35 257 Voorstel van wet van het lid Verhoeven houdende een regeling voor een afwegingsproces voor het gebruik van kwetsbaarheden in geautomatiseerde werken door de overheid (Wet Zerodays Afwegingsproces)

Nr. 7 VERSLAG

Vastgesteld 31 januari 2020

De vaste commissie voor Binnenlandse Zaken, belast met het voorbereidend onderzoek van dit wetsvoorstel, heeft de eer als volgt Verslag uit te brengen van haar bevindingen.

Onder het voorbehoud dat de initiatiefnemer op de gestelde vragen en de gemaakte opmerkingen tijdig en genoegzaam zal hebben geantwoord, acht de commissie de openbare beraadslaging over dit wetsvoorstel voldoende voorbereid.

Inhoudsopgave

Blz.

       

I

Algemeen

1

       
 

1.

Inleiding

1

 

2.

Achtergrond

3

 

3.

Hoofdlijnen

5

       

II

Artikelsgewijs

6

I Algemeen

1. Inleiding

De leden van de VVD-fractie hebben met belangstelling kennisgenomen van het initiatiefwetsvoorstel van het lid Verhoeven houdende een regeling voor een afwegingsproces voor het gebruik van kwetsbaarheden in geautomati-seerde werken door de overheid. De initiatiefnemer stelt voor om een orgaan aan te wijzen dat tot taak heeft afwegingen te maken omtrent de bekend-making van onbekende kwetsbaarheden (zerodays). Daarnaast stelt hij voor een adviesorgaan in te stellen en onafhankelijk toezicht in te richten. Graag willen zij de initiatiefnemer daarover enkele vragen stellen.

De leden van de CDA-fractie hebben kennisgenomen van het initiatiefwets-voorstel zerodays afwegingsproces. Deze leden delen de wens van de indie-ner om de kwetsbaarheid van de digitale systemen, waarvan ons dagelijks leven in hoge mate afhankelijk is, te verkleinen. Daarbij is het van belang om als stelregel te nemen dat onbekende kwetsbaarheden bekend worden gemaakt zodat misbruik voorkomen kan worden. Met de initiatiefnemer onder-kennen deze leden evenwel dat er gerechtvaardigde gronden bestaan, met name op het vlak van nationale veiligheid, op basis waarvan onbekende kwetsbaarheden voor korte of langere tijd niet bekend worden gemaakt. De leden van de CDA-fractie stellen vast dat de Afdeling advisering van de Raad van State ernstige bezwaren heeft geuit tegen het initiatiefvoorstel. Deze leden delen de fundamentele kritiek van de Raad van State en kunnen het wetsvoorstel dan ook niet steunen. Niettemin hechten deze leden eraan nog enkele nadere vragen te stellen aan de initiatiefnemer.

De leden van de D66-fractie hebben met veel belangstelling kennisgenomen van onderhavig wetsvoorstel. Zij onderschrijven het belang van een wettelijke geborgd afwegingskader voor zerodays voor de gehele overheid. Deze leden zijn van mening dat de almaar groeiende digitalisering en daarmee gepaard gaande kwetsbaarheid een belangrijke reden is om de omgang van de overheid met zerodays goed te reguleren en controleren. Zij zien onderhavig wetsvoorstel als een belangrijke stap in het veiliger maken van het internet voor mensen en bedrijven. Voorts achten zij het bewonderenswaardig wanneer Kamerleden gebruikmaken van het recht van initiatief en een initiatiefwetsvoorstel aanhangig maken bij de Tweede Kamer. De aan het woord zijnde leden hebben nog enkele vragen aan de initiatiefnemer.

De leden van de GroenLinks-fractie hebben met interesse kennisgenomen van de initiatiefwet Wet Zerodays Afwegingsproces van het lid Verhoeven. Zij hebben in deze schriftelijke fase enkele vragen aan de initiatiefnemer.

Deze leden hebben grote moeite met het bestaan van een markt voor zerodays en hacksoftware. De overheid zou zich actief moeten inspannen, zowel in nationaal als multilateraal verband, om deze markt in te perken. Het zich begeven op die markt als klant, past daar niet bij. Vanuit dat oogpunt moet het uitbuiten van zerodays via geheimhouding of aankoop beperkt blijven tot hoogst uitzonderlijke gevallen. Deze leden verwelkomen dan ook het initiatief om een wettelijk afwegingskader in te stellen dat geldt voor alle overheidsinstanties. Deze leden zijn tegelijkertijd van mening dat het voorgestelde afwegingskader verder kan worden aangescherpt en ingevuld, om geheimhouding en aankoop tot hoogst uitzonderlijke gevallen te beperken.

De leden van de SP-fractie hebben kennisgenomen van de Wet Zerodays Afwegingsproces. Zij hebben hier nog enkele opmerkingen en vragen over.

De leden van de fractie van de SP lezen dat een zeroday, die de politie openhoudt om verdachten op te sporen, de belangen van de AIVD kan schaden. Of dat een zeroday, die Defensie wil gebruiken, onze vitale infra-structuur in gevaar zou kunnen brengen. Deelt de indiener de opvatting van de leden van de SP-fractie dat elke zeroday die door een overheids-organisatie wordt gevonden, in het kader van de cyberveiligheid, altijd gedicht zou moeten worden?

De leden van de ChristenUnie-fractie hebben met belangstelling kennisgeno-men van het voorstel van wet van het lid Verhoeven houdende een regeling voor een afwegingsproces voor het gebruik van kwetsbaarheden in geauto-matiseerde werken door de overheid (Wet Zerodays Afwegingsproces). Zij spreken hun waardering uit voor de aanhoudende betrokkenheid van het lid Verhoeven op dit thema, en danken hem en zijn ondersteuning voor het initiatief om te komen tot dit voorstel. Voor de leden van de ChristenUnie-fractie is het van belang dat in onze digitale en innovatieve economie veiligheid en privacy gewaarborgd zijn. Daarbij is het van belang dat het wettelijk kader aansluit bij de vragen die dit steeds weer met zich mee brengt. Zij constateren met instemming dat indiener poogt tot een dergelijk kader te komen voor het gebruik van kwetsbaarheden (zerodays) door de overheid. Tegelijkertijd hebben zij ook kennisgenomen van de zeer kritische reactie van de Raad van State. Om tot een goede afweging te komen stellen de leden van de ChristenUnie-fractie graag de volgende vragen.

2. Achtergrond

In het kader van nut en noodzaak van voorgestelde regeling vragen de leden van de VVD-fractie de initiatiefnemer het voorgestelde afwegingsproces danwel de afwegingsprocedure met het afwegingsorgaan, de adviescom-missie en het toezicht nader te motiveren. Wie besluit er straks over het gebruik van onbekende kwetsbaarheden? In hoeverre komt er een algemeen afwegingskader, dat bij elke onbekende kwetsbaarheid wordt gebruikt? Wat zijn de gevolgen van het voorstel voor de al bestaande procedures en de afwegingskaders, zoals die bij de AIVD, MIVD en opsporingsdiensten? Vervallen die met het van kracht worden van dit wetsvoorstel? Zijn AIVD, MIVD en opsporingsdiensten niet zo verschillende organisaties dat zij intrinsiek verschillende afwegingskaders en procedures nodig hebben? Wat betekent het beleggen van het externe toezicht bij de CTIVD voor de rol van de Inspectie Justitie en Veiligheid en de inzet van hackbevoegdheden in het strafproces? Wat betekent dit wetsvoorstel voor de Wet op de Inlichtingen- en Veiligheidsdiensten en de Wet Computercriminaliteit 3? Moeten die worden gewijzigd? Moeten er nog andere wetten worden gewijzigd? Gaarne krijgen de leden van de VVD-fractie een reactie van de initiatiefnemer.

De leden van de VVD-fractie merken op dat zij de nationale veiligheid en de digitale veiligheid van Nederland uitermate belangrijk vinden. In hoeverre wordt met het voorgestelde proces de nationaal veiligheid en daarmee de digitale veiligheid van Nederland gediend? Gaarne krijgen de leden van de VVD-fractie een reactie van de initiatiefnemer.

De leden van de CDA-fractie merken op dat de initiatiefnemer het ontbreken van afwegingskaders als aanleiding noemt voor het initiatiefwetsvoorstel. Waarom heeft de indiener er niet voor gekozen om simpelweg te bevorderen dat politie, marechaussee, FIOD en Defensie, net als de AIVD en de MIVD, een afwegingskader voor het gebruik van kwetsbaarheden in geautoma-tiseerde werken zouden gaan hanteren, zo vragen de leden van de CDA-fractie. Kan de initiatiefnemer aangeven welke tekortkomingen de huidige procedure zijns inziens in het geval van de inlichtingendiensten kent op het vlak van toetsing van het gebruik van onbekende kwetsbaarheden (toestem-ming van de betrokken Minister bij positief advies van de Toetsingscommissie Inzet Bevoegdheden en toezicht achteraf door de CTIVD)? Wordt hiermee de beleidslijn «delen, tenzij» niet voldoende geborgd? Kan de indiener dit tevens toelichten met betrekking tot de hack-bevoegdheid van de opsporings-diensten, waarvoor een machtiging van de rechter-commissaris nodig is? Kan de indiener ingaan op de opmerking van de Raad van State dat de inlich-tingen- en opsporingsdiensten nu al, zonder het initiatiefwetsvoorstel, eigen-standig kunnen besluiten om tot overleg te komen over afwegingen inzake het gebruik van onbekende kwetsbaarheden? Kan de indiener toelichten of hij het voor mogelijk zou houden dat het Afwegingsorgaan een inlichtingendienst zou verplichten tot het openbaar maken van een onbekende kwetsbaarheid, waarvan de inlichtingendienst wil afzien met het oog op cruciaal onderzoek in het belang van de nationale veiligheid, als zij ook factoren als «economie, cyberveiligheid, vrijheid» (MvT blz. 13) volgens de indiener dient mee te nemen? Zo nee, welke toegevoegde waarde heeft het Afwegingsorgaan dan ten opzichte van de huidige procedure?

De leden van de D66-fractie vragen de initiatiefnemer nader in te gaan op de noodzaak van het instellen van een afwegingskader voor zerodays. Kan de initiatiefnemer daarbij ingaan op het advies van de Raad van State?

De leden van de D66-fractie begrijpen dat de initiatiefnemer het afwegings-orgaan beoogt onder te brengen bij het Nationaal Cyber Security Centrum (NCSC). Kunt de initiatiefnemer deze beslissing nader toelichten? Brengt het onderbrengen van het afwegingsorgaan bij het NCSC de onafhankelijke positie op het gebied van cybersecurity niet in gevaar?

Tot slot vragen de leden van de D66-fractie de initiatiefnemer nader in te gaan op de samenstelling van het afwegingsorgaan. Waarom is voor deze organi-saties gekozen? Hoe zorgt de samenstelling ervoor dat het principe «melden, tenzij...» vorm krijgt?

In de memorie van toelichting lezen de leden van de GroenLinks-fractie hoe in de Verenigde Staten en in het Verenigd Koninkrijk wordt omgegaan met dit vraagstuk. Ook schrijft de initiatiefnemer dat Nederland met dit wetsvoorstel het eerste land wordt met een wettelijk afwegingskader. De leden van de fractie van GroenLinks zijn in dit kader benieuwd hoe in andere Europese landen gediscussieerd wordt over hoe om te gaan met zerodays. En kan de initiatiefnemer nader ingaan op het Europees rechtelijke kader van dit vraag-stuk? Zijn er Europese initiatieven om te komen tot een Europees breed afwegingskader?

De initiatiefnemer schrijft in de memorie van toelichting voorts dat de «Stiftung Neue Verantwortung (SNV) adviseert om het principe «bias towards disclosure» vast te leggen in de stemverhoudingen in het afwegingsorgaan, namelijk dat een zeroday openbaar gemaakt wordt als een robuuste minderheid (15% of meer) van de POCs dat adviseert.» Waarom heeft de initiatiefnemer ervoor gekozen om dit principe niet op te nemen in het initiatiefvoorstel?

Kan de initiatiefnemer, zo vragen de leden van de GroenLinks-fractie, verder ingaan op de heroverwegingstermijn van een jaar, gezien het feit dat de collision rate dan al op een significant niveau ligt? Waarom kiest de initiatief-nemer er dan niet voor om een kortere maximale heroverwegingstermijn voor te stellen, bijvoorbeeld van zes maanden?

De initiatiefnemer geeft een aantal categorieën van afwegingsfactoren mee. Waarom kiest de initiatiefnemer ervoor om slechts de categorieën van afwe-gingsfactoren aan te geven en niet verdere richtlijnen aan te geven voor de daadwerkelijke afweging? Is de initiatiefnemer bijvoorbeeld bereid om toe te voegen dat geheimhouding en aankoop in principe beperkt moet blijven tot zerodays voor software die vooral door criminelen wordt gebruikt?

Tot slot vragen de leden van de GroenLinks-fractie hoe dit afwegingskader zich verhoudt tot het delen van informatie over zerodays met inlichtingen-diensten van bondgenoten en tot het ontvangen van dergelijke informatie van diezelfde inlichtingendiensten.

De indiener stelt, zo lezen de leden van de SP-fractie, dat Cybercrime op dit moment een schadepost is van € 10 mrd. Is de indiener van mening dat door een wettelijk kader voor het melden van een zeroday deze kostenpost zal dalen, zo vragen de leden van de SP-fractie zich af.

Deze leden hebben de uitkomsten van het gepubliceerde onderzoek van de denktank met veel interesse gelezen, maar hebben hier nog enkele vragen over. Als eerste vragen zij zich af of het wetsvoorstel van de indiener gehoor geeft aan alle uitgangspunten van het rapport. Wordt op dit moment een geheimhoudingsverklaring getekend om te voorkomen dat zerodays door het afwegingsproces beoordeeld worden? Deze leden lezen ook dat het vertrouwen van «neutrale derden» kan worden geschaad. Wat wordt hier precies mee bedoeld?

De initiatiefnemer stelt voor om per overheidsorganisatie, die betrokken is bij het afwegingskader, een Point of Contact te laten aanwijzen. Wat zijn de ervaringen in het buitenland met een Point of Contact (POC)? Ook wordt gepleit voor het vastleggen van stemverhoudingen in dit afwegingsorgaan. In dit geval zou een zeroday bekend moet worden gemaakt wanneer minimaal 15 procent van de POC’s hiervan overtuigd is. Waar is dit aantal op gebaseerd?

De leden van de ChristenUnie-fractie lezen dat de Raad van State wijst op di-verse manieren waarop gebruik van zerodays al zou worden gemonitord. In het bijzonder wordt daarbij ook verwezen naar de Wet Computercriminaliteit 3 en de afweging die de rechter-commissaris maakt. Genoemde leden kunnen de indiener volgen dat het voor een rechter-commissaris complexe materie betreft. Indiener geeft daarom aan een gespecialiseerd afwegingsorgaan passender te vinden. Heeft de indiener ook manieren overwogen om de rechter-commissaris middels een kader en (advies)expertise beter in staat te stellen een dergelijke afweging te maken?

Bij de afweging tot al dan niet bekendmaken van zerodays spelen verschillende belangen. Deze belangen kunnen ook tussen overheidsorganen onderling gelden. Het is voorstelbaar dat een zeroday door de AIVD wordt gebruikt, terwijl de politie graag zou zien dat deze ook door criminelen wordt gebruikt voor andere doeleinden. Op welke wijze kan hierin een afweging worden gemaakt, en hoe wordt voorkomen dat de zeroday die door de AIVD wordt gebruikt, plots na een melding van de politie wordt afgesloten zonder dat hierin een volledige belangenafweging heeft kunnen plaatsvinden?

3. Hoofdlijnen

De leden van de ChristenUnie-fractie zijn benieuwd hoe voorliggend voorstel in de praktijk werkt wanneer een overheidsinstantie op zeer korte termijn gebruik wil maken van een nieuw ontdekte zeroday, bijvoorbeeld omdat de veiligheid van de Staat in het geding is. Hoe kan worden voorkomen dat voorliggend voorstel in zo’n geval tot kritieke vertraging leidt?

De leden van de ChristenUnie-fractie hechten er ook aan om te benoemen dat de grootste kwetsbaarheid bij cyberveiligheid, vaak de menselijke component is. Dat kan zowel komen door menselijke fouten, maar ook door moedwillig handelen, al dan niet na omkoping. Met voorliggend voorstel zullen zerodays met een grotere groep mensen gedeeld worden dan nu het geval is, en neemt dus ook het risico onregelmatigheden toe. In hoeverre is dit een afweging geweest bij het opstellen van voorliggend wetsvoorstel? Ziet de indiener mogelijkheden om dergelijk risico te beperken?

Dit zorgpunt kan ook een factor van betekenis zijn voor de bereidheid van buitenlandse actoren om zerodays met de Nederlandse overheid te delen. Graag zouden de leden van de ChristenUnie-fractie een reflectie krijgen van de indiener op de vraag welke gevolgen indiener verwacht voor de bereidheid van bondgenoten om zerodays te delen. Daarbij zouden zij, naast het genoemde veiligheidsrisico, ook graag zien dat indiener ingaat op mogelijke terughoudendheid van bondgenoten uit angst dat het Nederlands afwegingsorgaan tot bekendmaking zal besluiten.

Tot slot op dit punt vragen de leden van de ChristenUnie-fractie of rekening is gehouden met verzoeken in het kader van de Wet openbaarheid van bestuur (Wob). In de Wet gegevensverwerking en meldplicht cybersecurity is in Artikel 9 lid 6 een aantal onderdeel uitgesloten van de Wob. Kan een dergelijke bepaling ook in voorliggend wetsvoorstel noodzakelijk zijn, zo vragen genoemde leden.

II Artikelsgewijs

Artikel 1

In de wetstekst wordt gesproken over «vitale infrastructuren». De leden van de ChristenUnie-fractie zien hier geen begripsbepaling voor terug. Wat verstaat de indiener onder «vitale infrastructuren»? Is het denkbaar om de betekenis van dit begrip, of een andere vergelijkbare tekst, ook in artikel 1 op te nemen? Zij verwijzen hierbij ook naar de begripsbepaling «vitale aanbieder» die in de Wet gegevensverwerking en meldplicht cybersecurity staat opgenomen.

Artikel 3

Graag horen de leden van de ChristenUnie-fractie of de indiener voorbeelden kan geven waar de economische belangen van de Staat gebaat kunnen zijn bij het niet bekend maken van een Zeroday.

De voorzitter van de commissie, Ziengs

De adjunct-griffier van de commissie, Hendrickx

Naar boven