Verslag van de vergadering van 29 november 2022 (2022/2023 nr. 10)
Status: gecorrigeerd
Aanvang: 15.50 uur
De heer Koole i (PvdA):
Dank u wel, voorzitter. Wij spreken vandaag over een zeer belangrijk onderwerp: het elektronisch verkeer van burgers en bedrijven met de overheid, en dan met name de eerste tranche van een generieke digitale infrastructuur. Die eerste tranche is gericht op het ontwikkelen van nieuwe inlogmiddelen — een nieuwe DigiD, zeg maar. Daar waren we al even mee bezig. Eerder is al gezegd dat het wetsvoorstel hierover in 2018 werd ingediend en in 2020 deze Kamer bereikte.
De Eerste Kamer had grote bezwaren tegen dat wetsvoorstel, mede gevoed door informatie die we van deskundigen verkregen. De bezwaren golden vooral het gebrek aan privacybescherming in het oorspronkelijke wetsvoorstel. Dat is nogal wat, want het gaat hier om de toegang van burgers tot digitale overheidsdiensten. Belangrijke standaarden waren niet in dit wetsvoorstel over inlogmiddelen opgenomen, zoals privacy by design en open source, zoals dat in jargon heet.
Bij privacy by design gaat het erom dat bij het ontwerp van de inlogmiddelen rekening moet worden gehouden met de bescherming van persoonsgegevens. Dat moest al op grond van de Algemene verordening gegevensbescherming, de AVG. Maar deze Europese verordening regelde niet dat het ontbreken van privacy by design een grond is om een erkenningsaanvraag te weigeren. Dat laatste stond evenmin in het oorspronkelijke wetsvoorstel.
Open source houdt in dat de broncodes van de software openbaar zijn. Volgens deskundigen biedt dat de beste garanties dat de software veilig en betrouwbaar is, mits de gemeenschap die de software onder zijn hoede heeft voldoende groot is.
De Eerste Kamercommissie voor Binnenlandse Zaken — de heer Dittrich zei het al — stuurde daarom in juli 2020 een brief aan het kabinet over deze onderwerpen. De reactie van het kabinet destijds was nogal lauw. In september van hetzelfde jaar werden daarom scherpe schriftelijke vragen gesteld, ook door mijn PvdA-fractie. De privacy werd het beste gediend met verplichte open source en decentrale opslag, dus de vraag was waarom daar niet voor was gekozen. Inmiddels koos tijdens de coronacrisis een ander ministerie, VWS, daar wel voor bij de vormgeving van de CoronaMelder. De eenheid van digitaal overheidsbeleid was zoek.
De brede kritiek vanuit deze Kamer leidde gelukkig tot bezinning. In de memorie van antwoord van februari 2021 werd een drietal wijzigingen aangekondigd: privacy by design, open source en het verbieden van het commercieel uitnutten van gegevens door private partijen. Die hebben geleid tot de novelle die in juni van dit jaar werd ingediend bij de Tweede Kamer en die vandaag ook voorligt in deze Kamer. Wij zijn de regering dan ook erkentelijk dat ze naar bezwaren van deze Kamer heeft willen luisteren. In de novelle zijn belangrijke punten opgenomen die eerder ten onrechte ontbraken en zijn verschillende begrippen, mede op advies van de Raad van State, nader toegelicht.
Toch resten bij mijn factie nog verschillende prangende vragen. Ik begin met de al eerdergenoemde problematiek van de open source. Uitdrukkelijk is destijds door verschillende fracties in deze Kamer gevraagd om de opensourcebenadering verplicht te stellen. De broncode wordt gepubliceerd, zodat in een gemeenschap, een community van kenners en kunners, op transparante wijze verbeteringen kunnen worden gesuggereerd. Maar in de novelle is daarvoor niet gekozen. Weliswaar wordt de open source wenselijk geacht en spreekt de regering van een groeimodel waarin stapsgewijs componenten van inlogmiddelen worden aangewezen waarvan de broncode moet worden gepubliceerd, maar voorlopig kunnen private aanbieders van inlogmiddelen ook nog met closed source werken. Het is immers "open source tenzij" en niet "open source tout court". De regering overtuigt vooralsnog niet met haar redenering waarom dat het geval moet zijn. Waarom is niet gekozen voor het direct verplicht stellen van de open source in elk geval voor nieuwe aanbieders? Dat klemt temeer omdat het verplicht stellen van het open sourcevereiste bij toelating van elk inlogmiddel, zoals de Nijmeegse hoogleraar Jacobs het een jaar geleden in een artikel over open source als strategisch instrument schreef "ook een defensief wapen is tegen de agressie en het techkolonialisme van de dominante ICT-leveranciers. Open source is dus niet alleen goed voor de transparantie, hergebruik en onafhankelijkheid, maar ook als strategisch verdedigingswapen ten gunste van de eigen soevereiniteit." Verplicht open source dus, ook om de macht van de big tech — Huawei, Google, Microsoft en Apple — te kunnen pareren en om strategische veiligheid te kunnen bewerkstelligen.
Als antwoord op de vraag van onze fractie waarom de open source niet als harde eis is gesteld, schrijft de regering in de memorie van antwoord van vorige maand dat een van de redenen om voor een systeem van open toelating te kiezen, het creëren van vitaliteit in het stelsel is, doordat er verschillende inlogmiddelen beschikbaar komen voor de toegang tot digitale overheidsdienstverlening. Kan de regering uitleggen wat het "creëren van vitaliteit" inhoudt? Welke evidente voordelen zou de betrokkenheid van commerciële bedrijven hier volgens de regering kunnen opleveren? Wegen deze op tegen mogelijke nadelen?
Tegelijkertijd benadrukt de regering in de memorie van antwoord op pagina 16 dat natuurlijke personen altijd op verschillende betrouwbaarheidsniveaus kunnen inloggen met een publiek middel. Dus ook zonder inlogmiddelen van private bedrijven is de overheid gehouden om burgers en bedrijven een kwalitatief goed inlogmiddel aan te bieden. Ook zonder de vitaliteit van een systeem van open toelating moeten burgers dus kunnen rekenen op een kwalitatief goed publiek inlogmiddel. Kan de regering dat bevestigen? Of is een tweede inlogmiddel op den duur nodig, zoals mevrouw Prins ook zei? En, zo ja, is dan dat tweede middel — als het er is, maar wat eerst werd ontkend omdat er één middel is waarop altijd door een burger moet kunnen worden gerekend — een publiek tweede middel of moet dat per se een privaat tweede middel zijn? Daar bestaat dus toenemende onduidelijkheid over.
Maar waarom wordt nog vastgehouden aan dat systeem van open toelating zonder de verplichting van open source? Waarom is het vooralsnog nodig om commerciële partijen toe te laten als nieuwe aanbieders van inlogmiddelen gebaseerd op closed source, wanneer de regering zelf zegt dat, ongeacht de aanwezigheid van private aanbieders, de burgers altijd moeten kunnen inloggen met behulp van een kwalitatief goed publiek middel? Vereist Europese regelgeving wellicht het toelaten van commerciële partijen? Kan de regering bevestigen dat een publiek inlogmiddel altijd gebaseerd is of zal moeten zijn op open source?
Voorzitter. Daar komt de problematiek van de controle nog eens bij. We hebben het daar net ook al even over gehad. Terecht is nu in de novelle vastgelegd dat het private partijen verboden is om data verkregen via het inlogmiddel voor overheidsdienstverlening, te koppelen aan data die het bedrijf via andere, commerciële, wegen heeft verkregen. Vereist het verbod op koppeling niet dat er in die commerciële bedrijven — ik noemde ze al eerder — Chinese muren bestaan tussen beide typen data? Kan de regering uitleggen waarom zij op dit punt geen eisen wil stellen aan de bedrijfsorganisatie van de commerciële aanbieders van inlogmiddelen? En hoe gaat zij het niet koppelen en niet verhandelen van data verkregen via inlogmiddelen voor de digitale overheidsdienstverlening, in de praktijk controleren? Heeft het Agentschap Telecom daarvoor voldoende capaciteit? Ook de heer Dittrich wees daar al op. Welke rol — als er één is — heeft de Autoriteit Persoonsgegevens bij de controle op en het handhaven van het niet koppelen en het niet verhandelen van data verkregen door inlogmiddelen voor overheidsdiensten? In elk geval dient de Autoriteit Persoonsgegevens toezicht te houden op de privacy by design. Die moet dan wel de nodige capaciteit hebben. Daarover gaat de staatssecretaris met de AP in overleg, zei zij in juni in de Tweede Kamer. We zijn inmiddels een halfjaar verder. Kan de staatssecretaris zeggen hoe het daarmee staat? Heeft de Autoriteit Persoonsgegevens wel voldoende capaciteit?
Voorzitter. Is de regering het eens met onze fractie dat de problematiek van controle op het niet koppelen en het niet verhandelen van data aanzienlijk zou worden gereduceerd bij het niet toelaten van commerciële partijen als aanbieders van inlogmiddelen voor overheidsdiensten? Kan de regering bovendien aannemelijk maken dat commerciële bedrijven zich als nieuwe aanbieders van inlogmiddelen zullen melden, wanneer open source verplicht is en/of wanneer zij door inlogmiddelen voor overheidsdiensten verkregen data niet mogen koppelen en ook niet mogen verhandelen of anderszins commercieel mogen uitnutten? Wat blijft er dan nog over van hun verdienmodel? Ik meen dat ook mevrouw Prins daar een vraag over stelde.
Voor het goed functioneren van open source, zo stelt de regering, is een actieve community nodig die over publiekelijk toegankelijke broncodes kan beschikken en suggesties voor verbetering kan doen. De staatssecretaris heeft in de Tweede Kamer aangegeven zelf actief het bestaan en functioneren van dergelijke community's te willen bevorderen. Kan zij aangeven hoe zij dat voor zich ziet? Op welke wijze wil zij dat gaan stimuleren? Is er één community voor alle broncodes gewenst of zijn er meerdere community's nodig voor verschillende broncodes?
In de praktijk zijn dergelijke community's nogal fluïde. Wat als een community ondanks alle inspanningen van de regering toch niet van de grond zou komen? Is de regering dan bereid om door middel van financiële vergoedingen een dergelijke community te creëren? En hoe onafhankelijk is een dergelijke community in dat geval?
Kan de staatssecretaris nog eens uitleggen wat zij bedoelde toen zij in de Tweede Kamer zei dat de broncode bij het opensourcemodel niet gratis hoeft te zijn? Wat bedoelde zij daarmee?
Kan de regering bovendien ingaan op de zorgen die sommigen uiten, ook vandaag nog, dat openbaar gemaakte broncodes in verkeerde handen vallen, bijvoorbeeld van geopolitieke tegenstanders of handelspolitieke concurrenten? Speelt het streven naar strategische autonomie van Europa nog een rol in de afweging? Kan een derde partij het goed functioneren en de privacy van inlogsystemen bij de Nederlandse overheidsdiensten ten nadele beïnvloeden, doordat ook zij over de publieke broncodes beschikken, zoals onder anderen de heer Van den Berg vandaag beweerde? Zijn deze zorgen wel reëel, is mijn vraag aan de staatssecretaris.
Voorzitter. Privacy by design is via de novelle geregeld in de artikelen 9, 11 en 14. Wat niet in de novelle is geregeld, is dat hierbij een zogeheten data protection impact assessment, DPIA, wordt geëist. Die eis komt, zo begrijpen wij, te staan in de ministeriële regeling. Waarom is die tamelijk principiële eis niet in de wet zelf opgenomen? Dit raakt aan de al eerdergenoemde problematiek van delegatie.
Eenzelfde vraag kan worden gesteld ten aanzien van de verplichte digitale inzage en correctie bij aanbieders van inlogmiddelen; de heer Dittrich had het er al over. Waarom is dit principiële uitgangspunt niet in de wet zelf opgenomen, maar komt het in de ministeriële regeling te staan? Een ministeriële regeling is toch bedoeld voor zaken die in de praktijk snel moeten kunnen worden gewijzigd? Maar dat geldt toch niet voor het principe van verplichte digitale inzage en correctie?
Voorzitter, tot slot. De in de oorspronkelijke wet en de novelle opgenomen vereisten brengen ook het nodige werk met zich mee voor de decentrale overheden. Kan de regering aangeven in hoeverre de decentrale overheden beschikken over de nodige capaciteit om dit waar te maken? Kan de staatssecretaris aangeven hoe het staat met het voorstel aan IPO en VNG om het toezicht dat provincies houden op waterschappen en gemeentes in deze kwestie te centraliseren, dat wil zeggen op rijksniveau te leggen? Hoe staat het daarmee?
Vanzelfsprekend moet het verkeer van burgers met de overheid, ook het digitale verkeer, voor iedereen toegankelijk blijven, rekening houdend met het doenvermogen van burgers, zoals de heer Talsma ook al opmerkte.
De leden van de PvdA-fractie zien uit naar de beantwoording van hun vragen.
De voorzitter:
Dank u wel, meneer Koole. Dan is het woord aan mevrouw Gerkens namens de SP-fractie en mede namens de Partij voor de Dieren.