Voorzitter: Pia Dijkstra

Griffier: Hendrickx

De voorzitter:

Goedemiddag. We houden vandaag een algemeen overleg met de Minister van Binnenlandse Zaken en Koninkrijksrelaties over eID, elektronische identiteit. Ik heet de Minister en zijn ambtenaren van harte welkom. We beginnen met mevrouw De Caluwé.

Mevrouw De Caluwé (VVD):

Voorzitter. Voordat ik begin, wil ik de Minister graag van harte welkom heten. Fijn dat hij weer terug is na zijn ziekteverlof. Het is goed om hem weer in ons midden te hebben. Ik denk dat ik dit ook namens de collega's zeg.

2017, het jaar waarin alle Nederlanders hun zaken met de overheid online kunnen afhandelen. Veilig, betrouwbaar en met gemak. Met een state-of-the-artinlogmiddel. Dat is uiteindelijk waar het om draait: de service aan de inwoners van Nederland. Geen gehannes meer met steeds dezelfde kopietjes naar het stadhuis, met steeds weer dezelfde informatie invullen, met in de rij staan voor het loket. Nee, je kunt alles vanaf de keukentafel regelen en je bepaalt zelf aan welke organisatie je welke informatie over jezelf verstrekt.

In de gezondheidszorg zijn bijvoorbeeld al geweldige eHealthoplossingen voor chronisch zieken, die het leven van patiënten veel aangenamer maken. Die zijn beveiligd met een inlogcode en een wachtwoord. Dit soort voorzieningen kan niet lang wachten op een veilig authenticatiemiddel. Dit moeten we steeds voor ogen houden wanneer we weer eens in alle details van het eID-project duiken.

Vorig jaar december hebben we als Kamer een duidelijke boodschap afgegeven. Wij willen geen allegaartje aan diverse stelsels, regels en voorwaarden. Er komt nu één publiek stelsel, één set randvoorwaarden en meerdere publieke en mogelijk private middelen. De afgelopen maanden is er heel hard gewerkt aan de verdere uitwerking van de diverse middelen en aan de pilots.

Op 25 augustus heeft de Minister gedetailleerde en goede informatie naar de Kamer gestuurd. Daar was ik erg tevreden over. Maar dan gaat het wel over de operationele aanpak van het project en de grondige evaluatie van de pilot. Het gaat niet over de broodnodige randvoorwaarden en basisafspraken die nog ontbreken. Daarmee kom ik tot de essentie van dit debat. We zouden tijdens dit debat bespreken of we een go konden geven voor het uitrollen van de diverse eID-middelen, waaronder de private. Die go kunnen we hier in ieder geval nu niet geven.

Ik heb over het vervolgtraject nog een paar serieuze vragen en stevige eisen. Nu de Minister met een tussentraject is gekomen in de vorm van Impuls eID, moeten we eerst duidelijkheid verkrijgen over het traject. Ik heb de volgende vragen aan de Minister. Begrijp ik het goed dat de uitrol per 1 oktober nu wordt omgebogen naar een continuering van de pilotfase, maar dan met het maximaal aantal pilotdeelnemers per middel? Waarom is dat? Hoeveel zijn dat er dan per middel? Mijn tweede vraag is de volgende. Begrijp ik goed dat fase 2 in 2017 van start gaat, met nieuwe middelen en na goedkeuring op basis van de uniforme set randvoorwaarden? Welke middelen zijn dat? Hoeveel zijn dat er? En wat gebeurt er dan met de pilots die nu lopen? Hebben we het dan nog steeds over een pilotfase? En begrijp ik het goed dat we dan per eind 2017 gaan uitrollen maar dat Privacy by Design pas in 2018 gereed is? Dat laatste heb ik uit de bijlage gehaald.

De VVD vindt dat de pilots gecontinueerd kunnen worden. Die kunnen door, ook om de aandachtspunten van de commissie-Kuipers te kunnen uitvoeren. Maar wij vinden niet dat er op dit moment al enige sprake kan zijn van een uitrol per 1 oktober. Wat we zien, is het volgende. Er wordt druk gebouwd aan het eID-huis. De muren worden gestuukt en de kamers worden ingericht, maar de fundering ontbreekt. Het is niet verantwoord om door te gaan met de verdere invulling van eID als het fundament ontbreekt. Dit moet eerst gefikst worden alvorens verdere stappen kunnen worden gezet. En er is haast bij, want we kunnen ons geen verdere vertraging permitteren. 2017 is al sluipenderwijs 2019 geworden, en dat is al veel te laat.

Mevrouw Koşer Kaya (D66):

Het woordje «fundering» triggerde mij heel erg. Normaal leg je eerst de fundering en bouw je daarna het huis. Nu vraagt de mevrouw De Caluwé aan de Minister om die fundering nu eens aan te leggen. Kan dat? Waar was de VVD toen dat niet als eerste gebeurde?

Mevrouw De Caluwé (VVD):

Dat kan niet. Daar heeft mevrouw Koşer Kaya een punt. De VVD was daar vorig jaar ook heel stellig in. Er waren verschillende fundamenten. Eigenlijk was er een fundament voor private middelen, voor Idensys. Er was een fundament voor het bankenmiddel en er was een fundament voor het publieke middel. Achteraf zouden al die fundamenten op de een of andere manier aan elkaar gegoten worden. Maar ja, dan zijn ze al in cement gegoten en al uitgehard. Dan wordt het ontzettend moeilijk om die aan elkaar te knopen, om maar even de beeldspraak te gebruiken. Daarom heeft de VVD eind december 2015, gesteund door de rest van de Kamer, ook bedongen dat er één uniforme set randvoorwaarden komt waar alle fundamentele zaken in staan. Dat voorstel is door de Kamer aangenomen. Dat zou er in juni zijn, maar dat wordt nu december. Wij hebben gezegd: laten we, om geen vertraging op te lopen, die pilots wel doen, maar die randvoorwaarden moeten er wel gaandeweg de pilots zijn. Die moeten er staan aan het einde van de pilotperiode. En die stonden er nog niet. Vandaar dat ik weer begin over de fundering.

Ik vervolg mijn betoog. Het Bureau ICT-toetsing (BIT), de Algemene Rekenkamer en de commissie-Kuipers hebben hier ook stevige woorden over gesproken. De VVD wil graag uiterlijk in december de volgende zaken zien. Dan kom ik weer bij de fundamenten waar mevrouw Koşer Kaya over sprak. Dat zijn allereerst de uniforme set randvoorwaarden die eind juni al gereed had moeten zijn en de beoordeling van de middelen aan de hand van deze voorwaarden, uiteraard inclusief Privacy by Design. Dat kan niet wachten tot 2018. We willen ten tweede de businesscase voor eID zien, met het financiële plaatje. Ik begrijp heel goed dat de Minister geen businesscases voor externe partijen kan maken, maar hij kan wel de businesscase voor eID maken. En we willen heel graag afspraken met private partijen over de operationele fases, over de voorwaarden, de kosten en het level playing field. We willen ook graag de governance zien, die ook aangeroerd is door het BIT en de Algemene Rekenkamer. Ten slotte willen wij het wetsvoorstel Generieke Digitale Infrastructuur (GDI) ontvangen.

Dat is een hele lange waslijst, maar we moeten daar nu echt op aansturen. Zonder deze documenten kan er geen sprake zijn van een verdere uitrol c.q. opschaling van de pilots naar andere partijen. Ik heb nog een vraag aan de Minister. Kan hij toezeggen dat deze stukken uiterlijk in december 2016 bij de Kamer liggen, zodat we begin januari die go kunnen geven waarvoor we nu eigenlijk hier zitten?

Ik heb nog twee punten ter afsluiting. In de brief van 25 augustus staat dat ik verzocht zou hebben om een DigiD-beveiligingsniveau hoog. De hele aanleiding voor eID was toch dat de upgrading van DigiD naar niveau hoog niet mogelijk was? Er komt nu een DigiD substantieel. Dat is voor de overgangsfase. Dat is prima. Maar ik wil heel graag een publiek middel hoog, en dan geen DigiD. De DigiD voldoet immers gewoon niet meer aan deze tijd. Kan de Minister toezeggen dat dit gewijzigd wordt? De Minister geeft in reactie op het advies van de commissie-Kuipers aan dat hij met een versnellingsagenda komt voor het publieke middel hoog. Hoe ziet die eruit? Welk tijdpad en welke stappen heeft de Minister voor ogen?

De heer Van Raak (SP):

Voorzitter. Ik wil beginnen met een punt van orde. Volgens mij hebben we hier een debat, maar het lijkt een beetje alsof ik in een briefing van het ministerie zit. Die lamp die op mij gericht is, stoort me nogal. Ik vraag dus of dat licht uit kan.

De voorzitter:

Het lijkt mij dat die lamp wel even uit kan worden gedaan. Er wordt aan gewerkt.

De heer Van Raak (SP):

Voorzitter. Ik wil de Minister weer van harte welkom heten na de bijzonder moeilijke maanden die hij achter de rug heeft. Dat heb ik gisteren ook al mogen doen in de plenaire zaal, en ik doe dat nu in deze zaal. Ik ben blij dat hij er weer is, want hij moet ook aan het werk, zeker als het gaat om dit identificatiemiddel voor burgers waar grote veiligheids- en privacyaspecten aan verbonden zijn. Wij hebben in het verleden veel grote projecten gehad waarbij het mis is gegaan en die ook zijn onderzocht door de Kamer. De Tweede Kamer heeft uitgebreid onderzoek gedaan naar ICT en overheid en de Eerste Kamer heeft uitgebreid onderzoek gedaan naar privatisering en liberalisering van publieke belangen. Daar zijn ook wijze lessen uit getrokken: dat helder moet zijn wat je voor ogen hebt, dat van tevoren duidelijk moet zijn hoe je het gaat doen en dat er ook duidelijkheid moet zijn over de uitvoering en de kosten. Dit soort basisprincipes wordt ook met dit project weer geschonden. Het lijkt wel alsof de overheid weinig heeft geleerd.

Er moet een nieuw systeem komen, een opvolger van DigiD. De SP was altijd en is nog steeds zeer kritisch over het voorstel om dat in ieder geval deels over te laten aan particulieren, telecombedrijven en banken. Dat geldt zeker voor de banken, want ik heb geen enkel vertrouwen in die banken. De enige reden dat zij geen criminele organisatie zijn, is omdat zij zelf grotendeels de wet mogen bepalen. Op het moment dat we bankiers hebben met een dergelijk moraal, die hun geweten voor een grijpstuiver verkopen, ga ik niet instemmen met het overlaten van zoiets gevoeligs als de privacy en de veiligheid van onze burgers in hun communicatie met de overheid, aan banken. Dat kan echt niet! Ik heb daar ook eerder aandacht voor gevraagd en ik heb daar zelfs een motie voor ingediend. Dat kan echt niet. Ik ben het er zeer meer eens dat we niet op één systeem kunnen vertrouwen, dat er alternatieven moeten zijn, maar het kan gewoon niet zo zijn dat we zo'n primaire taak van de overheid in handen geven van banken. Dat kan gewoon echt niet!

Verder ben ik ontzettend blij met het advies van de Autoriteit Persoonsgegevens dat in het huidige systeem dat in ontwikkeling is, het eID-stelsel, onvoldoende aandacht is besteed aan technische privacyaspecten en dat er onvoldoende aandacht wordt gegeven aan incidentbeheersing en toezicht. Zij maakt ook allerlei opmerkingen over beveiliging, over beveiligingsmogelijkheden en flexibiliteit met beveiliging in de toekomst. Ik was ook heel blij met het rapport van de Algemene Rekenkamer. Als je dat leest, is dat toch vrij ontluisterend. Er staat in dat wezenlijke onderdelen over verantwoordelijkheden voor het eID-stelsel nog moeten worden uitgewerkt. Er is geen businesscase, er zijn geen alternatieven en een integrale visie op de inrichting en het toezicht op het eID-stelsel ontbreekt überhaupt. Dat zijn eigenlijk precies de fouten die we ook in het verleden hebben gemaakt en die ook in het verleden zijn onderzocht door de Tweede en Eerste Kamer, zeker als het gaat om ICT en het elders beleggen van publieke belangen.

Het is ook belangrijk dat de Algemene Rekenkamer zegt dat de Tweede Kamer eigenlijk nog niet in staat is om op een verantwoorde wijze een besluit te nemen. Ik ben het daarmee eens. Ik vind de reactie van de Minister op het onderzoek van de Algemene Rekenkamer bepaald niet overtuigend. Ik hoop dat hij zijn best gaat doen. Maar net als voor de VVD geldt ook voor de SP: no go. Maar dat levert ons wel een dilemma op. Er worden immers al data genoemd wanneer het ingevoerd zal moeten zijn. Bij het Ministerie van VWS geloven ze dat het al zo'n beetje ingevoerd is en dat ze ermee moeten gaan werken. De verwachtingen zijn heel hoog dat het systeem er komt, dat er verschillende systemen komen, dat het snel komt, dat mensen er al mee moeten gaan werken, maar het fundament is er nog niet. Het idee dat we pilots hebben, middelen gaan uitwerken en vervolgens een fundament gaan bouwen, lijkt me de verkeerde volgorde.

Kortom, ik ben hier gekomen met grote zorgen. We kunnen op deze manier niet verder. Er is geen go vanaf 1 oktober. Maar ik zie ook niet in dat de plannen die er nu liggen, ooit tot een go zullen leiden. Ik ben dus benieuwd naar de reactie op de opmerkingen van de Algemene Rekenkamer, de Autoriteit Persoonsgegevens en anderen die kritiek hebben geleverd. Ik ben benieuwd of de Minister kan aangeven waarom de Tweede Kamer voldoende informatie heeft om een goede afweging te kunnen maken.

Mevrouw De Caluwé (VVD):

Ik ben het eens met de heer Van Raak dat er op dit moment geen go kan komen voor de uitrol, maar ik heb ook aan de Minister gevraagd over welke go we het vandaag eigenlijk hebben. Zeker als ik naar Impuls eID kijk, lijkt het alsof de pilots nog even doorgaan. Mijn vraag aan de heer Van Raak is: waar wil hij nu geen go op geven? Wil hij ook de pilots stopzetten of zegt hij: ik wil voor een verdere uitrol totaal geen go geven, maar laat die pilots nog even doorlopen, zodat we in ieder geval ook de aandachtspunten van de commissie-Kuipers kunnen meenemen? Maar we moeten er dan ondertussen wel voor zorgen dat we de fundamenten op orde krijgen.

De heer Van Raak (SP):

Dat vind ik dus een dilemma. Wanneer we de pilots stopzetten, stoppen we en hebben we niks. Dan hebben we DigiD, maar DigiD is niet meer van deze tijd. Daar kunnen we niet meer mee verder. We zullen toch door moeten gaan met ontwikkelen. Als we voortgaan met de pilots, is het andere grote gevaar dat ik zie – volgens mij ziet mevrouw De Caluwé dat ook – dat er allerlei systemen worden ontwikkeld en dat we straks niet meer terug kunnen omdat die systemen er dan al zijn. Dat is precies het dilemma waarvoor we staan als politiek. De Minister zal straks vertellen dat we te vroeg zijn met onze kritiek omdat er nog wordt ontwikkeld en er nog pilots lopen. Als de pilots straks voorbij zijn, zegt de Minister: nu hebben we het; u bent te laat met uw kritiek. Dan maken we precies dezelfde fout als altijd.

Mevrouw De Caluwé (VVD):

Ik begrijp het dilemma van de heer Van Raak. Het lijkt me dan ook heel goed dat de Minister ingaat op de vraag of er niet een verkapte uitrol gaat plaatsvinden onder de noemer van pilots. Dat is een beetje wat de heer Van Raak zegt. Ook ik wil dat heel graag weten.

De heer Van Raak (SP):

We zijn het van harte eens.

Mevrouw Oosenbrug (PvdA):

Voorzitter. De PvdA vindt het van groot belang dat het nieuwe identificatiesysteem gebruiksvriendelijk, veilig en betrouwbaar is. Het is noodzakelijk dat het systeem uitvoerig is getest voordat het in gebruik wordt genomen. De PvdA vindt dat in deze test de gebruiksvriendelijkheid en de toegankelijkheid voor burgers centraal moeten staan. Daarnaast vindt zij het van belang dat dit stelsel toekomstbestendig is en dat we niet over een paar jaar weer een nieuw duur stelsel moeten bouwen. Daarom heb ik de volgende vragen.

Laat ik beginnen met de governance van het project. De Algemene Rekenkamer en het BIT hebben geconcludeerd – een aantal collega's hebben we daar al over gehoord – dat de governance minder complex moet. De Minister geeft in zijn reactie aan dat het toezicht onder één regime zal worden ondergebracht, namelijk onder de Wet generieke digitale infrastructuur. Kan de Minister toelichten hoe dit de complexiteit van het programma op korte termijn kan beperken? Op welke manier zorgt dit voor een vermindering van het aantal ministeries, agentschappen, bestuursorganen en private partijen die verantwoordelijkheid gaan dragen voor het eID-stelsel? Kan de Minister ingaan op de vraag hoe hij ervoor zal zorgen dat de complexiteit van de governancestructuur geen belemmering gaat vormen in de uitrolfase?

Een ander punt waarover onduidelijkheid is ontstaan, is de financiering van het project. Ik heb er al eerder vragen over gesteld, maar het is nog steeds enigszins onduidelijk. Er is 23 miljoen vrijgemaakt voor de ontwikkeling van het bsn-domein, maar er is nog onduidelijkheid over de andere domeinen. Kan de Minister daarop reageren? Burgers, beroepsbeoefenaren en zzp'ers moeten allemaal gaan betalen door middel van leges voor de eenmalige aanschafkosten voor ieder publiek middel dat zij aanschaffen. Heeft de Minister er al enig zicht op om welke bedragen dit gaat voor de burgers? Als er zo veel onduidelijkheid ontstaat over de financiering, waarom wordt er dan toch niet gekozen voor een integrale businesscase om niet voor onaangename verrassingen te komen te staan?

Een ICT-project is nooit af. Daar moet constant in geïnvesteerd en aan gewerkt worden. Heeft de Minister hier al over nagedacht en heeft hij zicht op de kosten voor onderhoud en innovatie in de jaren na de uitrolfase? Is er bijvoorbeeld zorgvuldig bekeken of de kosten voor onderhoud nog wel realistisch zijn over een aantal jaren? Ook hierbij lijkt mij een businesscase een belangrijk middel om dit uit te zoeken.

We hebben het al gehad over de Algemene Rekenkamer, maar toch mis ik daar nog wel een stukje in, bijvoorbeeld de IRMA-kaart, waarbij «IRMA» staat voor «I Reveal My Attributes». Het is een anonieme kaart. De PvdA vindt de IRMA-kaart nog steeds een heel mooi systeem en denkt dat dit systeem zeer goed zou zijn geweest vanuit zowel privacy- als securityperspectief. De PvdA begrijpt dat de tijdsdruk heel hoog is, maar ik vraag de Minister toch in te gaan op deze alternatieve afweging. Denkt de Minister niet dat het verstandig zou zijn om, voordat wordt overgegaan tot de uitrolfase, alle alternatieven zorgvuldig te hebben bekeken en, wederom, een goede businesscase te hebben uitgevoerd? Ik noem de businesscase drie keer.

Tijdens het schriftelijk overleg over de digitale infrastructuur heb ik de suggestie gedaan om burgers via de generieke voorziening inzicht te geven in welk bestuursorgaan hun persoonsgegevens heeft opgevraagd en verwerkt. Dit zou kunnen door burgers een notificatie te sturen of door hen op een andere manier inzicht te geven in het gebruik van hun persoonsgegevens. Dat geeft burgers meer regie over hun persoonsgegevens terug. Burgers kunnen zo zelf inbreuken op hun privacy signaleren. Mijn fractie en ik vinden dat nog steeds van groot belang in een tijd waarin burgers steeds meer de grip op hun gegevens dreigen te verliezen. Zo heb ik de Minister ook gevraagd of hij bereid is om een onderzoek in te stellen naar deze aanvulling op de generieke voorziening. De Minister heeft daarop de reactie gegeven dat er momenteel een traject loopt rond de verdere ontwikkeling van MijnOverheid. Volgens mij zagen we dat net op het scherm. Toch vind ik het nog wat weinig concreet, terwijl de Minister het wel een interessante suggestie vindt. Met dat scherm begint het al iets concreter te worden. Maar goed, ik vraag de Minister dit toch toe te lichten en of hij het met mij eens dat dergelijke innovaties niet moeten wachten, aangezien de generieke voorziening nu al in ontwikkeling is.

Voorzitter. Ik weet eigenlijk niet hoeveel spreektijd ik heb.

De heer Van Raak (SP):

We moeten voor 17.00 uur klaar zijn!

De voorzitter:

U hebt nog ongeveer een halve minuut, mevrouw Oosenbrug.

Mevrouw Oosenbrug (PvdA):

Dan ga ik zeker mijn privacypuntje nog maken.

Tot slot maak ik mij ook grote zorgen over de vraag of er voldoende aandacht is voor privacy in de ontwikkeling van het eID-stelsel. Ik blijf hierop hameren. Privacy is tenslotte een groot goed. De Autoriteit Persoonsgegevens heeft aangegeven dat het eID-stelsel op dit moment niet voldoet aan het «privacy by design»-principe. Is de Minister van plan dit principe alsnog toe te passen voordat de uitvoeringsfase ingaat? Zo niet, waarom niet? Hoe gaat hij er dan voor zorgen dat de privacy van burgers gewaarborgd is? De Autoriteit Persoonsgegevens constateert ook dat er nog onvoldoende aandacht is voor het detecteren en afhandelen van beveiligingsincidenten. Als de Minister daar ook nog op reageert, dan redden we het denk ik voor 17.00 uur en stop ik mijn betoog bij dezen.

De voorzitter:

Het woord is aan de heer Amhaouch. U hebt ongeveer vijf minuten spreektijd, mijnheer Amhaouch, maar ik zal er soepel mee omgaan.

De heer Amhaouch (CDA):

Voorzitter. Ik vind het toch een beetje stuitend dat mijn collega Van Raak banken stigmatiseert door die weg te zetten als criminele organisaties. Je zult maar bij een bank werken en naar dit AO kijken. Ik denk niet dat dit een lekker gevoel is. Dat neemt niet weg dat banken in het verleden, misschien nog steeds, problemen veroorzaakt hebben, maar het gaat heel ver om te zeggen dat het criminele organisaties zijn.

De voorzitter:

Dat vraagt natuurlijk om een reactie van de heer Van Raak. Ik stel voor dat het daar dan ook bij blijft, want we voeren hier een ander debat.

De heer Van Raak (SP):

Ik heb gezegd dat banken semicriminele organisaties zijn. En waarom zijn ze semicrimineel? Nou, omdat banken een zeer grote invloed hebben op het tot stand komen van de wetten. Daarom kunnen ze de wetten zo maken dat ze wel crimineel gedrag kunnen vertonen zonder dat ze daarmee de wet hoeven te overtreden.

De voorzitter:

Ik stel voor dat u daar een andere keer met elkaar verder over discussieert.

De heer Amhaouch (CDA):

Ja, dat doen we dan tijdens een kopje koffie.

Voorzitter. Transparantie en digitale toegankelijkheid stellen burgers en bedrijfsleven in staat, hun zaken of diensten digitaal te regelen. Dit moet leiden tot meer gemak, snelheid en kostenefficiency. Er moet aansluiting gezocht worden met de maatschappelijke ontwikkelingen in het digitale tijdperk. We mogen de kwetsbare groepen, de digibeten, te allen tijde niet uit het oog verliezen. De overheid is er voor iedereen.

Vandaag spreken we over de voortgang van het eID-stelsel. Waar staan we vandaag? Waar komen we vandaan? En, nog veel belangrijker, hoe gaan we verder met de ontwikkelingen op dit gebied? Als ik de stapels rapporten lees die we hebben gekregen, heb ik de indruk dat de Minister onzeker is over hoe concreet moet worden verdergegaan. Dat is mijn conclusie. We hebben rapporten gekregen van het Bureau ICT-toetsing, de Rekenkamer, Panteia en TNO. Bovendien hebben we nog het overkoepelende rapport van de commissie-Kuipers. De commissie trekt een aantal conclusies aan de hand van de pilots en typeert die als momentopnames en korte periodes. Zij stelt dat er geen eenduidige doelen en verwachtingen vanuit verschillende partijen zijn, wat door pilots zou worden aangetoond. Het belangrijkste signaal dat ons bereikt is dat in deze periode het zorgdomein niet in het onderzoek is meegenomen omdat dit pas later is aangesloten. Laat het nu juist dit domein zijn dat hoge eisen stelt aan privacy en waarin de complexiteit het grootst is, gezien de vele tussenschakels in de betrokken organisaties. Welke waarde en welk gewicht hangt de Minister aan de uitkomst van de pilots? Voorzien deze hem van de juiste informatie om beslissingen te nemen die onontkoombaar zijn?

De commissie-Kuipers geeft aan: «Er zijn nog tal van zaken die geregeld moeten worden, wil deze multimiddelenaanpak als geheel kunnen gaan vliegen.» De bekostigingsvraag richting private aanbieders is daarbij een belangrijk punt. Krijgen we dat punt überhaupt weggezet? Anders spreken we namelijk niet over een multimiddelenaanpak. Als ik goed tussen de regels door lees, kom ik tot de conclusie dat de Minister voornemens is om aan alle drie de knoppen van de triple constraint te draaien: tijd, geld en scope. Heeft de Minister nog wel controle over het programma en heeft hij duidelijk welke issues en risico's met impact en prioriteit moeten worden aangepakt om kansrijk door te kunnen gaan?

De Rekenkamer geeft in zijn samenvatting aan dat de Minister ernaar streeft om de governance rond digitale overheid in één hand te leggen, maar stelt vast dat er op dit moment voor het eID-stelsel nog geen sprake is van eenduidige verantwoordelijkheid voor alle domeinen van het stelsel. Tevens geeft de Rekenkamer aan dat de Minister het niet opportuun acht om alsnog een integrale businesscase op te stellen – dat is ook herhaaldelijk gezegd door de collega's hiervoor – terwijl dit toch fundamenteel is voor een juiste afweging van de alternatieven en voor onderbouwde besluitvorming over de definitieve vorm van het eID-stelsel. Kan de Minister daarop reflecteren?

Praten we vandaag over een go/no go of moeten we reflecteren en hebben we met z'n allen helder wat er moet gebeuren om de risico's aan te pakken om wel door te kunnen gaan? In het bedrijfsleven zie je dat projecten uit de klauwen lopen. Om de controle terug te krijgen is het heel belangrijk dat de Minister met zijn team heel helder heeft welke zaken moeten worden aangepakt. Uit de rapporten blijkt dat er op technisch gebied in principe geen showstoppers zijn, maar er worden wel heel veel risico's genoemd. Voor die risico's moeten concrete actieplannen komen.

Verschillende marktpartijen doen mee aan de pilot. Is er sprake van een same level playing field, aangezien er partijen zijn die indertijd herhaaldelijk schriftelijk hebben aangegeven te willen participeren, maar die geen antwoord hebben gekregen? Kan de Minister aangeven of er iets fout gaat en, zo ja, wat? Ik neem aan dat de partijen minimaal recht hebben op een gemotiveerd schrijven.

Mevrouw Koşer Kaya (D66):

Voorzitter. In 2012, bij aanvang van deze coalitie, werden heel grote ambities gesteld in het coalitieakkoord: de overheid gaat digitaal communiceren. Vier maanden voor de verkiezingen is het antwoord: we gaan nu echt beginnen. Er is veel tijd verloren gegaan, maar goed, we kunnen beter vooruit- in plaats van achteruitkijken. De voorwaarden om te beginnen zijn er echter niet, zoals onder anderen mevrouw De Caluwé zei. Het gaat om onder meer de nieuwe authenticatiemiddelen, in zowel het private als het publieke domein, en de wetten die de basis hiervoor moeten vormen. Al die zaken zijn er nog niet. December is genoemd als termijn om de zaken naar de Kamer te sturen. Ik ga zowel de VVD, die dat hier keihard heeft neergezet, als de Minister daaraan houden. Ik ben benieuwd of die zaken voor december naar de Kamer komen. Dat zal wel moeten, want anders kunnen we niet verder. Zo simpel is het.

De Rekenkamer is buitengewoon kritisch over het eID-stelsel en geeft aan dat er geen eenduidige verantwoordelijkheid is voor alle domeinen van het stelsel. Ook is er onduidelijkheid over de inhoud van de toelatingseisen voor het bsn-domein, over de multimiddelenbenadering, over het toezicht en over de privacybescherming. ICT-waakhond BIT is ook buitengewoon kritisch. Hij komt met een waslijst aan verbeterpunten. De kern ervan is dat het gevaar van te grote complexiteit nog niet geweken is. De kans dat de publieke middelen er eind 2017 zijn, is erg klein. De voordelen ervan zijn voorlopig beperkt. Dat is nogal wat. Ik heb daarom een paar vragen. Wanneer zijn de overgebleven vraagpunten van de Rekenkamer weggewerkt? Wanneer is zichtbaar hoe al die BIT-punten in de versnellingsagenda terechtkomen? Wanneer komt het benodigde wettelijke kader naar het parlement? Wanneer worden voor de private sector de randvoorwaarden voor deelname aan het eID-stelsel duidelijk? Hoe wordt voorkomen dat het bsn-koppelregister straks alsnog leidt tot een single point of failure in het systeem?

Ik stel deze vragen niet zomaar. Nederlanders worden nu nog massaal lastiggevallen met onnodig papierwerk. Ze moeten elke keer opnieuw gegevens invullen die de overheid allang heeft. Zo worden ze steeds opnieuw geconfronteerd met pijnlijke situaties. Laatst was er bij de NOS een vrouw die stapels papier moest invullen voor het pgb voor Wlz-zorg aan haar gehandicapte kind. Zij vroeg zich zichtbaar geëmotioneerd af waarom zij zich elk jaar weer door die stapel papieren heen moet werken. Als ik dat zie, breekt mijn hart voor deze dame. Dit geeft aan hoe belangrijk het is dat dit nu eens goed geregeld wordt.

Zij is niet de enige. Bij het digitaliseren van het contact met de overheid geeft de regering prioriteit aan de Belastingdienst en de zorg, maar welk deel van de zorg? Of gaat het hier om de VWS-doelstelling voor 2019 om 80% van de chronisch zieken en 40% van de andere zieken digitaal toegang te geven tot hun medische gegevens? Gaat dat dan alleen om de medische gegevens of ook om al het papierwerk bij overheidsinstanties voor daaraan gerelateerde budgetten, uitkeringen, toeslagen en tegemoetkomingen? Nu lijken de prioriteiten een beetje uit de lucht te vallen. Ik wil daar ook helderheid over hebben. Is geïnventariseerd waar de grootste knelpunten in administratieve lasten voor mensen zitten? Waar gebruikt de overheid het minst van de beschikbare informatie en roept zij de meeste ergernis op bij mensen?

Voor D66 staat privacy altijd voorop. Mensen leveren straks in alle vertrouwen hun gegevens aan de overheid. De Autoriteit Persoonsgegevens, de privacywaakhond, is kritisch. Over de private authenticatiemiddelen is nog het minst duidelijk, terwijl ze op korte termijn nodig zijn voor het succes. Het iDIN-deel, waarmee je via een bank in kunt loggen, lijkt goed te verlopen, maar hoe zit het met het Idensys-deel? Daarvoor is in Nederland volgens het rapport van de commissie-Kuipers nog geen grote markt. Wij krijgen signalen dat de vereisten voor de middelen nog niet duidelijk zijn, waardoor het risico bestaat dat publieke en private middelen straks niet goed op elkaar aansluiten. Kloppen die signalen? Wat betekent dit voor de ontwikkeling van de middelen? Hoeveel van die middelen verwacht de Minister uiteindelijk? Hoeveel zijn er medio 2017 gereed? Wat zijn de kosten? Hoe verhouden deze middelen zich tot publieke middelen?

Tot slot. Privacy en authenticatie zijn voor mijn partij erg belangrijk. Goedgekeurde private authenticatiemiddelen gaan straks een grote rol spelen in het leven van consumenten. Hoe gaat de Minister garanderen dat consumenten controle houden over de informatie die zij op dat moment met een bedrijf delen? Idensys werkt nu met pseudoniemen. Blijft dat zo? Wanneer wordt om aanvullende gegevens gevraagd? Wat gebeurt er als je daar geen toestemming voor geeft? En wat als je wel toestemming geeft? Dan is je pseudoniem niet meer zo anoniem, lijkt me. Kortom, ik heb heel veel vragen. Ik wil straks ook graag duidelijke antwoorden. Dit is zo belangrijk dat wij straks graag een go willen geven, maar daarvoor is wel nodig dat wij zowel de antwoorden hebben als de stukken die nog voor december naar de Kamer moeten. Dan kunnen wij hier vaart mee maken.

De voorzitter:

Dank u. De Minister kan meteen overgaan tot beantwoording in eerste termijn.

Minister Plasterk:

Voorzitter. Dat kan ik inderdaad.

Ik had zojuist al even met de griffier overlegd of ik een heel klein deeltje van mijn tijd zou mogen gebruiken om de heer Mike Nicolaes in de gelegenheid te stellen om een voorbeeldje te laten zien van inloggen op de niveaus substantieel en hoog. De leden van de commissie hebben dat al gezien, maar het is ook voor de mensen die mee zitten te kijken. We gaan zo over allerlei structuren en plannen praten, maar het is wel goed om even te laten zien wat het voor de burger betekent.

De voorzitter:

Daar is bij de leden geen bezwaar tegen. Wij gaan daar graag naar kijken.

Minister Plasterk:

Dank dat u mij de gelegenheid hebt gegeven om kort een praktijkvoorbeeld te geven van de zaken waar wij het over hebben. Ik onderstreep nog eens het verschil tussen beide beveiligingsniveaus. Bij het beveiligingsniveau substantieel moet je bij DigiD één keer inloggen met je identiteitsdocument en pincode. Vervolgens kun je altijd inloggen met iets wat je in je hand hebt, namelijk het middel, zo'n kaartlezer. Voor het beveiligingsniveau hoog moet je elke keer je identiteitsdocument en pincode gebruiken om in te loggen. Dat maakt het voor iemand die passwords hackt of iets dergelijks nog veel lastiger om bij iemands informatie te komen. Hij moet dan niet alleen kennis hebben van de naam en het password, maar moet ook het product in de hand hebben met de pincode die je moet weten. Dat is ook op basis van Europese criteria een hoog niveau van beveiliging.

Laat ik allereerst benadrukken dat wij niet aan de vooravond van een besluit staan. Die indruk heb ik in mijn correspondentie wellicht enigszins gewekt, maar die wil ik hier nadrukkelijk wegnemen. Dit is onderdeel van een ontwikkeling die al jaren gaande is en die ook zeer succesvol is. Laat me twee getallen noemen. Het aantal aansluitingen op DigiD is nu 12 miljoen. Dat is meer dan de helft van de burgers. Daar zitten ook zuigelingen en allerlei anderen bij. Het overgrote deel van de burgers heeft nu DigiD. Verder wijs ik op de spectaculaire cijfers voor de site MijnOverheid, die net ook in de presentatie langskwam. Ik heb daar persoonlijk nog nooit op gekeken, maar dat komt doordat ik niet helemaal van deze tijd ben, want vorig jaar waren daar nog maar 1,5 miljoen mensen met een account terwijl nu 5 miljoen mensen een account hebben op MijnOverheid. Dat is dus een exponentiële groei. Dat gebeurt nu, terwijl wij hier zitten.

Een belangrijk onderdeel van het digitaliseren is dat je kunt bewijzen wie je bent. Wij hebben al eerder met elkaar besproken dat dit tegelijkertijd op een privacysensitieve methode moet gebeuren. Als je online een fles jenever bestelt, is het wel van belang dat je bewijst dat je 18 bent, maar hoeven ze niet allerlei andere dingen over je te weten. Voor allerlei andere functionaliteiten doet leeftijd er misschien juist niet toe. Het gaat er dus om dat je je op maat kunt identificeren met alleen die informatie die nodig is voor het doel. Als je een afspraak met de gemeente wilt maken, wil die weten om welke burger het gaat. De gemeente wil dan dat je inlogt met je DigiD. Daarvoor is het lagere beveiligingsniveau van naam en wachtwoord eigenlijk wel voldoende. In het allerergste geval komt de verkeerde persoon aan de balie. Maar als je iets met je studiefinanciering wilt regelen, moet er additionele beveiliging zijn om te voorkomen dat iemand met wie je zaken wilt doen, eens even gaat kijken hoeveel studieschuld je hebt. Dat is namelijk privacygevoelig.

Wij zijn ons voortdurend bewust van de lessen die de commissie-Elias heeft getrokken over grote ICT-projecten van de overheid. Je moet zo'n project stap voor stap doen. Je moet het transparant doen. Je moet telkens rapporteren en de Kamer op de hoogte houden. Het is dus niet verstandig om één groot «go/no go»-moment vast te leggen. Nogmaals, misschien is er wel correspondentie te vinden waarin die term werd gebruikt, maar wij nemen alle adviezen die wij gekregen hebben van de Rekenkamer, het BIT et cetera serieus en met de wijsheid van vandaag moeten we dat niet doen. Het is een proces. We gaan twee keer per jaar aan de Tweede Kamer rapporteren. De staatsrechtelijke context daarvan is uiteraard dat de regering regeert en dat de Kamer controleert. Ik ga de Kamer dus niet opzadelen met de verantwoordelijkheid om te besluiten of wij dit gaan doen of niet. Stel dat de Kamer «nee» besluit, hoe dacht zij dan verder te gaan regeren? Dat kan natuurlijk niet. De regering moet dus zeggen hoe wij het gaan doen. Zij moet zich tegenover de Kamer verantwoorden. De Kamer kan op enig moment zeggen dat wij het niet zo gaan doen; ik kom zo op een aantal voorbeelden die mevrouw De Caluwé noemde. Dan komen wij terug met een ander plan.

De heer Van Raak (SP):

Als er geen «go/no go»-moment is, hoe voorkomen we dan dat we er straks ineens zijn?

Minister Plasterk:

Dat voorkomen we doordat ik u vandaag op de hoogte breng van de stand van zaken en de voornemens die er nu liggen, in de hoop de Kamer te overtuigen dat het verstandige voornemens zijn. Als de Kamer vindt dat wij het toch niet moeten doen, horen wij dat wel van haar. Zo zou ik het willen doen. Dit is een lang traject. Het stopt niet als er na de verkiezingen van maart volgend jaar op enig moment een nieuw kabinet wordt geformeerd. Ook mijn opvolgers zullen in de toekomst regelmatig aan de Kamer rapporteren over de stand van zaken in dit langlopende project. Dat zal heus weleens interdepartementaal, ambtelijk en wellicht ook politiek bijgestuurd worden.

De heer Van Raak (SP):

Snapt de Minister ook mijn dilemma? Hij zegt: «De regering regeert en de Kamer controleert. Laat ons dit dus ontwikkelen. Dan houden wij u op de hoogte en hopen wij dat u met ons meegaat.» Maar wat als dat niet gebeurt? En ziet hij ook het gevaar van het doorontwikkelen van die pilots zonder dat fundamentele zaken, zoals de zaken die in het rapport van de Algemene Rekenkamer genoemd worden, geregeld zijn? Dan hebben we straks wel een systeem, maar geen goed fundament.

Minister Plasterk:

Ik snap dat. Laat ik ietwat vooruitlopen op wat ik in mijn inleiding wilde zeggen. Op een aantal punten hebben wij de plannen al bijgesteld ten opzichte van eerdere versies, op basis van de kritiek die wij kregen. Er werd bijvoorbeeld gezegd dat de aansturing toch wat diffuus was; lag die bij EZ of bij BZK? We hebben nu één stuurgroep, onder het voorzitterschap van de dg van BZK. Die is daar nu volledig op aanspreekbaar. Daardoor ben ik hier politiek op aanspreekbaar. Er zijn heldere afspraken gemaakt over wie welke verantwoordelijkheid heeft. In de stuurgroep zijn alle dg's van de betrokken departementen vertegenwoordigd. Mijn indruk is dat die stuurgroep voortdurend vergadert. Dat zorgt voor eenduidige besluiten.

Wij hebben ons door de adviezen ook gerealiseerd dat wij het tijdpad iets realistischer moeten maken; wij dachten eerst in 2017 een aantal middelen op de markt te kunnen brengen. Ik ga daar zo nog wat preciezer op in. Ook moeten wij het publieke middel echt beperken tot publieke toepassing. Aanvankelijk was er het plan om dit breder uit te rollen, zodat je het bijvoorbeeld ook zou kunnen gebruiken om een boek te bestellen bij bol.com, maar daarmee zouden wij te veel in de concurrentie komen en zou er geen level playing field meer zijn. Dit is echt bedoeld voor wat het bsn-domein (burgerservicenummerdomein) heet, dus voor interacties met de overheid: studiefinanciering, Belastingdienst, wellicht de zorg, gemeentebestuur et cetera.

Mevrouw De Caluwé (VVD):

Ik ben blij om te horen dat dit geen «go/no go»-moment is, waarbij wij er nu een klap op zouden geven en vervolgens eindeloos zouden doorgaan. Toch begrijp ik de zorgen van de heer Van Raak wel, die zich afvraagt of wij geen uitrol ingerommeld worden, als ik het goed parafraseer. De Minister zegt terecht dat hij dit stapsgewijs gaat oppakken, zoals de commissie-Elias heeft geadviseerd. Dat lijkt mij een goed plan, maar ik zou wel graag een aantal beslismomenten inbouwen waarop wij een tussentijds «go/no go»-moment op onderdelen hebben. Anders gaat dit eindeloos door zonder dat de Kamer er echt een uitspraak over kan doen.

Minister Plasterk:

Ik begrijp die wens. Ik zal daar zo specifiek op reageren. Nog even in algemene zin: het plan dat nu op tafel ligt, houdt in dat wij één stelsel met één uniforme set van eisen maken. De verantwoordelijkheid om te beoordelen of iets daaraan voldoet, berust bij mij. Dat geldt zowel voor de publieke als voor de private middelen. Het zijn dezelfde eisen. Die eisen zullen voor het eind van dit jaar in consultatie worden gegeven. Daarmee komen wij tegemoet aan de vraag van mevrouw De Caluwé naar een uniforme set eisen; maar ik zie haar nee schudden.

Mevrouw De Caluwé (VVD):

De Minister ziet mij inderdaad mijn hoofd schudden. Die uniforme set eisen zou in juni gereed zijn. In de brief van 25 augustus hebben wij gelezen dat die eind december gereed zou zijn. Nu begrijp ik dat die eind december in consultatie wordt gegeven. Dat betekent dat het nog driekwart jaar langer gaat duren. Daar schrik ik enorm van. Die eisen zouden eind dit jaar echt klaar zijn. Er zijn al heel veel eisen. Die lagen er al langer. Men werkt daar al vanaf december aan.

Minister Plasterk:

U corrigeert mij terecht. Dit is onderdeel van het wetsvoorstel GDI. Dat zal in december in consultatie worden gegeven, maar de uniforme set van eisen is dan al door mij vastgesteld.

Mevrouw Koşer Kaya (D66):

Ik probeer de Minister te volgen, maar langzaam bekruipt mij toch het gevoel dat dit straks over de verkiezingen heen wordt getild en dat de volgende coalitie het maar uit moeten zoeken.

Minister Plasterk:

Dat zou u willen!

Mevrouw Koşer Kaya (D66):

Ik zou het niet willen. Deze Minister zou het ook niet moeten willen. Hij zou met zowel de wettelijke ondergrond als de set van eisen moeten komen.

Minister Plasterk:

Ik ben nog maar bij mij inleiding, hè?

Mevrouw Koşer Kaya (D66):

Dan wacht ik het nog even af, maar u bent nu heel voorzichtig: een deel komt naar de Kamer, maar een deel komt pas daarna. Ik hoop dat u straks iets specifieker bent.

De voorzitter:

Dat wachten we even af. De Minister gaat verder met zijn inleiding. Misschien is het goed om de vragen even te bewaren totdat die inleiding voorbij is. Misschien kan de Minister dat dan ook even aangeven.

Minister Plasterk:

Dan zeg ik dat erbij. Dan zeg ik: dit was de inleiding.

De voorzitter:

Goed.

Minister Plasterk:

Er zijn vragen gesteld over de businesscase. Mevrouw De Caluwé, mevrouw Oosenbrug en de heer Amhaouch hebben gezegd dat zij die toch willen zien. Ik begrijp dat. Laat ik er heel precies in zijn. Er is een businesscase. Er was eerder dit jaar al een herijkte businesscase, die we nu aan het updaten zijn zodat de getallen die erin staan zo veel mogelijk kloppen en precies zijn op basis van de kennis die we nu hebben. Ik leg de Kamer voor dat we die businesscase met haar delen – we kunnen dat binnen een maand doen, als we erop duwen – en dan ook publiek maken. Ik heb er nog even goed naar gekeken. Er zit geen marktgevoelige informatie in, dus we kunnen de businesscase met de Kamer delen. Het gaat dan om de businesscase voor het publieke middel. Daarnaast maken we een uniforme set van eisen op basis waarvan private partijen ook producten in de markt kunnen zetten. Daarvoor kan de overheid natuurlijk geen businesscase maken; dat moeten de private partijen zelf beoordelen. Tot zover de businesscase, voorzitter. Wellicht hebt u de toezegging genoteerd dat de businesscase binnen een maand, geactualiseerd en al, met de Kamer publiek zal worden gedeeld.

De heer Amhaouch (CDA):

Ik heb twee toelichtende vragen. De eerste gaat over de reikwijdte. De Minister zegt dat het hierbij alleen gaat over het publieke domein. Heeft hij het dan over de realisatie of over het hele uitrollen, onderhouden en doorontwikkelen van dat stuk? De tweede vraag luidt als volgt. De Minister zegt niet te gaan over de private middelen en geeft aan dat die bij anderen liggen. Als je echter praat over een multimiddelenaanpak, kun je die anderen niet uitsluiten. Je moet dan toch kijken of er een bekostigingsmodel in zit, dus of het überhaupt mogelijk is. Anders hebben we straks alleen Idensys voor het rijbewijs en de ID-kaart. Het huidige rijbewijs is er volgens mij pas vanaf 2014, zodat pas in 2028 iedereen zo'n modern rijbewijs heeft. Wat is dus de reikwijdte van de businesscase?

Minister Plasterk:

Ik wil de businesscase sec publiek maken en dus niet de realisatie- en invoeringsplannen. Ik heb begrepen dat de Kamer eerder met collega Blok hierover heeft gesproken. Daar zit namelijk wel marktgevoelige informatie in. Dat lijkt me ook een kwestie van uitvoering. De businesscase sec zal met de Kamer worden gedeeld. Over onze verwachtingen over private middelen zeg ik het volgende. Ik denk niet dat u mij kunt vragen om een businesscase te maken voor private middelen. Wel kan ik zeggen dat ik er vast van overtuigd ben dat de private markt, als die uniforme set van eisen er is, eigen middelen zal gaan ontwikkelen. Ik weet dat ook omdat we voortdurend contacten hebben met bol.com en allerlei andere leveranciers die groot belang hebben bij digitale identificatie. Zij zullen hun klanten zeker middelen willen aanbieden die ze ook kunnen gebruiken. Natuurlijk heb je een rijbewijs en een paspoort. De meeste burgers zullen voor die paar euro meer die een bedrijf ervoor vraagt, blij zijn met een middel waarmee je jezelf via je iPhone, met gezichtsherkenning of wat voor ander middel dan ook, op een heel creatieve manier kunt identificeren. Ik denk dus dat het naast elkaar zal bestaan.

De heer Amhaouch (CDA):

De Minister trekt dus de conclusie dat hij over het publieke domein gaat en dat hij daarmee verder gaat. Het gaat hier echter om een multimiddelenaanpak. Ergens moet er een moment zijn waarop marktpartijen zeggen: oké, wij gaan meedoen. De Minister moet niet vooruit gaan lopen met Idensys terwijl de marktpartijen zeggen: ja, maar dit gaat hem nooit worden.

Minister Plasterk:

Dat klopt. Dat moment is er als de uniforme set van eisen dit jaar publiek wordt gemaakt. Dan weten de marktpartijen aan welke set van eisen zowel de publieke als de private middelen moeten voldoen. Dan kunnen ze hun product aanbieden.

Mevrouw De Caluwé (VVD):

Ik borduur hier nog even op voort. De heer Amhaouch heeft het over de businesscase. De Minister heeft het over de businesscase voor het publieke middel. Het gaat er natuurlijk om dat het voor de publieke partijen duidelijk moet zijn, op basis van de informatie die wordt gegeven – of die nu in de randvoorwaarden vastligt of in de publieke businesscase – dat zij hun businesscase kunnen bouwen. Het gaat dan om het level playing field en om de randvoorwaarden. Het gaat om vragen of je per tik moet betalen, wie dat dan betaalt en wat de kosten zijn. Ze moeten deliverables hebben, om maar een goed Nederlands woord te gebruiken, op basis waarvan ze hun businesscase kunnen bouwen. Is het rendabel of is het niet rendabel? Daar gaat het eigenlijk om. Of je dat nu een businesscase noemt of dat je het randvoorwaarden noemt, die informatie is nodig.

Minister Plasterk:

Daar ben ik het helemaal mee eens. In de businesscase zal dit ook als zodanig worden vermeld. Ik zal de contouren daarvan schetsen. Voor mij is het uitgangspunt dat de kosten voor de aanschaf van een identificatiemiddel in principe door de burger worden gedragen. Dat creëert ook een level playing field. Per tik, dus per volume van hoe vaak je het wilt gebruiken, betaalt in principe de afnemer. Als een dienst of een bedrijf zegt «wij willen dat u zich zoveel keer identificeert», moet dat bedrijf of die dienst dat zelf weten, maar die moet dat volume dan bekostigen. Voor het stelsel en het toezicht daarop staat de overheid op de rol. Wij denken dat er voor het beheren van het hele bsn-domein, dus het hele publieke domein, uiteindelijk structureel een budget van 36 miljoen nodig is. Daarover bestaat overeenstemming in de stuurgroep van dg's. De Kamer zit heel scherp op het beleid en ik geef alle informatie die er is. Nog niet in steen gebeiteld is de wijze waarop die 36 miljoen dan over de verschillende departementen wordt verdeeld op basis van het te verwachten gebruik. Dat besluit ligt voor. Voor alle departementen die in de stuurgroep zitten is dit een reële schatting van de uiteindelijke structurele beheerskosten.

Mevrouw De Caluwé (VVD):

Dank voor dit antwoord. Het belangrijkste is dat helder is dat de private partijen op basis van de informatie die wordt gegeven, een businesscase kunnen maken.

Minister Plasterk:

Dat is ook precies de bedoeling.

De heer Van Raak (SP):

Aanvullend hierop heb ik twee vragen om de zaken helder te krijgen. De identificatiemiddelen die door commerciële partijen worden ontwikkeld, zullen dus geen identificatiemiddelen zijn die burgers kunnen gebruiken in hun contact met de overheid?

Minister Plasterk:

Jawel. Als die voldoen aan de uniforme set van eisen, kan dat. Als de burger, die waarschijnlijk al een identificatiekaart of rijbewijs heeft, zegt dat hij het liever met zijn andere pasje doet, dan kan dat indien dat aan de set van eisen voldoet. Dat is onderdeel van het level playing field waarom werd gevraagd.

De heer Van Raak (SP):

Ik doe dan wel een ernstig beroep op de Minister. Een aantal zaken gaat hier heel erg door elkaar lopen, namelijk de publieke verantwoordelijkheid ...

Minister Plasterk:

Die zit bij mij.

De heer Van Raak (SP):

Ja. Wat gaan de bedrijven doen met al privacygevoelige informatie? De Minister heeft het vermoeden dat hij dit kan afdichten door eisen te stellen aan de ontwikkeling van de identificatiemiddelen. Hij kan geen eisen stellen aan de moraal van bedrijven of aan de manier waarop bedrijven met de gegevens omgaan. Misschien willen ze die wel commercieel uitbuiten. Hoe wil de Minister dat controleren?

Minister Plasterk:

De burgers zijn er zelf bij en bepalen zelf welke informatie zij met private partijen willen delen. Wij zijn het er waarschijnlijk over eens dat er soms een te grote bereidheid is van burgers om allerlei informatie maar te delen met private partijen. Dat moeten ze zelf weten, maar ik zal ervoor zorgen dat in de uniforme set van eisen staat waaraan de privaat aangeboden identificatiemiddelen moeten voldoen, inclusief de inbedding in de privacywetgeving en inclusief het toezicht dat erop wordt gehouden.

Mevrouw Koşer Kaya (D66):

Met dien verstande dat de klant zijn gegevens beheert en dus ook kan inzien wat er uiteindelijk met die gegevens gebeurt. De klant gaat over zijn gegevens. Daarover zijn we het eens. De klant houdt ook zelf grip erop in de zin dat hij kan inzien wat er met zijn gegevens gebeurt. Als er dingen gebeuren die volgens de randvoorwaarden niet mogen, heeft de klant de instrumenten om direct aan de slag te gaan om het te corrigeren. De klant is dus de sleutelhouder.

Minister Plasterk:

Ja, de techneuten spreken van de inzagefunctie. Daarin is voorzien. Dit zal ook in de wet worden vastgelegd.

Dat brengt mij tot mijn laatste algemene opmerking alvorens ik inga op de specifieke vragen. Deze opmerking betreft het begrip level playing field. Gisteren heb ik brieven ontvangen van VNO, Idensys en een aantal andere organisaties. Aan de ene kant zeggen zij: maak vaart, ga door, laten we niet in elkaars koplampen blijven kijken maar laten we het doen. Aan de andere kant leggen zij de nadruk op een aantal punten, zoals de governance – daarover hebben we zojuist al even gesproken – en het level playing field. Laat ik daar heel precies in zijn. Het level playing field houdt op de eerste plaats in dat publieke en private middelen aan dezelfde eisen moeten voldoen om te worden toegelaten. Dat maakt het dus gelijk.

Het zit hem ook in het volgende. Wanneer op een publiek middel, dus een rijbewijs of een identiteitskaart, een identificatiemiddel wordt aangebracht, is het voornemen om de kosten daarvan aan de klant of de burger door te berekenen. Het gaat dan om een paar euro. Dat laat het volgende onverlet, maar dat kan ik niet wegnemen. Mensen die een rijbewijs hebben omdat ze graag in een auto zitten, hebben daarmee een identificatiemiddel. Dat zal een zekere invloed hebben op de neiging van mensen om bij het bestellen van boeken of jonge jenever een apart identificatiemiddel aan te schaffen. Mijn verwachting is eerlijk gezegd dat ze dat wel zullen willen en dat mensen dus niet alles met hun identiteitskaart of rijbewijs zullen willen doen. Mensen zullen dus verschillende middelen willen hebben, het ene voor in de broekzak en het andere voor in de portefeuille. Door volledige transparantie, door het doorberekenen van de kosten et cetera zullen we ervoor moeten zorgen dat er zo veel mogelijk een level playing field wordt gegenereerd. Het blijft echter zo dat als iemand een rijbewijs heeft, hij alvast één middel heeft dat hij om andere redenen al had.

Hiermee ben ik door mijn inleiding heen, voorzitter. Ik heb al een aantal punten besproken waarnaar specifiek is gevraagd. Ik zal nu de sprekers langslopen en eindigen met eventueel nog resterende vragen.

Ik heb antwoord gegeven op de vraag van mevrouw De Caluwé over het finale uitrolbesluit. Ik ben het met haar eens dat dit besluit nu niet wordt genomen. Ook hebben we al gesproken over de uniforme set van eisen. Over de programmering heb ik in de brief van 25 augustus geschreven. In 2017 gaan we nog door met de uitvoering van de pilots tot aan het maximum van 300.000 gevallen. In de eerste helft van 2018 komen we met een rijbewijs dat is voorzien van een identificatiemiddel. In de tweede helft van 2018 wordt de identiteitskaart voorzien van een identificatiemiddel. Die kan dan worden gebruikt voor het niveau hoog. Je moet altijd oppassen met beeldspraak. Mevrouw De Caluwé gebruikte het woord fundament. Dat klinkt alsof je een kasteel hebt gebouwd terwijl er nog geen fundament onder zit. Er zijn allerlei vormen van postmoderne architectuur waarbij er een hoop kan, maar de oude kathedralen hingen allemaal op die bogen aan de buitenkant, niet op het fundament. Dat was de overgang naar de gotiek vanuit de romaanse architectuur. OCW was ook een heel mooie portefeuille, voorzitter! Hoe dan ook, voor het einde van het jaar komen we met de uniforme set van eisen. Met welke beeldspraak je dat ook wilt aanduiden, dit zal voor alle partijen helder maken waaraan men moet voldoen.

Dat brengt me bij het lijstje van vijf eisen van mevrouw De Caluwé. Ten eerste was dat een uniforme set van eisen. Ten tweede was dat de businesscase. Daarover hebben we zojuist gesproken. Ten derde noemde zij de afspraken met private partijen, inclusief het level playing field. Daarop ben ik ingegaan. Ik zal er alles aan doen om het zo «level» te maken als ik kan, met dien verstande dat mensen altijd een rijbewijs zullen willen hebben als ze in een auto willen rijden, maar daar ontkomen we niet aan. Ten vierde noemde ze de governance. Ik ben het ermee eens dat die aanvankelijk wat diffuus was. We hebben dat dus verhelderd. Het heeft geholpen om tegen het Rijk te zeggen: luister eens, ook de Kamer dringt aan op een eenduidige aansturing. Die hebben we gerealiseerd in de stuurgroep waarvan mijn buurvrouw de voorzitter is en waarop ik politiek aanspreekbaar ben. In die stuurgroep zijn alle betrokken departementen vol vertegenwoordigd. Het belang voor bijvoorbeeld de Belastingdienst of VWS van het ontwikkelen van identificatiemiddelen, ook op de korte termijn, is enorm; vandaar dat we dit echt in gezamenlijkheid moeten doen. De Wet GDI, die de wettelijke basis hiervoor legt, komt aan het einde van het jaar in consultatie. Hopelijk wordt dit wetsvoorstel het jaar hierop behandeld. Ik denk dat ik hiermee de vijf eisen of randvoorwaarden van mevrouw De Caluwé heb besproken.

Mevrouw De Caluwé (VVD):

Ik dank de Minister voor de toezegging om dit allemaal te regelen. Ik heb twee korte vragen. De eerste gaat over de private partijen en het level playing field. De Minister zegt dat dit wordt uitgewerkt. Gaat hij ook in overleg met de private partijen om samen met hen te komen tot afspraken over het level playing field? Anders wordt er steeds heen en weer gesteggeld. De tweede vraag gaat over de governance. Het is prima dat er een projectgroep is, maar de governance wordt ook altijd vastgelegd, inclusief het toezicht en de termijnen voor evaluatie. Governance is dus meer dan een projectgroep. Gaan we naast de stukken die al zijn toegezegd, voor het eind van het jaar ook op papier zien hoe de governance precies is belegd? Dat zou ik graag willen zien.

Minister Plasterk:

Laat ik met dat laatste beginnen. De governance moet onderdeel zijn van de wet die eind dit jaar ter consultatie wordt voorgelegd. Wat het overleg met de private partij betreft: dat zeg ik toe, maar het moet wel duidelijk zijn dat de verantwoordelijkheid, bijvoorbeeld voor een uniforme set eisen, bij mij ligt. Het is niet een op overeenstemming gericht overleg, zoals we dat in de arbeidsmarktsector noemen. We gaan op een serieuze manier met elkaar in gesprek. We realiseren ons ook – ik bestel dagelijks bij internetboekhandels – dat zo veel mogelijk privacy en veiligheid en een goede toegankelijkheid voor de burger van groot belang zijn.

De voorzitter:

Er zijn nog wat vragen naar aanleiding van dit onderwerp.

De heer Amhaouch (CDA):

Over de governancestructuur zei de Minister tussen de soep en de aardappelen door dat die wordt gekoppeld aan de wet. Kan hij dat toelichten?

Minister Plasterk:

Neem het toezicht dat wordt gehouden. Wat mij betreft komt dat bij de autoriteit telecom, maar dan loop ik wat vooruit op de wet. Dat zal vastliggen.

De heer Amhaouch (CDA):

Volgens mij hebben we het bij de governancestructuur ook over eenduidige verantwoordelijkheden binnen de departementen. U hebt immers van doen met Economische Zaken en met VWS. Hoe ziet die governancestructuur eruit in het herijkte programma?

Minister Plasterk:

We zijn een project aan het uitvoeren. We buigen ons nu over de invoering ervan. Daar zit een stuurgroep op. De kritiek was dat de aansturing en de ambtelijke en uiteindelijk ook finale politieke verantwoordelijkheid diffuus waren. Met de collega's van EZ en andere departementen zijn we om tafel gaan zitten en zijn we gekomen tot de projectstructuur die nu voorligt. Op een gegeven moment wordt een en ander ingevoerd en dan gaat het erom wie het toezicht houdt. In de wet worden de verantwoordelijkheden vastgelegd. Ik krijg nu iets aangereikt, maar ik denk niet dat de heer Amhaouch vroeg naar het invoeringsrealisatieplan. Daarover is al eerder contact geweest.

Mevrouw Koşer Kaya (D66):

Allereerst constateer ik dat wetgeving slechts ter consultatie zal worden aangeboden. Daarmee wordt de verdere afwikkeling aan het volgende kabinet overgelaten. Dat is buitengewoon jammer. Ik had graag gewild dat de Minister het wetsvoorstel behandelde, samen met de Kamerleden die hier zo direct bij betrokken zijn. Het is handig om het hele proces te hebben meegemaakt, dus ook het wetgevingsproces. Mijn vraag gaat over de doorzettingsmacht. Het is heel mooi dat er een werkgroep is die allerlei dingen uitzoekt, maar de Algemene Rekenkamer zegt eigenlijk: als the shit hits the fan – dat zijn mijn woorden – dan moet er wel een doorzettingsmacht zijn. Wie heeft die? Wordt dit punt meegenomen in de werkgroep?

Minister Plasterk:

Rule number one is: als the shit hits the fan, ben ik verantwoordelijk. Laten we dat maar als uitgangspunt nemen.

Mevrouw Koşer Kaya (D66):

Dan is ook de Minister van Binnenlandse Zaken degene die verantwoordelijk is voor de uitwerking, de implementatie en het oplossen van problemen. Dan zegt u als Minister van BZK niet: voor dat deel moet u daar zijn?

Minister Plasterk:

Ik ben coördinerend Minister voor de digitale overheid. Ik ben aanspreekbaar op de samenhang van wat er gebeurt en op de gemeenschappelijke producten die er worden gemaakt. Neem een onderwerp waarover in de Eerste Kamer uitgebreid discussie is geweest: het elektronisch patiëntendossier. De verantwoordelijkheidsverdeling daar is als volgt. Ik heb een coördinerende rol om te zorgen voor middelen waarmee men zich op een hoog beveiligingsniveau kan identificeren. Dat middel kun je gebruiken om toegang te krijgen tot je eigen medische informatie en vervolgens aan te geven met welke apotheek of welke dokter je die informatie wilt delen. Of dat ook wenselijk is, is een verantwoordelijkheid van de Minister van VWS. Daarover zal die Minister met de Kamers in debat moeten. Ik ben niet opeens ook Minister van VWS geworden als het gaat om de vraag hoe de dokter met patiëntgegevens moet omgaan. Ik ben wel verantwoordelijk voor het identificatiemiddel dat we aan het ontwikkelen zijn.

De voorzitter:

Daarover heeft de Minister van VWS gisteren nog gesproken in de Eerste Kamer.

Mevrouw Oosenbrug (PvdA):

Zo raken we toch weer een gevoelig puntje. Over de rol van coördinerend Minister heb ik regelmatig ruzie met de coördinerend Minister voor privacy. Die vindt namelijk ook dat hij over heel veel dingen niet gaat. Dit is een ongelooflijk belangrijk project. Toen ik begon in de Kamer, begonnen we ook met dit onderwerp. Nu zijn we vier jaar verder en hebben we nog maar kleine stapjes gezet. Gedurende die vier jaar hebben wij voortdurend de vraag gesteld waar de doorzettingsmacht zit. Wie is nu degene tegen wie wij kunnen zeggen: u moet nu tegen uw collega's zeggen «tot hier en niet verder»? Of: u moet nu kunnen zeggen «we gaan het op deze manier doen»? Wie heeft op dit moment deze doorzettingsmacht? Daarop willen wij echt een helder antwoord.

Minister Plasterk:

Ik geloof dat het Dries van Agt was die zei: de Staatssecretaris is een beklagenswaardige functionaris in ons bestel. Dat is lang gelegen en inmiddels heeft de Staatssecretaris een eigenstandige rol gekregen, gelukkig. De coördinerend bewindspersoon is in zekere zin een beklagenswaardige functionaris. Hij legt tegenover de Kamer verantwoordelijkheid af over bijvoorbeeld Koninkrijksrelaties, maar over de gezondheidszorg op Statia moet hij zeggen: daarvoor is de Minister van Volksgezondheid verantwoordelijk, ook in dat deel van Nederland. Als coördinerend bewindspersoon moet je je rol actief invullen. Als het onduidelijk is, ben ik degene die naar de collega toestapt en zegt: de Kamer heeft mij in mijn hoedanigheid van coördinerend Minister gevraagd om dit uit te zoeken. Ik zorg ervoor dat er een antwoord komt en ik eis ook dat er een antwoord komt. «Ik ga er niet over» kan nooit een excuus zijn. Laten we automatisering en identificatie als voorbeeld nemen. Als één persoon in een volgend kabinet in zijn eentje volledige doorzettingsmacht heeft ten aanzien van de wijze waarop de Belastingdienst met gegevens omgaat of VWS met patiëntgegevens, zal dat nooit werkbaar zijn. Het identificeren is een dusdanig integraal onderdeel van het leven in een samenleving, dat ieder departement daar op een gegeven moment tegen aanloopt en er binnen de portefeuilleverantwoordelijkheid mee te maken krijgt. Aangezien we streven naar één stelsel, ligt de stelselverantwoordelijkheid bij één bewindspersoon. Die heeft een coördinerende rol. In het huidige team is dat de Minister van BZK. Maar ik ben het ermee eens, ik denk ook weleens: als ik alle macht had, zou het beter gaan in het land.

Mevrouw Oosenbrug (PvdA):

Ik luister goed naar de Minister en ik snap het ook, maar ik vind het heel lastig, al vier jaar lang, om mijn controlerende taak als Kamerlid goed uit te voeren. Soms weet ik niet bij wie ik moet zijn. Het is fijn dat de Minister zijn coördinerende rol serieus neemt en de Kamer uitnodigt om met vragen bij hem te komen, zodat hij zijn collega's kan aanspreken. Dan proef ik al meer doorzettingsmacht dan ik bij andere Ministers proef. Ik ben hier dan ook heel blij mee. Dit is dus geen vraag, maar een aanvulling. Dank voor de uitleg.

Minister Plasterk:

Op de kritiek van de heer Van Raak heb ik al gereageerd. De banken maken geen publiek middel. Dat moet helder zijn. Onder het eID-stelsel valt DigiD hoog – dat is de nieuwe terminologie – en substantieel. Dat is het publieke middel. De banken zijn, samen met de Belastingdienst, iDIN gaan doen. Idensys is een verzamelnaam voor wat er aan private producten verder wordt aangeboden. Alle partijen moeten aan dezelfde uniforme set eisen voldoen als ze willen acteren binnen het bsn-domein.

De heer Van Raak (SP):

Dit is wel een aangelegen punt. Burgers komen vaker in contact met banken dan met de overheid. Ze kunnen zeggen: ik ben dat ding van de bank gewend, dus dat gebruik ik ook voor mijn communicatie met de overheid, bijvoorbeeld met de Belastingdienst of de gemeente. In hoeverre krijgt zo'n bank dan gegevens in handen die men anders niet in handen krijgt?

Minister Plasterk:

We hebben uitgesloten dat leveranciers van private middelen de gegevens kunnen inzien. Dat zal in die uniforme set van eisen en ook in het wettelijke kader worden geregeld. Ik ben het ermee eens dat dit belangrijk is. Anders zou je stiekem een bestand kunnen aanleggen om gegevens te vergaren.

De heer Van Raak (SP):

Die banken kennen toch weinig scrupules.

Minister Plasterk:

Laat ik het verruimen. Laatst was ik op een seminar over privacy en automatisering. Als je op internet surft en op «vakantie» zoekt, kan het feit dat je op een Applecomputer komt aansurfen voor de aanbieder van vakanties al een reden zijn om te denken: dat is iemand die kennelijk bereid is om iets meer te betalen voor wat extra luxe. Vervolgens biedt hij een ander pakket vakanties aan dan wanneer iemand op een goedkope Windowscomputer komt aansurfen. Commercieel is dat misschien nog wel slim ook, maar op de een of andere manier is het een onaangenaam idee dat informatie waarvan je helemaal niet weet dat je die deelt, kennelijk toch wordt meegestuurd. Ik zou het wel willen weten als mijn buurman een ander product krijgt aangeboden. Er zijn dus veel meer voorbeelden, ook in het commerciële domein. Iedereen moet zich ervan bewust blijven waar zijn informatie heen gaat. Dit is een kwestie die blijft terugkomen. Mensen vullen vaak ook spontaan van alles in en gaan akkoord met allerlei dingen die op websites staan.

De heer Van Raak (SP):

Ik zou de Minister daar graag in een coördinerende rol zien. Stel dat wij op papier een afspraak maken met zo'n bank. Dus: als je een identificatiemiddel maakt, moet het aan die voorwaarden voldoen. Dan is het op papier geregeld en mogen burgers ook het identificatiemiddel van de bank gebruiken voor de communicatie met de overheid. Dat staat dan netjes op papier, maar het is een technisch instrument, een ICT-instrument. Het is toch vrij makkelijk voor een bank, lijkt mij, om daarin een achterdeurtje te maken en zo allerlei informatie bij de bank terecht te laten komen? Hoe kun je dat voorkomen? Moeten wij als overheid gaan hacken? Hoe gaan wij dat controleren?

Minister Plasterk:

Het is aan de toezichthouder om dat te controleren. Die heeft dadelijk ook de wettelijke bevoegdheid om informatie op te vragen en een en ander uit te zoeken. Laat het niet zo zijn dat een bank zich niet aan het wettelijk toezicht houdt, want dan hebben we echt een probleem!

De voorzitter:

Niet buiten de microfoon praten, mijnheer Van Raak.

Minister Plasterk:

De toezichthouder moet erop toezien. Dat is mijn antwoord. Hij zal ook de instrumenten en de bevoegdheden moeten hebben om dat effectief te doen.

Ik loop nog even de vragen van mevrouw Oosenbrug langs. Over de financiering hebben we met elkaar gesproken. Er is 23 miljoen vrijgemaakt voor de invoeringsfase. Ik zal in het businessmodel ingaan op de verdeling van de kosten. Ik heb net de contouren geschetst van overheid, gebruiker en afnemer van identificatiemiddelen. We verwachten, zoals gezegd, 36 miljoen structureel aan kosten. We gaan nu na hoe dat over de departementen moet worden verdeeld. Op IRMA kom ik nog terug. Als het aan de uniforme set van eisen voldoet, is het welkom. Dat is het korte antwoord. «mijn.overheid.nl» noemde ik in mijn inleiding een succes dat een beetje langs mij heen is gegaan. Ik zit niet zo veel op die site, maar kennelijk is het bezoek verdrie- of verviervoudigd. De site heeft z'n nut bewezen. Het belang van privacy is precies de reden dat we een goed beveiligde identificatie willen, zodat duidelijk is dat partijen ook zijn wie ze zeggen te zijn.

De heer Amhaouch vroeg om volledige transparantie. De toezichthouder is de autoriteit telecom. Op het punt van «go/no go» ben ik al uitgebreid ingegaan.

Dan zijn er nog een paar vragen van mevrouw Koşer Kaya. Die behandel ik apart.

De voorzitter:

De heer Amhaouch heeft nog wel een vraag.

De heer Amhaouch (CDA):

Op een aantal vragen die ik heb gesteld, heb ik geen antwoord gekregen. Hoe kwalificeert en weegt de Minister de uitkomst van de onderzoeken van de pilots? Het is een korte periode: maart/april. Hoe weegt hij een en ander om de juiste beslissingen te kunnen nemen? Kan hij vol overtuiging zeggen: ik heb alle informatie die ik moet hebben, het onderzoek van de pilots heeft mij die gebracht, zodat ik nieuwe besluiten kan nemen en het programma kan bijsturen?

Minister Plasterk:

Ik zeg ja, maar ik zeg erbij dat het een kwestie blijft van voortschrijdend inzicht. Wij kunnen op elk moment stuiten op iets waarbij er een complicatie boven water komt; daarom zijn pilots ook pilots. Dat kan betrekking hebben op het gebruikersgemak, het privacyaspect of de regelgeving. Dan zullen wij daarop moeten acteren. Mevrouw Koşer Kaya vindt het met mij jammer dat wij de parlementaire behandeling niet helemaal in deze bezetting met elkaar zullen kunnen afronden, maar wij zullen de uitkomst van de pilots kunnen meenemen bij wat wij in de Wet GDI vastleggen.

De heer Amhaouch (CDA):

Ik heb zojuist al specifiek aangegeven dat het zorgdomein niet in de onderzoeken zit. Die kwamen pas langzaam op gang en het is volgens mij in het TNO-rapport niet meegenomen. Men heeft daarover geen oordeel kunnen geven. Kan de Minister toezeggen dat hij in het verloop van de pilots nog kritisch kijkt naar de resultaten die uit het zorgdomein komen? Daar gaat het namelijk over. Wij hebben de privacy geborgd, evenals de complexiteit, waar ook het BIT over praat.

Minister Plasterk:

Ja. Dat zeg ik toe.

Ik kom nog op een aantal resterende vragen. Ik dacht dat ik de vragen van mevrouw De Caluwé heb beantwoord.

Mevrouw De Caluwé (VVD):

Ik heb nog aangegeven dat DigiD hopeloos verouderd is en dat dit de aanleiding was voor eID. In de brief stond dat ik om een DigiD hoog zou hebben gevraagd. DigiD substantieel is for the time being, als overbrugging, maar hoe zit het met DigiD hoog? Ik neem aan dat de Minister bedoelde het publieke middel hoog en niet DigiD hoog.

Minister Plasterk:

Ik heb gisteren nog met mijn dg een lang gesprek gehad over het gebruik van namen en woorden. Ik wilde wel dat ik dat helemaal in de hand had, maar het is net als met koosnaampjes: soms worden die op een bepaalde manier gebruikt. Ik had in gedachten dat wij zouden ophouden over DigiD en dat het eID zou worden. Ik geloof echter dat wij moeten leren leven met de terminologie waarmee nu wordt gewerkt. Onder het stelsel eID vallen drie categorieën, namelijk iDIN van de banken, Idensys van private partijen en DigiD, dat in verschillende smaken, verschillende categorieën, komt. Met name hebben wij het dan over DigiD hoog. Daarmee is dat woord op die manier geëvolueerd. Mijn suggestie zou zijn om ons daar maar bij neer te leggen, want als wij nu weer nieuwe woorden gaan hanteren, verlies ik een hoop begrip aan de andere kant.

Mevrouw De Caluwé (VVD):

Het ontwikkelen van nieuwe termen kost soms al € 30.000, dus laten wij dat vooral niet doen. Het gaat mij erom dat technisch DigiD, heel plat gezegd, «gekeeld» wordt. Als de naam nog wordt gehanteerd, vind ik dat prima, maar DigiD zoals deze bestaat is gewoon niet houdbaar. Het is oude technologie, dus ik mag hopen dat de nieuwe DigiD een totaal nieuwe technologie en up-to-date is.

Minister Plasterk:

Ik kan dat bevestigen.

Met mevrouw Oosenbrug hebben we gesproken over de financiering van 23 miljoen. Die is bedoeld voor de inrichting van het stelsel en de ontwikkeling van het publieke inlogmiddel op het hoogste beveiligingsniveau. Dat is aanvullend op de middelen die al via de Digicommissaris beschikbaar zijn gesteld. Die heb ik nog niet genoemd. Ik noemde zojuist het comité van dg's. In de aansturing krijgen wij voortdurend input van de Digicommissaris over al deze onderwerpen, die buitengewoon waardevol is.

De wetgeving-e wordt eind 2017 bij de Tweede Kamer ingediend, maar de consultatie is al eind 2016 gereed. Die versie is openbaar en kan al een eigen rol gaan spelen.

De heer Van Raak vroeg of wij de veiligheid afhankelijk maken van de banken. Ik heb daarop antwoord gegeven. De eisen die daaraan worden gesteld, zitten in een uniforme set van eisen. De banken mogen die niet zelf bepalen. Wij hebben een toezichthouder om daarop toezicht te houden. Ik deel de waarneming van de heer Van Raak dat dit niet altijd betekent dat iedereen zich daar onmiddellijk aan houdt, maar het is ze wel geraden, want anders krijgt men een strenge toezichthouder aan de broek.

De Autoriteit Persoonsgegevens heeft adviezen gegeven over privacy. Die hebben wij sindsdien ook gebruikt in het bijgestelde plan. Dat gaat een belangrijk onderdeel uitmaken van die uniforme set van eisen, die in december zal worden aangeboden.

Over de complexiteitsreductie waar mevrouw Oosenbrug naar vroeg heb ik gesproken. Aanvankelijk zaten wij in een publiek-private samenwerkingsconstructie. Wij hadden de ambitie om ook publieke middelen voor privaat gebruik aan te bieden. De aansturing was vanuit de departementale vertegenwoordiging wat diffuus. Op al die punten hebben wij goed naar de adviezen geluisterd.

Dan kom ik op IRMA. Wie kent het niet? Het korte antwoord is dat een en ander zal worden getoetst aan de uniforme set van eisen, als een van de eID-middelen die toelating wensen tot het bsn-domein. Wij hebben er nota van genomen dat mevrouw Oosenbrug daar hoge verwachtingen van heeft. Dan komt het vast goed, want zij heeft er echt verstand van.

De heer Amhaouch vroeg hoe is omgegaan met partijen die niet met de pilots mochten meedoen. Bij mijn weten is er steeds een gemotiveerde afwijzing gegeven, maar het zou natuurlijk kunnen dat partijen dat jammer vinden of er niet blij mee zijn. Wij hebben ze wel netjes en gemotiveerd geïnformeerd.

De heer Amhaouch (CDA):

Mijn informatie is anders, maar ik zal in ieder geval doorgeven dat partijen gewoon netjes een motivering mogen verwachten.

Minister Plasterk:

Laten we dat afspreken. Als de heer Amhaouch informatie heeft dat het anders is, hoor ik het wellicht na deze vergadering en dan kunnen wij het misschien ambtshalve repareren. Het zou wel zo moeten zijn

Over het structurele toezicht heb ik gesproken. Voor de hand liggend is in mijn ogen het Agentschap Telecom van het Ministerie van EZ. Dat zal een wettelijke grondslag krijgen.

Ik heb antwoord gegeven op de vraag van mevrouw Koşer Kaya wanneer de Wet GDI komt. Had het niet veel eerder gekund? Ik weet het niet. Wij hebben ook alle input moeten verwerken en de pilots moeten uitvoeren.

Er is gevraagd naar Idensys. Ik verwijs naar de brief van mevrouw Plooij die ik eergisteren namens het hele platform kreeg. Die brief ondersteunt deels wat wij nu doen. Daarin wordt nog eens de nadruk gelegd op het level playing field. Op de vraag daarover van mevrouw de Caluwé heb ik zojuist antwoord gegeven.

Daarmee heb ik de gestelde vragen beantwoord.

De voorzitter:

Ik stel voor dat wij aan de tweede termijn beginnen. Daarin geef ik als eerste het woord aan mevrouw De Caluwé.

Mevrouw De Caluwé (VVD):

Voorzitter. Ik dank de Minister voor zijn beantwoording in eerste termijn en voor de toezeggingen die hij aan mij en aan collega's heeft gedaan. Ik recapituleer ze even voor de zekerheid.

In december komt er een uniforme set randvoorwaarden.

Verder noem ik de businesscase voor eID met het financiële plaatje en de afspraken met de private partijen over de operationele fase, onder meer over voorwaarden, kosten en het level playing field. De Minister heeft daarbij aangetekend dat dit niet een soort cao-onderhandeling is. De private partijen worden er echter wel bij betrokken... Ik zie nu aan de Minister dat ik hem beter zo kan parafraseren: er komt informatie over de operationele fase die belangrijk is voor de private partijen, over voorwaarden, kosten en level playing field.

Ik kom zo nog even terug op de governance.

Het wetsvoorstel Wet GDI is gereed in december en gaat dan in consultatie.

Over de governance waren nog wel wat vragen, ook van collega Amhaouch. Het zou mij een lief ding waard zijn als er een brief naar de Kamer kwam over de wijze waarop die governance wordt vormgegeven. Hoe zit het met de structuur en hoe zijn de doorzettingsmacht en het toezicht geregeld? Het is prima dat delen daarvan in het wetsvoorstel komen, maar ik zou het heel fijn vinden als het in die brief op een rijtje werd gezet.

Ik kom op de eHealthtoepassingen. De patiëntenverenigingen hebben gevraagd om een ingroeimodel vanaf volgend jaar met een middel op niveau substantieel. Dat zou het tijdelijke middel DigiD substantieel kunnen zijn. Kunnen zij in het kader van de pilots daaraan volgend jaar al deelnemen? Is daar een mogelijkheid voor? Er zijn waanzinnige toepassingen voor trombosepatiënten en alzheimerpatiënten, waardoor zij soms maanden langer thuis kunnen blijven. Dat zijn heel mooie toepassingen, maar die hebben wel een beter beveiligingsniveau nodig. Zij zouden heel graag een ingroeimodel willen zien naar het niveau hoog, waar zij eigenlijk aan toe zijn.

Wat het wetsvoorstel Wet GDI betreft zou ik graag willen zien dat de Minister zich er hard voor maakt dat het eind 2017 is geïmplementeerd, want anders kunnen wij niet los met de uitrol.

Over de privacy zegt de Minister dat de bescherming daarvan wordt vastgelegd in een uniforme set van eisen. Onderdeel daarvan moet zijn dat er geen hotspots kunnen ontstaan. De heer Van Raak heeft gezegd dat er allerlei verzamelingen gegevens ergens terechtkomen. Het is van belang dat de end-to-end encryptie is geregeld.

Ik zou heel graag in januari bij elkaar willen komen naar aanleiding van al die dingen die door de Minister zijn toegezegd, om dan een beslismoment in het stappenplan te hebben en te spreken over de dingen die dan zijn opgeleverd.

De voorzitter:

Het is natuurlijk aan de Kamer zelf om in een procedurevergadering af te spreken om daar weer op terug te komen.

Het woord is aan de heer Van Raak.

De heer Van Raak (SP):

Het lijkt mij wel een goed idee.

Voorzitter. De Minister zegt vandaag: het is een misverstand dat er een «go/no go»-moment moet zijn. Ik denk dat de overweging daarover mede is ingegeven door het feit dat, als de Minister om een go of no go had gevraagd, het geen go maar een no go zou zijn geworden. Dat komt doordat de Kamer op dit moment niet is overtuigd. Hoe gaat het met zo'n project? Je kunt een blauwdruk maken, maar dan weet je zeker dat het niet gaat lukken. Je kunt werkendeweg gaan werken, maar dan weet je niet waar je terechtkomt. De Minister zegt nu: ik wil graag doorgaan met de pilots. Hij zal de Kamer dan laat informeren over de randvoorwaarden. Ik snap waarom de Minister dat doet en ik snap dat hij geleerd heeft van eerdere onderzoeken op het gebied van ICT en overheid. Toch zit het nog niet goed. Daarom lijkt het mij goed om het in januari erover te hebben, als wij die randvoorwaarden hebben. Het probleem blijft echter dat er van alles wordt ontwikkeld, terwijl de randvoorwaarden nog moeten worden geformuleerd. Wij weten niet waar wij uitkomen en dus ook niet of wij uitkomen op de plek waar wij willen.

Waar ik in ieder geval niet heen wil, is dat al die commerciële partijen hiermee gaan werken. Dat heb ik vandaag geprobeerd duidelijk te maken. Ik snap ook niet precies waarom dat gebeurt, want een les die wij eerder hebben getrokken uit een groot onderzoek van de Eerste Kamer naar de liberalisering en verzelfstandiging van publieke taken, is dat je publiek en niet-publiek heel helder uit elkaar moet houden. Je moet heel helder houden wat een publieke verantwoordelijkheid is. Dat een bank iets ontwikkelt voor identificatie bij een bank, is prima. Maar waarom moet dat gebruikt kunnen worden voor communicatie met de overheid? Er is een publieke verantwoordelijkheid voor een veilige communicatie met de overheid. Waarom moeten andere organisaties dat per se ook gaan doen? De Minister zegt dan: wij gaan allerlei eisen stellen en wij gaan controleren of de banken zich daaraan houden. Maar die banken gaan zich daar niet aan houden. Kijk naar het jarenlange gefraudeer: ze hebben ook helemaal niet de intentie om zich eraan te houden. Dat is mijn overtuiging. Wij moeten dat dus weer gaan controleren en dan blijkt het naderhand niet te kloppen. Waarom zouden wij zo'n «slippery slope», zo'n glibberige weg opgaan, als het niet nodig is?

Mevrouw Oosenbrug (PvdA):

Voorzitter. Ik dank de Minister voor de beantwoording. Bart Jacobs is het grote brein achter de IRMA-card. Ik kan wel doen alsof ik dat ben, maar helaas. Ik had graag gewild dat ik het op die manier had bedacht. Ik ga de heer Jacobs hier nog eens over spreken. Ik geloof echt in die weg, juist wegens de privacy. Aansluitend daarop had ik gevraagd naar de Autoriteit Persoonsgegevens, die heeft gezegd: leg dat stelsel nu eens langs de lat van de «privacy by design». Volgens mij heb ik nog niet echt gehoord dat wij dat ook echt gaan doen.

Een andere constatering van de Autoriteit Persoonsgegevens was dat er nog onvoldoende aandacht is voor het detecteren en afhandelen van beveiligingsincidenten. Dat is volgens mij meer een algemeen verhaal van de Autoriteit Persoonsgegevens. Dat moet echter wel heel goed worden meegenomen. Verder is mijn vraag of iets van het geld ook eens een keer die kant op moet, zodat de taken goed kunnen worden uitgevoerd. Dat is echter aan de Kamer, dus daar zullen wij het met elkaar over gaan hebben.

Wat betreft mijn opmerking dat een ICT-project nooit af is: dat is ook zo in dit geval. Ik vind het al winst dat de Minister heeft nagedacht over de kosten van onderhoud en innovatie sinds ik in de Kamer zit. Ook vind ik het goed dat de Minister nadenkt over de vraag wat er moet gebeuren als het project af is. Dat was altijd het idee, maar het project komt nooit af. Ik ben dus zeer te spreken over zijn woorden.

Dan zit ik nog met de generieke digitale infrastructuur. Het is hartstikke goed dat onze Digicommissaris daar bovenop zit. Ik heb daarbij nog wel een punt aan de orde gesteld, namelijk: geef de burger, mij, inzicht in de vraag wie wat heeft opgevraagd, wanneer en eventueel zelfs waarom. Komt die optie er nu wel of niet? Daar heb ik geen helder antwoord op gekregen. Ik vraag daar inmiddels al vier jaar om.

De heer Amhaouch (CDA):

Voorzitter. Ik hoop niet dat wij nog vier jaar moeten wachten totdat dit project is afgerond. Wij weten natuurlijk dat de ontwikkelingen altijd doorgaan.

Collega De Caluwé had het over de governancestructuur. Dat zit ons nog niet helemaal lekker, maar wij zullen de brief afwachten en hopen dat die ons mindere gevoel wegneemt.

De businesscase is toegezegd. Ik herhaal dat het zorgdomein belangrijk is. Ik weet niet of de Minister TNO of anderen erbij betrekt. Het gaat om partijen die in de materie zijn ingewerkt. Zij zullen heel snel kunnen doorpakken om vervolgconclusies te trekken. Wat wij eigenlijk zouden willen van deze Minister, maar als hij niet terugkomt van een andere Minister, is dat hij op een andere manier rapporteert over deze digitale projecten. Wij krijgen stapels boekwerken en kunnen allemaal in details treden over afkortingen en dergelijke, maar het zou fijn zijn als wij in de voortgangsrapportages over de projecten duidelijk aangegeven krijgen wat er gebeurt op het gebied van tijd, geld, scope en risico's. Op dat punt blijven wij altijd in rondjes draaien. Volgens mij zou de Kamer dan heel goed een afweging kunnen maken en de Minister van de juiste informatie kunnen voorzien.

Mevrouw Koşer Kaya (D66):

Voorzitter. De Minister vond het met mij jammer dat de volgende coalitie hiermee verder moet gaan en dat de nieuwe woordvoerders hierover dan het woord voeren. Ik houd de Minister voor dat hij vier jaar geleden hiervoor is ingehuurd en een klus heeft gekregen die hij dus niet heeft geklaard. Die klus gaat dus in de volgende fase weer verder. Dat wil ik hier toch onderstreept hebben.

Het belangrijkste is echter dat het stelsel goed is verankerd. De wetsvoorstellen en de voorwaarden moeten snel naar de Kamer, want dan kunnen wij stappen zetten. Die stappen kunnen wij vooralsnog niet snel genoeg zetten, terwijl dat wel nodig is.

Het is ook heel belangrijk dat de private sector erbij betrokken is. De private sector loopt al met heel veel dingen heel ver voorop. Als de private sector diensten wil van de overheid, of als de burger diensten wil van de private sector, moeten de stelsels goed op elkaar aansluiten. De randvoorwaarden moeten daar dan goed op worden afgestemd. Mij dunkt dat de Minister dus heel snel met de private sector om de tafel moet gaan zitten. Maar die toezegging heeft hij gedaan.

Ik sluit mij aan bij de vraag van collega De Caluwé over de governance. De coördinerende rol kennen wij. De Minister is ook de coördinerende Minister als het gaat om de decentralisaties, de grondrechten en de mensenrechten. Als wij de diepte ingaan, zegt hij toch elke keer weer: daar gaat die Minister of die Staatssecretaris over. De doorzettingsmacht moet dus wel beter vorm krijgen en goed worden verankerd.

De regering heeft zelf aangegeven prioriteit te geven aan de Belastingdienst en de zorg. In de zorg zien wij dat mensen elke keer weer tig formulieren moeten invullen. Bij de Belastingdienst zullen daar ook wel voorbeelden van zijn. Elke keer weer krijgen zij met hetzelfde te maken. Ik noem als voorbeeld die mevrouw die elk jaar de pgb-formulieren moet invullen. Daar moet nu snel vaart mee worden gemaakt. Het kan toch niet zo zijn dat de mensen elk jaar opnieuw dezelfde gegevens moeten leveren. Los van het emotionele aspect lijkt mij dat dit vrij snel moet kunnen worden opgelost.

Wat de privacy betreft had mijn collega Van Raak het over het niet aanleggen van verzamelingen van gegevens. Van belang daarbij is dat de burger zelf de sleutelhouder is en snel ziet wat er met zijn gegevens gebeurt en snel kan corrigeren als er iets gebeurt met die gegevens. De randvoorwaarden daarbij zijn heel belangrijk. Ik neem aan dat de Minister die met het wetsvoorstel naar de Kamer zal sturen. Het is echter wel een heel belangrijke randvoorwaarde voor mijn partij.

De voorzitter:

Het woord is aan de Minister voor zijn beantwoording in tweede termijn.

Minister Plasterk:

Ik zal direct de vragen in de volgorde van de sprekers beantwoorden. De samenvatting van mevrouw De Caluwé kan ik geheel voor mijn rekening nemen. Zij zag aan mijn lichaamstaal al dat ik bij de woorden «afspraken met het bedrijfsleven» in die zin bleef hangen dat het niet per se een op overeenstemming gericht overleg betreft, zoals het bij vakbonden heet. Maar het is wel een serieus gesprek. Ik zal daarover rapporteren. Dat gesprek voeren wij overigens voortdurend, want het zijn natuurlijk heel grote «jongens». Zo heet het dan, maar het kunnen ook meisjes zijn. Sommige van die marktpartijen hebben grote belangen. Ik vind dat wij die belangen moeten dienen, want de burgers hebben natuurlijk ook heel groot gemak van elektronisch winkelen, elektronisch vakanties boeken en meer van dat soort functionaliteiten. Ik vind het een taak van de overheid om ervoor te zorgen dat die bedrijven ten behoeve van hun klanten op een goede manier zaken kunnen doen.

De voorzitter:

Kunt u iets zeggen over de termijn waarop u daarover gaat rapporteren?

Minister Plasterk:

Dat doen we eigenlijk voortdurend. Ik heb al gezegd dat wij twee keer per jaar een voortgangsrapportage sturen. Dat lijkt mij het geëigende moment om nieuwe informatie te delen. Als er iets nieuws is waarvan ik denk «dit zou de Kamer moeten weten», dan geldt artikel 68 van de Grondwet en dan dien ik de Kamer daarvan sowieso op de hoogte te stellen.

Mevrouw De Caluwé (VVD):

Ik begreep nou juist dat al die zaken voor het eind van het jaar zouden komen en de businesscase zelfs binnen een maand. De uniforme set randvoorwaarden, de governance, het wetsvoorstel GDI, de businesscase, de voorwaarden en het level playing field; alle stukken die daarop betrekking hebben zouden voor het eind van het jaar gereed zijn. Ik zou dan graag in januari hierop willen terugkomen. Ik zal daarvoor een verzoek doen, in de procedurevergadering zoals de voorzitter terecht zei. Dan hebben wij weer een beslismoment in het stappenplan waarin de concrete stappen staan die de Minister graag wil zetten volgens de adviezen van de commissie-Elias.

Minister Plasterk:

Volgens mij was dat nog niet als zodanig gevraagd, maar ik vind het op zichzelf genomen prima om dat parallel te doen met de informatie die in december komt. Ik zal er dan voor zorgen dat de Kamer een update heeft van de meest recente stand van zaken rond de gesprekken met het bedrijfsleven. Het is natuurlijk aan de Kamer hoe zij een algemeen overleg plant, maar ik kan mij heel goed voorstellen dat het nuttig is om kort na ontvangst van de informatie die zojuist is toegezegd, met elkaar in gesprek te gaan over de stand van zaken.

Mevrouw De Caluwé (VVD):

Ik wil het even heel helder hebben. Het gaat het mij niet zozeer om de voortgang; ik wil die documenten heel graag daadwerkelijk hebben in december. Dat was de insteek en dat heb ik ook meteen aan het begin gezegd. Uiterlijk in december willen wij de volgende zaken zien met betrekking tot die vijf punten. Dat betekent niet een voorgangsrapportage in de trant van: we zijn weer verder met een set randvoorwaarden. Ik wil graag die documenten zien.

Minister Plasterk:

Wat de randvoorwaarden betreft heb ik al gezegd dat de uniforme set van eisen dan zal worden overgelegd.

Er is gevraagd om een brief over de governance aan de Kamer. Dat lijkt mij prima. Ik stel voor dat wij er één pakketje van maken, dat wij met dezelfde postduif in december sturen. Ook de heer Amhaouch vroeg daarom.

Dan kom ik op de eHealthtoepassing. Ik ben het ermee eens dat dit een terrein is waarop veel informatie wordt gedeeld. In mijn ervaring is het zo dat je, als je je geboortedatum uit je hoofd weet, overal binnenkomt. Dat is een heel gemakkelijke pincode, die iedereen kennelijk overal hanteert.

De voorzitter:

Niet digitaal geloof ik, hoor.

Minister Plasterk:

Nou, die is zo terug te zoeken. Ik denk dat men er nog wel wat meer veiligheid op zou willen zetten. Het is voorzien dat er medio 2017 al op beperkte schaal eHealthdeelname zal zijn, als onderdeel van het programma van voorlopers. Het gaat om een gecontroleerde stap, die wel beperkt is in omvang. Er lopen nu al pilots op het niveau hoog. Ik ben het ermee eens dat dit typisch een van die terreinen is waarop mensen ook zullen ervaren dat ze geen briefjes meer hoeven mee te nemen waarop staat welke pilletjes ze ook alweer slikken.

Dan kom ik op het traject voor het wetsvoorstel. Wij geven dat aan het eind van dit jaar in consultatie en mikken voor het indienen daarvan op volgend jaar. Daarna moet het nog worden behandeld. Ik kan geen ijzer met handen breken. Het moet naar de Raad van State en de Tweede en Eerste Kamer. Ik heb het allemaal niet verzonnen, maar dat is nu eenmaal onderdeel van het wetgevingstraject in ons land. Dat is de timing zoals wij die nu voorzien.

Mevrouw De Caluwé (VVD):

Als ik het goed begrepen heb uit de bijlage, gaan wij in fase 3 echt over van de pilotfase naar de uitrolfase. Dat kan natuurlijk niet zonder wettelijke basis. Daarom zit ik er heel erg op te hameren. Als wij niet nog meer vertraging willen oplopen, moeten wij echt volgend jaar die wet afronden. Dat ligt ook aan de Kamer, daar ben ik het mee eens. Maar dan moet echt het gas erop.

Minister Plasterk:

Dank voor die steun. Ik kan u wel verzekeren dat wij geen dingen gaan doen waar geen wettelijke basis voor is. Dat mogen wij niet. Wij als uitvoerders realiseren ons dat. Dat zal aan onze kant de druk hoog houden. Ik ben blij dat dit in de Kamer ook zo wordt ervaren.

De heer Amhaouch (CDA):

Zegt u dan nu impliciet: eind 2017 ga ik niet halen?

Minister Plasterk:

Het komt niet eind 2017 in het Staatsblad, denk ik.

De heer Amhaouch (CDA):

Het gaat om het project. Wij hebben de wetgeving nodig ter ondersteuning van het project. U zegt dat het wetsvoorstel aan het einde van het jaar in consultatie gaat. Dan zegt u nu impliciet: eind 2017 gaan wij met dit project niet halen. Dat is wel een van de doelstellingen.

Minister Plasterk:

Ik heb al gezegd dat het beschikbaar hebben van middelen, bijvoorbeeld op het rijbewijs en de identiteitskaart, in 2018 mogelijk zal zijn. Dat is inderdaad de timing.

Mevrouw De Caluwé (VVD):

Dat betekent dat geen enkel middel online kan, want wij hebben ook bepaald dat, op het moment dat een privaat middel online gaat, de mensen ook altijd de keuze moeten hebben voor een publiek middel. Er moet dus altijd een adequaat publiek middel zijn. Zonder wettelijke basis kan geen enkel middel van start; niet publiek, maar ook niet privaat.

Minister Plasterk:

Anders dan op pilotbasis; ja, dat is juist.

Privacy en encryptie is strikt genomen een terrein van mijn collega van V en J. Ik geloof dat daarover al in een heel andere context is gesproken. Ik zou daar nu niets aan willen toevoegen. Ik heb kennisgenomen van het feit dat wij elkaar wellicht in januari in deze context weerzien, maar ik wacht de uitnodiging af.

De heer Van Raak zei dat, als er sprake was geweest van een go-besluit, hij die go niet zou hebben gegeven. Dat is een als-danvraag, dus ik neem daar kennis van. Ik neem overigens aan dat hij vooralsnog namens zichzelf en wellicht D66 spreekt. Het volgende moet mij van het hart. Ik vind dat geen bezwaar en ik vind het ook terecht en begrijpelijk dat de Kamer hier vrij dicht op de uitvoering zit. We zitten voortdurend te zoeken naar informatiestromen en manieren om de Kamer op de hoogte te stellen. In de context van de grote omvang van dit project, de hoge kosten, het grote belang voor de burgers en de lessen die geleerd zijn door de commissie-Elias van eerdere grote projecten, vind ik het terecht dat de Kamer daar zo dicht op zit. Maar ik vraag dan ook begrip voor het feit dat we hier soms met elkaar over halfproducten spreken, over dingen die nog niet helemaal klaar zijn. We moeten dat van elkaar begrijpen en op die manier, stap voor stap, verder gaan.

De heer Amhaouch (CDA):

Ik ben het niet eens met wat de Minister zegt. Natuurlijk moeten wij in dit huis noodgedwongen in deze materie duiken, omdat de rapportage die wij zouden mogen verwachten, niet op orde is. Dat is wat ik net aangaf. Als de rapportage duidelijk aangeeft in welke fase we met dit project zitten, welke verschuivingen er plaatsvinden – gaan we van 23 miljoen naar 35 miljoen, gaan we van 2017 naar 2018? – en welke risico's er onder controle zijn, dan kunnen we er ook open over praten. Maar nu moeten we het helemaal in deze rapporten zoeken en is het een kip-of-eidiscussie.

Minister Plasterk:

De vraag is wie hier de kip is en wie het ei. Ik heb gezegd dat ik twee keer per jaar een voortgangsrapportage schrijf om de Kamer te informeren. We hebben net informatie verschaft in de brief van 15 augustus. Nu hoor ik de Kamer echter zeggen dat zij dit pakket informatie eigenlijk al voor het eind van dit jaar wil hebben, zodat we er in januari met elkaar over kunnen spreken. Dat vind ik prima, maar dat komt dan natuurlijk bovenop die twee voortgangsrapportages per jaar. Ik heb daar geen bezwaar tegen en vind dat begrijpelijk, maar ik vind niet dat je dat de uitvoerders of de regering moet verwijten. Het gebied is in beweging en het gaat om grote zaken en belangen. Er spelen veel aspecten, zoals gebruikersgemak, commerciële belangen – die vind ik overigens heel legitiem, want die zijn buitengewoon actief in het bereiken van politieke actoren – privacy en de belangen van departementen die hun belastingzaken of hun zaken op het gebied van de gezondheidszorg digitaal willen uitvoeren. Tegen de achtergrond van al die belangen en al die druk proberen wij ervoor te zorgen dat we toch een fatsoenlijk traject houden. Volgens mij slagen we daarin.

De heer Van Raak (SP):

Ik kan een heel eind met de Minister mee, maar in het rapport van de Algemene Rekenkamer staat: «Om de Tweede Kamer in staat te stellen gefundeerde keuzes te maken over de definitieve inrichting van het eID-stelsel, is het van belang dat het kabinet duidelijkheid schept over deze randvoorwaarden». Die zin volgt na een heel lange lijst met randvoorwaarden, vrij fundamentele dingen die dus niet op orde zijn. De Minister kan ons dus wel meenemen, maar de vraag blijft natuurlijk waarheen.

Minister Plasterk:

Ik ben net in mijn antwoord uitgebreid ingegaan op bijstellingen die hebben plaatsgevonden op basis van het rapport van de Algemene Rekenkamer, op basis van het BIT-advies, op basis van consultatie en op basis van gesprekken met marktpartijen. Dat heeft ook geleid tot bijstelling van het programma dat er oorspronkelijk lag. We blijven dus goed luisteren.

De heer Van Raak sprak over commerciële partijen. Laat ik niet proberen zijn woorden te duiden maar voor mezelf spreken. Ik ben op werkbezoek geweest bij een aantal van die commerciële partijen. Ik denk dat daar een hoop creativiteit zit. Het zijn ook niet per se allemaal multinationals. Soms zijn het kleine bedrijfjes met buitengewoon creatieve mensen die, denk ik, op dit hele terrein van identificatie dingen gaan verzinnen die wij hier met elkaar misschien niet verzonnen zouden hebben. Ik vind dat goed. Laten we een set van eisen opstellen, zodat iedereen weet waaraan hij moet voldoen, en vervolgens de creativiteit haar gang laten gaan. Ik was bij een bedrijfje waar je een selfie moet maken. Op die manier kan anders dan met een pincode even actueel worden vastgesteld of je werkelijk bent wie je zegt dat je bent. Dat is natuurlijk niet waterdicht, maar het geeft wel weer een factor tien extra zekerheid dat iemand op dat moment werkelijk is wie hij zegt dat hij is. En er is nog veel meer technologie. Ik ben daar wel enthousiast over.

Mevrouw Oosenbrug spreekt over incidenten rond de beveiliging. Ik hoop dat we die zo veel mogelijk zullen voorkomen, maar dat is wel een punt dat in alle eisen moet worden meegenomen. Ik ben het helemaal eens met haar uitspraak dat ICT nooit af is. Daarom lijkt mij de benadering die we nu met de Kamer afspreken, namelijk om het stap voor stap te doen, de Kamer daarover steeds te informeren en dan te dubbelchecken of de Kamer dat ook kan steunen, veel beter dan te werken met een soort oerknalachtig «go/no go»-model. Dat past namelijk helemaal niet bij de werkelijkheid.

Mevrouw Oosenbrug (PvdA):

Ter ondersteuning van de Minister wil ik hierover het volgende zeggen. Wij zijn in 2012 als nieuwe Kamerleden in dat project gestapt. Wij hebben erover meegedacht en vervolgens aan de rem getrokken en gezegd dat 2017 niet haalbaar is. Dat er nu wordt gezegd dat het belachelijk is dat 2017 niet wordt gehaald en er heel hard op wordt ingezet om dat alsnog te halen, ondersteun ik in ieder geval niet. Wij hebben niet voor niets heel goed met elkaar over dit project gesproken. We zijn met zijn allen op werkbezoek geweest en hebben ons als commissie heel goed laten informeren. We kunnen nu dan ook niet roepen dat het allemaal de schuld van het kabinet is dat het niet op tijd af is. Ik neem deze handschoen voor mezelf op. Dat wil ik toch wel gezegd hebben.

Minister Plasterk:

Dank. Daar ben ik het helemaal mee eens. Ik herinner me de zeer fundamentele discussies van een paar jaar geleden, ook vanuit heel andere invalshoeken, over de precieze rolverdeling tussen publiek en privaat. Hiermee hebben we een weg gevonden waardoor ieder datgene kan doen waarin hij goed is. Dat is ook de bedoeling van het bestel.

De vraag van de heer Amhaouch over de zorg heb ik beantwoord. Ook heb ik een brief over het punt van de governance toegezegd.

Ik heb gezegd dat we twee keer per jaar zullen rapporteren. Met dank aan de griffier hebben we zojuist een korte presentatie kunnen improviseren voor de mensen die meekijken. Dat was geen technische briefing en het betrof informatie die de leden van de commissie allang hebben. Als er behoefte aan is bij de Kamer en het nuttig is om nog uitgebreider op zaken in te gaan, zijn we altijd bereid om de Kamer via technische briefings nader kennis te laten maken met zaken. Misschien kan dat een weg zijn, ook in het komende jaar, om ervoor te zorgen dat alle informatie optimaal wordt gedeeld.

Op de meeste vragen van mevrouw Koşer Kaya meen ik antwoord te hebben gegeven. Gegeven de complexiteit van het probleem en de betrokkenheid van de Kamer denk ik dat we er bovenop zitten en is het goed dat we het op deze manier doen.

De voorzitter:

Ik stel vast dat er voor het moment geen zaken onbesproken zijn gebleven. Dan kom ik bij de toezeggingen, die hier veelvuldig zijn herhaald.

• – De Kamer krijgt voor eind december de uniforme set van eisen.

• – Er wordt gerapporteerd over het overleg met de private partijen over het level playing field.

• – De Wet GDI komt eind van het jaar in consultatie.

• – In december komt er een brief over de governance.

Is «eind van het jaar» voor kerst of voor het einde van het jaar? Na kerst gebeurt er meestal niet zo heel veel.

Minister Plasterk:

Dat is bijna een theologisch verschil als je in die week op het departement gaat kijken. Ik denk dat «voor het einde van het jaar» betekent «voor kerst».

De voorzitter:

Toch wel goed om te weten. Mocht dat anders zijn, dan horen we dat graag. We stellen nu vast dat we die informatie voor kerst kunnen ontvangen.

Mevrouw De Caluwé (VVD):

En de businesscase eID?

De voorzitter:

Die komt binnen een maand, zo heeft de Minister gezegd.

Minister Plasterk:

Over een maand.

De voorzitter:

«Over een maand» is iets anders dan «binnen een maand».

Minister Plasterk:

Dat is hetzelfde.

De voorzitter:

Nee, we zijn heel precies. Over een maand is goed. Ik dank de Minister en zijn ambtelijke ondersteuning. Ik dank de collega's en het publiek op de publieke tribune en de mensen die mogelijk thuis hebben meegeluisterd of -gekeken.