte zelf op GitLab gooien, is er ineens wel een community en mag toelating wel.

Hoe we dat precies vormgeven, dus waar die community moet zijn en hoe die werkt, gaan we met elkaar uitwerken. Maar de kern van dit opensource-idee is wel dat er inderdaad een community is die meekijkt naar dit product.

Ik wil eerst heel eventjes het beeld weerleggen van drie mensen op zolder als community. Linux, waarop het Androidsysteem gebaseerd is, is ook open source geweest. De makers waren zeker geen drie mensen op zolder.

Maar nu ik heb twee vragen aan de staatssecretaris. Ik hoor de staatssecretaris zeggen dat wij geen 100% open source willen eisen omdat het nu niet kan. Dat is redeneren vanuit het huidige aanbod en we weten natuurlijk niet wat de techniek met zich mee gaat brengen. Maar "open source, tenzij" houdt natuurlijk niet in dat je 100% open source eist, maar dat je dat eigenlijk zo veel mogelijk wilt. Het is meer een principe: het is open source, tenzij je bijvoorbeeld uitlegt dat het niet kan. Hoe kijkt de staatssecretaris daar dus tegen aan?

En mijn tweede vraag is: wie beoordeelt dan of het voldoende is? Hoorde ik de staatssecretaris zeggen dat deskundigen dat doen? Mijn vraag is: is het dan niet de toezichthouder, Agentschap Telecom?

Als ik het heb over de deskundigen die ons helpen, gaat het over het vormgeven van die regeling. Goed dat u het zo formuleert. De kern is inderdaad: het is open, tenzij. In principe is het dus open source, maar als het niet kan, dan lukt het niet. We zien dat het op dit moment sowieso nog niet helemaal lukt, maar we willen daarnaar toegroeien.

Het tweede is dat de toezichthouder daar inderdaad uiteindelijk naar moet kijken. Maar het formuleren van de vereisten is natuurlijk iets wat wij vanuit het ministerie moeten doen. Daarbij willen we ons vooral ook goed laten ondersteunen door mensen die deskundig zijn op dit gebied, zodat we ook de juiste keuzes maken en op de juiste manier omgaan met dit vereiste. Doel en oogmerk zijn daarbij dat die inlogmiddelen goed en veilig zijn.

Dat is wel fijn om te weten. Deskundigen gaan daar dus naar kijken, zodat we een goede ministeriële regeling hebben. Dat is wel fijn.

Ik ga nu even terug naar dat "open source, tenzij". Wij kunnen daar nu niet aan voldoen. Het gevaar van redeneren vanuit het nu is dat je dan per definitie niet naar de toekomst kan kijken. Ik heb dus eigenlijk geen vraag, maar ik vind het toch wel een beetje zorgwekkend: "We kunnen er nu niet aan voldoen, dus we gaan het niet eisen." Dan kom je in zo'n vicieuze cirkel terecht dat je het nooit kan eisen, want je kunt er nu niet aan voldoen, maar misschien over tien jaar wel.

Als je in de wet eist dat het altijd moet zijn, dat het 100% moet zijn, en het kan nu nog niet, dan voldoe je vandaag al niet aan de eis. Dan zou je de DigiD moeten stoppen. Dat willen we natuurlijk voorkomen. Maar tegelijkertijd zijn het belang en het oogmerk natuurlijk dat we doorgaan met open source en dat we dat ook steeds blijven doen. Het is ontzettend belangrijk dat we dat ook inzetten. Nogmaals, wij vinden dat niet alleen maar belangrijk voor nu, maar ook voor de komende tijd. We gaan dat verder uitwerken en we gaan met mensen goed kijken hoe we dat vorm kunnen geven, inclusief wat dan de inhoud en vorm van zo'n community zou moeten zijn.

Dan ga ik door naar het punt van het verhandelverbod. Dat is een ander thema waarover vragen gesteld zijn. Mevrouw Van Weerdenburg vroeg: is het publiceren van de broncode van de kern van het inlogmiddel genoeg? Sorry, dit gaat nog over open source. Ik kijk niet bij de goede vragen. We hadden bij het verhandelverbod namelijk een andere set van vragen. Ik zit het zelf slecht te organiseren, zie ik, want ik heb het in een verkeerd mapje gestopt. Excuses daarvoor!

Het verhandelverbod.

Een vraag van mevrouw Leijten: wat mogen private en commerciële aanbieders wel en niet doen met de data die ze verzamelen op basis van deze inlogmiddelen? Mevrouw Leijten noemde een voorbeeld. Een private partij die een inlogmiddel exploiteert of, beter gezegd, die zorgt voor zo'n inlogmiddel, zou in staat zijn om de gegevens van personen te gebruiken voor commerciële doeleinden. Dat is uitdrukkelijk niet zo. De partijen kunnen die gegevens niet verhandelen. Ze kunnen ze ook niet gebruiken voor andere doeleinden dan waarvoor ze bedoeld zijn, namelijk voor het inlogmiddel zelf. Dat minimale gebruik is geregeld in onze wet. Het is ook echt heel erg belangrijk dat dat gebeurt, zodat de dingen waarover u het heeft, niet kunnen gebeuren. Private partijen die een inlogmiddel verzorgen, moeten niet iets anders met de gegevens kunnen doen dan ze gebruiken voor het inloggen.

Mevrouw Rajkowski vroeg ook of die data niet voor enig commercieel doel kunnen worden gebruikt. Het antwoord is dus: nee, die kunnen niet voor enig commercieel doel worden gebruikt, niet om te verkopen, niet om reclames op te maken, niet voor andere dingen. De toezichthouder die dat in de gaten houdt, is het Agentschap Telecom.

Mevrouw Dekker-Abdulaziz vroeg of metadata ook vallen onder het verhandelverbod. Dat is zo. Die vallen daar ook onder.

Zowel SP als D66 vroeg of het verhandelverbod wel stevig genoeg is. Mijn beeld is dat dat zo is. De Eerste Kamer heeft mij gevraagd om dit uit te dragen in Europa. Dat zal ik zeker doen. In de wet is vastgelegd dat gegevens alleen mogen worden gebruikt om inloggen mogelijk te maken. In de novelle is nog een keer extra geregeld dat partijen niet aan de gegevens mogen verdienen. Bovendien is het ook nog zo dat de gegevens over de gebruiker en het gebruik gescheiden bewaard moeten worden. Ook daarop wordt toezicht gehouden door het Agentschap Telecom.

Hiermee heb ik volgens mij de punten gehad over het verhandelverbod.

Is het handig om nu ook te kijken naar het amendement van mevrouw Leijten? Of wilt u dat in tweede termijn doen?

Dat doe ik graag in tweede termijn.

Dan gaan we naar mevrouw Leijten.

De staatssecretaris vindt het voldoende geregeld. Daar is de SP-fractie het niet mee eens. In de nota naar aanleiding van het verslag schreef de staatssecretaris dat het niet onder haar bevoegdheid of haar reikwijdte viel om het verder in te perken. Waar komt die staatsrechtelijke gedachte vandaan?

Ik weet niet of ik u helemaal precies goed begrijp. Maar wat we hiermee geregeld hebben, is dat er geen mogelijkheid is om de gegevens te verhandelen of voor een ander oogmerk te gebruiken dan alleen maar voor dat inloggen. Daarmee regelen we voor deze toepassing dat er door de partijen niets anders met die data kan worden gedaan dan zorgen voor een inlogmogelijkheid. Er is geen mogelijkheid voor welke commerciële toepassing dan ook.

Ik ben, omdat ik daarover twijfels had, naar de uitstekende juristen van ons Bureau Wetgeving gegaan en die zeggen: het kan wel degelijk scherper in de wet. Ook de Raad van State wees daarop. Dat heeft geleid tot mijn amendement. De staatssecretaris gaat daar nu niet op in, maar ik vind dat een spelletje spelen. Zeggen dat je het niet wilt, wil niet zeggen dat dat ook niet gebeurt. Wat is voor een private aanbieder nou het interessante van identificatie bij de overheid? Dat gaat om data, namelijk: die mevrouw of die meneer doet zaken met die overheidsinstantie en misschien wel over die inhoud. Dat is informatie die ze verkrijgen, omdat de overheid digitaal met zijn inwoners wil communiceren of andersom. Dus daar gaan ze iets mee doen.

Ik ga natuurlijk graag nog verder in op uw amendement, want als het niet goed genoeg geregeld is, moeten we het scherper regelen. Maar de kern is dat deze partijen met die data niets anders kunnen doen dan het doel waarvoor het bedoeld is. Ze kunnen met die data geen commerciële activiteiten ontwikkelen. Dat is niet wat er mag en niet wat we willen, of het nou gaat over reclames of over het doorverkopen op een andere manier. Precies dat is nou zo belangrijk in deze wet. Als je met je DigiD inlogt — dat is toevallig een publiek middel — of met een privaat middel of met een buitenlands middel, mogen die gegevens niet worden gebruikt voor enig ander oogmerk dan het inloggen en het faciliteren daarvan.

Dan zou je eigenlijk nog verder moeten gaan dan ik in mijn amendement ben gegaan. Dan zou je moeten zeggen dat die gegevens verwijderd moeten worden, want dan kan je ze niet meer gebruiken. Als ze niet ergens anders voor gebruikt mogen worden, waarom zou je ze dan houden?

Er is eigenlijk maar één reden waarom je de inloggegevens wel wil bewaren. Als iemand z'n telefoon of laptop verliest, kan je nog wel laten loggen dat er sprake is geweest van een inlog, bijvoorbeeld bij een instantie als UWV of de gemeente. Dat wil je kunnen bewaren. Andere soorten van gegevens wil je niet kunnen bewaren.

Mevrouw Leijten tot slot.

Maar ook dat regelt de wet niet. Je registreert dat de heer Bontenbal heeft ingelogd bij UWV — gelukkig hoeft hij daar nu niet te zijn in Rotterdam, de gemeente waar hij woont — en het feit dat hij daar heeft ingelogd, bewaren we, maar niet waarvoor of hoe laat. Het wordt niet geregeld dat de andere data worden gewist. Er wordt gesteld dat het niet commercieel gebruikt mag worden, omdat het niet het oogpunt van de wet is. Maar het is gewoon niet geregeld.

Ik ben op dit specifieke vraagstuk even overvraagd op dit moment. Ik kom daar graag in tweede termijn op terug. De kern van wat wij willen regelen, is precies ook wat mevrouw Leijten bedoelt: zorgen dat die gegevens — van wat meneer Bontenbal in dit voorbeeld bij UWV heeft gedaan — inderdaad niet worden bewaard, maar het feit dat hij heeft ingelogd wel.

Ik was benieuwd hoe die controle precies gaat op een nieuw middel dat toelating vraagt. Hoe wordt precies gecontroleerd dat het programma niet doet wat wij hier bepalen dat niet mag? Wordt dan gekeken naar de beschrijving van het product? Dit zou ook close source software kunnen zijn. Of moet zo'n private partij dan de volledige broncode overhandigen en komt er dan een softwaredeveloper die de code minutieus gaat napluizen om te zien of er toch niet een koppeling of iets dergelijks in zit, want software kan best geraffineerd zijn. Gaat dat zo specifiek?

Ik denk dat het zo is dat we de precieze stapjes die daarin zitten, verder willen uitschrijven, maar de kern is wel dat het zo specifiek moet zijn. Het moet echt aantoonbaar zijn dat die gegevens niet op een andere manier worden gebruikt. Nogmaals, het toezicht daarop is ontzettend belangrijk, omdat we willen dat iemand die op welke manier dan ook inzage heeft in deze gegevens, er niks mee kan doen.

Is die expertise er? En zo ja, waar zit die? Hoe gaat de staatssecretaris die aantrekken?

Die expertise zullen we moeten inhuren. Daarbij moeten natuurlijk gebruikmaken van de huidige toezichthouders, bijvoorbeeld het Agentschap Telecom.

Mevrouw Dekker, tot slot.

Het is wel fijn om te horen dat ook de metadata onderdeel zijn van deze wetgeving, of dus de heer Bontenbal ingelogd is en wanneer.

Het gaat wel veel over de heer Bontenbal.

Ja. Oké, ik ga even door. Het gaat over commerciële activiteiten en dat die uitgesloten moeten worden. Maar in de digitale wereld zie je heel vaak het volgende: wij gebruiken uw gegevens voor het verbeteren van onze dienstverlening. Is dat dan ook uitgesloten in deze wet?

Ik ga dat voor u uitzoeken. Maar als dat zou kunnen, moeten we dat alleen maar doen als het alleen maar precies daarvoor bedoeld is en niet voor andere commerciële activiteiten. Ik kom daar in tweede termijn graag op terug.

Dan ga ik naar de vragen over de wet in het algemeen. Daar waren ook nog een aantal vragen over. Ik kijk even naar de vragen die door mevrouw Leijten zijn gesteld over de menselijke tussenkomst bij besluiten. Dat onderwerp hebben we vaker besproken. Bij de toepassing van welke vorm van algoritmes of digitalisering dan ook is het ongelofelijk belangrijk dat er sprake is van die menselijke tussenkomst. Dit wetsvoorstel gaat daar in principe natuurlijk niet over, maar wel over veilig inloggen. Ook daarbij moet het steeds mogelijk zijn dat mensen daadwerkelijk ergens terechtkunnen als er problemen zijn. Dat is in deze situaties natuurlijk ook heel erg belangrijk.

Dan was er nog de vraag — we zijn er al eerder op ingegaan — over het thema techniekonafhankelijk en het advies van de Raad van State daarover. Ik heb daar eerder al iets over gezegd, namelijk dat we het zo belangrijk vinden dat wetgeving die over techniek gaat steeds kan worden aangepast aan de stand van de techniek. Ook bij deze wet hebben we gezien dat het maken van een wet lang kan duren. Twee jaar geleden is de wet ook al aangenomen, maar die kent natuurlijk een langer traject. Ik geloof dat het inmiddels al vier jaar geleden is dat we begonnen zijn met het maken van deze wet. Inmiddels is de technologie natuurlijk voortgeschreden. Ik vind het ongelofelijk belangrijk dat we ervoor zorgen dat we de hoofdlijnen weliswaar ... We hadden het net over de vergelijking met auto's. Wat dat precies zijn, wordt vastgelegd in de wet, maar in lagere regelgeving zorgen we dat we aanpassingen kunnen maken. Dat is ook de reden dat we op dit punt de Raad van State uiteindelijk niet hebben gevolgd, hoewel we heel veel andere elementen uit het advies wel degelijk hebben verwerkt.

Dan de checklist digitalisering van de Raad van State. Die komt uit het rapport waarover we het eerder vandaag ook al hadden. Dat rapport is van na de novelle, maar sluit daar voor het grootste deel gelukkig wel op aan. Een belangrijk thema daaruit is de aanbeveling om intensief op te trekken met de uitvoering. In de toelichting op de AMvB's hebben we ook aangegeven hoe we met de verschillende belangen van de adviezen van de Raad van State omgaan. Verder is er het thema van de mens centraal, namelijk dat de WDO dient te zorgen voor goede, veilige en betrouwbare dienstverlening aan de burgers en bedrijven van Nederland.

Dan de vraag over het toezicht door Agentschap Telecom. Dat was een vraag van mevrouw Dekker van D66. Is daar goed voor gezorgd? Uw Kamer heeft met een amendement deze toezichthouder rechtstreeks aangewezen voor deze wetgeving. Ik onderschrijf dat ook. Agentschap Telecom houdt al jarenlang toezicht op het eHerkenningstelsel. Inmiddels heeft het daar kennis voor ontwikkeld en heeft het voldoende capaciteit om dat ook te doen.

De vraag van GroenLinks ging over de Autoriteit Persoonsgegevens. Is die inmiddels voldoende toegerust om het werk te doen? Het toezichthouden op privacy by design is een onderwerp waarbij ik zelf betrokken ben. Zij houden op dit moment natuurlijk al toezicht op het verwerken van persoonsgegevens. Dat wordt niet anders. Het is wel van belang dat we zorgen dat de AP ook hiervoor voldoende capaciteit en tijd inzet. Daarover ga ik graag met hen in overleg.

Dan de vraag van de heer Bontenbal. Volgens mij heb ik die al besproken. Die ging met name over de samenhang tussen de techniek en de onderliggende wet. Hoe is dat georganiseerd? In de praktijk betekent de handhaving dat de wet en de ministeriële regeling toelating regelen voor authenticatiediensten, machtigingsdiensten enzovoorts, enzovoorts die voldoen aan de stand van de techniek. De toezichthouder controleert op de eisen van de wet- en regelgeving. De handhaving die daarbij hoort, is natuurlijk een uitvloeisel van dat toezicht.

Dan ga ik naar de vraag van mevrouw Dekker-Abdulaziz. Hoe verhoudt de Wet digitale overheid zich tot de eIDAS-verordening? De WDO is daarmee in lijn. De WDO regelt wel meer dan de eIDAS op dit moment doet. De huidige versie van die richtlijn zegt dat het mogelijk moet zijn om met verschillende inlogmiddelen binnen Europa zaken te doen met de overheden, zodat je bijvoorbeeld met je DigiD ook aan de slag kunt bij de Belgische of Duitse overheid, als je daar iets wilt regelen. Dat is niet in alle gevallen al helemaal goed geregeld, zoals we gisteren ook hebben besproken. De WDO zorgt ervoor dat er extra verplichtingen en standaarden zijn zodat dit veilig gebeurt. Denk bijvoorbeeld aan een slotje op de websites, de veiligheidseisen die aan overheden worden gesteld en de grondslagen van de verantwoordelijkheden in de zogenaamde generieke data-infrastructuur die we hebben, zoals bij de DigiD. Wij hebben ook aanvullende eisen aan de inlogmiddelen, bovenop de eIDAS. De herziening daarvan is er natuurlijk nog niet, dus daarvan kunnen we nog niet zeggen hoe die aansluit. Maar op basis van de huidige eIDAS zorgen we ervoor dat de inlogmiddelen aan aanvullende eisen voldoen.

Mevrouw Rajkowski vroeg: hoe staat het met het wettelijk reguleren van de standaarden of het verplichte gebruik daarvan? Het kabinetsbeleid is dat open standaarden worden toegepast, tenzij een overheidsorganisatie redenen heeft om dat niet te doen. We werken met het thema "pas toe of leg uit". We stellen het pas verplicht als dit het sluitstuk is van het instrumentarium. Het wetsvoorstel voorziet erin dat de toepassing van open standaarden verplicht wordt. Daarmee kunnen we de goede werking daarvan organiseren. De noodzaak tot een aanwijzing of anderszins zal in de AMvB worden opgenomen, maar in principe werken we dus met de open standaarden.

Dan de evaluatievraag van mevrouw Dekker: kan het in plaats van na vijf jaar al na drie jaar? Natuurlijk zal het zo zijn dat dienstverleners of aanbieders van inlogmiddelen in de komende jaren gefaseerd aan zullen sluiten op het stelsel. De vraag is of het na drie jaar al voldoende volgroeid is om dat te doen. We denken dat het effectiever is om het na vijf jaar te doen dan na drie jaar. We vinden het wel van belang dat er tussentijds monitoring plaatsvindt op de werking van het stelsel, om ervoor te zorgen dat we zien wie zich meldt als aanbieder van inlogmiddelen, hoe dat gaat, hoe dat werkt, enzovoorts, enzovoorts.

Dank voor het antwoord. Op zich is monitoring een goed idee. Is de staatssecretaris bereid om meteen een jaarrapportage naar de Kamer te sturen naar aanleiding van de monitoring?

Ja, zeker.

Dan de vraag van mevrouw Leijten over het rapport van Bits of Freedom. Zij maakte een punt en stelde niet per se een vraag. In dat onderzoek is vastgesteld dat een tiental gemeenten zich nog niet voldoende houdt aan de privacyrichtlijnen. Gelukkig gaan er dingen goed, maar er zijn ook nog zaken die niet goed gaan. Opvolging van adviezen van de toezichthouders worden nu verder uitgewerkt door deze gemeenten. Dat betekent dat er hard wordt gewerkt om de aanbevelingen van Bits of Freedom, die ik ondersteun, daadwerkelijk uit te voeren. Ik zal ervoor zorgen dat er een gesprek blijft tussen ons en de Vereniging van Nederlandse Gemeenten, om ervoor te zorgen dat de gemeenten die nog niet voldoen aan alle vereisten daadwerkelijk worden geholpen om dat wel te gaan doen.

Dan kom ik op de laatste vier korte blokjes. Allereerst een vraag van mevrouw Rajkowski: klopt het dat de keuze voor open dan wel closed source in lagere regelgeving terechtkomt en wordt voorgehangen? We hebben het conceptbesluit in december 2021 aan u voorgelegd. Daarin worden de verplichtingen van partijen opgenomen. Daarin wordt ook aangegeven welke belangen worden afgewogen. Er staat ook dat partijen voor de aangewezen processen open source moeten gebruiken. Verder is vastgelegd dat bij die aanwijzingen rekening wordt gehouden met veiligheid en continuïteit. We hebben dat dus inderdaad in de AMvB's aangegeven.

Dan is er de vraag van mevrouw Dekker over het interbestuurlijk toezicht. Het gaat vooral over de vraag of het mogelijk is om toezicht te houden op de publieke dienstverleners. Uiteraard is de vakminister verantwoordelijk voor interbestuurlijk toezicht. Bij BZK zijn wij dat voor de Rijksdienst voor Identiteitsgegevens en Logius, de partijen die de DigiD beheren. Voor gemeenten en waterschappen geldt dat de provincies op hen toezicht houden. Naar aanleiding van eerdere vragen vanuit de VNG en IPO heb ik de mogelijkheid besproken van een directer toezicht vanuit het Rijk om te zorgen dat dat beter en meer adequaat is, omdat het voor een aantal van de provincies en waterschappen heel lastig was om dat toezicht goed vorm te geven. We hebben daar met elkaar een oplossing voor gemaakt. Die ligt nu voor bij het bestuur van IPO en de VNG. Ik heb geen signalen dat ze daar niet mee zullen instemmen, maar verwacht nog wel een reactie. Ik zal zorgen dat uw Kamer dan daarover wordt geïnformeerd. Het idee is om dit toezicht op onderdelen wat meer centraal te leggen.

Dan was er nog de vraag van mevrouw Dekker of ik weet of gemeenten in staat zijn om de WDO tijdig te kunnen uitvoeren. Voor de aansluiting van gemeenten op het stelsel van het digitaal inloggen wordt een aansluitschema afgesproken en vastgelegd in een ministeriële regeling. Ik zal dat uiteraard in goed overleg met de dienstverleners doen. Dat aansluitschema gaat uit van een geleidelijke aansluiting van alle dienstverleners in de komende periode, in principe van 1 april 2023 tot 1 april 2026. Om hen daarbij te ondersteunen zorgen we voor aanvullende advisering. De start en doorlooptijd vanaf 1 april is vooral om te zorgen dat we daadwerkelijk gemeenten in staat stellen om aan te sluiten. We hopen natuurlijk dat zo veel mogelijk partijen dat zo snel mogelijk zullen doen.

Dan was er nog een vraag van mevrouw Dekker over big tech. Volgens mij heb ik die al beantwoord, maar ik loop het nog even door. Hoe zorgen we ervoor dat we allemaal niet alleen maar met middelen van de big tech kunnen inloggen? Dat kan alleen maar wanneer zij voldoen aan alle vereisten. Wij zullen er altijd voor zorgen dat er altijd ook een publiek inlogmiddel blijft, zowel voor inwoners als voor burgers en bedrijven. Die vraag was nog gesteld door de heer Bontenbal. Op die manier is het niet noodzakelijk om gebruik te maken van een privaat inlogmiddel, maar kun je ook een publiek inlogmiddel kiezen.

Dan is er nog de vraag van de heer Bontenbal hoe we onbetrouwbare partijen kunnen weren. Natuurlijk worden ze alleen als er wordt voldaan aan de toegangseisen. Die erkenning kan altijd worden geweigerd, als er sprake is van staatsveiligheid of cyberveiligheid. We toetsen vooraf en we zorgen dat er goed wordt gekeken naar deze partijen. Er zijn natuurlijk allerlei instrumenten om te zorgen dat partijen waarvan wij niet vinden dat die zouden kunnen meedoen, daadwerkelijk worden geweerd.

Dan kom ik op het laatste thema, opgebracht door een tweetal partijen, in ieder geval door GroenLinks. Het gaat over inclusie: is het voor iedereen mogelijk om mee te doen? We hebben aangegeven dat het altijd mogelijk moet zijn voor mensen om geen gebruik te maken van een digitale inlogmethode. U zei er nog bij: maar dan moet het ook nog wel goed geregeld zijn, zodat je niet als gevolg daarvan heel veel verschillende formulieren of heel veel verschillende loketten enzovoort, enzovoort. Dat moeten we goed doen. Dat is van belang, niet alleen in dit geval maar ook op allerlei andere vlakken. Als er sprake is van het gebruikmaken van digitale inlogmiddelen, is het van belang dat er een mogelijkheid is voor mensen om daar hulp bij te krijgen. Dat gebeurt nu bijvoorbeeld doordat mensen bij de bibliotheek terechtkunnen en daar geholpen kunnen worden. Ik vind het dus niet alleen van belang om een alternatief te hebben voor mensen die helemaal geen gebruik willen maken van die digitale methodes, maar ook om te zorgen dat mensen die dat wel willen maar hulp nodig om dat goed te kunnen doen, daarbij worden ondersteund. Dan ben ik volgens mij door alle onderwerpen heen.

Dank u wel. Mevrouw Bouchallikh, GroenLinks.

Fijn dat de staatssecretaris ook specifiek oog heeft voor deze groep. Mijn vraag ging nog wel over een zinssnede in de memorie waarin werd gesteld dat het "vooralsnog" mogelijk zou moeten blijven dat alternatieven mogelijk zijn: waarom is dat er überhaupt ingezet? Want ik hoor de staatssecretaris vaker zeggen dat dat überhaupt geen vraag is. Vandaar ook de verrassing en dat ik daar toch nog even bij stil wilde staan. Kan de staatssecretaris daar iets over zeggen?

Als dat woord er daadwerkelijk nog in staat, dan moeten we dat eruit halen, want de kern is dat het altijd gewoon mogelijk moet blijven om gebruik te maken van een niet-digitale manier om je zaken te doen met de overheid en daarnaast hulp te krijgen als je dat nodig hebt. Ik zou daar graag op terugkomen in de tweede termijn, maar als dat woord er nog in staat, dan moeten we ervoor zorgen dat het er niet meer in staat.

Dan wil ik de staatssecretaris bedanken voor het beantwoorden van de vragen. Daarmee zijn we aan het einde gekomen van de eerste termijn. Ik kijk even of er behoefte is aan een tweede termijn. Dat is het geval. Ik schors de vergadering voor een enkel moment en dan gaan we over naar de tweede termijn aan de kant van de Kamer.

Aan de orde is de tweede termijn aan de kant van de Kamer. Ik geef als eerste het woord aan mevrouw Leijten van de SP.

Ik moet nog even een woordje toevoegen.

Dank u wel. Dan gaan we naar mevrouw Dekker-Abdulaziz van D66.

Dank je wel.

Dank u wel. Dan gaan we naar mevrouw Rajkowski van de VVD. Gaat uw gang.

Dat zijn nieuwe mensen.

Dat zijn nieuwe mensen! De publieke tribune zat vol toen we begonnen met dit debat. Dat is misschien iets voor onszelf, maar goed.

Voorzitter. We zeggen dat het belangrijk is dat we delen van apps, codes en systemen online gaan zetten. Ik heb het dan over open source of open standaarden. Die kunnen er uiteindelijk aan bijdragen dat we juist meer zeggenschap hebben. De overheid wordt minder afhankelijk van een paar leveranciers doordat die codes voor een gedeelte openbaar zijn. Je kunt dan ook gevoeligheden detecteren en makkelijker patchen. Ik maak me nog wel zorgen over het hoe en wat. Wij zijn geen opensource-experts. Je merkt ook hier weer dat wij daar een beetje mee worstelen. Ik heb ondertussen wat op Twitter gegooid en ik heb daar wat leuke reacties op gekregen. Eén iemand gaf aan: bij open source is het belangrijk dat vrijwilligers niet de basis worden, maar een zinvolle toevoeging. Volgens mij is dat een beetje de kern van het debat dat wij net voerden over de community. Dus graag hoor ik nog wel van de staatssecretaris hoe zij dat dan gaat organiseren. Want daar zit het 'm voor ons uiteindelijk in. De VVD is helemaal geen tegenstander van open source, we vinden het een hele mooie tool, maar met "blindstaren op" bedoelen we dat we het wel goed met elkaar moeten regelen om het te laten slagen.

Voorzitter, mijn laatste vraag. Is DigiD eigenlijk open source of moet dat dan meer open source worden? Of wordt er voor de publieke oplossing een uitzondering gemaakt?

Dank u wel. U zei echt "leuke reacties op Twitter"? Dat is best bijzonder in deze tijd.

Mensen waren best aardig. Het kan, het kan!

Het zou mooi zijn als we vaker positief op Twitter zijn. Dan geef ik het woord aan mevrouw Van Weerdenburg van de PVV.

Dank u wel. Dan gaan we luisteren naar mevrouw Bouchallikh van GroenLinks.

Voordat u verdergaat, is er een vraag van mevrouw Leijten.

Ik heb het niet helemaal scherp. Ik was natuurlijk niet bij de eerdere wetsbehandeling. Misschien kan mevrouw Bouchallikh deze vraag ook niet beantwoorden, hoor. AMvB's een zwaardere voorhang geven is goed. Dan kan je eventueel nog wat doen in die voorhangtijd, al leidt dat vaak niet echt tot iets. Maar is het ook zo dat de ministeriële regelingen AMvB's zijn geworden? Of blijven het ministeriële regelingen? Want die gaan natuurlijk helemaal buiten ons zicht. Die worden gepubliceerd. Dat is precies waar de Raad van State op wijst. We zouden de ministeriële regelingen ook nog kunnen opwaarderen naar AMvB's die voorgehangen worden. Dan zou mijn motie kunnen vervallen. Ik heb net tijdens het debat die motie zitten typen, maar daar zouden we ook nog aan kunnen denken. Dat zou namelijk wel betekenen dat we hier een nieuw debat kunnen voeren zodra de ministeriële regeling af is. Tegelijkertijd blijft wel het punt staan: waar zeggen we nou precies ja tegen als we voor dit wetsvoorstel stemmen? Maar dat is eigenlijk een andere vraag. Mijn vraag is dus: zijn de ministeriële regelingen ook meegenomen in dat amendement over die AMvB's met zware voorhang? Als ik u daarin overvraag, dan moet u het ook zeggen hoor, want ik weet het ook niet. Ik zou het eigenlijk ook op orde moeten hebben.

Eén ding dat ik als beginnend Kamerlid heb geleerd, is dat je nooit moet bluffen. Ik ga dus niet doen alsof. Ik weet het niet. Dat is ook precies mijn dilemma. Ik ben dus ook blij met deze vragen, want ik ben constant aan het zoeken: wanneer is het genoeg, en hebben wij in het verleden voldoende stappen daarin gezet? Ik vind het bij deze wetsbehandeling, en ook bij eerdere wetsbehandelingen, oprecht moeilijk. Dan is er ooit een goed idee geweest, en dan wordt het uiteindelijk in gang gezet en zitten we hier te praten over iets waarvan ik denk: was dit nou de bedoeling? Dat zijn ook de vragen en de beoordelingskaders die ik meeneem in het afwegen hiervan, gelukkig ook met ondersteuning. Dat wilde ik nog wel even meegeven, want als ik de staatssecretaris hoor, zie ik wel dat er stappen vooruit worden gezet. Tegelijkertijd: als de Eerste Kamer iets terugstuurt omdat het nog niet voldoet, vind ik het toch ingewikkeld om te kijken in hoeverre het voldoende is ingesteld op wat daar is gezegd. Dat is ook gewoon een kwestie van nog niet helemaal de kunde hebben om dat in te schatten. Dat blijft een proces.

De motie.

Los daarvan, ongeacht de uitkomst, hebben wij wel een motie om er hopelijk aan bij te dragen dat het iets beter wordt dan het nu is. De motie gaat over toegankelijkheid. Die luidt als volgt.

Dan wil ik tot slot nog even herhalen wat ik eerder heb aangegeven. Ik heb de staatssecretaris vaker horen zeggen dat ze hier echt zorg voor zal dragen. Dat is voor mij een manier om het even vast te leggen. Dan hoop ik dat ik er niet meer opnieuw naar zal hoeven vragen.

Dank u wel.

Dank u wel. Er is een vraag van mevrouw Rajkowski over de motie, denk ik.

Niet om vervelend te doen, maar dit is volgens mij echt buiten de orde van de vergadering. Want anders kan ik ook nog wel allemaal onderwerpen in gaan brengen over het onderliggende wetsvoorstel of over het onderwerp ten brede. Volgens mij is het trouwens ook overbodig omdat we twee weken geleden over een soortgelijke motie hebben gestemd. Maar goed, ik ga niet over het geven van het oordeel. Maar volgens mij is dit toch echt buiten de orde van de vergadering, helaas.

Ik heb een suggestie voor wat u misschien kunt doen. Er komt nog een debat over de digitale zaken op hoofdlijnen. U zou de motie kunnen aanhouden, zodat er meer een debat over dit onderwerp gevoerd kan worden. Die suggestie geef ik u mee.

Ik wil toch wel even hierop reageren, voorzitter. De aanleiding voor mij om het hierover te hebben, is een zin die ik letterlijk heb geciteerd uit de memorie. Dan kunt u vinden dat het misschien niet in de reikwijdte van dit debat valt; daar kunnen de meningen over verschillen. Maar het komt wel uit een van de stukken die vandaag op de agenda staan. Dus vandaar dat ik de motie wel vandaag indien. Ik snap dat ik misschien een andere inschatting maak dan uzelf zou maken, maar het is wel wat ik heb gedaan.

Dat begrijp ik. Alleen is er volgens mij hier geen discussie over "wel of niet waar". Het gaat hier om een novelle. Dat betekent dat het enige waar wij het hier in de Tweede Kamer over gaan hebben, is wat de Eerste Kamer aan vragen heeft gesteld. Dat ging niet over dit onderwerp; volgens mij is dat gewoon vrij feitelijk het geval. Dat is niet om vervelend te doen, maar als we dit bij dit soort debatten gaan doen, dan voorzie ik een soort vrijheid van allerlei moties en instrumenten, terwijl we juist meer willen kaderen en focussen tijdens debatten. Dus ik doe het niet vanwege het onderwerp, maar ik vind het juist zo fijn als we debatten wat scherper kunnen voeren op wat er voorligt.

Dat snap ik heel goed en als we voortaan zo met elkaar gaan werken, wil ik daar best in tegemoetkomen, maar dan wil ik wel dat we dat allemaal doen. Dat is ook een beetje de vraag die ik soms heb, want ik heb één specifieke zin uit het stuk gehaald dat wel op de agenda staat en daar heb ik een motie over ingediend. Ik denk dat ik de motie nu wel handhaaf en dan zal ik de volgende keer misschien wat beter daarop letten. Ik hoop dat we dan met z'n allen gaan kantelen, want anders hangt het af van een of twee mensen hier. Ik denk dat dat ook niet is hoe het werkt.

Dank u wel. Dan gaan we naar de heer Bontenbal, CDA. Weet in ieder geval dat wij ook binnen de commissie voor de Werkwijze bezig zijn met kijken hoe wij omgaan met moties en appreciaties. Er gaat dus in ieder geval ook vanuit mij enige scherpte komen richting Presidium om te kijken hoe we het aantal moties met elkaar wat kunnen verminderen, maar dat staat even los van de discussie die net ontstond. De heer Bontenbal, gaat uw gang.

Dank u wel. Daarmee zijn we aan het einde gekomen van de tweede termijn van de kant van de Kamer. De staatssecretaris heeft aangegeven ongeveer tien minuten nodig te hebben om zich voor te bereiden.

Ik geef het woord aan de staatssecretaris voor haar tweede termijn.

Dit is eindelijk een soort van invulling, maar in de laatste zin kroop er toch weer iets bij. Het gaat om het publiceren van de broncode en de community met de beschrijving die de staatssecretaris zojuist gaf. Is daar dan ook nog bij verplicht dat de broncode gratis door anderen ...? Er mag dus wel een restrictieve licentie op zitten, als die community maar geregeld is.

Zeker. Het hoeft niet gratis te zijn. Het is ook niet altijd gratis. Er bestaat overigens wel gratis opensourcecode, maar het hoeft niet gratis te zijn. Daarmee hoop ik ook uw tweede vraag te hebben beantwoord; ik zou daarop terugkomen.

Dan de vraag van mevrouw Rajkowski of DigiD open source is. Dat is op dit moment niet zo. Het werkt niet volledig met opensourcesoftware. Dat komt omdat het op dit moment nog niet voor alle processen veilig kan worden gebruikt. Maar voor DigiD moet dit natuurlijk ook gaan gelden, net zo goed als dat voor andere inlogmiddelen geldt. Het ingroeipad daarvoor willen we in de komende tijd vormgeven.

Dan ga ik naar de moties. Ik begin met de motie op stuk nr. 10 van mevrouw Leijten, die zegt dat de ministeriële regeling eerst naar de Kamer moet worden gestuurd voordat de Kamer over het wetsvoorstel kan stemmen. Dat is eigenlijk een omkering van wat we normaal doen, namelijk dat er eerst een wet wordt gemaakt en dat daarna onderliggende wetgeving in de vorm van AMvB's of ministeriële regelingen volgt. Bij dit wetsvoorstel zijn dus ook AMvB's, die inmiddels al ter voorhang naar u zijn gestuurd. Het idee is dat we eerst beginnen met de contouren van de wet en die daarna verder invullen. Wat mij betreft is het dus ook niet verstandig om eerst de ministeriële regeling te maken en dan pas te stemmen over de wet. Ik begrijp heel goed dat het belangrijk is dat de ministeriële regeling voor jullie goed en inzichtelijk wordt, zodat jullie weten wat er precies wordt geregeld rondom open source, de community enzovoort. Ik wil daarom aanbieden dat ik de ministeriële regeling actief naar u zal sturen. Wanneer u vindt dat die ministeriële regeling niet voldoet aan de eisen die u daaraan zou willen stellen, kunnen we er daarna uiteraard met elkaar over van gedachten wisselen. Mijn voorstel is dus om de ministeriële regeling actief op te sturen, maar uiteraard nadat er eerst gestemd is over de wet. Ik wil deze motie dan ook ontraden.

Met dat voorstel van de staatssecretaris blijft het natuurlijk zo dat wij niet weten waar we ja tegen zeggen als we over de wet stemmen. Dat principiële punt hebben we daarmee niet opgelost. Maar ik zie ook wel dat de staatssecretaris een beweging wil maken. Bedoelt ze dan dat ze de ministeriële regeling naar ons stuurt als die af is en dat we dan ook nog iets kunnen wijzigen? Want volgens mij is het voorhangen van een ministeriële regeling heel moeilijk. Dan zou je er eigenlijk een AMvB van moeten maken en die moeten voorhangen. Als de staatssecretaris bereid is dat te doen bij nota van wijziging, dan houden we materieel wel zicht op wat er gebeurt.

Als wij met elkaar in debat gaan over de ministeriële regeling, over de dingen die we daarin regelen en over de definities en u het graag anders wil, dan moeten we dat gesprek natuurlijk kunnen voeren. Dan moeten we het ook kunnen wijzigen als het nodig is. Punt. Maar het is natuurlijk niet hetzelfde soort instrument als een wet. Maar nogmaals, ik vind het belangrijk, ook gehoord het debat van vandaag, dat wij en de mensen die met ons meekijken goed begrijpen wat er gebeurt. Het gaat namelijk om techniek, het is soms complex en er verandert veel in die wereld. We moeten zorgen dat niet alleen het ministerie, maar ook de Tweede Kamer en straks de Eerste Kamer goed zicht houden op wat er gebeurt. Het is dus ook mijn idee om daarover in debat te gaan, desgewenst, want u kan ook zeggen: ik vind het prima wat erin staat.

Maar dan zou ik dat wel zuiver willen regelen. Dan zou ik de staatssecretaris willen vragen om van deze ministeriële regelingen, die de hoofdelementen bevatten, algemene maatregelen van bestuur te maken en die voor te hangen. Dat betekent namelijk ook dat de Eerste Kamer zou kunnen zeggen daarover te willen spreken. U kunt een ministeriële regeling met ons bespreken, maar wij kunnen dat materieel niet afdwingen. Op het moment dat je een AMvB in een wet hebt, dan geldt dat gewoon tot in de lengte der dagen, ook als wij en de goedwillende staatssecretaris er niet meer zijn. Dan is het de systematiek van de wet. Ik vraag haar dus toch om het zo te doen. Als ze het niet op zo'n manier wil regelen, dan moet de Kamer dat denk ik doen. Maar dan moeten we wel bekijken of we het redden om volgende week te stemmen, want we hebben natuurlijk nog meer werk liggen. Maar goed, dat moeten wij dan even met elkaar regelen. Maar eigenlijk zou ik de staatssecretaris willen vragen om het zuiver te maken en met een nota van wijziging te komen.

Dat vind ik eerlijk gezegd weer een stap te ver. Nogmaals, ik vind het belangrijk dat we met elkaar goed kunnen volgen wat er in deze wetgeving gebeurt. Het is heel belangrijk dat dit goed geregeld is. Ik stuur de ministeriële regeling actief naar u toe. Sowieso is zo'n regeling openbaar. We kunnen daar dan het gesprek over hebben. Mevrouw Leijten kent mij als iemand die altijd goed luistert naar wat de Kamer zegt. Ik ga er dus ook graag met u over in gesprek. We kunnen het erover hebben mocht die ministeriële regeling niet voldoen aan de vereisten. Maar ik vind het onverstandig om het nu weer anders te gaan inrichten.

Mevrouw Leijten, tot slot.

Ik moet echt m'n best doen om m'n geduld niet te verliezen. De staatssecretaris zegt: ik wil het nu niet anders gaan doen. Nee, ze moet het doen zoals het staatsrechtelijk hoort! Dat betekent dat je een algemene maatregel van bestuur maakt. Dan waardeer je de controlefunctie van de medewetgever op, want die kan vervolgens zeggen: we willen voorhang, nahang of allebei. Die kunnen ook nog zwaar zijn. Dát is staatsrechtelijk juist. De staatssecretaris zegt: ik wil het nu niet anders doen. Maar het is niet de staatssecretaris die de route bepaalt. Het is een wet. Ik kondig aan dat we de motie indienen om het zelf op te waarderen. Maar dan ga ik er wel van uit dat de staatssecretaris hierbij gezegd heeft: die krijgt oordeel Kamer.

Ik geef geen oordeel Kamer over iets wat ik nog niet kan beoordelen of zeggen. Nogmaals, de systematiek van de wet is inderdaad dat er zowel AMvB's als ministeriële regelingen zijn, met het oogmerk dat we op basis van veranderingen in de techniek of anderszins andere aanbieders in staat stellen om dat goed te regelen. Het verzoek van de Kamer is om daarover goed met elkaar van gedachten te wisselen. Daar wil ik uiteraard graag invulling aan geven. Dat zou ik willen doen op de manier zoals ik heb aangegeven. Daarmee ontraad ik de motie.

Dan ga ik naar de motie op stuk nr. 11 van mevrouw Dekker-Abdulaziz. Zij wil open source niet als minimale vereiste in de wet, maar kiest voor het principe "open source, tenzij". Wij gaan zo veel mogelijk in op het opensourceprincipe en de verplichting, afgezien van gevallen waarin de veiligheid of de continuïteit in het geding is. Ik ben het eens met mevrouw Dekker en ik zou deze motie dan ook oordeel Kamer willen geven.

Dan de motie van mevrouw Bouchallikh op stuk nr. 12. Daarin wordt de regering verzocht er zorg voor te dragen dat er altijd een mogelijkheid zal bestaan tot niet-digitale identificatie. In april is het wetsvoorstel Modernisering elektronisch bestuurlijk verkeer door deze Kamer aangenomen. In dat wetsvoorstel zijn twee artikelen voorgesteld die gezamenlijk het recht geven op niet-elektronisch verkeer met bestuursorganen. Dat betreft ook de niet-digitale identificatie. Als dat wetsvoorstel wet wordt, krijgen burgers daarmee dus dat recht. Wat mij betreft is de motie daarmee overbodig. Ik zal de motie oordeel Kamer geven, omdat zij in lijn ligt met wat wij willen.

Is het dan misschien mogelijk om de motie over te nemen? Ik kijk even naar de collega's of daar bezwaar tegen bestaat.

Dan wil ik de motie wel laten overnemen, want we moeten niet gaan stemmen over iets wat al geregeld is. Dan hoeven we het er niet nog een keer over te hebben.

Prima.

Ik kijk even of daar bezwaar tegen is. Dat is niet het geval.

De staatssecretaris heeft mijn motie op stuk nr. 10 ontraden. Ik heb haar gevraagd of zij de ministeriële regeling tot een AMvB met voorhang wil maken. Ik heb aangekondigd dat ik dat zelf zal doen. Daarmee is deze motie eigenlijk overbodig geworden. Blijft staan dat we niet weten waar we ja tegen zeggen, maar als dit wordt aangenomen, krijgen we meer grip op wat er gebeurt in de uitwerking van de wet. Ik denk dat ik de motie kan intrekken.

Dank u wel.

Dan is er het amendement van de leden Leijten en Dekker-Abdulaziz. Dat amendement scherpt aan dat private aanbieders geen gebruik mogen maken van de gegevens voor commerciële doeleinden. Ze mogen die gegevens ook niet verhandelen. Overigens geldt dit dus ook voor de verbetering van dienstverleningsactiviteiten. Ik geef het amendement graag oordeel Kamer. Het verscherpt het verhandelsverbod.

Daarmee heb ik de vraag beantwoord en de moties en amendementen behandeld. Ik denk dat het goed was om in dit debat goed in te gaan op die techniekelementen. Ik vind het goed dat we daar in de komende tijd goed naar blijven kijken. Het is voor ons allemaal van belang dat we heel scherp hebben wat we afspreken en wat we wel en niet regelen, zeker als het gaat over onderwerpen die te maken hebben met de gegevens en privégegevens van burgers en met de dienstverlening van onze overheid. Wij brengen daarin verbeteringen aan en wij willen ervoor zorgen dat er geen fouten in worden gemaakt. Ik hoop dat deze wet met alles wat wij besproken hebben tot een goed einde kan worden gebracht. Dat zal ergens deze of volgende week gebeuren.

Dank u wel. Daarmee zijn we aan het einde gekomen van deze beraadslaging. Ik dank de staatssecretaris en de woordvoerders. Ik vond het een mooi debat. Fijn dat ik dat op mijn verjaardag heb mogen leiden. Ik zou nergens anders willen zijn dan hier. Dank aan de mensen op de publieke tribune. Dank aan de ondersteuning.

De planning is dat we volgende week dinsdag stemmen over het wetsvoorstel, het amendement en de motie. Als dat anders wordt, dan hoor ik dat volgende week wel. Ik schors de vergadering tot 19.10 uur. Dan beginnen we met een andere wetsbehandeling.