26 643 Informatie- en communicatietechnologie (ICT)

Nr. 366 VERSLAG VAN EEN ALGEMEEN OVERLEG

Vastgesteld 20 juli 2015

De vaste commissie voor Binnenlandse Zaken en de vaste commissie voor Veiligheid en Justitie hebben op 20 mei 2015 overleg gevoerd met Minister Plasterk van Binnenlandse Zaken en Koninkrijksrelaties over:

  • de brief van de Minister van Binnenlandse Zaken en Koninkrijksrelaties d.d. 29 januari 2014 ter aanbieding van de vierde editie van de i-NUPdate (Kamerstuk 26 643, nr. 304);

  • de brief van de Minister van Binnenlandse Zaken en Koninkrijksrelaties d.d. 7 oktober 2014 inzake een afschrift van het antwoord aan de Oogvereniging inzake het toepassen van WCAG 2.0. / webrichtlijnen 2.0. ten behoeve van toegankelijkheid websites publieke organen;

  • de brief van de Minister van Binnenlandse Zaken en Koninkrijksrelaties d.d. 19 december 2014 inzake informatieveiligheid bij de overheid (Kamerstuk 26 643, nr. 344);

  • de brief van de Minister van Binnenlandse Zaken en Koninkrijksrelaties d.d. 24 februari 2015 inzake kosten die gemoeid zijn met de uitvoering van versterking van DigiD en de voortgang met betrekking tot het oplossen van onvolkomenheden op de naleving van de Beveiligingsnorm DigiD (Kamerstuk 26 643, nr. 352);

  • de brief van de Minister van Binnenlandse Zaken en Koninkrijksrelaties d.d. 24 februari 2015 ter aanbieding van het eindverslag i-NUP (Kamerstuk 26 643, nr. 351);

  • de brief van de Minister van Binnenlandse Zaken en Koninkrijksrelaties d.d. 9 februari 2015 inzake de voortgang eID (Kamerstuk 26 643, nr. 349);

  • de brief van de Minister van Binnenlandse Zaken en Koninkrijksrelaties, d.d. 21 april 2015 inzake mogelijkheden om tot één gemeenteloket op internet te komen (Kamerstuk 26 643, nr. 357);

  • de brief van de Minister van Binnenlandse Zaken en Koninkrijksrelaties d.d. 24 april 2015 met de voortgangsrapportage Operatie BRP april 2015 (Kamerstuk 27 859, nr. 78).

Van dit overleg brengen de commissies bijgaand geredigeerd woordelijk verslag uit.

De voorzitter van de vaste commissie voor Binnenlandse Zaken, Berndsen-Jansen

De voorzitter van de vaste commissie voor Veiligheid en Justitie, Ypma

De griffier van de vaste commissie voor Binnenlandse Zaken, Van der Leeden

Voorzitter: De Caluwé

Griffier: Verstraten

Aanwezig zijn vier leden der Kamer, te weten: De Caluwé, Klein, Oosenbrug en Verhoeven,

en Minister Plasterk van Binnenlandse Zaken, die vergezeld is van enkele ambtenaren van zijn ministerie.

Aanvang 19.00 uur.

De voorzitter: Ik open het algemeen overleg ICT-aangelegenheden, digitale dienstverlening door de overheid. Ik heet de Minister en de mensen op de tribune van harte welkom. Op dit moment zijn er vier leden aanwezig, inclusief mijzelf. We hebben twee uur de tijd. Ik hanteer een spreektijd van vier minuten en twee interrupties per fractie.

De heer Klein (Klein): Voorzitter. Digitale dienstverlening door de overheid is een belangrijk onderwerp, omdat de burger gebruik moet kunnen maken van alle voorzieningen. De burger moet dit zo snel mogelijk ook met de moderne technieken via het internet kunnen doen en hij moet dit veilig kunnen doen. Op de agenda staan verschillende brieven. Ik pik er een paar uit.

Ik begin met de discussie over één gemeenteloket. In de brief van de Minister wordt duidelijk aangegeven dat er nog wat afstand is; dit ook naar aanleiding van de reactie van de VNG. Dat is wat mij betreft ook heel logisch. Gemeenten moet je volledig vrijlaten en de ruimte geven om initiatieven te nemen. Zo is de opzet van Smart City Rotterdam interessant. Hierbij wordt op een eigen manier een invulling gegeven aan het optimaliseren van de digitale dienstverlening voor de burgers. Dit geeft een extra mogelijkheid, een stimulans, om de verkiezingen tot website van het jaar van de gemeente, te continueren. Diversiteit is prima. We moeten voorkomen dat het een keurslijf wordt. Het is wel belangrijk dat we doorkoppelen en doordenken, met bijvoorbeeld de Belastingdienst en de Sociale Verzekeringsbank (SVB), zodat de volgende stap voor de burger mogelijk is zonder dat hij naar een andere website moet gaan. Dit staat ook in de reactie van de VNG.

Door mijn werkbezoek namens de commissie voor Europese Zaken aan Estland ben ik bijzonder getriggerd om aan het debat van vandaag mee te doen. Daar heb ik op indringende wijze gezien hoe de Esten e-herkenning, zeg maar het Nederlandse DigiD-systeem, oplossen en opzetten. Een van de dingen die ik daar erg opvallend vind en die ik in het Nederlandse verhaal niet terugzie, is dat het gehele systeem is omgedraaid. De Esten gaan uit van het feit dat gegevens van burgers het eigendom van die burgers zijn en niet van de databeheerder, de databanken. Het maakt niet uit waar de gegevens zitten, bij Belastingdienst, gemeente, rijksoverheid, SVB, UWV of zorgverzekeraars. Burgers kunnen zelf bepalen wat de mogelijkheden zijn. Dit is een wezenlijk punt en ik wil het graag aan de Minister voorleggen. Het betreft niet alleen techniek, maar het is ook een juridisch vraagstuk en een wetgevingsvraagstuk. Wie heeft de rechten op de gegevens? Vanuit een vrijzinnig perspectief zul je het eigendom daarvan altijd bij de burger moeten laten.

In dit verband heb ik een vraag over DigiD. DigiD komt aan de orde in de voortgangsrapportage. Is er afstemming tussen DigiD en de komende uniformering binnen de EU-standaarden, zodat de systemen die ontwikkeld worden in andere lidstaten, ook hier passen en andersom? Kun je je DigiD bij grensoverschrijdende arbeid actief gebruiken, door bijvoorbeeld gebruik te maken van je DigiD in Duitsland?

Tot slot nog een Ests idee waarop ik graag een reactie van de Minister krijg: de ontwikkeling die vorige week is gelanceerd, het systeem van e-residency, e-ingezetenen om het zo maar uit te drukken. Je bent niet meer gekoppeld aan je land om je identiteit te hebben, maar je kunt er wel een heel groot voordeel van hebben. In de Estse situatie levert het bepaalde voordelen op. Wellicht kunnen we daar als Nederland ook iets mee.

Mevrouw Oosenbrug (PvdA): Voorzitter. Ik begin met het punt dat ik al in eerdere debatten heb gemaakt: de mogelijkheid om te komen tot een gezamenlijk uniform digitaal loket voor gemeenten. De Minister heeft eerder toegezegd alle mogelijkheden en de wenselijkheid hiervan te onderzoeken. Daarvan heeft hij ons schriftelijk verslag gedaan. Als ik eerlijk ben, vind ik die brief teleurstellend. De Minister lijkt de indruk te wekken dat die ene uniforme website langzamerhand vanzelf ontstaat. Verder willen gemeenten hun website blijven gebruiken voor communicatie. Ze willen daarom de ruimte om hun eigen website te bouwen. Gemeentelijke websites hoeven van mij echt geen eenheidsworst te worden. Ik heb veel ervaring in gemeenteland en begrijp de mogelijkheden om je website te gebruiken voor onder andere communicatie heel goed. Ik ken een mooi voorbeeld uit Amsterdam, waarbij je je kon aansluiten bij een collectieve verzekering. De inschrijving ging open en de website was down. Mensen konden zich niet meer inschrijven. Men probeerde het nog een keer en nog een keer. Op maandag werkte de site weer, maar was de inschrijving gesloten. Toen was het «jammer, maar helaas». Dat is heel vervelend. Het is leuk dat de overheid dit soort zaken bedenkt en dat mensen zich via een website ergens voor kunnen aanmelden, maar dan moet het wel werken. En als het niet werkt, kun je niet tegen mensen zeggen «jammer, maar helaas». Dat is wel wat er nu gebeurt. Ook moet je per gemeente op een andere plek zijn voor het aanvragen van een rijbewijs. In Rotterdam staat dit links, in Amsterdam rechts. Stel dat je gaat verhuizen, dan ben je op een gegeven moment de weg kwijt. We zijn niet allemaal even digivaardig.

Ik heb het idee dat de weerstand tegen het uniforme digitale loket ontstaat omdat die de heilige, lokale autonomie zou schenden. Ik word daar een beetje boos om. Er valt goed een uniform systeem te bouwen, waarmee we kosten kunnen besparen en dat veiliger, gebruiksvriendelijker en betrouwbaar is. Zulke voordelen afhouden omdat je dan de autonomie zou aantasten, is niet goed te verdedigen.

De heer Klein (Klein): Mevrouw Oosenbrug geeft aan dat het kosten zou kunnen besparen. Is zij er een voorstander van dat het Rijk alle kosten voor de gemeentelijke ontwikkeling voor zijn rekening neemt?

Mevrouw Oosenbrug (PvdA): Nee, want dit is een gemeentelijke oplossing. Je kunt die wel vanuit het Rijk aansturen en zorgen dat er een uniforme website komt. Er wordt op dit moment bij gemeenten ongelooflijk veel geld uitgegeven aan websites. De ene gemeente heeft er € 300.000 voor over, de andere gemeente misschien € 10.000. Als je in een gemeente woont waarin de gemeenteraad het niet zo heel belangrijk vindt, dan heb je een website die niet goed beveiligd is. Dat lijkt me niet de bedoeling.

De heer Klein (Klein): Dat begrijp ik, hoe zit het met het principe «wie bepaalt, betaalt», als het Rijk, het Ministerie van Binnenlandse Zaken, dit moet aansturen? Dan hoeven de gemeenten die kosten niet meer te maken, omdat het allemaal landelijk gebeurt. Staat de Partij van de Arbeid dit voor?

Mevrouw Oosenbrug (PvdA): Nee, want de overheid bepaalt al. Op de website van de gemeente moet je inloggen met een DigiD. Dat is vanuit de overheid opgelegd en de gemeenten moeten daaraan voldoen. Daar zijn ook audits voor. Ook zijn er afspraken over gemaakt met de VNG. Ik zie niet in waarom de kosten door de rijksoverheid betaald moeten worden, als die overheid bepaalt dat er een reguliere website moet komen en dat de achterkant van de website zo ingericht moet zijn dat deze voor elke burger op een veilige manier te benaderen is. De gemeenten betalen nu ook en ze krijgen nu ook regels opgelegd, ook in overleg met de VNG.

Dat er achter het uniforme loket keuzes blijven in het gemeentelijk beleid en de aangeboden dienstverlening staat voor de Partij van de Arbeid als een paal boven water. Gemeenten maken keuzes die aansluiten bij de lokale situatie. Een uniform digitaal loket kan ook helpen bij het oplossen van het probleem van de ontoegankelijke website, waar het College voor de Rechten van de Mens ons nog eens fijntjes op wees. Slechts 7% van de gemeentelijke websites voldoet aan de eis voor toegankelijkheid. Ik heb hierover vandaag schriftelijke vragen gesteld met mijn collega Manon Fokke. Ik ga er dus niet verder op in, maar het is wel een punt van aandacht. Waar de Minister nu antwoordt dat het uniforme gemeenteloket zich langzamerhand wel vormt, wil ik dat hij een actieve rol gaat spelen. Het is mooi als dat in samenwerking met gemeenten kan. Als de hang naar de gemeentelijke autonomie daarvoor te groot is, wil ik best overwegen de Minister te helpen in de vorm van een motie. Daarnaast wil ik van de Minister een reactie op het beschamend lage percentage van toegankelijke gemeentelijke websites. Er wordt al heel lang aan gewerkt, maar er lijken nauwelijks vorderingen te worden gemaakt. Het lijkt erop dat de vraagtekens die ik eerder zette bij het «pas toe of leg uit»-principe bewaarheid zijn. We hebben hierover al eerder gesproken. Ik stelde indertijd de vraag aan de Minister of het niet te veel «leg uit» zou worden.

Een gemeentelijk loket kan ook helpen om de kosten voor beveiligen en bijbehorende audits te verminderen. De Minister wil bekijken of de eisen en audits meer gelijkgeschakeld kunnen worden. Dat lijkt me een logische zaak, dus hij heeft mijn hartelijke steun hiervoor. Kan een uniform loket bijdragen aan een vermindering van verplichte onderzoeken en audits?

Verder geeft de Minister aan dat de beveiliging plaats moet vinden op basis van verplichtende zelfregulering. Dat is een verwarrende term, ook na het lezen van de brief. Ik hoor graag van de Minister wat de samenhang tussen verplichtend en zelfregulering is. Verder geeft hij aan dat er verantwoording afgelegd zal worden via onder andere websites als waarstaatjegemeente.nl. Op die website vind ik echter niets over gegevensbescherming. Hoe wordt dit effectief?

De heer Verhoeven (D66): Voorzitter. De Rekenkamer heeft vandaag een vernietigend oordeel geveld over de beveiliging van DigiD door deze Minister. DigiD voldoet niet aan de normen van het Nationaal Cyber Security Centrum (NCSC). De getroffen maatregelen hebben de belangrijke beveiligingsrisico’s niet weggenomen. Het is bijzonder kwalijk dat de Minister blijkbaar nog steeds een loopje neemt met de veiligheid van zeer gevoelige gegevens van miljoenen Nederlanders. Er is wellicht op dit moment geen materieel risico, maar dat kan ieder moment ontstaan. Als we dan pas investeren om de gaten te dichten, zijn we te laat. Kan de Minister garanderen dat de Rekenkamer volgend jaar zegt dat er wel een positief oordeel mogelijk is over de veiligheid van DigiD?

Het kabinet heeft gezegd dat in 2017 alle burgers en bedrijven hun zaken digitaal moeten kunnen afhandelen met de overheid. De Minister heeft al eerder gezegd dat we dit waarschijnlijk niet gaan halen. Wanneer kan het wel? Ik sluit me op dit punt aan bij de vraag van mijn collega Klein over Estland en e-Estonia, de manier waarop de Estse regering de digitale dienstverlening heeft geregeld. Het is opvallend dat een Kamerbrief van 9 februari heel algemeen is over de tijdpaden met betrekking tot de digitalisering van de overheid. Er staan steeds termen als «de komende periode», «eind 2015», «in de loop van 2016». Dat snap ik wel, want dat past bij de toezegging in het algemeen overleg van vorig jaar om de Kamer betrokken te houden bij de te maken keuzes. In het Digiprogramma 2015 van de Nationaal Commissaris Digitale Overheid (NCDO) is het op bladzijde 44 en verder echter al een stuk concreter. Daarin staat dat voor de overheid en het eID-stelsel heel concreet allerlei wetgeving wordt voorzien, wie betrokken wordt en wat de stand van zaken is. Waarom is dit niet aan de Kamer gemeld? Waarom is het Digiprogramma 2015 niet aan de Kamer toegestuurd? Dat was een mooie aanvulling geweest op de eID-stelselbrief die we eerder kregen. Waarom heeft de Minister de Kamer overgeslagen in een aantal stappen die zijn gezet?

We hebben ook het rapport van de onderzoekscommissie-ICT van de Tweede Kamer ontvangen. Daarin staat de volgende passage: «Kortom, de commissie constateert dat de NCDO geen bevoegdheden heeft waarmee hij zijn taaie opdracht kan uitvoeren, onder meer om een generieke digitale infrastructuur voor de e-overheid tot stand te brengen.» Als je kijkt naar de rol van de NCDO bij de dienstverlening, identificatie en authenticatie, dan lijkt het er echter niet op alsof er ook maar iets veranderd is aan die rol. Waarom niet? Waarom is het advies van de commissie van onze eigen Tweede Kamer in de wind geslagen, terwijl het zo’n dringend advies is?

Ik kom bij de elektronische identificatie, misschien wel het belangrijkste punt op de agenda. Het kabinet wil dat er binnen een eID-stelsel naast private middelen ook een publiek middel is voor transacties in het burgerservicenummerdomein. Vanuit de online-detailhandelsbranche komen nu allerlei vragen en ook heel kritische geluiden. Deze branche wil graag een publiek middel. Dat garandeert namelijk dat men allerlei gevaren met betrekking tot het betalen onder een valse identiteit beter kan uitsluiten. De branche ziet graag dat de overheid haar verantwoordelijkheid neemt in het ter beschikking stellen van een elektronische identificatie. Men moet 100% dekkingsgraad kunnen aanbieden en een marginale kostprijs rekenen en de marktpartijen zullen niet in staat zijn om dit te doen. Dat kan alleen de overheid. De detailhandel trekt een parallel met de fysieke paspoorten. Is het nodig om in de private sector een zwaar identificatiemiddel te gebruiken? Hebben mensen wat de Minister betreft ook het recht op de mogelijkheid om zonder volledige gegevens aankopen te doen? Hoe ver wil de Minister gaan in het altijd vragen om een bepaalde mate van identificatie? Hoe zouden we bij het gebruik van een publiek middel de proportionaliteit kunnen inbouwen? De laatste vraag is misschien wel het belangrijkste: hoe ziet de Minister de rol van de overheid bij het ter beschikking stellen van een goed werkend elektronisch identificatiemiddel?

Voorzitter: Verhoeven

Mevrouw De Caluwé (VVD): Voorzitter. Bij het doornemen van alle informatie over de diverse onderwerpen die vanavond op de agenda staan, heb ik mezelf steeds dezelfde vragen gesteld. Is het duidelijk wat precies het einddoel is van een programma of een traject? Hoe wordt dit einddoel bereikt? Wat is de deadline? Wat zijn daarbij de voorwaarden? Er zijn afgeronde projecten die mij niet bepaald gerust stellen, bijvoorbeeld de Generieke Digitale Infrastructuur (GDI). Het programma is afgerond, maar heeft een aantal losse eindjes. De Minister schrijft dit zelf ook. De meeste bouwstenen zijn gerealiseerd. De aansluiting van de GDI is gereed, maar niet alle overheidsorganisaties gebruiken de GDI. Daaraan moet nog hard worden gewerkt. Als de systemen wel zijn aangesloten maar nog niet worden gebruikt, heb je er per saldo vrij weinig aan. Wat is de actuele stand van zaken in de digitalisering van de overheid? Hoeveel gemeenten of andere overheidsorganisaties hebben GDI nog niet in gebruik? Hoe wordt dit bewerkstelligd?

Hetzelfde geldt voor de informatieveiligheid. Daarvoor is een taskforce opgericht, de Taskforce Bestuur en Informatieveiligheid Dienstverlening (BID). Het is bijvoorbeeld niet duidelijk hoe de veiligheid bij overheidsorganisaties anders dan gemeenten wordt gemonitord. Op basis waarvan wordt de veiligheid gemonitord nu ook de eisen voor informatieveiligheid, die nog in wetgeving wordt vastgelegd, niet duidelijk zijn? De Minister geeft aan dat hij zich hierover gaat buigen. Hoeveel organisaties zijn inmiddels aangesloten op dit systeem van zelfregulering, dat tenslotte verplicht is?

De Algemene Rekenkamer heeft een paar keer onvolkomenheden geconstateerd in DigiD. De Minister geeft in zijn brief aan dat de onvolkomenheden een schadepost van enkele tienduizenden euro’s opleveren, terwijl het repareren van de onvolkomenheden, de versterking van DigiD, minimaal 15 miljoen gaat kosten. De Minister ziet derhalve af van een upgrading van het beveiligingsniveau van DigiD. De gebruikmakende organisaties moesten voor 1 mei van dit jaar de rapportage over het ICT-Beveiligingsassessment DigiD aanleveren. Wat zijn hiervan de eerste bevindingen? Zijn die voor de Minister aanleiding om zijn oordeel te herzien? Zonder de bevindingen kunnen we er vrij weinig over zeggen.

De VVD is te spreken over het feit dat de Minister eind dit jaar pilots gaat draaien met eID, met publieke en private identificatiemiddelen. Dit is in lijn met de bevindingen van de commissie-Elias. Het is geen onoverzichtelijk megaproject, maar er worden zinvolle en kleine stappen gezet. De brief hierover is echter veel te algemeen. Ik kan niet vinden wat het SMART geformuleerde einddoel van de pilots is of wat de randvoorwaarden of het tijdsbestek zijn. Als we eind van dit jaar met pilots willen starten, moeten deze voor de zomer volstrekt helder zijn. Dan moet ook voor alle betrokken partijen duidelijk zijn dat succesvolle uitvoering van een pilot niet direct recht geeft op het verkrijgen van een opdracht. Kan de Minister voor de zomer een brief naar de Kamer sturen, waarin de doelstellingen en randvoorwaarden voor de invulling van de pilots zijn vastgelegd, zodat pilots niet stranden op onduidelijke afspraken en mogelijk zelfs privacy-issues opleveren? Wat zijn de afspraken over de financiële implicaties voor de pilots? Hoeveel pilots worden er gedraaid? Hoe worden deze gemonitord? Ook krijg ik graag de toezegging dat de pilots vooraf worden getoetst door het nieuwe Bureau ICT-toetsing (BIT).

Tot slot heb ik een vraag over de Basisregistratie Personen (BRP). De Minister heeft aan de Kamer geschreven op welke wijze hij de kritiekpunten uit het rapport van de tijdelijke commissie-ICT omzet in acties, om dergelijke problemen in de toekomst te voorkomen. Er lijkt een veel strakkere sturing op het programma te zitten. Toch voorziet de Minister door omstandigheden enige uitloop van het project. Heeft hij er vertrouwen in dat die uitloop met het aanpakken van de risico’s daarop wordt voorkomen? De Minister heeft de boerenverstandregels in zijn brief van 6 maart toegepast op de BRP. Is hij bereid dezelfde toets ook door het nieuwe BIT te laten doen?

Voorzitter: De Caluwé

Minister Plasterk: Voorzitter. Ik begin mijn beantwoording met de twee onderwerpen waarover door alle commissieleden ben gesproken. Dat zijn het gemeentelijke loket, de uniforme gemeentelijke website, en DigiD en eID, de opvolger van DigiD. Daarna beantwoord ik de resterende vragen naar beste vermogen.

Allereerst een onderwerp waarover verschillende opvattingen zijn geuit, als ik goed heb geluisterd: de vraag of er één uniforme gemeentelijke website moet zijn. Ik ben het eens met de overwegingen van mevrouw Oosenbrug. Om twee redenen lijkt het heel logisch dat 393 gemeenten in Nederland niet allemaal het wiel gaan uitvinden voor de architectuur van de website. Het kost in de eerste plaats 393 keer geld om die te ontwikkelen, waarbij het soms niet goed gaat, zowel in de uitvoering als in de beveiliging of de toegankelijkheid. Waarom zou je dat doen? In de tweede plaats zijn we allemaal burger van één gemeente, maar hoeveel Nederlanders zijn er niet die in de ene gemeente wonen en in de andere gemeente werken? Die weten precies waar ze het formulier voor hun omgevingsvergunning moeten vinden op de website op hun werk, als ze daar wat willen bekijken. Als ze thuis proberen te navigeren over de website van hun woongemeente, zit het weer heel anders in elkaar. Vanuit het oogpunt van dienstverlening naar de burger lijkt uniformering me voor de hand liggen. Het is vaak zoeken op websites, overigens niet alleen op die van gemeenten, maar ook bij banken et cetera. Als je het één keer weet, moet je een jaar later weer opnieuw zoeken. Dat is in ieder geval mijn ervaring. Waarom zou je het niet zo veel mogelijk proberen te uniformeren? Dat gaat volgens mij helemaal niet ten koste van de vrijheid van presenteren. Er is niets tegen dat de website van gemeente X begint met een heel fancy ontvangstpagina met een filmpje of wat dan ook. Als je klikt, ga je naar de achterliggende website met de structuur die je herkent. Dat zou ideaal zijn. Ik heb bij de gemeenten aangekaart of dit een verstandig idee is. Het antwoord daarop heb ik beschreven in de brief. Gemeenten benadrukken dat dit onder de gemeentelijke autonomie valt. Daar moet ik als Minister van Binnenlandse Zaken, verantwoordelijk voor de opzet van onze staat, goed naar luisteren. Het Rijk kan niet zo maar zeggen dat het een onverstandige beslissing is, dat het Rijk er goed over na heeft gedacht en dat het anders moet. Dat deel ik met mevrouw Oosenbrug. Als we dat wel doen, wijzen gemeenten onmiddellijk op artikel 2. Daarin staat dat de consequenties van rijksbeleid door het Rijk moeten worden gedragen. Dan kom je in een heel ander soort discussie. Met instemming neem ik waar dat een aantal gemeenten een ICT-samenwerkingsverband hebben opgericht onder de naam Dimpact, waarin ze proberen de optie van één kernwebsite nader te onderzoeken. Dat lijkt mij een interessante ontwikkeling. Ik kan me voorstellen dat gemeenten zich daarbij aansluiten. Idealiter vragen in verschillende gemeenten gemeenteraadsleden het college waarom er aparte kosten worden gemaakt en of ze hun burgers niet beter helpen door het samen te doen.

Daarnaast worden veel gemeentelijke diensten en producten op vergelijkbare wijze aangevraagd en geleverd. Daaraan wordt gewerkt in samenspraak met het Rijk, de VNG, het Kwaliteitsinstituut Nederlandse Gemeenten (KING) en EZ. We ontwikkelen een gezamenlijk projectvoorstel om tot een generieke formulierenvoorziening voor gemeenten te komen. Dat zou al schelen. Dat is een proof of concept, waarbij elektronische formulieren voor ondernemers via een centrale voorziening worden aangeboden. De authenticatie en het voor-invullen met bij de overheid bekende gegeven wordt centraal gedaan. Dat is een belangrijke service. Daardoor wordt de elektronische dienstverlening bevorderd en hoeven gemeenten die kosten individueel niet meer te maken. Als dit proof of concept slaagt, ga ik opnieuw naar de VNG om haar te vragen te overwegen die formulieren ook voor alle burgers centraal aan te bieden. Dit zijn de stappen die plaatsvinden in de gemeentelijke sector richting een uniforme kernwebsite. Uniformiteit betekent niet dat het allemaal Noord-Korea wordt, in de zin dat alles hetzelfde moet zijn. Gemeenten kunnen daarbinnen veel doen aan vormgeving en de ontvangstpagina et cetera. Ik blijf daarover met hen in gesprek.

Mevrouw Oosenbrug vraagt een reactie op het feit dat maar 7% van de gemeentelijke websites toegankelijk zou zijn. Het onderzoek waarnaar wordt verwezen, bevat verschillende cijfers. We moeten nu niet over die cijfers discussiëren of over de manier waarop ze zijn vastgesteld. Ik herken wel dat 60% van de gemeenten actief werkt aan de toegankelijkheid van hun website. Dat blijkt ook uit het register dat ik heb gemaakt. Als ik «ik» zeg, bedoel ik «wij», en als ik «wij» zeg bedoel ik «zij», de mensen van BZK; laten we het zo afspreken. Wij hebben het register gemaakt op webrichtlijnen.nl. De gemeenten passen de webrichtlijnen toe. Het Nederlandse model is overgenomen in een concept-Europese richtlijn voor toegankelijke overheidswebsites. Men heeft dus waardering voor de manier waarop we dit doen. Er is voortuitgang geboekt. Toch ben ik het wel eens met het college dat veel gemeenten meer zouden moeten doen. Ik wil een stok achter de deur hebben. Daarom neem ik in het voorgenomen wetsvoorstel over de GDI een verplichting op om de websites toegankelijk te maken. Het wetsvoorstel gaat volgend jaar spelen. Het is een stok achter de deur, want het liefst heb ik dat al zo veel mogelijk voordien is gedaan. In dit wetgevingstraject blijf ik in overleg met het college, onder andere over de resultaten die dit jaar op dit punt worden geboekt.

Ik ga over naar elektronische identiteit, DigiD en de pilot met het volgende level eID, een van de grote onderwerpen waarover de meeste woordvoerders hebben gesproken. Voor die pilot moeten we te zijner tijd nog eens een naam verzinnen. Het is een werktitel. Met alle Engelse «e’s» en «i’s» is het me nooit helemaal duidelijk of het een Nederlandse «i» of «e» is. Het is allemaal door elkaar gehusseld, maar we zullen het nog even met deze aanduiding moeten doen. Het huidige DigiD-stelsel neemt een grote vlucht. Ik heb hier een glanzende folder, zoals altijd bij deze gelegenheden, waarin je het gebruik ziet toenemen. Dat gaat de goede kant op.

Vervolgens moeten we inderdaad de beveiliging op DigiD vergroten. Een van de opties daarbij is het gebruik van sms-authenticatie. Dat is een relatief duur systeem, omdat je iedere keer de sms’en moet betalen. Binnen het kader van DigiD werken we nu aan twee mogelijkheden om DigiD veiliger te maken zonder sms. Met excuus voor alle afkortingen: de eerste is het Time-based One-time Password Algorithm (TOTP). Met een app krijg je in een bepaald venster een password toegestuurd. Dat kun je vervolgens gebruiken om je te identificeren. Dit kan ook via het internet of welke andere verbinding dan ook, het hoeft niet per se via sms. Daarin zit het kostenvoordeel. DigiD is nu niet meer dan een naam en een inlog. Als je die van iemand anders hebt, kun je die gebruiken. Dit is een extra niveau van beveiliging. Een paar dagen geleden heb ik me bij een werkbezoek bij Logius Remote Document Authentication (RDA) laten demonstreren, de tweede mogelijkheid. Als je je pasje ergens bij houdt om te laten zien wie je bent, zoals hier in de Kamer, kun je dat ook doen bij een ander ding wat het pasje kan lezen. Daarmee gaan we een pilot doen. Het kan een apart apparaatje zijn dat wordt uitgereikt in de pilot, maar er zijn tegenwoordig diverse smartphones en modellen met Android met een Near Field Communication-chip (NFC-chip). De griffier weet het al, die is de jongste hier aan tafel. Met je telefoon kun je dan bewijzen dat je bent wie je zegt dat je bent. Met deze vormen experimenteren we nu binnen DigiD. Dit komt tegemoet aan de vraagtekens die door de Algemene Rekenkamer zijn gezet.

Het is overigens aan de gebruikers, niet de burgers maar de bedrijven of instanties die om die authenticatie vragen, om te beoordelen of de beveiliging op een voldoende niveau zit voor het doel waarvoor zij de identiteit moeten vaststellen. Dat is echt hun oordeel, dat is niet het oordeel van de Minister van Binnenlandse Zaken. Toen mijn echtgenote onlangs in onze eigen gemeente Bussum probeerde een nieuw setje parkeerkaarten voor burgers te ontvangen, werd zij weggestuurd van het stadhuis omdat je tegenwoordig een aparte elektronische afspraak moet maken, dit in het kader van de dienstverlening. Toen ze vroeg of het toch kon, omdat ze er nu was, moest ze eerst haar DigiD hebben om een afspraak te kunnen maken. De parkeerkaarten zijn inmiddels aangeschaft, dus we krijgen weer bezoek. Voor het maken van een afspraak met de gemeente is het voldoende dat je je naam en je password invoert. Mocht iemand ten onrechte een afspraak hebben gemaakt, dan is de ellende te overzien. Als je een bestelling plaatst of voor een uitkering of studiefinanciering in aanmerking wilt komen, kan ik me heel goed voorstellen dat de leverancier van dat product, privé of publiek, additionele bevestiging van de identiteit wenst. De verantwoordelijken moeten dit vaststellen. Zo hebben de zorgverzekeraars de afweging gemaakt en besloten om per 1 april van dit jaar over te gaan op DigiD Midden, waardoor ze inderdaad meer zekerheid vragen dan er aanvankelijk was.

In antwoord op de vraag van de heer Verhoeven denk ik dat we volgend jaar een heel eind tegemoet zullen zijn gekomen aan de gebreken die zijn gesignaleerd door de Algemene Rekenkamer. Dat is in ieder geval de doelstelling die wij hebben. Met «wij» bedoel ik «wij».

De heer Verhoeven (D66): De Rekenkamer heeft het in één zin best stevig gezegd: «Net als in eerdere jaren» – ja, net als in eerdere jaren – «constateren we dat de beveiliging van DigiD niet voldoet». Dat betekent dat er al een aantal jaar geen goede veilige DigiD is, in dit geval drie jaar achter elkaar. De Minister neemt dit serieus. Daar ben ik blij om. Is hij bereid om halverwege het jaar een tussenstand te geven van zijn vorderingen op een aantal punten van kritiek van de Rekenkamer, met de verbeteringen die hij zegt na te streven?

Minister Plasterk: Ja. Ik weet het misschien nog beter gemaakt. Ik heb al eerder aangekondigd dat ik een externe audit zou laten doen. Die is inmiddels uitgevoerd. Het resultaat daarvan heb ik hier liggen. De audit was nodig omdat de beheersorganisatie volgens de Rekenkamer niet alle bevindingen tijdig had opgelost. Ik heb het rapport eergisteren ontvangen. De audit laat zien dat er naast de onverminderd hoge beschikbaarheid van DigiD in 2014 geen materiële onveiligheid is ontstaan. Toch moeten we door met het veiligheidsniveau. Ik wil dit graag met de Kamer delen, ware het niet dat mij dat wordt ontraden omdat er veiligheidsgevoelige informatie in staat. Ik kan het wel ter vertrouwelijke inzage leggen. Ik kijk naar de voorzitter en de commissieleden of dit een begaanbare weg is. Op die wijze kan de commissie kennisnemen van deze informatie.

Los daarvan lijkt me de vraag van de heer Verhoeven redelijk. Ik wil volgend jaar ook niet opnieuw verrast worden door een negatief oordeel. Ik zeg toe dat ik over een halfjaar een tussenrapportage geef over de acties ten aanzien van de gesignaleerde gebreken.

De heer Verhoeven (D66): Ik dank de Minister voor deze toezegging. Het ter vertrouwelijke inzage leggen lijkt mij prima. Wel is het zo dat als we daarin dingen zien waar we ons ongerust over maken, we het via onze eigen wegen als Kamercommissie op een bepaalde manier debatteerbaar maken. Dat zullen we dan wel zien. Laten we niet uitgaan van het slechtste scenario. Ik neem de twee voorstellen van de Minister graag over.

De voorzitter: We spreken af dat we het in een procedurevergadering terug laten komen, als er iets is.

Minister Plasterk: Dat laatste snap ik.

Er zijn verschillende vragen gesteld over het volgende niveau, de eID. Ik begin met een toezegging. We hoeven het niet in al te veel details te bespreken, want de vraag van mevrouw De Caluwé of de Kamer geïnformeerd wordt over de doelstellingen en randvoorwaarden van de pilots, lijkt me alleszins redelijk. Is het haalbaar om dit voor de zomer te doen? Ik kijk even opzij. Ik krijg de indruk van wel. Dat zeg ik toe.

De voorzitter: Ik ben dan wel voorzitter, maar heb een korte vraag. Als deze informatie voor de zomer beschikbaar is en eind van het jaar de pilots beginnen, dan geeft dat de Kamer de gelegenheid om er eventueel nog iets van te vinden. Er moet dus enige tijd zitten tussen het inzien van de voorwaarden en de start van de pilots.

Minister Plasterk: Het gaat met name om de criteria voor de evaluatie. Die moeten van tevoren worden vastgesteld, zodat iedereen weet waaraan de evaluatie toetst. Dat lijkt me alleszins redelijk.

Daarbij vroeg mevrouw Oosenbrug wie zich zou kunnen aanmelden voor die pilots. We komen daar schriftelijk op terug, maar er zijn twee typen gebruikers die zich kunnen melden. Dat zijn organisaties en burgers, de mensen in het land zoals Wiegel ooit zei. De organisaties kunnen zich bij eID aanmelden. We zijn in gesprek met gemeenten om te bekijken of er op een of twee terreinen gemeenten zijn waar een groep burgers een pilot zou kunnen doen.

De heer Verhoeven vroeg naar een publiek versus een privaat middel en de overwegingen daarover vanuit de private sector. Die geluiden zijn niet unisono. Het hangt er van af met wie je praat. Aan de ene kant zijn er aanbieders van identiteitsproducten die willen dat de markt het doet. Sterker nog: zij pleiten ervoor de markt niet te vervuilen door met de volle firepower van de overheid producten aan te bieden, daar waar het ook privaat zou kunnen. Aan de andere kant staan de marktpartners in de detailhandel. De detailhandel vindt dat niets door de burger zo wordt vertrouwd als het paspoort, het rijbewijs en allerlei overheidsproducten. Die partijen willen met diezelfde kwaliteitscriteria zo snel mogelijk een publiek product krijgen, dat ze ook privaat kunnen gebruiken. Het is in ieder geval belangrijk dat mijn collega van Economische Zaken onlangs de governance van eID heeft georganiseerd, waarbij het bedrijfsleven en verschillende publieke partners zijn betrokken. Dat loopt van studiefinanciering tot sociale zekerheid en de Belastingdienst. Deze belangrijke publieke partners zijn ook afhankelijk van goede identificatie. Samen besluiten deze partijen wat de beste manier is om het in te richten.

In deze context moeten we ook over de kosten praten. Daarover moeten de knopen nog worden doorgehakt. De Kamer zit natuurlijk voorin om te bekijken of zij het daarmee eens is. We moeten een businessmodel ontwikkelen. Het hangt bijvoorbeeld af van het besluit dat de bancaire sector nog moet nemen, of men enige vorm van elektronische identificatie op bankpasjes wil aanbieden. Als men dat gaat doen, zal dat het publieke businessmodel beïnvloeden. Een deel van de mensen kiest voor de bank, als ze privé moet betalen voor een eID-middel en de bank biedt een betere deal. Het hangt er dus vanaf wat de banken willen. Die knoop is nog niet doorgehakt. In zekere zin wachten we daar op. We gaan niet lang wachten, maar het is voor de besluitvorming en het inrichten van het businessmodel wel van belang. Er liggen nog lastige vragen. Als er een publiek middel wordt aangeboden op de nationale identiteitskaart, het rijbewijs of het paspoort, zitten de kosten daarvan dan versleuteld in het product of blijft het product de burger kosten wat het nu kost? Als er meerkosten zijn, worden die dan gedragen door het Rijk, of krijgt de burger een extra product aangeboden en betaalt hij omdat hij voor een optie kiest die zo veel euro duurder is? Dat zijn grote keuzes en die zijn nog niet gemaakt.

De heer Klein (Klein): Er wordt verwezen naar internationaal onderzoek en vergelijkend onderzoek van producten die ook in het buitenland beschikbaar zijn. Probeer niet overal het wiel opnieuw uit te vinden, net als zojuist bij de gemeenten is besproken. Betrek alle informatie in dit traject, want in het buitenland vindt ook het een en ander plaats.

Minister Plasterk: Dat is een goed punt. Dat doen wij ook. We kijken inderdaad hoe buurlanden dit doen. Iedereen zit overigens ongeveer op hetzelfde punt in deze discussie.

De heer Klein (Klein): Ik ben blij dat er naar gekeken wordt, maar kunnen wij de resultaten van dat bekijken inzichtelijk krijgen?

Minister Plasterk: Mijn medewerkers verzekeren mij dat die resultaten al met de Kamer zijn gedeeld in de brief, zowel van het internationale onderzoek als het burgeronderzoek op dit punt.

De voorzitter: Dan bedoelt u de brief van 9 februari?

Minister Plasterk: Die bedoel ik. Mocht dit nog aanleiding zijn tot vragen, dan kunnen we daar in tweede termijn op terugkomen.

De heer Klein (Klein): In die brief wordt verwezen naar de internationale onderzoeken. Wat leveren die op en wat kun je ervan leren? De Minister zegt dat we ervan leren, maar laat hij inzichtelijk maken wat we ervan leren. Dan kunnen we een stap verder komen.

Minister Plasterk: Dat doe ik als we met een definitief voorstel voor de inrichting van het plan komen. Die pilots dienen natuurlijk ook om te bekijken hoe het in de praktijk uitpakt. Daarbij is van belang wat de criteria worden. Ik informeer de Kamer daar voor de zomer over.

De aanbevelingen van de commissie-Elias liggen op mijn nachtkastje, want dit is bij grote ICT-projecten precies het punt waar we voorzichtig mee moeten zijn. Laat ik in alle openhartigheid zeggen dat er sterke drivers zijn, juist ook in de publieke sector en daarmee ook bij de collega’s in het kabinet die verantwoordelijk zijn voor de zorg, inclusief de zorgverzekeringen, voor de sociale zekerheid en voor de studiefinanciering, de zogenaamde manifestpartijen in de publieke sector. Die zeggen «hoe eerder de overheid met zo’n eID komt, des te liever het ons is». Ik wil dit zo snel doen als het kan. Wees ervan verzekerd dat de collega’s in het kabinet hier erg op drukken. Ik houd de lessen van de commissie-Elias erbij: houd het businessmodel goed in de gaten; pas op met automatiseringsprojecten; doe de pilots eerst en evalueer die serieus voordat je vervolgstappen zet. Ook is het van belang om als publieke sector niet in concurrentie te gaan met de markt, die vergelijkbare producten kan aanbieden en dezelfde functie kan vervullen.

De heer Verhoeven (D66): Ik neem de commissie-Elias ook serieus en ik ben blij dat er proeven worden gedaan. Maar voordat we over proeven en projecten praten, moeten we het eerst over het principe hebben. De principiële vraag die ik beantwoord wil zien, is of de overheid niet gewoon de partij is die een elektronisch identificatiebewijs moet leveren, net als het fysieke. Ik ben gevoelig voor de opmerking over het vervuilen van de markt. Ik houd er ook niet zo van als de overheid marktpartijen in de weg zit. Er zijn wel onderdelen waar de overheid als enige partij de positie kan innemen om een dominant, veilig, goed werkend systeem aan te bieden. Ik neig daar zelf naar.

Minister Plasterk: Laat ik dit in drie stappen beantwoorden. Ik begin met de eerste vraag van de heer Klein. Ons model is inderdaad dat de burger niet in zijn of haar eentje verantwoordelijk is voor de identiteitsinformatie. Het is een groot goed, in die zin ook een collectief goed, dat iemand is wie hij zegt dat hij is en woont waar hij zegt dat hij woont. De correctheid van deze informatie is ook een zorg van de overheid. Je kunt het inderdaad anders organiseren, maar dit is onze grondslag. Dat betekent dat de overheid hoe dan ook de randvoorwaarden, de criteria en de eisen moet stellen waaraan elektronische identificatie moet voldoen. Dat ben ik met de heer Verhoeven eens. Technisch kun je dit splitsen van de vraag of de overheid dan ook de aanbieder moet zijn, in de zin van het verschaffen van de kaartjes. Het is een optie dit privé te doen, mits het aan de criteria voldoet. Dat is de keuze die nu nog voorligt. Over de stap daarvoor ben ik het geheel eens met de heer Verhoeven. We gaan dit nooit loslaten. We gaan nooit zeggen dat iedereen maar ziet hoe hij zich identificeert. Nee, de overheid moet daarvoor duidelijke kaders scheppen.

De heer Verhoeven (D66): Gelukkig dat dit helder is. Ik ga even naar de fysieke paspoorten. Een vergelijking met de fysieke wereld is bijna nooit helemaal dekkend, maar het is het beste wat we hebben. Wie maakt de fysieke paspoorten?

Minister Plasterk: De fysieke paspoorten voldoen niet alleen aan Nederlandse, maar ook aan internationale en Europese regels. Ze worden gedrukt door bedrijven. Wij hebben geen plastic fabriek die al die fancy laagjes erop drukt. Dat besteden we uit. Binnen de variant dat de overheid produceert, is dus de vraag of dat technisch betekent dat we een fabriek neerzetten of dat we het drukken kunnen uitbesteden. Dat laatste zou hier hoe dan ook het geval zijn. Dan zou de uitgifte dus bij de overheid berusten. Het iDEAL-betalen is een mooi model. Verschillende private partijen hebben de koppen bij elkaar gestoken, waardoor je via één interface kunt aanklikken bij welke bank je jezelf wilt identificeren als je bij een onlinebedrijf een betaling uitvoert. Er zijn verschillende varianten mogelijk.

De heer Verhoeven (D66): Naast de productie heb je ook nog de distributie. Bij paspoorten wordt dit wel degelijk door de overheid gedaan. Er zijn dus nog wel keuzes, die misschien meer in de uitvoeringsslag liggen dan in de randvoorwaardelijke sfeer. Daarover zijn we het gelukkig eens. Dat kunnen wel heel belangrijke keuzes zijn. Als iedereen identificatieproducten mag distribueren, krijg je bijvoorbeeld een heel ander systeem dan als er maar één distributeur is. Ik hoor graag van de Minister hoe dit traject eruitziet de komende tijd.

Minister Plasterk: Ik ben het hier helemaal mee eens. De liberaal in mij, die bij vlagen sterk is, denkt dat de overheid niet moet proberen de markt te verbeteren. Bij de keuze wie uiteindelijk moet produceren en distribueren, kun je zeggen dat de overheid niet hoeft te doen wat de markt kan. Daar staat de redenering van de heer Verhoeven tegenover: wie is er in een unieke positie om distributie te doen en om identiteit bij een loket vast te stellen? De overheid heeft daarin natuurlijk een grote voorsprong op de private sector. We moeten kiezen voor de beste manier om dit te doen. Het is een zware keuze, want je kunt hem niet een beetje maken. We doen eerst de pilots. De evaluatiecriteria worden met de Kamer gedeeld. Op basis daarvan kunnen we verder kijken. Ondertussen moeten we zowel oog houden voor wat er in het buitenland gebeurt, als voor de ontwikkelingen in de bancaire sector. Vergeet niet dat na de overheid de bancaire sector de sector is met de meeste loketten, de meeste gelegenheid om de identiteit correct vast te stellen, veel infrastructuur en bestaande pasjes. Dat is ook een goede en interessante partij op dit punt. Misschien kunnen we dingen samen doen. Dat zou ook een goede mogelijkheid zijn.

Voorzitter: Verhoeven

Mevrouw De Caluwé (VVD): Ik wil even doorgaan op de vraag van de heer Verhoeven over de rol van de overheid. De paspoorten worden gedrukt door een bedrijf, maar ze worden uitgegeven door de overheid, of onder verantwoordelijkheid van de overheid. We spreken nu ook over identificatie, maar dan op een elektronische manier. Ik pleit ervoor dat de overheid niet alleen de randvoorwaarden stelt, maar ook de sleutel in handen houdt. Dat zie je ook met paspoorten. Er is een heel grote betrokkenheid van het bedrijfsleven. Dat is heel logisch. De sleutel moet echter in handen van de overheid blijven, zodat de overheid kan ingrijpen als zich problemen voordoen.

Minister Plasterk: Ik geloof dat we het eens zijn over dit uitgangspunt. Ik kan me wel eerdere debatten herinneren, waarin ik met de voorganger van mevrouw De Caluwé de discussie heb gevoerd over de vraag of we niet juist weg moesten blijven van een te grote interventie door de overheid. Dat is een dunne lijn die we samen moeten kiezen.

De voorzitter: Als voorzitter kan ik bevestigen dat dit inderdaad nog wel eens varieert.

Mevrouw De Caluwé (VVD): Mij is ook bekend wat er in vorige debatten is besproken. Dat heb ik ook doorgenomen. Daarom is het heel belangrijk dat we de pilotprojecten hebben en dat daarvoor heel duidelijk van tevoren vastligt wat de voorwaarden zijn, dus niet alleen de evaluatiecriteria achteraf. Die evaluatiecriteria worden ook bepaald door de voorwaarden vooraf. Waaraan moet een pilot voldoen? Wat is specifiek de rol van de overheid? Je kunt inderdaad met dezelfde tekst twee argumenten hebben. Het is een heel belangrijke rol van de overheid. De overheid moet mijns inziens die sleutel in handen houden. Daarnaast is er een heel grote rol voor het bedrijfsleven en is het heel goed dat de Kamer zichzelf moet beperken. Dat is ook een aanbeveling van de tijdelijke commissie-ICT. Ik kan op één spoor doorgaan, maar ik heb ook in mijn oren geknoopt dat we van tevoren niet te veel caveats meegeven. Daarom is het goed dat er pilots komen van zowel publieke als private middelen, om te bekijken wat het beste werkt. Die voorwaarden zijn dus heel belangrijk.

Voorzitter: De Caluwé

Minister Plasterk: Ik denk dat we het eens zijn, omdat we er kennelijk allemaal vrij pragmatisch naar kijken. Daar ben ik blij om. Het is geen fundamentele discussie of de overheid of de markt het moet doen. Het gaat om de wensen die je hebt voor het eID-stelsel en wat de rol is die eenieder daarin het beste kan spelen. Ik denk dat we vanuit die pragmatiek tot een goede, verstandige oplossing kunnen komen.

Als laatste op dit punt de vraag van de heer Klein, of dit tot een soort e-residency leidt. Daarmee kunnen we dit onderwerp afsluiten. Ik heb gehoord dat Nederland hieraan meedoet en dat het burgerschap hiermee digitaler wordt. Wij werken echter op een andere grondslag dan sommige andere landen. Wij bouwen voort op de identiteit zoals die nu in Nederland wordt vastgesteld.

Mevrouw Oosenbrug vroeg naar de relatie tussen zelfregulering en verplichting. Het verplichtende aan de verplichtende zelfregulering is dat de koepels zich eraan committeren. Die kunnen zich vervolgens niet afzijdig houden. Zij verplichten zich eraan dat hun leden zich aan de afspraken houden. De keuze voor het instrument van zelfregulering sluit aan bij de eigen verantwoordelijkheid die de organisaties hebben. De koepels maken afspraken over de wijze van zelfregulering. Daarbij volgen zij normen die zijn vastgesteld in de baseline en die gebaseerd zijn op internationale standaarden. Ik zie erop toe dat dit juist gebeurt en ik zal hierover aan de Kamer rapporteren. Zoals gezegd ben ik zo nodig bereid een algemene verplichting in de wet vast te leggen. Ik ben daarover in overleg met de koepelorganisaties.

Mevrouw De Caluwé heeft nog een aantal andere vragen gesteld. Zij vroeg naar de actuele stand van zaken met betrekking tot de digitale overheid. Er wordt een monitor ingericht voor de GDI, de opvolger van i-NUP. De commissie kent de NCDO, de heer Eenhoorn. Ik geloof dat hij aanwezig is. Er zal in ieder geval voor het einde van het jaar over worden gerapporteerd. Daarmee is het i-NUP overgegaan, geëvolueerd in de GDI. Daar wordt een plan voor gemaakt. We zijn nog bezig met de Voorjaarsnota, maar hopen middelen vrij te maken om die plannen in te vullen. Zodra er een voorstel van het kabinet ligt, zullen we de Kamer daarover informeren.

Hoe wordt de veiligheid gemonitord bij gemeenten? De koepels hebben toegezegd dat zij deze monitor op zich zullen nemen. De eisen zijn gebaseerd op de gangbare internationale normen, zoals de ISO-normeringen. Die zijn weer vastgelegd in de baselines per sector. Ik hoor wel dat er veel normen zijn en dat er daarmee onduidelijkheid is. Er wordt nu dus interbestuurlijk gesproken over de normen, om die onduidelijkheden weg te nemen. We moeten dit altijd binnen het kader van de internationale afspraken doen, zodat er geen discussie over de normen op zich kan ontstaan.

In mijn brief schrijf ik dat we bij de planning voor de BRP wellicht rekening moeten houden met enige uitloop. We lopen nu tegen de grenzen van de tijdsplanning aan. We zullen met man en macht proberen om daarbinnen te blijven. Er zit in ieder geval geen lucht meer in. Dit is ook een waarschuwingssignaal naar degenen die er nog van alles aan willen veranderen. Dat is ook een les van de commissie-Elias. Het is hetzelfde als je thuis een aannemer aan het werk hebt. Als je vraagt of hij iets extra’s kan doen, kan dat altijd, maar dan is het meerwerk. Dat levert op dit terrein grote kosten op. We houden het stellen van heel nieuwe functie-eisen af en hebben er een groot hek omheen gezet.

Mevrouw Oosenbrug (PvdA): Ik heb een aanvullende vraag over de BRP. Het schiet me te binnen dat we ooit gevraagd hebben om inzage in de broncode, juist om het proces te monitoren, om te bekijken of het goed gaat en daarbij te kijken naar de kwaliteit van de BRP. Ik ben benieuwd of er aanvragen zijn binnengekomen. Er hangen op dit moment best strenge regels aan. Zo niet, dan ben ik benieuwd wat de Minister gaat doen om dit te vergroten. We hebben de kritische meekijkers, mijn helpende hackers, wel nodig bij dit soort processen.

Minister Plasterk: Zoals ik eerder aan de Kamer heb gerapporteerd, hebben we om beveiligingsredenen gekozen voor de responsible disclosure, dus geen totaal open broncode. Er is één aanvraag binnengekomen. Aan de betreffende partij is inmiddels een datumvoorstel gedaan om de broncode in te zien. Ik heb via de geëigende kanalen bekendgemaakt dat deze inzage mogelijk is, onder andere via de website, de nieuwsbrief en een brief. Ik wil na deze inzageperiode evalueren. Conform afspraak zal ik de Kamer hierover informeren. Dan kunnen we bekijken hoe het komt dat er kennelijk weinig animo voor is en wat we daar voor een volgende keer aan kunnen doen. Inschrijven kon formeel tot 15 mei via de website Operatie BRP, maar wij doen niet moeilijk. Als er voor 1 juni nog aanmeldingen binnenkomen, nemen we die alsnog in behandeling. Ah, mevrouw Oosenbrug meldt zich bij dezen aan.

Ik denk dat ik hiermee de resterende vragen heb beantwoord. Anders hoor ik het graag.

De voorzitter: Ik kijk even rond. Daar ziet het inderdaad naar uit. Ik bedenk net dat mevrouw Oosenbrug misschien wel die ene aanvrager was.

Minister Plasterk: Dat is vertrouwelijk, maar ze was het niet.

De voorzitter: Daarmee zijn we aan het einde van de eerste termijn. Er is behoefte aan een tweede termijn. We hebben nog tijd. Ik hanteer een spreektijd van twee minuten. Voldoet één minuut? Ik doe niet moeilijk als de woordvoerders uitlopen.

De heer Klein (Klein): Voorzitter. Dat laatste is natuurlijk een gevaarlijke opmerking. Ik dank de Minister voor de beantwoording in de eerste termijn. E-residency raakt echter wat verstrikt tussen alle e-identities, e-herkenningen en e-persons. E-residency is een heel ander businessmodel, om het in het Engels te houden. Het gaat meer over de wijze waarop de overheid burgers uit andere landen gebruik kan laten maken van identificatie. Ik zal het nu laten rusten, maar wil op een ander moment bekijken wat interessant is in het kader van identificatiemogelijkheden voor mensen uit andere landen, met name voor bankrekeningen. Nederland kan hierin een rol spelen, maar het gaat wellicht te ver om er nu verder op in te gaan. Mijn vraag is wel of hier eens naar gekeken kan worden.

Het belangrijkste waar het eigenlijk nog niet over ging in de beantwoording, is de burger. We doen het uiteindelijk voor de burger. We praten veel over de techniek en het feit dat de overheid centraal waarborgen moet geven voor het identiteitsbewijs, of dat nou fysiek of elektronisch is. Uiteindelijk gaat het over de burger. Welke gegevens heeft hij en wat wordt er met die gegevens gedaan door anderen? Burgers staan ergens geregistreerd. Dat betekent dat andere instanties ook kunnen kijken naar die registratie en er gebruik van kunnen maken, bijvoorbeeld de politie of de Rijksdienst voor het Wegverkeer. Het gaat erom hoe je fundamenteel rechten van de burger kunt beschermen en dat de burger kan zien wat er met zijn gegevens gebeurt. Nu is de situatie vaak andersom en dat moeten we niet hebben. Als burger moet je afwachten wat er met je gegevens wordt gedaan, als je die over de schutting hebt gekieperd bij een inschrijving in een databank. Dit is een belangrijk punt, want het geeft rechten aan burgers om op hun privacy en veiligheid in te kunnen spelen.

Mevrouw Oosenbrug (PvdA): Voorzitter. Het digitale loket blijft mij wel een beetje wakker houden. We zitten met een taakstelling van dit kabinet die inhoudt dat vanaf 2017 iedere burger digitaal moet communiceren met de overheid. Als gemeenten daarin achterblijven, is dat heel kwalijk. Ook als overheid heb je daarin een taak, nog afgezien van de cijfers die ons om de oren vliegen. Los van de vraag wat wel of niet waar is, staat de keuze of we dit wettelijk moeten regelen. Ik wil daar goed over nadenken, want daarmee zet je groepen mensen buiten spel. De cijfers liegen niet. Ik snap dat we kunnen bezien of we heel veel vragen op het gebied van webrichtlijnen. Misschien moeten we daar wat in minderen, maar dan nog betekent het dat we mensen buitenspel zetten. Dat kan nooit de bedoeling zijn, niet als je als rijksoverheid tegen lokale overheden zegt dat iedereen mee moet kunnen doen. Ik begrijp dat de Minister gaat praten en probeert er wat meer druk achter te zetten, maar dat is voor mij niet stevig genoeg. Het is echt een probleem. Als techneut ben ik ontzettend geïnteresseerd in techniek. Dat is heel leuk, maar ik zie ook mensen die achterblijven, en dat blijft zo. Daar moeten we wel iets mee. Ik wil een iets steviger antwoord van de Minister.

De heer Verhoeven (D66): Voorzitter. Ik dank de Minister voor de beantwoording van de vragen. Ik heb twee dingen die ik nog een keer terug wil laten komen. Het eerste is DigiD. Ik ben blij met hetgeen de Minister hierover heeft gezegd en dat hij de Rekenkamer serieus neemt. Dat deed hij al, maar nu neemt hij ook de opmerkingen van de Rekenkamer over DigiD serieus. Hij komt over een half jaar met een brief, waarin hij laat zien wat er gedaan is om tegemoet te komen aan de aanbevelingen. Ik ben ook heel benieuwd naar de audit die ter inzage komt. Laten we ervoor zorgen dat DigiD een mooie aanloop wordt naar een veilige eID, en dat het niet een soort brekebeentje blijft waarmee we de volgende horde nog eens moeten nemen, met als gevolg dat burgers weinig vertrouwen hebben in alles wat de digitale overheid doet.

Het tweede punt is eID. Ik vond de discussie daarover goed. Dat meen ik, want het is echt een belangrijke discussie. We hebben het niet over een stukje techniek, we hebben het over hét identificatiebewijs van de toekomst. Dat gaat op allerlei gebieden een heel belangrijke rol spelen, op het gebied van betalen, maar ook op het gebied van informatie-uitwisseling, dingen aanvragen, allerlei vormen van communicatie. Er zijn inderdaad verschillende partijen die dit kunnen, maar ik denk echt dat de overheid op een aantal punten de enige is die dit kan. De Minister vindt ook dat de overheid het moet doen als het gaat om de voorwaarden. Ik denk dat we verder moeten gaan, maar ik ben bereid het met een open blik af te wachten. Dat is wel afwachten met een Minister die zijn verantwoordelijkheid voor digitale identificatie niet te gemakkelijk aan de markt geeft. Ik denk aan uitgifte, beheer, controle en ook de sleutel van mevrouw De Caluwé. Ik hoop dat de Minister niet te gemakkelijk in een soort pilot stapt en daar conclusies uit trekt, maar hooghoudt dat de overheid het niet alleen praktisch bekijkt, maar ook bepaalde principes heeft. Mijn principe is dat de overheid de eerste verstrekker is van digitale en fysieke identificatiebewijzen.

Voorzitter: Verhoeven

Mevrouw De Caluwé (VVD): Voorzitter. Ik dank de Minister voor de beantwoording van het spervuur aan vragen dat ik op hem heb afgevuurd. Ik hoop dat hij me vergeeft, want dit is mijn eerste debat over ICT. Als je voor het eerst een aantal dingen doorneemt, heb je gewoon wat meer vragen. Dank voor de toezegging die de Minister heeft gedaan om de voorwaarden voor de pilots van eID aan de Kamer toe te zenden. Hij had het over evaluatiecriteria, maar het gaat ook om de voorwaarden vooraf. Welke voorwaarden stellen we aan de privacy? Welke informatie mag men inzien? Hoe zit het financieel in elkaar? Met hoeveel partijen willen we in zee gaan? Er moeten vooraf SMART geformuleerde doelstellingen zijn, waaraan de pilots moeten voldoen. Wat willen we ermee bereiken? Dat is ook goed voor de partijen waarmee wordt samengewerkt. Zij weten precies waar ze aan toe zijn. Is het aantal pilots afhankelijk van de knoop die nog door de banken moet worden doorgehakt?

Na de evaluatie van de pilots is het van belang dat we de knoop doorhakken over de middelen die verder worden ontwikkeld. Dan weten we precies waar we aan toe zijn. We hebben door de tijdelijke commissie ICT-projecten gezien dat de afweging over de rol van de overheid en of je meer of minder naar je toe moet trekken van belang is. Ik deel enkele zorgen van de heer Verhoeven. Zo hebben we bij de OV-chipkaart gezien dat de overheid geen zeggenschap meer had over de kaart, toen er problemen waren. Daarom is het heel belangrijk dat we de voorwaarden goed in beeld hebben, dat we goed evalueren en dat we vervolgens een keus maken welke middelen verder worden ontwikkeld, zodat we op zo kort mogelijke termijn een nieuw eID-middel hebben, met hopelijk een andere naam.

Voorzitter: De Caluwé

Minister Plasterk: Voorzitter. Ik ben het geheel eens met de heer Klein dat we bij alles wat we doen de burger centraal moeten houden. Dat is de doelstelling. Het klinkt als een open deur, maar het is een reëel risico dat allerlei instanties, inclusief overheidsinstanties, de efficiencywinst hebben ingeboekt doordat zij digitaal zijn gegaan, terwijl vervolgens de toegankelijkheid voor de burger en de service aan de burger, en wellicht ook de privacy et cetera, nog niet zijn geregeld. Dan hebben overheidsinstanties of private partijen de winst ingeboekt omdat voortaan alles digitaal moet, en zit de burger met de gebakken peren. Dat moeten we niet hebben. We moeten bij alles wat we doen steeds controleren of de uitvoering correct is, waarbij het doel is dat de dienstverlening voor de burger toeneemt. Natuurlijk ligt het in de rede om te verwachten dat de dienstverlening toeneemt door de digitale toegankelijkheid van de overheid, want in plaats van een vrije middag te moeten nemen om naar een loket te gaan, kun je dit 24/7 vanachter je bureau doen. De ene burger is echter vaardiger op dit terrein dan de andere. Dat alleen al is een punt van aandacht.

Ik kan me nog andere onderwerpen voorstellen, zoals fraudebestrijding en privacy. Dat zijn serieuze onderwerpen en daarom is dit zo’n complexe kwestie. We hebben Kamerdebatten gehad over alleen al het onderwerp «fraude». We kennen de Bulgarenfraude, zoals die is gaan heten, door mensen die niet bleken te zijn wie ze zeiden dat ze waren, en dat op enige schaal. Alleen al het feit dat er fraude kan plaatsvinden, kan voor anderen reden zijn om het vertrouwen te verliezen. Dat op zichzelf is een belangrijk onderwerp. Het College voor de Bescherming van Persoonsgegevens ziet scherp toe op de privacy bij al dit soort projecten. De juiste informatie moet in de juiste handen blijven. Het zijn zeer grote onderwerpen.

De toezeggingen voor het eID staan. Ik rapporteer over een halfjaar en geef inzage in de audit die zojuist heeft plaatsgevonden. De boodschap van de heer Verhoeven is helder. Het is wat dat betreft interessant dat mevrouw De Caluwé een vergelijkbare boodschap stuurt. Het is een soort van Umwertung aller Werte dat ik als sociaaldemocraat tegen de liberalen zeg dat de markt zijn plek moet houden. Ik heb wel een Mijn nachtmerriescenario is dat we er een heel mooi overheidsproject van maken, met een kostenplaatje waarin de burger x euro betaalt voor wat hij op zijn rijbewijs krijgt aangeboden, en dat vervolgens blijkt dat heel slimme lui in de bancaire sector iets vergelijkbaars kunnen aanbieden wat voor 10 miljoen van de 14 miljoen geïnteresseerden een interessant product is. Daardoor zou het businessmodel van de overheid instorten en zitten we met de gebakken peren. We zijn het volgens mij ook eens. Dit wordt een belangrijke beslissing, die we samen moeten nemen.

De heer Verhoeven (D66): Ik heb een aanvullende vraag. Ik ga niets afdoen aan deze sociaaldemocratische Minister met hart voor het bedrijfsleven. Dat is heel goed en belooft een spannend traject. Als de Minister denkt dat bedrijven met een goedkopere variant kunnen komen, kunnen we de vraag omdraaien. Hoe waarschijnlijk is het dat het bedrijfsleven goedkoper een bepaald publiek getint middel ontwikkelt dan de overheid die het voor iedereen aanbiedt? Waarom zou het daar niet wat marge overheen gooien? Ik acht die kans niet zo heel groot, behalve misschien voor sociaaldemocratische bedrijven, maar die zijn meestal niet zo’n lang leven beschoren.

Minister Plasterk: Laten we daarover niet speculeren. De manier waarop de bancaire sector het iDEAL-systeem heeft ontwikkeld is bijvoorbeeld een knap staaltje werk. De gebruiker heeft alle vrijheid om aan te klikken via welke bank hij een bestelling wil doen bij een internetbedrijf, een leverancier van een product, maar het gaat allemaal via dezelfde interface. Dat is in elkaar geklust zonder dat ze voor mij zichtbaar hebben aangeklopt om de kosten daarvan in rekening te brengen. Het kan versleuteld zijn in de kosten van andere producten. Het zal ergens worden betaald. De inventiviteit van het bedrijfsleven wordt door niemand onderschat, maar die van de overheid ook niet. Ik ben blij met het geluid dat ik inderdaad ook uit het bedrijfsleven hoor: er wordt niets zo veel vertrouwd als het paspoort en het rijbewijs. Als we van die kwaliteit meer kunnen krijgen, ook op het punt van elektronische identificatie, moeten we dat misschien maar doen. Dat zijn de overwegingen die een rol spelen. De boodschap van de heer Verhoeven op dit punt is helder.

Mevrouw Oosenbrug wil een stok achter de deur voor de vrijwilligheid van de websites zoals ze door de gemeenten worden aangeboden. Ik neem daar kennis van, maar anderen ook. Ik blijf er in ieder geval met de kracht van argumenten op aandringen dat het verstandig is om betere service aan de burgers te leveren. Het is op termijn goedkoper, zelfs als je geïnvesteerd hebt in een eigen architectuur voor een gemeentelijke website, om het voor de toekomst samen te brengen in een onderliggende algemene architectuur. De stok achter de deur is gesignaleerd.

Mevrouw Oosenbrug (PvdA): Een aanvullend punt daarop zijn de webrichtlijnen. De Kamer heeft die niet bedacht. Dit wordt vanuit Europa aangestuurd. We moeten daar uiteindelijk aan voldoen. Het is niet vrijblijvend. Ik zit inmiddels bijna drie jaar in de Kamer. Een van mijn eerste debatten ging over die webrichtlijnen. Ik ben er al bijna drie jaar mee bezig en vind dit heel teleurstellend. Daarom moeten we die stok achter de deur wel hebben. We hebben destijds ook gesproken over «pas toe of leg uit». We kozen toen voor vrijblijvendheid. Partijen moesten het uitleggen als ze de richtlijnen niet konden toepassen. Ik begin een beetje het gevoel te krijgen, dat ik toen ook al ontwikkelde, dat het heel veel «leg uit» en heel weinig «pas toe» wordt. Ik wil juist vertrouwen en vrijheid geven. We wilden die kans geven en dat hebben we gedaan. Ik ben best redelijk geweest de afgelopen drie jaar. Dit is voor mij het moment dat ik boter bij de vis wil. De vrijblijvendheid is er wel af. Ik zie in het rapport dat het niet omhoog is gegaan, maar dat het aan het dalen is. In plaats van «pas toe» is er heel veel «leg uit». Ik blijf daarop hameren, omdat ik er iets concreets voor wil hebben. Ik wil de Minister meegeven waarom ik daar zo gedreven in ben.

Minister Plasterk: Dank voor het meegeven van dit punt. Ik heb in mijn antwoord in eerste termijn gezegd dat we het voornemen hebben dit zo nodig in de wet op te nemen. Die stok achter de deur is duidelijk.

We hebben genoteerd dat de brief met de inzet voor de pilots niet alleen betrekking heeft op de criteria die bij de evaluatie zullen worden gehanteerd, maar ook op de voorwaarden voor de pilots, inclusief de privacy, de inzage, de doelstellingen et cetera.

De laatste vraag van mevrouw De Caluwé was of er een verband is tussen de aantallen pilots en het besluit dat de banken zullen nemen over hun rol bij elektronische identificatie. Dit is niet het geval. Het zijn twee losstaande trajecten.

Daarmee heb ik denk ik alle vragen beantwoord.

De voorzitter: Ik kijk even rond. Daar ziet het inderdaad naar uit. We zijn hiermee aan het einde van de tweede termijn gekomen. Ik heb de volgende toezeggingen genoteerd:

  • De Minister zendt een tussenrapportage aan de Kamer over de stappen die worden genomen om beveiliging van DigiD te verbeteren. De termijn daarvoor is een halfjaar.

  • De Minister informeert de Kamer voor het einde van 2015 nader over de GDI.

  • De Minister informeert de Kamer voor de zomer van 2015 over de doelstellingen en randvoorwaarden met betrekking tot de pilots met het eID.

  • De Minister zendt de externe audit van de veiligheid van DigiD aan de Kamer ter vertrouwelijke inzage.

Daarmee zijn we aan het einde van dit algemeen overleg gekomen. Ik dank het publiek voor de aandacht, de Minister en zijn ambtenaren voor hun komst naar de Kamer en de collega’s en de griffier voor hun bijdrage.

Sluiting 20.25 uur.

Naar boven