Verslag van de vergadering van 29 november 2022 (2022/2023 nr. 10)
Status: gecorrigeerd
Aanvang: 16.16 uur
De heer Van Hattem i (PVV):
Dank, voorzitter. Enigszins uitgedaagd door de heer Talsma, heb ik het papieren dossier van dit wetgevingstraject toch ook maar even bij de hand genomen. Er is ook helemaal niets mis mee om dat op papier te hebben, zeg ik er maar even bij. Alleen al de titel "wet digitale overheid" is potsierlijk en pretentieus. ICT en overheid staan in dit land immers als jarenlang garant voor mislukkingen, en met dit falen voor heel veel extra kosten voor de belastingbetaler. Terwijl het kabinet bijvoorbeeld voortblundert met het Digitaal Stelsel Omgevingswet, trekt het nu een grote broek aan en pretendeert het een digitale overheid te kunnen zijn. Een "wet dienstbare overheid" die de basis op orde brengt, ook qua ICT-dienstverlening, zou voor onze burgers veel nuttiger zijn.
De wetsvoorstellen die we vandaag behandelen, vormen een januskop. Enerzijds betreffen ze onvermijdelijke maatregelen, maar anderzijds zit er onder de WDO ook een zeer onwenselijke ontwikkeling. Het onvermijdelijke zit in de noodzaak van betere beveiligingsstandaarden voor inlogmiddelen voor de overheid. Het bestaande DigiD loopt qua veiligheid en betrouwbaarheid op zijn laatste benen en er zijn eerder al problemen ontstaan met aan DigiD gekoppelde systemen, zoals DigiNotar. In dat opzicht is het hoog tijd voor verbetering. Het lijkt op het eerste gezicht heel nuttig om in zo'n systeem ook andere praktische toepassingen mee te nemen, maar juist op dat vlak liggen de risico's en de onwenselijke ontwikkelingen op de loer. Nadat deze Eerste Kamer had gehamerd op met name risico's op het gebied van privacy en veiligheid, was ook het kabinet eindelijk wakker geschud uit zijn digitale droomwereld en besloot het met een novelle te komen waarmee zaken als open source, het verhandelingsverbod en hoogstnoodzakelijke aspecten van privacybescherming nu direct in de wet worden geregeld in plaats van in algemene maatregelen van bestuur. Daarmee is de novelle zeker een verbetering ten opzichte van het oorspronkelijke wetsvoorstel.
Desalniettemin blijven er nog veel bedenkingen bij de uitwerking van deze onderdelen. Ook de Tweede Kamer is nog niet overtuigd. Zelfs nog voor het debat van vandaag heeft de vaste commissie voor Digitale Zaken vragen gesteld over de uitvoerbaarheid van de Wet digitale overheid. Kan de staatssecretaris die antwoorden wel in dit debat geven? In ieder geval heb ik hier nog de nodige vragen over, deels in lijn met de Tweede Kamercommissie. Ten aanzien van open source spreekt de staatssecretaris over "een groeimodel dat stapsgewijs wordt ingevoerd en waarin uitzonderingen op open source mogelijk zijn vanwege veiligheid en beschikbaarheid van inlogmiddelen". Op zich is dat begrijpelijk, maar er zit geen horizonbepaling in. Dus wanneer is het wél veilig genoeg? Wat zijn daarvoor de concrete criteria? Kan er überhaupt wel gesproken van een systeem dat veilig genoeg is? Of kan er tot in lengte der dagen een tweesporenbeleid blijven bestaan ten aanzien van open source? Graag een reactie van de staatssecretaris.
Ook is nog steeds onduidelijk wat precies de rol gaat worden van de opensourcecommunity's. Uiteraard is het nuttig als ze meekijken. Ongeacht hoe groot zo'n community is, is die voor eenieder openbaar en daarmee ook bruikbaar. Maar het wetsvoorstel voorziet eigenlijk in een veel minder vrijblijvende rol. Kan de staatssecretaris aangeven hoe zij de uitvoering hiervan voor ogen ziet?
Dan over het verhandelingsverbod. De staatssecretaris stelt: "Bij het beoordelen van een aanvraag wordt getoetst of een aanvrager burgers de mogelijkheid geeft om het delen van gegevens aan derde partijen op elk mogelijk moment te beëindigen." Dat is een theoretische mogelijkheid, maar in de gebruikspraktijk kunnen ook situaties ontstaan waarbij het voor de burger in praktische zin nadelig kan uitpakken om het delen van gegevens te beëindigen. Kan de staatssecretaris aangeven in hoeverre er voorkomen zal worden dat er perverse prikkels ontstaan om het delen van gegevens in stand te laten omdat de praktische nadelen groter zullen zijn dan de voordelen? Of wordt hier geen rekening mee gehouden?
In de memorie van antwoord stelt de staatssecretaris over de uitwisseling van patiëntgegevens: "Inlogmiddelen voor zorgprofessionals om toegang te verkrijgen tot patiëntgegevens zijn nog niet breed beschikbaar op het hoogste betrouwbaarheidsniveau eIDAS hoog." Dit is omdat het niet verplicht, te duur en te gebruiksonvriendelijk zou zijn. Daarop stelt de staatssecretaris: "Uitgangspunt is dat voor uitgifte en gebruik van inlogmiddelen in ieder geval wordt aangesloten bij de digitale inlogmiddelen die vanuit de Wet digitale overheid ter beschikking komen." Kan de staatssecretaris aangegeven in hoeverre deze inlogmiddelen uit de WDO wél betaalbaar, gebruiksvriendelijk en voldoende betrouwbaar zijn voor de zorgsector?
Dan de kosten voor de gebruikers. De staatssecretaris stelt in de memorie van antwoord: "Voor het bereiken van het gewenste betrouwbaarheidsniveau van het gebruikte middel wordt een inlogfunctionaliteit op de identiteitskaart of het rijbewijs geplaatst. Met de uitgifte van deze documenten zijn leges gemoeid. Deze legesmogelijkheid is voor de identiteitskaarten geregeld inde Paspoortwet en wordt voor rijbewijzen geregeld in de WDO." Kan de staatssecretaris aangeven of de leges voor rijbewijzen en paspoorten hierdoor gaan stijgen en, zo ja, in welke mate? Worden onze burgers hiermee dus ook nog op extra kosten gejaagd terwijl hun portemonnee al leeggezogen is?
Verder stelt de staatssecretaris in de memorie van antwoord: "De juridische, organisatorische en technische basis van het stelsel zal naar verwachting circa een halfjaar na de inwerkingtreding van de wet gereed zijn, in juli 2023." Kan de staatssecretaris aangeven wat er juridisch nog geregeld moet worden? Zou dat niet nu al, bij de voorliggende wetsbehandeling, duidelijk moeten zijn?
In de brief aan de Eerste Kamer van 23 september jongstleden gaat de staatssecretaris in op de uitvoerbaarheid en de toezichthoudende taak van decentrale overheden, en stelt zij in gesprek te zijn met de koepelorganisaties. Kan de staatssecretaris aangeven wat hiervan de actuele stand van zaken is? Kan de staatssecretaris nader onderbouwen waarom ze in dit kader vertrouwt op de informatieveiligheid bij decentrale overheden? Is er voldoende grond om aan te nemen dat deze in afdoende mate op orde is? Veel decentrale overheden draaien immers zelf nog op krakkemikkige ICT-systemen. Graag een reactie.
Voorzitter. In de brief van de Tweede Kamer van 14 november jongstleden, waar ik eerder naar verwees, werden diverse relevante vragen gesteld, zoals over pseudoniemen in plaats van end-to-endencryptie, manipulatie van informatie door derde partijen, de rol van het Agentschap Telecom en de definitie van "open source" ten opzichte van "openbare broncode". Kan de staatssecretaris in dit debat alsnog op deze vragen antwoord geven?
Voorzitter. Ik kom nu op de januskop van dit wetsvoorstel en de onwenselijke kant ervan. De staatssecretaris stelt dat de WDO ook bedoeld is om reeds te voldoen aan toekomstige EU-regelgeving voor de Europese digitale identiteit. Ook stelt ze dat de WDO nodig is om de EU-wijzigingsverordening te kunnen uitvoeren, dus om mede uitvoering te geven aan de eIDAS-verordening. In het wetsvoorstel zit dus niet alleen Brusselse regelzucht verpakt; het loopt ook nog eens voor de fanfare uit voor de Europese digitale identiteit. Ik citeer de staatssecretaris: "De eerste tranche van de Wet digitale overheid creëert hiermee bovendien een stevig fundament voor toekomstige ontwikkelingen in lijn met de toekomstige Europese wetgeving." Het is dus een stevig fundament voor de Europese wallet-id, zoals de staatssecretaris ook in de memorie van antwoord aangeeft: "Andere functionaliteiten, zoals wallets en eisen daaraan, kunnen met enkele aanvullingen in de wet door middel van een wetswijziging in deze systematiek worden opgenomen. Dat zal naar verwachting zijn beslag krijgen in de tweede tranche van de WDO."
Over die Europese digitale identiteit is nog volop discussie gaande, ook in de Tweede Kamer, maar de staatssecretaris zet met de WDO de fuik al wagenwijd open voor dit megalomane project van de Europese Commissie. Afgelopen juli gaf Bart Custers, hoogleraar Law and Datascience bij eLaw, het Centrum voor Recht en Digitale Technologie van de Universiteit Leiden, in een kritisch opiniestuk aan dat het risico is dat voor de ontwikkeling van dit systeem de macht te veel in handen komt van bigtechbedrijven, dat toezichthouden hierdoor problematisch wordt, dat de grootschalige gegevensopslag kwetsbaar en kostbaar is, dat er risico's zijn van hacks, identiteitsfraude en profilering en dat de uitvoering te ingewikkeld is voor overheden.
In de recente antwoordbrief aan de Tweede Kamer geeft de staatssecretaris zelf aan dat er het risico is van overidentificatie bij de Europese digitale identiteit. Bovenal kan de Europese digitale identiteit, eID, ten koste gaan van privacy, persoonlijke vrijheden en grondrechten, zeker nu de Europese Commissie deze digitale wallet voor alle burgers verplicht wil stellen en tegelijkertijd kiest voor een breed toepassingsbereik. Welke garanties kan de staatssecretaris geven dat de vrijheden en de privacy van onze burgers via deze WDO niet worden meegezogen in deze Brusselse fuik?
Op haar website stelt de Europese Commissie immers dat de eID gebruikt zou kunnen worden voor, ik citeer: "officiële handelingen zoals de aanvraag van een geboorteakte of een medische verklaring, een adreswijziging enz., een bankrekening openen, uw belastingaangifte, een inschrijving aan een universiteit (ook in een ander land), een recept van uw dokter bewaren en in een ander EU-land afhalen, uw leeftijd bewijzen, een auto huren met uw digitaal rijbewijs, inchecken in een hotel."
Daarmee komen wel heel veel privacygevoelige data in één systeem samen, met alle risico's van dien. Deze wet legt hiervoor dus een stevig fundament, om het in de woorden van de staatssecretaris uit te drukken. Zo'n eID, oftewel een wallet, een digitale beurs, gaat dus al deze datakoppelingen bevatten. Wat gepresenteerd wordt als praktisch, is gevaarlijk als het in verkeerde handen valt, en bij de Europese Commissie is het bij uitstek in verkeerde handen.
Tevens kan de digitale identiteit gebruikt worden om vrijheidsbeperkende maatregelen te handhaven. Op de vraag in de memorie van antwoord of het identificatiemiddel ook benut kan worden voor coronamaatregelen zoals het vaccinatiepaspoort en testen voor toegang gaf de staatssecretaris aan dat, ik citeer: "toegelaten/erkende middelen gebruikt kunnen worden bij alle diensten die door de overheid worden aangeboden, dus ook voor de genoemde voorbeelden". En: "Dit betekent dat deze inlogmiddelen straks uiteindelijk gebruikt dienen te worden bij alle elektronische diensten die door de Nederlandse overheid worden aangeboden, dus ook overheidsdiensten in het kader van COVID-19 en daarmee het EU-covid-certificaat."
Dat is dus de onwenselijke kant van dit wetsvoorstel. Een basis voor een verplichte, Europese digitale identiteit, die alle persoonlijke data van burgers met elkaar verbindt, van belastingaangifte tot bankrekening tot coronatoegangspas en wellicht nog tal van andere mogelijkheden in de toekomst. Aan wie vertrouw je je eigen portemonnee, oftewel de digitale wallet toe? Niet aan de overheid en al helemaal niet aan de Europese Commissie. De PVV gaat voor baas in eigen beurs.
Kan de staatssecretaris dan ook aangeven waarom ze met deze wetgeving zo ver voor de Brusselse troepen uitloopt en de zaken niet beperkt zijn gebleven tot de kern van de zaak: de zaak op orde krijgen met een veilig en betrouwbaar inlogsysteem voor onze burgers? Dat is immers in de wereld van ICT en overheid al moeilijk genoeg.
Voorzitter, tot zover mijn eerste termijn.
De voorzitter:
Dank u wel, meneer Van Hattem. Wenst een van de leden in de eerste termijn nog het woord? Dat is niet het geval.
De beraadslaging wordt geschorst.
De voorzitter:
De behandeling van deze wetsvoorstellen wordt later vandaag voortgezet. Ik schors de vergadering voor enkele ogenblikken.