Verslag van de vergadering van 29 november 2022 (2022/2023 nr. 10)
Status: gecorrigeerd
Aanvang: 14.32 uur
De heer Ganzevoort i (GroenLinks):
Voorzitter. Dat de Eerste Kamer heel lang op dinsdag na tweede paasdag niet vergaderde, had ermee te maken dat de reis per postkoets of anderszins soms zo lang duurde dat men al op maandag, en dus op een feestdag, moest reizen. Dat is, ondanks de klachten over overvolle en uitvallende treinen vandaag, natuurlijk een volstrekt verouderd principe. Daarom is dit een aantal jaren geleden aangepast en vergaderen we nu op de dinsdag na Pasen gewoon braaf door. Als de tijden veranderen, moeten wij mee veranderen om niet volstrekt achterhaald te raken. Daarom is de Eerste Kamer een jaar of tien geleden overgegaan op een totaal gedigitaliseerd systeem voor vergaderstukken. Dat was een vernieuwing waarmee wij onze tijd ver vooruit waren.
In dat licht bezien is de Wet digitale overheid een belangrijke poging om zaken bij de tijd te krijgen. In dit geval gaat dat om de communicatie met de overheid. In de afgelopen twee decennia is onze telefoon veranderd van een spraakverbinding naar een gecompliceerde computer, waarmee we realtime verbonden zijn met oneindig veel bronnen van informatie, communicatie en vermaak. Met die digitale revolutie zijn grote kansen, maar ook grote risico's ontstaan. Het zijn risico's die we vooraf vaak nauwelijks konden inschatten. Het is dus een goede zaak dat de regering probeert om het wettelijke kader te moderniseren, ook in het licht van de kabinetsbrede Werkagenda Digitalisering.
Dit wetsvoorstel is ingediend in 2018. Inmiddels zijn we vierenhalf jaar verder. Voor de liefhebbers: dat was ten tijde van de iPhone 8, terwijl we nu bij nummer 14 zijn. In digitale termen is dat een eeuwigheid geleden. Theologen rekenen anders, maar dat terzijde.
In die vierenhalf jaar zijn er niet alleen allerlei technische ontwikkelingen geweest en parlementaire discussies gevoerd. Er zijn inmiddels ook nieuwe Europese regels, er is een novelle enzovoorts. De vraag is dan ook op z'n plaats of de wet die we vandaag behandelen nog wel up to date is.
De regering had er al voor gekozen om er een kaderwet van te maken. Dat leidde tot de nodige bezwaren, zowel bij de Raad van State als bij de Eerste Kamer. Zo'n kaderwet is wel praktisch en wendbaar, maar ook weinig ingevuld. Dat betekent dat er allerlei waarborgen ontbreken die juist nodig zijn vanwege de enorm toegenomen risico's.
Op een aantal punten brengt de novelle, die op basis van een eerste schriftelijke uitwisseling in deze Kamer is aangeboden, een wezenlijke verbetering aan. Zo wordt nu veel beter geregeld dat open source het uitgangspunt moet zijn, waardoor veel beter kan worden nagegaan hoe inloggegevens worden verwerkt. Dat geldt ook voor privacy by design. Naar aanleiding van de vraag hoe grote techbedrijven omgaan met persoonlijke gegevens, is veel explicieter gemaakt dat die niet verhandeld mogen worden. Ten slotte is per amendement op enkele onderdelen vastgelegd dat de Kamers mogen eisen dat die niet per AMvB maar per wet worden geregeld. Mijn fractie is absoluut blij met deze verbeteringen. Het is de vraag of het genoeg is.
Een aantal aspecten van het oorspronkelijke wetsvoorstel steunt mijn fractie zeker. Dat geldt voor het verplichten van bepaalde standaarden in het elektronisch verkeer van de overheid. Het geldt voor het stellen van regels over informatieveiligheid. Het geldt voor de verantwoordelijkheid voor het beheer van de voorzieningen en de diensten binnen de GDI, de Generieke Digitale Infrastructuur.
Een struikelblok zit bij de digitale toegang tot publieke dienstverlening. Dat is wat ons betreft het belangrijkste punt. In onze ogen is ten eerste een verkeerde afslag genomen. Ten tweede is het op het punt van de decentrale opslag niet goed geregeld. Over die decentrale opslag is al heel wat uitgewisseld. Volgens de regering is een systeem met centrale opslag niet riskanter dan een systeem met decentrale opslag. Want, zo zegt de regering bij de beantwoording van de vragen, bij hacken is er altijd een risico; je moet het gewoon goed beveiligen. Dat laatste is natuurlijk waar, maar de regering miskent daarmee dat het veel aantrekkelijker is om een centrale opslag te hacken en dat een hack daarbij veel ernstigere en grootschaligere gevolgen heeft. Ik vraag de staatssecretaris waarom ze niet ook op dat punt de gevraagde verbetering heeft aangebracht. Deskundigen zeggen dat dit echt veiliger is, niet alleen als het gaat om hacken, maar ook als het gaat om dataminimalisatie en privacy by design. Had die privacy by design, die nu wel in de novelle is verankerd, niet ook vertaald moeten zijn in decentrale opslag? Dat is toch heel nauw aan elkaar verbonden? Graag een reactie van de minister.
Het echt ingewikkelde punt is voor ons de verkeerde afslag. Die is ingrijpender en ook niet zo heel makkelijk te repareren, hoewel er misschien nog wel manieren zijn om dit met elkaar op te lossen. Het meest fundamentele bezwaar tegen de Wet digitale overheid is wat ons betreft dat de regering ervoor gekozen heeft om ook private inlogmiddelen toe te staan voor communicatie met de overheid. In de argumentatie waarom dat een goed idee zou zijn, kom ik eerlijk gezegd niet veel verder dan dat er gezegd wordt: het is riskant als er maar één inlogmiddel is, zoals nu met DigiD; als dat inlogmiddel eruit ligt, is immers alle communicatie geblokkeerd. Dat klinkt in alle eerlijkheid als een drogreden. Ik vergelijk het maar even met bijvoorbeeld banken. Zij verstrekken ook inlogmiddelen en moeten daarbij de hoogste veiligheid in acht nemen. Met de redenering die de regering ons voorhoudt, zouden banken dus nooit genoegen kunnen nemen met alleen een eigen inlogmiddel, terwijl ze dat allemaal wel doen. Daarnaast zou de redenering van de regering alleen opgaan als we ervan uitgaan dat alle Nederlanders er vervolgens voor zorgen dat zij minstens twee inlogmiddelen tot hun beschikking hebben, zodat ze nog steeds uit de voeten kunnen als een van die twee vastloopt. Het argument lijkt ons tot nu toe dus een drogreden.
Er is een nog principiëlere vraag. Dat is of de overheid er niet gewoon zelf voor moet zorgen dat burgers en bedrijven toegang hebben tot overheidsdiensten en andere publieke diensten. Dat DigiD verouderd is, verbaast ons niet. Dat werd gelanceerd in 2003 en dat is toch echt een soort digitale prehistorie. Alle reden dus voor de overheid om een nieuw of op z'n minst een grondig vernieuwd inlogmiddel te laten ontwikkelen dat voldoet aan de eisen van deze tijd. Daar wordt nu in voorzien. Er blijft een publiek, door de rijksoverheid uitgegeven identificatiemiddel over. Dat maakt de vraag eigenlijk des te prangender: waarom worden überhaupt private identificatiemiddelen toegestaan? Welk nut dient het om de toegang tot overheidsdiensten uit handen te geven en vervolgens allerlei regels te moeten toevoegen om misbruik en externe risico's in te dammen? Die regels kunnen dan best oké zijn, maar waarom doen we dit überhaupt?
Voorzitter. We hebben op dit punt een sluitende argumentatie van de regering nodig. Als wij deze afslag nemen, is namelijk tot in lengte van dagen de deur opengezet voor allerlei private partijen. We zien de afgelopen jaren de publieke en de politieke opinie wat opschuiven. We vragen vaker of het wel zo goed is om private partijen hierin een rol te geven. Dat geldt zeker als je kijkt hoe bedrijven als Google, Facebook en noem ze allemaal maar op omgaan met gegevens van burgers. Stel dat we over een paar jaar bedenken dat het toch niet zo'n goed idee was om de deur op te zetten. Dan is die bijna niet meer te sluiten. Als het dan al zou lukken om alsnog te besluiten om private aanbieders weer buiten de deur te houden, dan zal dat mogelijk leiden tot schadeclaims van bedrijven die geïnvesteerd hebben om dit te kunnen aanbieden. Kortom, als we nu de deur openzetten, gebeurt er iets groots. Alle reden om deze principiële vraag heel erg goed onder de loep te nemen.
Wij denken dat we daarbij niet naïef moeten zijn. Er zullen zeker private aanbieders komen die vanuit ideële motieven een inlogmiddel ontwikkelen met maximale privacy, dataminimalisatie, veiligheid en wat allemaal niet meer. Dat zullen modellen of inlogmiddelen zijn waar je als overheid misschien wel blij mee bent en waar kritische burgers blij mee zijn. Er zullen ook private aanbieders zijn met geen ander doel dan winst maken en/of het vergaren van persoonsgebonden informatie. Aanbieders met een van die laatste twee oogmerken zouden we toch echt buiten de deur moeten houden. Is de staatssecretaris er zeker van dat de private aanbieders niet slimmer zijn dan de wetgever? Zijn we er zeker van dat private aanbieders geen slimme manieren vinden om toch te bereiken wat zij graag willen, namelijk winst op data? Is de staatssecretaris ervan overtuigd, ook met alle waarborgen die nu zijn aangebracht, dat de private aanbieders op geen enkele wijze indirect informatie over gebruikers kunnen verzamelen waarmee zij hun voordeel kunnen en zullen doen?
Ik heb de neiging om de staatssecretaris een klein beetje te waarschuwen. Het kan politiek aantrekkelijk zijn om nu ja te zeggen. Om te zeggen: ja, ik ben daar zeker van; we hebben goede waarborgen; kijk maar naar alle voorwaarden die erin staan. Eerlijk gezegd zou dat ja wat mij betreft ongeloofwaardig zijn. Want hoe slim wij het ook regelen, het gevaar blijft altijd bestaan dat private aanbieders net iets slimmer zijn en net iets bedenken waardoor zij binnen de grenzen van de wet toch informatie over gebruikers vergaren en gebruiken. Of misschien doen zij dit net buiten de wet. Kijk naar de boetes die grote techbedrijven af en toe krijgen. De winsten die zij maken zijn zo veel groter dan die boetes, dat ze die boetes op de koop toe nemen. Hoe slim wij het ook doen, het gevaar blijft bestaan.
Is de staatssecretaris het met mijn fractie eens dat de digitale sluwheid van private aanbieders nooit en te nimmer onderschat mag worden? Deelt zij dan ook de conclusie dat het toelaten van private aanbieders per definitie risico's met zich meebrengt? Vindt zij het nog steeds een goed en noodzakelijk idee, zoals 4,5 jaar geleden misschien gevonden werd, om private aanbieders toe te laten op deze markt?
De heer Koole i (PvdA):
Het betoog van de heer Ganzevoort kan ik helemaal volgen. Ik ben het er ook zeer mee eens. Ik heb wel een vraag over de private aanbieders. We moeten kijken of we vandaag toch nog een paar stappen kunnen zetten om eruit te komen. Mijn vraag aan de heer Ganzevoort is of er ook onderscheid te maken is tussen private aanbieders die commerciële belangen hebben en nastreven, en non-profit private aanbieders die ideëel — de heer Ganzevoort gebruikte zelf al de term "ideële organisaties" — inlogmiddelen ontwikkelen. Is dat een mogelijk behulpzaam onderscheid?
De heer Ganzevoort (GroenLinks):
Dank aan de heer Koole voor deze vraag. Ja, dat is een behulpzaam onderscheid, maar ik denk dat het juridisch niet goed te maken valt. Op welke basis zou je die twee kunnen onderscheiden? Ik denk wel dat je de vraag kunt stellen of er bij de inlogmiddelen die ontwikkeld worden geen modellen zitten die je als overheid heel graag zou willen gaan gebruiken. Dat zijn eigenlijk twee verschillende dingen. Het eerste is: welk type middelen gebruik je; welke technische oplossing kies je? Zijn er dan bijvoorbeeld aanbieders, zoals die er eerder waren, die met attribuutgebonden informatie een oplossing bieden voor heel veel van de vragen waar we voor staan? Het tweede is: vind je dan dat dit door een private aanbieder zou moeten worden geregeld? Of vind je dat dit eigenlijk zou moeten worden overgenomen door de overheid, waarmee het dan het publieke inlogmiddel wordt? Dat zijn volgens mij twee onderscheiden vragen.
Je kunt dus onderscheid maken tussen middelen die beter werken en middelen die minder goed werken. De ideële zullen waarschijnlijk beter werken op de criteria die ik noemde. Maar dan nog blijft de vraag of het meest heldere criterium, dat je ook juridisch hard kunt maken, niet bij de publieke aanbieder — dat wil zeggen bij de overheid — gehouden zou moeten worden en niet bij een private aanbieder.
De heer Koole (PvdA):
Ik begrijp dat de heer Ganzevoort het volgende zegt. Bij de ideële aanbieders zit waarschijnlijk een hele hoop knowhow en kennis waarvan de overheid zou kunnen profiteren. Dat kun je op twee manieren doen. De ene methode is om uitsluitend de private aanbieders met een non-profit businessmodel toe te laten, waarbij je ook een juridisch onderscheid moet kunnen maken, als dat gemaakt kan worden. Dat is de ene methode. De andere methode is: laat ze vooral hun werk doen, en als daar een goed project uit komt, dan moet de overheid dat gewoon aankopen, waardoor ze eigenaar wordt van dat project. Is dat het onderscheid dat de heer Ganzevoort voor ogen heeft?
De heer Ganzevoort (GroenLinks):
Dat laatste zou een heel goede route kunnen zijn. Bij het eerste zeggen wij: kun je dat onderscheid echt maken? Ik kan proberen om het slechte te bedenken — ik denk dat het kan helpen als we ook nadenken over waar het fout zou kunnen gaan. Stel dat ik zo'n privaat bedrijf ben dat graag data et cetera wil. Als dan de voorwaarde is dat ik een ideële afdeling moet oprichten om hieraan mee te mogen doen, dan zou ik alles op alles zetten om dat voor elkaar te krijgen. Dus ik weet niet of het onderscheid profit/non-profit ons nou helpt om de deur goed op slot te houden. Als er een ideële aanbieder is, die dit echt doet omdat hij ervan overtuigd is dat je deze communicatie veilig enzovoort moet doen, dan denk ik dat hij zeer vereerd zou zijn met een overheid die zegt: dat is nou eens een goed middel, daar zouden we graag mee willen samenwerken, dat zouden we graag willen overnemen en daarvoor betalen.
De voorzitter:
Vervolgt u uw betoog.
De heer Ganzevoort (GroenLinks):
De belangrijkste vraag aan de staatssecretaris is: kan zij ons overtuigen? Is zij er zeker van dat wij het op deze manier veilig houden? En als dat niet zo is, wat zijn dan de manieren — want er zit veel goeds in de wet — om deze angel eruit te halen en nog eens goed na te denken over de vraag of dit wel echt de goede afslag is? De fractie van GroenLinks geeft de staatssecretaris graag de kans om haar ervan te overtuigen dat deze route, met private aanbieders, het beste is voor de Nederlandse burgers. Wij hebben die overtuiging nog niet en dit punt weegt voor ons zwaar. Kortom, we zijn nog benieuwder dan anders naar de antwoorden van de staatssecretaris.
De voorzitter:
Dank u wel, meneer Ganzevoort. Dan is het woord aan mevrouw Prins namens het CDA.