Verslag van een wetgevingsoverleg : Verslag van een wetgevingsoverleg, gehouden op 26 september 2022, over wijziging van de Wet beveiliging netwerk- en informatiesystemen in verband met de uitbreiding van de bevoegdheid van de Minister van Justitie en Veiligheid om dreigings- en incidentinformatie over de netwerk- en informatiesystemen van niet-vitale aanbieders te verstrekken aan deze aanbieders en aan organisaties die objectief kenbaar tot taak hebben om andere organisaties of het publiek te informeren over dreigingen en incidenten ten behoeve van deze aanbieders
36 084 Wijziging van de Wet beveiliging netwerk- en informatiesystemen in verband met de uitbreiding van de bevoegdheid van de Minister van Justitie en Veiligheid om dreigings- en incidentinformatie over de netwerk- en informatiesystemen van niet-vitale aanbieders te verstrekken aan deze aanbieders en aan organisaties die objectief kenbaar tot taak hebben om andere organisaties of het publiek te informeren over dreigingen en incidenten ten behoeve van deze aanbieders
Nr. 11
VERSLAG VAN EEN WETGEVINGSOVERLEG
Vastgesteld 12 oktober 2022
De vaste commissie voor Digitale Zaken heeft op 26 september 2022 overleg gevoerd
met mevrouw Yeşilgöz-Zegerius, Minister van Justitie en Veiligheid, over:
– het wetsvoorstel Wijziging van de Wet beveiliging netwerk- en informatiesystemen in
verband met de uitbreiding van de bevoegdheid van de Minister van Justitie en Veiligheid
om dreigings- en incidentinformatie over de netwerk- en informatiesystemen van niet-vitale
aanbieders te verstrekken aan deze aanbieders en aan organisaties die objectief kenbaar
tot taak hebben om andere organisaties of het publiek te informeren over dreigingen
en incidenten ten behoeve van deze aanbieders (Kamerstuk 36 084).
Van dit overleg brengt de commissie bijgaand geredigeerd woordelijk verslag uit.
De voorzitter van de commissie, Kamminga
De griffier van de commissie, Boeve
Voorzitter: Leijten
Griffier: Van Tilburg
Aanwezig zijn vijf leden der Kamer, te weten: Van Ginneken, Koekkoek, Leijten, Rajkowski
en Van Weerdenburg,
en mevrouw Yeşilgöz-Zegerius, Minister van Justitie en Veiligheid.
Aanvang 10.00 uur.
De voorzitter:
Goedemorgen. Ik open dit wetgevingsoverleg van de vaste Kamercommissie voor Digitale
Zaken. We gaan het vandaag hebben over de Wet beveiliging netwerk- en informatiesystemen.
Een wetsbehandeling betekent dat iedereen vrije spreektijden heeft en zoveel ruimte
neemt als hij nodig heeft om de Minister en de regering te bevragen, om een goede
wet met elkaar te maken. We nemen daarvoor dus de tijd. Als ik denk dat een interruptie
of een gedachtewisseling ten einde is, omdat het te lang duurt of omdat alles al gezegd
is, dan zal ik afhameren, maar vooraf stel ik geen regels. Iedereen heeft zelf aangegeven
hoeveel tijd hij denkt nodig te hebben. Daarop hebben we gezegd dat we denken voor
dit wetsvoorstel vier uur nodig te hebben. Het kan zijn dat het eerder klaar is. Als
het langer doorloopt, dan denk ik, omdat iedereen andere verplichtingen heeft, dat
we moeten eindigen en moeten bekijken of we de behandeling van het wetsvoorstel op
een andere manier vervolgen. Ik ga daar niet van uit, maar ik wil dat toch vast zeggen.
Ik heet uiteraard de Minister van Justitie en Veiligheid welkom. Leuk dat u een keer
alleen bij de commissie voor Digitale Zaken bent. Ik heet natuurlijk ook de leden
van de commissie voor Digitale Zaken welkom. Aanwezig zijn vandaag mevrouw Van Ginneken
van D66, mevrouw Rajkowski van de VVD en mevrouw Van Weerdenburg van de PVV. Ikzelf
zal het woord voeren namens de SP. We verwachten nog het lid Koekkoek van Volt; zij
zal ongetwijfeld iets vertraagd zijn. Wellicht komen er nog meerdere leden. Als dat
zo is, zal ik ze welkom heten tussen de woordvoerders door.
We beginnen met de eerste termijn van de kant van de Kamer. Dat zijn de Kamerleden,
die onderling uiteraard discussie kunnen voeren. Daarna zal de Minister antwoorden,
zoals zo vaak: na een korte schorsing. Dan kijken we hoe we staan met het wetsvoorstel.
Er zijn op dit moment nog geen amendementen ingediend op dit wetsvoorstel; dat is
een wijziging van een wetsvoorstel. Maar dat kan wellicht nog komen naar aanleiding
van deze beraadslagingen.
Tot zover alle procedurele mededelingen. Ik geef het woord aan mevrouw Van Ginneken
van D66 voor haar eerste termijn.
Mevrouw Van Ginneken (D66):
Dank, voorzitter. Dank ook dat u de tijd heeft volgepraat tot ik een heerlijk kopje
thee heb gekregen van de ondersteuning van de Tweede Kamer, waarvoor dank.
Voorzitter. Stel, het slot op je voordeur is kapot. Iedereen die dat weet, kan zomaar
bij je binnenlopen, rondsnuffelen in je huis, je spullen stelen of je chanteren voordat
je je huis terugkrijgt. De buurtwacht weet dat je slot kapot is, maar mag het je van
de wet niet vertellen. De Cyber Security Raad gebruikte onlangs deze mooie analogie
om te schetsen wat er mis is met de huidige regels rondom informatiedeling over kwetsbaarheden
in de netwerk- en informatiesystemen van overheid en bedrijfsleven. D66 spreekt zich
al een tijd uit tegen de versnippering van onze digitale weerbaarheid. Ik heb ons
NCSC, ons Nationaal Cyber Security Centrum, ook al eens «Vitaal Cyber Security Centrum»
genoemd, omdat deze belangrijke club digitale buurtwachters op dit moment alleen maar
vitale organisaties tegen criminelen en statelijke actoren beschermt, mag beschermen.
Maar die scheiding tussen vitaal en niet-vitaal is kunstmatig en verzwakt ons allemaal.
Criminelen leggen zonder dat onderscheid bedrijven plat met ransomware. Soms hebben
ze enkel een financieel motief, maar zijn de maatschappelijke gevolgen vele malen
groter dan hun potentiële gewin. Dat zagen we bijvoorbeeld bij het platleggen van
de Colonial Pipeline in de Verenigde Staten, waardoor er in delen van de VS energietekorten
ontstonden.
Omdat vaak vele bedrijven in een leveringsketen samenwerken, zijn neveneffecten van
een kleine hack niet altijd meteen in beeld, maar al die afhankelijkheden maken ons
gezamenlijk kwetsbaar. Cybersecurity is een gezamenlijke verantwoordelijkheid, die
je dus ook in samenwerking moet organiseren. We zijn dan ook blij dat het huidige
kabinet werk is gaan maken van de digitale bescherming van alle organisaties en bedrijven
in ons land tegen cyberaanvallen. Daarmee beschermen we onze stabiliteit en welvaart
op de korte én lange termijn. Het wetsvoorstel dat we vandaag bespreken, is dan ook
belangrijk voor onze digitale veiligheid.
Voorzitter. Voor ik bij mijn vragen kom, nog even een compliment aan de Minister.
Zij vroeg … De Minister kijkt heel verbaasd! Zij vroeg in mei aan onze commissie toestemming
om vanwege de urgentie alvast in de geest van deze nieuwe wet te mogen handelen, door
het NCSC in bepaalde gevallen dreigingsinformatie te laten delen met bedrijven en
de zogeheten OKTT's. Dat zijn organisaties die vanuit hun natuurlijke plek in een
bedrijfsketen of sector deze informatie snel en gericht bij hun achterban kunnen krijgen.
Dat was een dappere vraag van de Minister, want als overheid moet je je natuurlijk
ook gewoon aan de wet houden. D66 stelde toen onder andere als voorwaarde dat de Minister
dit dan wel transparant en naspeurbaar moest doen, en vandaar ook mijn eerste vragen.
Kan de Minister een korte evaluatie geven van hoe het NCSC omging met deze mogelijkheid
tijdens de afgelopen maanden? En kan de Minister toezeggen om de Kamer een overzicht
te geven van de aard en de ernst van de kwetsbaarheden die op deze manier gecommuniceerd
zijn en welke sectoren dat betrof?
Voorzitter. Dan heb ik nog een aantal vragen over de keuzes die zijn gemaakt in dit
wetsvoorstel. De Cyber Security Raad adviseert om de drempel tot het delen van informatie
te verlagen van aanzienlijke gevolgen naar substantiële gevolgen. We lezen dat de
Minister vreest dat de drempel te laag kan worden en dan puur gaat om financiële prikkels.
Maar wat ons betreft kleven er nog wel wat zorgen aan dit antwoord. Kan de Minister
iets uitgebreider toelichten waarom deze suggestie niet is overgenomen? Kan zij voorbeelden
geven van de verschillen tussen aanzienlijke en substantiële gevolgen?
Ik vraag hierop door, omdat wij de geopolitieke strijd om, bijvoorbeeld, hoogwaardige
technologie zien toenemen. Dat is een risico voor de toekomst van Nederland, want
onze innovatie van nu is ons verdienvermogen van straks. De langeretermijneffecten
van economische spionage zijn desastreus en blijven vaak jarenlang ongezien tot ze
echt doordringen. Ik noemde dat daarom onlangs in ons vorige cybersecuritydebat ook
een zinkgat, als ik mij dat goed herinner. Welke andere mogelijkheden ziet de Minister
voor de OKTT's om bedrijven en organisaties tegen dergelijke substantiële gevolgen
te beschermen? Kortom, wat kan de Minister nog doen om de OKTT's te helpen om meer
te doen dan alleen paraat staan bij aanzienlijke gevolgen?
De voorzitter:
Mevrouw Van Ginneken, iets waar iedereen last van heeft bij dit soort wetsvoorstellen,
is dat we praten in afkortingen. Wellicht is het goed voor de mensen die hiernaar
luisteren en om wie het gaat, om uit te leggen wat OKTT's zijn. U heeft het even uitgelegd,
maar volgens mij kunt u ook een woord gebruiken als «aanbieders» of «organisaties».
Mevrouw Van Ginneken (D66):
Ja, ik wil best de term «organisatie» gebruiken, maar in het wetsvoorstel is sprake
van verschillende soorten organisaties en gaat het specifiek over deze OKTT. Dat zijn
de organisaties die voor een sector of een bedrijfsketen een soort centrale rol vervullen
en daarmee een soort schakelpunt – misschien moet ik dat woord gebruiken – kunnen
zijn tussen het Nationaal Cyber Security Centrum en bedrijven en organisaties in die
keten. Ik meende dat ik het om die reden even moest toelichten in mijn inleiding,
maar het is heel goed dat u erop wijst dat het misschien nog iets duidelijker kon.
Voorzitter. Ik was van de weeromstuit bijna kwijt waar ik gebleven was, maar ik pak
het weer rustig op. Ik lees in het wetsvoorstel dat zowel de NCSC als de Autoriteit
Persoonsgegevens kijkt of deze OKTT's, deze schakelorganisaties, wel goed omgaan met
de gevoelige dreigingsinformatie, want die bevat soms privacygevoelige informatie.
De NCSC doet dat bij het toekennen van de zogeheten OKTT-status aan zo'n organisatie.
De Autoriteit Persoonsgegevens moet vanuit haar reguliere rol toezicht houden op veilig
gebruik door de OKTT's van de persoonsgegevens die in dreigingsinformatie kunnen zitten.
Dit kan naar ons idee leiden tot twee kapiteins op een schip en tot onduidelijkheid
voor de OKTT's. Die onduidelijkheid zou organisaties kunnen ontmoedigen om verantwoordelijkheid
te nemen als OKTT. Dan blijft onze digitale weerbaarheid dus alsnog achter. Daarom
heb ik de volgende vragen. Waar kijkt de NCSC nou precies naar bij het toekennen van
de zogeheten OKTT-status? Waaruit bestaat de zogenoemde grondige beoordeling die de
NCSC doet? Aan welke criteria wordt getoetst? Hoe verhouden die zich tot de vereisten
uit de privacywet AVG? Hoe wordt na toekenning van de OKTT-status gecontroleerd of
die organisaties de informatie die ze krijgen van de NCSC, niet voor onbedoelde doeleinden
gebruiken? Heeft de Autoriteit Persoonsgegevens wel voldoende capaciteit om toezicht
te houden op het gebruik van gegevens door deze OKTT's? Hoeveel meer toezichtswerk
verwacht de Minister voor de Autoriteit Persoonsgegevens als gevolg van deze wetswijziging?
En is dat apart begroot?
De voorzitter:
Ik heb de leden even gevraagd of het mag, maar ik stel nu een vraag ter interesse.
Een van de vragen die de SP-fractie heeft, is wat we doen met de gedeelde informatie
bij dreigingen. Ik doel op informatie die behulpzaam en noodzakelijk is om te delen.
Maar als die informatie daar blijft liggen, verwerkt wordt of rondslingert, dan kan
het ook cruciale informatie zijn om juist weer het verkeerde mee te doen. Een van
de adviezen van de Autoriteit Persoonsgegevens is daarom dus ook om daar een bewaartermijn
aan te geven, of om in ieder geval te verplichten die gegevens weer te verwijderen.
De Minister heeft na vragen naar aanleiding van het advies van de Autoriteit Persoonsgegevens
in de schriftelijke ronde aangegeven dat ze daar niet op ingaat. Zou het volgens de
D66-fractie niet beter zijn als wij de Minister verzoeken dat toch te regelen, of
anders zelf als Kamer het initiatief nemen om dat te regelen?
Mevrouw Van Ginneken (D66):
De vraag die collega Leijten stelt, is heel belangrijk. Ik heb zojuist meer breed
aan de Minister gevraagd wat nou de toetsingscriteria zijn. Ik hoop in het antwoord
van de Minister zeker iets te horen over bewaartermijnen. Ik kan me echter wel heel
goed voorstellen dat je in deze wet niet een soort vaste bewaartermijn zou kunnen
stellen, omdat het misschien ook afhangt van de aard van de dreigingsinformatie. Maar
ik hoop zeker daar iets over terug te horen van de Minister en ik ben zeker bereid
om er, al dan niet samen met collega Leijten, over na te denken of dat antwoord wel
toereikend is.
Ik had het net over de capaciteit van de Autoriteit Persoonsgegevens. Daarover sprekend
wil ik het bruggetje maken naar de blije, positieve boodschap dat het kabinet meer
geld gaat uittrekken voor cybersecurity; we lazen dat in de Miljoenennota. Zo zal
het NCSC 16 miljoen euro meer krijgen. Dat is een belangrijke stap richting een cyberveilig
Nederland, maar tegelijkertijd groeit het takenpakket van het NCSC ook. Acht de Minister
het extra geld dat naar het NCSC gaat voldoende voor de ambities van de komende jaren
of voorziet de Minister een groeipad? Extra budget is natuurlijk ook nodig voor het
NCSC om voldoende slimme mensen aan te kunnen trekken. Maar lukt dat ook wel echt?
Zeker in dit veld is de arbeidskrapte enorm. Graag een reflectie van de Minister daarop.
Tot slot, voorzitter, kijk ik ook even naar de nabije toekomst. In Europa is er deze
zomer politieke overeenstemming bereikt over de herziening van de Netwerk- en informatiebeveiligingsrichtlijn,
de NIB2. Met deze nieuwe richtlijn wordt het aantal te beschermen sectoren flink uitgebreid
in de hele EU. Dat is een belangrijke stap, want een keten is zo sterk als de zwakste
schakel. D66 snapt dat de Minister hier niet op gewacht heeft voor de wet van vandaag,
want de nu voorgestelde aanpassing is urgent. Maar datgene wat de NIB2 belooft, is
dat eigenlijk ook. Ik heb dus de volgende vragen aan de Minister. Hoe snel kunnen
we die volgende wijziging verwachten? Ik hoor dat de implementatie van die NIB2-richtlijn
pas halverwege 2024 komt. Dat vind ik nogal laat. Vindt de Minister dat wel op tijd?
Zijn er mogelijkheden om die te vervroegen?
Ik kijk uit naar de beantwoording.
De voorzitter:
Dank u wel, mevrouw Van Ginneken. Dan geef ik het woord aan mevrouw Rajkowski voor
haar eerste termijn namens de VVD-fractie.
Mevrouw Rajkowski (VVD):
Dank, voorzitter. Uit een rapport van eerder dit jaar bleek dat 47% van de Nederlanders
zich in het kader van onze nationale veiligheid het meest zorgen maakt om cyberdreigingen,
gevolgd door geopolitieke dreigingen en de uitval van vitale processen. De VVD snapt
deze zorgen heel goed, want als mensen door een stroomuitval niet meer kunnen pinnen
of niet meer kunnen tanken of als de gehele stroomvoorziening uitvalt, dan kan dat
desastreuze gevolgen hebben voor de stabiliteit van Nederland, zelfs à la minute.
Ondertussen worden ook onze universiteiten, bedrijven en gemeentes dagelijks aangevallen.
Helaas slaagt het cybertuig hier soms ook in. Het gevolg is dat bedrijven en gemeentes
platliggen en dat er tientallen miljoenen euro's naar de cybercriminelen of naar nieuwe
systemen gaan. Dat is geld dat in ieder geval niet in onze economie en samenleving
gestopt kan worden. Naast het lamleggen van Nederland of het afpersen met gijzelsoftware,
zijn de cybercriminelen soms ook uit op de hightechkennis die wij hier in Nederland
hebben. Dat is kennis waar wij nu en in de toekomst ons geld mee gaan verdienen. Die
laten wij toch niet zomaar jatten?
Voorzitter. Laten we nou het geluk hebben dat we hier in Nederland superslimme, technische
mensen hebben die werken voor cyberteams van de overheid of zich op vrijwillige basis
inzetten om Nederland te kunnen beschermen. Deze mensen kunnen een kwetsbaarheid in
het systeem of een nieuwe manier van digitale aanvallen ontdekken. Als zij die informatie
delen, kunnen we rampen voorkomen, maar die informatie kan nu alleen nog maar met
een beperkte club gedeeld worden. Dat is eigenlijk een beetje ouderwets, want alles
is met elkaar verbonden. Als organisatie A dus wel veilig is en informatie krijgt,
maar organisatie B niet, dan kan organisatie A daar via de digitale weg ook last van
krijgen, omdat die organisaties samenwerken. Het is dus allemaal een keten; mijn collega
zei het net al. We moeten ervoor zorgen dat die hele keten sterk is. Dat zien we ook
wel. Zo zagen we een aantal jaren geleden dat een containerterminal in de haven van
Rotterdam werd aangevallen. Dat zorgde uiteindelijk wereldwijd voor tientallen miljoenen
euro's aan schade. De voedselproductie of het vervoer ervan kan ineens stil komen
te liggen. Het is dus belangrijk dat we dit soort gebieden goed met elkaar beveiligen
en beschermen. Daarom zijn wij zo verheugd over dit voorstel.
Ook complimenten voor de snelheid en de haast die de Minister hiermee heeft gemaakt.
De Kamer heeft aangegeven haast en zorgvuldigheid te willen. Volgens mij heeft de
Minister laten zien, met nog extra briefings en informatie, bereid te zijn om dat
te doen. Daar ben ik erg blij mee. We staan dus ook achter de oproep die de Rotterdamse
haven, telecombedrijven en alle andere organisaties al eerder hebben gedaan hier in
de Tweede Kamer om haast te maken met deze wet, zodat zij ook informatie kunnen gaan
delen.
Voorzitter. De VVD heeft nog wel een aantal vragen, allereerst over wie er precies
wanneer informatie deelt. Stel, het NCSC – dat is de club voor de vitale organisaties
– heeft aanwijzingen dat er een grote kwetsbaarheid zit bij een groot maar niet vitaal
bedrijf, met potentieel grote gevolgen voor onze economie en maatschappij. Heeft het
NCSC dan contact met dat bedrijf, of doet het DTC dat? Dat is de club die meer werkt
vanuit het Ministerie van Economische Zaken. Hoe zorgen we er nou voor dat er duidelijkheid
komt over wie van de twee organisaties, het NCSC en het DTC, die beide vanuit de rijksoverheid
bezig zijn met het veilig houden van Nederland, waarover met wie communiceert?
Voorzitter. Dan nog een tweede vraag. Die gaat over de rol van de vrijwilligehackersorganisatie,
het DIVD. Ik noem ze maar gewoon even «de vrijwillige hackers». Dan kan iedereen het
volgen. Het gaat dus over het DIVD, voor de mensen die meeluisteren. Zij hebben allemaal
andere banen en werken niet bij de rijksoverheid, maar ze hebben wel aangegeven: wij
willen graag Nederland veilig houden met de kennis die we hebben. Zij scannen dan
ook vrijwillig op kwetsbaarheden en geven dat door aan óf een rijksoverheid óf aan
bedrijven en organisaties zelf. Daarmee spelen zij een hele cruciale, maar toch ook
vrijwillige rol om ervoor te zorgen dat Nederland veilig blijft. Wat de VVD nog wel
mist, is wat de precieze rol is van het DIVD in het nieuwe stelsel. De andere clubs
gaan daarmee samenwerken. We zouden niet willen dat deze vrijwilligehackersorganisatie
echt een ambtenarenclub wordt. Dat is ook niet wat wij willen. Maar een iets formelere
rol zou wat ons betreft wel mogen. Wat zijn de plannen van de Minister? Hoe gaan we
ervoor zorgen dat er daadwerkelijk wat gebeurt met de informatie die deze club vrijwillig
van het internet afhaalt?
Dat was het.
De voorzitter:
Hartelijk dank voor uw inbreng, mevrouw Rajkowski. Dan ga ik naar mevrouw Van Weerdenburg,
die namens de PVV-fractie in eerste termijn zal spreken.
Mevrouw Van Weerdenburg (PVV):
Jazeker. Dank u wel, voorzitter. We hebben eerder een snelle behandeling van deze
wetswijziging toegezegd. Daarom zal ik ook niet meer tijd dan nodig nemen. We hebben
natuurlijk al een aantal keer gesproken over deze wijziging. Ook schriftelijk hebben
we heel veel vragen gesteld en antwoorden gekregen. De PVV vindt deze wijziging noodzakelijk
om de enorme versnippering in het cyberveiligheidslandschap, die de Cyber Security
Raad natuurlijk ook gesignaleerd heeft, tegen te gaan. We denken dat dit een goede
toevoeging is.
We hebben natuurlijk eerder ook in dat kader gewezen op de versnippering tussen de
organisaties en er ook een beetje over gezeurd dat bekeken moet worden of het DTC
en het NCSC niet samengevoegd kunnen worden. Nogmaals, we zijn dus heel erg blij met
de recente brief van de Minister, waarin zij aankondigt dat het NCSC, het DTC en het
CSIRT-DSP worden geïntegreerd in de komende jaren. De PVV zal dat scherp in het oog
houden. We hopen wel dat de integratie voorspoedig en snel verloopt. We rekenen ook
op regelmatige berichtgeving daarover van de Minister, niet alleen als er dingen goed
gaan, maar ook graag als er vertraging wordt opgelopen of er enige andere moeilijkheden
zijn. Ik hoop dan dat zij ons daar proactief over informeert. We willen namelijk allemaal
hetzelfde, dus laten we vooral de krachten bundelen.
Tijd is natuurlijk ontzettend belangrijk in het geval van een cyberdreiging. Het heeft
ons ook altijd een beetje verbaasd dat er zo'n soort sneeuwbal was ontstaan, een soort
bellijst, zo van: het NCSC krijgt het binnen, die moet de schakelorganisatie bellen,
die neemt de telefoon op, die belt weer … Dat duurt allemaal te lang. Ik denk dus
dat ook de integratie van de genoemde organisaties daar qua snelheid een voordeel
in zal zijn.
Ik wilde positief beginnen, maar ik wil ook wel eventjes gezegd hebben dat deze route,
namelijk het toepassen van de wet voordat die goed en wel is aangenomen, wat de PVV
betreft niet voor herhaling vatbaar is. Dat heb ik de vorige keer ook duidelijk gemaakt,
zeker aan deze Minister, want op haar terrein spelen natuurlijk ook nog andere zaken,
die niet per se bij deze commissie liggen. Maar ik wilde dat hierbij gezegd hebben.
Ik weet dat de Minister zelf ook heeft gezegd dat zij dit besluit niet licht genomen
heeft. Zij vond het ook geen mooie oplossing. Dat heb ik allemaal goed gehoord, maar
ik sluit in dat kader ook graag aan bij de vragen die D66 al heeft gesteld over de
afgelopen maanden. Zo is er gevraagd of er gebruikgemaakt is van die toepassing. Dat
hoor ik dus ook graag. Mevrouw Van Ginneken had het ook over de implementatie van
de NIS 2, die voorzien is voor half 2024. Zij vroeg of dat niet te laat is. Die zorg
deel ik ook wel. Kunnen we dat niet versnellen? We zijn nu goed bezig en we hebben
heel wat in te halen op cyberveiligheidsgebied, dus laten we ook bekijken wat we snel
kunnen doen samen.
Mevrouw Rajkowski had het over de vrijwillige hackers van de DIVD. Er zijn natuurlijk
nog andere goede maatschappelijke initiatieven. Ook bij de PVV leeft de behoefte om
te bekijken hoe we die onmisbare vrijwilligers – in ieder geval betreft het kennis
en kunde die we best wel nodig hebben – op een of andere manier beter kunnen inpassen,
of formeler, zoals mevrouw Rajkowski zei. Op dit vlak moeten we alle kennis en kunde
inzetten die er bestaat. Cyberaanvallen kunnen zo veel schade veroorzaken, ook voor
de hele maatschappij. Laten we dus alles inzetten wat we hebben in Nederland om die
schade zo veel mogelijk te beperken.
Verder heb ik...
De voorzitter:
Ik denk dat dit een moment is waarop mevrouw Van Ginneken een vraag wil stellen.
Mevrouw Van Ginneken (D66):
Ik hoorde het codewoord «verder» ook, dus daarmee sloot collega Van Weerdenburg haar
blokje af. Ik wil even een vraag stellen over een punt dat bij collega Rajkowski eigenlijk
ook al aan de orde kwam. Moeten we de relatie tussen de vrijwillige ethische hackers
– de DIVD werd genoemd – en het NCSC niet wat formeler maken? Is mevrouw Van Weerdenburg
zich ervan bewust dat veel van die vrijwilligers al werkzaam zijn in het formele veld
van cybersecurity, ofwel bij een adviesbureau, ofwel bij een overheidsorganisatie
en misschien zelfs wel bij het NCSC zelf? Daarover speculeer ik nu, hoor, maar ik
weet dat ze in ieder geval in het professionele veld zelf ook werkzaam zijn. Zoals
ik die hackers ken, vinden ze het fijn om daarnaast in een vrije rol te kunnen opereren.
De voorzitter:
En uw vraag is?
Mevrouw Van Ginneken (D66):
Dus mijn vraag is: is mevrouw Van Weerdenburg zich daarvan bewust? Waarom zou het
meer formaliseren van de relatie tussen de DIVD en het NCSC helpen?
Mevrouw Van Weerdenburg (PVV):
Ik hoor het al: mevrouw Van Ginneken heeft inside-information, misschien meer dan
ik. Kijk, ik vraag aan de Minister of dat kan en of het behulpzaam is. Als die organisaties
daar geen behoefte aan hebben en beter functioneren als ze geen formele rol hebben,
prima, graag zelfs. Het gaat mij er meer om dat we in ieder geval voor de maatschappij
hun kennis en kunde ten volle kunnen benutten. Dat gaat uiteraard in overleg met hen.
Ik vroeg me af of hier een mogelijkheid toe is als zij dat graag willen. Maar ja,
als zij dit niet willen, dan gaan we dat helemaal niet verplichten. Dat lijkt me niet
de goede route.
De voorzitter:
U kunt uw betoog vervolgen.
Mevrouw Van Weerdenburg (PVV):
Voorzitter. Ik geloof niet dat ik nog echt brandende vragen of punten had, maar misschien
komen die lopende het debat nog op.
Dank.
De voorzitter:
Dan dank ik u, mevrouw Van Weerdenburg. Ik geef het woord aan mevrouw Koekkoek, die
ik ook welkom heet in deze vergadering. Ik had al aangekondigd dat u waarschijnlijk
iets verlaat was, maar u bent gearriveerd. Welkom. U krijgt het woord voor de eerste
termijn namens de fractie van Volt.
Mevrouw Koekkoek (Volt):
Dank u wel. Mijn excuses voor het te laat zijn, er waren wat perikelen onderweg. Mijn
eerste vraag zou gaan over de weg hiernaartoe. Er zijn al wat vragen over gesteld,
dus daar sluit ik mij bij aan. Ik ben met name benieuwd, los van het gegeven dat het
een unieke gebeurtenis was, of het wegingskader toereikend was, als het is gehanteerd.
Ik hoop dat de Minister daar nog iets verder op in kan gaan. Hoe heeft het gewerkt
als het in de praktijk is ingezet?
De Minister zegt nu dat er onverminderd sprake is van een digitale dreiging, ook in
het kader van dit voorstel. Ik ben wel benieuwd wat dan die concrete dreiging is op
dit moment. Op het moment dat we het eerste unieke gesprek hadden, laat ik het zo
formuleren, was het met name de dreiging uit Rusland. Ik ben benieuwd of dat nog steeds
zo is. Zijn er andere dingen, voor zover de Minister daarop in kan gaan uiteraard,
bij gekomen? Waar bestaat die dreiging uit?
Ik heb ook nog vragen naar aanleiding van de beantwoording in het schriftelijk overleg.
Er zijn namelijk een aantal pijnpunten in het wetsvoorstel. Deze zijn gedeeltelijk
al benoemd door collega's. Ik heb namens Volt vragen daarover gesteld in de schriftelijke
ronde. Een aantal daarvan zijn wel beantwoord, maar het is naar mijn idee nog niet
helemaal helder. Ik wil de Minister daar nog wat verder over bevragen. De eerste vraag
gaat over de definitie van «andere aanbieders». We hebben daar meerdere vragen over
gesteld. Ik begrijp dat je die groep «andere aanbieders» open wil laten want anders
heb je dadelijk een grondslag ervan die te beperkt is. Ik begrijp dat heel goed. Tegelijkertijd
las ik in de reactie van de Minister dat het NCSC wel voldoende beeld heeft van met
welke andere aanbieders momenteel informatie gedeeld zou kunnen worden op grond van
artikel 3, lid 2 onder e. Het gaat dan onder meer over politieke partijen en veiligheidsregio's.
Omdat de Minister dat beeld dus wel heeft, vraag ik me af of de Minister een opsomming
of overzicht kan geven van partijen die het NCSC momenteel in beeld heeft in dit kader.
De Minister noemt ook dat de NIB-richtlijn gevolgen zal hebben voor deze wet, bijvoorbeeld
vanwege een toename van het aantal aanbieders. Er is gevraagd wat de gevolgen daarvan
zijn. Ik ben daar zelf ook heel benieuwd naar. Welke andere aanbieders vallen daaronder?
Ik ben ook benieuwd of de verwerkingen in het voorstel zoals dat nu voorligt, wel
voldoende duidelijk en voorzienbaar zijn. Dat lijkt me heel belangrijk als je wilt
dat deze wet toekomstproof en duurzaam is.
Voorzitter. Ik heb in de schriftelijke ronde een aantal vragen gesteld over strafrechtelijke
gegevens. De Minister schrijft dat er nu geen sprake is van strafrechtelijke gegevens,
gelet op de aard van de verwerking en het feit dat de gegevens niet gebruikt worden
in het strafproces of in de voorbereiding daarvan. Mijn vraag is: is het punt niet
dat je juist zonder grondslag gegevens van strafrechtelijke aard mag verwerken en
je die gegevens zomaar tot je beschikking hebt? Ongeacht of je ze zal gebruiken, is
die kwalificatie toch van belang? Ik vraag me af of de Minister daar wat verder op
in kan gaan. Volgens mij is het probleem niet dat je kennis hebt van de informatie
waarover je beschikt, maar dat je niet meer onbevangen kunt handelen op het moment
dat je die kennis hebt. Het simpele feit dat je die informatie hebt, kan je handelingsperspectief
beïnvloeden. Vandaar dat ik daar nog wat dieper op in zou willen gaan. Om het nog
even af te maken: mijn zorg is dat het feit dat je zo'n handelingsperspectief überhaupt
in gedachten kunt hebben, mogelijk ook inbreuk maakt op de rechten van de verdachte.
In het ergste geval wringt het met de onschuldpresumptie.
De voorzitter:
Daarover is een vraag van de VVD-fractie.
Mevrouw Rajkowski (VVD):
Ik zat even te smiespelen met mijn collega, want ik had een vraag over die strafrechtelijke
gegevens. Ik begrijp het niet zo goed. Ik sla het even helemaal plat. Het gaat erover
dat er informatie wordt gedeeld in de trant van: «Bedrijf A, weet dat er in deze software
een deurtje openstaat. Doe een update, want daarmee zet je dat deurtje dicht. Wij
zien namelijk online gebeuren dat criminelen of andere kwaadwillenden precies dat
deurtje willen gebruiken.» Wat is strafrechtelijk hieraan?
Mevrouw Koekkoek (Volt):
Die vraag begrijp ik. Die hebben wij ook gesteld in de schriftelijke ronde. Het antwoord
was toen: er is geen sprake van strafrechtelijke gegevens of die worden in ieder geval
niet verwerkt. Maar als ik de AP goed begrijp, ziet zij dat risico juist wel. Je kunt
potentieel te maken hebben met strafrechtelijke persoonsgegevens, want je hebt uiteindelijk
wel een aanbieder in de smiezen. Het is duidelijk wie die aanbieder is, dus dan heb
je potentieel te maken met strafrechtelijke persoonsgegevens. Mijn zorg is dat het
op het moment dat je de kennis hebt, moeilijk is om die kennis opzij te schuiven.
Ik vraag me af of je dat vermoeden niet al in dit wetsvoorstel zou willen ondervangen.
Het feit dat je die kennis hebt, betekent inderdaad nog niet dat je die dan vervolgens
kan delen, dus dat het bij wijze van spreken een inval van de politie zou kunnen veroorzaken.
Maar het is ook wel weer heel ingewikkeld om kennis die je hebt vervolgens niet te
gaan gebruiken. Ik wil dus voorkomen dat die prikkel door deze wet te open blijft.
Ik vraag er vandaag even op door omdat de Minister zegt dat er überhaupt geen strafrechtelijke
persoonsgegevens zijn, terwijl de AP zegt dat het risico er wel is.
De voorzitter:
Dank u wel. U mag uw betoog vervolgen.
Mevrouw Koekkoek (Volt):
Voorzitter, ik ben al bij het slot. Ik heb nu benoemd waar mijn pijnpunten zitten,
maar ik wil ook benadrukken dat ik goed begrijp dat de Minister deze bevoegdheid wil
inzetten. Het is ook al door andere collega's aangeven, maar de Minister ziet het
volgens mij ook heel goed: er is daadwerkelijk een roep om veiligheid vanuit de praktijk.
Bij mij roept het alleen het beeld op – vandaar dat ik ook die pijnpunten benoem –
dat die andere kant van de medaille er ook altijd een beetje is, namelijk de veiligheid
van personen en de grondrechten. Dat is een dilemma waar we met dit soort wetgeving
heel vaak tegenaan lopen.
Met het oog op de toekomst hoop ik dat we ervoor kunnen zorgen dat ook wetsvoorstellen
altijd vooraf – ik benadruk dat nog maar even – die balans in zich hebben, en dat
we niet, zoals we nu eigenlijk doen, achteraf gaan kijken waar die balans in de wet
zit. Dus ik hoop dat we er steeds beter in worden om goede wetgeving te maken vooraf.
Daarin zijn stevig toereikend toezicht, afgebakende verwerkingsgrondslagen, een toets
aan de grondrechten en goede ICT-voorzieningen altijd belangrijk.
Dank, voorzitter.
De voorzitter:
Ik dank u wel. Dan draag ik graag even het voorzitterschap over aan mevrouw Van Weerdenburg.
Voorzitter: Van Weerdenburg
De voorzitter:
Dan zal ik nu het woord geven aan mevrouw Leijten voor haar inbreng namens de SP.
Mevrouw Leijten (SP):
Dank, voorzitter. Het is belangrijk dat in wetten vastligt wat je met elkaar doet
om te voorkomen dat enkelen van ons op een grote manier te maken krijgen met digitale
criminaliteit, inbraken, hacks en noem allemaal maar op, want de gevolgen daarvan
zijn groot. Het is evident dat de overheid daarin een coördinerende rol heeft en kan
hebben, bijvoorbeeld om te waarschuwen en om, in het laatste geval natuurlijk, strafrechtelijk
op te laten treden. Ik denk dat we met het stelsel dat we als Nederlandse samenleving,
als politiek, hebben vormgegeven best wel ad hoc bezig zijn geweest. We hebben bijvoorbeeld
het Nationaal Cyber Security Centrum, de nationaal coördinator cybersecurity; er zijn
heel veel afkortingen. Die hebben we. Dat gaat over vitale aanbieders. Dan hebben
we ook nog het Digital Trust Center. Dat is er gekomen voor het bedrijfsleven, want
dat had ontzettend veel vragen en vroeg om hulp. Dat is er mede gekomen door heel
veel inzet van deze Kamer. Nu gaan we die geïntegreerd zien. Dat is volgens de SP-fractie
heel wenselijk, maar dan hebben we ook nog de AIVD. De AIVD maakt dreigingsanalyses,
zeker ook op het gebied van cybersecurity. Wat is zijn rol daarin? Ik zie in de notitie
die we meegestuurd hebben gekregen dat de nota en de bijgevoegde stukken allemaal
afgestemd zijn met de NCTV. Wat is nou eigenlijk hún rol in dit belangrijke dossier,
in wat we vastleggen in deze belangrijke wet? Wat zijn taken en verplichtingen bij
dreigingssituaties, wat is de informatie die we hebben over zwaktes in netwerken en
informatiesystemen en welke data delen we daarover? Dat klinkt allemaal heel saai
en technisch, maar dat kan echt raken aan de vraag of je als bedrijf nog bij je gegevens
kan en of je wel of niet veilig met de bank zaken kan doen.
Vindt de Minister dat dit bouwwerk, ons huis, op orde is? De SP-fractie heeft zich
in de schriftelijke behandeling van dit wetsvoorstel afgevraagd of er geen dubbeling
is, maar ook of er geen gat is doordat we zoveel verschillende organisaties hebben.
We hebben tegenwoordig heel veel nationaal coördinatoren, om al het beleid dat we
hebben vormgegeven in allerlei wetten, te coördineren om ervoor te zorgen dat het
effectief is. Maar we hebben nu een wetsvoorstel, waarin we juist kunnen regelen dat
het beleid effectief is, waardoor we dus minder nationaal coördinatoren nodig hebben.
Is de Minister dat met de SP-fractie eens? We moeten dus geen dingen dubbel doen,
maar ook geen gaten krijgen.
Dan kom ik op die OKTT's. Ik was daar net in mijn rol als voorzitter een beetje kritisch
op, omdat het een afkorting is die de SP-fractie nauwelijks begrijpt. Het zijn organisaties
die objectief tot taak hebben om andere organisaties of het publiek te waarschuwen,
te informeren over dreigingen en incidenten. In de wet is een lijst opgenomen van
organisaties die daaronder vallen. Maar zodra je ze met afkortingen gaat aanduiden,
ontstaat er afstand. Voelt iemand die misschien geen aangewezen organisatie is, die
evident tot taak heeft om dit te doen, zich dan nog verantwoordelijk, ja of nee? Daardoor
is het volgens mij ongewenst dat we ze in afkortingen aanduiden. Hoe wil de Minister
voorkomen dat in het vervolg van dit wetsvoorstel, als het beleid gaat worden en er
gegevens gedeeld gaan worden, het idee ontstaat: dat zijn wij niet, dat gaat niet
over ons? Want ik denk dat het over iedereen gaat. Schakelorganisaties hebben dus
voor hun achterban een signalerende, informerende en waarschuwende rol. Het zou heel
goed zijn als we allemaal weten wie dat eigenlijk zijn of in ieder geval weten welke
organisaties daar dan onder vallen.
Dan bespreek ik het punt van de andere organisaties. Dat is inderdaad vaag. Ik snap
heel goed dat je in zo'n wetsvoorstel waarin je regelt dat de data gedeeld kunnen
worden – soms moet dat snel of zijn de data moeilijk af te bakenen – zo min mogelijk
regels stelt, maar toch is het de kunst dat wel te doen. Dan kan het zijn dat je vooraf
misschien zegt dat het snel moet en dat je vanuit preventie moet regelen dat er niet
te veel hiccups en beperkingen moeten zijn, maar zorg dan dat het toezicht goed geregeld
is. En dat vindt de SP in dit wetsvoorstel echt een probleem. Het valt direct onder
de Minister. De Autoriteit Persoonsgegevens waarschuwt daar eigenlijk ook voor: welke
data worden er gedeeld, hoe worden die opgeslagen en hoe wordt dat ook beperkt? We
weten dat we niet naïef moeten zijn als het gaat om het delen van data. We moeten
zeker niet naïef zijn als het gaat over dreigingen vanuit het oogpunt van cybersecurity,
maar we moeten ook niet naïef zijn als het gaat over de informatie die je krijgt en
wat je daar nog mee kan doen. Ook met informatie die je wellicht ooit een keer vanuit
een waarschuwing hebt gekregen en die je later weer verwerkt, kunnen hele lelijke
dingen gebeuren. We willen niet dat daar profielen mee gemaakt worden. Ik zou de Minister
willen vragen of zij daar toch een beperking in aan zou willen brengen. Ik zou eigenlijk
de Minister willen vragen daar de eerste aanzet toe te geven. Op het moment dat de
Kamer dit gaat doen in een amendement, kan het namelijk heel goed zijn dat we iets
over het hoofd zien. Dan kan het ook heel goed zijn dat we iets te strak maken, waardoor
de wet onuitvoerbaar wordt. Dat willen we allemaal niet. Maar ik denk dat we het signaal
dat de Autoriteit Persoonsgegevens geeft – pas hier op! – serieus moeten nemen. Nu
hebben we wel te maken met een wetsvoorstel waarin we dat goed kunnen regelen. Is
de Minister daartoe dus bereid?
Dan bespreek ik het punt over het toezicht. We vinden het superbelangrijk dat dit
beter wordt. Is het mogelijk om dat bijvoorbeeld onder een toets te scharen en mensen
mee te laten kijken? Dat mag wat betreft de SP-fractie ook achteraf, want we kunnen
daardoor ook leren dat we wellicht vooraf wat dingen beter kunnen regelen.
Tot slot is onze indruk dat dit wetsvoorstel is er gekomen is met stoom en kokend
water. In ieder geval is het zo gepresenteerd. Het moest meteen ingaan. Daarvoor heeft
de Minister toestemming gevraagd; iedereen heeft dat genoemd. Die toestemming is uiteindelijk
verleend, maar zo moeten we geen wetten maken. We moeten ook geen wetten verkopen
met: er is nu oorlog, dus we moeten iets doen. Het is serieus en het gaat over ieders
veiligheid, maar het gaat ook over potentieel ieders data. Het gaat wellicht over
iemand die iets verkeerd heeft gedaan of iets niet voorzien heeft, maar die straks
wel in een waarschuwingssysteem zit, met alle risico's van dien. Het is allemaal niet
zo bedoeld en het is ook niet wat het wetsvoorstel wil behelzen, maar laten we wel
zorgen dat we dit soort waarborgen en bescherming regelen. Ik vraag de Minister dus
ook om als dit soort wetten nodig is, die wetten in een wat rustiger vaarwater te
laten landen. De Kamer is altijd bereid om iets snel te behandelen en ook om dat op
maandagochtend om 10.00 uur te doen; dat is het punt niet. Maar de argumentatie, ook
in de schriftelijke ronde, klinkt als een gelegenheidsargument: het is nu nodig en
het moet vooral ook nu ingaan, want oorlog. Ik zou hopen dat de Minister dat niet
hoeft te gebruiken.
Dank u wel, voorzitter.
De voorzitter:
Dank u wel, mevrouw Leijten. Dan geef ik u hierbij het voorzitterschap weer terug.
Voorzitter: Leijten
De voorzitter:
Dan dank ik mevrouw Van Weerdenburg voor het tijdelijk overnemen van het voorzitterschap.
De Minister gaat de antwoorden in eerste termijn voorbereiden. Daarom gaan we om 11.10
uur weer verder met dit debat.
De vergadering wordt van 10.40 uur tot 11.10 uur geschorst.
De voorzitter:
Het is 11.10 uur. Ik had gezegd dat we dan verder zouden gaan met het wetgevingsoverleg
over de Wet beveiliging netwerk- en informatiesystemen. De Kamer heeft in de eerste
termijn gesproken. Daarna is de Minister aan het woord. De Minister van Justitie en
Veiligheid voor haar eerste termijn, met daarin de antwoorden op de vragen van de
Kamer.
Minister Yeşilgöz-Zegerius:
Veel dank, voorzitter. Ook veel dank aan de commissie voor de voortvarende behandeling
van dit voorstel. Er zijn wat vragen gesteld over het hoe en waarom en de urgentie.
Daar kom ik straks ook op terug, maar nogmaals dank dat dit zo kan. Ik denk namelijk
dat door de recente digitale dreigingen en aanvallen het belang echt onderstreept
wordt van het in ruimere zin kunnen delen van de dreigingsinformatie en incidentinformatie
door het Nationaal Cyber Security Centrum. Dit wordt nu in het wetsvoorstel geregeld.
De afgelopen jaren neemt niet alleen het aantal digitale aanvallen toe, maar ook de
impact van die aanvallen. Een voorbeeld van zo'n recente digitale aanval met grote
impact was een digitale aanval van vorig jaar op een ICT-leverancier van bijna 100
notarissen. Dat zijn forse zaken. Door die aanval konden er geen aktes worden gepasseerd.
Als het Nationaal Cyber Security Centrum die ICT-leverancier toen had kunnen voorzien
van informatie over die aanval, dan had de ICT-leverancier er maatregelen tegen kunnen
nemen om die systemen te beschermen. Dat is dus echt een concreet voorbeeld van wat
we in de toekomst willen vermijden of voorkomen.
Op dit moment is het nog niet altijd mogelijk om informatie over digitale dreigingen
en incidenten te delen met aanbieders die buiten de huidige doelgroep van het Nationaal
Cyber Security Centrum vallen. Dat gaat dus over organisaties die niet tot de rijksoverheid
behoren en die we ook niet als vitaal hebben aangewezen. Dan kunt u denken aan partijen
zoals die hier zitten, dus politieke partijen, maar ook aan vakbonden, beroepsverenigingen,
milieuorganisaties en noem maar op.
Voorzitter. Het fijne aan deze commissie vind ik altijd – natuurlijk geldt dat voor
elke commissie – dat hier Kamerleden zitten die al zeer veel weten van het onderwerp
en er langer mee bezig zijn, dus ik ga gewoon meteen door naar de beantwoording. Ik
denk dat het handigst is. Ik wilde beginnen met een korte terugblik. Er zijn ook wat
vragen gesteld over de afgelopen paar maanden. Maanden geleden heb ik de commissie
inderdaad om ruimte gevraagd. Ik heb onszelf in een uitzonderlijke positie gebracht
door te zeggen: kunnen we anticiperen als het echt nodig is? Nogmaals dank aan de
commissie, die daar terecht veel vraagtekens bij zette, maar die in de basis begreep
waarom we dat dilemma met elkaar hadden en dat we die stappen konden nemen. Daar ga
ik dus even op in. Dan natuurlijk het wetsvoorstel. Daar komen een heleboel elementen
aan bod. Dan wil ik nog stilstaan bij het cybersecuritystelsel en het Digital Trust
Center. Dat waren ze. Zo heb ik ze gebundeld. Hopelijk komt dan alles terug.
Ik begin met een terugblik. Daarbij kreeg ik van mevrouw Van Ginneken en mevrouw Van
Weerdenburg, of eigenlijk van iedereen, de vraag: hoe is het nou de afgelopen paar
maanden gegaan, en is er gebruikgemaakt van die mogelijkheid; was het ook echt nodig?
Ik heb de Kamer toegezegd dat we, met de ruimte die ik krijg, wel afspreken dat we
als het is gebeurd meteen, of zodra het kan, met de Kamer delen dat dat is gebeurd.
Maar sinds juni hebben die gevallen zich niet voorgedaan. Anders had ik het ook eerder
moeten melden. Dat had ik dan ook gedaan. Dank voor de gelegenheid om daar nog een
keer op terug te komen, maar die gevallen hebben zich niet voorgedaan. Ik heb daar
dus ook geen overzicht van, want dat bestaat gelukkig niet. De drempel voor het anticiperen
in uitzonderlijke gevallen ligt erg hoog. Dat hebben we ook met elkaar afgesproken.
De incidenten die plaats hebben gevonden of zouden vinden die die drempel halen –
het is een rare zin – zijn er niet geweest.
Dan vroeg mevrouw Koekkoek van Volt: als het wegingskader voor het eventueel anticiperen
is gehanteerd, was het dan toereikend? We hadden met elkaar het volgende afgesproken.
Dit is een wegingskader. We kunnen met elkaar terugkijken als het zich heeft voorgedaan.
Dan kunnen we daarvan leren en het eventueel implementeren in het wetsvoorstel. Dat
is allemaal niet gebeurd. Maar nu zijn we zover met het wetsvoorstel en ligt dat hier
voor. Als we dan kijken naar het wegingskader en hoe dat er nu uitziet, denk ik dat
dat voldoet. Het hoefde tot nu toe niet gehanteerd te worden, maar het zal wel een
keer gehanteerd moeten worden, want het gaat wel verder, nu het goed geborgd wordt
in de wet. Het is bedoeld om te kunnen bepalen of er sprake is van een zodanig ernstige
dreiging of ernstig incident dat bij uitzondering al informatie hierover aan een aanbieder
of schakelorganisatie verstrekt moet worden. Dat was de drempel voor de anticipatie,
maar het wegingskader gaan we nu hier invoeren zoals we het de afgelopen maanden hadden
bedacht en dat voldoet nog steeds, denk ik.
Deze vraag is voor het andere mapje van zo meteen, denk ik. Deze ook, denk ik. Dit
loopt door elkaar. Ik had alleen nog een vraag van mevrouw Koekkoek, ook in het verlengde
van wat mevrouw Leijten vroeg. Hier zit nogal wat urgentie op en een van de redenen
dat we hier een paar maanden geleden met elkaar over spraken – dit loopt natuurlijk
al veel langer; daar kom ik straks op terug – was de actualiteit in Oekraïne, met
het binnenvallen door Rusland. Mevrouw Koekkoek vroeg: «Er is een digitale dreiging.
Is dat nog steeds zo? Is dat alleen vanuit Rusland of zijn er nog andere dreigingen?
Wat is de urgente situatie?» De ontwikkelingen in Oekraïne blijven onzekerheid opleveren;
daar is helaas uiteraard niks aan veranderd. Het heeft een weerslag op de digitale
veiligheid van ons land. Het Nationaal Cyber Security Centrum heeft tot op heden geen
aan de oorlog gerelateerde digitale aanvallen waargenomen, gericht op Nederlandse
belangen. Momenteel lijkt het beeld daarmee stabiel, maar het dreigingsbeeld kan absoluut
abrupt veranderen. We blijven het dus met elkaar in de gaten houden en het maakt alles
waar we voor staan niet minder urgent. Ik denk dat dat de korte terugblik op de afgelopen
paar maanden is, vanaf het moment dat we elkaar voor het laatst over dit specifieke
voorstel spraken.
Dan ga ik in op het wetsvoorstel. Mevrouw Leijten had daar opmerkingen over en ik
meen ook andere Kamerleden. Laat ik even stilstaan bij hoe het wetsvoorstel tot stand
is gekomen. Het is natuurlijk niet zo – dat heeft ook niemand beweerd, hoor – dat
we een paar maanden geleden dachten: o, we moeten wat, dus we willen nu anticiperen
en we komen opeens met een wet. Het is een wetsvoorstel dat zorgvuldig is voorbereid.
Het is ook in juni vorig jaar in consultatie gegaan. Toen zag de wereld er nog wel
wat anders uit, maar we vonden het toen al urgent genoeg. Daarna kwamen natuurlijk
alle stappen in het proces, bijvoorbeeld advies vragen aan de Autoriteit Persoonsgegevens
en aan de Raad van State. Al die elementen zijn gewoon doorlopen, maar wel zo snel
als we konden. We hebben dus geen stappen overgeslagen, maar we hebben wel de Kamer
gevraagd het met urgentie te behandelen en dat betekent dat wij dat in huis natuurlijk
ook hebben gedaan. Dat houdt in dat we alles hebben gedaan om het proces te bespoedigen.
Zo hadden we de Raad van State gevraagd om spoedadvies, zoals we dat weleens doen
in dit soort uitzonderlijke gevallen. Nogmaals, veel dank ook voor het snel behandelen
van het voorstel hier.
Dan kom ik bij allerlei inhoudelijke vragen over het wetsvoorstel. Ik had hier van
de VVD, van mevrouw Rajkowski, de vraag wie wanneer informatie deelt. Ik ga nu een
paar afkortingen gebruiken en ik ga straks zeggen dat ik het volledig met mevrouw
Leijten eens ben. Deze commissie weet ook van mij dat ik zelf ook helemaal knettergek
word van alle afkortingen om precies dezelfde reden en ik val er ook over, maar dat
is niet zo belangrijk. De afkortingen maken alles namelijk heel afstandelijk en abstract
en de gemiddelde Nederlander denkt: dit gaat niet over mij, terwijl dat wel het geval
is. Dat deel ik dus en ik kom er straks op terug. Ik probeer er zelf ook slagen in
te maken, maar hou me aanbevolen voor alles. Bij een vorig debat heb ik alles uitgesproken
en dat betekende een uur extra spreektijd voor mij! Vandaar dat ik toch af en toe
op die afkortingen terugval. Maar het dilemma deel ik helemaal en dat kunnen de ambtenaren
onderbouwen.
Goed, wie deelt er informatie? Stel dat het NCSC aanwijzingen heeft van kwetsbaarheden
bij een groot, maar niet vitaal bedrijf. Dan heb je ook nog het Digital Trust Center,
het DTC. Hoe is dan de taakverdeling onderling, nu en straks, en wie deelt wanneer
wat? Het is zo dat beide organisaties momenteel ieder hun eigen primaire doelgroep
hebben. De rijksoverheid en vitale aanbieders worden namelijk bediend door het Nationaal
Cyber Security Centrum. Het niet-vitale bedrijfsleven wordt bediend door het Digital
Trust Center. Zodra het NCSC een aanwijzing heeft van een kwetsbaarheid van een groot,
maar niet vitaal bedrijf, dan geeft het die door aan het DTC. Dat betekent dat het
Digital Trust Center vervolgens contact opneemt met dat bedrijf. Eigenlijk komt het
erop neer dat het kan zijn dat ze voor elkaar relevante informatie hebben en dan informeren
ze elkaar. Dit zijn organisaties die natuurlijk gewend zijn om vanwege de doelgroepspecifieke
kennis die ze hebben opgebouwd, snel te schakelen en snel te reageren. Wij denken
dat ze daardoor ook in staat zijn om de doelgroep zo goed mogelijk te bedienen en
dat daardoor geen vertraging optreedt en er juist ook geen overlap is.
Het volgende is misschien ook goed om hier nog aan toe te voegen. Zij werken heel
erg nauw samen en ook met de NCTV. Daar zijn ook wat vragen over gesteld, waar ik
straks op terugkom. De NCTV is hierbij betrokken specifiek vanuit de coördinerende
rol binnen het cybersecuritystelsel en als beleidsopdrachtgever van het Nationaal
Cyber Security Center. Mevrouw Leijten vroeg hoe dit precies zit en hoe de rol van
de AIVD en dergelijke hierin is. Dat komt nog.
Mevrouw Van Ginneken vroeg aan mij waarom ik de suggestie van de Cyber Security Raad
om de drempel tot het delen van informatie te verlagen van aanzienlijke gevolgen naar
substantiële gevolgen niet overneem. Met de woorden «aanzienlijke gevolgen» werpen
we in ieder geval een hoge drempel op voor het delen van informatie. De kritiek kan
ook zijn: té hoog. Het gaat om de continuïteit van dienstverlening. Die komt tot uiting
met het begrip «aanzienlijke gevolgen». U kunt dan bijvoorbeeld denken aan een situatie
waarin de systemen van een aanbieder echt uitvallen. Dat betekent dat de aanbieder
daardoor de dienst niet meer kan verlenen en dat kan echt heel veel schade opleveren.
Als je het hebt over substantiële gevolgen, dan verlaagt dat de drempel. Dan heb je
een risico op substantiële schade. Dat kan natuurlijk heel erg heftig zijn, maar die
schade kan ook financiële schade zijn of materiële schade. Nogmaals, dat is in die
zin niet minder erg, maar maatschappelijke ontwrichting is er dan misschien niet.
We proberen daar dus onderscheid in te maken. Daarom zeggen we in dit kader: verlaag
nu niet de drempel, maar zorg ervoor dat het dan echt gaat over «gevolgen die voor
de samenleving ontwrichtend zijn» – laat ik het zo samenvatten – en de meeste ernstige
maatschappelijke ontwrichting.
De voorzitter:
Dat roept een vraag op bij mevrouw Van Ginneken. Een korte interruptie.
Mevrouw Van Ginneken (D66):
Ik begin met de vraag of we per blokje gaan interrumperen of direct.
De voorzitter:
Wat mij betreft mag u direct interrumperen, maar ik let erop dat de interrupties kort
zijn omdat inleidingen niet nodig zijn. We hebben namelijk onze inbreng geleverd.
Als het antwoord vragen oproept, dan is het logisch dat u daar even op reageert, maar
dat hoeft bij de eerste interruptie natuurlijk niet.
Mevrouw Van Ginneken (D66):
Begrijp ik de uitleg van de Minister goed dat het al dan niet plaatsvinden van maatschappelijke
ontwrichting hét onderscheidende criterium tussen «aanzienlijke» en «substantiële»
schade is?
De voorzitter:
Dat is een hele mooie korte vraag.
Minister Yeşilgöz-Zegerius:
Ja, daar komt het op neer. Bij substantiële schade kan het ook om andere vormen van
schade gaan. Nogmaals, die kunnen we met elkaar heel erg vinden en die kan ook heel
erg zijn, maar die is minder fundamenteel voor de maatschappij in bredere zin. Check!
De voorzitter:
Dank. De Minister vervolgt haar betoog.
Minister Yeşilgöz-Zegerius:
Dan wederom een vraag van mevrouw Van Ginneken. Zij vroeg welke andere mogelijkheden
wij zien voor de organisaties die objectief kenbaar tot taak hebben om andere organisaties
of het publiek te informeren over digitale dreiging en incidenten, de OKTT's. Ik denk
dat uitspreken waar de afkorting voor staat laat zien dat soms ook het uitgesproken
deel verwarrend is. Deze maakt het niet veel beter. In de verschillende inbrengen
is al heel erg goed toegelicht wat voor organisaties dit zijn. Het zijn inderdaad
organisaties die bedrijven en anderen kunnen helpen om substantiële gevolgen of aanzienlijke
gevolgen te voorkomen of hen daartegen kunnen beschermen.
Mevrouw Van Ginneken vraagt welke mogelijkheden zij nog meer hebben om te kunnen handelen.
Deze schakelorganisaties hebben tot taak om organisaties en hun doelgroep of het publiek
te informeren over de voor hen relevante digitale dreigingen, zodat zij daar op tijd
op kunnen anticiperen. Het wetsvoorstel regelt dat zij in meer gevallen dreigings-
en incidentinformatie van het Nationaal Cyber Security Centrum kunnen ontvangen. Zij
zullen die informatie dan analyseren, waar mogelijk verrijken en daarna delen. Daar
zitten dus ook nog echt wel wat handelingen. Het is niet alleen een doorgeefluik.
Dat geldt ook voor informatie uit andere bronnen zoals openbare bronnen. Verder kunnen
zij de informatie waarover zij beschikken, delen met het Nationaal Cyber Security
Center en met andere vergelijkbare schakelorganisaties als die informatie relevant
is voor hun doelgroep. Het kan dus beide kanten opgaan. Zij kunnen ook nog de samenwerking
tussen organisaties in de eigen achterbannen stimuleren. Daar zitten dus een heleboel
elementen in. Ik denk dat we dit daarmee goed borgen.
Ik heb de input van mevrouw Van Ginneken zo gehoord dat we dat altijd in de gaten
moeten houden. Laat ik het zo zeggen. Zij vraagt niet zozeer of daarvoor per se alleen
meer informatie moet worden gedeeld, want dat regelen we al, maar wel of er meer nodig
is, of er behoefte is om meer te kunnen doen met die data, om die organisaties elkaar
beter te kunnen laten helpen. Dat gaan we gewoon met elkaar blijven volgen, zoals
we dat hier nu ook doen. Als er uit veld een duidelijke, concrete roep komt – hier
moeten meer handelingen zijn; we missen iets – dan kom ik gewoon terug bij de Kamer,
maar op dit moment denken we dat we dit goed hebben geborgd.
Mevrouw Van Ginneken stelde de relevante vraag wanneer je dan zo'n schakelorganisatie
bent. Wanneer krijg je zo'n status? Wat is die grondige beoordeling dan en welke criteria
gelden daarbij? Bij de beoordeling staat de vraag centraal of het delen van gegevens
met die organisatie gerechtvaardigd en verantwoord is. Dat zijn de dingen die centraal
staan. Dat betekent dat wordt getoetst of de organisatie voor de eigen systemen voldoende
technische en organisatorische beveiligingsmaatregelen heeft getroffen. Daarmee wordt
bepaald of de organisatie informatie van het Nationaal Cyber Security Centrum zorgvuldig
verwerkt en daar vertrouwelijk mee omgaat. De manier waarop de informatie wordt ontvangen
en daarmee wordt omgegaan, is dus ontzettend belangrijk om meer scherp te hebben.
Er wordt ook nagegaan of de organisatie, met het oog op de vereisten van de Algemene
Verordening Gegevensbescherming, maatregelen heeft genomen om die persoonsgegevens
rechtmatig te verwerken. Dat is ook een vereiste. Verder wordt beoordeeld of de organisatie
objectiveerbaar als taak heeft om aanbieders over digitale dreigingen en incidenten
te informeren en wordt gekeken wat de doelgroep van die organisatie is. Dat laatste
is een hele belangrijke factor om te bepalen of de informatie vervolgens ook voor
dat doel gebruikt gaat worden. Al die elementen zijn eigenlijk de criteria aan de
hand waarvan wordt getoetst of ze die status kunnen krijgen.
Dan had mevrouw Van Ginneken de vraag: hoe wordt na toekenning van die status gecontroleerd
of ze het daadwerkelijk zo doen? Bij de aanwijzing als schakelorganisatie, als zogenaamde
OKTT, ondertekent die organisatie een verklaring. Daarin is opgenomen dat die organisatie
belangrijke wijzigingen op het gebied van een gerechtvaardigde en verantwoorde omgang
met gegevens zal melden bij het Nationaal Cyber Security Centrum. Denk bijvoorbeeld
aan wijzigingen met betrekking tot de getroffen beveiligingsmaatregelen, of wijzigingen
van de taken en de doelgroep. Zij moeten dat dan proactief melden. Als het Nationaal
Cyber Security Centrum op basis van die melding of uit andere bronnen aanwijzingen
heeft dat de gegevens niet meer gebruikt worden voor het doel waarvan wij nu met elkaar
afspreken dat dat het doel is waarvoor ze gebruikt moeten worden, dan kan het NCSC
die verstrekking opschorten of zelfs helemaal intrekken als dat nodig is.
Mevrouw Van Ginneken (D66):
Dat was een heldere toelichting van de Minister op de criteria, maar het antwoord
dat ze daarvoor gaf wil ik ook even in die context meenemen. Want de criteria voor
het toekennen van de status van OKTT, van schakelorganisatie, richten zich heel erg
op de vraag of de processen zorgvuldig zijn ingericht. Maar de Minister zei daarvoor
dat ze eigenlijk wel verwacht, of in ieder geval ziet, dat zo'n OKTT meer doet voor
zo'n sector, zoals proactief informeren en informeren over informatie die binnen die
sector binnenkomt. Dat zijn heel veel waardevolle dingen, denk ik. Ik zou het zonde
vinden als het NCSC een OKTT aanwijst die dat allemaal niet doet, terwijl er misschien
een andere organisatie is die die brede rol juist wel zou willen invullen. Het is
dan zonde als het NCSC zo smal kijkt bij de beoordeling van de vraag of een organisatie
OKTT-status krijgt. Sorry voor de lange inleiding, voorzitter, maar anders is mijn
vraag niet duidelijk. Kan de Minister toezeggen dat ze bij de toetsingscriteria voor
het toekennen van die status meeneemt of ze in bredere zin, dus buiten de dreigingsinformatie
van het NCSC om, een inzet pleegt om de sector waar ze verantwoordelijk voor zijn,
veiliger te maken?
Minister Yeşilgöz-Zegerius:
Ik denk dat dat een heel belangrijk element is. Ik begrijp de vraag zo: mevrouw Van
Ginneken en ik zijn het erover eens dat het niet leidend zou moeten zijn, want dat
zijn die harde criteria die de waarborg vormen voor wat we hier doen, maar dat het
wel een belangrijk element is. Op die manier kunnen we het volgens mij verwerken.
Ik zal dat zo even checken bij mijn ambtenaren, want anders zeg ik iets toe wat misschien
niet kan. Dat kan, hoor ik. Mooi. Dat is sneller dan een antwoord in tweede termijn,
zoals ik in gedachten had. Dan is het dus niet leidend, maar wel een belangrijk element
voor het totaal.
Mevrouw Van Ginneken (D66):
Daar ben ik blij mee. Ik knikte al, maar ik maak het nu ook verbaal. Dank.
De voorzitter:
De Minister vervolgt haar betoog.
Minister Yeşilgöz-Zegerius:
Dank u wel, voorzitter.
Dat is altijd fijn voor de notulen, zeker als je aan deze kant van de tafel zit.
Dan de vraag of het wel of geen extra werk is voor de Autoriteit Persoonsgegevens,
want die heeft hier natuurlijk een hele belangrijke toezichthoudende rol in. Mevrouw
Van Ginneken vroeg: hebben ze voldoende capaciteit, hoe ziet dat eruit? Doordat deze
schakelorganisaties meer informatie kunnen ontvangen, kunnen ze meer persoonsgegevens,
zoals IP-adressen, verwerken voor het uitvoeren van hun taken. IP-adressen zijn een
ander soort persoonsgegevens dan waar we het hier vaker over hebben, in andere debatten,
maar het zijn natuurlijk nog steeds persoonsgegevens. De Autoriteit Persoonsgegevens
houdt toezicht op die verwerking. Wij verwachten dat dit geen grotere toezichtlast
voor de Autoriteit Persoonsgegevens zal opleveren. Dat is de verwachting op dit moment.
We houden het natuurlijk wel in de gaten, zoals we altijd doen, bij alle vormen van
wetgeving. Als er iets in verandert, komen we erop terug. Als ik mij niet vergis,
heb ik in mijn mapje ook nog wat vragen over de middelen die voor de verschillende
organisaties waren vrijgemaakt. Maar op dit moment verwachten we in ieder geval geen
toename van de druk voor de AP.
Hier heb ik die vraag: extra geld voor het NCSC, het Nationaal Cyber Security Centrum.
Ik hoor dat er ook nog een vraag is over de bewaartermijn, maar dat antwoord komt
nog. We waren bij extra geld voor het NCSC. Daar hebben we inderdaad extra geld voor
vrijgemaakt om de komende jaren te kunnen investeren in cybersecurity en om de digitale
weerbaarheid van ons land, onze instanties en organisaties te kunnen vergroten. De
specifieke acties en investeringen zijn opgenomen in de Nederlandse cybersecuritystrategie.
Die komt medio oktober, zoals afgesproken. Daarin zullen we het ook allemaal uitschrijven.
Een deel van die investeringen die volgen uit de strategie, gaat inderdaad naar het
Nationaal Cyber Security Centrum. Ik denk dat het goed is om, op het moment dat die
strategie gedeeld is, daar nader met elkaar over van gedachten te wisselen. U ziet
het dan namelijk ook allemaal op papier. We kunnen er dan ook over praten. Het is
misschien wel goed om het volgende alvast mee te geven. Ik kan me namelijk voorstellen
dat dat ook in dit kader relevant is. Die investeringen in het Nationaal Cyber Security
Centrum zijn wel substantieel, die zijn wel wezenlijk. Maar daar komen we dus vrij
snel over te spreken.
Dan was er natuurlijk de vraag die we bij heel veel domeinen zien, en ook hier. Dat
is specifiek zo bij het NCSC, maar ook in dit domein: de capaciteit. Hebben we wel
genoeg mensen? Het is moeilijk om mensen te vinden. Er is sowieso sprake van krapte
op de arbeidsmarkt, zeker als het gaat over dit soort specifieke kennis. Daarom heeft
het Cyber Security Centrum extra geïnvesteerd in het werven van de beste mensen. Het
werk wordt zo aantrekkelijk mogelijk gemaakt, er wordt goed over gecommuniceerd en
men is daar heel actief in. We zien ook wel dat dat werkt. Het werpt vruchten af.
Maar dat neemt niet weg dat we altijd op zoek zijn naar goede mensen. Ik zeg dat ook
richting de Kamerleden. Dit is gewoon een heel belangrijk punt. Er wordt heel erg
actief aan gewerkt. Alle suggesties en ideeën daarvoor zijn meer dan welkom. Dit blijft
een uitdaging.
De voorzitter:
Een Minister die een suggestie doet dat Kamerleden een functie elders kunnen gaan
zoeken, is erg kwetsbaar. De Minister zegt buiten de microfoon dat ze dat niet zou
durven. Dit was ook een grap. Ik val weer terug in mijn rol als voorzitter. Mevrouw
Van Weerdenburg heeft een vraag.
Mevrouw Van Weerdenburg (PVV):
Ja, op dit punt ben ik het eens. Het was ook mijn oproep in eerste termijn om alle
kennis en kunde die er in Nederland is, in te zetten. Natuurlijk gaan we ze niet dwingen
om bij de overheid te werken. Maar in dat kader zou het misschien ook een goed idee
zijn, voor zover dat niet al gedaan wordt, dat het NCSC zo veel mogelijk dreigingsinformatie
openbaar maakt. Dat hebben we laatst bijvoorbeeld bij de Log4J-kwetsbaarheid gezien.
Het NCSC was heel snel met een GitHub. Het heeft heel veel informatie gedeeld. Die
was voor eenieder te zien. Kennis en kunde die er in een samenleving is, niet bij
een schakelorganisatie of wat dan ook, maar gewoon bij normale mensen die er verstand
van hebben, helpt om ervoor te zorgen dat de impact van zo'n kwetsbaarheid zo klein
mogelijk is. Sorry, voorzitter. Ik rond af. Zijn er nog slagen te maken? Kan er nog
meer informatie openbaar gedeeld worden?
De voorzitter:
De laatste vraag. Het was een korte vraag.
Minister Yeşilgöz-Zegerius:
Ik denk dat hierbij twee elementen een rol spelen. De publiek-private samenwerking
is bij dit vraagstuk natuurlijk echt cruciaal. Ik denk dat we dat binnen het cyberdomein
ook heel goed terugzien. Daarbij ben ik het er volledig mee eens dat alles wat openbaar
gedeeld kan worden, openbaar gedeeld moet worden. Daar moeten we ook naar blijven
streven. Het wordt nu ook steeds op de website geplaatst; mevrouw Van Weerdenburg
verwees er al naar. Ik denk dat alle informatie die breed van toepassing kan zijn,
ook richting het veld, absoluut breed verspreid moet worden door het NCSC. Dus dat
blijft ook ons verzoek, onze inzet en opdracht. Dit is dan voor de elementen die niet
zomaar openbaar gedeeld kunnen worden. Daar voldoen we aan de wettelijke borging.
Maar helemaal eens.
De voorzitter:
Dan vervolgt u uw betoog
Minister Yeşilgöz-Zegerius:
Ik heb hier een vraag van mevrouw Koekkoek, die volgens mij ook breder werd gesteld,
wat de gevolgen van de Netwerk- en informatiebeveiligingsrichtlijn zijn voor de toename
van het aantal aanbieders en welke aanbieders eronder zullen vallen. De herziening
van die richtlijn is nu in de afrondende fase. Een belangrijke wijziging ten opzichte
van de huidige richtlijn is dat lidstaten niet langer zelf aanwijzen welke organisaties
er binnen de reikwijdte van de richtlijn vallen. In principe gaat de richtlijn gelden
voor alle organisaties in een bepaalde sector, met uitzondering van microbedrijven
en kleine bedrijven. Daarnaast wordt ook het aantal sectoren dat binnen de richtlijn
valt, uitgebreid. Het gaat in totaal om organisaties in zeventien sectoren, zoals
drinkwater, chemie en overheidsdiensten. Dus er komt inderdaad een flinke uitbreiding.
Dat betekent voor ons land ook een forse toename van het aantal organisaties dat onder
de richtlijn zal vallen. Het is nu in de afrondende fase. Zodra we meer duidelijkheid
kunnen bieden, komt dat ook deze kant op. Maar het betekent een forse uitbreiding.
In het verlengde daarvan vroeg mevrouw Van Ginneken naar het tempo. Er staat 2024;
ze vroeg of dat niet sneller moet en of dat niet een beetje laat is. Het is waar.
We verwachten medio 2024 dat te kunnen implementeren. We gaan er wel van uit dat de
richtlijn dit najaar wordt vastgesteld. We zijn ook afhankelijk van een aantal stappen.
Bij de tijdsindicatie speelt het volgende. De richtlijn is, zoals gezegd, nog niet
definitief vastgesteld. We zitten in de afrondende fase. Pas na de vaststelling weten
we hoe die definitief luidt en wat die exact inhoudt. Op basis daarvan moet er een
wetsvoorstel komen. We zijn dus afhankelijk van die stappen aan de voorkant. Het wetsvoorstel
moet natuurlijk het hele wetgevingsproces doorlopen. Maar goed, niemand vroeg mij
hier om dat te skippen. Ik zeg het maar even, want dat zijn dan de stappen die komen:
de adviesaanvraag bij de Raad van State en noem maar op, en natuurlijk de behandeling
in de Kamers. Ook hierbij wat mij betreft in ieder geval de afspraak dat wij aan onze
kant alles zo snel mogelijk zullen doen. Dat doen we natuurlijk altijd met wetgeving,
maar we snappen heel goed het verzoek om al die stappen zorgvuldig maar zo spoedig
mogelijk te doorlopen. Zodra het definitief is vastgesteld, staan wij klaar om vervolgens
alles op te pakken zoals we dat oppakken. Daar waar het eerder kan, zullen we het
ook altijd eerder doen. Dus ik denk helemaal niet «2024, prima, geen haast», maar
we moeten die stappen doorlopen. Wel goed om nog even te benadrukken dat er al voorbereidingen
met alle betrokken vakdepartementen gaande zijn voor de implementatie. We doen dat
op basis van de voorlopige teksten. Dus we zitten nu ook niet stil.
De voorzitter:
Mevrouw Koekkoek heeft hierover toch nog een vraag. Een korte vraag zonder inleiding.
Mevrouw Koekkoek (Volt):
Mijn vraag is of met die voorbereidende teksten in de hand nu al duidelijk is of ergens
een gat zit. Het aantal verwerkingen dat nu in het voorstel ingekaderd wordt, moet
duidelijk en voorzienbaar zijn. Zijn er met die tijdelijke, voorlopige tekst van de
nieuwe richtlijn al gaten? Is dat voorzienbaar?
Minister Yeşilgöz-Zegerius:
Wat we nu al doen, is bijvoorbeeld ook met de betrokken bedrijven en sectoren dit
gezamenlijk oppakken. Voor zover ik het kan overzien, loopt dat. Op het moment dat
er gaten zichtbaar zijn, zullen we daar én op anticiperen én dat straks natuurlijk
ook bij het voorstel betrekken en de Kamer daarover actief informeren. Op dit moment
zijn we én met de vakdepartementen én de bedrijven die het betreft in voorbereiding
en hebben we geen zicht op enorme gaten waarvan men zegt dat het echt om die reden
zal misgaan. Dat is er niet. Maar absoluut afgesproken: als we dat wel zien, zullen
we proactief daar zelf op anticiperen of in de Kamer terugkomen met dat verhaal.
Mevrouw Leijten zegt over het toezicht dat het belangrijk is dat we dat goed doen.
Ze vraagt hoe het nu precies is geregeld en of er nog slimme stappen denkbaar zijn.
De Autoriteit Persoonsgegevens heeft een toezichthoudende rol bij de verwerking van
de persoonsgegevens door het Nationaal Cyber Security Centrum. Daarnaast houdt de
Inspectie JenV toezicht op de taakuitvoering van het Nationaal Cyber Security Centrum.
In dat opzicht denk ik dus dat er op dit moment al sprake is van regulier toezicht
dat goed opgetuigd is en dat ook voldoende is voor hetgeen we hier vandaag bespreken.
We kunnen wel kijken of de bevindingen van dit toezicht ook publiek kunnen worden
gemaakt, zodat de Kamer het ook goed kan volgen en u er vervolgens ook wat van kunt
vinden. Dat zullen we dan betrekken bij de gesprekken die we daarover hebben.
De voorzitter:
Ik heb als woordvoerder van de SP-fractie een korte vraag over het gebruik van verschillende
gegevens en het verwerven van verschillende gegevens. Is er een toezichtsysteem, bijvoorbeeld
in de Wiv, waarmee je vooraf toezicht vraagt maar waarmee er ook permanent toezicht
is? Kan ik het zo interpreteren dat dat er is met het toezicht van de AP? Is de AP
wel in staat om dat te doen? Zo niet, hoe houden we dan goed toezicht op dat wat gedeeld
en verwerkt wordt en uiteindelijk achterblijft bij verschillende organisaties, of
dat nou die schakelorganisaties zijn of de organisaties die nog toegevoegd worden?
Minister Yeşilgöz-Zegerius:
De verwijzing naar de Wiv was als voorbeeld, hè?
De voorzitter:
Ja.
Minister Yeşilgöz-Zegerius:
Want die heeft hier niets mee te maken. Ja, er is permanent toezicht door de AP, ook
richting de OKTT's, de schakelorganisaties. Daar kom ik zo nog op terug, want als
ik me niet vergis, was daar een vraag over. Ons beeld nu is dat de Autoriteit Persoonsgegevens
dat inderdaad kan en ook doet. Ons beeld is ook dat dit past bij de rol en de ruimte
en bij de capaciteit die er is.
De voorzitter:
Nu heeft de Autoriteit Persoonsgegevens juist gezegd dat zij vindt dat er een soort
van vervaltermijn zou moeten zijn als er uitwisseling van gegevens plaatsvindt. Dat
neemt de Minister niet over. Hoe is dat dan te regelen? Hoe zit dat dan in relatie
tot het toezicht?
Minister Yeşilgöz-Zegerius:
Laat ik dan meteen naar de vraag over de bewaartermijn gaan. Ik weet dat het hier
niet door elkaar loopt, maar voor alle mensen die dit volgen is het misschien goed
om het volgende nog eens te zeggen. Dit zijn persoonsgegevens, maar het zijn echt
andere gegevens dan de bijzondere persoonsgegevens waarover we het vaak met elkaar
hebben. De bewaartermijn gaat over de gegevens voor de organisaties die een schakelfunctie
hebben. Uit de Algemene verordening gegevensbescherming volgt dat persoonsgegevens
niet langer mogen worden bewaard dan noodzakelijk voor het doel waarvoor ze worden
verkregen of verwerkt. Dat is eigenlijk de afbakening. In die formulering zitten natuurlijk
een paar open eindjes. Daarom kijk je per keer waar het over gaat. Deze schakelorganisaties
moeten zich aan de Algemene verordening gegevensbescherming houden. Daartoe zij zijn
verplicht. In hun privacybeleid moeten zij aangeven wat dan de noodzakelijke bewaartermijn
is. Dat kan per incident, per dreiging verschillen. Dat maakt het lastig om het hier
aan de voorkant te zeggen, plus dat ik dit niet beslis voor de OKTT's. Zij hebben
hun eigen verantwoordelijkheid en moeten zich houden aan de Algemene verordening gegevensbescherming.
Ze worden daar ook op gecontroleerd. Maar het kan dus ook verschillen per incident,
per gegeven, noem maar op. Dit is dus al geborgd. Daarmee is het wat mij betreft niet
nodig en eigenlijk niet wenselijk om dit nu alvast in de wet te regelen. Dan houd
je de ruimte voor wat er echt nodig is. Ze moeten zich dus al aan de regels houden.
De Autoriteit Persoonsgegevens houdt toezicht op het juist omgaan met persoonsgegevens.
Daarom moet ook kunnen worden uitgelegd: waarom dit nu zo lang of zo kort? Omdat het
gaat over heel veel verschillende soorten informatie is het lastig om het generiek
te bepalen. Ik hoop dat ik hiermee aan de Kamerleden die daar vraagtekens bij hadden,
heb kunnen uitleggen dat we niet vinden dat een bewaartermijn onbelangrijk is. Absoluut
niet; die is superbelangrijk. Alleen is het op een andere manier geborgd, met – zeg
ik iets te simpel samengevat in mijn woorden – iets meer maatwerk per dreiging en
per soort informatie die er is.
In het verlengde hiervan had mevrouw Leijten de vraag of die informatie kan worden
gebruikt voor andere doelen, zoals het maken van een profiel en dergelijke. Hoe houd
je dat dan afgebakend? De Algemene verordening gegevensbescherming bepaalt al dat
dat vervolgens niet voor een ander doel gebruikt mag worden. Daar zit dus die afbakening
al in. Het Nationaal Cyber Security Centrum deelt alleen informatie die nodig is om
een digitale dreiging weg te nemen. In de Wet beveiliging netwerk- en informatiesystemen
staat dat dit het enige doel is. Voor de wetten die we vandaag bespreken, is al helemaal
afgebakend dat dat het enige doel is. De AVG zegt vervolgens: je mag het niet voor
een ander doel gebruiken.
De aangewezen schakelorganisaties moeten verklaren dat zij de informatie die zij van
het Nationaal Cyber Security Centrum ontvangen, alleen gebruiken voor het doel waarvoor
het is verstrekt. Op grond van de Algemene verordening gegevensbescherming is transparantie
over de verwerking van gegevens verplicht. Je hebt dus in ieder geval op verschillende
niveaus en via verschillende stappen de plichten ingebouwd om dat alleen voor dat
doel te gebruiken.
Laat ik de vraag van mevrouw Koekoek eerst doen, want die is in lijn met die van mevrouw
Leijten. De vraag was: loop je dan vervolgens niet het risico dat je de strafrechtelijke
hoek ingaat en allerlei andere zaken zonder grondslag worden gedaan met die gegevens?
In het kader van het wetsvoorstel is geen sprake van persoonsgegevens over strafbare
feiten zoals bedoelt in artikel 10 van de Algemene verordening gegevensbescherming.
De verstrekking van gegevens gaat over bijvoorbeeld IP-adressen, zoals gezegd. Dat
is bedoeld om aanbieders in de gelegenheid te brengen om maatregelen te nemen ter
bescherming van hun systemen. Ik waarschuw u, voorzitter, en dan weet u dat er een
kwetsbaarheid zit in uw e-mail. Zo weet u dat u zichzelf moet beschermen, maar u weet
niet dat de dreiging van mijn buurvrouw vandaan komt. Dit gaat simpel gezegd over
jezelf beschermen.
Bij de enkele verwerking van bijvoorbeeld een IP-adres kan niet worden afgeleid dat
er sprake is van een gedraging die een zwaardere verdenking dan een redelijk vermoeden
van schuld oplevert. Ik ga nu even technisch in op de vraag van mevrouw Koekoek, die
terecht technisch was. Daarvoor zijn namelijk meer concrete feiten en omstandigheden
nodig dan alleen een IP-adres. Daarmee heb je het dubbel afgebakend. Dit volgt ook
uit de jurisprudentie van de Hoge Raad.
Mevrouw Koekkoek (Volt):
Mijn zorg is meer het volgende. Stel dat je aangifte doet van een hack, wat een strafrechtelijk
feit is, mag degene die een IP-adres heeft gegeven, dat adres delen met bijvoorbeeld
de politie? Dan zou die informatie een strafproces inrollen.
Minister Yeşilgöz-Zegerius:
Ik wil even checken of we elkaar goed begrijpen. Mevrouw Koekoek krijgt informatie
dat er een kwetsbaarheid is, dus dat wordt gedeeld. Dat is bijvoorbeeld een IP-adres.
Het OM kan vorderen. Dan moet het OM dat IP-adres gaan vorderen. Dat kan. Die optie
bestaat. Maar daar zijn al die omstandigheden en feiten nog meer bij nodig, dus alleen
met het delen van het IP-adres heb je al die andere elementen niet. Om die reden is
het dus afgebakend. Mevrouw Koekoek krijgt alleen dat IP-adres. Zij krijgt er niet
meer context bij. Als zij daarvan aangifte doet, dan zal het OM dat moeten vorderen
en vervolgens aan de slag moeten gaan om die context erbij te halen. Ik zeg het even
simpel.
De voorzitter:
Ik zie mevrouw Koekoek. De Minister checkt en ik kijk of mevrouw Koekoek voldoende
antwoord heeft, of toch een vervolgvraag wil stellen. Het mag ook in tweede termijn.
U mag natuurlijk nu ook verder, ja.
Mevrouw Koekkoek (Volt):
Het gaat wel om informatie die je normaliter niet zou hebben. In het voorbeeld dat
ik aangifte doe, zou ik die niet hebben als degene die aangifte doet. Ik zit even
te twijfelen. Normaliter zou het OM dat ook niet kunnen vorderen. Daar zit dus toch
informatie die je normaliter niet zou hebben in zo'n strafproceszaak. Ik begrijp dat
dat IP-adres niet zo'n strafrechtelijk gegeven is, maar het wordt dan toch op een
andere manier gebruikt en wordt makkelijker beschikbaar dan nu het geval is, als ik
het goed begrijp.
Minister Yeşilgöz-Zegerius:
Ik denk dat ik de vraag begrijp. Misschien is het goed als ik daar in tweede termijn
op terugkom, want dan kan ik nog iets meer context geven, bijvoorbeeld ook de jurisprudentie
van de Hoge Raad, zodat we het samen beter kunnen doorgronden. Oké? Top.
De voorzitter:
De Minister vervolgt haar betoog.
Minister Yeşilgöz-Zegerius:
Dan had ik in dit mapje nog één vraag, ook van mevrouw Koekkoek. Dat betreft de vraag
welke aanbieders waaraan rechtstreeks informatie kan worden gedeeld de Minister voor
ogen heeft met het voorstel en welke definities we hanteren. Het gaat om aanbieders
die geen vitale aanbieder of rijksoverheidsorganisatie zijn én die niet behoren tot
de doelgroep van zo'n schakelorganisatie. Daar gebruiken we drie afgebakende criteria
voor. De betrokken aanbieder is niet vitaal, er is geen schakelorganisatie en er is
sprake van informatie over dreiging van een incident met aanzienlijke gevolgen voor
de dienstverlening van de betrokken aanbieder. Dat zijn de drie criteria. Zoals net
gezegd: dan kunt u denken aan politieke partijen, vakbonden, milieuorganisaties en
veiligheidsregio's. Die vallen allemaal niet onder de eerste twee criteria. Het kan
aanzienlijk uit de hand lopen als het daar misgaat.
Mevrouw Van Weerdenburg (PVV):
Het zou natuurlijk het beste zijn als iedereen bij een schakelorganisatie aangesloten
zou zijn of dat degenen die nu onder andere aanbieders vallen, misschien samen een
schakelorganisatie oprichten. Is er vanuit de Minister of de overheid ook een soort
stimulering om daartoe te komen? Het is noodzakelijk om de beslisboom of de sneeuwbal
zo klein mogelijk te maken. Worden organisaties die nergens bij zijn aangesloten misschien
ook gewezen op een bestaande schakelorganisatie?
Minister Yeşilgöz-Zegerius:
Daar zijn we mee bezig in de strategie die half oktober komt, want het is inderdaad
zo: hoe korter en sneller de lijntjes, hoe beter. Vanuit het Nationaal Cyber Security
Centrum en het DTC wordt dit gestimuleerd, maar we zullen er ook in de strategie meer
aandacht aan besteden.
De voorzitter:
De Minister vervolgt haar betoog.
Minister Yeşilgöz-Zegerius:
Dan ben ik bij het mapje dat ik maar het «cybersecuritystelsel» noem. Daar vallen
ook een heleboel vragen onder. Die gaan over de voorgenomen integratie tussen de diensten,
tussen al die afkortingen, zoals we vorige keer zeiden. Dat is heel erg belangrijk.
Het is ook een grote wens vanuit het veld en deze Kamer.
Mevrouw Van Weerdenburg vroeg: kunnen we proactief geïnformeerd worden als het goed
gaat, maar ook als het niet goed gaat, zodat we het z'n allen kunnen volgen? Zeker.
Ik zal de Kamer middels een brief informeren – dat hebben we ook toegezegd in de vorige
commissievergadering, dus dat is een staande toezegging – over de integratie van het
Nationaal Cyber Security Centrum, het Digital Trust Center en het Computer Security
Incident Response Team, CSIRT. We zullen dat zeker doen. De brief zal voor aanvang
van het volgende debat over onlineveiligheid en cybersecurity voor het zomerreces
worden verstuurd. Ik ben het volledig eens met mevrouw Van Weerdenburg en ik hoop
dat ik dat in deze commissie ook heb laten zien. Als er lastige dingen, ingewikkelde
dilemma's of dingen zijn die niet goed gaan, dan deel ik dat hier. We willen hier
allemaal hetzelfde. Dan kunnen we kijken waar het aan ligt en hoe we dat kunnen oplossen.
Dat ga ik dus zeker doen. Ik hoop dat dit soort dingen niet gebeuren, maar anders
kom ik er zeker op terug.
De vraag van mevrouw Leijten hebben we eigenlijk al besproken, maar ik vind het belangrijk
om het nog maar een keer te zeggen. Ze vroeg: hoe is zo'n OKTT dan afgebakend? Daar
hebben we al over gesproken, maar ze vroeg ook aandacht voor al die afkortingen en
voor hoe je er nou voor zorgt dat het een toegankelijker gesprek wordt, zodat de urgentie
ook duidelijker wordt. Ik wil daar echt mijn bijdrage aan leveren, ook omdat ik mezelf
zie als de gemiddelde Nederlander. Die snapt het belang wel, maar het doorzien van
wat er nou precies aan de hand is en wat het betekent, is gewoon heel erg complex.
We zullen in de strategie dus heel veel aandacht hieraan besteden en ook ons best
doen om die zo toegankelijk mogelijk te maken. Maar laten we elkaar daar ook scherp
op houden, op dit soort momenten maar ook als we met nieuwe dingen komen. Want het
is geen kwestie van niet in afkortingen willen praten of geen Engelse woorden willen
gebruiken. Het gaat erom dat iedereen weet: dit gaat ook over jou. Laat ik zeggen
dat ik het volledig eens ben met het kritiekpunt dat dat nog niet het geval is met
dit dossier. Ik moet eerlijk zeggen dat ik dat zelf ook ervaar. Dat neem ik dus absoluut
mee en ik houd me ook zeer aanbevolen voor oplossingen daarin.
Dan ben ik bij de vraag van mevrouw Rajkowski en van mevrouw Van Weerdenburg over
– daar gaan we weer – het Dutch Institute for Vulnerability Disclosure. Die naam hebben
wij in ieder geval niet bedacht, maar het komt op hetzelfde neer; Engels en met de
afkorting «DIVD». Zij vroegen: «Kan dat instituut misschien een formelere rol krijgen?
Hoe zit dat eigenlijk? En hoe zorg je voor een goede samenhang?» Zo heb ik dat in
ieder geval gehoord.
Het DIVD is een private organisatie. Zij heeft als doel om de digitale wereld veiliger
te maken door gevonden kwetsbaarheden in digitale systemen aan mensen te melden, die
die kwetsbaarheden vervolgens kunnen oplossen. Zij doet dit bijvoorbeeld door te scannen
op die kwetsbaarheden. Het DIVD doet echt uitzonderlijk goed werk en daar zijn wij
ontzettend blij mee. Het Nationaal Cyber Security Centrum werkt op dit moment waar
mogelijk ook al heel veel samen en zal dit in het nieuwe stelsel ook blijven doen.
Samenwerking tussen publieke en private partijen is gewoon cruciaal om Nederland digitaal
veilig te houden, zoals ik net al zei tegen mevrouw Van Weerdenburg. Dit kun je niet
vanuit één koker zelf doen. Dat bestaat gewoon niet.
Het DIVD kan op dit moment, in beginsel, door scannen binnendringen in een geautomatiseerd
netwerk zonder dat daartegen een strafrechtelijk onderzoek wordt ingesteld. Het moet
zich dan wel houden aan de richtlijn van het Openbaar Ministerie met betrekking tot
Coordinated Vulnerability Disclosure. Daarin zijn voorwaarden opgenomen op basis waarvan
binnendringen in geval van ethisch hacken niet wordt vervolgd. Daar zijn nogal strakke
criteria voor. Er wordt dus gekeken of er is gehandeld in het maatschappelijk belang
en dat moet men ook kunnen laten zien. Rijksoverheidsorganisaties moeten een wettelijke
grondslag hebben of toestemming krijgen van de betrokken organisatie om binnen te
mogen treden in geautomatiseerde netwerken, anders is er sprake van strafbaar handelen.
Dat is dus best wel een verschil.
Een formele rol voor deze organisatie, het DIVD, of een samenvoeging met het Nationaal
Cyber Security Centrum zorgt niet voor meer mogelijkheden voor het scannen op kwetsbaarheden.
Zij hebben allemaal aparte verantwoordelijkheden daarin, want scannen zal vanuit de
overheid altijd alleen maar kunnen op basis van een wettelijke grondslag. Om die reden
zou ik dat dus niet nog meer bij elkaar willen voegen. Maar zoals gezegd levert het
DIVD wel regelmatig informatie over mogelijk kwetsbare, geïnfecteerde en, natuurlijk,
gehackte systemen aan het Nationaal Cyber Security Centrum. Het NCSC informeert vervolgens
organisaties binnen hun doelgroep. Er is dus al een goede samenwerking. Wat ons betreft
zullen we altijd blijven zoeken naar een betere samenwerking, want ze hebben natuurlijk
wel een hele belangrijke functie.
Het lijkt erop dat ik alle vragen heb beantwoord.
De voorzitter:
Ik kijk even naar de collega's. Missen zij nog iets? Nee? Hebben we nog iets belangrijks
gemist, griffier? Nee? Ik hou het ook in de gaten, hè.
Minister Yeşilgöz-Zegerius:
Daar was ik al bang voor. Dat hoort erbij.
De voorzitter:
Daar zijn Kamerleden ook voor, om het in de gaten te houden. Dan dank ik de Minister
voor de beantwoording in eerste termijn. Ik kijk naar de Kamerleden om te zien of
we door kunnen gaan naar de tweede termijn. In de tweede termijn mogen moties worden
ingediend. Dat hoeft niet. Ik heb er zelf een in voorbereiding. Ik hoop dat die er
op tijd is. Anders schrijf ik die nog even uit. Je weet maar nooit.
Ik geef het woord aan mevrouw Van Ginneken voor haar tweede termijn.
Mevrouw Van Ginneken (D66):
Dank, voorzitter. Als het uw medewerker helpt, kan ik heel veel woorden gebruiken
om een heel lange inleiding te houden. Dat was ik eigenlijk niet van plan, maar ik
ga mijn best doen om het niet te snel te doen.
Ik ben blij dat wij dit gesprek met elkaar hebben. Ik ben blij dat de Minister een
aantal vraagpunten die ik had, heeft toegelicht. Ik ben gerustgesteld dat het NCSC
de informele bevoegdheid om informatie te delen de afgelopen maanden niet nodig heeft
gehad. Maar to the point: ik ben blij dat de Minister heeft toegezegd de schakelorganisaties,
de OKTT's, actief te stimuleren om een bredere rol te vervullen dan alleen het verspreiden
van de informatie die ze van het NCSC krijgen. Wie mij wat langer kent, weet dat ik
de rol van brancheorganisaties, die zomaar zo'n OKTT zouden kunnen zijn, altijd aanjaag.
Zij kunnen in het algemeen meer doen dan nu om onze economie en samenleving te beschermen.
Dit is daar een invulling van. Ik ben blij dat de Minister heeft toegezegd dat actief
in de toetsingscriteria op te nemen. Ik heb nog wel één zorg die ik wil delen. Misschien
kan de Minister daarop nog reageren. Zij zei dat de Autoriteit Persoonsgegevens door
dit wetsvoorstel geen extra werk krijgt. In principe vergroot elk wetsvoorstel waarbij
een nieuwe gegevensverwerking tot stand komt het terrein waarop de AP werkt. In dit
geval vind ik dat het wat extra aandacht vraagt, want het gaat om organisaties die
soms nieuw zijn, en die in ieder geval een hele nieuwe taak gaan vervullen. Dat is
een belangrijke, maar ook gevoelige taak, want het gaat om tot personen herleidbare
gegevens. Daarbij heeft de Minister ook aangegeven dat die organisaties zelf allerlei
keuzes maken in hoe ze hun proces inrichten, maar ook in hoe zij bijvoorbeeld omgaan
met bewaartermijnen. Dat vind ik dan eigenlijk toch wel kwetsbaar, omdat je een situatie
instapt waarbij heel veel organisaties dingen voor het eerst gaan doen. Kan de Minister
ingaan op de mogelijkheid dat de Autoriteit Persoonsgegevens actief alle OKTT's die
worden ingesteld, gaat visiteren en bekijken om te zien hoe het is ingericht? Dan
kunnen die organisaties zelf en de Autoriteit Persoonsgegevens daarvan ook leren,
zodat we zeker weten dat we met elkaar het goede aan het doen zijn. Als het antwoord
daarop ja is, kan de Minister de Kamer dan over die bevindingen informeren?
Dat was mijn tweede termijn, voorzitter.
De voorzitter:
Dank u wel, mevrouw Van Ginneken. Dan geef ik het woord aan mevrouw Rajkowski, die
spreekt namens de VVD.
Mevrouw Rajkowski (VVD):
Dank, voorzitter. Dank ook aan de Minister voor haar beantwoording over de groep ethische
hackers. RTL Nieuws noemde ze laatst «hackers met goede bedoelingen». Dat vond ik
eigenlijk ook wel leuk, dus misschien kunnen we ze ook wel zo noemen.
Ik zie toch nog wel een probleem voor ze. Ik ben namelijk op zoek naar het volgende.
Als het gaat om een formelere rol voor het DIVD, bedoel ik niet dat zij een rijksoverheidslabeltje
moeten krijgen. Maar nu krijgen zij bijvoorbeeld alleen maar incidenteel geld, en
ik zou liever zien dat ze structureel geld krijgen. Daar ga ik hier nu geen voorstel
voor doen, maar dit is alvast een winstwaarschuwing dat ik zo in de wedstrijd zit.
Daarnaast zou ik ook willen dat het oppakken en doorspelen van de informatie over
dreigingen die zij hebben, een structurelere vorm krijgt. Voor deze groep hackers
is het namelijk ook niet altijd duidelijk. Als ze informatie aan de rijksoverheid
geven, komt die niet altijd bij die bedrijven terecht. En wie gaat die bedrijven dan
helpen om verder door te groeien met die informatie? Ik merk dat de schoen daar nog
wringt. Wij zijn er in die zin voor dat het een formelere organisatie wordt. Het moet
geen rijksoverheidsorganisatie worden, maar wat zij doen mag nog wel iets meer richting
en serieusheid krijgen. Daarom wil ik de volgende motie indienen.
Motie
De Kamer,
gehoord de beraadslaging,
overwegende dat Nederland dagelijks onder vuur ligt door cyberaanvallen op zowel vitale
als niet-vitale bedrijven;
overwegende dat met het actief scannen op kwetsbaarheden bij aanbieders veel cyberaanvallen
tijdig kunnen worden voorkomen;
constaterende dat zowel het Nationaal Cyber Security Centrum als het Digital Trust
Center krachtens de Wet beveiliging netwerk- en informatiesystemen gericht zijn op
dreigingsinformatie delen en adviseren over het nemen van maatregelen aan vitale en
niet-vitale aanbieders;
constaterende dat het Dutch Institute for Vulnerability Disclosure op grotendeels
vrijwillige basis het internet proactief scant op kwetsbaarheden en deze meldt bij
relevante aanbieders;
verzoekt de regering te onderzoeken op welke wijze het Dutch Institute for Vulnerability
Disclosure een grotere, formele rol kan gaan spelen in het digitaal veilig houden
van Nederland in samenwerking met het NCSC en het DTC,
verzoekt de regering uiterlijk in het voorjaar van 2023 de Kamer te informeren over
de uitkomsten van dat onderzoek en de eventuele opvolging van die uitkomsten,
en gaat over tot de orde van de dag.
De voorzitter:
Deze motie is voorgesteld door het lid Rajkowski.
Zij krijgt nr. 9 (36 084).
De bode neemt de motie over. Ik zal u als voorzitter zeggen dat die onderdeel uitmaakt
van de beraadslaging. U zag mij een beetje moeilijk kijken omdat ik me afvraag of
de motie echt bij het wetsvoorstel past. Maar u heeft het er wél over gehad, dus we
gaan die gewoon toevoegen aan de beraadslaging. Ik denk altijd aan de fracties die
niet aanwezig zijn en de discussie hebben gemist. Kunnen zij dan afwegen hoe ze moeten
stemmen? Maar we laten de motie gewoon aan deze vergadering toevoegen. Dan kan de
Minister reageren. We stemmen over anderhalve week, dus ik hoop dat dat dan voldoende
tijd geeft. Mevrouw Van Weerdenburg, ik geef u het woord voor de tweede termijn namens
de PVV-fractie.
Mevrouw Van Weerdenburg (PVV):
Dank u wel, voorzitter. Ik dank de Minister voor alle antwoorden. Nogmaals, de PVV
is blij met deze wetswijziging, omdat die in onze ogen bijdraagt aan het tegengaan
van de versnippering in het cyberveiligheidslandschap. In dat kader kijken we natuurlijk
reikhalzend uit naar de cybersecuritystrategie. Nog maar negentien nachtjes slapen!
We verwachten daar gewoon veel van, zeg ik in de richting de Minister. Ik herinner
haar ook even aan de belofte dat ze er een heel mooi uitgetekend organogram bij zou
doen om het visueel ook meteen duidelijk te maken. Ik zie haar nu wel lichtelijk bezorgd
kijken, maar wie weet. U heeft nog een paar weken.
De motie over het DIVD van de vorige spreker vind ik wel sympathiek. Omdat die natuurlijk
ook idealiter ingepast moet worden in de cybersecuritystrategie, denk ik dat het relevant
is.
Voorzitter. Verder hadden wij geen opmerkingen. Dank.
De voorzitter:
U ook bedankt, zeg ik tegen mevrouw Van Weerdenburg. Dan geef ik het woord aan mevrouw
Koekkoek voor haar tweede termijn.
Mevrouw Koekkoek (Volt):
Dank, voorzitter. Ik heb ook niet zo heel veel, eigenlijk. Het was een goed debat.
Het is mooi als de punten een beetje overeenkomen, dus de pijnpunten die de Kamer
ziet en de punten waar de Minister op reageert. Dat is altijd prettig, vind ik. Waar
ik vooral heel blij mee ben, is de toezegging van de Minister om, met betrekking tot
de NIB-richtlijn en de criteria die we nu gebruiken voor de relevante aanbieders,
het meteen met de Kamer te delen op het moment dat er iets misgaat of risico's ontstaan.
Ik denk dat dat met name belangrijk is voor de aanbieders zelf, want je moet je kunnen
voorbereiden. Eigenlijk is het tijdpad best wel kort tussen het ingaan van deze wet
en het implementeren van die richtlijn. Ik denk dus dat dat heel belangrijk is.
Op het punt van de strafrechtelijke gegevens komt de Minister straks terug. Zodat
het straks sneller gaat, zal ik wel alvast meegeven waarom op dat punt voor mij een
zorg zit. Dat is namelijk omdat we, misschien onbewust, extra gegevens via deze wet
in een strafproces kunnen brengen. Dan kan je zeggen «nou goed, je moet überhaupt
niet hacken» – daar ben ik het mee eens – maar we moeten ervoor oppassen dat op het
moment dat data verzameld worden, die bewust, onbewust of halfbewust worden ingezet
voor iets waar ze eigenlijk niet voor bedoeld zijn. Dat zou eventueel in deze wet
opgevangen moeten worden, maar ik kan me ook voorstellen dat we dat juist in de regels
omtrent het strafprocesrecht op moeten vangen. Soms hebben bepaalde ingrepen ten aanzien
van data op andere plekken een effect dat je niet altijd ziet aankomen. Ik geef nu
alvast mee dat daarin mijn zorg zit. Ik hoop dat de Minister daar straks in de tweede
termijn op in kan gaan.
De voorzitter:
Mevrouw Rajkowski met een vraag.
Mevrouw Rajkowski (VVD):
Als ik haar net goed heb gehoord, heeft de Minister aangegeven dat dit wettelijk gezien
al geregeld is. Dat gaat onder andere om de AVG, maar ook om allerlei andere verordeningen.
Die afbakening zit er dus al in, ook in deze wet. Informatie mag alleen gebruikt worden
voor dit doel en niet strafrechtelijk. In de AVG staat dat ook. Ik ben er een beetje
naar op zoek wat Volt dan nog extra wil gaan regelen. Als het al heel duidelijk in
meerdere wetten vastgelegd staat, is het volgens mij meer zaak om daarop te handhaven
en te controleren dan om nog meer wetten te gaan maken. Is Volt dat met mij eens?
Mevrouw Koekkoek (Volt):
Als het makkelijk kan, ben ik daar in principe helemaal voor. Maar waar nu mijn zorg
in zit, is waar ik net naar vroeg. Ik noem even het voorbeeld waarin ik de aanbieder
ben die gehackt wordt en informatie krijg over een IP-adres. Dat gebied is afgebakend;
dat erken ik ook. Maar wat mij logisch lijkt, is dat ik als aanbieder dan vervolgens
aangifte doe van een hack, een strafbaar feit. Op dat moment heb óf ik beschikking
over een IP-adres, waar ik dat vóór het ingaan van deze wet niet zou hebben, óf het
OM zou dat kunnen vorderen, wat normaliter ook niet zou kunnen, omdat je die informatie
dan niet hebt. Dan komt dus toch via – laten we zeggen – een zijpad informatie in
het strafprocesrecht, waar je dat voorheen niet zo makkelijk tot je beschikking zou
hebben. Mijn zorg zit erin dat dat misschien per ongeluk gaat, onbewust. Ik denk dat
je er als wetgever sowieso altijd van op de hoogte moet zijn welke informatie je beschikbaar
stelt. Een tweede zorg is natuurlijk dat je dan wellicht toch de rechten van een verdachte
ondermijnt. Nogmaals, ik vind niet dat je moet hacken en het moet inderdaad allemaal
simpel kunnen, maar ook daarvoor geldt: rechten van een verdachte zijn er niet voor
niks.
De voorzitter:
Ik hoorde mevrouw Rajkowski «dank» zeggen. Mevrouw Koekkoek, u bent aan het einde
van uw betoog? Ja. Dan geef ik even het voorzitterschap over aan mevrouw Van Weerdenburg.
Voorzitter: Van Weerdenburg
De voorzitter:
Dank u wel. Dan geef ik het woord aan mevrouw Leijten voor haar tweede termijn.
Mevrouw Leijten (SP):
Dank daarvoor. Ik denk zeker dat het een goed debat was. Het is een belangrijke wet,
die richting geeft en een afwegingskader dat al gebruikt wordt wettelijk vastlegt.
Er moet de SP-fractie wel iets van het hart over het anticiperen op de wet. Dat moest,
en daarover hebben we snel nog een debat gevoerd omdat we dachten: het is wel een
uitzonderlijke situatie dat dit niet is toegepast. Dat laat bij de SP-fractie wel
een beetje een smaak achter in die zin dat daarbij wellicht argumenten zijn gebruikt
of een sfeer is gecreëerd die iets te hoogdravend zijn geweest.
Niettemin leggen we het nu vast. Daarbij zegt de Minister: eigenlijk voldoen het toezicht
en de wettelijke basis die we al hebben wel als het gaat over de waarborgen die er
zijn. De SP-fractie denkt dat dit zo is. Tegelijkertijd staan we aan de vooravond
van toch wel een behoorlijke verbouwing van toezicht, signalering, het in de gaten
houden. Er gebeurt natuurlijk ook heel veel. Er is internationale dreiging en nationale
dreiging. Er gebeurt heel veel op het internet waardoor we de aanpak daarvan moeten
verbeteren. Onze zorg is dat juist het toezicht op wat we doen en op het delen en
verwerken van gegevens bij al die uitdagingen en ambities het kind van de rekening
wordt. Het gaat dan om de vraag wat er bewaard blijft, wat voor risico's dat heeft
in de toekomst, of dat nou strafrechtelijk is of niet, en de vraag of het wordt opgeslagen
in profielen. Dat is allemaal niet de bedoeling en het is allemaal nu niet voorzien,
maar je weet het niet. Daarom heb ik een motie geformuleerd, die ik op papier heb
gekregen, waarvoor heel veel dank aan degene die de motie heeft gebracht. Ik heb er
zo min mogelijk argumenten in gezet, want het gaat echt om het bieden van een soort
waarborgfunctie. Het is ook geen oordeel, alsof de Minister het niet goed genoeg geregeld
zou hebben, maar meer een soort stok achter de deur.
Motie
De Kamer,
gehoord de beraadslaging,
constaterende dat de Minister aangeeft dat toezicht en bescherming van gegevensverwerking
bij de Wet beveiliging netwerk- en informatiesystemen (36 084) voldoende is vormgegeven;
verzoekt de regering bij de evaluatie van de wet en/of het wegingskader specifiek
aandacht te besteden aan toezicht op het delen van de gegevens, de verwerking en het
bewaren daarvan,
en gaat over tot de orde van de dag.
De voorzitter:
Deze motie is voorgesteld door het lid Leijten.
Zij krijgt nr. 10 (36 084).
Mevrouw Leijten (SP):
De context ervan is dat een wet altijd wordt geëvalueerd. Dit wegingskader wordt misschien
wel vaker geëvalueerd, omdat dit ook werkende weg beter kan worden. Er zit ook nog
best wel wat in ministeriële regelingen dat buiten ons als medewetgever geregeld kan
worden. De oproep in deze motie is eigenlijk om het toezicht daarop altijd goed te
evalueren en goed te beschouwen.
Nogmaals, de gedachte is niet dat de Minister daar geen oog voor heeft of geen oog
voor zou willen hebben. Maar wat de SP-fractie betreft is dit wel belangrijk om altijd
op het netvlies te houden. Nou hoorde ik net van mijn collega van de PVV dat we inderdaad
heel snel de cybersecuritystrategie van dit kabinet krijgen. Zij weet nog secuurder
hoeveel uur, minuten en dagen dat nog zal duren en ook dat daar nog een goede verdeling
bij zit, maar ik zou de Minister op het hart willen drukken om daar ook de rol van
zowel de NCTV als de AIVD goed bij te betrekken. Ik had daar wat vragen over gesteld.
Die zijn niet heel erg beantwoord. Dat geeft niet voor nu. Maar het idee is dat we
nu iets wettelijk regelen vanuit de juiste bedoelingen. Tegelijkertijd zijn er veel
organisaties en is er veel bestuurlijke drukte. Daardoor blijft de angst dat we dingen
dubbel gaan doen of juist dingen vergeten, omdat dat net niet iemands taak is. Dat
kan met zo'n overzicht of strategie ook ondervangen worden. De oproep van de SP is
dus om daar aandacht aan te besteden.
Bedankt.
De voorzitter:
Dank u wel, mevrouw Leijten. Ik zie geen interrupties. Ik geef u dus het voorzitterschap
weer terug.
Voorzitter: Leijten
De voorzitter:
Dan dank ik mevrouw Van Weerdenburg. Wij gaan over drie minuten verder. Dan is de
Minister klaar voor de beantwoording in tweede termijn.
De vergadering wordt enkele ogenblikken geschorst.
De voorzitter:
Ik geef de Minister van Justitie en Veiligheid het woord in tweede termijn.
Minister Yeşilgöz-Zegerius:
Dank u wel, voorzitter. Ik wil vooral nog ingaan op de twee moties en de vraag die
ik nog van Volt heb staan. Ik heb alle andere elementen meegeschreven en die nemen
we gewoon mee. Dat zeg ik nu maar even, want we spreken al heel snel verder met elkaar
over cybersecurity.
Ik behandel eerst de moties. De eerste motie op stuk nr. 9 van de VVD verzoekt of
we kunnen kijken hoe we het Dutch Institute for Vulnerability Disclosure, het DIVD,
een fundamentelere rol kunnen geven. Ik hoor mevrouw Rajkowski duidelijk zeggen dat
ze snapt dat het dan niet per se gaat om een formele rol als onderdeel van het hele
stelsel zoals we het nu hebben. Zoals ik net al aangaf zie ik dat ook eigenlijk niet
zitten. Maar ze zegt wel: ze doen zo belangrijk werk, dus kijk dan hoe dat beter geborgd
kan worden. Vanuit dat idee geef ik deze motie oordeel Kamer.
Ik heb de inleiding van de motie op stuk nr. 10 van mevrouw Leijten goed gehoord.
Ze zegt: ik zoek met alle kennis van nu op tig domeinen en dossiers een extra waarborg,
een verankering eigenlijk, van wat de Minister heeft gezegd. Zo zie ik het. Beide
moties krijgen wat mij betreft oordeel Kamer.
Dan heb ik nog de vraag van mevrouw Koekkoek. Dat is een ingewikkelde en een simpele
vraag tegelijk. Dat is altijd lastig. Daar kom ik nu achter. In principe, heel sec
gezien, heeft zij gelijk. Laten we daarbij beginnen. Dat is altijd de beste openingszin.
Stel dat mevrouw Koekkoek die informatie heeft gekregen, een IP-adres bijvoorbeeld.
Het kan ook haar eigen IP-adres zijn. Stel dat zij van een ander de informatie heeft
gekregen dat daar een kwetsbaarheid in zit en dat ze daar alert op moet zijn. Zij
zegt: «Daar kan ik dus aangifte van doen. Dan heb ik gegevens die ik anders niet had
gehad.» Dat kan vervolgens het begin zijn van een onderzoek of van een strafrechtelijk
iets. Feitelijk is het zo dat dat kan. Het OM kan die gegevens ook bij het NCSC vorderen.
Zij kunnen het overal vorderen. Maar de kans dat het per se bij één aangifte met een
IP-adres begint, is wel heel klein. Laten we even vanuit dat scenario doorwerken.
We zien – dat komt terug in de jurisprudentie maar ook in andere voorbeelden waarbij
dat niet kan – dat de informatie waarmee dan aangifte wordt gedaan zo weinig is, dat
het OM vervolgens wel allerlei andere feiten en context erbij zal moeten gaan vinden
om ook echt zo'n proces te kunnen beginnen. Alleen op basis van de informatie die
mevrouw Koekkoek heeft gekregen, zul je hoogstwaarschijnlijk niet meteen een zaak
hebben. Maar goed, je kunt nooit alles uitsluiten. Zo zit het. Het is geen gegeven
in het strafproces, maar het zou er wel aanleiding toe kunnen geven. Maar dan nog
moet het OM een rond verhaal hebben. Dat zou in een uitzonderlijk geval kunnen, maar
als Minister van JenV zou ik daar het volgende aan willen toevoegen, ook al was dat
niet de vraag. Als het OM het verhaal rond kan maken, dan is dat mooi meegenomen,
maar dat is niet het doel. Ik snap heel goed waarom ze daarop doorvraagt. Al die afbakeningen
zijn verankerd. Het zou in een uitzonderlijk geval kunnen, maar je mist dan nog steeds
heel veel feiten en context. Alleen op basis van een IP-adres kun je geen strafrechtelijk
onderzoek starten. Ik denk dat dat het antwoord was.
De voorzitter:
Ik kijk naar de collega's en zie geen nadere vragen. Ik dank de Minister voor haar
aanwezigheid en de beantwoording over dit wetsvoorstel. Ik dank uiteraard ook de leden
voor de behandeling van dit wetsvoorstel, de mensen hier in de zaal, de ondersteuning,
de griffier, de stenograaf, de bode en de mensen die dit thuis allemaal hebben gevolgd.
Dat geldt ook voor alle ambtenaren, zo zegt de Minister terecht. Ook belangrijk om
te weten: op 4 oktober stemmen we over dit wetsvoorstel en de ingediende moties.
Sluiting 12.18 uur.
Ondertekenaars
-
Eerste ondertekenaar
R.J. Kamminga, voorzitter van de vaste commissie voor Digitale Zaken -
Mede ondertekenaar
L. Boeve , griffier
Stemmingsuitslagen
Aangenomen met handopsteken
| Fracties | Zetels | Voor/Tegen |
|---|---|---|
| VVD | 34 | Voor |
| D66 | 24 | Voor |
| PVV | 17 | Voor |
| CDA | 14 | Voor |
| PvdA | 9 | Voor |
| SP | 9 | Voor |
| GroenLinks | 8 | Voor |
| PvdD | 6 | Voor |
| ChristenUnie | 5 | Voor |
| FVD | 5 | Voor |
| DENK | 3 | Tegen |
| Groep Van Haga | 3 | Voor |
| JA21 | 3 | Voor |
| SGP | 3 | Voor |
| Volt | 2 | Voor |
| BBB | 1 | Voor |
| BIJ1 | 1 | Voor |
| Fractie Den Haan | 1 | Voor |
| Gündogan | 1 | Voor |
| Omtzigt | 1 | Voor |
Gerelateerde documenten
Hier vindt u documenten die gerelateerd zijn aan bovenstaand Kamerstuk.