Verslag (initiatief)wetsvoorstel (nader) : Verslag
35 257 Voorstel van wet van het lid Verhoeven houdende een regeling voor een afwegingsproces voor het gebruik van kwetsbaarheden in geautomatiseerde werken door de overheid (Wet Zerodays Afwegingsproces)
Nr. 7 VERSLAG
Vastgesteld 31 januari 2020
De vaste commissie voor Binnenlandse Zaken, belast met het voorbereidend onderzoek
van dit wetsvoorstel, heeft de eer als volgt Verslag uit te brengen van haar bevindingen.
Onder het voorbehoud dat de initiatiefnemer op de gestelde vragen en de gemaakte opmerkingen
tijdig en genoegzaam zal hebben geantwoord, acht de commissie de openbare beraadslaging
over dit wetsvoorstel voldoende voorbereid.
Inhoudsopgave
Blz.
I
Algemeen
1
1.
Inleiding
1
2.
Achtergrond
3
3.
Hoofdlijnen
5
II
Artikelsgewijs
6
I Algemeen
1. Inleiding
De leden van de VVD-fractie hebben met belangstelling kennisgenomen van het initiatiefwetsvoorstel
van het lid Verhoeven houdende een regeling voor een afwegingsproces voor het gebruik
van kwetsbaarheden in geautomati-seerde werken door de overheid. De initiatiefnemer
stelt voor om een orgaan aan te wijzen dat tot taak heeft afwegingen te maken omtrent
de bekend-making van onbekende kwetsbaarheden (zerodays). Daarnaast stelt hij voor
een adviesorgaan in te stellen en onafhankelijk toezicht in te richten. Graag willen
zij de initiatiefnemer daarover enkele vragen stellen.
De leden van de CDA-fractie hebben kennisgenomen van het initiatiefwets-voorstel zerodays
afwegingsproces. Deze leden delen de wens van de indie-ner om de kwetsbaarheid van
de digitale systemen, waarvan ons dagelijks leven in hoge mate afhankelijk is, te
verkleinen. Daarbij is het van belang om als stelregel te nemen dat onbekende kwetsbaarheden
bekend worden gemaakt zodat misbruik voorkomen kan worden. Met de initiatiefnemer
onder-kennen deze leden evenwel dat er gerechtvaardigde gronden bestaan, met name
op het vlak van nationale veiligheid, op basis waarvan onbekende kwetsbaarheden voor
korte of langere tijd niet bekend worden gemaakt. De leden van de CDA-fractie stellen
vast dat de Afdeling advisering van de Raad van State ernstige bezwaren heeft geuit
tegen het initiatiefvoorstel. Deze leden delen de fundamentele kritiek van de Raad
van State en kunnen het wetsvoorstel dan ook niet steunen. Niettemin hechten deze
leden eraan nog enkele nadere vragen te stellen aan de initiatiefnemer.
De leden van de D66-fractie hebben met veel belangstelling kennisgenomen van onderhavig
wetsvoorstel. Zij onderschrijven het belang van een wettelijke geborgd afwegingskader
voor zerodays voor de gehele overheid. Deze leden zijn van mening dat de almaar groeiende
digitalisering en daarmee gepaard gaande kwetsbaarheid een belangrijke reden is om
de omgang van de overheid met zerodays goed te reguleren en controleren. Zij zien
onderhavig wetsvoorstel als een belangrijke stap in het veiliger maken van het internet
voor mensen en bedrijven. Voorts achten zij het bewonderenswaardig wanneer Kamerleden
gebruikmaken van het recht van initiatief en een initiatiefwetsvoorstel aanhangig
maken bij de Tweede Kamer. De aan het woord zijnde leden hebben nog enkele vragen
aan de initiatiefnemer.
De leden van de GroenLinks-fractie hebben met interesse kennisgenomen van de initiatiefwet
Wet Zerodays Afwegingsproces van het lid Verhoeven. Zij hebben in deze schriftelijke
fase enkele vragen aan de initiatiefnemer.
Deze leden hebben grote moeite met het bestaan van een markt voor zerodays en hacksoftware.
De overheid zou zich actief moeten inspannen, zowel in nationaal als multilateraal
verband, om deze markt in te perken. Het zich begeven op die markt als klant, past
daar niet bij. Vanuit dat oogpunt moet het uitbuiten van zerodays via geheimhouding
of aankoop beperkt blijven tot hoogst uitzonderlijke gevallen. Deze leden verwelkomen
dan ook het initiatief om een wettelijk afwegingskader in te stellen dat geldt voor
alle overheidsinstanties. Deze leden zijn tegelijkertijd van mening dat het voorgestelde
afwegingskader verder kan worden aangescherpt en ingevuld, om geheimhouding en aankoop
tot hoogst uitzonderlijke gevallen te beperken.
De leden van de SP-fractie hebben kennisgenomen van de Wet Zerodays Afwegingsproces.
Zij hebben hier nog enkele opmerkingen en vragen over.
De leden van de fractie van de SP lezen dat een zeroday, die de politie openhoudt
om verdachten op te sporen, de belangen van de AIVD kan schaden. Of dat een zeroday,
die Defensie wil gebruiken, onze vitale infra-structuur in gevaar zou kunnen brengen.
Deelt de indiener de opvatting van de leden van de SP-fractie dat elke zeroday die
door een overheids-organisatie wordt gevonden, in het kader van de cyberveiligheid,
altijd gedicht zou moeten worden?
De leden van de ChristenUnie-fractie hebben met belangstelling kennisgeno-men van
het voorstel van wet van het lid Verhoeven houdende een regeling voor een afwegingsproces
voor het gebruik van kwetsbaarheden in geauto-matiseerde werken door de overheid (Wet
Zerodays Afwegingsproces). Zij spreken hun waardering uit voor de aanhoudende betrokkenheid
van het lid Verhoeven op dit thema, en danken hem en zijn ondersteuning voor het initiatief
om te komen tot dit voorstel. Voor de leden van de ChristenUnie-fractie is het van
belang dat in onze digitale en innovatieve economie veiligheid en privacy gewaarborgd
zijn. Daarbij is het van belang dat het wettelijk kader aansluit bij de vragen die
dit steeds weer met zich mee brengt. Zij constateren met instemming dat indiener poogt
tot een dergelijk kader te komen voor het gebruik van kwetsbaarheden (zerodays) door
de overheid. Tegelijkertijd hebben zij ook kennisgenomen van de zeer kritische reactie
van de Raad van State. Om tot een goede afweging te komen stellen de leden van de
ChristenUnie-fractie graag de volgende vragen.
2. Achtergrond
In het kader van nut en noodzaak van voorgestelde regeling vragen de leden van de
VVD-fractie de initiatiefnemer het voorgestelde afwegingsproces danwel de afwegingsprocedure
met het afwegingsorgaan, de adviescom-missie en het toezicht nader te motiveren. Wie
besluit er straks over het gebruik van onbekende kwetsbaarheden? In hoeverre komt
er een algemeen afwegingskader, dat bij elke onbekende kwetsbaarheid wordt gebruikt?
Wat zijn de gevolgen van het voorstel voor de al bestaande procedures en de afwegingskaders,
zoals die bij de AIVD, MIVD en opsporingsdiensten? Vervallen die met het van kracht
worden van dit wetsvoorstel? Zijn AIVD, MIVD en opsporingsdiensten niet zo verschillende
organisaties dat zij intrinsiek verschillende afwegingskaders en procedures nodig
hebben? Wat betekent het beleggen van het externe toezicht bij de CTIVD voor de rol
van de Inspectie Justitie en Veiligheid en de inzet van hackbevoegdheden in het strafproces?
Wat betekent dit wetsvoorstel voor de Wet op de Inlichtingen- en Veiligheidsdiensten
en de Wet Computercriminaliteit 3? Moeten die worden gewijzigd? Moeten er nog andere
wetten worden gewijzigd? Gaarne krijgen de leden van de VVD-fractie een reactie van
de initiatiefnemer.
De leden van de VVD-fractie merken op dat zij de nationale veiligheid en de digitale
veiligheid van Nederland uitermate belangrijk vinden. In hoeverre wordt met het voorgestelde
proces de nationaal veiligheid en daarmee de digitale veiligheid van Nederland gediend?
Gaarne krijgen de leden van de VVD-fractie een reactie van de initiatiefnemer.
De leden van de CDA-fractie merken op dat de initiatiefnemer het ontbreken van afwegingskaders
als aanleiding noemt voor het initiatiefwetsvoorstel. Waarom heeft de indiener er
niet voor gekozen om simpelweg te bevorderen dat politie, marechaussee, FIOD en Defensie,
net als de AIVD en de MIVD, een afwegingskader voor het gebruik van kwetsbaarheden
in geautoma-tiseerde werken zouden gaan hanteren, zo vragen de leden van de CDA-fractie.
Kan de initiatiefnemer aangeven welke tekortkomingen de huidige procedure zijns inziens
in het geval van de inlichtingendiensten kent op het vlak van toetsing van het gebruik
van onbekende kwetsbaarheden (toestem-ming van de betrokken Minister bij positief
advies van de Toetsingscommissie Inzet Bevoegdheden en toezicht achteraf door de CTIVD)?
Wordt hiermee de beleidslijn «delen, tenzij» niet voldoende geborgd? Kan de indiener
dit tevens toelichten met betrekking tot de hack-bevoegdheid van de opsporings-diensten,
waarvoor een machtiging van de rechter-commissaris nodig is? Kan de indiener ingaan
op de opmerking van de Raad van State dat de inlich-tingen- en opsporingsdiensten
nu al, zonder het initiatiefwetsvoorstel, eigen-standig kunnen besluiten om tot overleg
te komen over afwegingen inzake het gebruik van onbekende kwetsbaarheden? Kan de indiener
toelichten of hij het voor mogelijk zou houden dat het Afwegingsorgaan een inlichtingendienst
zou verplichten tot het openbaar maken van een onbekende kwetsbaarheid, waarvan de
inlichtingendienst wil afzien met het oog op cruciaal onderzoek in het belang van
de nationale veiligheid, als zij ook factoren als «economie, cyberveiligheid, vrijheid»
(MvT blz. 13) volgens de indiener dient mee te nemen? Zo nee, welke toegevoegde waarde
heeft het Afwegingsorgaan dan ten opzichte van de huidige procedure?
De leden van de D66-fractie vragen de initiatiefnemer nader in te gaan op de noodzaak
van het instellen van een afwegingskader voor zerodays. Kan de initiatiefnemer daarbij
ingaan op het advies van de Raad van State?
De leden van de D66-fractie begrijpen dat de initiatiefnemer het afwegings-orgaan
beoogt onder te brengen bij het Nationaal Cyber Security Centrum (NCSC). Kunt de initiatiefnemer
deze beslissing nader toelichten? Brengt het onderbrengen van het afwegingsorgaan
bij het NCSC de onafhankelijke positie op het gebied van cybersecurity niet in gevaar?
Tot slot vragen de leden van de D66-fractie de initiatiefnemer nader in te gaan op
de samenstelling van het afwegingsorgaan. Waarom is voor deze organi-saties gekozen?
Hoe zorgt de samenstelling ervoor dat het principe «melden, tenzij...» vorm krijgt?
In de memorie van toelichting lezen de leden van de GroenLinks-fractie hoe in de Verenigde
Staten en in het Verenigd Koninkrijk wordt omgegaan met dit vraagstuk. Ook schrijft
de initiatiefnemer dat Nederland met dit wetsvoorstel het eerste land wordt met een
wettelijk afwegingskader. De leden van de fractie van GroenLinks zijn in dit kader
benieuwd hoe in andere Europese landen gediscussieerd wordt over hoe om te gaan met
zerodays. En kan de initiatiefnemer nader ingaan op het Europees rechtelijke kader
van dit vraag-stuk? Zijn er Europese initiatieven om te komen tot een Europees breed
afwegingskader?
De initiatiefnemer schrijft in de memorie van toelichting voorts dat de «Stiftung
Neue Verantwortung (SNV) adviseert om het principe «bias towards disclosure» vast
te leggen in de stemverhoudingen in het afwegingsorgaan, namelijk dat een zeroday
openbaar gemaakt wordt als een robuuste minderheid (15% of meer) van de POCs dat adviseert.»
Waarom heeft de initiatiefnemer ervoor gekozen om dit principe niet op te nemen in
het initiatiefvoorstel?
Kan de initiatiefnemer, zo vragen de leden van de GroenLinks-fractie, verder ingaan
op de heroverwegingstermijn van een jaar, gezien het feit dat de collision rate dan
al op een significant niveau ligt? Waarom kiest de initiatief-nemer er dan niet voor
om een kortere maximale heroverwegingstermijn voor te stellen, bijvoorbeeld van zes
maanden?
De initiatiefnemer geeft een aantal categorieën van afwegingsfactoren mee. Waarom
kiest de initiatiefnemer ervoor om slechts de categorieën van afwe-gingsfactoren aan
te geven en niet verdere richtlijnen aan te geven voor de daadwerkelijke afweging?
Is de initiatiefnemer bijvoorbeeld bereid om toe te voegen dat geheimhouding en aankoop
in principe beperkt moet blijven tot zerodays voor software die vooral door criminelen
wordt gebruikt?
Tot slot vragen de leden van de GroenLinks-fractie hoe dit afwegingskader zich verhoudt
tot het delen van informatie over zerodays met inlichtingen-diensten van bondgenoten
en tot het ontvangen van dergelijke informatie van diezelfde inlichtingendiensten.
De indiener stelt, zo lezen de leden van de SP-fractie, dat Cybercrime op dit moment
een schadepost is van € 10 mrd. Is de indiener van mening dat door een wettelijk kader
voor het melden van een zeroday deze kostenpost zal dalen, zo vragen de leden van
de SP-fractie zich af.
Deze leden hebben de uitkomsten van het gepubliceerde onderzoek van de denktank met
veel interesse gelezen, maar hebben hier nog enkele vragen over. Als eerste vragen
zij zich af of het wetsvoorstel van de indiener gehoor geeft aan alle uitgangspunten
van het rapport. Wordt op dit moment een geheimhoudingsverklaring getekend om te voorkomen
dat zerodays door het afwegingsproces beoordeeld worden? Deze leden lezen ook dat
het vertrouwen van «neutrale derden» kan worden geschaad. Wat wordt hier precies mee
bedoeld?
De initiatiefnemer stelt voor om per overheidsorganisatie, die betrokken is bij het
afwegingskader, een Point of Contact te laten aanwijzen. Wat zijn de ervaringen in
het buitenland met een Point of Contact (POC)? Ook wordt gepleit voor het vastleggen
van stemverhoudingen in dit afwegingsorgaan. In dit geval zou een zeroday bekend moet
worden gemaakt wanneer minimaal 15 procent van de POC’s hiervan overtuigd is. Waar
is dit aantal op gebaseerd?
De leden van de ChristenUnie-fractie lezen dat de Raad van State wijst op di-verse
manieren waarop gebruik van zerodays al zou worden gemonitord. In het bijzonder wordt
daarbij ook verwezen naar de Wet Computercriminaliteit 3 en de afweging die de rechter-commissaris
maakt. Genoemde leden kunnen de indiener volgen dat het voor een rechter-commissaris
complexe materie betreft. Indiener geeft daarom aan een gespecialiseerd afwegingsorgaan
passender te vinden. Heeft de indiener ook manieren overwogen om de rechter-commissaris
middels een kader en (advies)expertise beter in staat te stellen een dergelijke afweging
te maken?
Bij de afweging tot al dan niet bekendmaken van zerodays spelen verschillende belangen.
Deze belangen kunnen ook tussen overheidsorganen onderling gelden. Het is voorstelbaar
dat een zeroday door de AIVD wordt gebruikt, terwijl de politie graag zou zien dat
deze ook door criminelen wordt gebruikt voor andere doeleinden. Op welke wijze kan
hierin een afweging worden gemaakt, en hoe wordt voorkomen dat de zeroday die door
de AIVD wordt gebruikt, plots na een melding van de politie wordt afgesloten zonder
dat hierin een volledige belangenafweging heeft kunnen plaatsvinden?
3. Hoofdlijnen
De leden van de ChristenUnie-fractie zijn benieuwd hoe voorliggend voorstel in de
praktijk werkt wanneer een overheidsinstantie op zeer korte termijn gebruik wil maken
van een nieuw ontdekte zeroday, bijvoorbeeld omdat de veiligheid van de Staat in het
geding is. Hoe kan worden voorkomen dat voorliggend voorstel in zo’n geval tot kritieke
vertraging leidt?
De leden van de ChristenUnie-fractie hechten er ook aan om te benoemen dat de grootste
kwetsbaarheid bij cyberveiligheid, vaak de menselijke component is. Dat kan zowel
komen door menselijke fouten, maar ook door moedwillig handelen, al dan niet na omkoping.
Met voorliggend voorstel zullen zerodays met een grotere groep mensen gedeeld worden
dan nu het geval is, en neemt dus ook het risico onregelmatigheden toe. In hoeverre
is dit een afweging geweest bij het opstellen van voorliggend wetsvoorstel? Ziet de
indiener mogelijkheden om dergelijk risico te beperken?
Dit zorgpunt kan ook een factor van betekenis zijn voor de bereidheid van buitenlandse
actoren om zerodays met de Nederlandse overheid te delen. Graag zouden de leden van
de ChristenUnie-fractie een reflectie krijgen van de indiener op de vraag welke gevolgen
indiener verwacht voor de bereidheid van bondgenoten om zerodays te delen. Daarbij
zouden zij, naast het genoemde veiligheidsrisico, ook graag zien dat indiener ingaat
op mogelijke terughoudendheid van bondgenoten uit angst dat het Nederlands afwegingsorgaan
tot bekendmaking zal besluiten.
Tot slot op dit punt vragen de leden van de ChristenUnie-fractie of rekening is gehouden
met verzoeken in het kader van de Wet openbaarheid van bestuur (Wob). In de Wet gegevensverwerking
en meldplicht cybersecurity is in Artikel 9 lid 6 een aantal onderdeel uitgesloten
van de Wob. Kan een dergelijke bepaling ook in voorliggend wetsvoorstel noodzakelijk
zijn, zo vragen genoemde leden.
II Artikelsgewijs
Artikel 1
In de wetstekst wordt gesproken over «vitale infrastructuren». De leden van de ChristenUnie-fractie
zien hier geen begripsbepaling voor terug. Wat verstaat de indiener onder «vitale
infrastructuren»? Is het denkbaar om de betekenis van dit begrip, of een andere vergelijkbare
tekst, ook in artikel 1 op te nemen? Zij verwijzen hierbij ook naar de begripsbepaling
«vitale aanbieder» die in de Wet gegevensverwerking en meldplicht cybersecurity staat
opgenomen.
Artikel 3
Graag horen de leden van de ChristenUnie-fractie of de indiener voorbeelden kan geven
waar de economische belangen van de Staat gebaat kunnen zijn bij het niet bekend maken
van een Zeroday.
De voorzitter van de commissie, Ziengs
De adjunct-griffier van de commissie, Hendrickx
Ondertekenaars
-
Eerste ondertekenaar
E. Ziengs, voorzitter van de vaste commissie voor Binnenlandse Zaken -
Mede ondertekenaar
F.M.J. Hendrickx, adjunct-griffier
Gerelateerde documenten
Hier vindt u documenten die gerelateerd zijn aan bovenstaand Kamerstuk.