Brief regering : Reactie op de motie van het lid Kröger c.s. over een duidelijk pakket van eisen voor privacy by design (Kamerstuk 27529-245)

Nr. 256
BRIEF VAN DE STAATSSECRETARIS VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 9 februari 2021

In deze brief geef ik een appreciatie van de motie van het lid Kröger c.s.1, aangehouden tijdens het debat van woensdag 3 februari over het privacylek in de
systemen van de GGD.

Ik wil vooropstellen dat ik het belang van privacybescherming en informatieveiligheid
volledig onderschrijf. De publieke en semi- publieke sector is en blijft zelf verantwoordelijk
voor het naleven van wet- en regelgeving. Daarbij geldt dat semi-publieke organisaties
(zoals de zorg, onderwijs en woningcorporaties) in gevallen gehouden zijn aan sectorspecifieke
wet- en regelgeving, opgelegd via een verantwoordelijk ministerie.

Vanuit mijn verantwoordelijkheid voor overheidsdienstverlening beschouw ik het als
mijn taak om de publieke sector te voorzien van concrete tooling en ondersteuningsmaterialen
op het gebied van informatieveiligheid, privacy by design en open source. In deze
brief licht ik de aspecten informatieveiligheid, privacy by design, opensourcetechnologie
en aanbestedingen toe.

Informatieveiligheid

Op 16 oktober 2018 heb ik uw Kamer geïnformeerd over maatregelen die overheidsbreed
zijn getroffen om de informatieveiligheid bij de overheid te verhogen2 . De aangekondigde maatregelen zijn onderdeel van de actie-agenda informatieveiligheid,
een belangrijk aspect van mijn interbestuurlijke agenda NL DIGIbeter. In het licht
van de aangehouden motie wil ik uw Kamer nader toelichten hoe er overheidsbreed wordt
gewerkt aan inkoopeisen op het terrein van cybersecurity.

Mijn ministerie heeft in samenwerking met het Centrum voor Informatiebeveiliging en
Privacybescherming (CIP) een zogeheten instrument Inkoopeisen Cybersecurity Overheid
(ICO3 ) ontwikkeld. ICO is een online instrument en is sinds maart vorig jaar online beschikbaar
als prototype. Een expertgroep met vertegenwoordigers vanuit het Rijk, provincies,
gemeenten en waterschappen heeft bijgedragen aan het formuleren van cybersecurity
inkoopeisen voor de verschillende onderkende inkoopsegmenten zoals clouddiensten en
serverplatformen. Op dit moment zijn negen segmenten uitgewerkt. In de eerste maanden
van 2021 komen nog twee4 onderkende ICT-inkoopsegmenten beschikbaar. Op dit moment wordt het instrument in
pilots getest bij verschillende overheidsorganisaties, waaronder bij ICTU en Logius.
De pilots lopen door tot in 2021. Om een breed beeld te krijgen van de praktische
uitwerking van de cybersecurity inkoopeisen wordt ingezet op het uitvoeren van pilots
in alle overheidslagen. Zodra het ICO-instrument breed is getest bij alle overheidslagen,
zal ik het gebruik van dit instrument stimuleren bij het Rijk, provincies, gemeenten
en waterschappen.

Privacy by design

In de Algemene Verordening Gegevensbescherming (AVG) is privacy by design verplicht
gesteld voor organisaties om als concept – bestaande uit zeven principes5 – toe te passen wanneer zij persoonsgegevens verwerken. De overkoepelende gedachte
achter het concept houdt in dat bij de bepaling van de verwerkingsmiddelen en bij
de verwerking van persoonsgegevens zelf, passende technische en organisatorische maatregelen
moeten worden genomen om de gegevensbeschermingsbeginselen uit te voeren. Het eerdergenoemde
ICO-instrument bevat al veel privacybeschermende maatregelen. Mijn ministerie heeft
het CIP gevraagd om de maatregelen verder aan te vullen vanuit de zeven principes.
De verwachting is dat deze aanvulling in de loop van dit jaar is uitgewerkt en gereed
wordt gemaakt voor pilots bij de overheid die uiterlijk starten in het vierde kwartaal
van dit jaar.

Open source

Zoals in april 2020 aan uw Kamer is gemeld6, is het uitgangspunt van het kabinet dat de overheid haar broncodes vrijgeeft («open
source»), tenzij er gegronde redenen zijn om dat niet te doen. Dit is bijvoorbeeld
het geval indien het vrijgeven van broncodes strijdig is met de belangen van nationale
of openbare veiligheid of indien de benodigde vertrouwelijke werkwijze van de overheid,
denk aan opsporing en toezicht, wordt geschaad door het vrijgeven van broncodes. Met
het vrijgeven van de broncode kunnen maatschappelijke doelen worden gerealiseerd waaronder
betere informatiebeveiliging. Met het vrijgeven en transparant maken van de broncode
kunnen kwetsbaarheden sneller worden ontdekt. Het is wel van belang om ervoor te zorgen
dat die kwetsbaarheden snel opgepakt en gerepareerd worden. Dat moet goed worden georganiseerd.
Transparantie mag nooit ten koste gaan van de veiligheid en de mate waarin de burger
daadwerkelijk beschermd wordt. De inzet van software en de keuze voor open of gesloten
kan nooit een doel op zich zijn, maar is een middel om maatschappelijke doelen, in
dit geval informatiebeveiliging, te bereiken. Open source biedt veel mogelijkheden,
maar het kan er in sommige gevallen op neerkomen dat de inzet van open source niet
in de rede ligt en dat (op onderdelen) voor closed source kan – en moet – worden gekozen
omdat veiligheid met open source niet gegarandeerd kan worden.

Het verzoek aan het kabinet om het principe «open source, tenzij» bij aanbestedingen
te hanteren, ligt in lijn met de reeds ingezette beleidsinzet. In 2020 is in opdracht
van mijn ministerie een overheidsbreed onderzoek uitgevoerd naar de rol van open source
in de huidige aanbestedingspraktijk. Dit heeft geresulteerd in de publicatie van «publieke
software aanbesteden7 ». Dit is bedoeld om professionals binnen de overheid meer inzicht in nut en noodzaak
van open source software bij aanbesteden te bieden. Daarnaast zal mijn ministerie
in 2021 de mogelijkheden verkennen om tot nadere kaders te komen om het principe «open,
tenzij» in de aanbestedingspraktijk verder te concretiseren.

Aanbestedingen

Opdrachtgevers hebben een cruciale rol in aanbestedingen. In december stuurde ik uw
Kamer het geactualiseerde Afwegingskader ICT opdrachten voor de rijksoverheid8 . Dit kader helpt opdrachtgevers en inkopers, die betrokken zijn bij een ICT aanbesteding,
een keuze te maken voor het vormgeven van de dialoog met het bedrijfsleven en voor
de wijze van aanbesteden. Tevens zijn daarin relevante ontwikkelingen benoemd binnen
de ICT inkoop van de rijksoverheid en zijn verschillende instrumenten op een rij gezet,
die door opdrachtgevers in projecten kunnen worden benut. Bijvoorbeeld economische
veiligheid bij inkopen, inkoopeisen cybersecurity overheid en de inzet van open source.
Vanuit het afwegingskader wordt overigens ook verwezen naar de Handleiding Privacy
by Design van het CIP9 . Zoals ik reeds heb aangegeven onder het kopje «privacy by design», wordt het ICO-instrument
aangevuld vanuit de zeven principes die ten grondslag liggen aan Privacy by Design.

De keuze voor een bepaalde aanbestedingsprocedure en de afweging van inzet van bepaalde
instrumenten gaat uit van de professionaliteit van de opdrachtgever en het multidisciplinaire
inkoopteam. Uitgangspunt hierbij is dat een overheidsorganisatie een eigenstandige
primaire verantwoordelijkheid heeft over het starten, uitvoeren en eventueel stopzetten
van ICT-projecten.

Tot slot

Het functioneren van de overheid is in sterke mate afhankelijk van een goede sturing
op en gebruik van digitale voorzieningen en infrastructuur. Het goed regelen van privacybescherming
en informatieveiligheid is hier onlosmakelijk mee verbonden.

Tot slot wil ik benadrukken, dat privacybescherming, veiligheid en betrouwbaarheid
kernprincipes zijn die ten grondslag liggen aan het functioneren van de publieke sector.
Met in achtneming van deze principes worden keuzes gemaakt. Daarbij gaat het er om
de verwerking van persoonsgegevens – waar mogelijk met technische maatregelen – tot
een minimum te beperken. Want hoe goed beschermende maatregelen ook worden getroffen
in systemen, absolute veiligheid is nooit te garanderen. Daarom is het van essentieel
belang om daarop voorbereid te zijn en hiermee rekening te houden. Gelet op het voorgaande
beschouw ik de motie als ondersteuning van in gang gezet beleid en laat ik deze aan
het oordeel van uw Kamer.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties,
R.W. Knops