Verslag (initiatief)wetsvoorstel (nader) : Verslag
35 868 Wijziging van het voorstel van wet houdende algemene regels inzake het elektronisch verkeer in het publieke domein en inzake de generieke digitale infrastructuur (Wet digitale overheid)
Nr. 5
VERSLAG
Vastgesteld 8 oktober 2021
De vaste commissie voor Digitale Zaken, belast met het voorbereidend onderzoek van
bovenstaand wetsvoorstel, heeft de eer als volgt verslag uit te brengen van haar bevindingen.
Onder het voorbehoud dat de regering op de gestelde vragen tijdig en genoegzaam zal
hebben geantwoord, acht de commissie de openbare beraadslaging over dit wetsvoorstel
voldoende voorbereid.
INLEIDING
I. ALGEMEEN DEEL
Inleiding
De leden van de VVD-fractie hebben met belangstelling kennisgenomen van het wetsvoorstel
Wijziging van het voorstel van wet houdende algemene regels inzake het elektronisch
verkeer in het publieke domein en inzake de generieke digitale infrastructuur. Het
betreft hier een zogenaamde novelle. Graag willen deze leden de regering een aantal
vragen stellen.
Wordt als het gaat om privacy by design, verhandelverbod en open source in het onderhavige
wetsvoorstel iets anders geregeld dan in het wetsvoorstel dat in de Tweede Kamer is
aanvaard en nu in de Eerste Kamer ligt1? Of wordt alleen voorgesteld om deze punten bij wet te regelen in plaats van bij
algemene maatregel van bestuur (AMvB)? Daarnaast vragen deze leden de regering inzicht
te geven in de uitvoeringstoetsen. Welke uitvoeringstoetsen met betrekking tot de
Wet digitale overheid zijn tot op heden gedaan? Wat waren de uitkomsten? Wat is de
betrokkenheid van de Vereniging van Nederlandse Gemeenten (VNG)? Graag krijgen deze
leden een reactie van de regering.
De leden van de D66-fractie hebben kennisgenomen van de wijziging van het voorstel
Wet digitale overheid. Voor deze leden zijn basisprincipes van privacy by design,
open source en het verhandelverbod belangrijke kernpunten voor een goed functionerende
digitale overheid, echter hebben de aan het woord zijnde leden nog enkele vragen.
Deze leden zien dat de regering in de wijziging van het voorstel meerdere keren kiest
voor delegatie bepaling door middel van AMvB’s. Deze leden erkennen dat dit nodig
kan zijn om wetgeving aan te laten sluiten bij snel veranderende digitale standaarden,
maar sluiten zich aan bij het advies van de Raad van State dat te abstracte wetten
leidt tot onzekerheid over de gevolgen van de hoofdelementen van de desbetreffende
wetten. Zo is er op het gebied van de transitietermijn of het voldoen aan een open
source licentie niets opgenomen in de wijziging van het voorstel. Acht de regering
het niet wenselijk dat begrippen zoals «voldoende gebruik» van open source heldere
criteria vereisen in het voorstel zelf? Deze leden horen graag van de regering welke
gevolgen voorzien worden op de wijziging van het voorstel met de aankondiging van
een herziening van de eIDAS-verordening door de Europese Commissie. Voorziet de regering
problemen of oneerlijke concurrentie als er voor Nederlandse aanbieders andere eisen
bestaan op het gebied van open source dan andere Europese aanbieders die toegang krijgen
tot de Nederlandse markt?
De leden van de CDA-fractie hebben met belangstelling kennisgenomen van onderhavig
wetsvoorstel. Deze leden menen dat een voortvarende behandeling van belang is. Wel
hebben zij nog een enkele vraag over het wetsvoorstel. Deze leden vragen de regering
waarom er niet meer techniek-afhankelijke bepalingen in het wetsvoorstel zijn opgenomen,
zoals de Afdeling advisering van de Raad van State heeft geadviseerd. De leden van
deze fractie vragen voorts naar de uitwerking van de motie-Van der Molen2. Deze motie is gericht op het herstellen van een weeffout die is ontstaan in de aanloop
van het gehele wetstraject en de Kamer is geïnformeerd over de uitvoering van de motie.
De uitwerking zal op zijn vroegst geregeld worden bij de tweede tranche van de Wet
digitale overheid. Deze leden vragen waarom dit niet nu al via deze novelle geregeld
kan worden.
De leden van de SP-fractie hebben kennisgenomen van de wijziging van de Wet digitale
overheid en hebben hierover nog verscheidende vragen en opmerkingen. Genoemde leden
hebben al eerder tijdens de behandeling van dit wetsvoorstel hun kritiek geuit. Die
kritiek zag met name op de verhouding tussen publieke en private middelen en de ernstige
tekortkomingen in de wet omdat veel voorstellen niet voldoende waren uitgewerkt. De
leden hebben daarom destijds ook niet ingestemd met de Wet digitale overheid. Genoemde
leden vinden het dan ook terecht dat de wet wordt aangepast na verschillende zorgen
vanuit de Eerste Kamer. Genoemde leden zien echter nog niet voldoende verbetering
in de voorgestelde wijziging. Genoemde leden vragen naar de motivering van de regering
om de wet niet verder uit te breiden met meer waarborgen rondom digitalisering. In
een wet die de titel «Wet digitale overheid» draagt zou dat volgens genoemde leden
passend zijn. In het rapport «Digitalisering in wetgeving en bestuursrechtspraak»
doet de Raad van State zes aanbevelingen3. Deze zien onder andere op de gevolgen van automatisering voor burgers. Zo adviseert
de Raad onder andere om «goede en inzichtelijke afspraken te maken over onderwerpen
als verantwoordelijkheid, datagebruik, eigendom van data en techniek, onderhoud en
knowhow.». Ziet de regering ook mogelijkheden om in deze wet ruimte te vinden voor
de aanbevelingen van de Raad en hierover met een visie te komen? De leden van deze
fractie lezen dat het in algemene zin reguleren van alle vormen van commerciële uitnutting
van persoonsgegevens buiten de werkingssfeer van dit wetsvoorstel valt. Waarom is
hier voor gekozen? Waarom is er niet gekozen voor een ruimere definitie elke vorm
van commerciële uitnutting van persoonsgegevens wordt uitgesloten?
De leden lezen dat er nog steeds zorgen leven over de delegatiebepalingen in de wet.
Daar hebben deze leden ook aandacht voor gevraagd bij de behandeling van de wet. Zij
lezen dat de Raad van State en de regering hierover nog altijd van inzicht verschillen,
in zoverre dat de wet zelf meer substantie zou kunnen gebruiken. Dit ziet onder andere
op de techniekonafhankelijke formuleringen. Kan de regering nader ingaan op de kritiek
van de Raad van State? De Raad van State adviseerde om begrippen als MijnOverheid
en het BSN-Koppelregister in de wet zelf op te nemen. De regering geeft aan het advies
te hebben opgevolgd maar genoemde leden zien dit nergens terug. Waarom denkt de regering
dat er wel aan het advies is voldaan?
De leden van de GroenLinks-fractie hebben kennisgenomen van de wijziging van het voorstel
van wet houdende algemene regels inzake het elektronisch verkeer in het publieke domein
en inzake de generieke digitale infrastructuur (Wet digitale overheid). De leden hebben
nog enkele vragen. De voornoemde leden merken immers op dat de adviezen van de Raad
van State niet in de volledigheid zijn meegenomen betreffende de techniekonafhankelijkheid.
De uitwerking hiervan wordt nog steeds aan lagere overheden overgelaten. De voornoemde
leden zien geen belemmering om het wetsvoorstel te concretiseren in plaats van in
abstracties te blijven. Immers bestaat er al de mogelijkheid om de regering tijdelijk
de mogelijkheid te geven om op onderdelen van de wet af te wijken om ruimte te geven
aan innovatie. Blijft de regering bij het standpunt dat het onnodig is om in de wet
de voorzieningen met een door de techniek ingegeven benaming aan te duiden? Wat is
de verwachte omlooptijd waarin dezelfde technieken worden gebruikt? Tevens merken
de voornoemde leden op dat uit antwoorden van de regering blijkt dat verschillende
zaken in de Wet digitale overheid moeten worden gehandhaafd. Denkt de regering dat
voor handhaving voldoende middelen zijn? Waar baseert de regering zich op?
De leden van de Volt-fractie hebben met belangstelling kennisgenomen van het gewijzigde
wetsvoorstel. Zij hebben hierover nog enkele vragen. De eerste vraag, betreft een
algemene vraag ten aanzien van de noodzakelijkheid van de voorgestelde Wet digitale
overheid. De eIDAS-verordening bevat zelfstandige regels omtrent het aanbieden van
(elektronische) authenticatiemiddelen bij overheidsinstellingen. De eIDAS-verordening
is als EU-verordening rechtstreeks van toepassing in de EU-lidstaten. Verschillende
lidstaten hebben inmiddels al wetgeving geïmplementeerd op grond waarvan het mogelijk
is voor (private) partijen om elektronische identificatiemiddelen voor overheidsinstellingen
aan te bieden. Daarvoor gebruiken zij verschillende soorten wetgeving. De leden van
deze fractie vragen de regering op welke manier zij kennis heeft genomen van hoe andere
Europese lidstaten de toelating van private middelen als identificatiemiddelen (wettelijk)
hebben geregeld. Heeft de regering kennisgenomen van de wijze van implementatie van
andere Europese lidstaten van de eIDAS-verordening voor de toelating van private middelen
als identificatiemiddelen voor overheidsinstellingen? Zo ja, op welke manier? Voor
zover de regering heeft gekozen voor een andere implementatiemethode dan andere Europese
lidstaten, wat is daar voor de onderbouwing? Welke afweging is daarbij gemaakt ten
aanzien van bepalingen in de voorliggende Wet digitale overheid tot al bestaande bepalingen
in de eIDAS-verordening? Hoe beoordeelt de regering de proportionaliteit en subsidiariteit
in dit kader?
Het lid van de BBB-fractie heeft kennisgenomen van het voorliggende wetsvoorstel.
In het wetsvoorstel Wet digitale overheid is opgenomen dat de provincies het interbestuurlijk
toezicht uitoefenen in het kader van deze wet op gemeenten en indien van toepassing
op gemeenschappelijke regelingen. De provincies geven aan op zichzelf bereid te zijn
om deze taak op zich te nemen, maar zij wensen op korte termijn duidelijkheid over
de reikwijdte van het toezicht, welke eisen aan de taakuitvoering door gemeenten mogen
worden gesteld, en de compensatie die het Rijk de provincies zal verschaffen voor
deze nieuwe taak. Extra taken zonder budget is namelijk een resultaat voor mislukking.
Op 18 augustus 2021 heeft Bureau Berenschot een kritisch rapport uitgebracht over
de uitvoering van de Wdo4. Eén van de eindconclusies luidt: «De specifieke toezichtstaak (artikel 17 lid 3)
voor provincies op de naleving van de Wdo is nu niet uitvoerbaar. Er is wat ons betreft
nog niet voldoende duidelijk wat van provincies wordt verwacht en het lijkt niet voldoende
doordacht hoe deze taak zich verhoudt tot de generieke toezichtstaak van provincies».
Kan de regering aangeven hoe zij deze eindconclusies weegt en hoe zij de compensatie
voor extra taken vorm gaat geven?
Privacy by design
De leden van de D66-fractie merken op dat de regering aangeeft dat voor het gebruik
van privacy by design de actuele stand van processen en technieken leidend zal zijn.
Welke eisen voldoen hier momenteel aan? Wanneer zijn gegevens volgens de regering
onvoldoende beschermd en dus reden tot het weigeren van toelating? In hoeverre verschilt
dit of is dit aanvullend aan de General Data Protection Regulation (GDPR)?
De leden van de Volt-fractie onderschrijven het belang van privacy by design en privacy
by default uit de Algemene Verordening Gegevensbescherming (AVG). De leden lezen dat
de wijzigingen in het gewijzigde voorstel ervoor moeten zorgen dat partijen nieuwe
methoden en technieken (kunnen) toepassen, zonder dat daarbij de rechtszekerheid in
het geding komt. Daarbij stellen zij de vraag wiens rechtszekerheid daarbij gediend
is: die van de partijen die nieuwe methoden en technieken toepassen en reeds een erkenning
hebben gekregen? Of de rechtszekerheid van de gebruikers van de door die partijen
aangeboden elektronische identificatiemethoden (burgers)? Welke afweging is gemaakt
tussen de belangen van beide partijen? Welk beoordelingskader houdt de Minister van
Binnenlandse Zaken en Koninkrijksrelaties aan bij het beslissen of de erkenning van
de reeds erkende partijen in stand wordt gehouden of wordt gewijzigd, geschorst of
ingetrokken?
Open source
De leden van de VVD-fractie merken op dat een erkenning geweigerd wordt als bij de
voor de werking van het identificatiemiddel of de ontsluitende dienst noodzakelijke
processen naar het oordeel van de Minister onvoldoende gebruik wordt gemaakt van software
die onder een open source licentie is gepubliceerd. Het komt de leden voor dat er
al snel een verschil van mening kan ontstaan over de vraag of er voldoende gebruik
van open source wordt gemaakt. Daar komt dan het veiligheidsaspect ook nog bij; er
moet immers veilig kunnen worden ingelogd. Wanneer is er sprake van het onvoldoende
gebruik maken van open source? De leden van deze fractie vragen de regering hier nader
op in te gaan. Waarom is er voor gekozen om erkenning te weigeren als onvoldoende
gebruik wordt gemaakt van software die onder een open source is gepubliceerd? Hoe
is dit geregeld in het wetsvoorstel Wet digitale overheid dat nu in de Eerste Kamer
ligt. Graag krijgen de leden een reactie van de regering. Deelt de regering de mening
van de leden van deze fractie dat het allerbelangrijkste is dat technische oplossingen
aan de veiligheidseisen en -waarborgen voldoen, dat open source niet per definitie
de veiligste optie is en dat closed source oplossingen niet uitgesloten mogen worden?
Zo nee, waarom niet?
De leden van de D66-fractie zouden graag een nadere toelichting ontvangen over verschillende
aspecten op het gebied van open source. Op welke termijn zal de transitie richting
open source gelden? Geldt dezelfde termijn voor Digid? Hoeveel aanbieders van open
source software acht de regering voldoende? Zit hier een limiet aan? De leden horen
graag waarom de regering open source niet heeft verankerd in de wet in plaats van
met een wegingsfactor. Wat zijn de criteria op basis waarvan een weging kan worden
gemaakt over het wel of niet verplicht gebruiken van open source? Voor de onderdelen
waar gebruik van open source niet gewenst is, bestaat daar wel de mogelijkheid van
het stimuleren van open standaarden, bijvoorbeeld ter bevordering van interoperabiliteit?
Op welke manier wordt het gebruik van open source gehandhaafd? De leden zien graag
in een tijdslijn uiteengezet wat de novelle betekent voor de verdere behandeling en
uitvoering van de Wet Digitale Overheid
De leden van de Volt-fractie merken op dat de regering aangeeft bij de aanvraag om
erkenning gebruik te maken van de standaard «Open Source, tenzij», waarbij bij beoordeling
van de aanvraag voor erkenning telkens zal worden bezien of open source redelijkerwijs
mogelijk is, waarbij het geheel van de door de aanvrager te nemen maatregelen wordt
beoordeeld op veiligheid en proportionaliteit. De leden onderstrepen het uitgangspunt
dat de regering aanhoudt, waarbij open source de standaard is. De toelichting bij
de Wet digitale overheid, zoals hierboven omschreven, bevat nog wel veel interpretatieruimte.
In dit licht vragen deze leden op welke manier de regering er zorg voor zal dragen
dat open source bij de aanvraag voor erkenningen daadwerkelijk de standaard zal zijn
en dat de proportionaliteitstoets die wordt gehanteerd voor het, al dan niet verplichten
van open source door aanbieders, niet te ruimhartig wordt uitgevoerd.
De fungerend voorzitter van de commissie, Leijten
De griffier van de commissie, Boeve
Ondertekenaars
-
Eerste ondertekenaar
R.M. Leijten, Tweede Kamerlid -
Mede ondertekenaar
L. Boeve , griffier
Gerelateerde documenten
Hier vindt u documenten die gerelateerd zijn aan bovenstaand Kamerstuk.