Verslag van de vergadering van 29 november 2022 (2022/2023 nr. 10)
Status: gecorrigeerd
Aanvang: 15.25 uur
De heer Dittrich i (D66):
Dank u wel, voorzitter. Nederland digitaliseert. Steeds meer diensten worden via onlinetransacties geleverd en ook de overheid moet moderniseren en in die ontwikkeling meegaan. Het voorstel voor de Wet digitale overheid past in die ontwikkeling. Of je het nu leuk vindt of niet, digitalisering gaat een steeds groter deel van ons leven uitmaken. Het biedt veel kansen en gemak maar ook uitdagingen en dilemma's. De transitie naar digitalisering vraagt ook van ons als parlement om scherp te blijven.
Het wetsvoorstel heeft een interessante voorgeschiedenis gehad. Een lang verhaal kort: de Eerste Kamer heeft een novelle afgedwongen en in die novelle zitten een aantal forse verbeteringen. Tijdens de deskundigenbijeenkomst die wij georganiseerd hadden, heeft de voorzitter van de Autoriteit Persoonsgegevens, de heer Aleid Wolfsen, de Kamer gevraagd alert te zijn bij het behandelen van deze kaderwet. Het staketsel wordt in dit wetsvoorstel geregeld maar de echte invulling ervan gaat via de AMvB's en ministeriële regelingen. Maar digitalisering raakt ook vaak de grondrechten van burgers, zoals het privéleven, het geheim van communicatie. Wolfsen zei in die bijeenkomst en ik citeer: "De grens tussen de twee uitersten van "fantastisch dat dit allemaal kan" en "levensgevaarlijk wat hier gebeurt" is nog nooit zo dun geweest." Met die blik kijkt de fractie van D66 naar dit wetsvoorstel. Wij hadden aangedrongen, met andere fracties overigens, op de novelle omdat we vonden dat bepaalde normen in de wettekst zelf moesten worden verankerd en niet in nadere regelgeving. Ik denk dan aan de open standaarden, privacy by design, het verhandelverbod van privégegevens, de dataminimalisatie en de doelbinding. Het is goed om te zien dat dat allemaal in de novelle terecht is gekomen. Ik vind het een voorbeeld van de meerwaarde van ons werk hier in de Eerste Kamer.
Dat gezegd hebbend zijn er toch wel een aantal vragen die de fractie van D66 naar voren wil brengen. Vandaag spreken we over het contact van burgers en bedrijven met de overheid. Dat wordt gedigitaliseerd. In andere debatten vraagt de fractie van D66 naar en wijst de fractie van D66 vaak op de vele mensen in Nederland — volgens de Nationale ombudsman tussen de 2 en 2,5 miljoen — die niet zo digitaal vaardig zijn. In de Algemene wet bestuursrecht is opgenomen dat er bij overheden een loket moet zijn waar menselijk contact mogelijk is, maar soms gaan wetten te zeer uit van burgers en bedrijven die goed opgeleid zijn, op de hoogte zijn van nieuwe ontwikkelingen, vaardig genoeg zijn om online hun zaakjes te regelen. Mijn vraag aan de staatssecretaris is: kan zij borgen dat naast alle regelingen die in het kader van de WDO tot stand zullen komen, ook in de tranches twee en drie, er rekening wordt gehouden met mensen die geen digitaal contact met de overheid kunnen of willen hebben? De tweede vraag daaraan gekoppeld is de volgende. In de stukken met betrekking tot de WDO worden veel jargon en afkortingen gebruikt. Soms zijn de teksten moeilijk te doorgronden. Uit onderzoek naar hoe scholieren het Nederlands beheersen, weten we dat bijna een op de vier moeite heeft met het begrip van de Nederlandse taal. Voor digitalisering is taal onontbeerlijk. Gaat de staatssecretaris erop letten dat er met burgers en bedrijven in begrijpelijke taal voorlichting wordt gegeven, ook op websites van lagere overheden?
Voorzitter. D66 is voorstander van het opensourcebeginsel, ook als groeimodel. We zijn blij dat dit in de novelle terecht is gekomen. De aanbieder van het inlogmodel moet voor een goed product zorgen. Wat daarbij hoort, is dat er een gemeenschap is van mensen die de openbroncode in de gaten houden, die testen of het inlogmiddel aan alle vereisten blijft voldoen, of er kwetsbaarheden in het systeem zitten, of hacken afdoende kan worden tegengegaan. Het is het meerogenprincipe.
Ik heb de volgende vragen. Hoe kunnen we er zeker van zijn dat dergelijke gemeenschappen ontstaan, hun werk goed doen en hun werk goed blijven doen? Welke rol ziet de staatssecretaris daarin voor de overheid? Is er een kwaliteitscontrole voor zo'n gemeenschap? Door wie? En wat als zo'n gemeenschap wegvalt? Vaak zijn het hele gedreven vrijwilligers. Ik heb twee weken geleden een gesprek met een aantal van hen gehad. De vraag dringt zich op of de overheid hier niet meer structuur moet bieden.
De heer Van Hattem i (PVV):
Het zijn op zich terechte vragen van de heer Dittrich van D66, maar het punt is dat er nu heel sterk van uitgegaan wordt dat er noodzakelijkerwijs een gemeenschap moet zijn van mensen die met open source bezig zijn. Het is een soort conditio sine qua non, alsof het anders echt niet kan plaatsvinden. Het feit is dat als iets als open source wordt aangeboden, ook de individuele zolderkamernerd, om het zo maar even te noemen, hierop kan losgaan. Dat hoeft niet per se in een vaste gemeenschap te zijn. Is de heer Dittrich het met me eens dat juist het aanbieden van opensourcesoftware eenieder de mogelijkheid biedt om het systeem kritisch onder de loep te nemen en daar dus gewoon alle risico's en onzorgvuldigheden uit te kunnen vissen? Dat kan dus zowel een gemeenschap als een individu zijn.
De heer Dittrich (D66):
Ja, ik ben het ermee eens dat zo'n gemeenschap niet uit honderden personen hoeft te bestaan. Het kan misschien ook uit een enkeling of een klein groepje bestaan. Het gaat erom dat mensen bij de openbroncode terecht moeten kunnen en vandaaruit kunnen kijken of die open source aan de kwaliteitseisen voldoet die wij daaraan stellen.
De heer Van Hattem (PVV):
De heer Dittrich is het dus wel met mij eens dat open source het uitgangspunt moet zijn. Of die gemeenschap vervolgens uit één persoon of uit honderdduizend personen bestaat, is eigenlijk niet zo relevant, als er maar open source beschikbaar wordt gesteld.
De heer Dittrich (D66):
Wat onze fractie betreft moet het meerogenprincipe echt verankerd zijn. Dat betekent vaak dat één zolderkamernerd, zoals u dat noemt, misschien wel heel erg veel kan, maar het zou beter zijn als men met elkaar overleg pleegt, kijkt waar een kwetsbaarheid in het systeem zit en met elkaar gegevens uitwisselt. Over het algemeen zou ik zeggen "meer ogen is beter", maar daar zijn wel wat vragen over te stellen, en die heb ik gesteld.
Voorzitter. Wij zijn voorstander van het elektronisch identificatiemiddel. Open source moet dat zijn, omdat dat de meest effectieve manier is om onbetrouwbare partijen buiten de deur te houden en de veiligheid en privacy te waarborgen. Het wetsvoorstel kiest voor een duaal stelsel en laat ook private partijen, bedrijven, toe om inlogmiddelen aan te bieden, mits ze natuurlijk aan een aantal specifieke voorwaarden voldoen. Dat is dus een vorm van marktwerking naast het inlogmiddel dat de overheid aanbiedt. Dat betekent dat techbedrijven als Google, Twitter en Facebook mee kunnen dingen, terwijl hun businessmodel perverse prikkels kent, die zelfs schadelijk zouden kunnen zijn voor de democratische rechtsstaat. Denk aan de reclame-inkomsten die groter worden naarmate er meer reuring op het techplatform ontstaat, waardoor bijvoorbeeld complottheorieën en onlinehaatberichten welig tieren.
Onlangs lazen we: "De overheid stopt met Facebook als het bedrijf niet beter omgaat met persoonsgegevens. Doordat de kans klein is dat Facebook aan alle privacy-eisen zal voldoen, is het waarschijnlijk dat de overheid zich uiteindelijk terug zal trekken van het sociale netwerk." Dit kwam van RTL Nieuws. In het kader van de WDO vraag ik aan de staatssecretaris: moet de overheid eigenlijk wel willen meewerken aan het toelaten van dit soort techbedrijven met schimmige praktijken? Wil de overheid niet stimuleren — dat is eigenlijk waar ik de heer Koole over hoorde praten — dat organisaties zonder winstoogmerk, uiteraard op basis van open source en een transparant businessmodel, voorrang krijgen? Zo ja, hoe ziet de staatssecretaris dat voor zich?
Daaraan gekoppeld is de volgende vraag: hoe moet de burger eigenlijk een keuze maken uit die verschillende inlogmiddelen? Wie geeft daar eerlijke voorlichting over? Wat als het misgaat? Volgens de Venice Principles, principes van de Raad van Europa, moet er een fatsoenlijke klachtenbehandeling worden opgetuigd. Kan de staatssecretaris aangeven hoe zij de klachtbehandeling ziet? En bij wie moet de burger of het bedrijf zijn? Bij de private onderneming of bij de publieke, die het inlogmiddel —- bijvoorbeeld een verbeterde versie van DigiD — heeft aangeboden? Graag daarop een reactie van de staatssecretaris.
De heer Van Hattem (PVV):
Ik hoorde de heer Dittrich van D66 kritiek uiten op techbedrijven, die de nodige risico's met zich meebrengen voor de privacy en de veiligheid van burgers et cetera. Maar waarom zouden we dan wel blindelings vertrouwen op de goedertierenheid van de overheid? Evengoed kan de overheid ook de grondrechten van de burgers schenden en de digitale identiteit inzetten voor dergelijke beperkingen en middelen. Moeten we daar evengoed niet kritisch op zijn en niet alleen de bal leggen bij de commerciële aanbieders als de grote boosdoener?
De heer Dittrich (D66):
Daar heeft de heer Van Hattem een punt. Daar moeten we zeker kritisch over zijn, vandaar dat we dit wetsvoorstel en de novelle bespreken, met allerlei ankerpunten daarin. Maar dat ontslaat ons niet van de verplichting om ook in de toekomst goed de vinger aan de pols te houden, zeker als de kaderwet verder wordt ingevuld.
De heer Van Hattem (PVV):
Maar dan komen we al bij het punt dat die kaderwet verder moet worden ingevuld. Is het dan niet veel belangrijker dat we nu aan de voorkant al zeggen "wacht even, overheid, we gaan misschien twee stappen te ver door hier al de basis te leggen voor die verdere invulling, die misschien wel hele riskante ontwikkelingen met zich meebrengt voor de grondrechten, vrijheden en privacy van burgers," in plaats van nu drie stappen vooruit te doen? Is het niet veel belangrijker dat we nu gewoon eerst de basis op orde brengen met goede inlogmiddelen in plaats van nu al heel dat raamwerk op te tuigen waarvan we misschien wel moeten vrezen dat het ten koste gaat van de vrijheid en privacy van burgers?
De heer Dittrich (D66):
Vandaag bespreken we de eerste tranche van de Wet digitale overheid. Er volgen er hoogstwaarschijnlijk nog meer, een tweede, een derde en misschien nog wel meer. En er komen algemene maatregelen van bestuur en ministeriële regelingen. Daar moeten we echt goed naar kijken om te voorkomen dat er problemen ontstaan. Problemen zullen altijd ontstaan, maar het gaat erom dat je die adequaat kunt tegengaan.
De voorzitter:
Tot slot, meneer Van Hattem.
De heer Van Hattem (PVV):
Het punt is het volgende. Als wij deze fuik ingaan, lopen we wel het risico dat er straks geen weg meer terug is. We krijgen ook te maken met Europese richtlijnen en verordeningen die mogelijk ervoor zorgen dat het slikken of stikken wordt. Is de heer Dittrich het met mij eens dat als wij nu deze stappen gaan zetten, wij straks misschien toch in die fuik terechtkomen waarin er geen weg meer terug is en dat ze bij volgende tranches eigenlijk een soort van noodzakelijk kwaad worden om het maar in te moeten vullen, omdat we anders niet meer aan al die richtlijnen voldoen? Zou het niet veel beter zijn om nu een handrem in werking te kunnen zetten?
De heer Dittrich (D66):
Ik kan niet meegaan in het beeld dat de heer Van Hattem schetst dat we nu met z'n allen een fuik in zwemmen. Dit is een open kaderwet en die moet verder worden ingevuld. We zijn daar allemaal bij. Ik ben niet zo pessimistisch als de heer Van Hattem.
De heer Ganzevoort i (GroenLinks):
De heer Dittrich vroeg net: hoe maken we de burgers erop attent waar ze uit kunnen kiezen en dergelijke? Ik kom weleens een keertje op internet en op steeds meer plekken zie ik "log in met Google" of "log in met Facebook". We krijgen allerlei opties aangeboden. Deze zijn op de een of andere manier betaald, denk ik. Moet de overheid daar dan naast gaan staan met "log in met de overheid" of zouden we moeten zeggen: misschien moeten we helemaal die kant niet op? Het zijn hele terechte vragen van de heer Dittrich, ook in de lijn van de heer Koole, naar het voorkomen dat de verkeerde aanbieders ertussen zitten. De goede aanbieders die er privaat zullen zijn, hebben nooit hetzelfde reclamebudget als die grote bedrijven.
De heer Dittrich (D66):
Dank voor de vraag, meneer Ganzevoort. Dat is ook de reden waarom ik aan de regering vraag wie er eerlijke voorlichting geeft over de bestaande of aangeboden inlogmiddelen zodat het publiek een goede keuze kan maken. Het kan heel wel zijn dat de overheid daar een belangrijke rol in gaat spelen. Daarom wil ik het antwoord van de staatssecretaris afwachten. Dat zou principieel helemaal niet verkeerd zijn.
De heer Ganzevoort (GroenLinks):
Dat snap ik, maar maken we het onszelf niet heel erg moeilijk door het überhaupt hybride te maken?
De heer Dittrich (D66):
Dat debatje hebben we eerder gevoerd met mevrouw Prins. Zij gaf daar wel een helder antwoord op, vond ik. Het is een probleem als je alleen als overheid een inlogmiddel aanbiedt. Dat hebben we in het verleden met DigiD gezien. Op een gegeven moment werkte het niet. Dan wordt alles afgesloten en kan niemand meer contact hebben met de overheid. Je moet kunnen kiezen tussen inlogmiddelen en je moet als individu misschien wel meer dan één inlogmiddel hebben. Dat is zeker een mogelijkheid. Dat heeft de regering ook eerder op schriftelijke vragen van ons en van anderen geantwoord. In het debat met de regering wil ik daar goed naar luisteren.
Voorzitter. De Stichting Lezen en Schrijven wijst erop dat laaggeletterden vaak iemand willen machtigen om iets bij de overheid te regelen, want ze zijn vaak slachtoffer van online-oplichting. Die stichting wil dat de manier van machtigen om iemand hulp te geven voor zowel de private als de publieke inlog hetzelfde is, ter verkleining van het oplichtingsrisico. Hoe ziet de staatssecretaris dat?
Over decentrale opslag is ook al het nodige gezegd. Verschillende experts pleiten voor een decentraal opslagsysteem voor de data, dus dat er geen centraal opslagsysteem is, maar dat de gegevens bijvoorbeeld op de smartphone van de gebruiker staan. Maakt dit wetsvoorstel en de volgende tranches die decentrale opslag gemakkelijk en gemakkelijker? Hoe zijn de ontwikkelingen?
Voorzitter. Tot slot de rechten van burgers en bedrijven. Er worden veel gegevens gekoppeld. Soms weten burgers en bedrijven niet eens dat die koppeling plaatsvindt. Doelbinding is hierin een belangrijk element. We weten dat burgers het soms fijn vinden dat ze niet steeds dezelfde dingen moeten invullen en dezelfde gegevens moeten overleggen. Een min of meer automatische koppeling stuit weer op privacybezwaren. Als medewetgever wilde D66 dat die doelbinding een wettelijke verankering kende en niet alleen in nadere regelgeving werd opgenomen. Dat roept toch nog een aantal vragen op. Hoe is het standaard inzagerecht geregeld voor de burger? Hoe ziet de staatssecretaris het correctierecht en het verwijderingsrecht als data niet blijken te kloppen? Hoe wordt het de burger of het bedrijf gemakkelijk gemaakt om veranderingen door te voeren?
Helemaal tot slot nog iets over toezicht en handhaving. Onder het toezicht in de WDO heeft de Autoriteit Persoonsgegevens een rol, maar het Agentschap Telecom uiteraard ook. Hoe vullen die twee elkaar aan? Hoe gaat het met de handhaving, bijvoorbeeld als de toelating van een private partij moet worden ingetrokken omdat hij niet meer aan de voorwaarden voldoet? Hoe zit dat dan precies? Hoe gaat het met de last onder dwangsom? Wie geeft die? En helemaal tot slot: heeft het Agentschap Telecom daadwerkelijk voldoende personeel, kennis en kunde in huis om deze belangrijke taken te vervullen?
Dank u wel.
De voorzitter:
Dank u wel, meneer Dittrich. Dan is het woord aan meneer Talsma namens de ChristenUnie.