Kamerstuk
Datum publicatie | Organisatie | Vergaderjaar | Dossier- en ondernummer |
---|---|---|---|
Eerste Kamer der Staten-Generaal | 2019-2020 | 34972 nr. I |
Zoals vergunningen, bouwplannen en lokale regelgeving.
Adressen en contactpersonen van overheidsorganisaties.
U bent hier:
Datum publicatie | Organisatie | Vergaderjaar | Dossier- en ondernummer |
---|---|---|---|
Eerste Kamer der Staten-Generaal | 2019-2020 | 34972 nr. I |
Vastgesteld 1 september 2020
De vaste commissie voor Binnenlandse Zaken en de Hoge Colleges van Staat / Algemene Zaken en Huis van de Koning1 heeft in haar vergadering van 7 juli jl. besloten het voorbereidend onderzoek van het voorstel voor de Wet digitale overheid (34 972) op 22 september 2020 te houden. Tijdens de door de commissie op 30 juni 2020 gehouden deskundigenbijeenkomst over het wetsvoorstel hoorde de commissie van veel kanten opmerkingen over de inhoud van het voorliggende wetsvoorstel.
Naar aanleiding hiervan hebben zij de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties op 10 juli 2020 een brief gestuurd.
De Staatssecretaris heeft op 31 augustus 2020 gereageerd.
De commissie brengt bijgaand verslag uit van het gevoerde schriftelijk overleg.
De griffier van de vaste commissie voor Binnenlandse Zaken en de Hoge Colleges van Staat/Algemene Zaken en Huis van de Koning, Bergman
Aan de Staatssecretaris van Binnenlandse Zaken en de Hoge Colleges van Staat/Algemene Zaken en Huis van de Koning
Den Haag, 10 juli 2020
De vaste commissie voor Binnenlandse Zaken en de Hoge Colleges van Staat / Algemene Zaken en Huis van de Koning heeft in haar vergadering van 7 juli jl. besloten het voorbereidend onderzoek van het voorstel voor de Wet digitale overheid (Kamerstukken 34 972) op 22 september 2020 te houden. Vooruitlopend op dit voorbereidend onderzoek het volgende. Tijdens de door de commissie op 30 juni 2020 gehouden deskundigenbijeenkomst over het wetsvoorstel hoorde de commissie van veel kanten opmerkingen over de inhoud van het voorliggende wetsvoorstel. In deze brief licht de commissie drie steeds terugkerende thema’s eruit:
• Open source;
• Privacy by design zoals centrale opslag versus decentrale opslag;
• Het koppelen van data door commerciële partijen.
Op deze drie thema’s wil de commissie u vragen een nadere toelichting te geven. Wanneer private partijen in de gelegenheid worden gesteld om eID aan te bieden, zijn privacy en veiligheid het eerste zorgpunt dat naar voren komt. Diverse partijen adviseerden dringend om in de wet vast te leggen dat er een verplichting komt om de middelen open source aan te bieden ofwel de broncode van de aangeboden eID-systemen te publiceren, zodat de gebruiker kan controleren of de privacy en beveiliging goed zijn geregeld. Kunt u aangeven waarom de regering ervoor gekozen heeft dit niet in de kaderwet op te nemen?
Er is grote zorg over de mogelijkheden die commerciële partijen krijgen door inloggegevens te koppelen en vervolgens gevoelige data te vergaren. In de privacy-visie eID die u eind januari 2019 naar de Kamer stuurde, stond een verbod op het gebruik van inlogregisters voor andere doeleinden dan de werking van het identificatiesysteem zelf. In het voorstel voor de Wet digitale overheid ontbreekt dat verbod. Kunt u toelichten waarom de regering dit verbod niet heeft opgenomen?
Het bovenstaande kan voorkomen worden wanneer in de kaderwet privacy by design wordt opgenomen. Wanneer privacy by design wordt geëist via de wetgeving kan vooraf getoetst worden of daaraan is voldaan. Zoals nu de wet wordt voorgesteld, kan alleen de Autoriteit Persoonsgegevens achteraf ingrijpen, maar dan is het leed al geschied. Waarom is privacy by design niet meegenomen in de wet?
Verschillende sprekers op de deskundigenbijeenkomst pleitten in verband met privacy en security voor een decentraal systeem en voor het werken met attributen. Waarom heeft de regering niet gekozen voor het opnemen van een decentraal systeem? Waarom is er in de kaderwet niet de mogelijkheid opgenomen om, waar mogelijk, met attributen te werken?
De vaste commissie voor Binnenlandse Zaken en de Hoge Colleges van Staat / Algemene Zaken en Huis van de Koning ziet met belangstelling uit naar uit uw reactie en verzoekt u uiterlijk 31 augustus 2020 te antwoorden, zodat de antwoorden kunnen worden betrokken bij het voorbereidend onderzoek.
Voorzitter van de vaste commissie voor Binnenlandse Zaken en de Hoge Colleges van Staat / Algemene Zaken en Huis van de Koning, B. Dittrich
Aan de Voorzitter van de Eerste Kamer der Staten-Generaal
Den Haag, 31 augustus 2020
Hierbij bied ik u de beantwoording aan van de vragen van de vaste commissie voor Binnenlandse Zaken en de Hoge Colleges van Staat / Algemene Zaken en Huis van de Koning, welke inzake het bovenvermelde voorstel zijn gesteld bij brief van 10 juli jl.
De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, R.W. Knops
De vaste commissie voor Binnenlandse Zaken en de Hoge Colleges van Staat / Algemene Zaken en Huis van de Koning van de Eerste Kamer, heeft bij brief van 10 juli jl een aantal vragen gesteld ter voorbereiding op het op 22 september 2020 te houden voorbereidend onderzoek inzake het voorstel voor de Wet digitale overheid (Kamerstukken 34 972).
Deze vragen hebben betrekking op drie belangrijke thema’s:
• Open source;
• Privacy by design zoals centrale opslag versus decentrale opslag;
• Het koppelen van data door commerciële partijen.
Bijgaand treft u de vragen alsmede de gevraagde nadere toelichting aan.
De commissie constateert dat, wanneer private partijen in de gelegenheid worden gesteld om eID aan te bieden, privacy en veiligheid de eerste zorgpunten zijn die naar voren komen. De commissie geeft aan dat diverse partijen dringend adviseerden om in de wet vast te leggen dat er een verplichting komt om de middelen open source aan te bieden ofwel de broncode van de aangeboden eID-systemen te publiceren, zodat de gebruiker kan controleren of de privacy en beveiliging goed zijn geregeld. De commissie verzoekt aan te geven waarom de regering ervoor gekozen heeft dit niet in de kaderwet op te nemen.
In reactie op het bovenstaande merk ik op, dat van groot belang is dat de werking van processen transparant is, zodat deze controleerbaar zijn. Daarnaast dient de veiligheid van de inlogmiddelen te worden geborgd. Een manier om transparantie te bewerkstelligen, is het gebruik maken van open source: software waarvan de broncode (sources) is gepubliceerd en vrij beschikbaar is. Transparantie kan echter ook worden gerealiseerd met gesloten software. Ten aanzien van veiligheid kennen beide voor- en nadelen: open source software wordt beveiligd door openheid, closed source software door het nemen van beschermende maatregelen.
Belangrijk is dat systemen transparant zijn in hun werking. Echter daarvoor is niet noodzakelijk dat middelen open source worden aangeboden. Dit kan ook met aanbieders van gesloten software worden afgesproken. Belangrijk is de veiligheid van de software. Deze moet gezien worden mede in verband met het onderhoud ervan en de garanties die kunnen worden geboden, bijvoorbeeld ten aanzien van continuïteit. Belangrijke processen zoals eID vergen overzichtelijke componenten. Dit betreft niet alleen de software zelf maar ook de totstandkoming en het onderhoud. Het enkel beschikbaar zijn van een open source pakket «as is», dus zonder enige garantie op kwaliteit, zekerheid of zonder een transparant servicepakket, biedt geen meerwaarde. Daarom is ervoor gekozen om open source niet te verplichten en de eisen inzake veiligheid en continuïteit centraal te stellen. Dit betekent niet dat de mogelijkheid om van open source gebruik te maken wordt uitgesloten. Zie inzake algemene overwegingen (dus: los van eID) om al dan niet gebruik te maken van open source de bijlage bij de kabinetsbrief van 17 april 2020.2
Ten aanzien van de veiligheid van closed source zullen met leveranciers afspraken gemaakt kunnen en moeten worden over het borgen van de veiligheid. Deze afspraken worden genomen op basis van het Besluit identificatiemiddelen voor burgers, welke AmvB u binnenkort in concept zal worden voorgelegd conform artikel 25 van het wetsvoorstel WDO (voorhangprocedure).
De commissie constateert dat er grote zorg is over de mogelijkheden die commerciële partijen krijgen door inloggegevens te koppelen en vervolgens gevoelige data te vergaren. De commissie refereert aan de privacy-visie eID die eind januari 2019 naar de Kamer is gestuurd, waarin wordt aangegeven dat het is verboden inlogregisters te gebruiken voor andere doeleinden dan de werking van het identificatiesysteem zelf. De commissie merkt op dat in het voorstel voor de Wet digitale overheid dat verbod ontbreekt en vraagt toe te lichten waarom de regering dit verbod niet heeft opgenomen.
In reactie op het bovenstaande merk ik op dat het principe van doelbinding, onder meer in relatie tot private partijen, wel degelijk is opgenomen in het wetsvoorstel, namelijk in artikel 16, eerste, tweede en derde lid. Reden hiervoor is dat het van groot belang is dat gegevens die van burgers worden verkregen bij het inloggen bij de overheid alleen gebruikt worden voor het doel waarvoor ze verstrekt worden en niet anderszins, bijvoorbeeld als handelswaar. Het voorgaande is, conform artikel 16, vierde lid, van het wetsvoorstel, uitgewerkt in de artikelen 5 tot en met 5 e van het Besluit digitale overheid. Voorts wordt het verplicht om gegevens over gebruikers en gebruik gescheiden op te slaan. Daardoor is een nadere handeling nodig om het gebruik door een burger in te zien, hetgeen nodig kan zijn om misbruik te kunnen aanpakken. Deze eis zal worden opgenomen in het Besluit identificatiemiddelen voor burgers.
De commissie merkt op dat het bovenstaande kan voorkomen worden wanneer in de kaderwet privacy by design wordt opgenomen. Wanneer privacy by design wordt geëist via de wetgeving kan vooraf getoetst worden of daaraan is voldaan. De commissie stelt dat, zoals nu de wet wordt voorgesteld, alleen de Autoriteit Persoonsgegevens achteraf kan ingrijpen maar dan is het leed al geschied. De commissie vraagt zich daarom af waarom privacy by design niet is meegenomen in de wet.
In reactie hierop merk ik op dat het feit, dat privacy by design niet in het wetsvoorstel is opgenomen, niet betekent dat dit niet geldt voor eID en de aanbieders van inlogmiddelen. Dit beginsel, dat inhoudt dat er reeds bij het ontwerpen van producten en diensten voor wordt gezorgd dat persoonsgegevens goed worden beschermd, is namelijk vastgelegd in de Algemene Verordening Gegevensbescherming (AVG) en geldt per definitie voor verwerkingen van persoonsgegevens. EU-verordeningen zijn rechtstreeks toepasselijk in de lidstaten van de Europese Unie. Dat betekent dat zij niet hoeven en ook niet mogen worden omgezet in nationale regelgeving (overschrijfverbod). De – publieke en private – partijen die deel uitmaken van het eID-stelsel moeten derhalve zorgen dat zij aan de AVG voldoen. De wijze waarop dit gebeurt en de regelgeving die daarbij in acht moet worden genomen, zijn beschreven in de privacy-visie eID, waaraan de commissie eerder refereerde. Privacy by design maakt daarvan onderdeel uit. In dit verband merk ik nog op, dat de naleving hiervan een verantwoordelijkheid is van verwerkingsverantwoordelijken. De Autoriteit Persoonsgegevens toetst daarop niet vooraf. Uiteraard geldt dat alvorens aanbieders van inlogmiddelen tot het eID-stelsel worden toegelaten, zij aantoonbaar moeten voldoen aan de voor hen geldende eisen zoals opgenomen in de desbetreffende AMvB’s en ministeriele regeling. Ook moeten zij aan de bepalingen van het Besluit digitale overheid voldoen.
De commissie merkt op dat verschillende sprekers op de op 30 juni jl. gehouden deskundigenbijeenkomst in verband met privacy en security pleitten voor een decentraal systeem en voor het werken met attributen. De commissie vraagt zich af waarom de regering niet heeft gekozen voor het opnemen van een decentraal systeem en waarom er in de kaderwet niet de mogelijkheid is opgenomen om, waar mogelijk, met attributen te werken.
In reactie op het bovenstaande merk ik op, dat in het wetsvoorstel is gekozen voor een centraal noch een decentraal systeem. Uitgangspunt is adequate privacybescherming op grond van de AVG en derhalve een goede afweging van alle privacybeginselen.
De vraagstelling centraal – decentraal ziet op een specifiek deelaspect van bescherming van persoonsgegevens, namelijk opslag van gegevens. Hiertoe worden op basis van het wetsvoorstel eisen gesteld aan alle bij het eID-stelsel betrokken – publieke en private, centraal en decentraal opererende – partijen. Uitgangspunt is: eisen stellen waar, bij wie en voor zover dit nodig is. In dit verband wordt binnen het eID-stelsel ook de mogelijkheid geboden om met attributen (gegevenssets, zie artikel 1 van het wetsvoorstel) te werken.
Samenstelling:
Kox (SP), Koffeman (PvdD), Ganzevoort (GL), De Boer (GL), Van Hattem (PVV), Pijlman (D66), Rombouts
(CDA), Schalk (SGP), Koole (PvdA). Klip-Martin (VVD), Baay-Timmerman (50PLUS), Wever (VVD), Bezaan (VVD), Van der Burg (VVD), Crone (PvdA), Dessing (FVD), Dittrich (D66) (voorzitter), Doornhof (CDA),
Frentrop (FVD), Gerbrandy (OSF), Van der Linden (FvD), Meijer (VVD), Nanninga (FVD), Nicolaï (PvdD) (ondervoorzitter), Rietkerk (CDA), Rosenmöller (GL), Verkerk (CU), De Vries (Fractie-Otten)
Overwegingen bij «open, tenzij» en aanpak open source 2020–2021 (Bijlage bij Kamerstuk 26 643, nr. 676).
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/kst-34972-I.html
De hier aangeboden pdf-bestanden van het Staatsblad, Staatscourant, Tractatenblad, provinciaal blad, gemeenteblad, waterschapsblad en blad gemeenschappelijke regeling vormen de formele bekendmakingen in de zin van de Bekendmakingswet en de Rijkswet goedkeuring en bekendmaking verdragen voor zover ze na 1 juli 2009 zijn uitgegeven. Voor pdf-publicaties van vóór deze datum geldt dat alleen de in papieren vorm uitgegeven bladen formele status hebben; de hier aangeboden elektronische versies daarvan worden bij wijze van service aangeboden.