Verslag van een commissiedebat : Verslag van een commissiedebat, gehouden op 7 april 2022, over online veiligheid en cybersecurity

Nr. 849 VERSLAG VAN EEN COMMISSIEDEBAT

Vastgesteld 13 mei 2022

De vaste commissie voor Digitale Zaken heeft op 7 april 2022 overleg gevoerd met mevrouw
Yeşilgöz-Zegerius, Minister van Justitie en Veiligheid, over:

– de brief van de Minister van Economische Zaken en Klimaat d.d. 30 november 2021 inzake
voortgang Roadmap Digitaal Veilige Hard- en Software (Kamerstuk 26 643, nr. 801);

– de brief van de Minister van Justitie en Veiligheid d.d. 23 november 2021 inzake voortgang
van het implementeren van de ARK-aanbevelingen om de cybersecurity van de grenstoezichtsystemen
op Schiphol te verbeteren (Kamerstuk 26 643, nr. 798);

– de brief van de Minister van Justitie en Veiligheid d.d. 6 april 2021 inzake onderzoek
naar de benodigde investeringen in cybersecurity (Kamerstuk 26 643, nr. 752);

– de brief van de Minister van Justitie en Veiligheid d.d. 11 december 2020 inzake reactie
op verzoek commissie over het rapport van Amnesty International over massasurveillance
(Kamerstukken 26 643 en 32 761, nr. 724);

– de brief van de Minister van Justitie en Veiligheid d.d. 14 december 2020 inzake Raadsconclusies
over rechtmatige toegang tot versleuteld bewijs (Kamerstuk 26 643, nr. 729);

– de brief van de Minister van Justitie en Veiligheid d.d. 14 december 2020 inzake jaarrapportage
artikel 18 – Wet gebruik van passagiersgegevens voor de bestrijding van terroristische
en ernstige misdrijven (Kamerstuk 34 861, nr. 26);

– de brief van de Minister van Justitie en Veiligheid d.d. 12 maart 2021 inzake aftapbaarheid
OTT-diensten (Kamerstuk 26 643, nr. 748);

– de brief van de Minister van Volksgezondheid, Welzijn en Sport d.d. 23 december 2021
inzake reactie op verzoek commissie over het artikel van Computable.nl «VWS werkt
aan supertool voor analyse kwetsbaarheden» d.d. 24 november 2021 (Kamerstukken 25 295 en 26 643, nr. 1703);

– de brief van de Minister van Justitie en Veiligheid d.d. 17 december 2021 inzake kwetsbaarheid
in Apache Log4j (Kamerstuk 26 643, nr. 814);

– de brief van de Minister van Justitie en Veiligheid d.d. 16 december 2021 inzake OVV-rapport
over kwetsbaarheden in Citrix (Kamerstuk 26 643, nr. 808);

– de brief van de Minister van Economische Zaken en Klimaat d.d. 7 februari 2022 inzake
voortgang van het Digital Trust Center (DTC) (Kamerstuk 26 643, nr. 817);

– de brief van de Minister van Justitie en Veiligheid d.d. 3 maart 2022 inzake Wob-besluiten
omtrent Kaspersky (Kamerstukken 30 821 en 26 643, nr. 159).

Van dit overleg brengt de commissie bijgaand geredigeerd woordelijk verslag uit.

De voorzitter van de commissie, Kamminga

De griffier van de commissie, Boeve

Voorzitter: Van Weerdenburg

Griffier: Van Tilburg

Aanwezig zijn vijf leden der Kamer, te weten: Bontenbal, Van Ginneken, Kathmann, Rajkowski
en Van Weerdenburg,

en mevrouw Yeşilgöz-Zegerius, Minister van Justitie en Veiligheid.

Aanvang 13.32 uur.

De voorzitter:

Goedemiddag allemaal. Ik open hierbij deze vergadering van de vaste commissie voor
Digitale Zaken. Ik heet u allen welkom. Van de zijde van de Kamer zijn aanwezig de
leden Rajkowski van de VVD en Van Ginneken van D66. Mijn naam is Danai van Weerdenburg.
Ik zit hier namens de PVV en ik zal als fungerend voorzitter vanmiddag deze vergadering
hopelijk in goede banen leiden. Aan de orde is vandaag een debat over online veiligheid
en cybersecurity met de coördinerend Minister op dit onderwerp. Dat is de Minister
van Justitie en Veiligheid. Ook haar heet ik van harte welkom. Fijn dat u er bent;
volgens mij voor de eerste keer. Leuk! We hebben slechts drie uur voor dit debat,
dus ik stel voor om snel te beginnen. We zijn niet met heel veel. Ik ga dus niet superstreng
op de klok letten. De interrupties wil ik ook niet van tevoren beperken, maar we houden
allemaal wel een oog op de klok. De spreektijd is in principe vier minuten. Die hoeven
niet per se volgemaakt te worden. Ik denk dat we dan snel gaan beginnen, want er staat
genoeg op de agenda.

Mevrouw Rajkowski, mag ik u als eerste het woord geven?

Mevrouw Rajkowski (VVD):

Dank, voorzitter. Misschien nog even een kort puntje van orde om aan te geven waarom
we met wat minder mensen zijn. Dat is omdat er nu ook een ander debat loopt. Dit voor
mensen die kijken en zich afvragen: goh, waar is de rest van de Kamer eigenlijk?

De voorzitter:

Dank u wel, dat was ik nog even vergeten. We hebben een aantal afmeldingen vanwege
plenaire debatten die gelijktijdig lopen. Meneer Azarkan en mevrouw Leijten hebben
zich afgemeld voor dit debat. Dat heeft er inderdaad niks mee te maken dat het onderwerp
niet belangrijk genoeg zou zijn. Het is helaas de gang van zaken, zeker op een drukke
Kamerdag.

Mevrouw Rajkowski (VVD):

Dank, voorzitter. Elke dag vinden er digitaal miljoenen aanvallen plaats op onze bedrijven,
universiteiten en overheid, en dat allemaal in Nederland. Helaas is de schade vaak
heel erg groot. Een mkb-ondernemer die gegijzeld wordt met ransomwaresoftware kan
klanten en geld verliezen, en soms gaat zelfs het bedrijf failliet. De totale economische
schade loopt op tot in de miljarden, geld dat niet geïnvesteerd kan worden in Nederland
en in onze toekomst. Het zijn vaak Russische hackers die met een paar drukken op de
knop onze bedrijven en instituties, zelfs woningcorporaties, aanvallen, en die daar
ongestraft mee wegkomen. Russische cybercriminelen genieten de steun van het Kremlin.
Dat is echt niet te verteren. De criminelen hacken alles wat los en vast zit. Dat
doen ze ongestoord, zolang ze het maar niet op de Russen zelf richten en zolang ze
alle gestolen informatie op commando aan Poetin overdragen.

Voorzitter. Het zijn soldaten in een cyberoorlog, die niet eens de moeite doen om
zichzelf te verstoppen. Ze pronken met alles wat ze binnenhalen, want ze denken dat
ze toch niet worden gepakt. Het liefst zou ik willen dat we deze gasten van hun bed
zouden kunnen lichten en dat we ze voor de rechter laten verschijnen om zich te verantwoorden.
Maar laten we eerlijk zijn, dat is makkelijker gezegd dan gedaan, want het Kremlin
houdt dit tuig graag in het spel. Ondertussen lopen deze criminelen lachend binnen.
Je ziet ze pochen op YouTube met hun peperdure wagens. Ik zeg: zet ze op de Europese
sanctielijsten, zodat ze niet meer bij hun geparkeerde geld kunnen komen en daar in
ieder geval niks mee kunnen. Graag een reactie van de Minister.

Voorzitter. Op Europees niveau wordt er hard gewerkt aan een aantal cyberveiligheidseisen
die waarschijnlijk pas na 2023 gaan gelden. Cybercriminelen zullen daar niet op wachten.
Dat moeten wij dus ook niet doen. Daarom wil de VVD dat de Minister de volgende vier
punten meeneemt in haar cybersecurityaanpak om Nederland nu al weerbaarder te maken
tegen onlineaanvallen.

Punt één. Het Digital Trust Center is ervoor bedoeld om ondernemers te steunen in
hun strijd tegen cybercriminelen, bijvoorbeeld door informatie te delen over aanstaande
hacks. Helaas is het DTC vaak nog erg traag met het delen van informatie en worden
er ook nog te weinig bedrijven bereikt. Het NCSC heeft vaak soortgelijke informatie
over die potentiële hacks die interessant is voor bedrijven, maar misschien ook wel
voor gemeenten. Het landschap is te versnipperd. Daarom wil de VVD dat het DTC en
het NCSC dichter naar elkaar toe gaan groeien en intensiever en slimmer gaan samenwerken.
Graag zien wij dit terug in de nieuwe cybersecurityaanpak.

Twee. Je bent zo sterk als de zwakste schakel. In Nederland kennen we strenge cybereisen
voor organisaties die samenwerken met Defensie, waar externe bedrijven aan een soort
ABDO-regeling moeten voldoen. Het instellen van strengere eisen zorgt voor een domino-effect
en een veilige onlineketen. De VVD wil graag dat de rijksoverheid plannen gaat uitwerken
voor een rijks-ABDO. Zo beschermen we samen Nederland.

Drie gaat over het oefenen. Cybersecurity is namelijk topsport. Net zoals in de topsport
moet je veel oefenen. ISIDOOR-oefeningen vinden elke twee jaar plaats. Dit zijn grootschalige
oefeningen, die daarom ook erg veel voorbereidingstijd kosten. De digitale wereld
ziet er twee jaar later wel weer compleet anders uit. Ondertussen is de brandweer
juist aan het oefenen op veiligheid, branden en crises op straat. Ik wil eigenlijk
die twee werelden met elkaar verbinden, wat op straat gebeurt en de digitale wereld.
Die werelden zijn namelijk niet zo gescheiden. Als er online gedoe is, kan je op straat
niet pinnen, staan de bruggen open. Daarom wil de VVD een structurele, cross-sectorale
oefenagenda voor cyberaanvallen, waarbij zowel grote alsook kleinschalige oefeningen
meerdere keren per jaar worden uitgevoerd.

Voorzitter. Dan het vierde en laatste punt: één keurmerk voor onze parels, de mainports.
De Cyber Security Raad Nederland noemt de versnipperde cybersecurityaanpak als een
van de belangrijkste verbeterpunten om Nederland digitaal weerbaarder en veiliger
te maken. Zo zijn er allerlei mooie cybersecuritykeurmerken te vinden, maar het zijn
er wel heel erg veel. Daarom wil de VVD dat er bij onze belangrijkste plekken in Nederland,
zoals bij Brainport Eindhoven en de Rotterdamse Haven, wordt ingezet op één algemeen
keurmerk dat wordt omarmd door DTC en de mainports. Dit schept ook duidelijkheid voor
de mkb'ers die daar zaken doen. Een voorbeeld is het keurmerk CYRA. Ziet de Minister
hier mogelijkheden voor?

De voorzitter:

Dank u wel, mevrouw Rajkowski. Nog net binnen de tijd. Ondertussen zijn ook aangeschoven:
mevrouw Kathmann van de PvdA en de heer Bontenbal van het CDA. Ik geef nu het woord
aan mevrouw Van Ginneken van D66.

Mevrouw Van Ginneken (D66):

Dank, voorzitter. Het conflict in Oekraïne: ik kan er niet omheen. De Amerikaanse
president, Biden, waarschuwde dat Rusland van plan is om wraak te nemen op iedereen
die Oekraïne digitaal steunt. Deelt de Minister deze observatie? Wat betekent dat
concreet voor de cyberrisico's die Nederland nu loopt? Wat gaat de Minister op korte
termijn doen om die risico's te beperken?

We moeten onze maatschappij sowieso weerbaarder maken tegen cyberaanvallen. Collega
Rajkowski noemde dat al uitgebreid. We zien de laatste jaren een toename in ransomware
en hacks. Bedrijven moeten zich schrap zetten voor een verdere toename. Hoe zorgt
de Minister ervoor dat het bedrijfsleven deze urgentie ook ziet en op de korte termijn
ook gaat handelen? Hoe gaat de Wet bevordering digitale weerbaarheid bedrijven daarbij
helpen? Waarom is deze wet eigenlijk vertraagd?

Voorzitter. Deze weerbaarheid kan alleen worden gewaarborgd als er voldoende capaciteit
is. De basis moet op orde zijn. De Minister moet daarbovenop zitten. Wat vindt de
Minister van de conclusie van de Cyber Security Raad dat er meer dan 800 miljoen euro
bij moet om onze cyberveiligheid te waarborgen? Hoeveel geld gaat de Minister precies
besteden aan de verschillende specifieke onderdelen van cyberveiligheid? Het coalitieakkoord
geeft daarover geen uitsluitsel.

Het Nationaal Cyber Security Centrum, het NCSC, speelt hierin een belangrijke uitvoerende
rol. Wat D66 betreft moet deze rol groter worden. Het NCSC moet meer mogelijkheden
krijgen om naast onze vitale infrastructuur ook andere organisaties en bedrijven te
beschermen, zodat het zijn naam, «Nationaal» Cyber Security Centrum, ook echt gaat
waarmaken. Want aanvallen op scholen, woningcorporaties of onze voedselvoorziening
zorgen ook voor maatschappelijke onrust en ontwrichting. D66 is daarom blij met de
nieuwe Europese richtlijn NIB2, die hierin gaat voorzien. Alleen, die richtlijn zal
pas na 2024 komen. We kunnen hier al op voorsorteren, want de richting is duidelijk:
meer centrale uitvoering over meer sectoren heen.

Het NCSC gaf eergisteren tijdens de briefing ook aan dat expertise schaars is en dat
we deze kennis niet te veel moeten verspreiden. Ook het recente OVV-rapport pleit
voor concentratie van taken. D66 ziet ook graag dat de slimste cybersecuritymensen
van Nederland nu al onder één dak gaan samenwerken. We moeten versnippering terugdringen,
in plaats van vergroten, zoals nu gebeurt met de oprichting van het nationaal coördinatiecentrum,
NCC, onder de Minister van Economische Zaken. Waarom is dit NCC niet ondergebracht,
zo vraag ik de Minister, bij het NCSC of DTC? Kan de Minister toezeggen om al voor
de inwerkingtreding van NIB2 toe te werken naar meer concentratie van taken bij het
NCSC? Wanneer gaan we afscheid nemen van de scheiding tussen NCC, DTC en NCSC? Excuus
voor al die afkortingen. Welke concrete stappen gaat de Minister nemen om daar te
komen?

Met de komst van de nieuwe Wbni gaat het NCSC al meer informatie met meer organisaties
delen. Maar dat betekent ook meer toezichtwerk voor de Autoriteit Persoonsgegevens.
Kan de Minister aangeven hoeveel extra werk er bij de AP ontstaat en of er eigenlijk
wel voldoende capaciteit voor is?

Voorzitter. Encryptie is een essentieel onderdeel van onze veiligheid en de bescherming
van onze kenniseconomie en democratie. D66 bewaakt dit al jaren. U begrijpt dus wel
dat mijn fractie schrok toen we hoorden dat de Minister onderzoek wil doen naar technische
oplossingen voor toegang tot versleutelde communicatie. Wie een achterdeur bouwt,
kan niet garanderen dat die alleen door bevoegde binnendringers wordt gebruikt. Daarom
heeft D66 samen met de VVD schriftelijke vragen gesteld, waar we graag nog de antwoorden
op ontvangen.

Ik heb nog twee aanvullende vragen. Wat betekent de grondwetswijziging van afgelopen
woensdag over de onaantastbaarheid van digitale informatie in de cloud voor het beleid
van de Minister op dit punt? Kan de Minister toezeggen dat zij de Europese Commissie
zal aansporen om in de Europese inventarisatie van toegangsmogelijkheden tot versleuteld
bewijs het recht op onaantastbaarheid van digitale communicatie mee te nemen?

Tot slot, voorzitter. In de jaarlijkse State of the Union sprak Von der Leyen over
de belangrijke ambitie om onze krachten in Europa te bundelen op het gebied van cyberveiligheid.
Hoe kan volgens de Minister Nederland als cybergrootmacht hier een leidende rol in
spelen? Ik kijk uit naar de beantwoording.

De voorzitter:

Dank u wel, mevrouw Van Ginneken. Dan geef ik nu het woord aan mevrouw Kathmann.

Mevrouw Kathmann (PvdA):

Dank, voorzitter. Ik wil op voorhand wel zeggen dat ik dit toch een ingewikkeld debat
vind. Ik denk dat we in de commissie Digitale Zaken moeten uitmaken hoe we daar in
het vervolg mee omgaan. Als je kijkt naar de dingen die op de agenda staan, dan mis
je gewoon wel de blik van de Minister van Economische Zaken. Ik denk dat dat vooraf
misschien al is gezegd, maar ik kwam door een ander debat helaas later binnen. Je
mist structureel eigenlijk gelijk de Staatssecretaris voor Digitalisering. Ik ben
overigens wel blij dat deze Minister er is, maar ik vind dat dat echt het debat tekortdoet
en dat we daar een oplossing voor moeten vinden. Ik hoop ook dat het kabinet of misschien
deze Minister ook op een oplossing wil reflecteren, als dat zou kunnen. Dus dat is
mijn eerste vraag.

Dan de onlineveiligheid en cybersecurity.

De voorzitter:

Ik ga u even onderbreken, want u heeft een vraag van mevrouw Van Ginneken.

Mevrouw Van Ginneken (D66):

Dank aan collega Kathmann, want dat is op zich een begrijpelijke vraag die gesteld
wordt. Maar mijn vraag aan collega Kathmann is dan: stelt de PvdA dan voor om de centrale
eindverantwoordelijkheid voor cybersecurity, die nu bij de Minister van JenV ligt,
daar weg te nemen en elders te beleggen in het kabinet?

Mevrouw Kathmann (PvdA):

Idealiter wel. Het is ook weer lastig om die bij de Staatssecretaris voor Digitalisering
te beleggen, maar daar zou wel mijn voorkeur naar uitgaan. De Partij van de Arbeid
voelt zich er het meest senang bij als die integrale blik, die heel hard nodig is,
geborgd wordt. Het klinkt zo logisch om de Minister van JenV te zetten op cybersecurity,
maar dat is het niet. Cybersecurity vraagt ook om andere blikken op veiligheid. Dus
ja.

De voorzitter:

Mevrouw Rajkowski heeft ook nog een vraag.

Mevrouw Rajkowski (VVD):

Ik begrijp de oproep en de wens van mevrouw Kathmann om een breed debat met elkaar
te voeren over cybersecurity. We hebben deze keer tijdens de procedurevergadering
met z'n allen besloten om de coördinerende bewindspersoon op cybersecurity hier uit
te nodigen. We zouden natuurlijk altijd een debat kunnen doen waar meerdere bewindspersonen
bij zitten. Dat moeten we van tevoren zelf regelen. Volgens mij zat het ’m niet in
onwil of onhandigheid, maar hebben we er als commissie specifiek een uitspraak over
gedaan.

De voorzitter:

Ja. Daar wil ik even op aanvullen dat we als commissie de Staatssecretaris voor Digitalisering
vrijaf hebben gegeven voor dit debat, omdat wij volgende week met haar spreken over
informatiehuishouding. Mevrouw Kathmann mag nog even reageren op mevrouw Rajkowski
en vervolgt dan haar betoog.

Mevrouw Kathmann (PvdA):

Daar hoef ik eigenlijk niet op te reageren, want mijn inleiding was niet bedoeld om
een kat te geven aan het kabinet of de Minister die er wel zit. Ik wil u vooral bedanken.
Het is meer dat ikzelf als Kamerlid gewoon een worsteling voel. Als je in je voorbereiding
zit, merk je dat dit vraagt om een integrale blik. Dat zit ook wel in mijn bijdrage.
Ik vind het gewoon heel lastig. Ik denk dat sommige onderwerpen hierdoor niet goed
besproken worden. Dat is jammer.

Dan wil ik graag naar de Roadmap Digitaal Veilige Hard- en Software. Dank voor die
derde voortgangsrapportage. Ik zie ook dat er wel een hoop dingen gedaan worden, maar
ik mis de concrete doelen. Het doel van de PvdA is bijvoorbeeld duidelijk. Wij willen
dat vooral de digitale veiligheid van de publieke zaak op één staat. Dan heb ik het
over onderwijs, ziekenhuizen, politie, woningbouwcorporaties – vandaag natuurlijk
weer in het nieuws – zorg- en welzijnsorganisaties en gemeenten. Ik zou dan ook graag
zien dat het kabinet daar de regie op pakt en dat het publieke belang geborgd wordt,
ook door bijvoorbeeld veel meer regie te pakken in de ontwikkeling en het gebruik
van hardware, en hier dan met name software, bijvoorbeeld in het onderwijs. Noem het
digitale-industriepolitiek. Dat helpt niet alleen om het publieke belang te beschermen,
maar dat helpt ook onze eigen digitale ondernemers en dus ook die vuist tegen big
tech. Dus ik hoor graag van de Minister wat de concrete doelen van dit kabinet zijn
aangaande de Roadmap Digitaal Veilige Hard- en Software. Hoe wordt die roadmap op
dit moment geëvalueerd? Zonder concrete doelen lijkt me dat heel erg lastig. Hoe wordt
de Kamer daarover geïnformeerd?

Dan het rapport van Amnesty International over massasurveillance. Ik vind het niveau
waarop er vanuit het kabinet gecommuniceerd wordt over dit onderwerp eigenlijk ook
stuitend. Je krijgt een beetje het gevoel dat Amnesty hier wordt weggezet als een
of ander onbenullig clubje. Dat is natuurlijk niet zo. Het is gewoon een gerenommeerde
internationale mensenrechtenorganisatie. Je hoeft het niet altijd met hen eens te
zijn. Ja, ze hebben af en toe hun lobby ook goed op orde. Maar nu worden er echt verantwoordelijkheden
weggeschoven op het gebied van mensenrechten, omdat het kabinet voor mijn gevoel bang
is dat hun anders iets verweten wordt of dat ze verantwoordelijk worden gehouden voor
iets.

Voorzitter. Deze Minister en ik hebben al eerder gesproken over die schijntegenstelling
tussen veiligheid en privacy. Toen zei de Minister ook: daar moeten we eigenlijk vanaf.
Want door die valse tegenstelling in de lucht te houden, doen we Nederland veel tekort,
zeker bijvoorbeeld als we het hebben over die proeftuin in Roermond. Het is niet zo
dat wie tegen die proeftuin is, tegen veiligheid is en dat wie voor de proeftuin is,
lak heeft aan privacy. Maar hier worden wel op een grove manier mensenrechten geschonden
als het gaat over privacy, wat door dit kabinet wordt weggezet alsof er niks aan de
hand is. Dus mijn concrete vraag aan de Minister is: kan de Minister toezeggen dat
met die proeftuinen wordt gestopt zolang de juiste waarborgen er niet zijn? Dat is
namelijk waar het over gaat. Je zou die proeftuinen kunnen doen als je maar zorgt
voor voldoende toezicht vooraf en achteraf, als je maar zorgt voor die mensenrechtentoets.
Ik zou ook graag van de Minister een reflectie willen hoe zij naar dit vraagstuk kijkt,
naar die schijntegenstelling, en hoe die waarborgen in het vervolg wel geborgd gaan
worden.

Dan kort over het Kaspersky Lab. Onderaan de brief wordt duidelijk gezegd dat de voorzorgsmaatregelen
eigenlijk alleen gaan over antivirussoftware. Mijn vraag daarbij is waarom dat eigenlijk,
gezien de actualiteit, niet ook gaat over de andere producten en diensten.

Tot slot cybersecurity, de budgetten en de integrale blik. Ik wilde het al zeggen,
maar mijn collega van D66 was me voor. Ik sluit me bij haar aan. Dat geldt ook voor
de vragen over de Autoriteit Persoonsgegevens.

De voorzitter:

Dank u wel. Dan geef ik nu het woord aan de heer Bontenbal.

De heer Bontenbal (CDA):

Dank, voorzitter. Beruchte criminelen, onder wie Ridouan Taghi, gebruikten extra goed
beveiligde telefoons om met elkaar te kunnen communiceren. Deze beveiliging wordt
wel PGP genoemd, Pretty Good Privacy. Bij de vervolging van deze criminelen is een
server in Canada in beslag genomen waarvan deze PGP-telefoons gebruikmaakten. Dat
heeft bewijs opgeleverd dat is gebruikt voor de vervolging van zware criminaliteit.

Voorzitter. Versleuteling van berichten, encryptie, belemmert de opsporing van maatschappij-ontwrichtende
criminaliteit, zoals cocaïnehandel, kinderporno, enzovoorts. In deze Kamer is ook
eerder discussie gevoerd over de vraag of encryptie niet verboden moet worden. In
de brief aan de Kamer schrijft het kabinet: rechtmatige toegang tot digitale gegevens
is steeds belangrijker voor bevoegde autoriteiten om strafbare feiten op te sporen
en de nationale veiligheid te beschermen. Dit geldt bijvoorbeeld voor de aanpak van
zware en ernstige criminaliteit en terrorisme. Gezocht is naar technische oplossingen
om enerzijds de beschermende waarde van versleuteling hoog te houden, terwijl de negatieve
effecten voor opsporings-, inlichtingen- en veiligheidsdiensten worden verminderd.

Voorzitter. Het gaat hier om de botsing van fundamentele waarden, zoals het recht
op eerbiediging van de persoonlijke levenssfeer, het communicatiegeheim en de uitoefening
van de vrijheid van meningsuiting. Maar zoals het kabinet ook schreef, het recht op
privacy is echter niet absoluut. Artikel 8 van het EVRM bepaalt dat een staat dit
recht mag beperken als dat bij de wet is voorzien en in de democratische samenleving
noodzakelijk is op grond van een aantal nader aangegeven gronden, waaronder de nationale
veiligheid en het voorkomen van strafbare feiten. Mijn vraag aan de Minister is hoe
zij deze belangenafweging nu maakt als Minister in dit kabinet. Het gevoelen van mijn
fractie is dat de balans te vaak doorslaat naar de kant van de privacy en de vrijheid
van meningsuiting, maar dat er te weinig oog is voor de maatschappelijke ontwrichting
als gevolg van zware criminaliteit. Ik hoor graag uw reflecties daarop.

Mevrouw Van Ginneken (D66):

Ik hoor de heer Bontenbal een pleidooi houden voor het inbouwen van achterdeurtjes
in encryptie, zoals ik dat ook zojuist in mijn inbreng noemde. Wat ik daar jammer
aan vind is dat ik in het betoog van de heer Bontenbal niks hoor over alternatieven
die er zijn, zoals de bevoegdheid tot opname van vertrouwelijke communicatie of het
op afstand binnendringen in een geautomatiseerd werk. Die laatste bevoegdheid wordt
op dit moment ook geëvalueerd, dus ik heb een beetje het idee dat de heer Bontenbal
voor de muziek uit loopt. Laten we eerst eens even kijken hoe effectief alternatieven
zijn die opsporings- en inlichtingendiensten al hebben om juist die ontwrichting die
de heer Bontenbal terecht schetst aan te pakken voordat we encryptie het raam uit
gaan gooien.

De heer Bontenbal (CDA):

Was dit een vraag of was dit een betoog?

Mevrouw Van Ginneken (D66):

Mijn vraag is: waarom heeft de heer Bontenbal dit bredere perspectief van andere bevoegdheden
niet opgenomen in zijn pleidooi?

De heer Bontenbal (CDA):

Het simpele antwoord is dat ik slechts vier minuten spreektijd heb. En ik heb in mijn
betoog niet gezegd dat we die achterdeurtjes moeten maken. Ik heb beschreven wat er
in de brief staat. Ik heb een aantal quotes gegeven. En ik heb vooral het dilemma
geschetst tussen enerzijds maatschappij-ontwrichtende criminaliteit die mogelijk wordt
door encryptie en de andere waarden, zoals privacy en vrijheid van meningsuiting.
Ik ben gewoon benieuwd hoe deze Minister in dit kabinet daarnaar kijkt. Ik vind dit
een heel belangrijk punt. Ik denk dat we weleens zijn doorgeschoten naar met name
het belang van de ene kant en te weinig het belang van de andere kant hebben benadrukt.
Maar over welke technologie we specifiek moeten gebruiken heb ik helemaal geen mening.

Mevrouw Rajkowski (VVD):

Dan wil de VVD graag ook nog even een duit in het zakje doen, want de hele encryptiediscussie
begrijp ik. Die speelt niet alleen hier maar ook in de samenleving. Als we even een
paar stappen vooruitdenken – want dat is ook onze rol als politiek: over de toekomst
nadenken – dan maak ik me niet zo veel zorgen over encryptie, maar veel meer over
kwantumtechnologie. Dus zouden we niet juist moeten gaan nadenken over wat voor impact
toekomstige technologieën gaan hebben op hoe wij veilig met elkaar kunnen communiceren?
Veiligheid is je eigen veiligheid van de berichten, maar ook hoe de diensten onze
veiligheid kunnen waarborgen. Kunnen we in die vlucht naar voren het CDA een beetje
aan onze zijde krijgen als we ook wat verder kijken naar ontwikkelingen waar bijvoorbeeld
China mee bezig is?

De heer Bontenbal (CDA):

Daar wil ik zeker met u over nadenken, heel interessant.

De voorzitter:

U vervolgt uw betoog en u heeft nog twee minuten.

De heer Bontenbal (CDA):

Mijn tweede punt gaat over die Europese richtlijn voor radioapparatuur. In het najaar
heeft de Europese Commissie bekendgemaakt dat wettelijke digitale veiligheidseisen
gesteld zullen worden aan draadloos communicerende apparaten in het kader van die
richtlijn die ik zojuist noemde. Er zijn de afgelopen jaren verschillende onderzoeken
gedaan waaruit blijkt dat we vaak te makkelijk omgaan met de veiligheid van smart
home- of smart energy-apparaten. De nieuwe veiligheidseisen gaan gelden voor nieuwe
apparaten, maar hoe zorgen we er ook voor dat consumenten zich bewust worden van de
risico's van deze apparaten?

Uit het rapport over de integrale aanpak cyberweerbaarheid blijkt dat de cyberveiligheid
van vitale processen en infrastructuur een belangrijk aandachtspunt blijft. Hoe beoordeelt
de Minister de stand van zaken op dit moment? Zijn we als land genoeg weerbaar als
er een verstoring optreedt in vitale processen, zoals de stroomvoorziening, de telecommunicatie
en het betalingsverkeer? Zijn vitale processen voldoende opgewassen tegen spionage
en sabotage door bijvoorbeeld statelijke actoren?

Tot slot zou ik ons verkiezingsprogramma willen citeren, want de digitale revolutie
brengt ons veel goeds, maar er is ook een donkere keerzijde. Dan quoot ik: «De nieuwe
technologie vraagt om een nieuwe moraal en de borging van grondrechten van burgers.
Fake news, cybercrime, digital profiling, spionage en ongewenste beïnvloeding vragen
om een actieve bescherming en reguliering.» Daarnaast moeten we waarden als privacy,
rechtvaardigheid, menselijke waardigheid en een grondrecht als huisrecht actief beschermen.
Alleen als de menselijke waardigheid onze toetssteen blijft, kunnen we ook in de digitale
samenleving echt een samenleving blijven.

Dank u wel.

De voorzitter:

U ook bedankt. Dan ga ik nu mevrouw Van Ginneken vragen of zij even tijdelijk het
voorzitterschap wil overnemen van mij, zodat ik mijn inbreng kan doen namens de PVV.

Voorzitter: Van Ginneken

De voorzitter:

Dat wil ik. Dan geef ik bij dezen het woord aan mevrouw Van Weerdenburg.

Mevrouw Van Weerdenburg (PVV):

Dank u wel, voorzitter. Zoals ik al vreesde, heeft de collega van D66 al een heleboel
dingen genoemd, dus ik ga eventjes een verkorte versie maken. Want de PVV had ook
wel vragen bij de organisatiestructuur, met in gedachten de dringende oproep van de
Cyber Security Raad om tot een integrale aanpak te komen. Wij maken ons toch wel zorgen
om het aantal organisaties dat nu bezig is met cybersecurity en cyberweerbaarheid.
We vragen ons af of dat inderdaad niet gestroomlijnder kan. Natuurlijk is er geen
enkel bezwaar tegen goede samenwerking, en dat horen we ook elke keer weer terug van
alle organisaties: nee, het gaat helemaal prima, we weten elkaar te vinden. Daar is
niks op tegen, maar als er een crisis is, een cyberaanval of wat dan ook, dan is er
dus geen tijd te verliezen. Snelle informatieverspreiding kan op dat moment veel ellende
voorkomen. Dat heeft dan toch de voorkeur.

Dus als die informatie dan langs tientallen schakelpunten moet, lijkt me dat nadelig,
want dan verlies je tijd. Dat deed mij een beetje denken aan de sneeuwbal die wij
vroeger hadden op school, zo'n soort belschema, mocht het eerste lesuur uitvallen,
dat iedereen elkaar moest bellen. Als je dan de pech had om helemaal onderaan het
alfabet te staan – misschien herkent de Minister dit zelfs wel – dan werd je soms
gebeld als je al vertrokken was richting school. Dat was natuurlijk in het stenen
tijdperk, vóór de mobiele telefonie, dus daar had je dan toch wel de balen van. Dan
had je dus pech. Hoe gaan wij voorkomen dat organisaties aan het einde van de lijn,
aan het einde van die sneeuwbal, straks door pech te laat bereikt worden, met alle
gevolgen voor hun onderneming van dien?

Wij hebben afgelopen dinsdag een technische briefing gehad met het NCSC en vertegenwoordigers
van de NCTV over de Wbni, waar het NCSC terecht om zit te springen. Want ze krijgen
een hele lading kritiek over zich heen, ook van de OVV in het rapport over Citrix,
dat ze bepaalde informatie niet gedeeld hebben. Dat straalt slecht op hen af, terwijl
ze daar in feite niets aan kunnen doen: ze hebben die informatie, maar mogen die op
dit moment niet delen, terwijl ze dat wel heel graag willen. Ik hoor graag van de
Minister hoe zij dit zo snel mogelijk gaat oplossen en of er ook een mogelijkheid
is om tijdelijk iets te doen, totdat die Wbni er is.

Ik wil haar vragen om daarbij ook niet te schuwen om eventueel heilige huisjes om
te schoppen, als dat nodig is. Wij willen daarover als commissie graag meedenken.
Als het niet werkt, dan moeten we het anders inrichten. Wat dat betreft zijn prestigeoverwegingen
dan niet op hun plaats.

Is de Minister bereid om te laten onderzoeken op welke manier het NCSC en het DTC
wellicht geïntegreerd zouden kunnen worden? Mevrouw Van Ginneken had het daar ook
al over. Ik heb goed geluisterd naar de directeur van het NCSC afgelopen dinsdag.
Hij zei inderdaad dingen als: versnippering is niet goed, de samenwerking met DTC
moet beter, goede expertise over cybersecurity is schaars, je zou die dingen het liefst
fysiek onder één dank willen krijgen. Hun eigen organisatie, het NCSC, werkt op de
top van hun kunnen, maar de spoeling wordt wel dun. Ze zijn maar met 170 personen
en hij had het over een toch beperkte wendbaarheid. Op een gegeven moment zit je aan
je max. Ik zal het hem niet letterlijk in de mond leggen, maar ik interpreteerde zijn
woorden toch zo dat hij eigenlijk vroeg: kunnen we niet kijken of we wat kunnen samenvoegen
om slagkracht en efficiëntie te verbeteren?

Tot slot nog één puntje, want ik ben ook al bijna aan mijn tijd. De kwetsbaarhedenanalysetool
die ontwikkeld is bij VWS. Ik vond dat een interessante brief en ik vroeg mij af of
meer ministeries dat in gebruik gaan nemen. Goed voorbeeld doet goed volgen. Zijn
daar plannen voor? Is dat al gebeurd? Hebben andere ministeries ook zo'n veiligheidsscan,
een CAT-scan, aangeboden gekregen vanuit VWS en wat kan de Minister ons daar nog meer
over vertellen?

De voorzitter:

Dank, mevrouw Van Weerdenburg. Dank ook voor uw ontboezeming over de ervaringen met
de belboom op de middelbare school. Ik denk dat dat voor veel mensen herkenbaar is.
Ik geef u graag het voorzitterschap terug.

Voorzitter: Van Weerdenburg

De voorzitter:

Dank u wel. Ik kijk even naar de Minister. Hoeveel minuten heeft zij nodig?

Minister Yeşilgöz-Zegerius:

Ik heb in ieder geval 25 minuten nodig, en dat is ook omdat de ambtenaren heel ver
weg zitten. Een deel rent nu deze kant op om tijd te winnen, maar ze zitten echt heel
ver weg.

De voorzitter:

Oké, dan gaan wij dat doen.

De vergadering wordt van 14.00 uur tot 14.25 uur geschorst.

De voorzitter:

Goedemiddag. We gaan verder met deze vergadering van de vaste commissie voor Digitale
Zaken. Ik geef het woord aan de Minister van Justitie en Veiligheid voor haar beantwoording.

Minister Yeşilgöz-Zegerius:

Veel dank, voorzitter. Hartstikke mooi om met deze Kamerleden dit debat te mogen voeren,
met name natuurlijk over het belangrijke onderwerp online veiligheid en cybersecurity.
Ik weet dat aan het begin de opmerking gemaakt werd dat er niet zo heel veel Kamerleden
zijn en dat we dus wat meer tijd hebben om erover te spreken. Ik zag net een foto
van alle ambtenaren die in een zaal hier heel ver vandaan wel zitten en heel hard
werken voor al deze antwoorden van verschillende ministeries bij elkaar. Het is misschien
ook mooi om aan te geven dat daar heel veel mensen integraal met elkaar druk mee bezig
zijn. Normaal gesproken natuurlijk ook, maar ook op dit moment.

Voorzitter. De afgelopen periode heeft de noodzaak van een digitaal veilige samenleving
alleen maar verder onderstreept. De verhoogde dreiging vanuit de oorlog in Oekraïne
geeft een extra reden om de digitale veiligheid op orde te hebben; ik kom daar straks
natuurlijk op terug. Niet eerder is zo duidelijk sprake geweest van een hybride oorlogvoering.
Er is sprake van desinformatiecampagnes en er vinden digitale aanvallen plaats. We
zien bijvoorbeeld dat websites van onder meer overheidsinstellingen in Oekraïne en
Rusland de afgelopen periode regelmatig plat zijn gelegd door cyberaanvallen.

In Nederland zien we nog geen aanzienlijke toename van digitale incidenten, maar we
moeten ons hier natuurlijk wel op voorbereiden, en voorbereid zijn. Als coördinerend
Minister voor cybersecurity is het mijn taak om het almaar groter wordend belang van
digitale veiligheid en weerbaarheid te agenderen. Ik ben blij dat dit ook hier gezamenlijk
in deze commissie kan. Het lijkt me dus ook een heel goede kans om dit op deze manier
samen op te pakken.

Voorzitter. COVID-19 heeft ervoor gezorgd dat de digitalisering van onze maatschappij
in een stroomversnelling kwam. We werken digitaal, we winkelen digitaal, we ontmoeten
elkaar digitaal. Digitale systemen vormen inmiddels spreekwoordelijk het zenuwstelsel
van onze maatschappij. Kortom, onze samenleving en economie zijn vrijwel volledig
verweven met de digitale wereld. De veranderende geopolitieke verhoudingen, de continue
technologieontwikkeling en de afhankelijkheid van digitale systemen brengen enorme
kansen, maar ook grote risico's met zich mee.

Er is bijvoorbeeld sprake van een aanhoudende stroom van ransomware-aanvallen; daar
werden ook wat vragen over gesteld. Dat zijn natuurlijk hacks met als doel om hier
losgeld voor te krijgen. We zien de laatste jaren bijvoorbeeld een nieuwe trend ontstaan
waarbij kwaadwillenden steeds meer gerichte ransomware-aanvallen uitvoeren op doelwitten
die een hoger losgeldbedrag kunnen betalen.

Digitale kwetsbaarheden kunnen grote risico's met zich meebrengen. Denk bijvoorbeeld
aan de kwetsbaarheid die eind vorig jaar werd ontdekt in de software Log4J. Dit is
software die veel gebruikt wordt in webapplicaties en allerlei andere systemen. Door
het incident hebben verschillende organisaties zoals de Kamer van Koophandel en banken
hun systemen tijdelijk uitgeschakeld om misbruik te voorkomen. Hierbij werd duidelijk
dat het voor veel organisaties buitengewoon lastig is om na te gaan of zij en hun
leveranciers Log4J in gebruik hadden en wat de gevolgen van misbruik van deze kwetsbaarheid
precies zouden zijn. Tot nu toe is de schade beperkt gebleven. Misbruik van deze kwetsbaarheid
had potentieel tot zware economische en maatschappelijke gevolgen kunnen leiden. Dat
risico is nog niet voorbij.

Voorzitter, ik heb iets meer tekst dan ik normaal uitspreek bij een inleidende tekst
– ik ben bijna klaar, hoor – omdat daarmee niet alleen de urgentie van wat er nu gebeurt,
maar ook datgene wat we hebben opgetuigd enigszins bij elkaar komen. Daarna kom ik
concreet op alle vragen terug.

Het Nationaal Cyber Security Centrum heeft in toenemende mate te maken met incidenten
waarbij misbruik in potentie heel grote schade kan veroorzaken.

Voorzitter. Dit zijn een aantal dreigingen en ontwikkelingen. We kunnen daar nog heel
lang over doorgaan, maar dit laat zien hoe urgent het onderwerp is en hoe relevant
het is dat we het blijvende belang van cybersecurity en de noodzaak van passend overheidsbeleid
onderstrepen. Cybersecurity is een randvoorwaarde voor een veilige en steeds meer
digitaliserende maatschappij geworden. Daarom werkt het kabinet aan een nieuwe Nederlandse
cybersecuritystrategie. Ik heb al heel veel mooie ideeën daarvoor genoemd. Toen we
zojuist alle vragen doornamen, werd mij door de ambtenaren die daar nu al heel druk
mee bezig zijn, gezegd: wat mooi dat alle input naadloos aansluit bij deze strategie
en hoe we het zouden willen zien, ook vanuit de inhoud. Ik denk dat we elkaar daarin
hopelijk heel snel kunnen vinden.

Voorzitter. De nieuwe strategie zal een aantal bekende knelpunten adresseren, zoals
op het gebied van informatie-uitwisseling. Ik kan daar nog langer op doorgaan, maar
ik kom op de vragen hierover straks terug. Wellicht is het nog wel goed om het volgende
aan te geven. We zitten er nu mee dat sommige informatie bedrijfsvertrouwelijk is
of privacygevoelige data kan bevatten. Daarom kan niet altijd alle relevante informatie
met iedereen gedeeld worden; in verschillende inbrengen kwam dit ook terug. Die informatie
wordt bij dat soort incidenten en gevallen op het moment dat het noodzakelijk is,
gedeeld met de rijksoverheid en vitale sectoren. Dat gebeurt door ... Er was natuurlijk
heel veel behoefte om hiervoor een landelijk dekkend stelsel te hebben. Dat moet ook
in de strategie plaatsvinden. Waarom? Omdat je zo veel mogelijk partijen wilt kunnen
bereiken op het moment dat er iets aan de hand is. We hebben in dit verband vorig
jaar zomer wel een wijziging van de Wet beveiliging netwerk- en informatiesystemen
in procedure gebracht. Dat voorstel voorziet in een ruimere bevoegdheid voor het Nationaal
Cyber Security Centrum. Dat is natuurlijk bedoeld om relevante dreigings- en incidentinformatie
breder te kunnen delen. Dat is nog even goed om te benadrukken; daarna ga ik naar
de mapjes. Het voorstel wordt deze maand nog bij de Tweede Kamer ingediend. Gezien
de noodzaak van deze ruimere bevoegdheid maak ik ook graag gebruik van dit moment
om dit extra te onderstrepen. Ik wil een dringende oproep aan de Kamer doen om daar
als het kan met hoge prioriteit kennis van te nemen en actie op te ondernemen, zodat
we dit spoedig kunnen behandelen. Hier is namelijk echt heel veel behoefte aan.

Ik stel voor dat ik mijn mooie afronding oversla en dan naar de mapjes ga. Ik vind
namelijk dat ik zelf te lang aan het woord ben met een inleidende tekst. De mapjes
die ik heb, gaan over de volgende onderwerpen. Informatie delen en stelsel. Strategie
en de middelen uit het coalitieakkoord. De incidenten en wat er nu aan de hand is
tussen Rusland en Oekraïne. Encryptie. En dan het mapje overig.

Ik begin met het onderwerp informatie delen. Van verschillende partijen, volgens mij
ook van D66, kwam de volgende vraag. We zien een toename in ransomware en hacks; hoe
zorgen we ervoor dat het bedrijfsleven deze urgentie ook ziet en op korte termijn
handelingsperspectief heeft? Je wilt namelijk dat iedereen alert is. Je wilt informatie
kunnen delen met degenen die die informatie moeten hebben, maar je wilt ook dat iedereen
alert is en alles aan heeft staan om snel te kunnen handelen.

Ik ga proberen om heel veel afkortingen te vermijden, voorzitter. Soms gaat het niet
lukken, want dit is volgens mij de commissie waarbij geldt: als je geen afkorting
gebruikt, heb je niet geleefd. Het NCSC en het DTC, het Digital Trust Center, werken
nauw samen om ervoor te zorgen dat ook het bedrijfsleven een handelingsperspectief
kan hebben. Zij zijn voortdurend bezig met het ontwikkelen van manieren om meer informatie
te kunnen delen en ze zijn ook met de NCTV in gesprek over het delen van informatie
binnen het landelijk dekkend stelsel van cybersecuritysamenwerkingsverbanden. Zij
zijn hier ook mee bezig richting de ontvangers, en dat is net zo belangrijk, zodat
zij daar ook een handelingsperspectief aan kunnen verbinden. Je kunt wel informatie
krijgen, maar als je vervolgens niet weet wat je daarmee moet doen, helpt dat nog
steeds niks. Alleen als we dat allemaal zo hebben georganiseerd en ook die alertheid
hebben, kun je de digitale weerbaarheid verhogen in ons hele land en bij iedereen
bij wie dat nodig is.

Het Digital Trust Center heeft sinds juni dit jaar tot eind 2021 bij vijftien cybersecurityincidenten
dreigingsinformatie inclusief handelingsperspectief gedeeld met in totaal 361 niet-vitale
bedrijven. Naast deze notificaties vindt bij het DTC momenteel een pilot plaats om
bedrijfstechnische gegevens te matchen met dreigingsinformatie die bij de overheid
bekend is. Om een match te kunnen maken, delen bedrijven vooraf vrijwillig hun technische
gegevens met het DTC. Op het moment dat zij dat doen, kan het DTC daar vervolgens
weer op handelen. Aan deze pilot nemen op dit moment 57 bedrijven deel. Ik denk dat
het heel belangrijk is dat je op deze manier steeds verder ontwikkelt hoe je dit wilt
vormgeven. Op vrijdag 15 oktober 2021 is het eerste pilotbedrijf genotificeerd door
het DTC over een aantal kwetsbaarheden die raakten aan meerdere systemen van het desbetreffende
bedrijf. Door deze samenwerkingsvorm met het DTC en het NCSC kan snel en efficiënt
dreigingsinformatie tussen bedrijven en de overheid worden uitgewisseld.

De heer Bontenbal (CDA):

De Minister noemt 57 bedrijven. Kan zij zeggen wat voor type bedrijven dat zijn?

Minister Yeşilgöz-Zegerius:

Ik ga checken of ik dat kan zeggen. Zo ja, dan kom ik daar in tweede termijn even
op terug als dat oké is.

Mevrouw Rajkowski (VVD):

Als de Minister dan toch onderbroken is, had ik ook nog een interruptie staan. 361
bedrijven, dat klinkt aan de ene kant als heel veel, maar we hebben 2 miljoen bedrijven
in Nederland. Voor zover ik begrepen heb, stond de teller in januari op 300. Moet
ik dit dan zo interpreteren dat er sinds januari maar 60 of 61 bedrijven bij zijn
gekomen?

Minister Yeşilgöz-Zegerius:

Ik ga die data ook checken. Daar kom ik zo ook op terug.

De voorzitter:

Oké. U kunt vervolgen.

Minister Yeşilgöz-Zegerius:

Dan had ik een vraag van mevrouw Van Ginneken, namelijk hoe de Wet bevordering digitale
weerbaarheid bedrijven gaat helpen en waarom deze is vertraagd. Dit wetsvoorstel heeft
tot doel de wettelijke basis te verstevigen van het Digital Trust Center, onder verantwoordelijkheid
van het Ministerie van EZK, om operationele informatie over digitale dreigingen en
kwetsbaarheden te ontvangen, te verwerken en te delen met bedrijven. Dat is een heel
nuttige functie en tool, moet ik zeggen. Het Digital Trust Center richt zich op circa
2 miljoen, zoals mevrouw Rajkowski ... Hoe spreek ik dat eigenlijk uit? Een beetje
jammer dat ik dat langs deze weg moet vragen, maar toch fijn dat ik het nu weet. Het
Digital Trust Center richt zich op circa 2 miljoen niet-vitale bedrijven. Deze wet
zal ervoor zorgen dat informatie sneller en gemakkelijker kan worden gedeeld tussen
overheid en bedrijfsleven, in een landelijk dekkend stelsel. Dat vergemakkelijkt dat
dus. Het wetsvoorstel Bevordering digitale weerbaarheid zal door de Minister van EZK
op korte termijn worden aangeboden. Volgens mij is het al aangeboden aan de Raad van
State. Er is heel veel input op gekomen vanuit de Raad van State, omdat het natuurlijk
ook een heel brede wet is. Juist vanwege die input – zo moet ik het zeggen – is die
vertraagd. Dat is de volgorde der dingen geweest.

De voorzitter:

Mevrouw Van Ginneken heeft daar een vraag over.

Mevrouw Van Ginneken (D66):

Dank aan de Minister voor dit antwoord. Kan de Minister al iets zeggen over de aard
van de opmerkingen die de Raad van State heeft gemaakt?

Minister Yeşilgöz-Zegerius:

Nee, dat kan ik niet. Dat ligt echt bij EZK. Wat ik wel kan doen, is deze vraag doorgeleiden
naar mijn collega. Wellicht helpt dat. Dan zal ik aangeven dat daar in ieder geval
een reactie op moet komen, of voor een debat op korte termijn of op een andere manier.

Dan vroeg mevrouw Rajkowski of er een algemeen keurmerk kan worden ontwikkeld voor
mainports. Dat is een heel goede vraag. We zijn in Europees verband bezig om te kijken
of dat mogelijk is en hoe dat er eventueel uit zou kunnen zien. Dus ik kan er nog
niet ja of nee op zeggen, maar ik begrijp wel heel erg waar zij naar op zoek is. Ten
aanzien van keurmerken voor ICT-producten en -diensten is het ook van belang dat maatregelen
in de EU tot stand komen, omdat fabrikanten en leveranciers van dit soort producten
en diensten, en grote afnemers veelal internationaal opererende bedrijven zijn. Dus
daar kijken we op die manier naar.

U heeft eind vorig jaar ook een non-paper ontvangen van de Minister van EZK over de
EU-certificeringsschema's, ontwikkeld voor ICT-producten, -diensten en -processen,
en het proces daaromtrent. Wij maken ons nu sterk voor een zorgplicht voor ICT-fabrikanten
en leveranciers in de vormgeving van de Europese Cyber Resilience Act. Die wordt dit
najaar verwacht. EZK heeft daar vorig jaar ook het een en ander over gezegd. Dus dat
wordt allemaal goed uitgezocht in Europees verband.

Mevrouw Rajkowski (VVD):

Fijn om dit te horen en dank ook daarvoor. Inderdaad, de digitale snelweg houdt niet
op bij de Nederlandse grens. Heel fijn dat Nederland er ook in Europees verband input
op levert. Al die verschillende wet- en regelgeving gaat mijns inziens meer over losse
producten, losse diensten en losse bedrijven. De VVD ziet graag dat we ook kijken ...
Kijk bijvoorbeeld naar de Rotterdamse Haven. Daar zitten ook mkb'ers met misschien
heel weinig werknemers, die je normaal misschien niet aan heel strenge eisen zou willen
laten voldoen, maar omdat die mkb'ers in de Rotterdamse Haven zitten, waar je geen
terminals wil laten stilleggen, moeten ze misschien wel aan die regels voldoen. Dat
is dan dus ook meer gebieds- en functiegericht, naast dienst- en productgericht. Denk
aan een keurmerk, überhaupt omdat je in een mainport zit en de impact dan groot is.

Minister Yeşilgöz-Zegerius:

Volgens mij kunnen we dit op deze manier goed meenemen, want dit gaat én over producten
én over diensten én over afnemers. Volgens mij is dat ook de hele insteek van de vraag,
namelijk om breed te kijken wat er in zo'n mainport gebeurt. We bekijken inderdaad
op Europees niveau hoe je die beter kunt beschermen.

Dan heb ik hier een vraag van onder andere de PVV en ik meen ook van D66: zou het
NCSC ook niet-vitale organisaties moeten bedienen? Het NCSC is op dit moment natuurlijk
het nationale knooppunt in het landelijk dekkende stelsel van cybersecuritysamenwerkingsverbanden.
Het richt zich primair op het Rijk en vitale sectoren. Het werkt samen met partners
en schakelorganisaties, zoals het Digital Trust Center – dat richt zich dan weer op
niet-vitale bedrijven – of Z-CERT, voor de zorg. Momenteel werkt het kabinet onder
mijn coördinatie, die van mijn departement, aan een nieuwe integrale Nederlandse cybersecuritystrategie.
Daarin komen verschillende stelselvraagstukken aan de orde. Daar is dit echt onderdeel
van. Er wordt nu hard over nagedacht. Ik begrijp de vraag. Ik zou ook geneigd zijn
om te zeggen dat het er in essentie wel onder moet vallen. Maar we zijn dit in die
strategie nu precies aan het afwegen en aan het bekijken: als het ja is, hoe dan?
Dan hebben we daar ook een ronder verhaal over. Dus in essentie lijkt het mij wel,
maar we nemen het mee in het vormgeven van de strategie.

De voorzitter:

Een vraag tussendoor: is er ook een tijdlijn voor die strategie?

Minister Yeşilgöz-Zegerius:

Ja, voor de zomer.

De voorzitter:

Voor de zomer.

Minister Yeşilgöz-Zegerius:

Nou, dat is best snel.

Mevrouw Van Ginneken (D66):

Even een verduidelijkende vraag. Volgens mij hoor ik de Minister zeggen: in essentie
koersen we af op het meer onder één dak brengen, of misschien wel helemaal onder één
dak brengen van deze bevoegdheden om de digitale weerbaarheid van onze samenleving
te borgen. Dus die beweging is eigenlijk al een genomen afslag, precies zoals ik ook
voorstelde. Dus even de checkvraag: heb ik dat goed begrepen? Bekijkt de Minister
alleen nog in welke vorm en met welke stappen we dat gaan doen en gaan we dat teruglezen
in de genoemde strategie?

Minister Yeşilgöz-Zegerius:

Min of meer. Echt onder één dak brengen en de bevoegdheden samenvoegen: zo zou ik
het nog niet willen invullen. Maar we kijken wel welke verschillende modellen hiervoor
mogelijk zijn. Wat zijn de voor- en nadelen? Dat verkennen we met elkaar. Daar zitten
we nu middenin. Dus de beweging en de behoefte zijn helder. Die zijn heel erg herkenbaar.
Vervolgens moet je kijken hoe dat eruit zou kunnen zien en wat daar de voor- en nadelen
van zijn, zodat we dan met elkaar kunnen beoordelen of het inderdaad helemaal die
richting is of dat je er een paar stappen voor moet zetten om die samenwerking beter
te maken. Dus min of meer wel, maar nog niet zo stellig als mevrouw Van Ginneken het
zegt.

Door?

De voorzitter:

Ja. Ik zou vanuit de PVV aan willen geven dat het ook heel erg behulpzaam zou zijn
dat er, als wij die nieuwe plannen ontvangen, ook een soort stroomschema of een organogram
of iets dergelijks bij zit, zodat we op die manier visueel inzichtelijk krijgen wat
het nieuwe stelsel dan is of wordt.

Minister Yeşilgöz-Zegerius:

Helemaal eens. Dat zou mij ook erg helpen. Dus dat lijkt mij een heel goed idee.

Ik was bij de heer Bontenbal. Hij stelde een heel fundamentele en terechte vraag,
namelijk: zijn onze vitale sectoren voldoende weerbaar tegen digitale dreigingen?
Dat is nu heel actueel, maar het was eigenlijk al die tijd al heel actueel. Het is
uiteraard van groot belang dat vitale processen, zoals drinkwater en energie, ongestoord
kunnen functioneren. Een goede digitale beveiliging is, zoals gezegd, cruciaal. In
het Cybersecuritybeeld Nederland is de afgelopen jaren aangegeven dat de weerbaarheid
soms achterblijft bij de toename van de dreiging. Cybersecurity is in de eerste plaats
uiteraard een verantwoordelijkheid van de bedrijven zelf. Bescherm jezelf goed. Maar
het mag niet vrijblijvend zijn, zeker niet vanuit onze rol als overheid, en zeker
niet bij vitale processen. Daarom is er de afgelopen jaren heel veel werk van gemaakt.
Vitale aanbieders hebben bijvoorbeeld sinds 2018 een zorgplicht, waarmee ze verplicht
zijn om beveiligingsmaatregelen te nemen. Daarnaast geldt er een meldplicht voor incidenten,
onder andere bij het Nationaal Cyber Security Centrum. Toezichthouders zien ook echt
toe op de naleving van deze verplichtingen. Als gevolg van nieuwe Europese regelgeving
zullen deze verplichtingen worden uitgebreid naar meer aanbieders, bijvoorbeeld in
de zorgsector en in de voedingsindustrie. Naar verwachting zullen deze maatregelen
in 2024 zijn omgezet in nationale wetgeving. Dus het blijft cruciaal om hieraan aandacht
te besteden, denk ik.

Dan was er een vraag over de Wet beveiliging netwerk- en informatiesystemen, volgens
mij van mevrouw Van Weerdenburg. Hoe ga ik haast maken? Wat is ervoor nodig? Het voorstel
tot wijziging van deze wet zorgt ervoor dat het Nationaal Cyber Security Centrum met
alle in de Wet beveiliging netwerk- en informatiesystemen aangewezen schakelorganisaties
meer informatie kan delen en in bepaalde gevallen organisaties direct kan waarschuwen
indien er geen schakelorganisatie aanwezig is. Het is nogal relevant dat we dit snel
voor elkaar krijgen. Zowel de Autoriteit Persoonsgegevens als de Raad van State heeft
inmiddels een advies over het wetsvoorstel uitgebracht. Het advies van de Autoriteit
Persoonsgegevens is al in het voorstel verwerkt. Dat van de Raad van State wordt momenteel
nog verwerkt. Wij verwachten het op korte termijn, deze maand nog, bij de Tweede Kamer
in te dienen. Het zal in ieder geval niet aan ons liggen. We werken er hard aan om
het hier te hebben liggen. Ik hoop dat er in de tussentijd niet nog iets extra's nodig
is en dat die al vrij snel hier ligt. Daarmee delen we de urgentie op dit onderwerp.
Dus wij doen ons best. Het zal niet aan ons liggen.

De voorzitter:

De oproep is genoteerd.

Minister Yeşilgöz-Zegerius:

Dat is fijn. In het verlengde hiervan was er nog een vraag van mevrouw Van Ginneken.
Zij vroeg hoeveel extra werk dit is, bijvoorbeeld voor de Autoriteit Persoonsgegevens.
Wat komt hier nog achter weg? De wijzigingen brengen geen nieuwe grondslag voor verwerkingen
met zich mee. Dat is dus een relevante opmerking. Op het moment van het schrijven
van de wet was het doel om eventuele restinformatie te delen met zogenoemde schakelorganisaties.
Alleen, hierin is een zogenoemde OKTT ... Ik leg het even uit voor al die Nederlanders
die nu naar ons kijken en die zeggen: wat is nou een OKTT? Dat zijn organisaties die
objectief kenbaar tot taak hebben om organisaties of het publiek te informeren over
dreigingen en incidenten. Daarin was de zogenoemde OKTT niet meegenomen als schakelorganisatie
die alle informatie ontvangt. Dat is een weeffout. Met het wetsvoorstel wordt die
hersteld. De wetswijziging brengt wel met zich mee dat er meer persoonsgegevens verwerkt
zullen worden, maar naar verwachting levert dit geen grotere toezichtlast op voor
de Autoriteit Persoonsgegevens. Naar deze vraag is dus expliciet gekeken.

Dan ben ik bij het mapje strategie en de coalitieakkoordmiddelen. Er was een vraag
van de VVD en D66 over het Digital Trust Center. Past de huidige rolverdeling tussen
NCSC en DTC nog? Hoe zit dat eigenlijk? Kunnen ze dichter bij elkaar gebracht worden?
Volgens mij heb ik die vraag trouwens ook van andere partijen gehoord. Het Nationaal
Cyber Security Centrum is onderdeel van het Ministerie van Justitie en Veiligheid
en werkt aan een digitaal veilig Nederland. Het Ministerie van EZK heeft in 2018 het
Digital Trust Center opgericht om de 2 miljoen Nederlandse bedrijven weerbaarder te
maken tegen toenemende cyberdreigingen. Het Nationaal Cyber Security Centrum en het
Digital Trust Center hebben ieder hun eigen primaire doelgroep. De rijksoverheid en
vitale aanbieders worden bediend door het NCSC en het niet-vitale bedrijfsleven door
het Digital Trust Center. Beide organisaties hebben doelgroepspecifieke kennis opgebouwd,
waardoor zij in staat zijn om hun doelgroep zo goed mogelijk te bedienen.

Om deze doelgroepen te kunnen bedienen werken ze wel zeer nauw samen. Dat is dus heel
erg terecht opgemerkt door iedereen die deze vraag heeft gesteld of hiernaar op zoek
is geweest. Ze zijn voortdurend, samen met de NCTV, in gesprek over het delen van
informatie binnen het landelijk dekkend stelsel van cybersecuritysamenwerkingsverbanden.
Zoals ik net ook zei, ben ik het er ontzettend mee eens dat we hier scherp op moeten
blijven en dat je niet wil dat deze partijen, die zo cruciaal zijn breed in de samenleving,
naast elkaar werken. We moeten dus scherp blijven op de rolverdeling, de efficiënte
inzet van de beschikbare capaciteit en de duidelijke rolverdeling richting de doelgroepen,
en zorgen dat ze nauw samenwerken. Om deze vraagstukken allemaal goed in de gaten
te kunnen houden en nog beter te kunnen borgen, wordt momenteel verkend hoe deze beide
instanties nog intensiever kunnen samenwerken. Die uitkomsten zult u voor de zomer
terugzien in de cybersecuritystrategie.

Dan was er een vraag van mevrouw Van Ginneken. Wat vindt de Minister van de conclusie
van de Cyber Security Raad dat er meer dan 800 miljoen euro bij moet om onze cyberveiligheid
te waarborgen? Misschien is het goed om van tevoren ...

De voorzitter:

Mevrouw Van Ginneken wil iets aanvullen?

Mevrouw Van Ginneken (D66):

Ik wil even iets checken, want ik heb de indruk dat de Minister nu overgaat naar het
volgende blokje.

Minister Yeşilgöz-Zegerius:

Nee.

De voorzitter:

Het is nog hetzelfde blokje.

Minister Yeşilgöz-Zegerius:

In ons hoofd klonk dit heel logisch als één blokje.

Mevrouw Van Ginneken (D66):

Dit is allemaal het stelsel, waar we het nu over hebben?

Minister Yeşilgöz-Zegerius:

Ik was al bij het volgende blokje: strategie en coalitieakkoordmiddelen.

Mevrouw Van Ginneken (D66):

Kijk, dan was ik niet helemaal scherp. Ik had nog een vraag over het stelsel, want
een van de vragen waarvan ik dacht dat die onder dat kopje vielen, is nog niet beantwoord.
Dat is namelijk een specifieke vraag. Het NCC, dus het nationaal coördinatiecentrum,
is in oprichting als gevolg van Europese regelgeving. Dat valt onder EZK, dus het
raakt sowieso de hele discussie: zijn we het allemaal niet veel te veel aan het versnipperen?
Mijn vraag aan de Minister was: waarom is die nieuw op te richten organisatie niet
ondergebracht bij ofwel NCSC ofwel DTC?

De voorzitter:

Ja, want op dit moment wordt die organisatie ondergebracht bij de RVO? Ja.

Minister Yeşilgöz-Zegerius:

Ja. Ik heb hem voorbij zien komen. Volgens mij zit die in het onderste mapje, overig,
dus als mevrouw Van Ginneken het goedvindt ... Als ik hem nu eruit ga vissen, raak
ik door al die mapjes in de war. Oké, top, dan doen we hem zo. Als hij daar niet tussen
zit, dan kom ik er sowieso straks op terug. Dank u wel.

Dan ben ik weer terug bij de 800 miljoen, ook van mevrouw Van Ginneken; althans, was
het maar zo, maar bij de vraag. Zoals ik net wilde zeggen: dat bedrag vraagt wel om
enige nuancering in hoe het is opgebouwd, want de Cyber Security Raad adviseert dat,
maar er worden daarbij voorstellen gedaan die zien op zowel cybercrime als cybersecurity,
terwijl de investering van 150 miljoen daarbinnen bijvoorbeeld alleen is bedoeld voor
cybersecurity. Daarnaast maakt de Cyber Security Raad geen onderscheid tussen structurele
en incidentele investeringen, waardoor het uiteindelijke geadviseerde bedrag hoger
uitvalt.

Hoe dan ook – het maakt niet uit – is dit heel belangrijk voor het digitaal weerbaar
maken en houden van Nederland. Dat is een enorme opgave en daar zijn gewoon middelen
voor nodig. Dat blijft, hoe dan ook, overeind staan. Het vorige kabinet heeft hierin
een eerste stap gezet, met een investering van 93 miljoen op dit thema. We bouwen
hierop voort met een investering van 150 miljoen, structureel. We hebben niet de illusie
dat daarmee dan alles geregeld is. Zoals gezegd, kun je de opbouw van bepaalde bedragen
en investeringen nuanceren of beter duiden, maar uiteindelijk zullen we de komende
jaren aandacht moeten blijven besteden aan dit thema. We zullen met elkaar moeten
volgen of er meer nodig is en zo ja, wat dan, waar dan en op welke plek dan? Ik denk
dat we daar either way heel veel aandacht aan moeten blijven geven. Denk ook aan de
samenwerking met private partners. Het coalitieakkoord biedt ons gelukkig ook wel
enige ruimte om daar stappen in te zetten op dit moment.

Mevrouw Van Ginneken (D66):

Ik deel de observatie van de Minister dat in het rapport van de Cyber Security Raad
inderdaad een breed pakket wordt neergelegd. Ik heb het er even bij gepakt. Er zijn
vijf posten, waarvan ik er drie ga noemen die volgens mij echt met dit onderwerp te
maken hebben. Regie op samenwerking informatiedeling: 92 miljoen. Weerbare vitale
processen en infrastructuur: 218 miljoen. Handhaving en bescherming tegen cybercrime:
330 miljoen. Dat laatste is zo'n post waarvan je zegt: bescherming hoort hier misschien
wel bij, maar handhaving is misschien een ander vraagstuk. Het zijn behoorlijk grote
bedragen. Ik hoor de Minister zeggen: 93 miljoen van het vorige kabinet en 150 miljoen
nu. Daar zit gevoelsmatig, nog los van de wat vage afspraken over die posten, een
heel groot gat tussen. Cybersecurity is natuurlijk wel echt een heel belangrijk onderwerp
om onze samenleving veilig en weerbaar te houden, zowel in democratisch en sociaal
opzicht als in economisch opzicht. Ik zou de Minister dus willen uitdagen om nog iets
specifieker te worden, zeker ook omdat ik de 150 miljoen die zij noemt niet kan teruglezen
in de financiële paragraaf van het coalitieakkoord. Wat doen we nou precies en kan
het niet een onsje meer?

De voorzitter:

En waar staat het?

Minister Yeşilgöz-Zegerius:

Voor het onsje meer moet u bij de onderhandelaars van het coalitieakkoord zijn, maar
ik kan wel zeggen waar we nu voor staan. Het is misschien goed om het even specifiek
te maken. De uitwerking komt ook nog naar de Kamer. Het kabinet zal dit jaar 60 miljoen
extra investeren in cybersecurity. Dat zal oplopen tot 300 miljoen structureel vanaf
2027. Dat is de 300 miljoen die je terug kunt vinden in het coalitieakkoord. De afgelopen
drie maanden – we zijn drie maanden bezig als nieuw kabinet – hebben we vooral met
de inlichtingendiensten, de veiligheidsdiensten en de NCTV, alle diensten die bezig
zijn met cybersecurity, gezamenlijk gekeken wat nou een zinnige verdeling is en waar
extra inzet nodig is, in welke richting en bij welke posten, zoals mevrouw Van Ginneken
voorlas uit het rapport van de Cyber Security Raad. Daarvoor lag er natuurlijk ook
heel veel andere input.

De bel van de Tweede Kamer gaat, maar ik praat gewoon door, hoor.

De voorzitter:

U mag ook even pauzeren. Het is de stemmingsbel, dus dat is een lange. We hoopten
allemaal op een mute button in het nieuwe gebouw, maar het mocht niet zo zijn. De
Minister vervolgt haar betoog.

Minister Yeşilgöz-Zegerius:

Voorzitter. Ik was net aan het toelichten hoe die 300 miljoen op hoofdlijnen verdeeld
lijkt te worden, maar het wordt sowieso, hopelijk voor de zomer, met de nieuwe strategie,
nauwkeurig voor u op papier gezet en met u gedeeld. Daarna kunt u er natuurlijk nog
van alles van vinden, maar ik noem wel een paar stappen, omdat daar vragen over zijn
gesteld. Met dat geld wordt geïnvesteerd in onder andere de slagkracht van de Algemene
Inlichtingen- en Veiligheidsdienst en de Militaire Inlichtingen- en Veiligheidsdienst,
dus de AIVD en de MIVD, het Nationaal Cyber Security Centrum en het bredere beleidsterrein
van economische veiligheid, cybersecurity en de vitale infrastructuur. Dat is heel
bewust breed, maar gefocust aangevlogen. De investering op digitale veiligheid bedraagt
rond de 150 miljoen. Een substantieel deel daarvan gaat naar de inlichtingen- en veiligheidsdiensten.
Daarnaast wordt 33 miljoen geïnvesteerd in het Nationaal Cyber Security Centrum, 34 miljoen
in de vitale infrastructuur en 54 miljoen in het bredere cyberdomein. Nogmaals, de
uitwerking komt uiteraard naar u toe, met vanzelfsprekend een onderbouwing in relatie
tot de strategie. Zoals gezegd is geprobeerd om een balans te vinden tussen operationele
capaciteit bij de diensten en investeringen verderop in de keten, omdat je het risico
wilt voorkomen dat je aan één kant heel erg investeert en de keten vervolgens aan
de andere kant vastloopt. Het is een hele complexe opgave, want hadden we meer kunnen
uitgeven, dan was het meer complex, en hadden we minder kunnen uitgeven, dan hadden
we het nog ingewikkelder gehad. Er is een integrale benadering nodig om te kijken
wat er echt nodig is en hoe je het maximale kunt doen met de middelen die je hebt
om Nederland zo weerbaar mogelijk te maken.

De voorzitter:

Wellicht een suggestie van mevrouw Van Ginneken.

Mevrouw Van Ginneken (D66):

Laat ik niet zo aanmatigend zijn dat nu alvast meteen in te vullen, maar ik heb wel
een vraag. Ik ben heel blij met deze opsomming. Ik heb het niet helemaal kunnen bijhouden,
maar gelukkig kunnen we debatten terugkijken. Dat is altijd goed. Ik heb de Minister
horen zeggen dat het ook in de cybersecuritystrategie wordt opgenomen. Dat is fijn.
Ik ving wel op: 54 miljoen voor het NCSC. Het Cyber Security Raadrapport zegt: 92 miljoen.
Daar zit een gat. Geld dat er niet is, kun je natuurlijk niet toekennen. Dat begrijp
ik. Maar ik ben wel benieuwd – kan de Minister toezeggen daar ook in de strategie
op in te gaan? – welk deel van de ambities van het NCSC we dan niet kunnen invullen
en waar het geld dan prioritair wel en niet aan wordt besteed, zodat we daar meer
zicht op hebben en daarop kunnen sturen.

Minister Yeşilgöz-Zegerius:

Het was zelfs 33 miljoen voor het NCSC, dus dan maak ik het verhaal nog ietsje ...
Maar inderdaad, we zullen daar natuurlijk duidelijk in opnemen wat de ambities zijn,
wat de strategie is, wat de huidige doelen zijn en wat je hiervoor kan doen, en vanzelfsprekend
wat je hiervoor dan niet kan doen, maar dat wordt vanzelf duidelijk als je het voorgaande
goed hebt onderbouwd.

Dan was er nog een vraag over de Europese samenwerking. Von der Leyen riep op tot
het bundelen van cybercapaciteit. Hoe kan Nederland hier een leidende rol in spelen?
Dat is een terechte vraag, want cyberdreigingen houden zich uiteraard niet aan landsgrenzen,
dus is internationale en Europese samenwerking cruciaal. Nederland is dan ook blij
dat de Europese Commissie hier veel aandacht aan besteedt met de Europese cybersecuritystrategie
die eind 2020 is gepubliceerd. Nederland stelt zich in Europese besprekingen op als
een voorstander van goede Europese samenwerking op cybersecurity, ook als het gaat
om het versterken van bestaande netwerken. Een voorbeeld daarvan is het CyCLONe-netwerk,
dat is gericht op samenwerking in geval van een cybercrisis. Zo heeft Nederland bijvoorbeeld
een Europese strategische oefening georganiseerd in 2020, waar dit netwerk ook is
gelanceerd. Dat laat goed zien welke rol Nederland daarin speelt. Daarnaast zijn we
natuurlijk een van de lidstaten die actief bijdraagt aan de rapid response teams binnen
PESCO. Dat staat voor Permanent Structured Cooperation. We zijn een van de lidstaten
die daar een actieve rol in speelt. Uiteraard blijft Europese samenwerking in de komende
jaren erg relevant. In de Nederlandse cybersecuritystrategie zullen we ook nader ingaan
op wat de internationale samenwerking nog meer zou kunnen zijn.

Dan ben ik bij concrete incidenten. Ik heb er zelfs bij staan «Rusland», maar dat
is natuurlijk het meest actuele. Daar waren ook een aantal vragen over. Ik heb hier
als eerste een vraag van de PvdA. Mevrouw Kathmann zei over Kaspersky: waarom ook
niet bij andere producten? Hoe zat dat precies? In 2018 heeft het kabinet bepaald
dat als voorzorgsmaatregel Kaspersky antivirussoftware bij de rijksoverheid wordt
uitgefaseerd. Aan bedrijven en organisaties met vitale diensten en processen en aan
bedrijven die vallen onder de Algemene Beveiligingseisen voor Defensieopdrachten,
de zogenaamde ABDO, is geadviseerd om hetzelfde te doen. Deze maatregel werd genomen
met het oog op het waarborgen van de nationale veiligheid. Het was een combinatie
van factoren die in deze casus ertoe hebben geleid dat er sprake was van risico's
voor de nationale veiligheid, die het kabinet waar mogelijk wilde voorkomen. Onderdeel
van de afweging was de Russische wetgeving, die bedrijven als Kaspersky verplicht
samen te werken met de Russische overheid. De antivirussoftware zit diep in de systemen
en kan bij misbruik een groot veiligheidsrisico vormen. Gericht op de vraag van mevrouw
Kathmann: het is altijd een afweging waarbij je al dit soort factoren meeweegt. Je
kijkt waar de te beschermen belangen zitten, wat je kan monitoren, wat je kan zien
en waar je nauwelijks zicht op hebt. Naar die afweging kijken we altijd heel kritisch.
Maar hier waren nogal duidelijke factoren waardoor de overheid heeft gezegd: dit gaan
we uitfaseren. Dus als zo'n afweging bij andere zaken zou gelden, dan zou dat kunnen.
De vraag was: waarom hierbij? Om die reden dus.

De voorzitter:

Mevrouw Kathmann, volgens mij had u ook gevraagd: waarom antivirussoftware wel en
de rest niet?

Mevrouw Kathmann (PvdA):

Ja, dat was de vraag vooral. Waarom is ervoor gekozen om alleen de antivirussoftware
uit te faseren en niet de andere producten?

Minister Yeşilgöz-Zegerius:

Die antivirussoftware zat heel diep in de systemen. Er was dus een groot risico op
misbruik. Ik kan even kijken of we er in tweede termijn nog nader op in kunnen gaan,
maar dat was een van de meest concrete redenen om het hier wel bij te doen, omdat
het risico op andere gebieden minder was. Ik zal even kijken of ik er in tweede termijn
nog nader op in kan gaan, maar het zal ongeveer een dergelijk antwoord zijn. Maar
ik ga graag kijken of ik één slag dieper kan.

Mevrouw Kathmann (PvdA):

Een beetje gezien de actualiteit, omdat het gaat over rijksoverheid en vitale bedrijven.
Het zijn ABDO-bedrijven, toch? Al die leuke afkortingen. Gezien de actualiteit vraag
ik me af wat nu de stand van zaken is. Geldt dan nog steeds dat ook deze vitale spelers
producten van Kaspersky Lab kunnen overnemen, als het maar geen antivirussoftware
is?

Minister Yeşilgöz-Zegerius:

Ik begrijp de relevantie van de vraag. Ik kijk of ik in tweede termijn daar een slag
dieper op in kan gaan. Zo niet, dan vinden we een andere oplossing.

Dan vroeg mevrouw Rajkowski of ik kan reageren op het feit dat Russische hackers vrijelijk
aanvallen kunnen uitvoeren. Kunnen deze hackers niet op een sanctielijst geplaatst
worden? De aanval op de woningcorporaties, zeer actueel, laat wederom zien dat ransomware
een enorm impactvol delict is dat behoorlijk veel consequenties heeft. Daarbij komen
slachtoffers ook enorm onder druk te staan. Het lijkt soms iets abstracts, omdat je
het niet ziet gebeuren. Er staan niet iemand met een bivakmuts en een pistool voor
je neus, maar het is zeer impactvol. Er is niet alleen sprake van financiële schade,
maar criminelen publiceren ook gevoelige gegevens en kunnen er daarna weer van alles
mee doen. Ik heb er groot respect voor dat de woningcorporaties geen losgeld hebben
betaald. Dat zal vast niet een heel makkelijke afweging zijn geweest. Maar het helpt
echt wel bij het tegengaan van dit delict, hoe lastig het dan ook is, omdat de gevolgen
daarvan ook weer groot kunnen zijn. De politie is op de hoogte van deze specifieke
zaak en is ook bekend met de ransomwaregroeperingen die dit soort aanvallen uitvoeren.
De politie doet onderzoek naar ransomwareaanvallen en de groeperingen die erachter
zitten. Ik denk dat het heel belangrijk is om hier expliciet bij stil te staan. Daarom
noem ik het nadrukkelijk, hoewel ik weet dat de vraag van mevrouw Rajkowski breder
was. Het is goed om hier expliciet bij stil te staan, omdat hackers die dit soort
aanvallen uitvoeren enorm veel geld kunnen verdienen en er ook gewoon mee weg kunnen
komen. Dus de politie zit hier echt bovenop om te voorkomen dat internet een vrijplaats
wordt voor criminelen. De Kamer is uiteraard al eerder geïnformeerd over hoe complex
opsporing in het digitale domein is, maar er wordt dus hard aan gewerkt.

Het is misschien goed om over te gaan naar de vraag over de sanctielijst. Dit waren
vragen die in elkaars verlengde lagen. Het Ministerie van Buitenlandse Zaken heeft
aangegeven bereid te zijn om te kijken of er voor deze casus mogelijkheden zijn om
EU-sancties op te leggen. Dat wordt onderzocht. Het is wel nodig dat we voldoende
concrete informatie hebben om daarop te kunnen handelen. Ik noem dat er even bij,
omdat het daarom op dit moment nog erg vroeg is om conclusies te trekken over de haalbaarheid
hiervan, of om die in te kunnen schatten. We hebben informatie nodig over de aard
en de impact van de aanval. We moeten duidelijk krijgen wie er achter de aanval zit
en of er vervolgens EU-sancties mogelijk zijn. Dat hangt ook weer af van de steun
van andere lidstaten. Maar we zijn dus zeker bereid om naar deze casus te kijken.
Dat wordt ook opgepakt.

Deze vraag is van mevrouw Van Ginneken. De Amerikaanse president, Biden, waarschuwde
dat Rusland van plan is wraak te nemen op iedereen die Oekraïne digitaal steunt. Dat
zou forse gevolgen kunnen hebben voor Nederland. Wat doen we om de risico's te beperken?
Het Nationaal Cyber Security Centrum houdt sinds het begin van de spanningen alle
ontwikkelingen omtrent de situatie in Oost-Europa nauwlettend in de gaten. Hun observatie
is dat de dreiging sinds het uitbreken van de oorlog wel groter is geworden. Zij houden
dan ook op korte termijn rekening met nieuwe aanvallen die te relateren zijn aan deze
oorlog. Deze aanvallen kunnen ook, zoals terecht gesteld, impact hebben op Nederland.
Dat kan gaan over gerichte aanvallen op Nederland, bijvoorbeeld als vergelding van
sancties zoals waar we het zojuist over hadden. Dat kan. Nederlandse instellingen
kunnen onbedoeld doelwit worden van een aanval en Nederlandse digitale infrastructuur
kan misbruikt worden voor het uitvoeren van digitale aanvallen. Daar heb ik ook eerder
Kamervragen over gezien. Op dit moment is het wel goed om te benadrukken dat we ons
bewust zijn van de risico's. Het wordt in de gaten gehouden, maar op dit moment hebben
we geen concrete aanwijzingen dat er gerichte digitale aanvallen op Nederland hebben
plaatsgevonden.

De verhoogde dreiging vanuit de oorlog in Oekraïne geeft wel een extra reden om de
digitale veiligheid op orde te hebben en alert te blijven. Om de risico's in de samenleving
te beperken is de afgelopen weken ook door het NCSC en de NCTV extra nadruk gelegd
op het belang van cyberweerbaarheid en waakzaamheid. Daar is heel veel aandacht aan
besteed. Het NCSC biedt daarvoor samen met het Digital Trust Center openbare webinars
en houdt een informatiepagina bij op zijn website. Ik heb ook van verschillende betrokkenen
begrepen dat daar dankbaar gebruik van wordt gemaakt. Er is natuurlijk heel veel behoefte
aan wat tools om te weten «waar ben ik aan toe» en «hoe kan ik mezelf goed beschermen».
Zo heeft het Digital Trust Center in samenwerking met het NCSC het webinar Oorlog
in Oekraïne en digitale veiligheid in Nederland georganiseerd. Dat ging over een update
van het dreigingsbeeld en digitale aanvalstechnieken voor onze doelgroepen. Ook eerder,
9 maart al, gaf het een online informatiesessie met als titel Huidig beeld en digitale
impact van de oorlog in Oekraïne. Dan heb je bijvoorbeeld 144 vragen tijdens zo'n
webinar. Dat zijn hele gerichte vragen als «hoe kan je me hierbij helpen». Die komen
van de bijna 4.000 bezoekers die dat webinar op dat moment bekeken. Iedereen die online
weleens wat heeft georganiseerd weet dat dit forse getallen zijn. Dat laat zien dat
er heel veel behoefte aan is. Daar wordt ook volop aandacht aan besteed.

Mevrouw Van Ginneken (D66):

U vroeg mij zojuist bij een interruptie, een andere vraag, of ik een goed voorstel
had. Ik zou hier eigenlijk nog wel een voorstel willen doen aan de Minister. Ik ben
blij om te horen dat er geen concrete aanwijzingen zijn dat aanvallen uitgevoerd zijn
of worden. Het is ook fijn om te horen dat er ingezet wordt op bewustwording en kennisdeling,
maar we weten allemaal dat veel hacks en ransomwareaanvallen gebruikmaken van allang
bekende kwetsbaarheden in systemen. Soms gaat het om een nieuwe, onbekende kwetsbaarheid,
maar vaak zijn ze bekend en kunnen hackers er gebruik van maken omdat systemen niet
up-to-date zijn. Dat heeft soms te maken met gebrek aan aandacht van de organisaties
die dat zouden moeten doen in hun eigen systemen, maar soms ook met gebrek aan capaciteit.
Ziet de Minister daar niet een oplossing om bijvoorbeeld middelen vrij te maken om
een patchbrigade door Nederland te sturen om alle bedrijven die nog niet helemaal
up-to-date zijn met patches daarbij te helpen? Kan de Minister toezeggen daar eens
naar te kijken?

De voorzitter:

De patchpolitie. De Minister.

Minister Yeşilgöz-Zegerius:

De vraag begon met «middelen vrijmaken». Dan heb geleerd als Kamerlid, maar ook als
bewindspersoon, dat ik even alert moet zijn. Ik vertelde net dat ik geen middelen
heb, maar ik begrijp de vraag wel. In de basis is het denk ik goed dat we één ding
niet uit het oog verliezen, namelijk dat het primair de eigen verantwoordelijkheid
is, want anders lukt het nooit om de digitale weerbaarheid waar we zo naar op zoek
zijn in het hele land te realiseren. Daarom is het zo belangrijk dat je dingen juist
zo breed mogelijk organiseert, zoals ik net zei over de bijna 150 gerichte vragen
van 4.000 bezoekers, zodat partijen zelf aan de slag kunnen. Persoonlijk denk ik dat
dat effectiever is, ook in deze tijd, waarin je weet dat er gewoon een hoge mate van
paraatheid nodig is. Er is verhoogde dreiging. Dit is denk ik sneller. Er is een sterke
toename van het aantal bezoeken aan de Basisscan Cyberweerbaarheid. Dat stijgt hard.
Er is hier echt behoefte aan. Mensen reageren er ook echt op en gaan er vervolgens
mee aan de slag. We kunnen er inhoudelijk naar kijken als mevrouw Van Ginneken zegt:
«Ik heb een concreet voorstel. Dat ga ik indienen. Hierin kan je zien wat het betekent.»
Maar ik zou zeggen: laten we de capaciteit die we hebben ook op deze manier met een
zo breed mogelijk bereik blijven organiseren, zodat die eigen verantwoordelijkheid
– dat is makkelijk gezegd, maar je moet maar weten waar je aan toe bent – echt ingevuld
kan worden. Dat zou op dit moment mijn antwoord zijn.

Mevrouw Van Ginneken (D66):

Dank, voorzitter, voor uw coulance qua interrupties.

Ik ben mij ervan bewust dat ik het woord «middelen» in de mond heb genomen, maar misschien
kunnen we elkaar halverwege ontmoeten. Ik heb zojuist eigenlijk ook de diverse sectoren
opgeroepen om daar zelf de schouders onder te zetten, om zelf patchbrigades rond te
sturen. Dat is wat anders dan patchpolitie, maar het zou wel helpen als de Minister
allerlei kwetsbare sectoren ertoe zou oproepen, misschien via de brancheorganisaties
of de ondernemersverenigingen, om centraal patchbrigades het land in te sturen om
de aangesloten bedrijven te helpen hun lekken te dichten.

Minister Yeşilgöz-Zegerius:

Wellicht kunnen we nog één stap verder naar het midden zetten om elkaar te vinden.
Ik begrijp wel waar mevrouw Van Ginneken naar op zoek is. Dat past in ieder geval
heel erg bij waar wij naar op zoek zijn. Dat is: hoe kan je daarin continu die alertheid
houden? Dan doel ik ook echt op alle sectoren. Ik noemde net namelijk mooie getallen,
maar dat betreft bedrijven en mensen die naar ons toe komen, inloggen en zeggen dat
ze hulp nodig hebben. Volgens mij is mevrouw Van Ginneken ook op zoek naar hoe we
degenen kunnen bereiken die daar nog niet tussen zitten of die nog niet weten dat
ze ook bereikt moeten worden, terwijl ze ook een risico lopen. Daar wordt heel veel
aandacht aan besteed. Ik weet niet of we met de patchbrigade helemaal het doel bereiken,
al klinkt het eigenlijk wel mooi, maar we communiceren daar wel over en hebben daar
aandacht voor. Daarin trek ik ook echt nauw samen op met de collega van EZK. We vragen
hier continu aandacht voor, want ik denk dat mevrouw Van Ginneken gelijk heeft als
ze stelt: dit zijn de mensen die naar je toe komen, maar hoe bereik je degenen die
je nog moet bereiken? Dat is echt een belangrijke opdracht, die ik ook samen met EZK
blijf vervullen.

Mag ik naar het mapje encryptie?

De voorzitter:

Zo te zien wel.

Minister Yeşilgöz-Zegerius:

Ik wilde het alleen even checken.

Dat is een belangrijke. Ik heb de vragen een beetje door elkaar. Ik doe ze gewoon
op de volgorde die ik voor me heb. Het komt in de kern allemaal op hetzelfde vraagstuk
neer.

De eerste vraag die ik hier heb, is van mevrouw Van Ginneken. Zij vroeg: wat betekent
de grondwetswijziging van afgelopen woensdag over de onaantastbaarheid van digitale
communicatie voor het beleid van de Minister? Volgens mij gaat dat over de aanpassing
van het briefgeheim. Dat voorstel is dat iedereen recht heeft op eerbiediging van
zijn brief- en telecommunicatiegeheim. Daar komt wel bij dat dit recht, zoals elk
recht, niet absoluut is. Geen enkel recht is absoluut. In lid 2 van het voorstel staat
dat beperkingen van dit recht bij wet worden bepaald, met een machtiging van de rechter
of, in het belang van de nationale veiligheid, door of met machtiging van hen die
daartoe bij de wet zijn aangewezen. Dat is juridische tekst en taal, maar dat komt
erop neer dat er in die zin geen sprake is van die onaantastbaarheid van digitale
communicatie. De inventarisatie die ik uitvoer over versleuteling en end-to-endencryptie
ziet op de mogelijkheden om rechtmatige toegang tot versleutelde data te verkrijgen,
om geïnformeerde besluitvorming mogelijk te maken en, indien een proportionele oplossing
zich voordoet bij deze besluitvorming, geldende wetgeving daarin mee te nemen. Ik
kan me voorstellen dat er al vragen zijn, maar misschien is het goed dat ik nog even
doorga, want deze vragen liggen allemaal in elkaars verlengde. Het is ook een ingewikkeld
onderwerp, waarbij het er in de basis eigenlijk op neerkomt dat we dingen aan het
onderzoeken zijn. Volgens mij willen we namelijk allemaal hetzelfde. We willen aan
de ene kant beschermen wat er is opgebouwd. Daarvoor is het ook nodig, end-to-end.
Tegelijkertijd wil je weten of er nog extra elementen nodig zijn voor de veiligheid.
Ik heb hier als Kamerlid ook moties over ingediend. Die waren eigenlijk helemaal in
lijn met alle verschillende input hier.

Mevrouw Van Ginneken had namelijk ook nog de vraag: kan de Minister toezeggen de Europese
Commissie aan te sporen om in de Europese inventarisatie over toegangsmogelijkheden
het versleuteld bewijs en het recht op onaantastbaarheid van digitale communicatie
mee te nemen? Ik heb zojuist toegelicht dat er geen sprake is van onaantastbaarheid.
Dat niet. Indien de wijziging van de Grondwet wordt aangenomen, is het mogelijk om
bij wet beperkingen van dit recht mogelijk te maken, zoals ik net zei: met machtiging
van de rechter. Dat was die hele juridische tekst. Voor geïnformeerde besluitvorming
te zijner tijd denk ik dat het goed is om verschillende mogelijkheden te beoordelen.
Om deze reden is het belangrijk dat we de inventarisatie van de voor- en nadelen van
rechtmatige toegang tot bewijs niet beperken. Er wordt dus nu een onderzoek gedaan
in Europa. Wij doen hier in Nederland ook onderzoek. Je hebt end-to-endencryptie.
We kijken daarbij wat de voor- en nadelen ervan zijn als je daar rechtmatige toegang
op zou willen organiseren. Ik denk dat ik inmiddels niet de voor- en nadelen ervan
ken, maar wel de voors en tegens. Ik weet dat er partijen zijn die zeggen: daar moet
je gewoon niet aankomen. Er zijn ook partijen die zeggen: dat moet je wel inbouwen,
want dat kan nuttig zijn. Juist omdat het zo complex is, hebben we gezegd: we gaan
dit onderzoeken; we maken pas op de plaats. Dat is ook een duidelijke wens van de
Kamer. Dat is ook precies hoe het vorige kabinet en dit kabinet het hebben ingericht.
Bij de beoordeling straks worden al deze zwaarwegende belangen ook gewoon meegenomen,
vandaar dat ik er nu heel veel woorden voor nodig heb. Ik wil mij aan geen enkele
kant vastzetten, omdat we er pas met elkaar naar kunnen kijken als alles op tafel
ligt, waaronder de feiten. Als het nodig is, kunnen we er daarna ook nog politiek
van maken, maar laten we eerst maar eens kijken wat uit die onderzoeken komt. Ook
moeten we kijken naar de geldende wet- en regelgeving. Dat spreekt voor zich.

Volgens mij was er ook nog gevraagd of de vragen van de VVD en D66 beantwoord konden
worden. Ik meen dat die gisteren zijn beantwoord. Die antwoorden heeft u dus al binnen
of komen nog binnen. Excuus van mijn kant dat dat niet veel eerder is gebeurd. Ik
hoor dat u ze gezien heeft. Ze zijn in ieder geval gisteren verzonden.

Dan had ik nog een vraag die vooral van het CDA en de PvdA kwam, over de belangenafweging
tussen fundamentele rechten. Ik noem opsporing en cybersecurity, en het wel of niet
bestaan van een tegenstelling tussen privacy en veiligheid. Ik heb dit inderdaad in
een van onze eerste kennismakingen – ik heb nog niet met iedereen in dit verband kennis
kunnen maken, maar wel met mevrouw Kathmann – aangegeven dat ik dat een hele ouderwetse
houding vind, alsof privacy en veiligheid tegenover elkaar zouden staan. Daar geloof
ik gewoon niet in. Dat is niet zo. Feit is wel dat we binnen alle waarborgen die we
hebben, zien dat criminelen daar misbruik van maken. Dus hoe kun je zaken nou zo optuigen
dat je niet met je handen op de rug staat en ook de goeden onder ons niet te veel
belast met alles wat je vervolgens vanuit de veiligheidshoek zou willen doen? Ik denk
dat dat een terugkerend thema wordt in heel veel commissies en heel veel debatten,
ook in deze commissie en ook in dit verband. We zullen die onderzoeken straks zien.
Daar kan ik nu nog allerlei filosofische dingen over zeggen, maar daar heeft u niks
aan. Dan gebruik ik alleen maar meer woorden voor: we gaan straks kijken wat dit allemaal
oplevert.

Maar uiteindelijk willen we wel echt kunnen optreden, of dat nou tegen de hackers
is, de georganiseerde misdaad, de georganiseerde criminaliteit of de terroristen.
Dan zul je ook bereid moeten zijn om op dat gebied stappen te zetten. Dat betekent
ook dat je ruimte gaat inbouwen. Nu heb ik het niet meer specifiek over end-to-end,
maar veel breder over veiligheid. We gaan namelijk zien wat er uit het onderzoek naar
end-to-end komt. Je moet ruimte gaan inbouwen voor onze veiligheidsdiensten en voor
de inlichtingendiensten om die criminelen voor te zijn. Als je die ruimte niet inbouwt,
dan ga je ze nooit voor kunnen zijn. Zo simpel is het.

Dat betekent dat er af en toe politiek ingewikkelde afwegingen zijn, maar ik geloof
wel dat we die moeten nemen en moeten maken en dat we het debat aan moeten gaan. Als
privacy tegenover veiligheid blijft staan en we doen alsof dat tegengestelde belangen
zijn, dan doen we onszelf namelijk behoorlijk tekort. Dan gunnen we degenen die ons
kwaad willen doen wel heel veel extra ruimte. Daar ben ik echt van overtuigd. Dat
zie je nu ook echt gebeuren. Dat is ook de reden waarom ik de komende tijd een aantal
keren met wetgeving, grondslagen, dat soort elementen naar uw Kamer terug zal komen.
Het is terecht dat u dan vraagt: waarom is dit echt nodig? Maar als we dat duidelijk
kunnen laten zien – anders moeten we ook niet naar de Kamer komen – dan hoop ik daarvoor
wel ruimte te krijgen. Hetgeen tegenover ons staat, is namelijk niet fictief.

Dan ben ik bij het blokje overig.

De voorzitter:

Mag ik nog één aanvullende vraag stellen? Ik zie mevrouw Kathmann ook nog. Kan het
zijn dat naarmate dit onderzoek vordert ... We hebben natuurlijk ook kwantumcomputers
die inmiddels al daar zijn, albeit niet overal. Kan dat nog van invloed zijn op de
keuze of, nou ja, op de discussie?

Minister Yeşilgöz-Zegerius:

Dat hangt ook een beetje van de snelheid van die ontwikkelingen af en van dat soort
elementen, maar daar wordt absoluut naar gekeken. Mevrouw Van Weerdenburg heeft daar
natuurlijk helemaal gelijk in. Terwijl je iets aan het onderzoeken bent en afwegingen
op tafel aan het brengen bent met betrekking tot de voor- en nadelen, word je ingehaald
door technologische ontwikkelingen. Dat is ook wat dit vakgebied zo leuk en spannend
maakt. Dus op het moment dat dat echt moet worden meegewogen, dan nemen we het mee.
Ik kan niet beloven dat dat al volledig in het onderzoek van de Commissie meegenomen
is, maar dat is dan wel iets voor ons om hier ook weer op tafel te leggen.

Mevrouw Kathmann (PvdA):

Mijn diepe reflectie ging eigenlijk ook over het volgende. Juist op het moment dat
de Minister komt met een vraag om meer toegang of een wettelijke grondslag, zodat
er in het kader van de veiligheid meer mogelijk is, dan mis ik vaak de discussie hoe
het zit met de waarborgen die daarbij horen. We bespreken vaak het stuk: we hebben
gewoon in het kader van de veiligheid die juridische grondslag nodig. En dan bespreken
we los het stuk: met de toezichthouders en de waarborgen van die grondslag zit het
zo. Ik zou zo graag willen – anders doen we onszelf tekort – dat we dat in één pakket
doen. Anders blijven we steeds als er een nieuwe wettelijke grondslag voorbijkomt
in deze commissie maar hangen in «degene die de wettelijke grondslag geen groen vinkje
wil geven, is tegen veiligheid» en «degene die dat wel wil doen, heeft lak aan de
privacy». Daarom is het ook zo'n integraal vraagstuk. Dat mis ik. Ik hoop dus dat
we een manier kunnen vinden dat we, als de Minister komt met een vraag voor een wettelijke
grondslag, in één brok het hele bakje van waarborgen waarin het valt, kunnen bespreken.

Minister Yeşilgöz-Zegerius:

Dat deel ik wel. Daar zal ik dus vanuit mijn rol mijn best voor doen. Daar heb ik
wel de hulp van de Kamer bij nodig, ook om de debatten vervolgens op die manier te
kunnen voeren. Nu nemen ik en mevrouw Kathmann allebei een voorschot op wat wel of
niet gaat komen, maar we weten volgens mij allebei vanuit het verleden waarom het
wel goed is als we het gesprek op tijd hebben en niet op het moment dat het allemaal
al op tafel ligt. Vanuit mijn rol zal ik dat dus zeker inbrengen. Maar help me, of
het nou iemand is die zegt «ik vind het heel goed dat dit gebeurt» of «dit gaat gewoon
te ver». Waarom doen we dit? Waarom ligt het op tafel? Wat is het nut? Wat is de noodzaak?
Wat is de urgentie? Dan is het aan ons om dat goed te verwoorden. Hoe kan het dan
wel goed vanuit die urgentie? Dat is primair ons werk. We zijn heel druk bezig met
alle elementen die gaan komen binnen die waarborgen. Maar mocht het als niet genoeg
of als te weinig worden ervaren, denk dan ook met ons mee. Dat is namelijk waar je
anders in terechtkomt. Dan is het namelijk heel erg polariserend tegenover elkaar.
Dan is het gewoon een ja of een nee. Dan komt het er eigenlijk op neer dat wij heel
erg met elkaar bezig zijn en dat degenen tegenover wie we staan, voor wie die wetgeving
nodig is, gewoon zijn goddelijke gang kan gaan. Dat is de frustratie die ik ook deel.
Vanuit mijn rol zal ik daar dus mijn best voor doen, maar ik weet nu al dat ik de
Kamer daarbij nodig ga hebben, van welke partij men dan ook komt of aan welke kant
men dan ook staat. Het liefst is er natuurlijk geen kant, maar doen we het gewoon
samen. Maar dat heb ik wel nodig.

De voorzitter:

Helder. Bent u al toe aan het blokje overig?

Minister Yeşilgöz-Zegerius:

Zeker. Daar ben ik. Mevrouw Rajkowksi had een vraag over de ABDO. Zij had het over
een plan voor de Algemene Beveiligingseisen voor Defensieopdrachten, voor de gehele
rijksoverheid. Het is goed om te zeggen dat mevrouw Rajkowski vier belangrijke punten
had waarvan ze zei: ik zou het mooi vinden als ze in de strategie landen. Ik ga die
afzonderlijk benoemen en behandelen. Zoals ik aan het begin van mijn betoog al zei,
past het naadloos bij hoe er naar de strategie wordt gekeken door mijn departement
en door alle collega's. Die zullen daar dus in landen. Ik zal daar nu kort op ingaan,
maar die zullen er allemaal in terugkomen.

Veilige inkoop en aanbesteding heeft uiteraard de volle aandacht van het kabinet.
Ten aanzien van de nationale veiligheidsrisico's geldt daarom dat eind 2018 verscherpt
inkoop- en aanbestedingsbeleid geldt. Daarbij is opgenomen dat bij inkoop en aanbesteding
mogelijke risico's voor de nationale veiligheid per inkoopopdracht worden meegenomen.
Daarbij is een instrument ontwikkeld waarmee informatiebeveiligingseisen rond ICT-aankoop
en -aanbestedingen geformuleerd kunnen worden ten behoeve van het contract. Een regeling
voor de gehele rijksoverheid, analoog aan de ABDO, kan helpen deze inzet op veilige
inkoop verder te versterken. Dit zal ik ook opnemen met mijn collega van BZK. Wij
zullen dat onderzoeken en daarop komen we terug in het najaar.

Mevrouw Van Ginneken vroeg: waarom is het nationaal coördinatiecentrum voor cybersecurity,
kennis en innovatie van het Ministerie van EZK niet ondergebracht bij NCSC of het
Digital Trust Center? Het nationaal coördinatiecentrum voor cybersecurity, kennis
en innovatie is onderdeel van het Europese netwerk van zogenaamde Cybersecurity Competence
Centres. Het coördinatiecentrum gaat onder meer Europese onderzoekfondsen, zoals Digital
Europe, in Nederland verdelen. Bij deze fondsen kunnen bedrijven en overheidsorganisaties
onderzoeksvoorstellen indienen voor subsidie. En om deze reden, dus om belangenverstrengeling
te voorkomen, is het van belang dat het centrum zelfstandig van andere partijen wordt
gepositioneerd. Dat heeft dus een heel feitelijke reden: we willen geen belangenverstrengeling.

De PvdA heeft een vraag gesteld over de proeftuin in Roermond. Het is wellicht goed
om iets over de proeftuin zelf te zeggen. Dit loopt al heel lang. Ik zei net tegen
de collega's: hé, hier was ik als woordvoerder veiligheid ook al mee bezig toen ik
Kamerlid was. Dit komt hier dan weer terug. In Roermond was er een samenwerkingsverband
van de politie, het Openbaar Ministerie en de gemeente. De focus lag op het tegengaan
van mobiel banditisme in de vorm van winkeldiefstal en zakkenrollerij in het winkelgebied
van de Designer Outlet Roermond. De politie maakte daarbij gebruik van een netwerk
van ANPR-camera's met een achterliggend algoritme, op basis van kenmerken van de in
het lokaal veiligheidsbeeld beschreven werkwijze van de internationale dadergroep
die in Roermond verantwoordelijk was voor mobiel banditisme. Als een voertuig dat
langs de ANPR-camera's reed in voldoende mate voldeed aan de kenmerken van de dadergroep,
was er sprake van een hit, waarna opvolging door een politie-eenheid ter plaatste
volgde. De politie gebruikte daar als kenmerken onder meer bepaalde merken of typen
auto's. Daarbij ging het met name over Duitse merken. De nationaliteit van het kenteken
was ook een kenmerk, namelijk Roemeens, Bulgaars of Brits. Ook werd gelet op de gereden
route, bijvoorbeeld vanaf de grens richting de Designer Outlet.

In de Kamerbrief die nu op de agenda staat, geeft mijn ambtsvoorganger aan dat de
aanpak die in de proeftuin is gehanteerd, in principe binnen de grenzen van de wet
valt. Maar de proeftuin is inmiddels wel gestopt. De proeftuin kwam in 2020 stil te
liggen omdat er onvoldoende politiecapaciteit was om de hits op te volgen, én omdat
vanwege de coronamaatregelen het criminaliteitsbeeld veranderde. Daarmee verdween
het doel van de gegevensverwerking. En als je niets met de verzamelde gegevens gaat
doen en je dat vooraf al weet, is de verwerking niet proportioneel en mag je de gegevens
dus gewoon niet meer verzamelen. De verzamelde gegevens zijn dan ook direct verwijderd
toen de proeftuin stil kwam te liggen.

Hoewel de proeftuin door het gebrek aan opvolgcapaciteit en door het veranderde criminaliteitsbeeld
maar zeer beperkt tot uitvoering is gebracht, is de operationele toegevoegde waarde
niet geëvalueerd. Toch heeft de proeftuin wel heel veel kennis opgeleverd over de
technische mogelijkheden van sensortechnologie, over de juridische mogelijkheden en
onmogelijkheden, en over ethische vraagstukken die met het gebruik van sensortechnologie
worden geadresseerd. Zo wordt over ethische vraagstukken bijvoorbeeld meegenomen dat
het goed is om bij dergelijke projecten voorafgaand een ethische toets uit te laten
voeren. Dus de proeftuin is gestopt vanwege de net genoemde redenen, en we hebben
er ook nog lessen voor de toekomst van geleerd. Als je zoiets weer zou willen doen,
moet je bijvoorbeeld vooraf zo'n toets doen. Wat mij betreft moet je er ook vooraf
op die manier goed over communiceren, zodat je niet achteraf op die manier een discussie
krijgt.

Mevrouw Kathmann (PvdA):

Mijn vraag was eigenlijk of alle soortgelijke proeftuinen zijn gestopt. Want dat deze
proeftuin in Roermond gestopt is, was inderdaad duidelijk. Ik vroeg ook om een soort
concrete lijst met waarborgen die je stelt voordat je zo'n proeftuin inricht. Ik ben
heel blij met het voorschot van de Minister in haar antwoord, over die toets vooraf.
Maar mijn vraag is dus concreet: kan er een lijst opgeleverd worden met concrete waarborgen,
waarborgen waaraan moet worden voldaan voordat zo'n proeftuin wordt ingericht? En
ik wil dat alle proeftuinen worden gestopt totdat er zo'n lijst met waarborgen is.

Minister Yeşilgöz-Zegerius:

Ik heb er geen beeld van welke proeftuinen er op dit moment allemaal zouden zijn.
Maar zoals gezegd: het standpunt hierbij is wel dat het binnen de kaders van de wet
moet vallen als je zo'n proeftuin begint, en dat wat je daarna ophaalt ook proportioneel
is. De grenzen van de wet die ons zijn meegegeven, zijn je waarborgen. En zodra er
niet voldoende politiecapaciteit is om het op te volgen, is het meteen al niet meer
proportioneel. Want dan verzamel je gegevens om het verzamelen en dat kan niet. Dus
ik denk dat die waarborgen er juist wel zijn. Het feit dat we er direct mee zijn gestopt
toen we er niet meer aan voldeden, laat dat ook zien. Maar die toetsen worden altijd
vooraf gedaan. En als mevrouw Kathmann dat waardeert, kan ik natuurlijk wel op papier
zetten wat dan zo'n afweging is. Wat zijn de proportionaliteitsafwegingen en welke
andere elementen worden daarin allemaal meegewogen? Maar die zijn er, want dat is
de wet. Wij moeten ons aan de wet houden. En «wij» bedoel ik hier heel breed; ik speek
nu namens de politie.

Mevrouw Kathmann (PvdA):

Volgens mij zijn dat ethische vraagstuk en die toets niet van tevoren meegenomen.
Want de Minister zegt: we hebben er nou juist van geleerd en dat gaan we vanaf nu
doen. Ook bij de waarborgen die ik bedoel, hoort zo'n ethische toets. De Minister
is van mening dat er binnen de wet is geopereerd. De Partij van de Arbeid is dat helemaal
niet van mening. Er wordt gesuggereerd dat er alleen maar aan ANPR-technologie wordt
gedaan, maar er wordt gewoon aan profilering gedaan. Er worden profielen opgebouwd.
Die profielen worden een jaar bewaard. Dat is heel iets anders dan ANPR, waarmee je
een nummerbord leest op het moment dat er iets aan de hand is en je echt op zoek bent
naar een specifieke dader. Dat zijn heel verschillende dingen. Ik vond de manier van
corresponderen over Amnesty International ook echt gebrekkig en van een heel laag
niveau, maar ik denk dat dit misschien niet het moment is om daarover te discussiëren.
Ik stel mijn vraag dus nogmaals. Ik wil weten bij welke proeftuinen die nog lopen
die ethische toets nog niet is gedaan. Kan er ook een lijst komen met waarborgen,
zodat we erop kunnen rekenen dat, als er ooit nog proeftuinen worden ingericht, dat
in ieder geval binnen de wet gebeurt?

Minister Yeşilgöz-Zegerius:

We kunnen van mening verschillen. Dat staat eenieder vrij. Maar ik ga niet mee in
het frame dat het niet binnen de wet is geweest. Daarover heb ik een heel duidelijk
standpunt. Ik zei wel – dat ben ik volledig met mevrouw Kathmann eens – dat je aan
de voorkant goed moet communiceren. Dat is een van de elementen die de politie actief
heeft opgepakt en heeft geleerd. Dat past wel in waar mevrouw Kathmann denk ik naar
op zoek is: je moet vooraf laten zien welke afwegingen er zijn gemaakt en welke kaders
er zijn gevolgd om aan zoiets te beginnen. Dat zijn juridische en ethische afwegingen.
De politie is, ook als het gaat over de inzet van sensortechnologie, heel kritisch
aan het bekijken hoe je kunt laten zien met welke afwegingen je dat doet. Natuurlijk
zal ik bij de politie opvragen of ze daar nu al iets over kunnen melden. Ik zal daar
dus op terugkomen. Als dat al kan, stuur ik dat toe. Ik zal die brief sowieso sturen.
Als de kaders en de formulering vooraf nog in ontwikkeling zijn, laat ik dat ook weten.
Als een en ander er al is, deel ik dat. Ik wil er nog wel bij zeggen dat ik niet uitsluit
dat er in proeftuinen of whatever instrumenten worden gebruikt om achter grootschalige
criminele activiteiten te komen en daar proactief op te kunnen acteren waarvan we
wellicht nog steeds van inzicht verschillen over of dat wenselijk is of niet. Maar
zolang het binnen de wet gebeurt en er vanwege de veiligheid wordt aangegeven dat
het nodig is, zal ik daarvoor staan. Daarover kunnen we politiek dus wellicht van
mening verschillen. Maar ik ben het met mevrouw Kathmann eens dat je aan de voorkant
moet weten wat de kaders zijn. Die zijn volgens mij helder. Ze worden nog meer verhelderd
door de politie, omdat ze zelf ook zagen dat je dat aan de voorkant beter moet communiceren.
Ik kom dus met een brief. Ik heb nu al iets meer toelichting gegeven over wat er wel
en niet in kan staan, maar ik hoop dat mevrouw Kathmann begrijpt dat ik even moet
ophalen wat er allemaal wel of niet over is uitgezocht. Maar ik begrijp waar zij naar
op zoek is, dus daar gaan wij achteraan.

De voorzitter:

Dank u wel. Daarbij wil ik ook opmerken dat we met de collega's ervoor moeten waken
dat we niet al te veel op het terrein van de vaste commissie voor Justitie komen,
want niet iedereen hier aanwezig is tevens woordvoerder op dat onderwerp. We kunnen
door naar het volgende punt.

Minister Yeşilgöz-Zegerius:

Ja, helder, voorzitter. Ik zal ervoor zorgen dat ik in de brief met name inga op de
pilot en de sensortechnologie, want dat ligt wel heel erg hier. Ik denk dat dat het
dichtste komt bij waar mevrouw Kathmann nu naar op zoek is. Als er andere elementen
zijn, kan die brief ook in de andere commissie geagendeerd worden. Dan doen we dat
zo.

Er is nog gevraagd naar de bewustwording bij consumenten over slimme apparaten. Hartstikke
mooi dat ik de heer Bontenbal in een andere commissie toch weer tegenkom. Hij stelt
mooie vragen, die óók bij Economische Zaken en Klimaat thuishoren: híér en dáár. Over
de bewustwording bij consumenten voert de Minister van EZK de publiekscampagne «Doe
je updates» uit. Terwijl ik dit uitspreek, denk ik: dat zou ik thuis ook moeten doen.
Daar ga ik dus ook mee aan de slag. Daarnaast kunnen burgers voor informatie en advies
altijd terecht op veiliginternetten.nl. Die website heeft jaarlijks circa 1 miljoen
unieke bezoekers, dus er is geloof ik wel heel veel behoefte aan om daarop te bekijken
wat je kunt doen. Ik denk dat het goed is als wij daar in al onze verschillende rollen
aandacht aan blijven besteden, voor alle kijkers thuis. Dat doet mijn collega van
EZK dus ook.

Ik heb nog twee vragen liggen. De heer Bontenbal vroeg wat de concrete doelen van
de Roadmap Digitaal Veilige Hard- en Software zijn en hoe die wordt geëvalueerd. Het
doel is om het algehele niveau van de cybersecurity van ICT-producten en -diensten
en het internet of things te verhogen. Het is een complex en grensoverschrijdend vraagstuk
waarvoor een mix aan maatregelen nodig is, variërend van bewustwording van gebruikers
tot certificering en wettelijke maatregelen in de EU. Die roadmap wordt momenteel
geëvalueerd door een extern onderzoeksbureau. U zult dit rapport voor de zomer ontvangen.
De resultaten worden door de Minister van Economische Zaken en Klimaat meegenomen
in de nieuwe Nederlandse cybersecuritystrategie, die we uiteraard gezamenlijk opstellen.
Dus dat komt voor de zomer.

Dan heb ik als laatste de vraag van mevrouw Van Weerdenburg over de Kwetsbaarheden
Analyse Tool. Het gaat over een brief van VWS. Die is gerealiseerd in tijden van de
coronacrisis. Dat lijkt onwijs lang geleden, maar dat valt wel mee. Toen is de noodzaak
hoog gebleken om snel en betrouwbaar voor de bestrijding van de pandemie ontwikkelde
digitale hulpmiddelen op het juiste beveiligingsniveau te kunnen brengen en te houden.
Dat gaat bijvoorbeeld over de voortdurende monitoring van het CoronaCheck-stelsel.

Voorzitter. Die Kwetsbaarheden Analyse Tool wordt op dit moment specifiek toegepast
op het zorgdomein, zoals mevrouw Van Weerdenburg al aangaf. We delen dit soort best
practices ook. Volgens mij vroeg mevrouw Van Weerdenburg concreet of andere collega's
of instellingen dit ook doen. Dus je deelt dit soort best practices met de collega's,
met andere departementen, met andere sectoren om te kijken of er elementen in zitten
die ook specifiek voor jou van toepassing zijn. Op die manier wordt dat in die zin
breder opgepakt of uitgezet.

De voorzitter:

Dank voor dat antwoord. Ik begreep uit de brief dat er een aanbod was om de Tweede
Kamer te scannen met die tool, dat dit ook daadwerkelijk gebeurd is en dat daar gelukkig
niks gruwelijks uit kwam. Mijn vraag was: zijn er ook ministeries gescand? Ik geloof
dat het ook de bedoeling was dat die tool in de eerste helft van dit jaar als open
source beschikbaar zou komen. Ik denk dat het daarmee dan ook voor andere ministeries
beschikbaar is. Ik vroeg me meer af of er een bepaalde taskforce of een initiatief
of wat dan ook is om de rest van de ministeries ook te scannen.

Minister Yeşilgöz-Zegerius:

Ik kom er zo in tweede termijn even op terug. Dan weet ik of ik er nog iets explicieters
over kan zeggen.

De voorzitter:

Dank. Dan kijk ik even naar de overige leden. Mevrouw Rajkowski heeft nog een vraag.

Mevrouw Rajkowski (VVD):

Ik mis nog – of ik heb ’m gemist – punt drie van de vier punten, over de ISIDOOR-oefeningen.

Minister Yeşilgöz-Zegerius:

Ja, die heb ik. Dat is waar. Daar heeft mevrouw Rajkowski helemaal gelijk in. Ze vroeg:
oefenen is heel goed, dus kan dat niet vaker?

Mevrouw Rajkowski (VVD):

En integraal.

Minister Yeşilgöz-Zegerius:

Ja, integraal en vaker. Ik ben het in essentie eens dat vaker ook goed zou zijn. Er
zitten wel twee kanttekeningen bij, waardoor je niet zomaar «ja, dat gaan we doen»
kunt zeggen. Ten eerste heeft het te maken met capaciteit. Je moet ook zorgen dat
je het waar kunt maken. Vanuit de experts werd ook benadrukt dat je tijd nodig hebt
om te leren van zo'n oefening. Dus dat vraagt ook tijd. In essentie geldt dus dat
als het vaker kan en moet, je dat ook moet doen. Daar hebben we dus vol aandacht voor.
Maar dat is om deze twee redenen niet altijd opportuun of mogelijk. Integraal, cross-sectoraal,
is sowieso waar we naartoe bewegen. In de volgende oefening zal daar ook meer aandacht
voor zijn. Dat moet je op die manier ook steeds meer uitbouwen. Ook dit element komt
weer terug in de strategie.

Mevrouw Rajkowski (VVD):

Heb ik ’m dan zo goed gehoord? Die ISIDOOR-oefeningen zijn natuurlijk supergoed. Heel
veel organisaties doen mee. Maar die oefeningen zijn zo gericht op de digitale wereld,
dat ik denk: zo werkt het natuurlijk eigenlijk niet. Hoor ik hier dan de toezegging
dat een volgende ISIDOOR-oefening veel meer die verbondenheid en verwevenheid met
de fysieke wereld heeft?

Minister Yeşilgöz-Zegerius:

Ja, daar wordt steeds meer die samenhang in gezocht, precies om de reden die mevrouw
Rajkowski aangeeft: het is al zo breed dus in één keer zeggen «het is echt volledig
integraal en het sluit volledig op elkaar aan» is een te grote stap. Maar daar wordt
steeds meer die samenhang in gezocht, omdat de meerwaarde daarvan absoluut wordt gezien.

De voorzitter:

Tot slot, mevrouw Rajkowski.

Mevrouw Rajkowski (VVD):

Nog een kleine aanvulling dan. Wij krijgen altijd informatie als een ISIDOOR-oefening
is geweest, vaak wat op hoofdlijnen. Dat begrijp ik ook. Zou daar ook kunnen worden
ingegaan op wat er nieuw was of wat er geoefend is?

Minister Yeşilgöz-Zegerius:

Yes.

De voorzitter:

Dank u wel. Dan kijk ik even naar links om te zien of er behoefte is aan een tweede
termijn. Ik zie: nee, nee en ja. Oké, dan doen we een korte tweede termijn. Zullen
we even pauze houden?

Minister Yeşilgöz-Zegerius:

Ja graag, want ik heb een aantal dingen naar de tweede termijn doorverwezen. Als ik
een paar minuten krijg, dan kan ik de antwoorden even bekijken en zo gericht mogelijk
reageren.

De voorzitter:

Dan schors ik de vergadering vijf minuten.

De vergadering wordt van 15.44 uur tot 15.48 uur geschorst.

De voorzitter:

Aan de orde is de tweede termijn. Ik geef het woord aan mevrouw Rajkowski.

Mevrouw Rajkowski (VVD):

Dank, voorzitter. Dank ook voor de uitgebreide beantwoording. Ik denk dat de conclusie
van de beantwoording van de Minister een beetje is dat wij de cybersecuritystrategie
allemaal heel goed gaan lezen. Ik denk ook dat we daar heel veel zin in hebben, als
ik kijk naar wat voor mooie punten daar allemaal in gaan komen.

Ik wilde ook nog even een soort side note maken. Ik vond het ook mooi om aan het begin
te horen dat verschillende ministeries achter de schermen aan het samenwerken zijn
om deze vragen te beantwoorden. Zo gaan we het varkentje van de cybersecurity volgens
mij wel wassen. Complimenten ervoor dat er achter de schermen wordt samengewerkt.

Dank ook ervoor dat die vier punten gaan terugkomen, met name het punt over de hackers
die op de sanctielijsten komen te staan. Daar kijken wij reikhalzend naar uit.

Ik had nog één zorg. Die gaat over het sneller en specifieker delen van dreigingsinformatie
door het DTC. Volgens mij omarmen we allemaal dat dat belangrijk is, maar ik zou toch
nog iets meer comfort willen krijgen van de Minister in die zin dat zij zegt dat dit
belangrijk is en dat daar snel oplossingen voor moeten komen naar de Kamer. Misschien
kunnen we daarover extra geïnformeerd worden. Graag een reactie van de Minister.

De voorzitter:

Dank u wel. Het woord is aan mevrouw Van Ginneken.

Mevrouw Van Ginneken (D66):

Dank, voorzitter in de eerste plaats. In de tweede plaats dank aan de Minister voor
de uitgebreide beantwoording. Het is fijn dat we met ruimhartige interrupties tot
een goed gesprek zijn gekomen. Net als collega Rajkowski kijk ik ook naar de nu al
enigmatische nieuwe cyberstrategie die de Minister voor de zomer naar ons toe gaat
sturen. Ik ben erg benieuwd welke oplossingen er komen. Ik ben blij dat we dezelfde
kant opkijken en dat we versnippering terugdringen.

Ik ben ook blij met de toezegging van de Minister dat daarin te lezen gaat zijn wat
we wel en wat we niet kunnen doen met de beschikbare middelen. Dan kunnen we daar
een goed gesprek over voeren met elkaar.

Ik wil nog even twee punten aanstippen. Ten eerste encryptie. De Minister heeft aangegeven
dat de onaantastbaarheid van de vertrouwelijkheid niet absoluut is. Dat is natuurlijk
zo. Ik ben blij om te horen dat de Minister proportionaliteit als belangrijk criterium
daaraan koppelt. D66 kan zich niet voorstellen hoe een generieke achterdeur proportioneel
is, maar ik wacht de resultaten van het onderzoek van de Minister af.

Tot slot, voorzitter. We hebben gesproken over de vraag of we niet meer moeten doen
om bedrijven weerbaarder te maken tegen de sowieso toenemende dreiging en de eventueel
aanvullende dreiging vanwege de situatie in Oekraïne en de rol van Rusland. Ik ben
niet helemaal tevreden met het antwoord van de Minister, want zij zegt: we organiseren
webinars, we bereiken de mensen die toch al ontvankelijk zijn. Ook ben ik niet helemaal
tevreden over de reactie van de Minister op mijn oproep tot het stimuleren van patchbrigades.
Ik ga ook nog even kijken naar de antwoorden die de Minister heeft gegeven op de schriftelijke
vragen over encryptie. Dat vergat ik nog te zeggen. Vanwege die twee losse eindjes
zou ik heel graag een tweeminutendebat willen aanvragen.

De voorzitter:

Dank u wel. De Minister kan gelijk antwoorden in tweede termijn.

Minister Yeşilgöz-Zegerius:

Veel dank. Veel dank ook voor de aankondiging van wat ik kan verwachten in het tweeminutendebat,
maar ook voor de woorden. Wellicht ga ik maar even meteen concreet in op de vragen
die ik nog had staan en de nieuwe vragen. Ik heb het helemaal eens met mevrouw Rajkowski.
Wij moeten snel kunnen handelen vanuit de diensten die wij hebben, zoals DTC. Het
is gewoon ontzettend belangrijk om ervoor te zorgen dat de informatie op de juiste
manier belandt waar die moet belanden. Wij zullen daar absoluut alle aandacht aan
besteden en er alles aan doen om dat goed op orde te krijgen. Als dat wenselijk of
nodig is, kunnen we daar bijvoorbeeld ook technische briefings over organiseren. Wij
kunnen daarover dus ook wel meer aanbieden. Dat zijn dus twee zaken. Er is altijd
meer informatie mogelijk. Dat kan via een technische briefing. Daar kan de Kamer altijd
om verzoeken. Bovendien zullen wij in als ons werk alles op alles zetten om dat goed
te regelen. Dat was die vraag.

Dan ga ik het rijtje af van de vragen die ik nog binnen heb gekregen en de vragen
die nog openstonden. De heer Bontenbal vroeg wat voor soort bedrijven bij DTC zijn
aangesloten op de informatiediensten over de kwetsbaarheden en de digitale dreigingen.
Er doen grote en kleine bedrijven mee aan de pilot over het notificeren van het Digital
Trust Center en het Nationaal Cyber Security Centrum. Zij komen uit negen sectoren,
zoals bouw, transport en media. Het is dus erg divers. Over de bedrijven die ongevraagd
zijn geïnformeerd door het DTC, is op dit moment geen informatie voorhanden. De Minister
van EZK zal uw Kamer voor de zomer een brief sturen over dit onderwerp. Daar zal ook
de voortgang van de informatiedienst van het DTC in staan, dus er komt ook daarover
meer informatie aan.

Volgens mij had mevrouw Rajkowski nog een vraag of mkb-bedrijven ook verplichtingen
krijgen met betrekking tot cybersecurity als er sprake is van een maatschappelijk
risico, bijvoorbeeld in de haven. Dat was een specifiek voorbeeld binnen de vraag
naar mainports en de keurmerken, geloof ik. Op dit moment gelden inderdaad wettelijke
verplichtingen voor bedrijven die aangewezen zijn als aanbieder van een essentiële
dienst onder de Wet beveiliging netwerk- en informatiesystemen. Zoals ik al eerder
aangaf, worden deze verplichtingen de komende jaren uitgebreid naar een groter aantal
bedrijven en sectoren. We zullen bij de implementatie goed moeten blijven kijken of
alle bedrijven waarvoor dit op basis van risicobeoordelingen noodzakelijk is, binnen
de reikwijdte van deze wet vallen. We willen natuurlijk dat alle bedrijven die hieronder
moeten vallen, eronder vallen, maar je moet het ook verder waar kunnen maken en het
moet ook logisch zijn dat een bedrijf eronder valt. Daar is dus ook alle aandacht
voor.

Ik was nog een antwoord verschuldigd ...

Mevrouw Rajkowski (VVD):

Dat klinkt heel compleet. Dat is inderdaad onder andere de Europese NIS 2-richtlijn,
die ook in Nederland gaat gelden. Alleen duurt het nog even voordat al die regels
ook in Nederland gaan gelden. Cybercriminelen gaan niet op die regels wachten, dus
dat moeten wij eigenlijk ook niet doen. Zijn er al stappen die genomen kunnen worden?
Dat kan meegenomen worden in de cybersecuritystrategie. Dat is voor mij prima, want
die komt snel. Zijn er nog stappen die wij kunnen zetten, zodat wij niet wachten op
wat er uit Europa komt en wij nu al weerbaarder zijn?

Minister Yeşilgöz-Zegerius:

We staan niet stil. Het zal niet voor alle bedrijven gelden, dus je neemt nu al stappen
om te kijken hoe je nog beter kan samenwerken en hoe je kan zorgen dat je een sluitende
aanpak met elkaar organiseert. Dat doen we bijvoorbeeld in de Rotterdamse haven via
het project FERM, waarbij bedrijven binnen de haven samenwerken aan het verbeteren
van hun cybersecurity. Dat betekent dus dat er ook hard wordt gewerkt aan het stimuleren
van weerbaarheid binnen ketens, en niet alleen bij individuele bedrijven of wat je,
even in mijn woorden, zou afdwingen met Europese regelgeving. Dus dat wordt zeker
meegenomen ... Dat wordt al gedaan. Dat wordt niet meegenomen, maar dat wordt al gedaan.
Dat kunnen we meenemen in de strategie; dat wilde ik eigenlijk nog toevoegen.

Mevrouw Rajkowski (VVD):

Een kleine toevoeging, want FERM is inderdaad een heel goed initiatief, maar je ziet
ook dat juist degenen in de Rotterdamse haven die daarbij zijn aangesloten, vaak al
best veel aandacht voor hun cybersecurity hebben. Ik vind het juist interessant om
te kijken naar kleinere bedrijfjes. Maar als dit op die manier wordt meegenomen – hoe
kunnen we mensen verleiden om meer bij dit soort initiatieven aan te sluiten? – dan
is dat prima.

Minister Yeşilgöz-Zegerius:

Dan heb ik nog specifiek een aanvulling op de vraag van mevrouw Kathmann over Kaspersky:
waarom niet breder nu al als je kijkt wat er om ons heen gebeurt? De afweging die
we hebben gemaakt, heb ik al toegelicht. Antivirussoftware heeft vergaande systeemrechten
om zijn werk te kunnen doen. Dat is de reden dat er bij misbruik een hele grote veiligheidsdreiging
is. Dat is de reden waarom je daar echt op kunt inzetten. Dat gaat over dreigingen
op het gebied van spionage en dat soort elementen, dus dan heb je een gegronde reden
om te zeggen: dit gaan we uitfaseren en uitsluiten; dit willen we niet. Het ding is
dat besluiten als deze wel voor een rechter moeten standhouden, dus je moet het op
deze manier ook kunnen onderbouwen. Als je dat niet kan onderbouwen, dan kan je dat
niet doen. Ik voel wel mee met mevrouw Kathmann, eerlijk gezegd, dus we hebben net
even doorgevraagd hoe dat dan werkt. Hoe zit het dan, als je met gezond verstand kijkt
naar wat er om je heen gebeurt? Je kunt bedrijven of producten niet uitsluiten – sowieso
niet makkelijk, gelukkig maar – ook niet op basis van wat we nu met elkaar waarnemen.
Dan moet je het echt op deze manier kunnen onderbouwen. Dat kon hier specifiek wel.
Breder, op het moment dat het kan, dan doe je dat, maar als het niet kan, dan kan
je dat dus niet doen. Maar goed, dat dekt om die reden de lading.

Ik kom nog even terug op mevrouw Van Weerdenburg zei over de tool van VWS, zogezegd.
Zij vroeg: is er een of andere taskforce of een plek ergens waar dit bij elkaar komt?
De Staatssecretaris Koninkrijksrelaties en Digitalisering is stelselverantwoordelijk
voor een digitaal veilige rijksoverheid. We hebben de chief information officer-Rijk,
die steeds samen met departementale CIO's kijkt hoe gezocht kan worden naar risico's
en hoe de weerbaarheid daarop verhoogd kan worden. Dat is een continu proces, dus
daar komt het bij elkaar. Als dit iets zou kunnen zijn waarvan we zeggen «dit zijn
best practices; dit kan je breder uitrollen», dan komt het daar bij elkaar. Je zou
het, als je het heel graag wil, een taskforce kunnen noemen. Het is het niet helemaal,
maar het gebeurt daar wel.

De voorzitter:

Toevallig of niet toevallig zitten wij volgende week met haar om de tafel, dus dan
nemen we dat gelijk mee. Dank.

Minister Yeşilgöz-Zegerius:

Ik heb nog een nabrander, want ik heb iets niet goed gezegd. Dat gaat over de Wet
bevordering digitale weerbaarheid bedrijven. Ik heb een aantal wetten door elkaar
gehaald. Deze wet is afgelopen vrijdag naar de Raad van State verzonden, dus het is
niet zo dat de raad daarover al input heeft geleverd. Dat gaat de raad nu vast doen
nadat ik dit heb gezegd. Er zijn heel veel reacties uit de consultatie, waardoor het
proces enigszins vertraagd is. Die twee elementen heb ik door elkaar gehaald.

De voorzitter:

Helder, dank u wel. Dan ga ik nu even de toezeggingen voorlezen.

– Wij hebben de toezegging dat de langverwachte – reikhalzend kijken wij ernaar uit –
Nederlandse cybersecuritystrategie voor de zomer naar de Kamer zal worden verzonden.
Daar zullen ook de investeringen in cybersecurity verder worden toegelicht en uitgewerkt.
Ook een eventuele stelselwijziging zal dan goed uitgelegd worden. Op ons verzoek zal
dat ook op schematische wijze worden weergegeven.

De term «voor de zomer» is altijd een beetje tricky. Kan de Minister iets specifieker
zijn? Is dat vlak voor de zomer? Kunnen wij het nog voor de zomer bespreken?

Minister Yeşilgöz-Zegerius:

Uw inleiding laat zien hoe breed en hoe integraal het is, maar de planning is dat
de cybersecuritystrategie begin juli in de ministerraad ligt. Ik hoop heel erg dat
we dat halen. Het betekent dat de strategie net voor het reces naar uw Kamer zal komen.
Mochten we het niet halen, vanwege het belang en de enorme reikwijdte ervan, dan zal
ik zorgen dat ik dat netjes aankondig in de Kamer. Maar vooralsnog is dit de planning
die haalbaar lijkt.

De voorzitter:

Oké, daar gaat u uw stinkende best voor doen. Duidelijk. Wij duimen mee. Dan is er
een tweede toezegging genoteerd.

– De Minister stuurt een brief over de inzet van sensortechnologie in proeftuinen en
de proportionaliteitsafwegingen en kaders die aan de start van een dergelijk project
worden ingezet om de waarborgen aan de voorkant te toetsen. Dat is een toezegging
aan mevrouw Kathmann.

Verder is er een tweeminutendebat aangevraagd met als eerste spreker mevrouw Van Ginneken.

Volgens mij zijn we er dan nog voor de eindtijd. Complimenten aan alle deelnemers.
De kijkers thuis bedankt voor de aandacht. Graag tot een volgende keer. Ik sluit de
vergadering.

Sluiting 16.01 uur.