Brief regering : Reactie op verzoek commissie over de 2e nota van wijziging inzake voorstel van wet van het lid Verhoeven houdende een regeling voor een afwegingsproces voor het gebruik van kwetsbaarheden in geautomatiseerde werken door de overheid (Wet Zerodays Afwegingsproces) (Kamerstuk 35257-13)

Nr. 14 BRIEF VAN DE MINISTERS VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES EN JUSTITIE
EN VEILIGHEID

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 3 februari 2021

Inleiding

Hierbij bieden wij u, mede namens de Minister van Defensie, het kabinetsstandpunt
inzake het initiatiefwetsvoorstel «zerodays afwegingsproces» (Kamerstuk 35 257)aan. Het kabinet reageert met dit standpunt op het verzoek van de vaste commissie
voor Binnenlandse Zaken in te gaan op het gewijzigde initiatiefwetsvoorstel van het
Kamerlid Verhoeven (D66) (Kamerstuk 35 257, nr. 5).

Om te beginnen hecht het kabinet eraan nogmaals te benadrukken dat de aandacht die
de Kamer, en in het bijzonder de initiatiefnemer, voor dit onderwerp heeft wordt gewaardeerd.
Het kabinet onderschrijft de ernst van de betrokken belangen. Net als de initiatiefnemer
beoogt het kabinet een zorgvuldige afweging, waarin het belang van cybersecurity vanzelfsprekend
een prominente plaats heeft.

Het debat over dit onderwerp kent een voorgeschiedenis. Op 8 november 2016 stuurde
de toenmalige Staatssecretaris van Veiligheid en Justitie – op verzoek van de initiatiefnemer
– een brief over het gebruik van onbekende kwetsbaarheden door de overheid1. Daarna is dit onderwerp bij de behandeling van het wetsvoorstel dat tot de Wet op
de Inlichtingen- en Veiligheidsdiensten 2017 (Wiv 2017) heeft geleid en het voorstel
van wet Computercriminaliteit III in het parlement uitvoerig aan de orde geweest,
hetgeen tot passende waarborgen heeft geleid. Van de wet Computercriminaliteit III
worden de bevoegdheid tot binnendringen in geautomatiseerd werk en de omgang met onbekende
wetsbaarheden momenteel geëvalueerd. Het rapport wordt in het najaar van 2021 verwacht.

Op 23 september 2020 (Handelingen II 2020/21, nr. 5, item 14) is het initiatiefwetsvoorstel in uw Kamer plenair behandeld.

Bij die gelegenheid hebben de Minister van Binnenlandse Zaken en Koninkrijksrelaties
en de Minister van Justitie en Veiligheid namens het kabinet aangegeven dat het wetsvoorstel
op een aantal punten op fundamentele bezwaren stuitte. Na de plenaire behandeling op 23 september is het wetsvoorstel
aanzienlijk gewijzigd bij tweede nota van wijziging (Kamerstuk 35 257, nr. 13). Het kabinet verwelkomt de beslissing van de initiatiefnemer om het oprichten van
een beoordelingsorgaan en het toezicht door de CTIVD uit het initiatiefwetsvoorstel
te halen. Daarmee zijn belangrijke bezwaren van het kabinet weggenomen.

Hierna zal worden ingegaan op de bezwaren die het kabinet nog heeft over de operationele
risico’s, de relatie met de bestaande regelgeving en de uitvoerbaarheid van het initiatiefwetsvoorstel.

Kern van het wetsvoorstel

Het wetsvoorstel draagt bestuursorganen die gebruik maken van onbekende kwetsbaarheden
op tot het inrichten van een aanvullend afwegingskader voor de bekendmaking van onbekende
wetsbaarheden. Het uitgangspunt voor het beoogde afwegingskader is dat, indien een
bestuursorgaan voor het binnendringen van een geautomatiseerd werk gebruik zal maken
van een onbekende kwetsbaarheid, deze kwetsbaarheid bekend wordt gemaakt aan de desbetreffende
producent of leverancier. Het initiatiefwetsvoorstel draagt daarnaast de regering
op het aankopen van binnendringsoftware bij algemene maatregel van bestuur te regelen.

Het bestuursorgaan kan besluiten dat de kwetsbaarheid niet bekend wordt gemaakt met
het oog op onder meer de veiligheid van de Staat, de economische en financiële belangen
van de Staat, de opsporing en vervolging van strafbare feiten, de betrekkingen van
Nederland met andere staten en met internationale organisaties, of een ernstige inbreuk
van de persoonlijke levenssfeer. Bij de afweging wordt het bestuursorgaan geadviseerd
door vertegenwoordigers van betrokkenen die vitale infrastructuur beheren.

Kern van het standpunt van het kabinet

Het kabinet stelt vast dat de bestuursorganen die thans gebruik (mogen) maken van
onbekende kwetsbaarheden om zo op afstand geautomatiseerde werken binnen te dringen,
reeds een afwegingskader hebben. Hiermee komt de vraag in beeld wat het initiatiefwetsvoorstel
hier nog aan kan toevoegen.

Tevens is als gevolg van de tweede nota van wijziging onduidelijkheid ontstaan over
de betekenis van delen van de onderbouwing van het wetsvoorstel in de memorie van
toelichting. Dat maakt de wet lastig uitvoerbaar.

Voorts heeft het kabinet tijdens de plenaire behandeling bezwaren geuit ten aanzien
van deze wet die onverkort blijven staan. Het delen van zeer gevoelige informatie
over onbekende kwetsbaarheden met vertegenwoordigers uit de vitale sectoren leidt
tot een zeer onwenselijke (en in voorkomend geval onaanvaardbare) toename van operationele
risico’s en inzicht in de werkwijzen. Bovendien kan hierdoor de internationale samenwerking
van de inlichtingen- en veiligheidsdiensten negatief worden beïnvloed, hetgeen extra
risico’s met zich meebrengt. Voor de opsporing geldt dat de invoering van de wet zal
leiden tot een stapeling van goedkeurings- en toezichtsprocessen die de taakuitvoering
minder efficiënt maakt en onduidelijkheid met zich mee brengt, terwijl de zorgvuldigheid
niet toeneemt. Deze elementen hebben naar verwachting een negatief effect op de nationale
veiligheid en op de opsporing van strafbare feiten.

Nadere toelichting

In de volgende paragrafen worden de belangrijkste bevindingen van het kabinet nader
toegelicht. Daarbij wordt tevens ingegaan op enkele punten uit de Nota naar aanleiding
van het Verslag2.

1. Besluitvormingsproces: adviserende rol vitale infrastructuur Het wetsvoorstel introduceert
een termijn van vier weken met een verlenging tot twaalf weken voor de besluitvorming
over onbekende kwetsbaarheden. Om een zorgvuldige afweging te maken zijn vier weken
voor de inlichtingen- en veiligheidsdiensten echter onrealistisch en in voorkomende
gevallen geldt dat ook voor twaalf weken.

Voorts wordt voorzien in een adviserende rol voor vertegenwoordigers van de vitale
infrastructuur. De rol van de vitale infrastructuur is volgens de memorie van toelichting
informatie aan te leveren over het gebruik van bepaalde software of apparaten. Dit
betreft vaak bedrijfsgevoelige informatie van en tussen private ondernemingen. Bedrijven
zullen naar verwachting zeer terughoudend zijn met het delen van technische details
in breder verband. Het kabinet merkt op dat zodra vanuit het bestuursorgaan een vraag
over een specifiek product of software zal worden gesteld, het stellen van de vraag
al informatie prijsgeeft over het bestaan van eventuele onbekende kwetsbaarheden en
het nut daarvan voor de inlichtingen- en veiligheidsdiensten of de politie, en over
de werkwijze van de diensten of de politie. Voor de inlichtingen- en veiligheidsdiensten
geldt bovendien dat de samenwerking met buitenlandse partnerdiensten negatief kan
worden beïnvloed, omdat bij het ontvangen van dergelijke informatie van partnerdiensten
de geheimhouding ervan niet meer kan worden gegarandeerd. Dit is vanuit operationeel
oogpunt zeer onwenselijk.

Bovendien verschillen de digitale omgevingen van bedrijven in de vitale infrastructuur
onderling sterk. Dit geldt zowel binnen een vitale sector als tussen verschillende
vitale sectoren. Hoewel de overheid een beeld heeft van de netwerken informatiesystemen
van de partijen in de vitale sectoren ten behoeve van de weerbaarheid en de nationale
veiligheid, is de overheid niet tot in detail op de hoogte van alle in gebruik zijnde
hard- en software van deze private partijen. Dit maakt dat mogelijk een relatief grote
groep private partijen bevraagd moet worden, hetgeen de noodzakelijke vertrouwelijkheid
kan schaden. Indien informatie alleen op een hoger abstractieniveau wordt gedeeld,
dan heeft het advies van deze private partijen navenant minder toegevoegde waarde.
Overigens is het nu al mogelijk gericht informatie te delen over de veiligheid van
systemen met partijen in de vitale sectoren indien dat nodig is.

2. Dubbel kader en proces voor de opsporing, met mogelijk divergerende besluiten In
het kader van de wet Computercriminaliteit III heeft het proces voor het melden van
onbekende kwetsbaarheden bij de inzet van de bevoegdheid van art. 126nba Sv een stevige
wettelijke verankering gekregen in art. 126ffa Sv. Er wordt in beginsel gemeld. Voor
het tijdelijk uitstellen van een melding is een beslissing van de officier van justitie
vereist nadat hij daartoe is gemachtigd door de rechtercommissaris. Dit artikel 126ffa
Sv is op basis van een amendement van de Tweede Kamer in het wetboek opgenomen en
het afwegingskader is nader toegelicht in de Nadere Memorie van Antwoord aan de Eerste
Kamer3. De initiatiefnemer heeft in de Nota naar aanleiding van het Verslag gemeld dat hij
van mening is dat de rechter-commissaris niet de juiste persoon is voor een dergelijke
afweging vanwege het gebrek aan zeer technische en specialistische kennis. De huidige
wettelijke regeling voorziet echter in mogelijkheden de benodigde expertise ter beschikking
te stellen om de rechter-commissaris te ondersteunen in zijn besluit. De rechtercommissaris
kan zich daarbij laten adviseren door ieder wie hij wenselijk acht. Het inroepen van
technische expertise is daarbij een bestaande mogelijkheid, zodat de rechter-commissaris
zich geïnformeerd een oordeel kan vormen over de gevolgen van het melden dan wel het
uitstellen van de melding. De beoordeling van de rechter-commissaris wordt bovendien
voorafgegaan door een beoordeling binnen het Openbaar Ministerie.

Tot slot weegt de rechter-commissaris ook het bredere onderzoeksbelang in een strafrechtelijk
onderzoek. Gelet op de wettelijke regeling van artikel 126nba zal dit onderzoeken
betreffen naar zware vormen van criminaliteit of specifieke vormen van computercriminaliteit.
Overigens is tot nu toe geen gebruik gemaakt van de mogelijkheid met machtiging van
de rechter-commissaris een melding van een onbekende kwetsbaarheid uit te stellen.

Volgens het gewijzigde initiatiefwetsvoorstel besluit de politie (het bestuursorgaan
dat de zero day mogelijk gebruikt) straks over het uitstel van de melding. De toelichting
van de nota van wijziging vermeldt dat de huidige regelingen, waaronder art. 126ffa
Sv dat dit voor de opsporing regelt, ongewijzigd blijven. Dat levert twee verschillende
kaders en twee verschillende besluitvormingsprocessen op. Volgens het kader van 126ffa
Sv besluit het OM hierover, na machtiging van de rechter-commissaris, op basis van
de criteria genoemd in de wet en de Nadere Memorie van Antwoord aan de Eerste Kamer
bij de behandeling van de wet Computercriminaliteit III (Kamerstuk 35 732). Volgens het gewijzigde initiatiefwetsvoorstel besluit de politie erover op basis
van de elementen zoals genoemd in het initiatiefwetsvoorstel.

Het kabinet constateert dat het wetsvoorstel geen aanpassing van de bestaande wettelijke
regelingen bevat. Daarmee introduceert het wetsvoorstel een stapeling van besluitvormingsprocessen
met mogelijk divergerende uitkomsten. Dat heeft een negatief effect op de operationele
processen en vergroot daarnaast de administratieve lasten.

3. Het is onduidelijk wat de algemene maatregel van bestuur voor binnendringsoftware
zou moeten bevatten.

Het initiatiefwetsvoorstel bevat de verplichting een AMvB op te stellen over het aankopen
van technische hulpmiddelen, waarvan aannemelijk is dat deze zijn gebaseerd op onbekende
kwetsbaarheden. Het concept van de AMvB dient vier weken voorafgaand aan de vaststelling
aan het parlement te worden overlegd. Ten eerste kan deze term verwarrend zijn. In
de Wet Computercriminaliteit III is onderscheid gemaakt tussen software voor het uitvoeren
van onderzoekshandelingen (de technische hulpmiddelen) en software voor het binnendringen.
Deze laatste worden in de Wet Computercriminaliteit III niet aangeduid met de term
technische hulpmiddelen. De twee soorten software kunnenwel in een enkel softwarepakket
worden gecombineerd. Het in het initiatiefwetsvoorstel genoemde technisch hulpmiddel
betreft software voor het binnendringen, en niet het technisch hulpmiddel in de zin
van de Wet Computercriminaliteit III. Ten tweede bevat de memorie van toelichting
veel aanwijzingen wat in deze AMvB opgenomen zou moeten worden. Echter, door de nota
van wijziging is het afwegingsorgaan vervallen, waardoor het onduidelijk is welke
elementen terug dienen te komen in de AMvB. Op basis van de voorgestelde wijziging
zou de AMvB in beginsel een verhelderde codificatie van huidige regelingen betreffen,
met inachtneming van de resultaten uit de evaluatie van de Wet Computercriminaliteit
III, conform de desbetreffende passage in het Regeerakkoord. Indien het een codificatie
van huidige regelingen van onderscheidenlijk de politie en inlichtingen en veiligheidsdiensten
betreft, met inachtneming van de resultaten van de verwachte evaluatie, is dit voor
het kabinet niet bezwaarlijk.

Indien echter aanvullende wijzigingen worden beoogd, dan is op dit moment onduidelijk
wat deze wijzigingen behelzen en kunnen de gevolgen niet worden beoordeeld.

4. Financiën en efficiëntie

Het initiatiefwetsvoorstel maakt niet duidelijk hoe de advisering door vertegenwoordigers
van betrokkenen die vitale infrastructuur beheren wordt ingericht en gefinancierd.
Voorts is onduidelijk welke kosten voortvloeien uit de normering van het aankopen
van technische hulpmiddelen in de op te stellen AMvB. Gezien de beperkte financiële
ruimte bij de betrokken departementen en andere overheidsorganisaties in combinatie
met de geringe noodzaak voor het voorstel is momenteel geen financiële dekking van
het voorstel voorzien. Daarnaast brengt het wetsvoorstel een toename van de administratieve
last met zich mee.

De efficiëntie van de betrokken diensten zal daardoor negatief worden beïnvloed. Dat
is des te klemmender gezien de schaarste van de benodigde expertise.

De Minister van Binnenlandse Zaken en Koninkrijksrelaties,
K.H. Ollongren

De Minister van Justitie en Veiligheid,
F.B.J. Grapperhaus